建恒信安堡垒机产品白皮书.docx
- 文档编号:17022552
- 上传时间:2023-07-21
- 格式:DOCX
- 页数:9
- 大小:152.13KB
建恒信安堡垒机产品白皮书.docx
《建恒信安堡垒机产品白皮书.docx》由会员分享,可在线阅读,更多相关《建恒信安堡垒机产品白皮书.docx(9页珍藏版)》请在冰点文库上搜索。
建恒信安堡垒机产品白皮书
1.未有的运维挑战
随着信息技术的不断开展和信息化建立的不断进步,业务应用、办公系统、商务平台不断推出和投入运行,信息系统在企业的运营中全面渗透。
电信行业、财政、税务、公安、金融、电力、石油、大中型企业和门户,使用数量众多的网络设备、效劳器主机来提供根底网络效劳、运行关键业务,提供电子商务、数据库应用、ERP和协同工作群件等效劳。
由于设备和效劳器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响企业的经济运行效能,并对企业声誉造成重大影响。
另外黑客的恶意访问也有可能获取系统权限,闯入部门或企业部网络,造成不可估量的损失。
如何提高系统运维管理水平,跟踪效劳器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维本钱,满足相关标准要求,越来越成为企业关心的问题。
目前,面对日趋复杂的IT系统,不同背景的运维人员已给企业信息系统平安运行带来较大潜在风险,主要表现在:
1.账号缺乏统一管理,隐藏着巨大的风险
Ø多个用户混用同一个账号
这种情况主要出现在同一工作组中,由于工作需要,同时系统管理账号唯一,因此只能多用户共享同一账号。
不仅在发生平安事故时难以定位账号的实际使用者和责任人,而且无法对账号的使用围进展有效控制,存在较大平安隐患。
Ø一个用户使用多个账号
目前,一个维护人员使用多个账号是较为普遍的情况,用户需要记忆多套口令同时在多套主机系统、网络设备之间切换。
如果设备数量到达几十甚至上百台时,维护人员进展一项简单的配置需要分别逐一登录相关设备,其工作量和复杂度成倍增加,直接导致的后果是工作效率低下、管理繁琐甚至出现误操作,影响系统正常运行。
2.粗放式权限管理,平安性难以保证
大多数企事业单位的IT运维均采用设备、操作系统自身的授权系统,授权功能分散在各设备和系统中。
管理人员的权限大多是粗放式管理,由于缺少统一的运维操作授权策略,授权粒度粗,无法基于最小权限分配原那么管理用户权限,难以与业务管理要求相协调。
因此,出现运维人员权限过大、部操作权限滥用等诸多问题,如果不及时解决,信息系统的平安性难以充分保证。
3.设备自身日志粒度粗,难以有效定位平安事件
在运维工作中,大多是通过各网络设备、操作系统的系统日志进展监控审计,但是由于各系统自身审计日志分散、容深浅不一,且无法根据业务要求制定统一审计谋略;因此,难以通过系统自身审计及时发现违规操作行为和追查取证。
4.第三方代维人员带来平安隐患
目前,很多大型企业,包括一些政府机构选择将非核心业务外包给设备商或代维公司,在享受便利的同时,由于代维人员流动性大、对操作行为缺少监控带来的风险日益凸显。
因此,需要通过严格的权限控制和操作行为审计,加强对代维人员的行为管理,从而到达消隐患、避风险的目的。
5.面临法规遵从的压力
为加强信息系统风险管理,政府、金融、运营商等陆续发布信息系统管理规和要求,如“信息系统等级保护〞、“商业银行信息科技风险管理指引〞、“企业部控制根本规〞等均要求采取信息系统风险控与审计,但其缺乏有效的技术手段。
上述风险带来的运维平安风险和审计监管问题,已经成为企业信息系统平安运行的严重隐患。
企业IT运维平安管理的变革已刻不容缓!
2.产品概述
建恒身份及访问管理系统是集用户〔Account〕管理、授权〔Authorization〕管理、认证〔Authentication〕管理和综合审计〔Audit〕于一体的集中运维管理系统。
该系统能够为企业提供集中的管理平台,减少系统维护工作;能够为企业提供全面的用户和资源管理,减少企业的维护本钱;能够帮助企业制定严格的资源访问策略,并且采用强身份认证手段,全面保障系统资源的平安;能够详细记录用户对资源的访问及操作,到达对用户行为审计的需要。
建恒身份及访问管理系统采用层次化、模块化的设计,产品整体架构包括:
资源层、接口管理层、核心效劳层和统一展示层。
资源层:
负责提供各种类型资源的资源管理交互。
接口管理层:
主要功能是实现核心层与外部产品、用户资源系统之间的数据交互,包括账号类、认证类、授权类和审计类四个方面的接口。
其中账号/角色管理接口实现资源从账号的收集和同步管理,认证接口实现与第三方强身份认证产品的联动和主账号认证,访问控制策略接口实现访问控制策略的下发,审计接口能接收外部系统产生的各类日志。
通过数据接口层完成与各种应用系统的相关接口通信。
核心效劳层:
完成系统各功能模块的业务处理,包括身份管理,行为管理,审计管理以及协议代理等效劳,每个模块再细分假设干子模块完成各自的管理功能。
核心层具体的功能模块如下:
账号管理
授权管理
认证管理
审计管理
统一展示层:
负责用户交互局部的展现,一方面对用户身份的认证,同时显示信息给系统操作人员,包括操作人员的可访问资源展现及自效劳展现;另一方面承受管理人员的管理配置和审计查看,将管理人员的输入传递到核心效劳层处理。
3.产品特点
2.1丰富的部署方式
ØHA双机部署:
一般HA双机基于监测网络存活状态进展切换,无法做到根据系统效劳状态进展切换,建恒身份及访问管理系统真正实现基于硬件和应用效劳状态进展监控切换,从而为客户提供不连续的效劳,确保高可靠性。
Ø集群部署:
对于大规模资产高并发访问且运维不可中断性质的客户,支持三台或三台以上的集群部署模式,确保运维访问能够均衡的由各个堡垒处理。
Ø分布式部署:
实现公司总部与各分公司之间,组织机构分散而需要统一集中管理的问题。
2.2多元化的认证方法
Ø自身提供证书认证效劳,也可与第三方CA、动态令牌、生物识别、等方式进展结合。
支持组合认证,提高访问的平安性。
Ø平台在网络设备的认证协议上支持RADIUS和TACACS+协议。
2.3强大的资源管理能力
Ø资源数量统计:
支持柱形图方式查看系统中不同资源所占比例。
Ø资源类型:
支持资源类型丰富,unix资源、网络资源、windows资源、数据库资源、C/S资源、B/S资源、中间件资源、大型机资源。
Ø中间件:
支持对中间件的属性管理与密码变更管理,通过平台系统的单点登录功能实现登录访问,访问过程被完整的审计下来。
Ø大型机:
支持金融行业大型机的管理。
2.4全面的账号管理机制
Ø主账号支持分组管理,分组可以采用树形方式展现,不限制分组层级数量。
Ø完整的用户账号中管理;生命周期管理,实现账号的创立、维护、修改、删除的集
Ø用户类型:
自定义用户类型,基于用户类型进展用户地址策略。
ØAD域同步:
平台与AD域数据同步,将AD域中OU或域用户数据作为身份及访问管理系统组织构造和主账号,实现数据统一,无需重复创立数据。
Ø从账号管理:
支持资源从账号的管理,系统具有各种资源类型驱动器能够将资源上的账号进展自动收集、推、拉、同步及属性的变更等。
2.5超强的授权管理功能
Ø角色管理:
系统部管理功能权限支持自定义角色。
角色可按照组节点进展定义,从而实现分层分级管理模式。
Ø岗位授权:
资源授权模式基于岗位授权,岗位授权概念是建立岗位,岗位上绑定资源账号,这样授权可迁移、授权粒度更细;并可针对岗位设置相关平安策略。
2.6单点登录SSO
Ø支持收藏夹功能:
运维人员可将经常访问的资源添加到收藏夹,而且支持批量单点登录资源,表达平台运维便捷性,易用性。
Ø一键式快速登录,将目标资源的登录配置信息保存为默认后,即可支持一键快速登录目标资源。
Ø支持en、su、super用户角色自动切换操作并代填密码
2.7增强的密码管理功能
Ø自动改密:
支持所有被管设备的密码自动变更方案。
密码变更可以根据密码策略的要求进展变更,变更的密码符合密码策略中关于密码强度的要求。
Ø密码拨测方案:
定期检查平台存储的设备账号密码与设备实际密码是否匹配,以便进校验密码一致性,提高设备的平安性防止密码混乱无法登陆现象发生。
2.8审计管理
Ø图形资源访问时,支持键盘、剪切板、文件传输记录,并且对图形资源的审计回放时,可以从某个键盘、剪切板、文件传输记录的指定位置开场回放。
Ø支持对中间件〔WebLogic〕配置操作的管理和审计能力。
2.9更专业的平安管理功能
Ø提供认证效劳器组件,所有对资源的访问都是认证效劳器提供的临时会话号,即使会话号被截获,也无法通过此会话号再次访问资源,提高资源访问的平安性。
Ø审计开关:
根据不同设备审计平安需求,客户自定义审计围,字符〔命令、容、录像〕、图形〔录像、键盘、上下行剪切板、上下行文件传输〕。
Ø效劳端口变更:
很多用户为了提高设备的平安性,不采用标准的协议端口。
平台支持FTP、telnet、ssh、远程桌面等协议效劳端口变更。
Ø产品自带病毒检测功能,在通过平台进展文件传输时,自动对传输的文件进展防病毒检测,并阻止带病毒文件的传输,有限防护效劳器的平安。
Ø产品自身集成VPN功能,不需要第三方VPN产品即可实现公网加密通道的访问。
2.10良好的扩展性及定制化能力
Ø支持第三方应用程序获取密码接口
Ø支持定制开发:
平台自身根据技术开展和市场需求不断变化而变化着,保证充分满足市场及用户需求。
4.产品主要功能模块
部署方式
建恒身份及访问管理系统采用物理旁路单臂部署;不改变现有网络构造,不改变运维人员的运维习惯;
组织构造
基于用户、资源、综合方式进展分层分级管理;
用户管理
提供用户的创立、维护、修改、删除的集中管理,用户的树形分组展示及导入导出。
提供基于用户的配置口令、访问锁定、访问时间等平安策略。
资源管理
资源即我们的IT资产,比方效劳器,网络设备,应用系统,该功能模块提供了资源的统计、分组管理、树形展现,支持主流的大局部资源类型和资源协议。
从账号管理〔设备账号〕
从账号即资源设备账号,建恒身份及访问管理系统提供了账号管理,自动改密,密码拨测,账号导出等一系列从账号管理功能。
授权管理
资源授权模式基于岗位授权,岗位上绑定资源账号,并可针对岗位设置相关平安策略。
单点登录SS0
单点登录即通过建恒身份及访问管理系统作为目标资源访问的统一入口,进展目标资源的运维管理。
认证管理
建恒身份及访问管理系统自身提供证书认证效劳,也可与第三方CA、动态令牌、生物识别等方式进展结合。
支持组合认证,提高访问的平安性。
同时能够支持网络设备的RADIUS和TACACS+协议。
平安管理
建恒身份及访问管理系统提供了丰富的平安策略功能,如访问时间策略、地址策略、RDP策略、字符命令、FTP、口令策略、锁定策略等;
提供审计谋略如字符、图形、FTP等相关审计谋略。
建恒身份及访问管理系统支持VPN功能,无需专用VPN硬件支持,即可方便平安地通过远程接入身份及访问管理系统。
审计管理
建恒身份及访问管理系统支持图形审计、字符审计、实时监控、管理审计及审计报表。
系统参数管理
该模块提供了系统自身的管理功能,如数据备份、复原,系统运行状态的监控,系统效劳配置去除、审计日志清理、复原出厂设置,关机重启等。
高可用性
建恒身份及访问管理系统针对不同的业务场景及可靠性要求,提供了HA、集群、分布式部署方式。
5.产品价值
5.1有效减少信息资产的破坏和泄漏
随着各行各业信息化建立的完善,越来越多的企业单位将核心信息资产存放在少数几个关键业务系统上,通过使用建恒身份及管理系统,能够加强对这些关键系统的访问控制与审计,从而有效地减少核心信息资产的破坏和泄漏。
5.2满足合规性要求,顺利通过IT审计
目前,越来越多的单位面临一种或者几种合规性要求。
比方,在美上市的中国移动集团公司及其下属分子公司就面临SOx法案的合规性要求;而商业银行那么面临Basel协议的合规性要求;政府的行政事业单位或者国有企业那么有遵循等级保护的合规性要求。
建恒身份及访问管理系统起源于国最早的4A工程。
所以能够提供一套完整的审计方案,有助于完善组织的IT控与审计体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。
5.3助力企业控制运维操作风险及事后原因与责任界定
通常在我们的企业部,负责运维的部门拥有目标系统或者网络设备的最高权限,因而也承当着很高的运维风险,比方误操作或者是个别人员的恶意破坏。
由于目标系统不能区别不同人员使用同一个进展维护操作,所以不能界定维护人员的真实身份。
建恒身份及访问管理系统提供基于用户及岗位的实名制访问控制与审计,不但能够有效地控制运维操作风险,还能够有效地区分不同维护人员的身份,便于事后追查原因与界定责任。
5.4源于4A的一体化、低本钱、可操作的解决方案
建恒身份及访问管理系统源于4A,所以可以说是一种一种低本钱、易实施的一体化4A解决方案,涵盖了账号管理、身份认证、访问授权以及操作审计等几方面的根本功能。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 建恒信安 堡垒 产品 白皮书