收藏
下载资源

LanSecS(堡垒主机)内控管理平台技术白皮书

上传人:飞****9 文档编号:132215035 上传时间:2020-05-13 格式:DOC 页数:22 大小:502KB
返回 下载 相关 举报
LanSecS(堡垒主机)内控管理平台技术白皮书_第1页
第1页 / 共22页
LanSecS(堡垒主机)内控管理平台技术白皮书_第2页
第2页 / 共22页
LanSecS(堡垒主机)内控管理平台技术白皮书_第3页
第3页 / 共22页
LanSecS(堡垒主机)内控管理平台技术白皮书_第4页
第4页 / 共22页
LanSecS(堡垒主机)内控管理平台技术白皮书_第5页
第5页 / 共22页
点击查看更多>>
资源描述

《LanSecS(堡垒主机)内控管理平台技术白皮书》由会员分享,可在线阅读,更多相关《LanSecS(堡垒主机)内控管理平台技术白皮书(22页珍藏版)》请在金锄头文库上搜索。

1、LanSecSLanSecS 堡垒主机 内控管理平台 堡垒主机 内控管理平台 技技 术术 白白 皮皮 书书 北京圣博润高新技术股份有限公司北京圣博润高新技术股份有限公司 20102010 年年 1111 月月 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 1 页 共 21 页 目录目录 1 1背景背景 3 3 1 1概述 3 1 2管理现状 3 1 2 1使用共享帐号的安全隐患 3 1 2 2密码策略无法有效执行 4 1 2 3授权不清晰 4 1 2 4访问控制策略不严格 4 1 2 5用户操作无法有效审计 4 1 3问题分析 4 2 2设计理念设计理念 5 5 2

2、1集中管理模式 5 2 2协议代理 6 2 3身份授权分离 6 3 3产品概述产品概述 7 7 3 1产品综述 7 3 2产品组成 7 3 3产品功能 8 3 3 1单点登录 8 3 3 2账户管理 8 3 3 3身份认证 8 3 3 4资源授权 8 3 3 5访问控制 9 3 3 6操作审计 9 4 4关键技术关键技术 1010 4 1逻辑命令自动识别技术 10 4 2分布式处理技术 11 4 3正则表达式匹配技术 11 4 4RDP 协议代理 11 4 5多进程 线程与同步技术 11 4 6数据加密功能 11 4 7审计查询检索功能 12 4 8操作还原技术 12 LanSecS 堡垒主机

3、 内控管理平台技术白皮书 版权所有 圣博润 第 2 页 共 21 页 5 5产品优势产品优势 1212 5 1良好的扩展性 12 5 2强大的审计功能 12 5 3部署和使用简单 13 5 4高度的安全性和成熟性 13 6 6主要应用主要应用 1313 6 1运维管理 13 6 2安全管理 13 7 7技术参数技术参数 1414 8 8产品部署产品部署 1616 8 1逻辑部署示意图 16 8 2物理部署示意图 16 8 3部署说明 18 9 9客户收益客户收益 1818 9 1实现集中帐号管理 降低管理费用 18 9 2实现集中身份认证和访问控制 避免冒名访问 提高访问安全性 18 9 3实

4、现集中授权管理 简化授权流程 减轻管理压力 19 9 4实现单点登录 规范操作过程 简化操作流程 19 9 5实现实名运维审计 满足安全规范要求 20 1010 产品服务产品服务 2121 10 1售后服务 21 10 2技术支持 21 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 3 页 共 21 页 1 1 背景背景 1 11 1概述概述 随着信息技术的发展和信息化建设的进步 办公系统 商务平台的不断推 出和投入运行 信息系统在企业的运营中全面渗透 电信行业 财政 税务 公安 金融 电力 石油 大中企业和门户网站 更是使用数量较多的服务器 主机来运行关键业务 20

5、02 年由美国总统布什签发的萨班斯法案 Sarbanes Oxley Act 开始生效 其 中要求企业的经营活动 企业管理 项目和投资等 都要有控制和审计手段 因此 管理人员需要有有效的技术手段和专业的技术工具和安全产品按照行业 的标准来做细粒度的管理 真正做到对于内部网络的严格管理 可以控制 限 制和追踪用户的行为 判定用户的行为是否对企业内部网络的安全运行带来威 胁 1 21 2管理现状管理现状 目前机构的运维管理有以下三个特点 关键的核心业务都部署于 Unix 和 Windows 服务器上 应用的复杂度决定了多种角色交叉管理 运行维护人员更多的依赖 Telnet SSH FTP RDP

6、等进行远程管理 基于这些现状 在管理中存在以下突出问题 1 2 11 2 1使用共享帐号的安全隐患使用共享帐号的安全隐患 企业的支撑系统中有大量的网络设备 主机系统和应用系统 分别属于不 同的部门和不同的业务系统 各应用系统都有一套独立的帐号体系 用户为了 方便登陆 经常出现多人共用帐号的情况 多人同时使用一个系统帐号在带来方便性的同时 导致用户身份唯一性无 法确定 如果其中任何一个人离职或者将帐号告诉其他无关人员 会使这个帐 号的安全无法保证 由于共享帐号是多人共同使用 发生问题后 无法准确定位恶意操作或误 操作的责任人 更改密码需要通知到每一个需要使用此帐号的人员 带来了密 码管理的复杂化

7、 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 4 页 共 21 页 1 2 21 2 2密码策略无法有效执行密码策略无法有效执行 为了保证密码的安全性 安全管理员制定了严格的密码策略 比如密码要 定期修改 密码要保证足够的长度和复杂度等 但是由于管理的机器数量和帐 号数量太多 往往导致密码策略的实施流于形式 1 2 31 2 3授权不清晰授权不清晰 各系统分别管理所属的系统资源 为本系统的用户分配权限 无法严格按 照最小权限原则分配权限 另外 随着用户数量的增加 权限管理任务越来越 重 当维护人员同时对多个系统进行维护时 工作复杂度会成倍增加 安全性 无法得到充分保

8、证 1 2 41 2 4访问控制策略不严格访问控制策略不严格 目前的管理中 没有一个清晰的访问控制列表 无法一目了然的看到什么 用户能够以何种身份访问哪些关键设备 同时缺少有效的技术手段来保证访问 控制策略被有效执行 1 2 51 2 5用户操作无法有效审计用户操作无法有效审计 各系统独立运行 维护和管理 所以各系统的审计也是相互独立的 每个 网络设备 每个主机系统分别进行审计 安全事故发生后需要排查各系统的日 志 但是往往日志找到了 也不能最终定位到行为人 另外各系统的日志记录能力各不相同 例如对于 Unix 系统来说 日志记录 就存在以下问题 Unix 系统中 用户在服务器上的操作有一个历

9、史命令记录的文件 但 是用户可以随意更改和删除自己的记录 root 用户不仅仅可以修改自己的历史记录 还可以修改他人的历史记 录 系统本身的历史记录文件已经变的不可信 记录的命令数量有限制 无法记录操作人员 操作时间 操作结果等 1 31 3问题分析问题分析 对运维的管理现状进行分析 我们认为造成这种不安全现状的原因是多方 面的 总结起来主要有以下几点 各 IT 系统独立的帐户管理体系造成身份管理的换乱 而身份的唯一性 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 5 页 共 21 页 又恰恰是认证 授权 审计的依据和前提 因此身份的混乱实际上造成 设备访问的混乱 各

10、 IT 系统独立管理 风险分散在各系统中 各个击破困难大 这种管 理方式造成业务管理和安全之间失衡 核心服务器或设备的物理安全和临机访问安全通过门禁系统和录像系统 得以较好的解决 但是对他们的网络访问缺少控制或欠缺控制力度 在帐号 密码 认证 授权 审计等各方面缺乏有效的集中管理技术手 段 因此 迫切要求企业内部规范管理 通过多种用户认证方式 不同的安全 操作权限 同一地点的不同资源的集中访问 简化操作流程 并满足 SOX 法案 中关于用户身份与访问管理的审计要求 通过控堡垒主机实现企业内部网络的 合理化 安全化 专业化 规范化 充分保障企业资源安全 2 2 设计理念设计理念 2 12 1集中

11、管理集中管理模式模式 要解决核心资源的访问安全问题 我们首先从管理模式上进行分析 管理 模式是首要因素 管理是从一个很高的高度 综合考虑整体的情况 然后制定 出相应的解决策略 最后落实到技术实现上 管理解决的是面的问题 技术解 决的是点的问题 管理的模式决定了管理的高度 我们认为随着应用的发展 设备越来越多 维护人员也越来越多 我们必须由分散的管理模式逐步转变为 集中的管理模式 只有集中才能够实现统一管理 也只有集中才能把复杂问题简单化 集中 管理是运维管理思想发展的必然趋势 也是唯一的选择 集中管理包括 集中 的资源访问入口 集中帐号管理 集中授权管理 集中认证管理 集中审计管 理等等 La

12、nSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 6 页 共 21 页 2 22 2协议代理协议代理 为了对字符终端 图形终端操作行为进行审计和监控 堡垒主机对各种字 符终端和图形终端使用的协议进行代理 实现多平台的操作支持和审计 例如 Telnet SSH FTP Windows 平台的 RDP 远程桌面协议 Linux Unix 平台的 X Window 图形终端访问协议等 当运维机通过堡垒主机访问服务器时 首先由堡垒主机模拟成远程访问的 服务端 接受运维机的连接和通讯 并对其进行协议的还原 解析 记录 最 终获得运维机的操作行为 之后堡垒主机模拟运维机与真正的目标服务器

13、建立 通讯并转发运维机发送的指令信息 从而实现对各种维护协议的代理转发过程 在通讯过程中 堡垒主机会记录各种指令信息 并根据策略对通信过程进行控 制 如发现违规操作 则不进行代理转发 并由堡垒主机反馈禁止执行的回显 提示 2 32 3身份授权分离身份授权分离 以前管理员依赖各 IT 系统上的系统帐号实线两部分功能 身份认证和系统 授权 但是因为共享帐号 弱口令帐号等问题存在 这两方面实现都存在漏洞 达不到预期的效果 解决的思路是将身份和授权分离 在堡垒主机上建立主帐号体系 用于身 份认证 原各 IT 系统上的系统帐号仅用于系统授权 这样可以有效增强身份认 证和系统授权的可靠性 从本质上解决帐号

14、管理混乱问题 为认证 授权 审 计提供可靠的保障 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 7 页 共 21 页 3 3 产品概述产品概述 3 13 1产品综述产品综述 内控堡垒主机是一种被加固的可以防御进攻的计算机 具备坚强的安全防 护能力 内控堡垒主机扮演着看门者的职责 所有对网络设备和服务器的请求 都要从这扇大门经过 因此内控堡垒主机能够拦截非法访问和恶意攻击 对不 合法命令进行阻断 过滤掉所有对目标设备的非法访问行为 LanSecS 堡垒主机 内控管理平台具体有强大的输入输出审计功能 不仅 能详细记录用户操作的每一条指令 而且能够通过回放的功能 将其动态的

15、展 现出来 大大丰富了内控审计的功能 LanSecS 堡垒主机 内控管理平台自身 审计日志 可以极大增强审计信息的安全性 保证审计人员有据可查 LanSecS 堡垒主机 内控管理平台还具备图形终端审计功能 能够对多平 台的多种终端操作审计 例如 windows 平台的 RDP 形式图形终端操作 为了给系统管理员查看审计信息提供方便性 LanSecS 堡垒主机 内控管 理平台提供了审计查看检索功能 系统管理员可以通过多种查询条件查看审计 信息 总之 LanSecS 堡垒主机 内控管理平台能够极大的保护企业内部网络设 备及服务器资源的安全性 使得企业内部网络管理合理化和专业化 LanSecS 堡垒

16、主机 内控管理平台技术白皮书 版权所有 圣博润 第 8 页 共 21 页 3 23 2产品组成产品组成 3 33 3产品功能产品功能 3 3 13 3 1单点登录单点登录 LanSecS 堡垒主机 内控管理平台提供了基于 B S 的单点登录系统 用 户通过一次登录系统后 就可以无需认证的访问包括被授权的多种基于 B S 的 应用系统 单点登录为具有多帐号的用户提供了方便快捷的访问途经 使用户 无需记忆多种 登录用户 ID 和口令 它通过向用户和客户提供对其个性化资源 的快捷访问提高 生产效率 同时 由于系统自身是采用强认证的系统 从而提 高了用户认证环节的安全性 单点登录可以实现和用户管理授权的无缝隙链接 通过对用户 角色 资 源和行为的授权 增加对资源的保护 和对用户行为的监控及审计 3 3 23 3 2账户管理账户管理 集中帐号管理包含对所有服务器 网络设备帐号的集中管理 帐号和资源 的 集中管理是集中授权 认证和审计的基础 集中帐号管理可以完成对帐号整 个生 命周期的监控和管理 而且还降低了企业管理大量用户帐号的难度和工作 量 同时 通过统一的管理还能够发现帐号中存在的安全隐患

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 经营企划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号