LanSecS(堡垒主机)内控管理平台产品交流(售前).ppt

精细访控 事件追踪 lansecs（堡垒主机）内控管理平台 技术交流 技术顾问 朱家卫 2010年8月 交流提纲 5 4 堡垒主机解决方案 3现有解决方案 2问题分析 1 it运维现状 堡垒主机产品介绍 6为何选择lansecs it资产 it运维角度 主机系统 数据库系统 网络设备 安全设备 专用系统 应用角度 oa系统 财务系统 人力系统 业务应用系统 客户服务系统 资产用户 资产的管理者 内部维护人员 常驻维护人员 临时维护人员 资产的使用者 行政人员 财务人员 业务人员 管理人员 外部用户 访问方式 n n 各类人员可以通过下面各种途径访问各类人员可以通过下面各种途径访问itit资产：资产： pp 使用远程终端服务：例如使用远程终端服务：例如telnettelnet、rloginrlogin、rshrsh、 rexecrexec、sshssh之上的命令行接口（之上的命令行接口（clicli） pp 使用文件传输协议：例如使用文件传输协议：例如ftpftp等等 pp 使用远程窗口和桌面：例如使用远程窗口和桌面：例如windowswindows的远程桌面（的远程桌面（ rdprdp），和），和unixunix的的xwindowxwindow。 pp 使用各种数据库客户端：例如各种数据库的使用各种数据库客户端：例如各种数据库的clientclient程程 序、序、odbcodbc、jdbcjdbc，以及多种其它数据库工具。，以及多种其它数据库工具。 it运维现状 n？用户管理 复杂性不可避 免？ n？资产安全性 又如何保证？ 管理工作 帐号管理帐号管理认证管理认证管理 ab 操作审计操作审计 d 授权管理授权管理 c 定义帐号密码定义帐号密码 定期变更密码定期变更密码 密码强度控制密码强度控制 日志收集日志收集 日志分析日志分析 故障排查故障排查 事故追踪事故追踪 建立建立帐号帐号 修改帐号修改帐号 删除帐号删除帐号 定义帐号权限定义帐号权限 分配帐号分配帐号 修改帐号权限修改帐号权限 防止越权访问防止越权访问 设备及服务器管理设备及服务器管理 管理问题帐号管理 空闲帐号 弱口令帐号 僵尸帐号 共享帐号 相同帐号 设备及服务器群 管理问题认证管理 n n 各系统独立认证各系统独立认证 n n 单一的静态口令认证单一的静态口令认证 n n 口令强度基本无限制口令强度基本无限制 管理问题授权管理 n n 授权工作量大、繁琐授权工作量大、繁琐 n n 没有有效的访问控制手段没有有效的访问控制手段 n n 授权粒度粗，基本只到设备授权粒度粗，基本只到设备 管理问题审计一 n n 缺乏资源帐号管理的审计缺乏资源帐号管理的审计 n n 缺乏资源帐号分配给自然人的授权审计缺乏资源帐号分配给自然人的授权审计 n n 缺乏用户登录登出系统的审计缺乏用户登录登出系统的审计 n n 缺乏用户对系统操作行为的审计缺乏用户对系统操作行为的审计 管理问题审计二 关键业务系统数据被修改 了，系统记录是admin改 的，到底是谁用这个帐号 改的？ 这么多系统，查看命令这 么复杂，我怎么去使用这 些命令去查看？ 业务数据被修改，从日 志中查，一天的日志量 有几百万，我该从什么 地方开始看，他到底在 什么时间修改业务数据 的？ 每个系统的日志都这么多 ，不知道他们之间有什么 关系？ 1.当出现事故或安全问题时，无法对事故责任进 行追踪定责。 2.无法对维护人员的作业行为进行监控。 1.多人共用系统帐号，进行维护作业 2.由于维护人员维护多个系统资源，常常为了方便将口 令信息存放于文件之中 3.维护人员通常使用高权限的帐号进行维护操作，对于 某些用户来说该权限过于宽松 4.企业关键设备的登陆缺乏强认证手段。传统强认证手 段实施困难 5.管理员误操作重现恢复困难。 管理问题小结 资产安全问题 n 多人共用系统帐号，帐号信息容易外泄，资产安全受到威 胁 n 边界安全建设日趋完善，内部威胁未受重视，80%的问题 与威胁来自于网络内部，终端防护类只解决了病毒、木马 等，人为呢？或者操作失误呢？ n 企业生产数据面临被内部人员篡改、删除、窃取，主机被 关机、设备配置被修改，导致企业生产停顿、商业资料泄 露，给企业造成巨大的损失。 运维人员使用问题 n n 密码密码记忆记忆 pp用户用户需要记忆许多用户名和密码用于登录各个系统，需要记忆许多用户名和密码用于登录各个系统， 经常出现忘记密码的情况，有些管理直接使用相同的经常出现忘记密码的情况，有些管理直接使用相同的 密码，缺乏统一的用户管理密码，缺乏统一的用户管理。 n n 频繁登录和注销频繁登录和注销 pp管理不同的网络设备需要分别登录，操作繁琐。管理不同的网络设备需要分别登录，操作繁琐。 合规性问题 萨班斯.奥克斯利法案（sarbanes-oxley） 公安部：信息系统安全等级保护基本要求（试用稿） 对数据安全的保护是安全等级保护关注的对象。 财政部、审计署、证监会、银监会、保监会企业内部控 制基本规范是内部控制审计的重要依据。 据外电报道，已有多个消息来源证实，在美国东部时间6日下午，一名交易员在卖出股票时敲错了一 个字母，将百万误打成十亿（million-billion），导致道琼斯指数突然出现近千点暴跌，误操作和技术 问题可能是导致6日纽约股市暴跌的主要原因之一。针对出现多处异常波动现象，纽约证券交易所和 纳斯达克股票市场已展开调查。 2010.5.7新闻 一个实例 集中登录 n 集中式网络管理（先登录管理作业服务器，然后转换身份再对相关服务器进行 维护。属于多用户单帐号管理方式） n 问题： 1.多用户共享root帐号，权限划分不明，所有人员都具有最高的root 权限。 2.无法跟踪某个管理员的确切操作。 3.依靠各自服务器的日志信息，审计信息不可集中审计管理。 旁路审计 n 针对协议：明文协议（telnet/ftp/http等） n 问题： 1.密文协议（ssh/rdp等） 2.细粒度授权 3.审计信息不可读（实名、信息量） xvzb 銐e 決;耂決塠hq 軴芠b/g纇錱 密文，无法 审计 ssh 分析仪/审计仪 镜像监听 解决问题思路 n现有解决 方案 n堡垒主机 解决方案 n帐户管 理 n认证管 理 n授权管 理 n操作审 计 n集中登 录 n旁路审 计 集中管理帐户 多系统统一帐户 集中认证 统一登录 安全认证 集中管理 授权细化 变更容易 集中审计 过程审计 易存储，易查询 可结构化输出 21 集中访问入口、操作审计 堡垒主机内控平台 建设目标 集中管理 帐号管理 唯一身份 认证管理 你是谁 授权管理 你能干什么 操作审计 你干了什么 身份授权分离 系统帐号 = 身份认证 系统授权 + 主帐号 身份认证 + 从帐号 系统授权 + 操作审计 n n 集中审计集中审计 n n 全程记录，操作过程审计全程记录，操作过程审计 n n 统一存储，统一查询统一存储，统一查询 n n 真实还原操作过程真实还原操作过程 n n 多协议审计支持多协议审计支持 产品架构 集中管理平台 n n集中帐号管理集中帐号管理 n n集中认证集中认证 n n集中授权集中授权 n n集中访问控制集中访问控制 n n集中安全审计集中安全审计 字符终端代理 n n支持指令终端的常见协议支持指令终端的常见协议 pp sshssh、telnettelnet、rloginrlogin、ftpftp 策略中配置禁止该操 作员使用kill等危险命令， 显示禁用提示信息 策略中配置禁止命令中不 包含more命令，放行通过，得 到正确执行结果 操作人员 more abc.file killall apache 堡垒主机目标服务器 字符权限控制一 字符权限控制二 图形终端代理 n n支持图形终端的常见协议支持图形终端的常见协议 pp rdprdp、vncvnc、xwindowsxwindows n n统一的统一的webweb单点登录方式单点登录方式 单点登录unix n n 统一的统一的webweb单点登录方式单点登录方式 单点登录windows主机 操作审计一 操作审计二 操作审计三 操作审计操作过程回放 产品特色 n 流程管理 p提供用户申请、权限申请、资源申请等管理流程 n 4a扩展 p在4a项目中，帐号、认证、授权管理转移到4a，提供执行单元，完成 基础访问控制和操作审计功能。 p在非4a项目中除提供基础的访问控制和操作审计功能外，还提供精简 的帐号、认证、授权集中管理功能。 n 内部权限控制灵活 n 策略配置灵活 p时间、源设备、命令 n 安全会话 p一次性会话密钥与连接 p会话加密 n 高可用性与可靠性 p支持外接存储 p支持双机 分散审计-综合安全审计 直接访问管理-集中访问控制网关 逐个系统的设置帐号策略-集中账号管理 逐个系统的认证登陆-单点登陆 逐个系统的认证安全建设-集中iam方案 符合安全规范符合安全规范 提高访问安全提高访问安全 减轻管理压力减轻管理压力 简化操作流程简化操作流程 降低管理成本降低管理成本 用户收益 堡垒主机基本部署 dmz或设备中心 工作区 it运维人员 it运维人员 internet 堡垒主机 产品规格 产品名称型号产品描述 lansecsnk501u硬件设备、最大能够管理50个资源数 lansecsnk100 1u硬件设备、最大能够管理100个资源数 lansecsnk200 2u硬件设备、最大能够管理200个资源数 lansecsnk500 2u硬件设备、最大能够管理500个资源数 典型案例 n n 中国人保中国人保 p 30多台类unix主机（包括sco unix、redhat linux 、solaris、aix等） p 20多台windows主机（操作系统为windows 2003/2000和少数xp） p 60多台核心交换和路由器 n n 北师大北师大 n n 航天长城航天长城 pp100100多个多个被管资源被管资源 公司简介-圣博润 n 2000年成立与中关村科技园区 n 10年专业致力与信息安全软件产品 开发、研究和服务 n 国内领先的信息安全产品和服务提 供商 n 自主知识产权 n 总公司设在北京，在中国29个重要 城市设有办事机构，拥有以北京和 南京地区为支点的研发体系 ，在华 东、华南、东北地区设有分公司 n 目前公司总人数为300人，研发和 技术人员人数占员工总数近40% n 近万家的成功案例 n 国内内网安全产品和服务综合厂商 中唯一上市公司 n公司人员增长示意图 n2000 n2003 n2006n2010 n3 n35 n90 n210 n2008 n150 公司简介-圣博润 n公司于2009年2月18日在深交所新三板市场正式挂牌，股票代码为430046 n是国内安全运维防护产品企业中唯一一家上市公司 n公司技术