网神SecFox-LAS-BH运维审计系统产品介绍-请使用此版本.ppt

网神SecFox-LAS-BH运维审计系统介绍,刘大地liud目录,一、需求背景二、现状分析三、产品理念四、功能介绍五、特色优势六、部署案例,1、IT资产膨胀,2、IT资产类型,从运维角度看服务器主机数据库主机路由设备交换设备安全设备专用系统,从应用途径看业务系统（BSS/证券等）支撑系统（如网管）OA系统财务系统人力资源系统客户服务系统CRM,3、IT资产使用者,管理员运维主管常驻维护人员外包服务人员外聘运维人员临时授权,一般用户普通用户领导财务、行政业务人员外来临时用户,4、资产访问方式,使用远程终端服务：例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口（CLI）。使用文件传输协议：例如FTP等。使用远程窗口和桌面：例如Windows的远程桌面（RDP），和Unix的Xwindow。使用各种数据库客户端：例如各种数据库的client程序、ODBC、JDBC，以及多种其它数据库工具。,5、资产的安全控制,DB管理员,系统管理员,网络管理员,业务操作员,Windows服务器,Unix服务器,安全设备,网络设备,IT资产,中心,分支机构,外聘人员,代维厂商,多人使用,多点登录,目录,一、需求背景二、现状分析三、产品理念四、功能介绍五、特色优势六、部署案例,1、用户不堪重负,多机分散操作多台设备，操作时来回切换。密码记忆用户需要记忆许多用户名和密码用于登录各个系统，经常出现忘记密码的情况，有些管理直接使用相同的密码，缺乏统一的用户管理。频繁登录和注销管理不同的网络设备需要分别登录，操作烦琐。内控安全企业生产数据面临被内部人员篡改、删除、窃取、主机被关机、设备配置被修改，导致企业生产停顿、商业资料泄露，给企业造成巨大的损失。,2、KVM管理方式,Keyboard+Video+Mouse账号口令依然难记登录切换烦琐没有控制和审计,3、集中式管理,方式：先登录管理作业服务器，然后转换身份再对相关服务器进行维护。属于多用户单帐号管理。问题：1.多用户共享root帐号，权限划分不明，所有人员都具有最高的ROOT权限。2.无法跟踪某个管理员的确切操作。3.依靠各自服务器的日志信息，审计信息不可读。,4、旁路审计的局限,1.密文协议（SSH/RDP等）2.细粒度授权和访问控制3.审计信息不可读（非实名、信息量大）,分析仪/审计仪,镜像监听,5、政策要求,萨班斯.奥克斯利法案（Sarbanes-Oxley）企业内部控制规范证券公司内部控制指引信息系统安全等级化保护基本要求二级以上,目录,一、需求背景二、现状分析三、产品理念四、功能介绍五、特色优势六、部署案例,1、什么是4A,2、4A的内容,帐号管理,认证管理,A1,A2,操作审计,A4,授权管理,A3,定义帐号密码定期变更密码密码强度控制.,日志收集日志分析故障排查事故追踪.,建立帐号修改帐号删除帐号.,定义帐号权限分配帐号修改帐号权限防止越权访问.,设备及服务器管理,3、身份和授权相分离,4、1A-Account统一帐号管理,空闲帐号,弱口令帐号,僵尸帐号,共享帐号,相同帐号,设备及服务器群,5、2A-Authentication集中认证,原先：各系统独立认证单一的静态口令认证口令强度基本无限制目标集中一处认证双因子认证，可以兼容各种认证方式口令强度监测、定期密码变更,6、3AAuthorization统一授权,原先：授权工作量大、繁琐没有有效的访问控制手段授权粒度粗，基本只到设备目标：统一授权管理，以主、从账号的关联实现授权命令级别的细粒度授权实时监控、命令拦截,7、4A-Audit综合审计,关键业务系统数据被修改了，系统记录是admin改的，到底是谁用这个帐号改的？,这么多系统，查看命令这么复杂，我怎么去使用这些命令去查看？,业务数据被修改，从日志中查，一天的日志量有几百万，我该从什么地方开始看，他到底在什么时间修改业务数据的？,每个系统的日志都这么多，不知道他们之间有什么关系？,8、4A-Audit综合审计,没有跨系统的综合审计：缺乏帐号分配审计缺乏用户使用相应帐号的授权审计缺乏用户登录登出系统的审计缺乏用户对系统访问行为审计综合审计：实名制堡垒机审计、数据库审计、日志审计可以统一展现账号分配的审计,9、解决方案,目录,一、需求背景二、现状分析三、产品理念四、功能介绍五、特色优势六、部署案例,1、统一账号,降低了记忆账号的负担,2、统一认证,增强了认证的安全性,3.1、授权和控制,策略中配置禁止该操作员使用kill等危险命令，显示禁用提示信息,策略中配置禁止命令中不包含more命令，放行通过，得到正确执行结果,操作人员,moreabc.file,killallapache,运维审计,目标服务器,3.2、禁止指令列表,4、常用协议审计,支持指令终端的常见协议SSH、TELNET、RLOGIN、FTP,5、图形审计,支持图形终端的常见协议RDP、VNC、XWINDOWS,6、单点登录,统一的WEB单点登录方式避免了频繁切换和登录登出的麻烦,7.1、综合审计,详细的审计列表，实名制查询方式、回放方式,7.2、详细审计列表,7.3、审计记录回放,操作过程回放,目录,一、需求背景二、现状分析三、产品理念四、功能介绍五、特色优势六、部署案例,1.1、内控堡垒机标准特色,物理旁路快速部署，不改变拓扑结构。（相比串行审计而言）实现账号、密码的统一管理。（相比传统集中管理而言）实现运维命令的实时审计和拦截控制。（相比传统的并行网络侦听审计而言）实现包括加密协议SSH、SFTP，图形协议RDP等在内的更全面的审计。（相比并行审计）,1.2运营商的最佳实践,严格按照中国移动通信企业标准QB-W-002-2005中国移动支撑系统集中账号管理、认证、授权与审计（4A）技术要求的要求开发完成。对于运营的实际需求满足充分，最多可管理省级运维网络达3000多台设备，性能卓越。,2、五大特色（独门秘技）,1、智能运维脚本：让运维自动化。2、管理终端安全检查：杜绝信息泄露。3、文件共享管理：把管理从操作拓展到内容4、组态报表，用户自定义报表：几百个常用报表模板5、智能负载均衡运维：网络资源占用进行智能化分配调度。,2.1智能运维脚本,对运维指令集，可以编写成脚本的形式，由堡垒机定时自动执行。代维人员或者厂家人员，如果需要授权他们操作设备，可以改为让他们提交操作脚本，由业主单位的管理人员审核后付诸实施。对于基层操作人员和实习人员，也可以改为提交脚本，由领导审核后提交运行。,2.2控制终端安全检查,单点登录系统保存着系统帐号并具有访问重要资源的网络权限，在使用单点登录前对使用者的终端做安全合规检查是排查安全隐患、降低安全风险的重要手段。支持使用单点登录前做安全合规检查，包括防病毒、补丁，并提供修复功能。通过禁止剪贴板功能、禁止本地磁盘映射增加单点登录的保密性，可以有效地防止信息泄露。,2.3共享文件管理,不仅能对资源进行运维，还可以管理服务器上的共享文件，可以通过堡垒主机向服务器上传下载文件，并能审计及备份文件。支持上传下载文件支持断点续传。,2.4组态报表，用户自定义的报表,预置了几百个常用报表模板。用户可以自定义XML报表模板，不需编程，不会影响系统稳定性。,2.5智能负载均衡技术,支持分布部署，支持在运维管理过程中，实现对运维管理的负载均衡。对当前的运维管理所需的网络资源占用进行智能化分配调度。,3、产品优势,统一的web管理方式。内含认证组件（radius）。可以集成各种强认证方式。访问方式控制采用策略形式，方便易用。大4A系统的核心部件，易于拓展到4A项目。,目录,一、需求背景二、现状分析三、产品理念四、功能介绍五、特色优势六、部署案例,1.部署优势,46,运维审计系统,2.1、旁路部署,管理员,内网区域,服务器群,运维审计,2.2、少量试用,管理员,内网区域,运维审计,服务器群,2.3、全部控制,管理员,内网区域,运维审计,服务器群,2.4、取消后门,管理员,内网区域,运维审计,服务器群,2.5、双机热备,管理员,内网区域,运维审计,服务器群,3、向大4A的拓展,52,堡垒主机也叫小4A，当：1、以上功能的管理对象从运维设备拓展到应用系统2、操作用户从网管员拓展到全员时。就成为完整4A（集中身份和访问管理）系统了！,运维审计系统,6、用户类型,交换机+路由器+服务器+DB+50台正准备购买KVM的正准备