LanSecS(堡垒主机)内控管理平台产品交流.ppt

精细访控事件追踪LanSecS 堡垒主机 内控管理平台技术交流 技术顾问XXX 2010年8月 交流提纲 5 4 堡垒主机解决方案 3 现有解决方案 2 问题分析 1 IT运维现状 堡垒主机产品介绍 6 为何选择LanSecS 交流提纲 5 4 堡垒主机解决方案 3 现有解决方案 2 问题分析 1 IT运维现状 堡垒主机产品介绍 6 为何选择LanSecS IT资产 资产用户 访问方式 各类人员可以通过下面各种途径访问IT资产 使用远程终端服务 例如telnet rlogin rsh rexec ssh之上的命令行接口 CLI 使用文件传输协议 例如FTP等使用远程窗口和桌面 例如Windows的远程桌面 RDP 和Unix的Xwindow 使用各种数据库客户端 例如各种数据库的client程序 ODBC JDBC 以及多种其它数据库工具 IT运维现状 交流提纲 5 4 堡垒主机解决方案 3 现有解决方案 2 问题分析 1 IT运维现状 堡垒主机产品介绍 6 为何选择LanSecS 管理工作 帐号管理 认证管理 A B 操作审计 D 授权管理 C 定义帐号密码定期变更密码密码强度控制 日志收集日志分析故障排查事故追踪 建立帐号修改帐号删除帐号 定义帐号权限分配帐号修改帐号权限防止越权访问 设备及服务器管理 管理问题 帐号管理 空闲帐号 弱口令帐号 僵尸帐号 共享帐号 相同帐号 设备及服务器群 管理问题 认证管理 各系统独立认证单一的静态口令认证口令强度基本无限制 管理问题 授权管理 授权工作量大 繁琐没有有效的访问控制手段授权粒度粗 基本只到设备 管理问题 审计一 缺乏资源帐号管理的审计缺乏资源帐号分配给自然人的授权审计缺乏用户登录登出系统的审计缺乏用户对系统操作行为的审计 管理问题 审计二 关键业务系统数据被修改了 系统记录是admin改的 到底是谁用这个帐号改的 这么多系统 查看命令这么复杂 我怎么去使用这些命令去查看 业务数据被修改 从日志中查 一天的日志量有几百万 我该从什么地方开始看 他到底在什么时间修改业务数据的 每个系统的日志都这么多 不知道他们之间有什么关系 当出现事故或安全问题时 无法对事故责任进行追踪定责 无法对维护人员的作业行为进行监控 多人共用系统帐号 进行维护作业由于维护人员维护多个系统资源 常常为了方便将口令信息存放于文件之中维护人员通常使用高权限的帐号进行维护操作 对于某些用户来说该权限过于宽松企业关键设备的登陆缺乏强认证手段 传统强认证手段实施困难管理员误操作重现恢复困难 管理问题小结 资产安全问题 多人共用系统帐号 帐号信息容易外泄 资产安全受到威胁边界安全建设日趋完善 内部威胁未受重视 80 的问题与威胁来自于网络内部 终端防护类只解决了病毒 木马等 人为呢 或者操作失误呢 企业生产数据面临被内部人员篡改 删除 窃取 主机被关机 设备配置被修改 导致企业生产停顿 商业资料泄露 给企业造成巨大的损失 运维人员使用问题 密码记忆用户需要记忆许多用户名和密码用于登录各个系统 经常出现忘记密码的情况 有些管理直接使用相同的密码 缺乏统一的用户管理 频繁登录和注销管理不同的网络设备需要分别登录 操作繁琐 合规性问题 据外电报道 已有多个消息来源证实 在美国东部时间6日下午 一名交易员在卖出股票时敲错了一个字母 将百万误打成十亿 million billion 导致道琼斯指数突然出现近千点暴跌 误操作和技术问题可能是导致6日纽约股市暴跌的主要原因之一 针对出现多处异常波动现象 纽约证券交易所和纳斯达克股票市场已展开调查 2010 5 7新闻 一个实例 交流提纲 5 4 堡垒主机解决方案 3 现有解决方案 2 问题分析 1 IT运维现状 堡垒主机产品介绍 6 为何选择LanSecS 集中登录 集中式网络管理 先登录管理作业服务器 然后转换身份再对相关服务器进行维护 属于多用户单帐号管理方式 问题 1 多用户共享root帐号 权限划分不明 所有人员都具有最高的ROOT权限 2 无法跟踪某个管理员的确切操作 3 依靠各自服务器的日志信息 审计信息不可集中审计管理 旁路审计 针对协议 明文协议 TELNET FTP HTTP等 问题 1 密文协议 SSH RDP等 2 细粒度授权3 审计信息不可读 实名 信息量 分析仪 审计仪 镜像监听 解决问题思路 集中登录解决了用户帐户管理问题 但用户权限更加不易控制 旁路审计解决了基本明文协议的审计 但密文协议及图形界面审计无法完成 集中管理帐户多系统统一帐户 集中认证统一登录安全认证 集中管理授权细化变更容易 集中审计过程审计易存储 易查询可结构化输出 交流提纲 5 4 堡垒主机解决方案 3 现有解决方案 2 问题分析 1 IT运维现状 堡垒主机产品介绍 6 为何选择LanSecS 25 集中访问入口 操作审计 堡垒主机内控平台 建设目标 身份授权分离 系统帐号 身份认证 系统授权 主帐号 身份认证 从帐号 系统授权 操作审计 集中审计全程记录 操作过程审计统一存储 统一查询真实还原操作过程多协议审计支持 交流提纲 5 4 实质性的解决方案 3 阶段性的解决方案 2 问题分析 1 IT运维现状 堡垒主机产品介绍 6 为何选择LanSecS 产品架构 集中管理平台 集中帐号管理集中认证集中授权集中访问控制集中安全审计 字符终端代理 支持指令终端的常见协议SSH TELNET RLOGIN FTP 策略中配置禁止该操作员使用kill等危险命令 显示禁用提示信息 策略中配置禁止命令中不包含more命令 放行通过 得到正确执行结果 操作人员 moreabc file killallapache 堡垒主机 目标服务器 字符权限控制一 字符权限控制二 图形终端代理 支持图形终端的常见协议RDP VNC XWINDOWS 统一的WEB单点登录方式 单点登录 UNIX 统一的WEB单点登录方式 单点登录 WINDOWS主机 操作审计一 操作审计二 操作审计三 操作审计 操作过程回放 产品特色 流程管理提供用户申请 权限申请 资源申请等管理流程4a扩展在4A项目中 帐号 认证 授权管理转移到4A 提供执行单元 完成基础访问控制和操作审计功能 在非4A项目中除提供基础的访问控制和操作审计功能外 还提供精简的帐号 认证 授权集中管理功能 内部权限控制灵活策略配置灵活时间 源设备 命令安全会话一次性会话密钥与连接会话加密高可用性与可靠性支持外接存储支持双机 分散审计 综合安全审计 直接访问管理 集中访问控制网关 逐个系统的设置帐号策略 集中账号管理 逐个系统的认证登陆 单点登陆 逐个系统的认证安全建设 集中IAM方案 符合安全规范 提高访问安全 减轻管理压力 简化操作流程 降低管理成本 用户收益 堡垒主机基本部署 DMZ或设备中心 工作区 IT运维人员 IT运维人员 Internet 堡垒主机 产品规格 典型案例 中国人保30多台类Unix主机 包括SCOUnix RedHatLinux Solaris AIX等 20多台Windows主机 操作系统为windows2003 2000和少数XP 60多台核心交换和路由器北师大航天长城100多个被管资源 交流提纲 5 4 堡垒主机解决方案 3 现有解决方案 2 问题分析 1 IT运维现状 堡垒主机产品介绍 6 为何选择LanSecS 公司简介 圣博润 2000年成立与中关村科技园区10年专业致力与信息安全软件产品开发 研究和服务国内领先的信息安全产品和服务提供商自主知识产权总公司设在北京 在中国29个重要城市设有办事机构 拥有以北京和南京地区为支点的研发体系 在华东 华南 东北地区设有分公司目前公司人数近200人 研发和技术人员人数占员工总数近40 近万家的成功案例国内内网安全产品和服务综合厂商中唯一上市公司 公司简介 圣博润 公司于2009年2月18日在深交所新三板市场正式挂牌 股票代码为430046是国内安全运维防护产品企业中唯一一家上市公司公司技术具备创新性 管理规范公司具备可持续发展能力 售后服务值得用户 合作伙伴信赖 圣博润公司成功上市 研发和技术人员 金融风险事业部