昕辰统一安全运维审计平台

1、昕辰统一安全运维审计系统解决方案目录昕辰4A平台解决的问题昕辰 4A管理平台介绍昕辰 4A产品功能展示 昕辰运维审计成功案例系统现状简介系统现状简介昕辰 4A管理平台解决的问题解决问题一：构建带外安全访问通道纯硬件切换，不受操作系统限制，支持多种平台。解决问题二：提供带外安全运维审计协助IT经理解决的难题多点登录、分散管理服务器资源解决问题三：解决多入口运维的现状传统运维模式的现状第三方厂家开发人员管理人员系统帐号现状：交叉异构、帐号共享解决问题四：IT运维口令管理账号策略管理、自动改密、双因素认证IT口令管理1.帐号管理2.密码定期 自动修改3.双因素认证设备管理内部用户外部用户资源设备权限

2、滥用恶意访问误操作权力限用系统管理员网管员安全管理员软件系统开发人员黑客代维厂商合作伙伴企业临时用户内部用户 来自企业内部的非法威胁高权限操作风险不透明违规操作导致敏感信息泄露误操作导致服务异常甚至宕机来自企业外部的非法威胁操作风险不可控黑客盗用帐号实施恶意攻击无法有效监管操作、必要取证/举证人为操作风险解决问题五：运维越权和违规操作解决问题六：运维无详细操作记录软件分发审计文件传输审计审计方向字符终端操作审计网络设备远程维护Unix类服务器远程维护Linux类服务器远程维护Unix类服务器远程桌面Linux类服务器远程桌面Windows服务器远程桌面数据库操作： 如Oracle、MySQLR

3、DP文件传输FTP文件传输SFTP文件传输ISO27001标准条款要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便为安全事件的调查和取证；条款要求组织必须记录系统管理和维护人员的操作行为； 条款明确要求必须保护组织的运行记录条款则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。信息安全等级保护SOX法案302节：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。404节：要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。 等级保

4、护（分级），要求：记录网络设备用户行为日志用户身份标识/鉴别用户角色/分配权限服务器操作系统审计数据库审计节：要求对用户进行身份标识和鉴别，根据用户的角色分配权限，实现权限分离，仅授予用户所需的最小权限；对主机的审计应覆盖到服务器操作系统和数据库系统；节节：审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；要求对日志进行分析，并生成审计报表；等。企业内控规范要求国内上市公司严格执行该规范要求，以加强和规范企业内部控制、提高企业经营管理水平和风险防范能力解决问题七：满足安全运维合规性检查显而易见的用户收益昕辰 4A管理平台介绍昕辰4A平台系统功能昕辰4A平台双机部署部署优势:1.

5、不加装客户端代理2.不加装服务器端引擎3.不影响网络拓扑4.不影响任何业务数据流5.支持双机热备WindowsHP_UnixAIXLinuxSolaris安全设备网络设备存储设备外网用户安全管理员昕辰 OMSA(主）内网用户昕辰 OMSA(备）21单点登录授权认证操作审计访问控制目标设备密码管理权限控制实时控制主要功能介绍 产品功能介绍支持协议支持UNIX和网络设备的SSH/SCP/SFTP加密协议支持RDP 、VNC支持主流商用数据库协议,包括ORACLE、Mysql 、SqlServer支持所有非加密的明文协议，例如TELNET、RLOGIN、FTP、HTTP、SMTP、POP3等等。支持

6、用户自定义协议产品功能介绍审计功能支持telnet/ssh/ftp/sftp命令分析、录相回放支持远程桌面录相及回放 支持HTTP页面截取支持配置文件审计，当系统配置文件发生变化时，自动告警支持越权登陆告警支持其它协议流存储支持实时审计，可以审计操作人员当前操作产品功能介绍应急处理功能为确保所有设备维护人员必须通过昕辰4A平台访问设备，通用做法之一就是将相应的设备账号口令进行修改，正确设备口令均存储在昕辰4A平台中，昕辰4A平台会定期的将所有设备或部分设备的账号名/口令进行备份并以邮件或其他方式发送加密信封给少数高权限管理员。应急方法:当昕辰4A平台出现短期无法恢复的宕机情况时，高权限管理员可

7、直接将响应设备账号/口令发送至普通访问人员手中以确保能够正常登陆设备完成业务。产品功能介绍认证功能支持USBKey一次性口令认证支持用户登陆来源和目标限制支持自动登陆和密码托管支持组管理模式双因素口令=+PIN令牌码LOGIN: 张三PASSCODE:Zs3a159759小 结操作管理统一化管理流程规范化操作风险最小化账号Account认证Authentication授权Authorization审计Audit操作管理统一化 数据库 管理人员开发人员 操作 代维人员服务器 统一认证统一授权统一审计网络设备 统一操作管理平台理念构建操作 管理流程规范化1.实时监控2.操作记录3.操作回放4.操作

8、搜索5.统计报表1.角色划分2.帐号管理3.密码管理4.权限管理5.访问控制1.帐号管理2.密码定期 自动修改人的管理操作管理设备管理规范管理流程的实行统一的管理平台操作风险最小化昕辰4A集 中 管 理 模 式你做了什么？你能做什么？你去哪？你是谁？访问控制管理帐号授权管理 资产帐号管理 统一身份管理 最小化操作风险来源于管理模式安全审计管理可用帐号？产品介绍部署方式堡垒主机方式部署 - 旁路接入，不改变网络拓扑结构，出故障时不会影响业务网关方式部署 - 支持透明部署方式和路由部署方式两种模式VPN拨入方式部署 - 系统旁路接入，不改变网络拓朴结构，出故障时不会影响业务 - 使用VPN方式拨入

9、审计系统带内部署方式IT系统管理员/兼职安全管理Unix/LinuxWindowsEnterprise Apps(ERP/CRM)Web应用 & Web Services服务器TelnetSSHRDPRloginFTPOracleSybaseOPT网络设备安全设备维护人员审计员业务流审计流OMSA堡垒主机审计数据控制台关键信息系统管控中心堡垒机部署方式拓朴图维护人员审计员业务流审计流审计数据控制台TelnetSSHRDPRloginFTPOracleSybaseOPT网关部署方式拓朴图管控中心IT系统管理员/兼职安全管理Unix/LinuxWindowsEnterprise Apps(ERP/

10、CRM)Web应用 & Web Services服务器网络设备安全设备关键信息系统OMSA带内部署方式维护人员审计员业务流审计流OMSA审计数据控制台管控中心VPN拨入TelnetSSHRDPRloginFTPOracleSybaseOPTVPN部署方式拓朴图IT系统管理员/兼职安全管理Unix/LinuxWindowsEnterprise Apps(ERP/CRM)Web应用 & Web Services服务器网络设备安全设备关键信息系统带内部署方式带内部署方式维护人员维护人员分支机房十分支机房分支机房一分支机房二审计员OMSA（网关模式） 管控中心控制台OMSA （.）OMSA （VPN

11、模式）OMSA（堡垒机模式）管控中心分布式混合部署、集中统一管理没有4A系统时的问题网络管理没有统一接入点，风险极高帐号重用，多次发生主机人为重启无法找到责任人帐号密码分布式管理，成本极高企业数据库面临数据被盗风险无法通过等级保护 用户收益解决没有统一接入点问题VPN接入控制保证用户必须使用统一接入点接入系统日志监控可以发现未经过接入系统的跨权登陆用户收益解决帐号共享问题堡垒机模式可以进行分帐号管理，共用系统帐号操作时可以用堡垒机登陆帐号进行审计内置一次性口令，共用同一帐号时可以使用USBKey进行区分审计可以限制帐号登陆来源地址，对帐号来源主机进行限制用户收益解决密码丢失问题4A系统内置一次

12、性口令系统，可以不在服务器安装客户端的情况下使用一次性口令进行认证可以进行帐号密码策略统一管理，对密码策略进行修改和强度的限制可以对认证来源和目标进行限制用户收益操作审计问题可以记录管理员登陆时间、地点及操作命令及全过程的录相通过USBKey将管理员和帐号进行绑定，杜绝管理员操作后否认可以实时查看管理员或第三方厂商登陆操作可以对用户操作以字符的方式进行全过程扫描搜索，找到问题点内置日志中心，可以分析出管理员跨过审计系统登陆的记录用户收益审计滞后问题 因为审计员工作繁忙，审计往往后发生滞后问题，比如有一个管理员修改了某个配置未件，但未重启系统，因此操作后未马上发生故障，过几个月因其它问题重启系统

13、时，系统重新读被修改错误的配置文件导致故障，但因几个月的时间未做审计，很难找到问题原因。 配置文件审计可以解决审计滞后的问题，当管理员修改配置文件后，4A系统的审计进程会及时发现，并且通知审计人员，审认人员可以及时查看审计记录，找到责任人。昕辰4A平台功能展示产品展示统一登录使用IE或Firefox直接浏览系统 IP地址 （不需要SSL，因为昕辰4A运维监管系统会在传输过程中，使用应用层控件进行加密），打开登录界面。产品展示SSH/TELNET操作回放产品展示命令识别产品展示远程桌面回放产品展示Oracle审计产品展示Web审计产品展示带外审计功能支持字符类telnet/ssh/ftp/sft

14、p命令分析支持图形类录像回放关键字过滤告警静默录制，优秀的用户体验产品展示动态密码输入动态密码只能使用一次，使用一次后就作废，下一次登陆，必须要等到15秒动态密码变更后才能登陆。系统对接 - VPN、防火墙等RADIUS设备对接通过在VPN上配置RADIUS认证即可，无需二次开发系统对接- Windows开机登录支持Windows XP/2003 支持Windows Vista/7/2008 R2 32系统对接- Linux开机登录二层密码登录，第一层静态密码，第二层动态密码支持PAM认证，各种Linux系统开机登录/Sudo验证/FTP/TELNET动态密码认证系统对接- 终端认证系统对接- Linux Sudo验证sudo 验证UDCS认证系统UDCS认证系统江西中行案例密码限制要求要求内容设置