堡垒机ppt
后后果果
▪难以定位账号的实际责任人 •内部操作权限滥用 ▪机密数据被窃取 ▪自身日志审计难以发现违规行为 ▪传统安全审计盲区
业务中断
损失
财务
声誉
上海中科网威信息技术有限公司
相关法规
➢公安部-《信息系统等级保护》
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》及《信息系统等级保护安全设计技术要求》
➢美国上市公司须遵循的萨班斯(Sarbance Oxley)法案
上海中科网威信息技术有限公司
主题
上海中科网威信息技术有限公司
前提: 集中管理
SR-FORT
集中账号管理 ✓基于唯一身份标识的全局管理 ✓统一账号管理策略,实现与各服务器、 网络设备等无缝连接 集中访问控制 ✓集中统一的访问控制和细粒度的命令 级授权策略 集中安全审计 ✓基于唯一身份标识,全程审计用户对 从登录到退出的操作行为。
运维管理审计系统介绍
数据库操作方式
WEB服务
Web程序用户
应用程序用户
App用户
系系统统运运维维人人员员
数据库运维操作
系统管理员、DBA
上海中科网威信息技术有限公司
数据库操作审计
数据库操作审计 应用托管中心 堡垒机 select * frsoemlecmt e* mfrobmer_taagbe_gender
◦ 持续工作无故障
UCsoemrnmamaned, parsesswuoltrd
解决方案
◦ 运维管理审计系统的批量交互功能
◦ 优化大并发会话情况下的稳定性;
◦
UCsoemrnmamaned, parsesswuoltrd
UCsoemrnmamaned, parsesswuoltrd
连续工作4年无故障
上海中科网威信息技术有限公司
主题
上海中科网威信息技术有限公司
典型用户
运营商:上海电信、江苏移动; 政府:上海市公安局、上海互联网应急中心; 海外上市公司:汉庭连锁酒店、麦考林M18 ; 金融:华泰证券、上投摩根基金; 互联网:久游网、上海团购网; 教育:浙江大学、华东理工大学; 企业:宝钢集团、上海通用; …………
运维管理审计系统的功能模块
上海中科网威信息技术有限公司
解决方案
逻辑串接
堡安全垒策略机
操 作 人 员
User ID: Jason.Hwa Password: *JH123
1. 逻辑串接部署(堡垒机) 2. 管理各个设备登录账户 3. 生成并分配统一实名登录账户 4. 管理各设备IP、设备访问等信息 5. 制定统一策略
操作行为审计(保障)
4
A
权限管理(核心)
核
心
访问控制管理(手段)
统一身份管理(基础)
你做了什么?Audit审计
你能做什么? Authorization授权
你能去哪? Authentication认证 你是谁? Account 帐号
集中管理(入口:谐润运维管理审计系统)
上海中科网威信息技术有限公司
运维管理审计系统介绍
上海中科网威信息技术有限公司
运维管理审计系统介绍
2.主机管理功能
特有功能 •支持主机账号自动枚举 •支持主机弱口令安全检测机制
基本功能 •主机信息资产配置 •主机账号密码托管 •支持主机密码自动改密
上海中科网威信息技术有限公司
运维管理审计系统介绍
3.运维管理功能
特有功能
基本功能
•支持应用虚拟化部署,最佳客户体验 •支持主机的批量、周期任务 •支持主机的特权模式自动智能切换
•支持图形协议:RDP、X11、VNC •支持字符协议:TELNET、SSH、FTP、 SFTP
上海中科网威信息技术有限公司
运维管理审计系统介绍
4.访问控制功能
基本功能
特有功能
•灵活的授权机制(基于时间、IP、协议 特性等); •支持黑白名单的指令阻断、忽略策略
•支持基于运维用户-主机账号的授权 •资源信息分组管理
User ID: Adam.Hc Password: *Kejf
User ID: Apple.Bc Password: *Kefadsf
上海中科网威信息技术有限公司
运维管理审计系统介绍
1.用户管理功能
特有功能
基本功能
•支持CA中心证书认证; •支持安全登录机制; •虚拟堡垒机机制;
•一人一账号,解决多人共用账号的混乱 •灵活的用户认证设置(本地、LDAP、 AD、Radius等);
上海中科网威信息技术有限公司
集中安全管理审计平台
✓逻辑上将人与目标设备分离,全局唯一身份标识。 ✓转变传统IT安全运维的被动响应模式,建立面向用户的集中、主动的安全管控模式。 ✓由面及点的管理方式,让安全管理精确制导。
SR-FORT 转变
上海中科网威信息技术有限公司
运维管理审计系统介绍
基于4A安全思想模型的技术框架
➢财政部-《企业内部控制基本规范》
该规范的关键点是如何把IT内控与企业内控管理统一起来,信息安全审计则成为企业IT内控、安全风险管理的不可或 缺的技术手段。
➢行业
•银监会《商业银行内部控制指引》、《商业银行操作风险管理指引》(该指引明确要求”商业银行应按照指引要求, 建立操作风险管理体系,有效地识别、评估、监测和控制/缓释操作风险”。) •上交所《上海证券交易所上市公司内部控制指引》 •巴塞尔新资本协议 •深交所信息安全评估准则 •中国电信《CTG-MBOSS安全规范》 •中国移动集团内控手册 •中国电信内控手册
UCsoemrnmamaned, parsesswuoltrd
UCsoemrnmamaned, parsesswuoltrd
上海中科网威信息技术有限公司
谢谢!
上海中科网威信息技术有限公司
UCsoemrnmamaned, parsesswuoltrd
UCsoemrnmamaned, parsesswuoltrd
UCsoemrnmamaned, parsesswuoltrd
Update command
Update command
UCsoemrnmamaned, parsesswuoltrd
上海中科网威信息技术有限公司
主题
上海中科网威信息技术有限公司
运维工作的重要性
随着信息化的发展,企业IT系统建设重点: 从网络、平台建设逐渐转向深化应用、提升效益为特征的运维阶段。
上海中科网威信息技术有限公司
传统运维模式的安全隐患
• 身份不明确 • 授权不清晰
• 操作不透明 • 过程不可控
• 结果无法审计 •责任不明确
上海中科网威信息技术有限公司
IT安全运维的挑战
原因
帐号管理混乱
•多个用户使用同一个账号 •一个用户使用多个账号 •临时账号 粗放式权限管理 •缺少统一的运维操作授权策略 •授权粒度粗 第三方代维带来安全隐患 •代维人员流动性大、缺少行为监控 设备自身日志粒度粗 •日志分散 •内容深浅不一 传统网络安全审计难以满足运维要求 •无法审计加密协议、远程桌面内容 •基于IP的审计
◦ 2. 对用户的账号进行统一管理,明 确了用户账号的职能;
◦ 3. 对数据库修改进行审计,误操作 等能够及时找到;
◦ 4. 用户维护操作不需要知道系统密 码,提高了密码管理的安全性;
上海中科网威信息技术有限公司
超长时间会话审计:上海电信
客户要求:
◦ 1. 操作要和人一一对应; ◦ 2. 快速定位故障点; ◦ 3. 与现有网管系统集成; ◦ 4. 持续145小时超长会话精确审计
上海中科网威信息技术有限公司
华泰证券
长期以来,华泰证券数据中心 (500台)管理及核心数据库 (100台)管理存在账号共用现 象造成了以下问题:
◦ 1. 责任不明确 ; ◦ 2. 权限混乱; ◦ 3. 造成事故无法定位 ; ◦ 4. 操作无法审计 ;
解决方案:
◦ 1. 操作维护入口唯一,保证了操作 的集中管理;
User ID: Jimmy.Zh Password: *JZ23
IBM
User ID: Bush.AC Password: *BC23
SUN
HP
User ID: Tony.Zh Password: *TA23
DELL User ID: Jdfy.Zh Password: *JZ23
DAWNING
Intel
上海中科网威信息技术有限公司
运维管理审计系统介绍
5.行为审计功能
基本功能
特有功能
•支持跨浏览器的视屏播放(FF、 Chrome均支持) •图形会话信息快速检索、回放; •运维监控中心;
•支持基于IE浏览器的审计日志视频播放 •支持审计日志的文本搜索
上海中科网威信息技术有限公司
运维管理审计系统介绍
6.安全功能
特有功能 •对黑客破解尝试进行智能阻断 •特有的安全统计报表
基本功能 •设备自身的安全 •设备内主机敏感数据的防护
上海中科网威信息技术有限公司
运维管理审计系统介绍
运维管理审计系统支持的管理对象
上海中科网威信息技术有限公司
运维管理审计系统介绍
运维管理审计系统网络拓扑图
网络设备和服务器区
运维管理审计系统介绍
(堡垒机)
上海中科网威信息技术有限公司
上海中科网威信息技术有限公司
主题
上海中科网威信息技术有限公司
公司介绍
上海中科网威信息技术有限公司是专业从事信息系统安全的高科技企业。 国家应急响应中心支撑单位、上海世博会应急保障单位。 国家首批信息安全服务资质(ISCCC)认证单位。 受公安部委托负责“网络安全扫描”、“入侵检测”等6项行业标准的制定。 负责起草“防火墙”、“漏洞扫描”等产品的国家标准。 专业的技术支持团队全天候提供支持服务。
