广州天卓软件科技有限公司
电 话:020-87568789
手 机:18028592966(微信同号)
传 真:020-87568789-999
Email:tianzhuo168@gq.com
网 址:www.gztzsoft.com
地 址:广州市朱村大道东178号威华国际商务楼S2栋66号(客户中心)
广州市天河区棠东官育路22号棠丰商业大厦(总部)
微信公众号:tianzhuo8
安全内控堡垒主机是一种被加固的可以防御进攻的计算机,具备坚强的安全防护能力。安全内控堡垒主机扮演着看门者的职责,所有对网络设备和服务器的请求都要从这扇大门经过。因此安全内控堡垒主机能够拦截非法访问和恶意攻击,对不合法命令进行阻断、 过滤掉所有对目标设备的非法访问行为。
安全内控堡垒主机具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一 条指令,而且能够将所有的输出信息全部记录下来;具备审计回放功能,能够模拟用户的在线操作过程,丰富和完善了网络的内控审计功能。安全内控堡垒主机能够在自身记录审计信 息的同时在外部某台计算机上做存储备份,可以极大增强审计信息的安全性,保证审计人员有据可查。
安全内控堡垒主机还具备图形终端操作的审计功能,能够对多平台的多种图形终端操 作做审计,例如 Windows 平台的 RDP 方式图形终端操作,Linux/Unix 平台的 X11 方式图形终端 操作。
为了给系统管理员查看审计信息提供方便性,安全内控堡垒主机提供了审计查看检索 功能。系统管理员可以通过多种查询条件查看审计信息。
总之,安全内控堡垒主机能够极大的保护单位内部网络设备及服务器资源的安全性, 使得单位内部网络管理合理化和专业化。
2、产品介绍
2.1 系统架构
2.2 引入 4A 管理理念
安全内控堡垒主机采用 4A 的管理理念,圆满地解决用户现在面临的种种运维问题。
IT 运维管理由账号管理、认证管理、授权管理、操作管理组成:
帐号管理,需要在各系统上为新用户建立帐号、为已有用户修改帐号、为离职用户删除帐 号。
认证管理,要保证各系统不被越权访问,那么就必须做好认证管理,为系统帐号定义密码、
定期要求帐号密码修改、控制密码强度等等。
授权管理,授权过程其实就是把各系统上建立的帐号分配给操作人员的过程,管理员要定 义帐号的权限,然后做帐号分配,根据用户置位调整做相应的帐号权限修改。
操作审计,管理员要定期做服务器的巡检,分析各系统上的日志,查看是否有越权访问, 查看是否有误操作,如果有事故还需要根据日志进行故障排查和事故追踪。
以上也就是 4A 管理,安全内控堡垒主机融合统一用户账号管理、统一认证管理、统一授权 管理和统一安全审计四要素,并且涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完 善的、高安全级别的 4A 管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
2.3 SSO 单点登录
安全内控堡垒主机提供了基于 B/S 的单点登录系统,用户通过访问 WEB 页面一次登录 系统后,就可以无需认证的访问被授权的多种基于 B/S 和 C/S 的应用系统。单点登录为具有多 账号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录用户 ID 和口令。它通过向用 户和客户提供对其个性化资源的快捷访问提高工作效率。同时,由于系统自身是采用强认证的 系统,从而提高了用户认证环节的安全性。
单点登录可以实现与用户授权管理的无缝链接,可以通过对用户、角色、行为和资源的授 权,增加对资源的保护和对用户行为的监控及审计。
2.4 集中账号管理
安全内控堡垒主机的集中账号管理包含对所有服务器、网络设备账号的集中管理。账号和 资源的集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对账号整个生命周期的监控和管理,而且还降低了管理大量用户账号的难度和工作量。同时,通过统一的管理还能够发现账号中存在的安全隐患,并且制定统一的、标准的用户账号安全策略。
通过建立集中账号管理,单位可以实现将账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满 足审计的需要。
2.5 集中身份认证
用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采 用更加安全的认证模式,提高认证的安全性和可靠性。
集中身份认证支持电子证书、Windows AD 域、Windows Kerberos、双因素、动态口令和生 物特征识别等多种认证方式,而且系统具有灵活的定制接口,可以方便的与第三方 LDAP 认证 服务器对接。
2.6 统一资源授权
安全内控堡垒主机提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过 B/S、C/S 对服务器主机、网络设备的访问进行审计和阻断。
在集中访问授权里强调的“集中”是逻辑上的集中,而不是物理上的集中。即在各网络设 备、服务器主机系统中可能拥有各自的权限管理功能,运维人员也由各自的归口管理部门委派, 这些运维人员可以通过内控堡垒主机对各自的管理对象进行授权,而不需要进入每一个被管理 对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够实现授权用 户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以实现限制用 户的操作,以及在什么时间、什么地点进行操作等的细粒度授权。
2.7 细粒度访问控制
能够提供细粒度的访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的 集合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的 用户,来限制其系统行为,管理员会根据其自身的角色为其指定相应的控制策略来限定用户。 访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的
安全性。 基于细粒度的访问控制下,安全内控堡垒主机真正做到了:
Ø Who(谁): 控制什么用户允许操作
Ø Where(什么地点):控制来源于什么地址的用户允许访问什么资源
Ø When(什么时间): 控制在什么时间允许用户操作
Ø What(做了什么): 控制用户执行的操作
2.8 运维操作审计
操作审计管理主要审计操作人员的账号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后,操作审计能 更好地对账号的完整使用过程进行追踪。
系统支持对如下协议进行审计:Telnet、FTP、SSH、RDP(Windows Terminal)、X windows、
VNC 等。 通过系统自身的用户认证系统、用户授权系统,以及访问控制等详细记录整个会话过程中
用户的全部行为日志。还可以将产生的日志传送给第三方。对于生成的日志支持丰富的查询和操作:
Ø 支持按服务器方式进行查询。 通过对特定服务器地址进行查询,可以发现该服务器上发生的命令和行为。
Ø 支持按用户名方式进行查询。 通过对用户名进行查询,可以发现该用户的所有行为。
Ø 支持按登录地址方式进行查询。
通过对特定 IP 地址进行查询,可以发现该地址对应主机及其用户在服务器上进行的所有操
作。
Ø 支持按照登录时间进行查询。
通过对登录时间进行查询,可以发现特定时间内登录服务器的用户及其进行过的所有操作。
Ø 支持对命令发生时间进行查询。 可以通过对命令发生的时间进行查询,可以查询到特定时间段服务器上发生过的所有行为。
Ø 支持对命令名称进行查询
通过查询特定命令如 Is ,可以查询到使用过该命令的所有用户及其使用的时间等。
Ø 支持上述六个查询条件的任意组合查询。
如,可以查询"谁(用户名)" ..什么时间登录(登录时间)"服务器并在"什么时间(命令 发生时间)"在"服务器(目标服务器)"上执行过"什么操作(命令)"。
Ø 支持对日志的备份操作处理。
Ø 支持对日志的删除处理。