需求分析
产品简介
一方面
ON THE ONE HAHD
一方面通过集中运维,减少因离散操作导致的失误,提高工作效率,如新的安全策略在主机上的统一应用等;
另一方面
ON THE OTHER HAND
另一方面通过对所有用户在主机上的操作行为进行监控与记录,实时了解用户的操作行为,发现风险及时中止用户的操作,并记录下用户所有的操作行为,便于进行事后的审查与取证。
产品优势
实名运维审计
满足安全规范要求
实现集中的日志审计功能,爱思考(堡垒主机)内控管理平台系统提供集中的日志审计,能关联用户的操作行为,对非法登录和非法操作快速发现、分析、定位和响应,为安全审计和追踪提供依据。辅助审查,通过集中的日志审计,可以收集用户访问网络设备、主机、数据库的操作日志记录,并对日志记录需要定期进行审查,满足内部控制规范中关于日志审计的需求,真正实现关联到自然人的日志审计。
实现单点登录
规范操作过程,简化操作流程
单点登录,爱思考(堡垒主机)内控管理平台提供了基于B/S的单点登录系统,用户通过一次登录系统后,就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统;规范操作流程,爱思考(堡垒主机)内控管理平台系统规范了运维操作的工作流程,将管理员从繁琐的密码管理工作中解放出来,投入到其他工作上,对第三方代维厂商的维护操作也不再需要专门陪同,从而有效提高了运维管理效率。
实现集中授权管理
简化授权流程,减轻管理压力
实现统一的授权管理;授权流程化管理。
实现集中身份认证和访问控制
避免冒名访问,提高访问安全性
提供集中身份认证服务;实现用户密码管理,满足相关政策内控管理的要求;实现对用户的统一接入访问控制功能。
实现集中帐号管理
降低管理费用
实现对用户帐号的统一管理和维护;解决用户帐号共享问题;解决帐号锁定问题。
功能特点
账号管理
ACCOUNT MANAGEMENT
帐号管理包含对所有服务器、网络设备帐号以及所有使用堡垒主机自然人的账号实行集中管理。账号的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理,而且降低了设备管理员管理大量用户帐号的难度和工作量。同时,通过统一的管理还能够发现帐号中存在的安全隐患,并且制定统一的、标准的用户帐号安全策略。
通过建立集中帐号管理,可实现帐号与实际自然人相关联。通过这种关联,可实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的实名行为审计,真正满足审计的需要。
- 主账号管理
使用堡垒主机系统的用户与真实人员是唯一对应的,普通用户即为主账号。主账号管理将实现对用户的集中管理及用户的集中授权管理。主账号管理功能包括主账号的创建,主账号基本信息维护,主账号资源角色授权(主账号资源访问授权),主账号的锁定,主账号删除等。除此之外,还可以通过角色划分功能,区分人员类别,比如一线、二线,岗位不同,中心员工或外包人员等。
- 从账号管理
资源管理与主账号管理同样是系统的核心部分。资源管理主要负责管理不同类型的资源,其中包括不同类型主机系统,网络设备,安全设备等。这些不同类型的资源组成了整个内控堡垒主机系统的访问对象,也是保护对象。资源管理主要包含两个大模块:资源管理和资源从账号管理。资源管理主要是对不同类型的资源进行划分。从账号管理则依附于不同的资源。访问资源就是访问资源的从账号,这里也是管理员操作和运维人员操作的核心部分。
- 从账号口令变更
依照等级保护和分级保护的基本要求,对于内网设备的口令需要定时按照一定的复杂程度进行变更,堡垒主机提供自动定时批量修改从账号口令的功能。用户可自定义口令变更时间、周期、复杂程度等内容。极大的减轻了运维人员的工作压力。
授权管理
AUTHORIZATION MANAGEMENT
爱思考(堡垒主机)内控管理平台通过灵活的授权管理和细粒度的访问控制管理可以对用户对各种资源的访问进行控制和审计。
- 灵活的授权管理
爱思考(堡垒主机)内控管理平台提供统一的界面,对用户、角色与行为、资源进行关联授权,以达到对权限的细粒度分配,最大限度保护IT资源的安全。在集中授权里强调的“集中”是逻辑上的集中,而不是物理上的集中。即在各网络设备、主机系统、安全设备中可能还拥有各自的权限管理功能,管理员也由各自的归口管理部门委派,但是这些管理员从统一的授权系统进去以后,可以对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。
- 细粒度的访问控制管理
爱思考(堡垒主机)内控管理平台能够提供细粒度的访问控制管理。细粒度的命令策略是命令的集合,提供基于黑白名单的命令清单配置,该命令策略可分配给运维自然人或后台设备,另外也可提供基于访问时间、访问地点、资源、系统帐号、操作命令、自定义命令的强访问控制。通过对访问内容的监控和记录、对危险命令的过滤,实现内部访问的安全运作。访问控制策略是保护系统安全性的重要环节,制定良好的访问控制策略能够有效提高系统的安全性。
认证管理
CERTIFICATION MANAGEMENT
- 认证方式多样性
爱思考(堡垒主机)内控管理平台为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。爱思考(堡垒主机)内控管理平台自身是经过加固的可防御进攻的安全设备,支持静态口令、动态口令、 USB-KEY、数字证书、动态令牌、生物特征等多种组合认证方式,并且传输过程加密。
- 单点登录(SS0)
爱思考(堡垒主机)内控管理平台提供了基于B/S的单点登录,在整个IT系统中具有多帐号的用户提供了方便快捷的访问途径,运维人员通过一次登录堡垒主机,就可以访问被授权的多个设备资源,无需再次手动输入设备账号和密码信息,而且访问不同系统不用重复登录,提高了运维的效率,改善用户体验。同时,集中的单点登录便于全系统采用强认证,从而提高了用户认证环节的安全性。
爱思考(堡垒主机)内控管理平台基于人性化设计,直接通过WEB方式实现单点登陆,方便运维人员操作,简化前端运维环境。
访问控制
ACCESS CONTROL
- 实时监控与阻断
爱思考(堡垒主机)内控管理平台能够实现对运维人员在线操作的实时监控功能,审计员可以以图像方式实时的监视运维人员的运维操作,如果发现运维人员存在不合规的操作,审计员有权限实现对当前会话的实时阻断。
- 访问控制策略
爱思考(堡垒主机)内控管理平台能够制定基于黑白名单的访问控制策略,用以限制用户访问目标设备的访问命令,该策略支持正则表达式。
产品部署
部署方式
DEPLOYMENT MODE
爱思考(堡垒主机)内控管理平台采用典型的旁路部署,不改变网络拓扑,部署简单方便,实现灵活接入。通过设置防火墙端口控制策略或交换机ACL访问策略,防止用户绕过堡垒主机直接访问目标设备。
爱思考(堡垒主机)内控管理平台典型部署示意图(左)
目前用户对IT系统的依赖程度也越来越高,各类业务系统也变得日益复杂。就一个信息化程度很高网络信息系统而言,其针对传统的信息安全问题防护,已经比较完善,其最大的威胁和破坏来自用户内部。据调查,8.5%的安全问题导致网络数据破坏,11%的安全问题导致数据失密,23%的病毒程序感染问题导致系统短暂故障,而从恶意攻击的特点来看,70%的攻击来自组织内部。
在所有内部隐患中,一种由IT系统“权贵”人员及其操作引出的非传统的安全隐患日益凸显,是所有安全事件中最主要的安全威胁。所谓IT系统“权贵”人员,即拥有用户内网各种IT系统软硬件设备管理权限的人员,这些人员可能包括:系统管理员、系统运维人员、系统应用高权限用户、第三方厂商的维护人员以及其他临时高权限人员等.这些人员本身所拥有的高权限账号和其在操作过程中的各种动作,都带来日益明显的安全隐患。
授权管理
AUDIT MANAGEMENT
- 详尽的操作审计
爱思考(堡垒主机)内控管理平台提供详尽的操作审计功能,主要审计操作人员的帐号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后,操作审计能更好地对帐号的完整使用过程进行追踪审计。由于堡垒主机采用单点登录(SSO)方式,自然人与堡垒账号实现一一对应,审计员可以轻松的将系统操作与自然人相对应,解决了以往运维环境中仅追查到设备账号层面的问题,方便了安全事故的定责工作。爱思考(堡垒主机)内控管理平台提供命令审计、内容审计和录像审计。对不同设备、不同访问方式都有详尽的操作审计,真实、直观的重现操作人员的操作过程。系统支持操作协议:Telnet、FTP、SFTP、SSH、SSH2、RDP、X windows、VNC等。爱思考(堡垒主机)内控管理平台通过系统自身的用户认证系统、用户授权系统,以及访问控制等详细记录整个会话过程中用户的全部行为,还可以将审计日志传送给第三方。
- 完备的审计报表
爱思考(堡垒主机)内控管理平台提供完备的审计报表。堡垒主机管理员可以按照用户定义条件,以及系统自定义的报表模板制定综合报表;系统可按照访问者、被保护对象、行为方式、操作内容等自动生成统计报表,并能按照用户的要求添加、修改报表数量、格式及内容,以满足审计的要求。
- 内部审计
爱思考(堡垒主机)内控管理平台提供完备的内部审计记录,可完整记录堡垒主机管理员的管理行为,如主/从账号管理、策略修改、登入、登出等内容。
