[计算机]内控堡垒主机介绍ppt.ppt

产品技术介绍,www.xaT 西安趋势信息科技有限公司,内控堡垒主机,一、公司简介 二、背景分析 三、产品理念 四、产品功能 五、产品特色 六、部署,目 录,1. 技术和产品,业务范围,内控堡垒主机,终端安全管理,应用安全网关,一、公司简介 二、背景分析 三、产品理念 四、产品功能 五、产品特色 六、部署,目 录,随着网络安全威胁日益增多，单纯来自于外界的威胁变得有限，更多的、更严重的威胁来自于内部，或由内外勾结所产生的破坏。 企业生产数据面临被内部人员篡改、删除、窃取，主机被关机、设备配置被修改，导致企业生产停顿、商业资料泄露，给企业造成巨大的损失。,1. 威胁统计,数据库管理员,系统管理员,网络管理员,业务操作员,中心,各网点,分支机构,代维厂商,WINDOWS服务器,LINUX服务器,UNIX服务器,网络设备,被管设备,帐号交叉使用,多点登陆,由于信息化建设安全考虑不足，许多设备、主机和应用口令被随意散布，复杂的各类人员可以通过下面各种途径访问生产数据： 使用远程终端服务：例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口（CLI） 使用文件传输协议：例如FTP等 使用远程窗口和桌面：例如Windows的远程桌面（RDP），和Unix的Xwindow。 使用各种数据库客户端：例如各种数据库的client程序、ODBC、JDBC，以及多种其它数据库工具。,2. 服务器访问方式二,密码记忆 用户需要记忆许多用户名和密码用于登录各个系统，经常出现忘记密码的情况，有些管理直接使用相同的密码，缺乏统一的用户管理。 频繁登录和注销 管理不同的网络设备需要分别登录，操作繁琐。,3. 使用问题,4. 管理问题,帐号管理,认证管理,A,B,操作审计,D,授权管理,C,定义帐号密码 定期变更密码 密码强度控制 ,日志收集 日志分析 故障排查 事故追踪 ,建立帐号 修改帐号 删除帐号 ,分配帐号 修改帐号权限 防止越权访问 ,设备及服务器管理,4. 管理问题帐号管理,空闲帐号,相同帐号,弱口令帐号,僵尸帐号,共享帐号,空闲帐号,弱口令帐号,僵尸帐号,共享帐号,相同帐号,相同帐号,设备及服务器群,4. 管理问题帐号管理,空闲帐号,弱口令帐号,僵尸帐号,共享帐号,相同帐号,设备及服务器群,各系统独立认证 单一的静态口令认证 口令强度基本无限制,4. 管理问题认证管理,授权工作量大、繁琐 没有有效的访问控制手段 授权粒度粗，基本只到设备,4. 管理问题授权管理,4. 管理问题操作审计,关键业务系统数据被修改了，系统记录是admin改的，到底是谁用这个帐号改的？,这么多系统，查看命令这么复杂，我怎么去使用这些命令去查看？,业务数据被修改，从日志中查，一天的日志量有几百万，我该从什么地方开始看，他到底在什么时间修改业务数据的？,每个系统的日志都这么多，不知道他们之间有什么关系？,目前技术：旁路镜像网络审计分析 针对协议：明文协议（TELNET/FTP/HTTP等） 问题： 1.密文协议（SSH/RDP等） 2.细粒度授权 3.审计信息不可读（实名、信息量）,5. 当前技术旁路审计,分析仪/审计仪,镜像监听,目前技术：集中式网络管理（先登录管理作业服务器，然后转换身份再对相关服务器进行维护。属于多用户单帐号管理方式） 问题： 1.多用户共享root帐号，权限划分不明，所有人员都具有最高的ROOT权限。 2.无法跟踪某个管理员的确切操作。 3.依靠各自服务器的日志信息，审计信息不可读。,5. 当前技术集中登录,萨班斯.奥克斯利法案（Sarbanes-Oxley） 内部控制规范,6. 政策背景,一、公司简介 二、背景分析 三、产品理念 四、产品功能 五、产品特色 六、部署,目 录,19,1. 管理方式,集中登录、操作代理,2. 管理目标,3. 身份授权分离,系统帐号,=,身份认证,系统授权,+,主帐号,身份认证,+,从帐号,系统授权,+,一、公司简介 二、背景分析 三、产品理念 四、产品功能 五、产品特色 六、部署,目 录,集中帐号管理 集中认证 集中授权 集中访问控制 集中安全审计,1. 集中管理平台,支持指令终端的常见协议 SSH、TELNET、RLOGIN、FTP,2. 指令终端代理,策略中配置禁止该操作员使用kill等危险命令，显示禁用提示信息,策略中配置禁止命令中不包含more命令，放行通过，得到正确执行结果,3. 指令权限控制一,操作人员,more abc.file,killall apache,堡垒主机,目标服务器,3. 指令权限控制二,支持图形终端的常见协议 RDP、VNC、XWINDOWS,4. 图形终端代理,5. 单点登录UNIX主机,统一的WEB单点登录方式,5. 单点登录WINDOWS主机,统一的WEB单点登录方式,6. 操作审计一,6. 操作审计二,6. 操作审计三,一、公司简介 二、背景分析 三、产品理念 四、产品功能 五、产品特色 六、部署,目 录,管理员WEB方式管理 用户WEB方式访问资源 用户登录堡垒主机后可以看到所有授权资源列表，访问资源时不用再输入帐号和密码，做到真正的单点登录。,1. 统一的WEB方式,内部提供认证服务器组件，所有对资源的访问都是认证服务器提供的临时会话号，即使会话号被截获，也无法通过此会话号再次访问资源，提高资源访问的安全性。,2. 内含认证组件,方便的集成各种强认证方式 证书认证 智能卡认证 短信认证 人体特征认证（指纹、视网膜等） 动态口令认证 ,3. 支持强认证方式,主机命令策略 访问时间策略 客户端地址策略 访问锁定策略,4. 易用的访问控制策略,可以灵活的按照各种查询条件进行查询统计，查询用户的行为，对于主机命令查询时，一次可以配置多条主机命令。查询统计的结果方便形成报表。,5. 强大的查询统计,在4A项目中，放弃帐号、认证、授权的集中管理，可以只提供执行单元，完成基础访问控制和