LanSecS堡垒主机内控管理平台技术白皮书.docx

《LanSecS堡垒主机内控管理平台技术白皮书.docx》由会员分享，可在线阅读，更多相关《LanSecS堡垒主机内控管理平台技术白皮书.docx（21页珍藏版）》请在优知文库上搜索。

1、1.anSecS（堡垒主机）内控管理平台技术白皮书北京圣博润高新技术股份有限公司2019年11月书目1背景31.l概述31.2 管理现状3运用共享帐号的平安隐患3密码策略无法有效执行4授权不清楚4访问限制策略不严格4用户操作无法有效审计41.3 问题分析52设计理念52. 1集中管理模式52.2协议代理62. 3身份授权分别63产品概述73. 1产品综述73.2 产品组成73.3 产品功能73.3.1单点登录73.3.2账户管理83.3.3身份认证83. 3.4资源授权83. 3.5访问限制94. 3.6操作审计94关键技术101.1 逻辑吩咐自动识别技术H1.2 分布式处理技术H1.3 正则

2、表达式匹配技术111.4 RDP协议代理111.5 多进程/线程及同步技术121.6 数据加密功能121.7 审计查询检索功能121.8 操作还原技术125产品优势135. 1良好的扩展性135.1 强大的审计功能135.2 部署和运用简洁135.3 高度的平安性和成熟性136主要应用146. 1运维管理146.2平安管理147技术参数148产品部署171.1 逻辑部署示意图171.2 物理部署示意图181.3 部署说明189客户收益189.1 实现集中帐号管理，降低管理费用189.2 实现集中身份认证和访问限制，避开冒名访问，提高访问平安性】99.3 实现集中授权管理，筒化授权流程，减轻管理

3、压力.209.4 实现单点登录，规范操作过程，简化操作流程209.5 实现实名运维审计，满意平安规范要求21IO产品服务21101售后服务21102技术支持221背景1.1 概述随着信息技术的发展和信息化建设的进步，办公系统、商务平台的不断推出和投入运行，信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中企业和门户网站，更是运用数量较多的服务器主机来运行关键业务。2019年由美国总统布什签发的萨班斯法案(SarbaneS-OXleyACt)起先生效。其中要求企业的经营活动，企业管理、项目和投资等，都要有限制和审计手段。因此，管理人员须要有有效的技术手段和专业的技

4、术工具和平安产品依据行业的标准来做细粒度的管理，真正做到对于内部网络的严格管理，可以限制、限制和追踪用户的行为，判定用户的行为是否对企业内部网络的平安运行带来威逼。1.2 管理现状目前机构的运维管理有以下三个特点： 关键的核心业务都部署丁Unix和NindOWS服务器上。 应用的困难度确定了多种角色交叉管理。 运行维护人员更多的依靠Telnet、SSIK等进行远程管理。基于这些现状，在管理中存在以下突出问题：1.2.1 运用共享帐号的平安隐患企业的支撑系统中有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系，用户为了便利登陆，常常出现多人

5、共用帐号的状况。多人同时运用一个系统帐号在带来便利性的同时，导致用户身份唯一性无法确定。假如其中任何一个人离职或者将帐号告知其他无关人员，会使这个帐号的平安无法保证。由于共享帐号是多人共同运用，发生问题后，无法精确定位恶意操作或误操作的责任人。更改密码须要通知到每一个须要运用此帐号的人员，带来了密码管理的困难化。1.2.2 密码策略无法有效执行为了保证密码的平安性，平安管理员制定了严格的密码策略，比如密码要定期修改，密码要保证足够的长度和困难度等，但是由于管理的机器数量和帐号数量太多，往往导致密码策略的实施流于形式。1.2.3 授权不清楚各系统分别管理所属的系统资源，为本系统的用户安排权限，无

6、法严格依据最小权限原则安排权限。另外，随着用户数量的增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作困难度会成倍增加，平安性无法得到充分保证。1.2.4 访问限制策略不严格目前的管理中，没有个清楚的访问限制列表，无法目了然的看到什么用户能够以何种身份访问哪些关键设备，同时缺少有效的技术手段来保证访问限制策略被有效执行。125用户操作无法有效审计各系统独立运行、维护和管理，所以各系统的审计也是相互独立的。每个网络设备，每个主机系统分别进行审计，平安事故发生后须要排查各系统的日志，但是往往日志找到了，也不能最终定位到行为人。另外各系统的日志记录实力各不相同，例如对于Unix系统

7、来说，日志记录就存在以下问题：Unix系统中，用户在服务器上的操作有一个历史吩咐记录的文件，但是用户可以随意更改和删除自己的记录；root用户不仅仅可以修改自己的历史记录，还可以修改他人的历史记录，系统本身的历史记录文件已经变的不行信；记录的吩咐数量有限制；无法记录操作人员、操作时间、操作结果等。1.3问题分析对运维的管理现状进行分析，我们认为造成这种担心全现状的缘由是多方面的，总结起来主要有以下几点： 各IT系统独立的帐户管理体系造成身份管理的换乱，而身份的唯一性又恰恰是认证、授权、审计的依据和前提，因此身份的混乱事实上造成设备访问的混乱。 各IT系统独立管理，风险分散在各系统中，各个击破困

8、难大，这种管理方式造成业务管理和平安之间失衡。 核心服务器或设备的物理平安和临机访问平安通过门禁系统和录像系统得以较好的解决，但是对他们的网络访问缺少限制或欠缺限制力度。 在帐号、密码、认证、授权、审计等各方面缺乏有效的集中管理技术手段。因此，迫切要求企业内部规范管理，通过多种用户认证方式,不同的平安操作权限，同一地点的不同资源的集中访问，简化操作流程，并满意SoX法案中关于用户身份及访问管理的审计要求。通过控堡垒主机实现企业内部网络的合理化，平安化，专业化，规范化，充分保障企业资源平安。2设计理念2.1 集中管理模式要解决核心资源的访问平安问题，我们苜先从管理模式上进行分析。管理模式是首要因

9、素，管理是从一个很高的高度，综合考虑整体的状况，然后制定出相应的解决策略，最终落实到技术实现上。管理解决的是面的问题，技术解决的是点的问题，管理的模式确定了管理的高度。我们认为随着应用的发展，设备越来越多，维护人员也越来越多，我们必需由分散的管理模式逐步转变为集中的管理模式。只有集中才能够实现统一管理，也只有集中才能把困难问题简洁化，集中管理是运维管理思想发展的必定趋势，也是唯一的选择。集中管理包括：集中的资源访问入口、集中帐号管理、集中授权管理、集中认证管理、集中审计管理等等。2.2 协议代理为了对字符终端、图形终端操作行为进行审计和监控，堡垒主机对各种字符终端和图形终端运用的协议进行代理，

10、实现多平台的操作支持和审计,例如Telnet、SSH,平台的RDP远程桌面协议，1.inUX/Unix平台的XWindow图形终端访问协议等。当运维机通过堡垒主机访问服务器时，首先由堡垒主机模拟成远程访问的服务端，接受运维机的连接和通讯，并对其进行协议的还原、解析、记录，最终获得运维机的操作行为，之后堡垒主机模拟运维机及真正的目标服务器建立通讯并转发运维机发送的指令信息，从而实现对各种维护协议的代理转发过程。在通讯过程中，堡垒主机会记录各种指令信息，并依据策略对通信过程进行限制，如发觉违规操作，则不进行代理转发，并由堡垒主机反馈禁止执行的回显提示。2.3 身份授权分别以前管理员依靠各IT系统上

11、的系统帐号实线两部分功能：身份认证和系统授权，但是因为共享帐号、弱口令帐号等问题存在，这两方面实现都存在漏洞，达不到预期的效果。解决的思路是将身份和授权分别。在堡垒主机上建立主帐号体系，用于身份认证，原各IT系统上的系统帐号仅用于系统授权，这样可以有效增加身份认证和系统授权的牢靠性，从木质上解决帐号管理混乱问题，为认证、授权、审计供应牢靠的保障。3产品概述3.1 产品综述内控俅垒主机是一种被加固的可以防卫进攻的计算机，具备坚毅的平安防护实力。内控堡垒主机扮演着看门者的职责，全部对网络设备和服务器的恳求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问和恶意攻击，对不合法吩咐进行阻断、过滤掉全

12、部对目标设备的非法访问行为。1 .anSecS（堡垒主机）内控管理平台具体有强大的输入输出审计功能，不仅能具体记录用户操作的每一条指令，而且能够通过回放的功能，将其动态的呈现出来，大大丰富了内控审计的功能。1.anSeCS（堡垒主机）内控管理平台自身审计日志，可以极大增加审计信息的平安性，保证审计人员有据可查。1.anSecS（堡垒主机）内控管理平台还具备图形终端审计功能，能够对多平台的多种终端操作审计，例如WindoWS平台的RDP形式图形终端操作。为了给系统管理员查看审计信息供应便利性，1.anSecS（俅垒主机）内控管理平台供应了审计查看检索功能。系统管理员可以通过多种查询条件查看审计信

13、息。总之，1.anSecS（堡垒主机）内控管理平台能够极大的爱护企业内部网络设备及服务器资源的平安性，使得企业内部网络管理合理化和专业化。3.2 产品组成3.3 产品功能3.3.1 单点登录1.anSeCS（堡垒主机）内控管理平台供应了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S的应用系统。单点登录为具有多帐号的用户供应了便利快捷的访问途经，运用户无需记忆多种登录用户ID和口令。它通过向用户和客户供应对其特性化资源的快捷访问提高生产效率。同时，由于系统自身是采纳强认证的系统，从而提高了用户认证环节的平安性。单点登录可以实现和用户管理授权的无缝

14、隙链接，通过对用户、角色、资源和行为的授权，增加对资源的爱护，和对用户行为的监控及审计。3.3.2 账户管理集中帐号管理包含对全部服务器、网络设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理，而且还降低了企业管理大量用户帐号的难度和工作量。同时，通过统一的管理还能够发觉帐号中存在的平安隐患，并且制定统一的、标准的用户帐号平安策略。通过建立集中帐号管理，企业可以实现将帐号及具体的自然人相美联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满意审计的须要。3.3.3 身份认证1

15、.anSecS（堡垒主机）内控管理平台为用户供应统一的认证接口。采纳统一的认证接口不但便于对用户认证的管理，而且能够采纳更加平安的认证模式，提高认证的平安性和牢靠性。集中身份认证供应静态密码、WindowsNT域、WindowsKerberos,双因素、一次性口令和生物特征等多种认证方式，而且系统具有敏捷的定制接口。3.3.4 资源授权1.anSecS（堡垒主机）内控管理平台系统供应统的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度限制，最大限度爱护用户资源的平安。通过集中访问授权和访问限制可以对用户通过B/S对服务裾主机、网络设备的访问进行审H在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员在1.anSecS（堡垒主机）内控管理平台系统上，可以对各自的管理对象进行授权，而不须要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问