LanSecS(堡垒主机)内控管理平台技术白皮书.doc

LanSecSLanSecS 堡垒主机 内控管理平台 堡垒主机 内控管理平台 技技 术术 白白 皮皮 书书 北京圣博润高新技术股份有限公司北京圣博润高新技术股份有限公司 20102010 年年 1111 月月 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 1 页 共 21 页 目录目录 1 1背景背景 3 3 1 1概述 3 1 2管理现状 3 1 2 1使用共享帐号的安全隐患 3 1 2 2密码策略无法有效执行 4 1 2 3授权不清晰 4 1 2 4访问控制策略不严格 4 1 2 5用户操作无法有效审计 4 1 3问题分析 4 2 2设计理念设计理念 5 5 2 1集中管理模式 5 2 2协议代理 6 2 3身份授权分离 6 3 3产品概述产品概述 7 7 3 1产品综述 7 3 2产品组成 7 3 3产品功能 8 3 3 1单点登录 8 3 3 2账户管理 8 3 3 3身份认证 8 3 3 4资源授权 8 3 3 5访问控制 9 3 3 6操作审计 9 4 4关键技术关键技术 1010 4 1逻辑命令自动识别技术 10 4 2分布式处理技术 11 4 3正则表达式匹配技术 11 4 4RDP 协议代理 11 4 5多进程 线程与同步技术 11 4 6数据加密功能 11 4 7审计查询检索功能 12 4 8操作还原技术 12 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 2 页 共 21 页 5 5产品优势产品优势 1212 5 1良好的扩展性 12 5 2强大的审计功能 12 5 3部署和使用简单 13 5 4高度的安全性和成熟性 13 6 6主要应用主要应用 1313 6 1运维管理 13 6 2安全管理 13 7 7技术参数技术参数 1414 8 8产品部署产品部署 1616 8 1逻辑部署示意图 16 8 2物理部署示意图 16 8 3部署说明 18 9 9客户收益客户收益 1818 9 1实现集中帐号管理 降低管理费用 18 9 2实现集中身份认证和访问控制 避免冒名访问 提高访问安全性 18 9 3实现集中授权管理 简化授权流程 减轻管理压力 19 9 4实现单点登录 规范操作过程 简化操作流程 19 9 5实现实名运维审计 满足安全规范要求 20 1010 产品服务产品服务 2121 10 1售后服务 21 10 2技术支持 21 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 3 页 共 21 页 1 1 背景背景 1 11 1概述概述 随着信息技术的发展和信息化建设的进步 办公系统 商务平台的不断推 出和投入运行 信息系统在企业的运营中全面渗透 电信行业 财政 税务 公安 金融 电力 石油 大中企业和门户网站 更是使用数量较多的服务器 主机来运行关键业务 2002 年由美国总统布什签发的萨班斯法案 Sarbanes Oxley Act 开始生效 其 中要求企业的经营活动 企业管理 项目和投资等 都要有控制和审计手段 因此 管理人员需要有有效的技术手段和专业的技术工具和安全产品按照行业 的标准来做细粒度的管理 真正做到对于内部网络的严格管理 可以控制 限 制和追踪用户的行为 判定用户的行为是否对企业内部网络的安全运行带来威 胁 1 21 2管理现状管理现状 目前机构的运维管理有以下三个特点 关键的核心业务都部署于 Unix 和 Windows 服务器上 应用的复杂度决定了多种角色交叉管理 运行维护人员更多的依赖 Telnet SSH FTP RDP 等进行远程管理 基于这些现状 在管理中存在以下突出问题 1 2 11 2 1使用共享帐号的安全隐患使用共享帐号的安全隐患 企业的支撑系统中有大量的网络设备 主机系统和应用系统 分别属于不 同的部门和不同的业务系统 各应用系统都有一套独立的帐号体系 用户为了 方便登陆 经常出现多人共用帐号的情况 多人同时使用一个系统帐号在带来方便性的同时 导致用户身份唯一性无 法确定 如果其中任何一个人离职或者将帐号告诉其他无关人员 会使这个帐 号的安全无法保证 由于共享帐号是多人共同使用 发生问题后 无法准确定位恶意操作或误 操作的责任人 更改密码需要通知到每一个需要使用此帐号的人员 带来了密 码管理的复杂化 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 4 页 共 21 页 1 2 21 2 2密码策略无法有效执行密码策略无法有效执行 为了保证密码的安全性 安全管理员制定了严格的密码策略 比如密码要 定期修改 密码要保证足够的长度和复杂度等 但是由于管理的机器数量和帐 号数量太多 往往导致密码策略的实施流于形式 1 2 31 2 3授权不清晰授权不清晰 各系统分别管理所属的系统资源 为本系统的用户分配权限 无法严格按 照最小权限原则分配权限 另外 随着用户数量的增加 权限管理任务越来越 重 当维护人员同时对多个系统进行维护时 工作复杂度会成倍增加 安全性 无法得到充分保证 1 2 41 2 4访问控制策略不严格访问控制策略不严格 目前的管理中 没有一个清晰的访问控制列表 无法一目了然的看到什么 用户能够以何种身份访问哪些关键设备 同时缺少有效的技术手段来保证访问 控制策略被有效执行 1 2 51 2 5用户操作无法有效审计用户操作无法有效审计 各系统独立运行 维护和管理 所以各系统的审计也是相互独立的 每个 网络设备 每个主机系统分别进行审计 安全事故发生后需要排查各系统的日 志 但是往往日志找到了 也不能最终定位到行为人 另外各系统的日志记录能力各不相同 例如对于 Unix 系统来说 日志记录 就存在以下问题 Unix 系统中 用户在服务器上的操作有一个历史命令记录的文件 但 是用户可以随意更改和删除自己的记录 root 用户不仅仅可以修改自己的历史记录 还可以修改他人的历史记 录 系统本身的历史记录文件已经变的不可信 记录的命令数量有限制 无法记录操作人员 操作时间 操作结果等 1 31 3问题分析问题分析 对运维的管理现状进行分析 我们认为造成这种不安全现状的原因是多方 面的 总结起来主要有以下几点 各 IT 系统独立的帐户管理体系造成身份管理的换乱 而身份的唯一性 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 5 页 共 21 页 又恰恰是认证 授权 审计的依据和前提 因此身份的混乱实际上造成 设备访问的混乱 各 IT 系统独立管理 风险分散在各系统中 各个击破困难大 这种管 理方式造成业务管理和安全之间失衡 核心服务器或设备的物理安全和临机访问安全通过门禁系统和录像系统 得以较好的解决 但是对他们的网络访问缺少控制或欠缺控制力度 在帐号 密码 认证 授权 审计等各方面缺乏有效的集中管理技术手 段 因此 迫切要求企业内部规范管理 通过多种用户认证方式 不同的安全 操作权限 同一地点的不同资源的集中访问 简化操作流程 并满足 SOX 法案 中关于用户身份与访问管理的审计要求 通过控堡垒主机实现企业内部网络的 合理化 安全化 专业化 规范化 充分保障企业资源安全 2 2 设计理念设计理念 2 12 1集中管理集中管理模式模式 要解决核心资源的访问安全问题 我们首先从管理模式上进行分析 管理 模式是首要因素 管理是从一个很高的高度 综合考虑整体的情况 然后制定 出相应的解决策略 最后落实到技术实现上 管理解决的是面的问题 技术解 决的是点的问题 管理的模式决定了管理的高度 我们认为随着应用的发展 设备越来越多 维护人员也越来越多 我们必须由分散的管理模式逐步转变为 集中的管理模式 只有集中才能够实现统一管理 也只有集中才能把复杂问题简单化 集中 管理是运维管理思想发展的必然趋势 也是唯一的选择 集中管理包括 集中 的资源访问入口 集中帐号管理 集中授权管理 集中认证管理 集中审计管 理等等 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 6 页 共 21 页 2 22 2协议代理协议代理 为了对字符终端 图形终端操作行为进行审计和监控 堡垒主机对各种字 符终端和图形终端使用的协议进行代理 实现多平台的操作支持和审计 例如 Telnet SSH FTP Windows 平台的 RDP 远程桌面协议 Linux Unix 平台的 X Window 图形终端访问协议等 当运维机通过堡垒主机访问服务器时 首先由堡垒主机模拟成远程访问的 服务端 接受运维机的连接和通讯 并对其进行协议的还原 解析 记录 最 终获得运维机的操作行为 之后堡垒主机模拟运维机与真正的目标服务器建立 通讯并转发运维机发送的指令信息 从而实现对各种维护协议的代理转发过程 在通讯过程中 堡垒主机会记录各种指令信息 并根据策略对通信过程进行控 制 如发现违规操作 则不进行代理转发 并由堡垒主机反馈禁止执行的回显 提示 2 32 3身份授权分离身份授权分离 以前管理员依赖各 IT 系统上的系统帐号实线两部分功能 身份认证和系统 授权 但是因为共享帐号 弱口令帐号等问题存在 这两方面实现都存在漏洞 达不到预期的效果 解决的思路是将身份和授权分离 在堡垒主机上建立主帐号体系 用于身 份认证 原各 IT 系统上的系统帐号仅用于系统授权 这样可以有效增强身份认 证和系统授权的可靠性 从本质上解决帐号管理混乱问题 为认证 授权 审 计提供可靠的保障 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 7 页 共 21 页 3 3 产品概述产品概述 3 13 1产品综述产品综述 内控堡垒主机是一种被加固的可以防御进攻的计算机 具备坚强的安全防 护能力 内控堡垒主机扮演着看门者的职责 所有对网络设备和服务器的请求 都要从这扇大门经过 因此内控堡垒主机能够拦截非法访问和恶意攻击 对不 合法命令进行阻断 过滤掉所有对目标设备的非法访问行为 LanSecS 堡垒主机 内控管理平台具体有强大的输入输出审计功能 不仅 能详细记录用户操作的每一条指令 而且能够通过回放的功能 将其动态的展 现出来 大大丰富了内控审计的功能 LanSecS 堡垒主机 内控管理平台自身 审计日志 可以极大增强审计信息的安全性 保证审计人员有据可查 LanSecS 堡垒主机 内控管理平台还具备图形终端审计功能 能够对多平 台的多种终端操作审计 例如 windows 平台的 RDP 形式图形终端操作 为了给系统管理员查看审计信息提供方便性 LanSecS 堡垒主机 内控管 理平台提供了审计查看检索功能 系统管理员可以通过多种查询条件查看审计 信息 总之 LanSecS 堡垒主机 内控管理平台能够极大的保护企业内部网络设 备及服务器资源的安全性 使得企业内部网络管理合理化和专业化 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 8 页 共 21 页 3 23 2产品组成产品组成 3 33 3产品功能产品功能 3 3 13 3 1单点登录单点登录 LanSecS 堡垒主机 内控管理平台提供了基于 B S 的单点登录系统 用 户通过一次登录系统后 就可以无需认证的访问包括被授权的多种基于 B S 的 应用系统 单点登录为具有多帐号的用户提供了方便快捷的访问途经 使用户 无需记忆多种 登录用户 ID 和口令 它通过向用户和客户提供对其个性化资源 的快捷访问提高 生产效率 同时 由于系统自身是采用强认证的系统 从而提 高了用户认证环节的安全性 单点登录可以实现和用户管理授权的无缝隙链接 通过对用户 角色 资 源和行为的授权 增加对资源的保护 和对用户行为的监控及审计 3 3 23 3 2账户管理账户管理 集中帐号管理包含对所有服务器 网络设备帐号的集中管理 帐号和资源 的 集中管理是集中授权 认证和审计的基础 集中帐号管理可以完成对帐号整 个生 命周期的监控和管理 而且还降低了企业管理大量用户帐号的难度和工作 量 同时 通过统一的管理还能够发现帐号中存在的安全隐患 并且制定统一 的 标准 的用户帐号安全策略 通过建立集中帐号管理 企业可以实现将帐号与具体的自然人相关联 通 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 9 页 共 21 页 过这种关联 可以实现多级的用户管理和细粒度的用户授权 而且 还可以实 现针对自然人的行为审计 以满足审计的需要 3 3 33 3 3身份认证身份认证 LanSecS 堡垒主机 内控管理平台为用户提供统一的认证接口 采用统一 的认证接口不但便于对用户认证的管理 而且能够采用更加安全的认证模式 提高认证的安全性和可靠性 集中身份认证提供静态密码 Windows NT 域 Windows Kerberos 双因素 一次性口令和生物特征等多种认证方式 而且系统具有灵活的定制接口 3 3 43 3 4资源授权资源授权 LanSecS 堡垒主机 内控管理平台系统提供统一的界面 对用户 角色及 行为和资源进行授权 以达到对权限的细粒度控制 最大限度保护用户资源的 安全 通过集中访问授权和访问控制可以对用户通过 B S 对服务器主机 网络 设备的访问进行审计 在集中访问授权里强调的 集中 是逻辑上的集中 而不是物理上的集中 即在各网络设备 服务器主机系统中可能拥有各自的权限管理功能 管理员也 由各自的归口管理部门委派 但是这些管理员在 LanSecS 堡垒主机 内控管理 平台系统上 可以对各自的管理对象进行授权 而不需要进入每一个被管理对 象才能授权 授权的对象包括用户 用户角色 资源和用户行为 系统不但能 够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权 对某 些应用还可以限制用户的操作 以及在什么时间进行操作等的细粒度授权 3 3 53 3 5访问控制访问控制 LanSecS 堡垒主机 内控管理平台系统能够提供细粒度的访问控制 最大 限度保护用户资源的安全 细粒度的命令策略是命令的集合 可以是一组可执 行命令 也可以是一组非可执行的命令 该命令集合用来分配给具体的用户 来限制其系统行为 管理员会根据其自身的角色为其指定相应的控制策略来限 定用户 访问控制策略是保护系统安全性的重要环节 制定良好的访问策略能够更 好的提高系统的安全性 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 10 页 共 21 页 3 3 63 3 6操作审计操作审计 操作审计管理主要审计操作人员的帐号使用 登录 资源访问 情况 资 源使用情况等 在各服务器主机 网络设备的访问日志记录都采用统一的帐号 资源进行标识后 操作审计能更好地对帐号的完整使用过程进行追踪 系统支持对如下协议进行审计 Telnet FTP SSH RDP Windows Terminal X windows VNC 等 LanSecS 堡垒主机 内控管理平台系统通过系统自身的用户认证系统 用 户授权系统 以及访问控制等详细记录整个会话过程中用户的全部行为日志 还可以将产生的日志传送给第三方 对于生成的日志支持丰富的查询和操作 支持按服务器方式进行查询 通过对特定服务器地址进行查询 可以发现该服务器上发生的命令和行为 支持按用户名方式进行查询 通过对用户名进行查询 可以发现该用户的所有行为 支持按登陆地址方式进行查询 通过对特定 IP 地址进行查询 可以发现该地址对应主机及其用户在服务 器上进行的所有操作 支持按照登陆时间进行查询 通过对登录时间进行查询 可以发现特定时间内登录服务器的用户及其进 行过的所有操作 支持对命令发生时间进行查询 可以通过对命令发生的时间进行查询 可以查询到特定时间段服务器上发 生过的所有行为 支持对命令名称进行查询 通过查询特定命令如 LS 可以查询到使用过该命令的所有用户及其使用的 时间等 支持上述六个查询条件的任意组合查询 如 可以查询 谁 用户名 什么时间登录 登录时间 服务器并在 什 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 11 页 共 21 页 么时间 命令发生时间 在 服务器 目标服务器 上执行过 什么操作 命令 支持对日志的备份操作处理 支持对日志的删除处理 4 4 关键技术关键技术 LanSecS 堡垒主机 内控管理平台采用系列先进技术 成功实现命令及图 形的捕获与控制 为服务器的安全运行提供了强有力的系统工具 4 14 1逻辑命令自动识别技术逻辑命令自动识别技术 LanSecS 堡垒主机 内控管理平台自动识别当前操作终端 对当前终端的 输入输出进行控制 组合输入输出流 自动识别逻辑语义命令 系统会根据输 入输出上下文 确定逻辑命令编辑过程 进而自动捕获出用户使用的逻辑命令 该项技术解决了逻辑命令自动捕获功能 在传统键盘捕获与控制领域取得新的 突破 可以更加准确的控制用户意图 该技术能自动识别命令状态和编辑状态以及私有工作状态 准确捕获逻辑 命令 4 24 2分布式处理技术分布式处理技术 LanSecS 堡垒主机 内控管理平台采用分布式处理架构进行处理 启用命 令捕获引擎机制 通过策略服务器完成策略审计 通过日志服务器存储操作审 计日志 并通过实时监视中心 实时察看用户在服务器上行为 这种分体式设计有利于策略的正确执行和操作记录日志的安全 同时 各 组件之间采用安全连接进行通信 防止策略和日志被篡改 各组件可以独立工 作 可以分布于不同的服务器上 亦可所有组件安装于一台服务器 4 34 3正则表达式匹配技术正则表达式匹配技术 LanSecS 堡垒主机 内控管理平台采用正则表达式匹配技术 将正则表达 式组合入树型可遗传策略结构 实现控制命令的自动匹配与控制 树型可遗传 策略适合现代企业事业架构 对于服务器的分层分级管理与控制提供了强大的 工具 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 12 页 共 21 页 4 44 4RDPRDP 协议代理协议代理 为了对图形终端操作行为进行审计和监控 LanSecS 堡垒主机 内控管理 平台对图形终端使用的协议进行代理 实现多平台的多种图形终端操作的审计 例如 Windows 平台的 RDP 方式图形终端操作 Linux Unix 平台的 XWindow 方 式图形终端操作 4 54 5多进程多进程 线程与同步技术线程与同步技术 LanSecS 堡垒主机 内控管理平台主体采用多进程 线程技术实现 利用 独特的通信和数据同步技术 准确控制程序行为 多进程 线程方式逻辑处理准 确 事务处理不会发生干扰 这有利于保证系统的稳定性 健壮性 4 64 6数据加密功能数据加密功能 LanSecS 堡垒主机 内控管理平台在处理用户数据时都采用相应的数据加 密技术来保护用户通信的安全性和数据的完整性 防止恶意用户截获和篡改数 据 充分保护用户在操作过程中不被恶意破坏 4 74 7审计查询检索功能审计查询检索功能 自从 萨班斯法案 的推出 企业内控得到了严格的审查 企业的内部审 计显得非常重要 LanSecS 堡垒主机 内控管理平台能够为企业内部网络提供完全的审计信 息 这些审计信息能够为企业追踪用户行为 判定用户行为等 能够还原出用 户的一些操作性为 传统审计关联到 IP 这本身是一个不确定的和不负责任的审计结果 因为 IP 信息不能够真实反应出真实的操作者是谁 从而企业内部网络出现问题不能 追踪用户 LanSecS 堡垒主机 内控管理平台能够对这些用户关联审计行为 就是说真正能够把每一次审计出的用户操作性为绑定到自然人身上 便于企业 内部网络管理追踪到个人 4 84 8操作还原技术操作还原技术 操作还原技术是指将用户在系统中的操作行为以真实的环境模拟显现出来 审计管理员可以根据操作还原技术还原出真实的操作 以判定问题出在哪里 LanSecS 堡垒主机 内控管理平台采用操作还原技术能够将用户的操作流 程自动地展现出来 能够监控用户的每一次行为 判定用户的行为是否对企业 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 13 页 共 21 页 内部网络安全性造成危害 5 5 产品优势产品优势 5 15 1良好的扩展性良好的扩展性 LanSecS 堡垒主机 内控管理平台产品从 4A 解决方案中抽象出来 提供 最便捷的 4A 项目集成方案 在程序结构上充分考虑到 4A 项目和非 4A 项目的 使用场景 以先进的体系结构 清晰合理的模块划分实现多种用户场景的适用 性 在 4A 项目中 LanSecS 堡垒主机 内控管理平台放弃帐号 认证 授权 的集中管理 只提供执行单元 完成访问控制和操作审计功能 在非 4A 项目 中将 4A 的一些理念融合到 LanSecS 堡垒主机 内控管理平台产品中 除提供 基础的访问控制和操作审计功能外 还提供精简的帐号 认证 授权集中管理 功能 5 25 2强大的审计功能强大的审计功能 精确记录用户操作时间 审计结果支持多种展现方式 让操作得以完整还原 审计结果可以录像回放 支持调节播放速度 并且回放过程中支持前后 拖拽 方便快速定位问题操作 方便的审计查询功能 能够一次查询多条指令 5 35 3部署和使用简单部署和使用简单 不需要在被管理设备上安装代理程序 不需要改变网络的物理拓扑结构 不影响被管理设备的运行 管理员和操作员都使用 WEB 方式操作 操作简单 5 45 4高度的安全性和高度的安全性和成熟性成熟性 LanSecS 堡垒主机 内控管理平台系统的开发研制中 我们采用成熟的 先进技术 对系统的关键技术在前期的工作中进行了大量实验和攻关及原型建 立 在已开发并经广泛测试的产品中 上述的关键技术问题已解决 而且 LanSecS 堡垒主机 内控管理平台系统所选取的硬件平台和软件平台 是具有 良好的技术支持和发展前途的成熟产品 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 14 页 共 21 页 系统运用了先进的加密 过滤 备份 数字签名与身份认证 权限管理等 安全手段 建立健全的系统安全机制 保证了用户的合法性和数据不被非法盗 取 从而保证产品的安全性 6 6 主要应用主要应用 6 16 1运维管理运维管理 LanSecS 堡垒主机 内控管理平台通过单点登陆进行集中的运维管理 将 全部设备集中管控 统一进行维护管理 通过集中账户管理解决运维管理人员 密码安全存储问题 统一管理维护人员密码口令 避免密码遗忘和泄露 通过 提供运维管理工具帮助管理员日常维护管理 快捷方便提供日常管理工具 通 过访问控制避免管理员误操作的发生 禁止使用危险命令 防止破坏性事件发 生 通过操作审计进行全称记录 并进行回放浏览 6 26 2安全管理安全管理 严重的攻击来自系统内部 80 来自内部攻击 LanSecS 堡垒主机 内 控管理平台针对各种途径服务器的访问方式进行监控 支持 telnet ftp ssh rdp xwindow 等 通过将服务器的常用端口关闭 阻止了其 他主机访问服务器 通过堡垒主机代理连接的方式 可以访问指定服务器 即 加强了服务器的安全 又不影响功能使用 但是 目前没有可靠办法保证系统管理员安全策略配置行为的有效性 合 法性以及一致性 一般都通过行政手段 让系统管理员记录安全策略配置过程 这有严重的安全隐患 LanSecS 堡垒主机 内控管理平台可以记录系统管理员 对网络边界安全设备的配置过程 保证安全策略的一致性 其生成的日志系统 可以比较方便的集成到企事业现有安全策略管理架构中 7 7 技术参数技术参数 LanSecS 堡垒主机 内控管理平台单点登录客户端支持 Windows 全系列产 品 支持常见数据库 支持常用连接工具 具体参数如下列表 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 15 页 共 21 页 CMD 窗口windows 运行中的 CMD 窗口 securityCRT常用的字符连接工具支持 telnet ssh 连接 winscp FTP SFTP 常用的 FTP 连接工具支持 FTP SFTP 连接 mstsc常用的主机图形访问工具支持 linux unix 图形连接 neterm常用的字符连接工具支持 telnet ssh 连接 ToadOracle 客户端管理工具 Golden 32Oracle 客户端管理工具 Sybase contralSybase 客户端管理工具 Weblogic consoleWeblogic 管理工具 PLsqlORACLE 常用客户端 winsql 常用数据库连接客户端支持 DB2 sysbase informix 等多种数据库连 接 dbaccess informix informix 自有数据库客户端 sqlserver2000sqlserver2000 查询分析器 sqlserver2005sqlserver2005 查询分析器 MysqlMysql 数据库管理器 LanSecS 堡垒主机 内控管理平台支持如下系列系统资源从账户同步 类别类别名称名称 windows server 2008 windows server 2003 windows server 2000 windows xp Windows 支持域模式 windows 2000 linux HP unix AIX IBM SCO Unix suse10 unix linux suse9 Oracle 9i Oracle 10g mysql sqlserver2000 sqlserver2005 数据库 informix LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 16 页 共 21 页 db2 sysbase 网络设备 支持 radius Cisco 华为 华三 juniper 安全设备Firewall SSL VPN IDS LanSecS 堡垒主机 内控管理平台包括多种协议代理 常用协议如下表 telnet ssh1 ssh2 RDP X11 VNC ftp 协议代理类型 Sftp 8 8 产品部署产品部署 8 18 1逻辑部署示意图逻辑部署示意图 LanSecS 堡垒主机 内控管理平台部署逻辑图 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 17 页 共 21 页 8 28 2物理部署示意图物理部署示意图 LanSecS 堡垒主机 内控管理平台支持多种部署方式 部署简单方便 实 用 能够很好的满足用户的要求 并根据用户实际规模 安全级别采用以下两 种部署方式 1 LanSecS 堡垒主机 内控管理平台典型部署示意图 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 18 页 共 21 页 2 LanSecS 堡垒主机 内控管理平台支持双机热备示意图 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 19 页 共 21 页 8 38 3部署说明部署说明 如图 LanSecS 堡垒主机 内控管理平台部署在被管服务器区的访问路径 上 通过防火墙或者交换机的访问控制策略限定只能由 LanSecS 堡垒主机 内 控管理平台直接访问服务器的远程维护端口 维护人员维护被管服务器或者网 络设备时 首先以 WEB 方式登录堡垒主机 然后通过堡垒主机上展现的访问 资源列表直接访问授权资源 9 9 客户收益客户收益 9 19 1实现集中帐号管理 降低管理费用实现集中帐号管理 降低管理费用 实现对用户帐号的统一管理和维护 在实现集中帐号管理前 每一个新上线应用系统均需要建立一套新的用户 帐号管理系统 并且分别由各自的管理员负责维护和管理 这种相对独立的帐 号管理系统不仅建设前期投入成本较高 而且后期管理维护成本也会成倍增加 而通过堡垒主机的集中帐号管理 可实现对 IT 系统所需的帐号基础信息 包括 用户身份信息 机构部门信息 其他公司相关信息 以及生命周期信息等 进 行标准化的管理 能够为各 IT 系统提供基础的用户信息源 通过统一用户信息 维护入口 保证各系统的用户帐号信息的唯一性和同步更新 解决用户帐号共享问题 主机 数据库 网络设备中存在大量的共享帐号 当发生安全事故时 难 于确定帐号的实际使用者 通过部署 LanSecS 堡垒主机 内控管理平台系统 可以解决共享帐号问题 解决帐号锁定问题 用户登录失败五次 应对帐号进行锁定 网络设备 主机 应用系统等大 都不支持帐号锁定功能 通过部署 LanSecS 堡垒主机 内控管理平台系统 可 以实现用户帐号锁定 一键删除等功能 9 29 2实现集中身份认证和访问控制 避免冒名访问 提高实现集中身份认证和访问控制 避免冒名访问 提高 访问安全性访问安全性 提供集中身份认证服务 实现用户访问 IT 系统的认证入口集中化和统一化 并实现高强度的认证方 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 20 页 共 21 页 式 使整个 IT 系统的登录和认证行为可控制及可管理 从而提升业务连续性和 系统安全性 实现用户密码管理 满足 SOX 法案内控管理的要求 多数企业对主机 网络设备 数据库的访问都是基于 用户名 静态密码 访问 密码长期不更换 密码重复尝试的次数也没有限制 这些都不能满足 SOX 法案内控管理的需求 仅通过制度要求用户在密码更换 密码设定等方面 满足 SOX 相关要求 无法在具体执行过程中对用户进行有效监督和检查 LanSecS 堡垒主机 内控管理平台系统通过建设集中的认证系统 并结合集中 帐号管理的相关功能 实现用户密码管理 密码自动变更 提高系统认证的安 全性 实现对用户的统一接入访问控制功能 部署堡垒主机前 维护人员接入 IT 系统进行维护操作具有接入方式多样 接入点分散的特点 而维护人员中很多是代维人员 这些代维人员来自于各集 成商或设备供应商 人员参差不齐 流动性大 由于维护人员对系统拥有过大 权限 缺乏对其进行访问控制和行为审计的手段 存在极大的安全隐患 LanSecS 堡垒主机 内控管理平台系统统一维护人员访问系统和设备的入口 提供访问控制功能 有效的解决运维人员的操作问题 降低相关 IT 系统的安全 风险 9 39 3实现集中授权管理 简化授权流程 减轻管理压力实现集中授权管理 简化授权流程 减轻管理压力 实现统一的授权管理 各应用系统分别管理所属的资源 并为本系统的用户分配权限 若没有集 中统一的资源授权管理平台 授权管理任务随着用户数量及应用系统数量的增 加越来越重 系统的安全性也无法得到充分保证 LanSecS 堡垒主机 内控管 理平台系统实现统一的授权管理 对所有被管应用系统的授权信息进行标准化 的管理 减轻管理员的管理工作 提升系统安全性 授权流程化管理 通过 LanSecS 堡垒主机 内控管理平台系统 管理层可容易地对用户权限 进行审查 并确保用户的权限中不能有不兼容职责 用户只能拥有与身份相符 的权限 授权也有相应的工作流审批 LanSecS 堡垒主机 内控管理平台技术白皮书 版权所有 圣博润 第 21 页 共 21 页 9 49 4实现单点登录 规范操作过程 简化操作流程实现单点登录 规范操作过程 简化操作流程 单点登录 LanSecS 堡垒主机 内控管理平台提供了基于 B S 的单点登录系统 用户 通过一次登录系统后 就可以无需认证的访问包括被授权的多