《内控堡垒主机介绍.ppt》由会员分享,可在线阅读,更多相关《内控堡垒主机介绍.ppt(42页珍藏版)》请在三一办公上搜索。
1、内控堡垒主机,一、公司简介二、背景分析三、产品理念四、产品功能五、产品特色六、部署,目 录,1.技术和产品,业务范围,内控堡垒主机,终端安全管理,应用安全网关,一、公司简介二、背景分析三、产品理念四、产品功能五、产品特色六、部署,目 录,随着网络安全威胁日益增多,单纯来自于外界的威胁变得有限,更多的、更严重的威胁来自于内部,或由内外勾结所产生的破坏。企业生产数据面临被内部人员篡改、删除、窃取,主机被关机、设备配置被修改,导致企业生产停顿、商业资料泄露,给企业造成巨大的损失。,1.威胁统计,数据库管理员,系统管理员,网络管理员,业务操作员,中心,各网点,分支机构,代维厂商,WINDOWS服务器,
2、LINUX服务器,UNIX服务器,网络设备,被管设备,帐号交叉使用,多点登陆,由于信息化建设安全考虑不足,许多设备、主机和应用口令被随意散布,复杂的各类人员可以通过下面各种途径访问生产数据:使用远程终端服务:例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口(CLI)使用文件传输协议:例如FTP等 使用远程窗口和桌面:例如Windows的远程桌面(RDP),和Unix的Xwindow。使用各种数据库客户端:例如各种数据库的client程序、ODBC、JDBC,以及多种其它数据库工具。,2.服务器访问方式二,密码记忆 用户需要记忆许多用户名和密码用于登录各个系统,经常出现
3、忘记密码的情况,有些管理直接使用相同的密码,缺乏统一的用户管理。频繁登录和注销 管理不同的网络设备需要分别登录,操作繁琐。,3.使用问题,4.管理问题,帐号管理,认证管理,A,B,操作审计,D,授权管理,C,定义帐号密码定期变更密码密码强度控制.,日志收集日志分析故障排查事故追踪.,建立帐号修改帐号删除帐号.,分配帐号修改帐号权限防止越权访问.,设备及服务器管理,4.管理问题帐号管理,空闲帐号,相同帐号,弱口令帐号,僵尸帐号,共享帐号,空闲帐号,弱口令帐号,僵尸帐号,共享帐号,相同帐号,相同帐号,设备及服务器群,4.管理问题帐号管理,空闲帐号,弱口令帐号,僵尸帐号,共享帐号,相同帐号,设备及服
4、务器群,各系统独立认证单一的静态口令认证口令强度基本无限制,4.管理问题认证管理,授权工作量大、繁琐没有有效的访问控制手段授权粒度粗,基本只到设备,4.管理问题授权管理,4.管理问题操作审计,关键业务系统数据被修改了,系统记录是admin改的,到底是谁用这个帐号改的?,这么多系统,查看命令这么复杂,我怎么去使用这些命令去查看?,业务数据被修改,从日志中查,一天的日志量有几百万,我该从什么地方开始看,他到底在什么时间修改业务数据的?,每个系统的日志都这么多,不知道他们之间有什么关系?,目前技术:旁路镜像网络审计分析针对协议:明文协议(TELNET/FTP/HTTP等)问题:1.密文协议(SSH/
5、RDP等)2.细粒度授权3.审计信息不可读(实名、信息量),5.当前技术旁路审计,分析仪/审计仪,镜像监听,目前技术:集中式网络管理(先登录管理作业服务器,然后转换身份再对相关服务器进行维护。属于多用户单帐号管理方式)问题:1.多用户共享root帐号,权限划分不明,所有人员都具有最高的ROOT权限。2.无法跟踪某个管理员的确切操作。3.依靠各自服务器的日志信息,审计信息不可读。,5.当前技术集中登录,萨班斯.奥克斯利法案(Sarbanes-Oxley)内部控制规范,6.政策背景,一、公司简介二、背景分析三、产品理念四、产品功能五、产品特色六、部署,目 录,19,1.管理方式,集中登录、操作代理
6、,2.管理目标,3.身份授权分离,系统帐号,=,身份认证,系统授权,+,主帐号,身份认证,+,从帐号,系统授权,+,一、公司简介二、背景分析三、产品理念四、产品功能五、产品特色六、部署,目 录,集中帐号管理集中认证集中授权集中访问控制集中安全审计,1.集中管理平台,支持指令终端的常见协议SSH、TELNET、RLOGIN、FTP,2.指令终端代理,策略中配置禁止该操作员使用kill等危险命令,显示禁用提示信息,策略中配置禁止命令中不包含more命令,放行通过,得到正确执行结果,3.指令权限控制一,操作人员,more abc.file,killall apache,堡垒主机,目标服务器,3.指令
7、权限控制二,支持图形终端的常见协议RDP、VNC、XWINDOWS,4.图形终端代理,5.单点登录UNIX主机,统一的WEB单点登录方式,5.单点登录WINDOWS主机,统一的WEB单点登录方式,6.操作审计一,6.操作审计二,6.操作审计三,一、公司简介二、背景分析三、产品理念四、产品功能五、产品特色六、部署,目 录,管理员WEB方式管理用户WEB方式访问资源 用户登录堡垒主机后可以看到所有授权资源列表,访问资源时不用再输入帐号和密码,做到真正的单点登录。,1.统一的WEB方式,内部提供认证服务器组件,所有对资源的访问都是认证服务器提供的临时会话号,即使会话号被截获,也无法通过此会话号再次访
8、问资源,提高资源访问的安全性。,2.内含认证组件,方便的集成各种强认证方式证书认证智能卡认证短信认证人体特征认证(指纹、视网膜等)动态口令认证.,3.支持强认证方式,主机命令策略访问时间策略客户端地址策略访问锁定策略,4.易用的访问控制策略,可以灵活的按照各种查询条件进行查询统计,查询用户的行为,对于主机命令查询时,一次可以配置多条主机命令。查询统计的结果方便形成报表。,5.强大的查询统计,在4A项目中,放弃帐号、认证、授权的集中管理,可以只提供执行单元,完成基础访问控制和操作审计功能。在非4A项目中除提供基础的访问控制和操作审计功能外,还提供精简的帐号、认证、授权集中管理功能。,6.扩展和集成,一、公司简介二、背景分析三、产品理念四、产品功能五、产品特色六、部署,目 录,1.部署模型,41,谢谢!,提问与交流,
