信息化的發展使得企業對信息系統依賴性越來越強����,信息系統規模的不斷擴大和系統維護人員的日益增多����,不但帶來了賬號����、權限的管理問題����。同時��,運維人員的誤操作和違規操作引起的危害也越來越嚴重����。加強對運維人員操作行為的監管與審計是信息安全發展的必然趨勢����。
綠盟安全審計系統—堡壘機(以下簡稱NSFOCUS SAS-H)為企業用戶提供了一套先進的運維安全管控與審計解決方案����。NSFOCUS SAS-H通過集中的賬號管理���、運維操作訪問控制和全程運維操作審計����,幫助企業轉變傳統IT安全運維被動響應的模式����,建立面向用戶的集中����、主動的運維安全管控模式�,降低人為安全風險���,滿足合規要求��,為企業效益保駕護航��。
2.1 管理效益
?
所有運維賬號集中管理�、簡單有序
?
細粒度權限策略����,讓正確的人做正確的事
?
可視化運維行為監控��,違規操作及時預警
2.2 企業效益
? 消除管理盲點�,降低人為安全風險
? 節省企業運營成本
?
滿足政策合規要求
3.1 多維度���、細粒度的認證與授權體系
u
靈活的認證方式
綠盟堡壘機產品對主賬號的認證���,支持本地認證����、LDAP認證�、RADIUS認證��、USBkey認證等多種方式���,能夠根據用戶實際需求����,設置混合認證方式���,即不同主賬號采取不同的認證方式�,實現按需設置認證方式���。
u
多維度�、細粒度的訪問控制
綠盟堡壘機產品支持基于角色的訪問控制(RBAC ,Role-Based Access Control)���。管理員可按照時間����、部門��、職責和安全策略等維度����,設置細粒度權限策略���,讓正確的人做正確的事��,簡化授權管理����。
通過集中統一的訪問控制和細粒度的命令級授權策略����,確保用戶擁有的權限是完成任務所需的最小權限�。系統支持創建基于時間���、IP/IP段���、用戶/用戶組���、設備/設備組���、設備賬號�、命令關鍵字���、危險級別(分為高�、中���、低)等元素的組合條件��,授權用戶可訪問的目標設備����、定義高危操作監控策略���。當用戶越權執行特定命令的時候���,實時進行告警���、阻斷��,確保信息系統安全運行��。
u
金庫(雙認證)模式授權
綠盟堡壘機支持金庫(即雙認證)模式�,運維人員登錄關鍵服務器或執行高危命令時�,須有兩人均認證通過方可執行��,最大化地降低運維風險����。
u 登錄雙認證授權
運維人員試圖登錄重要��、關鍵服務器進行運維時����,首選輸入正確的認證口令來發起登錄請求��,管理員收到登錄請求后�,如果同意此次登錄請求��,則同樣需要輸入正確的認證口令����,運維人員方可成功登錄服務器���。
u 高危命令雙認證授權
運維人員在運維過程中����,試圖執行一些高危命令(如關閉服務器���、重啟服務器等命令)時����,同樣需要額外的授權���。針對不同的角色��,可設置允許����、授權�、警告或拒絕其執行高危命令���,即允許其執行�、管理員專門授權后方可執行����、警告過后方可執行��、拒絕執行����,以加強�、細化對高危命令的管控�。
3.2 數據庫操作圖形與命令行級雙層審計
綠盟堡壘機具備完善的數據庫運維審計功能��,能夠同時支持數據庫圖形方式操作審計與SQL語句命令級操作審計����;并支持SQL語句命令級審計日志與圖形方式審計日志根據時間點進行關聯查詢����,以方便用戶進行日志查詢��。
圖 3.1 數據庫操作圖形與命令行級雙層審計
3.3 一站式管理
綠盟堡壘機界面展示方式豐富而多樣�,智能關聯相關信息�,充分體現了人性化用戶界面設計的原則和思路����。
u 門戶式管理
綠盟堡壘機智能關聯設備�、主賬號���、訪問控制策略和審計信息����。
在【首頁-訪問設備】中以設備為基準���,可直接查詢���、編輯與該設備相關的訪問控制策略��,查詢有權限訪問該設備的主賬號以及該設備的審計信息�。
|
圖 3.2 設備關聯信息查詢
|
在【首頁-主帳號】中以主賬號為基準�,直接查詢���、編輯與該主賬號相關的訪問控制策略�,查詢該主賬號有權訪問的設備以及該主賬號的審計信息��。
圖 3.3 主帳號關聯查詢
門戶式管理極大地簡化了管理員對設備��、主帳號��、策略等的維護操作��,優化管理員體驗���、提高管理員工作效率����。
u 靈活的設備分組展示
綠盟堡壘機支持按照部門���、設備類型�、業務類型等不同的分組方式展示目標設備��;不同的用戶完全可以根據管理要求及使用習慣����,選擇不同的展示方式���。
3.4 自身安全性保障
u 綠盟堡壘機產品采用專門設計的安全���、可靠����、高效的硬件平臺���。該硬件平臺采用嚴格的設計和工藝標準����,保證高可靠性���;
u 獨特的硬件體系結構大大提升處理能力����;
u 操作系統經過優化和安全性處理���,保證系統的安全性����;
u 綠盟堡壘機產品支持熱插拔的冗余雙電源��,避免電源硬件故障時設備宕機�,具有更強的高可用性��;
u 綠盟堡壘機產品采用強加密的SSL傳輸控制命令��,完全避免可能存在的嗅探行為����,確保數據傳輸安全��。
u 跨平臺無縫管理
l
支持SSH���、RDP�、VNC��、SFTP����、Telnet�、FTP��、HTTP���、HTTPS��、X11�、KVM等多種協議類型
l
支持Oracle����、MS SQL Server����、IBM DB2����、Sybase��、IBM Informix Dynamic
Server����、MySQL�、PostgreSQL等數據庫
l
支持FreeBSD���、Solaris��、Red Hat Linux���、Windows等操作系統
l
支持Cisco���、HUAWEI等廠商的網絡設備
u 多維度訪問控制與授權
l 支持基于角色的訪問控制�,可按照時間�、部門���、職責和安全策略等維度�,設置細粒度權限策略���。
u 基于唯一身份標識的運維行為審計
l 支持用戶名/口令�、LDAP和RADIUS認證��、USB-KEY��、金庫模式等多種認證方式
l 支持SSH��、TELNET等字符型操作審計及FTP���、SFTP等文件傳輸操作審計
l 支持RDP��、VNC等圖形會話操作審計和各種主流數據庫的操作行為審計
u 審計信息“零管理”
l 支持日志自動維護計劃��,實現自動日志數據備份
l 提供多種審計日志查詢條件��,包括時間���、IP地址����、用戶名�、設備名�、關鍵字����、危險等級等
l 提供多種類別的報表���,可統計操作時長��、高危操作��、阻斷操作等信息
l 支持MS Word���、Html等格式的報表導出功能
l 支持syslog日志外發接口
NSFOCUS SAS-H主要應用于以下應用場景:
ü
應用場景一 IT運維/共享帳號的責任認定�;
ü
應用場景二 遠程接入辦公/服務平臺��;
ü
應用場景三 第三方審計機構對運維的審計�;
ü
應用場景四 企業整體應用交付��;
ü
應用場景五 數據庫敏感數據防范�;
ü
應用場景六 運營商4A方案
采用“物理旁路����,邏輯串聯”部署方式�,所有維護人員必須通過堡壘機才可訪問目標設備�,從而實現對運維人員的操作審計����。
