安全运维管理

绿盟运维安全管理系统,NSFOCUSOperationSecurityManagementSystem,NSFOCUSOSMS,渠道建设培训材料,许德昭OSMS&SAS-H产品经理xudezhao,智慧运维安全成就所托,密级：完全公开,目录,背景介绍,产品介绍,解决之道,资质荣誉,案例分享,背景介绍,一,运维困境,人员身份混杂，无法识别访问权限混乱，无法管理操作行为隐秘，无法审计潜在威胁深藏，无法预防合规监管无力，无法应对,现有技术手段,无法审计SSH、RDP等加密的运维协议无法实现审计实名制无法阻断用户违规操作,无法实现基于用户的访问控制无法实现用户实名身份认证,无法实现细粒度的访问行为控制无法实现用户行为全程审计,现有手段,不足,专业的需求，需要专业的产品与解决方案,法规遵从,真实案例,解决之道,二,运维之道,物理旁路，逻辑串联，不改变现有网络拓扑支持IPv4/6双栈网络环境保留客户原有运维习惯，支持多种访问方式支持多角色权限划分自定义，满足客户实际组织结构管理需求,IDC机房应用场景,云环境应用场景,产品介绍,三,OSMS自我介绍,安全风险逐渐降低,管理水平不断提升,绿盟运维安全管理系统（堡垒机）以满足等级保护下身份鉴别、访问控制、安全审计等监管要求为核心，基于“账号、认证、授权和审计”4A管理理念，采用三权分立和最小访问权限原则，实现精准的事前识别、精细的事中控制和精确的事后审计，帮助企业转变传统IT安全运维被动响应的模式，建立面向用户的集中、主动的运维安全管控模式，降低人为安全风险，满足合规要求，保障企业效益。,硬件实体形态,虚拟化镜像形态,功能概述-事前识别,对自然人基于唯一身份标识的全局实名制管理，双因素身份鉴别技术有效解决身份冒用、混用和滥用等访问管理难题，有效满足合规监管要求。,基于最小权限访问原则确保用户拥有完成任务所需最小权限。信息资产访问权限管理可依据管理要求动态分配，信息资产安全管理责任落实到人,支持信息资产账号自动收集、批量验证和自动改密，及时发现托管设备中未纳管设备账号，以及异常设备账号。,基于人工管理之上，支持信息资产自动发现方式对管理环境中的设备进行纳管，有效防范高价值设备和特权访问行为未按规定进行管理。,集中设备管理,集中权限管理,主账号管理（人-用户）,从账号管理（设备账号）,功能概述-事中管控,支持办公室web界面和外出手机APP双通道方式对工单申请审批、设备登录授权审批和命令执行授权审批进行实时管控，使得管理员实时掌握核心重要设备的特权访问详情。,运维人员访问设备时支持特权命令密码自动代填。即运维人员输入sudo,super特权命令时可按配置代填特权密码，自动切换运维特权运维操作和普通运维操作权限,支持基于角色的访问控制（RBAC,Role-BasedAccessControl）。基于时间、IP、用户、设备、设备账号、命令关键字、危险级别等元素的组合条件。当用户越权执行特定命令的时候，实时进行告警、阻断，确保信息系统安全运行。并且对运维用户上下传文件、剪贴板复制粘贴、命令执行等细粒度权限均可有效管控。,支持从上到下的访问策略和从下到上的工单申请管控方式。即运维用户访问托管设备支持管理员配置访问策略指定访问，也可以运维用户主动向管理员申请访问权限。,细粒度权限控制,访问策略和工单申请,支持特权命令操作,权限审批双通道,会话实时查看,支持管理员对运维用户访问托管设备操作行为进行实时查看和监管，对违规操作会话可立即阻断。,金库模式,支持“一人操作一人审批”的管理模式。即运维用户访问和操作托管设备时，可运维用户申请操作后管理员审核操作的管理模式，有效防范越权操作。,功能概述-事后审计,以字符+录屏双层审计方式展示访问行为过程，相比传统字符审计效果更直观和易于理解。支持字符定位录屏播放、时间、账号等多因素搜索审计事件信息。,快速搜索审计事件,可完整审计运维人员通过账号“在什么时间登录什么设备、做什么操作、返回什么结果、什么时间登出”等行为，全面记录“运维人员从登录到退出”的整个过程，帮助管理人员及时发现权限滥用、违规操作，准确定位身份，以便追查取证。,全程运维行为审计,系统提供详细的多种类别的报表模板，可提供基于操作时长、高危操作、阻断操作等类别的用户操作TOP10。系统支持生成：日、周、月、年度综合报表，报表支持Word、Excel等格式导出，降低维护费用与管理员的工作强度。,审计日志零管理,安全威胁分析,支持对运维管理过程中因人员变更离职等原因导致无人管理设备（孤儿设备），无人使用的设备账号（孤儿账号）和植入的后门设备账号（幽灵账号）等威胁发现和安全提醒。,主账号管理,三权分立,系统缺省,管理层,执行层,管理员角色扩展,AD域用户同步,添加客户环境中已有的AD域控服务器,从客户域控服务器拉取用户信息建立账户,定期自动和域控服务进行用户信息同步,用户分权分域,设备分权,用户分权,用户审计分权,设备审计分权,身份认证,运维人员B,短信网关,本地数据库,本地CA,LDAP服务器,Radius服务器,持续扩展中,OTPAPP,用户认证策略,不可知因素,可知因素,主账号安全策略,支持异常账号登录行为识别,限制账号密码最低强度要求,静默会话自动断开,历史密码使用限制,支持自主可控OTP动态码验证,账号密码过期提醒和强制改密要求,异常登录账号锁定,设备管理,堡垒机,IP:10.10.70.25,IP:10.10.40.25,IP:10.10.50.25,IP:10.10.60.25,IP:10.10.10.1,IP:10.10.20.25,IP:10.10.30.25,孤儿设备,孤儿设备,从账号管理,单点登录,从账号安全策略,支持从账号密码强度和历史密码不重复限制，提高从账号密码安全性支持异常账号检测配置,设备账号自动改密和验证,支持自动和手动方式执行设备账号自动改密计划支持设备账号改密行为管理员审批管控支持定期验证托管设备账号密码有效性,设备运维,权限分配,通过策略和工单方式控制用户访问设备的权限从时间、IP地址、目标设备和设备账号权限等粗粒度控制对象从命令行为和运维管道进行阻断、告警等细粒度控制行为,堡垒机,从上往下的权限分配访问策略,从下往上的权限申请工单申请,权限审批,运维人员A,运维人员B,运维管理员S,运维管理员W,运维人员C,命令申请,登录授权,工单申请,1,工单审批,授权审批,2,设备运维,3,绿盟云,2,持续扩展中,工单审批,授权审批,访问权限分析,支持用户（自然人）视角分析设备访问权限支持设备视角分析用户访问权限支持分别从用户和设备视角创建和调整访问权限策略,安全审计,数据库双层审计,图形&SQL命令行双层审计，有效审计隐秘操作,支持多种关键字对图形和命令行日志进行检索,SQL命令快速定位行为操作，直观录像动态回放,日志管理,审计日志离线播放,审计日志支持离线异地备份图形审计日志支持离线播放，有效防范防篡改离线异地备份日志加密且私有格式保存,在线帮助文档,联动交互,绿盟云,BVS,NF,Restful接口,A接口,WEB接口,SSH接口,XX接口,ESPC,A接口,syslog接口,SNMP接口,VPN联动,1,2,本地数据库,Windows,交换机,linux,内网,外网,3,双机热备,支持同网段下双机热备秒级实现故障切换分钟级内实现数据自动同步,功能总结,混合认证,设备登录授权,命令执行授权,协议代理,设备自动添加,多种登录方式,静态路由,内置前置机,配置向导,数据库双层审计,自身高安全性,配置核查联动,站内消息,ESPC集中管理,密钥登录,跨平台支持,WEB调用客户端,密码管理,HA实时同步,审计权限划分,KVM支持,自动生成报表,字符运维审计,图形运维审计,文件传输审计,RemoteAPP,单点登录,命令阻断,一站式管理,告警管理,策略导出,设备导入导出,账号导入导出,信息批量修改,特权账号代填,批量运维,半自动登录,APP动态令牌,USBKey认证,特权账号改密,VPN联动,设备关怀服务,短信动态码,Syslog日志联动,SNMP,运维客户端登录,个性化参数,APP工单管理,APP运维审批,APP命令审批,孤儿账号,自动登录,用户分权,工单系统,设备分权,密钥登录,手动登录,命令执行审批,从账号巡检,串口安全管理,幽灵账号,孤儿设备,认证失败锁定,从账号安全策略,主账号安全策略,用户角色自定义,登录设备审批,Rest联动接口,审计参数配置,。,产品特点,市场需求量上升黑客关注度增加高危漏洞频繁爆出,资质荣誉,四,产品资质,绿盟科技堡垒机拥有各重点行业的准入资质,产品荣誉,2011年最值得推荐运维安全管控平台奖,2014年运维管理最佳产品奖,科技型中小企业技术创新基金,2009网管员最喜爱的安全审计产品奖,北京市自主创新产品,中关村科技园创新基金,中央国家机关政府集中采购协议供货产品北京市政府采购网络安全审计类协议供货产品北京市自主创新产品认定四川省国家保密局推荐产品黑龙江省国家保密局推荐产品,产品专利,产品专利,运维操作控制与审计技术相关专利,案例分享,1、典型部署方式2、金融部署案例3、政府部署案例4、成功案例合集5、产品演示排错,五,某金融单位案例,某银行单位有完整、明确的安全监管规范和流程，但业务响应速度特别慢，无法满足单位快速发展、高效响应的智慧银行建设需求。IDC管理单位采购两套堡垒机后通过编程接口联动银行单位业务平台，完整保留原有业务流程同时加强了IDC机房业务工作的审计能力，对IDC机房中2000多台业务服务器进行安全审计,某政府机构部署,绿盟安全中心,上级机关,机关审计主管,分管领导,分管领导,分管领导,堡垒机,某省政府积极响应“简政放权、有效提高办事效率”政策，将业务工作和审批流程下发到下级业务单位中，仅保留审计监管权限。上级机关不对外开展实际业务工作，对下级业务单位业务行为进行安全审计，对违规操作进行事后追责和责任认定。下属业务单位从单位A采购两套堡垒机试点成功后，其他业务单位逐步采购，逐步加入安全中心，逐步实现全省单位业务流程合规监管,下级业务单位,堡垒机,下级业务单位,业务领导,业务领导,下级业务单位,Internet,运营商安全服务外包,虚拟资源管理员,管理员为租户分发虚拟资源和服务,代维人员,安全专家为服务提供技术支持和保障,临时用户,业务用户,租户B,安全服务专家,安全资源池,对租户安全建设进行等保检查,租户设置安全访问规则和行为审计,对租户业务和服务进行维护管理,监管单位,安全管理平台统一下发安全策略进行管控审计,堡垒机,租户A,堡垒机,能源单位案例,某能源行业客户IT业务系统需要大量第三方运维人员管理维护，设备账号和人员权限管理存在严重安全风险。设备账号信息托管在堡垒机后，堡垒机自动发现托管设备中设备中存在的异常设备账号信息；访问策略方便梳理运维人员与设备之间的安全关系；安全审计有效解决运维事故追溯和定责等问题,成功案例合集,政府(涉密）,中华人民共和国财政部中国航天科工集团公司福建省公安厅中国船舶重工集团公司海军装备部安徽烟草电子科技集团54所安徽省公安厅四川省公安局吉林省机要厅国家环境保护部中航工业成都飞机设计研究所国家民委舆情中心,君龙人寿保险海通期货有限公司中国人民银行杭州中心支行武汉农村商业银行河南省银监局安徽省农村信用宁波东海银行中经商品交易中心有限公司四川省银监局中国银行厦门监管局南阳银行马来亚银行上海分行中国人民银行福州分行,中国电信河南分公司中国电信四川分公司中国电信西藏分公司中国电信广西分公司中国电信自贡分公司中国电信内蒙分公司中国联通湖北分公司中国联通安徽分公司中国联通北京分公司中国移动四川分公司中国移动贵州分公司中国移动通信集团浙江有限公司,中国石油天然气集团公司四川省电力公司重庆市电力公司福建核清核电有限公司中国石化河南油田分公司内蒙古东部电力有限公司京能集团财务有限公司中国南方电网有限责任公司中国国电集团公司厦门华夏国际电力田集发电厂华润电力江苏省电力公司,亿万豪剑桥有限公司南车长江车辆有限公司富基融通科技有限公司讯达网脉科技有限公司厦门港务集团冰川网络股份有限公司武汉地铁集团有限公司铁四院西藏之声甬易电子支付有限公司厦门日报上海优乐网络科技股份有限公司,金融,运营商,能源,其他行业,产品涉及政府、涉密、军工、运营商、能源、金融、互联网、企业等各个行业共计近万个案例,产品演示思路,需求调研,1、了解客户对堡垒机的需求，重点演示对应功能2、了解客户人员组织结构，推荐用户扁平化三权分立管理思路3、了解客户设备类型、设备账号密码和可远程访问的运维协议,产品配置,运维审计,排错思路,1、将用户信息录入堡垒机2、将设备信息录入堡垒机3、分配用户权限和访问策略4、配置java、Activex等插件参数,1、登录堡垒机，选择设备后运维2、管理员查看在线会话内容3、其他特色