微信咨詢

電話咨詢

4006-288-838

13927455457

在線客服
堡壘機,運維堡壘機,堡壘機排行,國內堡壘機品牌,等保審計堡壘機,服務器操作審計,堡壘機廠商,跳板機
堡壘機,運維堡壘機,堡壘機排行,國內堡壘機品牌,等保審計堡壘機,服務器操作審計,堡壘機廠商,跳板機

ANYSEC-IT運維堡壘機

產品介紹:中科網威IT運維堡壘機系統基于滿足“誰能做”的授權和“誰做的”審計要求,通過B/S方式對主機、服務器、網絡設備、數據庫、應用等實施統一身份認證、授權、審計、分析;支持用戶密碼、手機令牌動態口令雙因子認證;實現對操作過程的全程監控與審計錄像回放,以及對違規操作行為的實時阻斷。
產品概述
功能優勢
典型應用
解決方案

9.jpg

       中科網威IT運維堡壘機系統通過B/S方式(https)對主機、服務器、網絡設備、安全設備、數據庫、應用等實施統一認證、授權、審計、分析;具有與身份認證系統無縫結合的接口,支持用戶密碼、手機令牌動態口令雙因子認證;實現對操作過程的全程監控與審計錄像回放,以及對違規操作行為的實時阻斷。支持對多種遠程維護方式,如字符終端方式(SSH、Telnet)、圖形方式(RDP)、文件傳輸(FTP、SFTP)協議, 應用發布系統支持BS/CS等應用的單點登錄及審計。


    堡壘機.jpg

1、身份認證和鑒別(等保三級安全合規性要求)

為滿足“誰能做”的授權需求和“誰做的”審計系統要求,堡壘機系統必須具備一套完整的身份鑒別和認證功能。一般需要采用兩種或兩種以上雙因子方式進行身份驗證,如支持靜態密碼和手機動態口令,手機短信、證書Key等認證方式訪問,支持本地認證、Radius、LADP、AD域和POP3認證方式;支持密碼強度、密碼有效期、密碼嘗試死鎖、用戶激活等安全管理功能多種認證方式,滿足等保三級系統合規性設計要求。

身份認證鑒別從等級保護三級開始必須要進行雙因子認證,如將雙因子(比如動態口令)部署到內部服務器成本高且易出風險事故,中科網威堡壘機上內置了CA、動態口令、手機短信、證書UKEY等強認證,在不動生產系統的情況下即完成運維審計合規身份鑒別。

2、授權與訪問控制

對IT運維管理人員進行授權與訪問管理,嚴格限制登錄和操作行為。提供細粒度的訪問控制策略,通過控制訪問時間、允許訪問的IP段和證書來制定詳細的訪問策略,對IT運維用戶、登錄地址、運維協議、目標主機及賬戶、運維會話時長、運維時間段進行組合授權。

3、單點登錄與帳號管理

單點登錄是運維管理用戶通過堡壘機集中認證和授權后,堡壘機作為唯一的登錄入口,讓非法用戶無機可趁,杜絕了非法人員的入侵。同時堡壘機根據配置策略對網絡中服務器,網絡設備,安全設備的賬號進行集中管理并實現帳號密碼托管實現后臺資源自動登錄,運維用戶無需知道后臺資源的賬戶密碼。提供了運維用戶到后臺資源賬戶的一種可控對應,同時實現了對后臺資源賬戶的口令統一保護。

4、監控違規操作告警

根據安全策略對運維管理過程中的違規操作進行檢測,對違規操作提供實時告警和阻斷。提供在線運維管理操作的實時監控功能,制定相應的阻斷告警策略,當運維人員在使用策略中的敏感命令時,進行阻斷告警,將運維人員和服務器斷開或者禁止命令的執行中斷運維會話。從而達到降低操作風險及提高安全管理與控制的能力。

5、運維審計管理

審計管理主要審計操作人員的賬號登錄、資源訪問使用情況,在各服務器主機、網絡設備的訪問日志記錄都采用統一的賬號、資源進行標識后,系統對所有登錄和操作過程進行全程錄像記錄,作為日后分析和取證的依據。提供對 Telnet、FTP、SSH、SFTP、RDP、XWindows、VNC、AS400、HTTP、HTTPS等協議的運維會話進行完整記錄,對于圖形化管理方式,系統可以記錄用戶鍵盤動作,對于字符管理方式,系統可以記錄用戶操作的命令滿足百分百的內容審計記錄要求。以會話為單位,提供圖像形式的回放,真實、直觀地重現當時的操作過程,支持快放、慢放、拖拉等回放方式。

6、審計報表功能

堡壘機提供日常報表、會話報表、告警報表、綜合統計報表等多種審計報表,系統通過認證、授權、審計、密碼的集中管理,可以達到對整體運維系統的分析,輸出各種運維報表,將當前運維情況整體展示出來,為管理層提供運維管理的依據。支持PDF、Excel等格式。

7、自身安全保護

通過分權管理機制、管理員身份認證、HTTPS加密管理、內部組件加密通信、數據文件加密存儲、關閉可能帶來掃描風險的服務端口,保障自身安全性。此外,可通過雙機熱備(HA)、數據冗余存儲(Raid1)等技術,保障系統可靠運行。

8、產品部署方式

中科網威堡壘機系統采用單臂模式旁路部署,不改變網絡拓撲。完成部署后,內部服務器的維護端口只向堡壘機開放,避免運維人員直接訪問服務器導致逃避監控的風險。


ANYSEC-堡壘機系統應用

1500014184819927.jpg

       中科網威IT運維堡壘機系統是針對管理“IT管理員”的設備,可對企業IT運維人員在運維操作過程中進行統一身份認證、統一授權、統一審計、統一監控,消除了傳統運維過程中的盲區,實現了運維簡單化、操作可控化、過程可視化,它通過Web方式對主機、服務器、網絡設備、安全設備、數據庫、應用等實施統一認證、授權、審計、分析;具有與身份認證系統無縫結合接口,支持用戶密碼、手機動態口令雙因子認證。實現對操作過程的全程監控與審計錄像回放,以及對違規操作行為的實時阻斷,保證只有合法用戶才能使用其擁有運維權限的關鍵資源。為組織在操作風險控制、內控安全及規范性等提供一套完善、有效的審計手段。

產品選型(等保三級評審-醫院、金融、稅務、政府、企業運維審計堡壘機系統) 


一、需求應用分析

       對于網絡設備的運維管理,大部分公司目前還沒有形成一套完整的管理方法,部分公司在網絡設備上建立用戶名密碼,然后運維人員使用網絡設備的本地密碼登錄后進行運維操作,還有一些公司建立有AAA服務器,將用戶名和密碼交AAA服務器統一管理,但這二種模式在運維管理中都存在相應的風險,主要風險如下:

1、密碼外泄:沒有統一的密碼管理機制,存在很多人員共同使用同一個系統帳號的情況 ,造成系統帳號的密碼為多人所知,最終,系統密碼非常容易外泄露給第三方人員;

2、違規惡意操作:對操作人沒沒有統一的監控、審計系統,操作人員操作的過程無法進行回溯,容易造成操作人員越權刪除、修改數據以及配置系統的情況

3、管理授權混亂:當網絡設備多,運維人員數量多的時候,管理授權容易出現混亂,沒有一個統一的系統為運維人員進行授權,并且對權限進行回收管理,形成一定的運維風險

上述這些問題的原因,都是因為沒有一個統一的運維管理平臺,造成運維管理黑盒化導致,因此建立一個安全、可靠、易用的運維管理平臺,為近期企業IT運維的迫切要求。同時國家及行業也相繼出臺了相關的法律法規及管理規范,如CSOX和等保規定,要求系統運維在訪問控制、操作審計等諸多方面做得更加全面有效的管理。

二、方案建設目標

       本方案主要是通過對人員、設備、操作的管理,實現運維管理的白盒透明化,同時將各項運維管理規章制度,能以可監控的方式進行管理落地。項目建設目標主要是以運維過程的安全、操作管理進行,最終達到運維規章制度可能有效執行,根據這些原則,將系統建設目標明細為如下點:

1500027195288614.png

1、統一的運維管理:建立統一的運維管理平臺(堡壘機系統),用戶由過去直接訪問網絡設備,改為從堡壘機跳轉登錄,堡壘機上實現認證、授權、審計及帳號的管理。

2、認證權限集中管理:堡壘機上啟動AAA服務器,將網絡設備的認證統一放到AAA服務器上,AAA服務器上的密碼系統可以自動按時修改,不需要運維人員知道AAA服務器上的密碼,當用戶想要登錄網絡設備時,由運維平臺自動為運維人員填寫登錄密碼,這樣能保證最終設備密碼的安全性。

3、身份登錄認證管理:用戶登錄堡壘機時,必須使用令牌卡生成的動態口令登錄,這樣可以保護用戶的口令安全性,并且可以做到認證的不可否認

4、運維操作審計分析:運維人員登錄到網絡設備進行操作后,運維平臺對整個操作過程進行錄相、分析,通過平臺可以對任何一個操作過程進行回溯,同時,平臺可以分析整體運行情況,比如運維人員的巡檢、故障排除統計等,審計分析可以使運維管理白盒可視化,達到管理人員可以時刻了解當前運維操作狀態的目的,以使運維管理制度得以落地。

快速定位問題:必須對操作人員原始的操作過程進行完整的記錄,并提供靈活的查詢搜索機制,從而在操作故障發生時,快速的定位故障的原因,還原操作的現場;

兼容操作習慣:盡量不改變運維環境中已有的網絡架構、對操作者原有的操作習慣不造成任何影響;

三、方案設計原則

整體系統以運維安全管理規章制度有效運行、運維管理白盒可視化為設計實施依據,系統整體設計思路如下:

1500025874126444.png

1、實施準則:運維管理,主要是通過規章制度對人的行為進行控制,進行保證系統的穩定運行,因此,運維管理其實其本質就是規則制度的有效實行,整體運維平臺上線,最大的目的就是將運維管理從不可視的黑盒管理改為可視的白盒管理,同時,通過自動巡檢、密碼自動修改、SSO等功能大大減輕運維人的工作強度。

2、身份認證:身份管理解決的是操作者的身份識別和工作角色的問題。因為所有的操作行為都是由操作者發起的,通過操作者的身份管理機制,是后續對操作者操作過程進行控制和審計的基礎。

3、權限控制:通過訪問控制手段確保合法的操作者只能合法的訪問資源,有效降低未授權訪問的安全風險。

4、審計記錄:操作審計的意義在于當發生操作事故時,可以借助審計日志快速定位問題的原因,還原操作的現場,真正完善責任認定的體系。操作分析可以讓管理層得以有效把握目前運維管理的狀態,實現運維管理的合規化。 

四、應用部署方案

1、方案設計

       中科網威運維堡壘機系統采用“旁路統一入口”的模式實現集中管理,這種部署模式的優點是在部署過程中,無需在被管理設備上安裝任何代理程序或插件,也不需要調整設備之間原有的網絡架構,對用戶當前的運維環境幾乎不會造成任何影響。

1500026119188909.png

2、產品部署說明

1)部署方式是旁路部署,或使用雙機熱備部署模式,用戶登錄后的所有操作都會被錄相留存至少半年以上;

2)部署條件是運維管理平臺到被管理設備IP可達,協議可訪問、運維終端到運維管理平臺IP可達、協議可訪問;

3)所有被管理的設備將4A認證指到堡壘機上,在堡壘機上為所有設備建立Radius帳號,登錄這些設備時,認證在堡壘機上進行;

4)為所有的運維人員在堡壘機上建立運維帳號,并且為運維帳號做出權限列表,即為運維帳號指定能登錄到哪些網絡設備;

5)登錄過程:所有用戶登錄網絡設備時必須通過堡壘機跳登錄,用戶用唯一的用戶帳號登錄到中科網威運維堡壘機系統上,然后中科網威運維堡壘機系統會根據配置管理員預先設置好的訪問控制規則,提示用戶選擇可以訪問的目標設備和相應系統帳號,用戶選擇后自動登錄到目標設備,用戶登錄堡壘機時,需要使用動態令牌卡生成動態口令進行登錄,以保證認證的安全性

五、方案實現效果

堡壘機審計系統主要圍繞運維安全性、可管理性而建設,主要需要實現包括統一入口管理、統一授權、統一認證、統一審計、統一分析、及時告警六大項功能,針對這六大項功能,將審計系統部署實現達到如下效果:

1、系統統一接入

統一接入模塊主要實現入口統一管理,包括運維管理登錄Portal、雙代理模塊、VPN移動用戶接入三部分。運維管理登錄Portal為用戶提供一個統一的登錄入口地址,將用戶登錄入口統一以后,才能進行針對性管理,統一Portal模式是一個登錄的Web界面,用戶登錄Web界面后,可以看到自身的所有權限,通過占擊相應的權限連接到相應的服務器。

SSL VPN模塊用于提供運維用戶遠程接入,從管理角度來說,運維業務系統為一個專有系統區別于辦公、財務等系統,因此,一般情況下運維平臺應該具備VPN接入的功能,讓運維人員有一個專門的VPN接入接口與其它部分分離。

2、認證授權管理

認證授權管理主要實現動態口令、單點登錄、權限管理、密碼管理四個方面如下:

動態口令:用于解決目前靜態密碼的各種弊端,可以徹底的實現密碼丟失、弱口令、密碼掃描等安全問題,一個標準的運維系統動態口是是必須具備的一個功能模塊。

單點登錄:用于讓用戶登錄到運維平臺后,即可以不需要輸入其它系統的密碼,直接登錄到已經賦權的系統,可以實現密碼屏蔽、登錄方便等功能。

權限管理:用于指定用戶的操作權限,包括用戶可以登錄到的設備、可以使用的設備帳號以及登錄到設備上可以執行的操作命令等。

密碼管理:用于幫助用戶執行密碼規章制度中的密碼修改策略,密碼修改策略上線后,密碼管理軟件可以自動按密碼策略對系統密碼進行修改,以使管理制度落地。

3、操作審計預警

審計分析用于對操作人員的操作進行錄相和分析,用戶通過運維管理平臺登錄到業務系統后,所進行的操作都會被運維管理平臺錄相,同時,分析出用戶的明細操作,包括用戶運行的命令、敲擊的鍵盤、上傳下載的文件、數據庫指令、數據庫操作取回的數據等,通過審計分析,可以對操作人員的操作過程進行評判,評判他的操作過程是否有違歸、惡意操作,同時如果發生誤操作,可以及時回溯,恢復到系統原來的正常狀態。

4、日志審計記錄

運維管理中,日志系統的分析和關聯是很重要的一部分,沒有日志關聯,很難將系統發生的事件與運維操作關聯起來,運維關聯模塊可以將用戶登錄、運行命令、系統日志等一系統事件統一關聯,讓管理者不需要通過分散的日志、網管、堡壘機系統一樣一樣的分析事件原因,大大提高了運維效率和事件分析的準確性。


本溪棋牌网官方下载