UMA V200R001 方案介绍培训胶片

修订记录课程编码适用产品产品版本课程版本ISSUEHUAWEI

UMA运维行为审计V200R001C00SPC100及以后版本V2.0开发/优化者时间审核人开发类型（新开发/优化）李强2012-11-30王钦骞、吴俊杰新开发刘秀锋2013-06-08优化UMA运维行为审计

方案介绍目标学完本课程后，您将能够:描述UMA运维行为审计的定位和价值熟悉UMA运维行为审计的主要功能特性、应用场景熟悉UMA运维行为审计的系统架构、软硬件组成了解UMA运维行为审计的组网应用目录方案概述运维现状解决思路方案介绍应用场景组网应用企业运维现状多点接入，分散管理共享账号访问控制不严操作无法审计数据丢失、服务异常、责任失控多样的运维接入方式：RDP、VNC、Telnet、SSH、plsqlsqlplus、FTP、SFTP、Http、Https分散的多点登录方式，无法进行身份认证和授权控制。操作不规范，滥操作、误操作对系统破坏较大。

缺乏统一资源授权平台

缺乏统一运维接入管理资源和权限无法集中管理，越权事件时有发生；对高危操作无法监控和控制。缺乏集中统一的访问控制策略，各个系统访问控制自成一体。

共享帐号使用问题

无法进行操作行为的审计对用户操作行为无法记录。难于对故障进行精确定位和故障恢复出现了安全事故很难进行责任鉴定和事件追溯。企业IT运维问题分析海外上市企业国内主板上市企业VisaNet网络交易金融保险政府萨班斯法案ISO27001:2005信息系统

安全等级保护企业内部控制基本规范深市公司内部控制指引上市公司内部控制指引商业银行内部控制指引保险公司风险管理指引（试行）PCIDSS审计合规性需求解决思路---最低的运维操作风险明确身份清晰授权事前控制记录日志实时监控日志审计责任认定事中监控事后审计多维度运维审计流程权限管理是核心资产管理是手段账号管理是基础操作审计是保障集中管理是前提解决思路---综合的运维审计方案你做了什么？操作审计你能做什么？权限管理你能去哪？资产管理你是谁？账号管理解决思路---全面的运维协议支持图形终端运维审计字符终端运维审计数据库运维审计文件传输操作审计应用终端操作审计KVM终端操作审计可扩展的应用运维协议支持RDPX11VNCTelnetSSHFTPSFTPHTTPHTTPSOracleDB2SybaseSQLServerAvocentDSRHP’SAMIBM’SMITLinux’SetupRDP磁盘通道剪贴板AS400中间件InformixDSVIEWRARITAN安全设备|网络设备

|主机设备

|数据库服务器|应用系统覆盖了所有主流厂商的设备和系统解决思路---最小的用户结构影响HuaweiUMA外网运维人员合作伙伴代维厂商出差员工核心业务应用服务器网路设备内网运维人员旁路部署逻辑串联数据库部署策略通过配置交换机ACL访问控制策略，只允许HuaweiUMA的IP访问需要管理的设备通过HuaweiUMA的密码集中管理，屏蔽管理设备的登录密码信息部署原则

不安装任何客户端代理

不安装任何服务端引擎不影响现网拓扑结构不影响现网业务数据流华为统一运维审计支持单机部署、双机热备部署、集群部署、分级部署。目录方案概述方案介绍统一接入统一认证统一授权统一审计应用场景组网应用你做了什么你是谁？集中接入，实现单点登录密码托管，定期自动改密身份管理访问控制权限分配操作审计华为统一运维审计系统–方案总览UMA统一接入统一认证账号管理，实现用户实名多样认证，提供扩展接口三层授权，控制非法访问权限管理，实现主动防御统一授权操作记录，提供全面审计搜索定位，实现精确认定统一审计你能去哪？你能做什么？集中接入，实现单点登录统一接入统一认证统一授权统一审计运维审计系统-UMA通过访问控制，不同的运维人员拥有不同的资源访问列表Portal运维外包外网运维内网运维DataBaseServerNetwork功能---B/S运维平台统一接入统一认证统一授权统一审计提供统一的B/S运维操作平台，运维用户可以通过IE内核浏览器登录UMA统一运维平台，集中管理字符终端、图形终端、图形应用、文件传输等所有已授权资源。功能---C/S运维平台统一接入统一认证统一授权统一审计提供统一的C/S运维操作平台，用户可以通过SecureCRT、Putty等字符终端类远程管理客户端软件，直接登录字符终端运维平台，集中管理TELNET、SSH等字符终端；用户可以使用任何现有微软远程桌面客户端软件，直接登录图形终端、图形应用、KVM运维平台，集中管理VNC、RDP、X11、HTTPS、数据库、KVM等图形资源；用户可以使用任何现有FTP、SFTP客户端软件，直接登录文件传输平台，进行FTP，SFTP文件传输。密码托管，定期自动改密统一接入统一认证统一授权统一审计根据可自定义灵活的密码修改策略，实现密码的批量定期自动修改，修改后的结果可以以加密邮件方式发送给密码保管员，从而实现密码的集中管理，同时密码保管员也可以随时在系统的WEB界面打包备份设备的密码到本地，提高改密功能可用性。可灵活配置目标设备密码的修改策略功能---目标主机、帐号、密码管理统一接入统一认证统一授权统一审计账号管理，实现用户实名统一认证统一接入统一授权统一审计谁用了root？张三

zhangsanroot李四

lisiroot孙九

sunjiuroot王二

wangeradmin功能---网关用户、密码管理统一认证统一接入统一授权统一审计多样认证，提供扩展接口统一认证统一接入统一授权统一审计默认支持本地认证、Radius认证以及证书认证提供可扩展的认证方式Radius证书认证本地认证可扩展认证方式账户认证管理运维权限管理设备资源管理根据用户认证需求，提供快速认证接口开发三层授权，控制非法访问统一授权统一接入统一认证统一审计账号登录授权管理资源访问授权管理运维操作授权管理运维账号生命周期管理运维账号统一认证、授权、审计资源账号生命周期管理运维账号与资源账号的授权关联受控资源账号权限受控运维账号的命令集主动权限管理层层授权功能---资源权限分配统一授权统一接入统一认证统一审计可以在【设备组|设备|设备账号】和【用户|用户组】之间灵活授权功能---用户访问策略控制统一授权统一接入统一认证统一审计命令管理，控制高危操作统一授权统一接入统一认证统一审计UserAUserBUserC资源

A资源

B资源

C运维审计系统-UMA通过权限叠加方式实现授权最小化原则，对高危操作进行控制和告警Backupreboot权限策略表rootUserA功能---高危操作命令控制策略管理统一授权统一接入统一认证统一审计功能---高危操作主动拦截和告警统一授权统一接入统一认证统一审计操作记录，提供全面审计统一审计统一接入统一认证统一授权运维操作命令记录运维过程录像运维命令返回值实时运维操作记录Syslog上报记录机密存储运维实时监控运维命令分析静态命令、动态过程、返回值关联全方面的运维记录资料过程监控、永久保存、实时上报多维度的运维记录方式功能---精确、完整的安全审计统一审计统一接入统一认证统一授权功能---SYSLOG输出、日志转储统一审计统一接入统一认证统一授权功能---报表管理统一审计统一接入统一认证统一授权操作搜索，实现快速定位统一审计统一接入统一认证统一授权运维账号运维命令登录地址主机地址主机账号运维时间段海量运维日志快速定位多维度搜索，最短的时间内找到相关日志内容，实现快速定位4W目录方案概述方案介绍应用场景组网应用应用场景总览高效运维技术培训责任认定运维监控合规审计网管人员维护人员运维外包合作厂商技服人员…….运维用户业务服务器交换机防火墙安全网管数据库服务器………设备资源专对运维领域提供全生命周期的安全解决方案应用场景---高效的运维管理运维记录审计运维过程监控运维会同申请账号权限分配部署前：所有人员使用root账户运维分散接入，运维不可控通过定期修改密码来增强服务器安全性登录所有资产修改密码密码定期修改后必须知会所有人部署后：自然人对应分配权限的运维账号统一接入，有凭有据运维系统修改密码，邮件通知指定策略，运维系统定期修改符合规则密码密码集中管理，不影响运维工作运维操作实施应用场景---单点登录内网运维人员OA系统运维人员通过主身份ID登录后，可直接登录各目标系统，无需输入用户名和密码，运维人员也不再需要记住多个系统的帐号和口令，提高用户使用的便利性；运维人员不再会把各个系统设置相同的口令或简单口令，而是由单点登录系统给各个系统设置复杂的口令，提高帐号口令安全性；灵活定制帐号管理、权限分配的审批流程，提高管理规范性、高效性，有效避免权限滥用。邮件系统报销系统HR系统ERP系统UMA统一运维审计②①禁止直接访问！！应用场景---严格访问授权业务承载网网络管理员WindowsHP-UXAIXSolaris业务系统业务系统主机管理员认证授权服务器实现基于角色的授权，实现权限最小化，确保合法的人做合法的事安全网关实现网络层鉴权和访问控制，禁止内部幽灵帐号的访问，拒绝越权访问，有效避免安全事故安全网关实现基于网络层的访问控制，使用户不能绕过对应用系统进行操作①②③允许拒绝④UMA统一运维审计应用场景---降低高危操作风险部署前：使用root最高权限运维运维过程不可控运维质量无法衡量系统后门通过修改密码防止后续登录部署后：分配运维人员单独的运维账号（时间、会同）登录运维服务器需要会同批准运维服务器密码集中管理运维过程记留日志实时监控，高危阻断

操作界面发现异常操作行为，立即阻断应用场景---账号责任认定移动办公合作伙伴运维外包核心业务服务器Root帐号MickeHz_yangDw_wangEchoInternet内部人员监控审计部署前：所有人员使用root账户运维分散接入，运维不可控通过定期修改密码来增强服务器安全性登录所有资产修改密码密码定期修改后必须知会所有人部署后：自然人对应分配权限的运维账号统一接入，有凭有据运维系统修改密码，邮件通知指定策略，运维系统定期修改符合规则密码密码集中管理，不影响运维工作应用场景---满足合规审计要求第三方审计机构实时的运维日志Syslog上报防篡改的运维操作日志全流程的运维屏幕录像丰富的定制化报表导出应用场景---实时技术培训目录方案概述方案介绍应用场景组网应用产品介绍典型组网产品介绍HUAWEIUMA运维行为审计提供统一的运维操作入口，控制并记录用户进行的运维操作，支持以命令查看、视频回放等方式进行审计。UMA为软硬件一体销售，硬件分为只安装UMA的硬件、只安装Appbox的硬件、同时安装UMA和Appbox的硬件，硬件型号均为T3200G3V1R3（2U）。注：APPBOX，即应用发布中心，如需运维数据库、HTTP、HTTPS、第三方客户端等图形应用，则需要选配产品介绍-硬件组成UMAUMA标准版（UMA堡垒主机）CPU：1*4核内存：1*8G系统盘RAID1，数据RAID1或者R盘AID10