《lansecs内控管理平台产品交流》由会员分享,可在线阅读,更多相关《lansecs内控管理平台产品交流(47页珍藏版)》请在金锄头文库上搜索。
1、精细访控 事件追踪 LanSecS(堡垒主机)内控管理平台 技术交流,技术顾问 朱家卫,2010年8月,交流提纲,5,4,堡垒主机解决方案,3,现有解决方案,2,问题分析,1,IT运维现状,堡垒主机产品介绍,6,为何选择LanSecS,IT资产,资产用户,访问方式,各类人员可以通过下面各种途径访问IT资产: 使用远程终端服务:例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口(CLI) 使用文件传输协议:例如FTP等 使用远程窗口和桌面:例如Windows的远程桌面(RDP),和Unix的Xwindow。 使用各种数据库客户端:例如各种数据库的client程序、ODBC
2、、JDBC,以及多种其它数据库工具。,IT运维现状,管理工作,帐号管理,认证管理,A,B,操作审计,D,授权管理,C,定义帐号密码 定期变更密码 密码强度控制 ,日志收集 日志分析 故障排查 事故追踪 ,建立帐号 修改帐号 删除帐号 ,定义帐号权限 分配帐号 修改帐号权限 防止越权访问 ,设备及服务器管理,管理问题帐号管理,空闲帐号,弱口令帐号,僵尸帐号,共享帐号,相同帐号,设备及服务器群,管理问题认证管理,各系统独立认证 单一的静态口令认证 口令强度基本无限制,管理问题授权管理,授权工作量大、繁琐 没有有效的访问控制手段 授权粒度粗,基本只到设备,管理问题审计一,缺乏资源帐号管理的审计 缺乏
3、资源帐号分配给自然人的授权审计 缺乏用户登录登出系统的审计 缺乏用户对系统操作行为的审计,管理问题审计二,关键业务系统数据被修改了,系统记录是admin改的,到底是谁用这个帐号改的?,这么多系统,查看命令这么复杂,我怎么去使用这些命令去查看?,业务数据被修改,从日志中查,一天的日志量有几百万,我该从什么地方开始看,他到底在什么时间修改业务数据的?,每个系统的日志都这么多,不知道他们之间有什么关系?,当出现事故或安全问题时,无法对事故责任进行追踪定责。 无法对维护人员的作业行为进行监控。,多人共用系统帐号,进行维护作业 由于维护人员维护多个系统资源,常常为了方便将口令信息存放于文件之中 维护人员
4、通常使用高权限的帐号进行维护操作,对于某些用户来说该权限过于宽松 企业关键设备的登陆缺乏强认证手段。传统强认证手段实施困难 管理员误操作重现恢复困难。,管理问题小结,资产安全问题,多人共用系统帐号,帐号信息容易外泄,资产安全受到威胁 边界安全建设日趋完善,内部威胁未受重视,80%的问题与威胁来自于网络内部,终端防护类只解决了病毒、木马等,人为呢?或者操作失误呢? 企业生产数据面临被内部人员篡改、删除、窃取,主机被关机、设备配置被修改,导致企业生产停顿、商业资料泄露,给企业造成巨大的损失。,运维人员使用问题,密码记忆 用户需要记忆许多用户名和密码用于登录各个系统,经常出现忘记密码的情况,有些管理
5、直接使用相同的密码,缺乏统一的用户管理。 频繁登录和注销 管理不同的网络设备需要分别登录,操作繁琐。,合规性问题,据外电报道,已有多个消息来源证实,在美国东部时间6日下午,一名交易员在卖出股票时敲错了一个字母,将百万误打成十亿(million-billion),导致道琼斯指数突然出现近千点暴跌,误操作和技术问题可能是导致6日纽约股市暴跌的主要原因之一。针对出现多处异常波动现象,纽约证券交易所和纳斯达克股票市场已展开调查。 2010.5.7新闻,一个实例,集中登录,集中式网络管理(先登录管理作业服务器,然后转换身份再对相关服务器进行维护。属于多用户单帐号管理方式) 问题: 1.多用户共享root
6、帐号,权限划分不明,所有人员都具有最高的ROOT权限。 2.无法跟踪某个管理员的确切操作。 3.依靠各自服务器的日志信息,审计信息不可集中审计管理。,旁路审计,针对协议:明文协议(TELNET/FTP/HTTP等) 问题: 1.密文协议(SSH/RDP等) 2.细粒度授权 3.审计信息不可读(实名、信息量),分析仪/审计仪,镜像监听,解决问题思路,集中管理帐户 多系统统一帐户,集中认证 统一登录 安全认证,集中管理 授权细化 变更容易,集中审计 过程审计 易存储,易查询 可结构化输出,21,集中访问入口、操作审计,堡垒主机内控平台,建设目标,身份授权分离,系统帐号,=,身份认证,系统授权,+,
7、主帐号,身份认证,+,从帐号,系统授权,+,操作审计,集中审计 全程记录,操作过程审计 统一存储,统一查询 真实还原操作过程 多协议审计支持,产品架构,集中管理平台,集中帐号管理 集中认证 集中授权 集中访问控制 集中安全审计,字符终端代理,支持指令终端的常见协议 SSH、TELNET、RLOGIN、FTP,策略中配置禁止该操作员使用kill等危险命令,显示禁用提示信息,策略中配置禁止命令中不包含more命令,放行通过,得到正确执行结果,操作人员,more abc.file,killall apache,堡垒主机,目标服务器,字符权限控制一,字符权限控制二,图形终端代理,支持图形终端的常见协议
8、 RDP、VNC、XWINDOWS,统一的WEB单点登录方式,单点登录UNIX,统一的WEB单点登录方式,单点登录WINDOWS主机,操作审计一,操作审计二,操作审计三,操作审计操作过程回放,产品特色,流程管理 提供用户申请、权限申请、资源申请等管理流程 4a扩展 在4A项目中,帐号、认证、授权管理转移到4A,提供执行单元,完成基础访问控制和操作审计功能。 在非4A项目中除提供基础的访问控制和操作审计功能外,还提供精简的帐号、认证、授权集中管理功能。 内部权限控制灵活 策略配置灵活 时间、源设备、命令 安全会话 一次性会话密钥与连接 会话加密 高可用性与可靠性 支持外接存储 支持双机,分散审计
9、-综合安全审计,直接访问管理-集中访问控制网关,逐个系统的设置帐号策略-集中账号管理,逐个系统的认证登陆-单点登陆,逐个系统的认证安全建设-集中IAM方案,符合安全规范,提高访问安全,减轻管理压力,简化操作流程,降低管理成本,用户收益,堡垒主机基本部署,DMZ或设备中心,工作区,IT运维人员,IT运维人员,Internet,堡垒主机,产品规格,典型案例,中国人保 30多台类Unix主机(包括SCO Unix、RedHat Linux、Solaris、AIX等) 20多台Windows主机(操作系统为windows 2003/2000和少数XP) 60多台核心交换和路由器 北师大 航天长城 10
10、0多个被管资源,公司简介-圣博润,2000年成立与中关村科技园区 10年专业致力与信息安全软件产品开发、研究和服务 国内领先的信息安全产品和服务提供商 自主知识产权 总公司设在北京,在中国29个重要城市设有办事机构,拥有以北京和南京地区为支点的研发体系 ,在华东、华南、东北地区设有分公司 目前公司总人数为300人,研发和技术人员人数占员工总数近40% 近万家的成功案例 国内内网安全产品和服务综合厂商中唯一上市公司,公司简介-圣博润,公司于2009年2月18日在深交所新三板市场正式挂牌,股票代码为430046 是国内安全运维防护产品企业中唯一一家上市公司 公司技术具备创新性,管理规范 公司具备可持续发展能力,售后服务值得用户/合作伙伴信赖,圣博润公司成功上市,研发和技术人员,金融风险事业部,安全服务咨询,售后服务和800电话,行政、财务和后勤,销售团队和市场,创新能力突出 组织架构合理,高层管理团队,团队建设,高新技术企业证书,ISO9001:2000质量管理体系认证,软件产品认定,软件企业认定,软件著作权,交流提纲,5,4,堡垒主机解决方案,3,现有解决方案,2,问题分析,1,IT运维现状,堡垒主机产品介绍,6,为何选择LanSecS,谢谢!,
