收藏
下载资源

安全审计系统-堡垒机系列白皮书nsf-prod-sas-h-v5.6-wh-v2.3

上传人:简****9 文档编号:107017249 上传时间:2019-10-17 格式:PDF 页数:20 大小:1.04MB
返回 下载 相关 举报
安全审计系统-堡垒机系列白皮书nsf-prod-sas-h-v5.6-wh-v2.3_第1页
第1页 / 共20页
安全审计系统-堡垒机系列白皮书nsf-prod-sas-h-v5.6-wh-v2.3_第2页
第2页 / 共20页
安全审计系统-堡垒机系列白皮书nsf-prod-sas-h-v5.6-wh-v2.3_第3页
第3页 / 共20页
安全审计系统-堡垒机系列白皮书nsf-prod-sas-h-v5.6-wh-v2.3_第4页
第4页 / 共20页
安全审计系统-堡垒机系列白皮书nsf-prod-sas-h-v5.6-wh-v2.3_第5页
第5页 / 共20页
点击查看更多>>
资源描述

《安全审计系统-堡垒机系列白皮书nsf-prod-sas-h-v5.6-wh-v2.3》由会员分享,可在线阅读,更多相关《安全审计系统-堡垒机系列白皮书nsf-prod-sas-h-v5.6-wh-v2.3(20页珍藏版)》请在金锄头文库上搜索。

1、绿盟安全审计系统绿盟安全审计系统- -堡垒机堡垒机 产品白皮书产品白皮书 2013 绿盟科技绿盟科技 版权声明版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿绿 盟科技盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技绿盟科技的书面授权许可,不得以任何方 式复制或引用本文的任何片断。 - II - 目录目录 一. IT 安全运维管理的变革刻不容缓 1 二. 解决之道 . 3 2.1 目标 . 3 2.2 应用场景 . 3 2.2.2 管理员制定运维管理策略 . 6 2.2.3 普通用户访问目标设备 . 7 2.3 系统价值 .

2、 8 三. 系统介绍 . 9 3.1 系统功能 . 9 3.2 系统架构 . 10 四. 产品特性 . 11 4.1 集中的运维操作管控平台 . 11 4.2 跨平台无缝管理 . 11 4.3 多维度、细粒度的访问控制与授权 . 11 4.4 一站式管理 . 12 4.5 强大的应用扩展能力 . 13 4.6 灵活多样的登录方式 . 13 4.7 基于唯一身份标识的审计 . 14 4.8 全程运维行为审计 . 14 4.9 审计信息“零管理” . 15 4.10 强大丰富的管理能力 . 15 4.11 高可靠性保障 . 16 4.12 自身安全性保障 . 16 4.13 部署简单方便 . 16

3、 五. 结论. 16 - III - 插图索引插图索引 图 1.1 用户与账号的关系现状 . 1 图 2.1 核心思路 . 3 图 2.2 典型应用场景 . 4 图 2.3 管理员制定策略 . 6 图 2.4 普通用户访问目标设备 . 7 图 3.1 系统功能 . 9 图 3.2 系统架构 . 10 图 4.1 设备关联信息查询 . 12 图 4.2 主帐号关联查询 . 12 图 4.3 前置机架构示意图 . 13 绿盟安全审计系统绿盟安全审计系统-堡垒机产品白皮书堡垒机产品白皮书 2013 绿盟科技绿盟科技 密级:完全公开 - 1 - 一一. IT 安全运维管理的变革刻不容缓安全运维管理的变

4、革刻不容缓 随着信息化的发展,企事业单位 IT 系统不断发展,网络规模迅速扩大、设备数量激增, 建设重点逐步从网络平台建设,转向以深化应用、提升效益为特征的运行维护阶段, IT 系统 运维与安全管理正逐渐走向融合。信息系统的安全运行直接关系企业效益,构建一个强健的 IT 运维安全管理体系对企业信息化的发展至关重要,对运维的安全性提出了更高要求。 目前,面对日趋复杂的 IT 系统,不同背景的运维人员已给企业信息系统安全运行带来较 大潜在风险,主要表现在: 1. 账号管理无序,暗藏巨大风险 多个用户混用同一个账号 这种情况主要出现在同一工作组中,由于工作需要,同时系统管理账号唯一,因此只能 多用户

5、共享同一账号。不仅在发生安全事故时难以定位账号的实际使用者和责任人,而且无 法对账号的使用范围进行有效控制,存在较大安全隐患。 一个用户使用多个账号 目前,一个维护人员使用多个账号是较为普遍的情况,用户需要记忆多套口令同时在多 套主机系统、网络设备之间切换。如果设备数量达到几十甚至上百台时,维护人员进行一项 简单的配置需要分别逐一登录相关设备,其工作量和复杂度成倍增加,直接导致的后果是工 作效率低下、管理繁琐甚至出现误操作,影响系统正常运行。 图 1.1 用户与账号的关系现状 绿盟安全审计系统绿盟安全审计系统-堡垒机产品白皮书堡垒机产品白皮书 2013 绿盟科技绿盟科技 密级:完全公开 - 2

6、 - 2. 粗放式权限管理,安全性难以保证 大多数企事业单位的 IT 运维均采用设备、操作系统自身的授权系统,授权功能分散在各 设备和系统中。管理人员的权限大多是粗放式管理,由于缺少统一的运维操作授权策略,授 权粒度粗,无法基于最小权限分配原则管理用户权限,难以与业务管理要求相协调。因此, 出现运维人员权限过大、内部操作权限滥用等诸多问题,如果不及时解决,信息系统的安全 性难以充分保证。 3. 设备自身日志粒度粗,难以有效定位安全事件 在运维工作中,大多是通过各网络设备、操作系统的系统日志进行监控审计,但是由于 各系统自身审计日志分散、内容深浅不一,且无法根据业务要求制定统一审计策略;因此,

7、难以通过系统自身审计及时发现违规操作行为和追查取证。 4. 第三方代维人员带来安全隐患 目前, 越来越多的企业选择将非核心业务外包给设备商或代维公司, 在享受便利的同时, 由于代维人员流动性大、对操作行为缺少监控带来的风险日益凸显。因此,需要通过严格的 权限控制和操作行为审计,加强对代维人员的行为管理,从而达到消隐患、避风险的目的。 5. 传统网络安全审计系统已无法满足运维审计和管理的要求 无法审计运维加密协议、远程桌面内容 为了加强信息系统风险内控管理,一些企业已部署网络安全审计系统,希望达到对运维 人员操作行为监控的目的。由于传统网络安全审计的技术实现方式和系统架构(主要通过旁 路镜像或分

8、光方式,分析网络数据包进行审计),导致该系统只能对一些非加密的运维操作 协议进行审计,如 Telnet;而无法对维护人员经常使用的 SSH、RDP 等加密协议、远程桌面 等进行内容审计, 无法有效解决对运维人员操作行为的监管问题。 基于 IP 的审计,难以准确定位责任人 大多数网络安全审计系统, 只能审计到IP地址, 难以将IP地址与具体人员身份准确关联, 导致发生安全事故后,追查责任人成为新的难题。 6. 面临法规遵从的压力 为加强信息系统风险管理,政府、金融、运营商等陆续发布信息系统管理规范和要求, 如“信息系统等级保护”、“商业银行信息科技风险管理指引”、“企业内部控制基本规范” 等均要

9、求采取信息系统风险内控与审计,但其自身确没有有效的技术手段。 上述风险带来的运维安全风险和审计监管问题,已经成为企业信息系统安全运行的严重 隐患,制约业务发展,影响企业效益。企业 IT 运维安全管理的变革已刻不容缓! 绿盟安全审计系统绿盟安全审计系统-堡垒机产品白皮书堡垒机产品白皮书 2013 绿盟科技绿盟科技 密级:完全公开 - 3 - 二二. 解决之道解决之道 2.1 目标目标 绿盟安全审计系统-堡垒机系列(NSFOCUS SAS-H Series,以下简称堡垒机或 SAS-H) 提供一套先进的运维安全管控与审计解决方案,目标是帮助企业转变传统 IT 安全运维被动响 应的模式,建立面向用户

10、的集中、主动的运维安全管控模式,降低人为安全风险,满足合规 要求,保障企业效益。 绿盟堡垒机产品通过逻辑上将人与目标设备分离,建立“人-主账号(堡垒机用户账号) -授权-从账号(目标设备账号)-目标设备”的管理模式;在此模式下,通过基于唯一身份 标识的集中账号与访问控制策略 ,与各服务器、网络设备、安全设备、数据库服务器等无缝 连接,实现集中精细化运维操作管控与审计。 图 2.1 核心思路 2.2 应用场景应用场景 堡垒机的典型应用场景如下图所示: 绿盟安全审计系统绿盟安全审计系统-堡垒机产品白皮书堡垒机产品白皮书 2013 绿盟科技绿盟科技 密级:完全公开 - 4 - 图 2.2 典型应用场

11、景 管理对象 用户对象:管理员、运维人员、第三方代维人员等。 设备对象:服务器(Windows/Linux/UNIX)、网络设备、安全设备、数据库等。 管理范围 集中监控各种运维操作行为。 绿盟安全审计系统绿盟安全审计系统-堡垒机产品白皮书堡垒机产品白皮书 2013 绿盟科技绿盟科技 密级:完全公开 - 5 - 协议类型 SSH、Telnet、RDP、VNC、FTP、SFTP、HTTP、HTTPS 等。 应用类型 各类数据库客户端、浏览器、专有客户端工具等。 部署方式 堡垒机采用“物理旁路,逻辑串联”的部署思路,主要通过两步实现: 1) 通过配置交换机或目标设备的访问控制策略,只允许堡垒机的

12、IP 访问目标设备的运 维、管理服务。 2) 将堡垒机连接到对应交换机,确保所有维护人员到堡垒机 IP 可达。 达成效果 建立集中的运维操作监控平台,建立基于唯一身份标识的实名制管理,统一账号管 理策略,实现跨平台管理,消灭管理孤岛。 通过集中访问控制与授权,实现单点登录(SSO)和细粒度的命令级访问授权。 基于用户的审计,审计到人,实现从登录到退出的全程操作行为审计,满足合规管 理和审计要求。 下面分别从堡垒机的管理员和普通用户的角度,介绍实现流程与效果: 绿盟安全审计系统绿盟安全审计系统-堡垒机产品白皮书堡垒机产品白皮书 2013 绿盟科技绿盟科技 密级:完全公开 - 6 - 2.2.2

13、管理员制定运维管理策略管理员制定运维管理策略 图 2.3 管理员制定策略 1. 添加设备 管理员添加需要管理的设备。设备包括服务器、网络设备、安全设备、前置机、数据库 服务器等维护对象,支持编辑相关设备信息包括设备类型、所属部门、设备名称、IP 地址、 协议类型、应用程序等。 2. 添加从账号 管理员添加与设备对应的从账号(即设备的系统账号、数据库账号或 WEB 登录账号), 包括账号名、口令等;其中口令可由堡垒机定期自动更新。 3. 添加主账号 管理员添加主账号(即普通用户账号)。主账号是登录堡垒机,获取目标设备访问权的 唯一账号,与实际用户身份一一对应,每个用户一个主账号,每个主账号只属于

14、一个用户。 4. 建立主账号到设备的访问控制与审计策略 基于访问权限策略,管理员建立基于“时间+主账号+目标设备+从账号+权限+审计”等要 素的关联管理策略。 5. 管理员配置行为全程审计 绿盟安全审计系统绿盟安全审计系统-堡垒机产品白皮书堡垒机产品白皮书 2013 绿盟科技绿盟科技 密级:完全公开 - 7 - 堡垒机自动记录管理员的设备管理、账号管理和权限管理等所有行为日志,以便审计员 监控。 2.2.3 普通用户访问目标设备普通用户访问目标设备 普通用户登录堡垒机后,可以实现下述功能: 可修改堡垒机登录密码; 可集中访问各类已授权设备; 用户点击设备名称,无须再次输入密码,即可实现对各种设

15、备的登录。 具体实现流程如下: 图 2.4 普通用户访问目标设备 1. 登录请求 用户在终端通过 HTTPS 或第三方客户端工具登录堡垒机,输入主账号和口令,发起访问 请求。 2. 登录认证 堡垒机的认证模块对用户的认证请求进行鉴别。 3. 检查主账号访问权限 绿盟安全审计系统绿盟安全审计系统-堡垒机产品白皮书堡垒机产品白皮书 2013 绿盟科技绿盟科技 密级:完全公开 - 8 - 认证成功之后,堡垒机的权限管理模块通过分析主账号属性(包括可访问的目标设备、 访问权限、从账号、协议类型、应用程序等),确定主账号可访问的所有设备。 4. 显示可访问设备 直观地呈现出主账号可访问的所有目标设备。

16、5. 访问目标设备 用户选择需要访问的目标设备,进行操作维护。如果有违反访问控制策略的行为,堡垒 机基于策略将自动记录、阻断及电邮通知管理员。 6. 返回访问结果 堡垒机将用户访问目标设备的所有操作执行结果,返回到用户终端。 7. 用户访问行为全程审计 堡垒机全程审计用户“登录堡垒机-目标设备访问操作-退出系统”的所有行为。 2.3 系统价值系统价值 绿盟安全审计系统-堡垒机为企业带来的价值主要体现在: 管理效益管理效益 所有运维账号在一个平台上进行管理,账号管理更加简单有序; 通过建立用户与账号的唯一对应关系,确保用户拥有的权限是完成任务所需的最小 权限; 可视化运维行为监控,及时预警发现违规操作。 用户效益用户效益 运维人员只需记忆一个账号和口令, 一次登录, 便可实现对其所维护的多台设备的访问, 提高工作效率,降低工作复杂度。 企业效益企业效益 降低人为安全风险,避免安全损失,满足合规要求,保障企业效益。 绿盟安全审计系统绿盟安全审计系统

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号