(堡垒机)运维安全管理系统-产品介绍
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
事故责任相互推卸
满足政策法规
时间
法规
2001
《计算机信息系统安全保护等级划分准则》
2002
《商业银行内部控制指引》
2002-2004
《2002 Sarbanes-Oxley Act (Bilingual)》 《PCAOB Auditing Standard No.2》
2004-2005
《中国移动集团内控手册》 《中国移动业务支撑网安全域划分和边界整合技术规范》 《中国电信股份有限公司内部控制手册》 《中国网通集团信息质量问责管理若干规定》
功能概述
统一身份认证
资源账号管理
会话审批功能
会话过程回放
历史事件查询
事前规划
事中控制
事后审计
访问授权管理
实时监控功能
异常事件处理
综合审计报表
统一人员身份认证
用户体系
配 置 管 理 员
审 计 管 理 员
系 统 审 计 员
密 码 管 理 员
系 统 管 理 员
运 维 用 户
✓ 完善人员管理认证体系 ✓ 管理员身份三权分立,各施其职 ✓ 部门权限分级管理 ✓ 指定第三方运维人员使用期限,帐号
到期自动锁定 ✓ 支持静态口令、Radius、Ldap、
AD域等多种认证加强 ✓ 支持双因素认证,加强认证手段 ✓ 支持运维用户批量管理
统一资产管理
资产账号统一管理
支持资产账号信息托管,实现SSO单点 登录,无需再向用户提供账号密码
主机账号自动改密
支持资产账号密码自动改密,解决账号 信息管理难题,减轻运维管理工作量
运维安全管理系统 堡垒机
Part 2
应用背景
堡垒机是做什么的
你是谁?要找谁?
做了什么?
验证人员身份,控制访问权限 监控记录操作行为
网络中的安保与监控
为什么需要堡垒机
WEB
Web Server FTP Server Mail Server DMZ
Firewall VPN Gateway Remote User
Application Server Database Server
Mainframe
LAN
Internal User Internal User Internal User
现有管理手段与不足
✗ 无法实现命令级别的访问 控制,缺乏操作审计记录
✗ 无法验证人员身份,缺乏 操作审计记录
✗ 无法识别SSH、RDP等加密 或图形协议操作内容,缺 乏访问授权功能
从哪里?
可根据IP地址进行限制,只允许指定 的IP段进行访问
做什么?
细粒度的指令控制,只允许或不允许 用户使用特定的命令
审计记录查询与回放
时间
用户
IP地址
指令
窗口标题
操作内容记录
视频过程录像
检索条件、定位回放
✓ 完整视频与文本信息记录
✓ RDP窗口标题记录
✓ 图形操作分段截图
✓ 全字段检索、多条件组合检索、查 询模板
✓ 支持离线播放 ✓ 定位回放功能准确 ✓ 回放实时显示鼠标、键盘动作 ✓ 自动过滤空闲时间 ✓ 数据自动归档
运维统计报表
✓ 内置多种报表模版 ✓ 报表模板可自定义 ✓ 支持以日报、周报、月报的方
式自动生成周期性报表 ✓ 支持报表发送至指定邮箱
Part 5
产品优势
产品优势
稳定性
堡垒机的缔造者与领导者,10多年的技术 积累与产品优化,为用户提供最成熟、最 稳定、用户体验最佳的产品。
《中国网通集团内部控制体系建设指导意见》
2006
《银行业金融机构信息系统风险管理指引》 《商业银行合规风险管理指引》 《中国银行业监督委员会办公厅文件银监办通313号》 《保险公司内部审计指引(试行)》 《保险公司风险管理指引(试行)》
2006
《深圳证券交易所上市公司内部控制指引》 《上海证券交易所上市公司内部控制指引》
基于最小权限划分原则,实现集 中访问控制和细粒度命令级控制。
实现密码自动代填,运维用户无需知晓 服务器账号密码,登录一次即可访问所 有授权服务器。
审计实名制,对用户从登录到退出的 全程操作行为的监控和事后审计。
产品设计思路
统一运维访问通道
运维用户不再直接访 问服务器,先访问堡 垒机再进行跳转。
统一人员身份认证
为用户创建独立的运 维账号,人员账号一 一对应,有效辨别人 员身份。
统一资产管理
将网络中所有服务器 资源账号信息统一安 全管理,无需再对用 户提供账号信息。
统一访问授权
用户只能访问他有权 访问管理的服务器与 资源。
部署方式
采用物理旁路,逻辑串联的部署方式,不必更改现有的网络拓扑结构
支持类型
支持协议
✗ 无法捕捉用户完整访问过 程,只有系统自身的日志 信息
IT管理现状
系统账号共用 admin、root
加密协议无法审计 SSH、RDP
访问操作难控制 rm –rf、delete
存在隐患
用户身份无法鉴别 访问操作无法控制 误操作高危操作无预防
直接接触核心业务
核心数据易泄露 操作行为无法审计 运维事故无法还原
相关行业
政府行业 金融行业 美国上市的企业 (涉及多个行业)
电信行业
金融行业
中国上市的企业 (涉及多个行业)
Part 3
产品介绍
产品功能
身份 认证账号 管理堡垒机 Nhomakorabea访问
能做什么
控制
单点 登录
审计 记录
对用户登陆运维进行身份认证,鉴 别人员身份,实现责任定人。
实现对服务器、网络设备、数据库 及其帐号的统一集中安全管理。
安全性
精简的嵌入式Linux系统,非通用Linux发 型版目录树结构,底层加固处理,保障系 统安全性。在各大安全网站至今未爆出过 任何漏洞。
易用性
B/S架构管理,友好的UI设计,支持所有 主流浏览器与操作系统,提供多种登录方 式,C/S菜单与直连模式,支持各类客户 端的本地调用,最小的改变用户使用习惯。
字符协议 图形协议 文件传输 Web应用 数据库 应用发布
SSH
TELNET
RLOGIN TN5250 (AS400)
RDP VNC X11
FTP SFTP
HTTP HTTPS
Oracle
mysql sqlserve
r DB2
Sybase
VMware
Pcanywh ere
Radmin
Part 4
功能介绍
资产分组管理
资产支持批量导入及分组管理,可 根据主机组进行授权
细粒度的权限管理
独有的“账号-协议”绑定方式, 授权更为精细
统一访问授权
可限制访问时间,只允许用户在特定 时间内访问
什么时间?
限定访问对象,只允许用户访问他有 权访问的主机及账号
访问谁?
谁?
可根据每个运维账号单独进行授权, 用户只能访问已授权的主机
满足政策法规
时间
法规
2001
《计算机信息系统安全保护等级划分准则》
2002
《商业银行内部控制指引》
2002-2004
《2002 Sarbanes-Oxley Act (Bilingual)》 《PCAOB Auditing Standard No.2》
2004-2005
《中国移动集团内控手册》 《中国移动业务支撑网安全域划分和边界整合技术规范》 《中国电信股份有限公司内部控制手册》 《中国网通集团信息质量问责管理若干规定》
功能概述
统一身份认证
资源账号管理
会话审批功能
会话过程回放
历史事件查询
事前规划
事中控制
事后审计
访问授权管理
实时监控功能
异常事件处理
综合审计报表
统一人员身份认证
用户体系
配 置 管 理 员
审 计 管 理 员
系 统 审 计 员
密 码 管 理 员
系 统 管 理 员
运 维 用 户
✓ 完善人员管理认证体系 ✓ 管理员身份三权分立,各施其职 ✓ 部门权限分级管理 ✓ 指定第三方运维人员使用期限,帐号
到期自动锁定 ✓ 支持静态口令、Radius、Ldap、
AD域等多种认证加强 ✓ 支持双因素认证,加强认证手段 ✓ 支持运维用户批量管理
统一资产管理
资产账号统一管理
支持资产账号信息托管,实现SSO单点 登录,无需再向用户提供账号密码
主机账号自动改密
支持资产账号密码自动改密,解决账号 信息管理难题,减轻运维管理工作量
运维安全管理系统 堡垒机
Part 2
应用背景
堡垒机是做什么的
你是谁?要找谁?
做了什么?
验证人员身份,控制访问权限 监控记录操作行为
网络中的安保与监控
为什么需要堡垒机
WEB
Web Server FTP Server Mail Server DMZ
Firewall VPN Gateway Remote User
Application Server Database Server
Mainframe
LAN
Internal User Internal User Internal User
现有管理手段与不足
✗ 无法实现命令级别的访问 控制,缺乏操作审计记录
✗ 无法验证人员身份,缺乏 操作审计记录
✗ 无法识别SSH、RDP等加密 或图形协议操作内容,缺 乏访问授权功能
从哪里?
可根据IP地址进行限制,只允许指定 的IP段进行访问
做什么?
细粒度的指令控制,只允许或不允许 用户使用特定的命令
审计记录查询与回放
时间
用户
IP地址
指令
窗口标题
操作内容记录
视频过程录像
检索条件、定位回放
✓ 完整视频与文本信息记录
✓ RDP窗口标题记录
✓ 图形操作分段截图
✓ 全字段检索、多条件组合检索、查 询模板
✓ 支持离线播放 ✓ 定位回放功能准确 ✓ 回放实时显示鼠标、键盘动作 ✓ 自动过滤空闲时间 ✓ 数据自动归档
运维统计报表
✓ 内置多种报表模版 ✓ 报表模板可自定义 ✓ 支持以日报、周报、月报的方
式自动生成周期性报表 ✓ 支持报表发送至指定邮箱
Part 5
产品优势
产品优势
稳定性
堡垒机的缔造者与领导者,10多年的技术 积累与产品优化,为用户提供最成熟、最 稳定、用户体验最佳的产品。
《中国网通集团内部控制体系建设指导意见》
2006
《银行业金融机构信息系统风险管理指引》 《商业银行合规风险管理指引》 《中国银行业监督委员会办公厅文件银监办通313号》 《保险公司内部审计指引(试行)》 《保险公司风险管理指引(试行)》
2006
《深圳证券交易所上市公司内部控制指引》 《上海证券交易所上市公司内部控制指引》
基于最小权限划分原则,实现集 中访问控制和细粒度命令级控制。
实现密码自动代填,运维用户无需知晓 服务器账号密码,登录一次即可访问所 有授权服务器。
审计实名制,对用户从登录到退出的 全程操作行为的监控和事后审计。
产品设计思路
统一运维访问通道
运维用户不再直接访 问服务器,先访问堡 垒机再进行跳转。
统一人员身份认证
为用户创建独立的运 维账号,人员账号一 一对应,有效辨别人 员身份。
统一资产管理
将网络中所有服务器 资源账号信息统一安 全管理,无需再对用 户提供账号信息。
统一访问授权
用户只能访问他有权 访问管理的服务器与 资源。
部署方式
采用物理旁路,逻辑串联的部署方式,不必更改现有的网络拓扑结构
支持类型
支持协议
✗ 无法捕捉用户完整访问过 程,只有系统自身的日志 信息
IT管理现状
系统账号共用 admin、root
加密协议无法审计 SSH、RDP
访问操作难控制 rm –rf、delete
存在隐患
用户身份无法鉴别 访问操作无法控制 误操作高危操作无预防
直接接触核心业务
核心数据易泄露 操作行为无法审计 运维事故无法还原
相关行业
政府行业 金融行业 美国上市的企业 (涉及多个行业)
电信行业
金融行业
中国上市的企业 (涉及多个行业)
Part 3
产品介绍
产品功能
身份 认证账号 管理堡垒机 Nhomakorabea访问
能做什么
控制
单点 登录
审计 记录
对用户登陆运维进行身份认证,鉴 别人员身份,实现责任定人。
实现对服务器、网络设备、数据库 及其帐号的统一集中安全管理。
安全性
精简的嵌入式Linux系统,非通用Linux发 型版目录树结构,底层加固处理,保障系 统安全性。在各大安全网站至今未爆出过 任何漏洞。
易用性
B/S架构管理,友好的UI设计,支持所有 主流浏览器与操作系统,提供多种登录方 式,C/S菜单与直连模式,支持各类客户 端的本地调用,最小的改变用户使用习惯。
字符协议 图形协议 文件传输 Web应用 数据库 应用发布
SSH
TELNET
RLOGIN TN5250 (AS400)
RDP VNC X11
FTP SFTP
HTTP HTTPS
Oracle
mysql sqlserve
r DB2
Sybase
VMware
Pcanywh ere
Radmin
Part 4
功能介绍
资产分组管理
资产支持批量导入及分组管理,可 根据主机组进行授权
细粒度的权限管理
独有的“账号-协议”绑定方式, 授权更为精细
统一访问授权
可限制访问时间,只允许用户在特定 时间内访问
什么时间?
限定访问对象,只允许用户访问他有 权访问的主机及账号
访问谁?
谁?
可根据每个运维账号单独进行授权, 用户只能访问已授权的主机