概述
其從功能上講,它綜合了核心系統運維和安全審計管控兩大主幹功能,從技術實現上講,通過切斷終端計算機對網絡和服務器資源的直接訪問,而采用協議代理的方式,接管了終端計算機對網絡和服務器的訪問。形象地說,終端計算機對目标的訪問,均需要經過運維安全審計的翻譯。
打一個比方,運維安全審計扮演着看門者的工作,所有對網絡設備和服務器的請求都要從這扇大門經過。因此運維安全審計能夠攔截非法訪問,和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目标設備的非法訪問行為,并對内部人員誤操作和非法操作進行審計監控,以便事後責任追蹤。
安全審計作為企業信息安全建設不可缺少的組成部分,逐漸受到用戶的關注,是企業安全體系中的重要環節。同時,安全審計是事前預防、事中預警的有效風險控制手段,也是事後追溯的可靠證據來源。
産生原因
随着企事業單位IT系統的不斷發展,網絡規模和設備數量迅速擴大,日趨複雜的IT系統與不同背景的運維人員的行為給信息系統安全帶來較大風險,主要表現在:
1.多個用戶使用同一個賬号。這種情況主要出現在同一工作組中,由于工作需要,同時系統管理賬号唯一,因此隻能多用戶共享同一賬号。如果發生安全事故,不僅難以定位賬号的實際使用者和責任人,而且無法對賬号的使用範圍進行有效控制,存在較大安全風險和隐患。
2.一個用戶使用多個賬号。目前,一個維護人員使用多個賬号是較為普遍的情況,用戶需要記憶多套口令同時在多套主機系統、網絡設備之間切換,降低工作效率,增加工作複雜度。如下圖所示:
3.缺少統一的權限管理平台,權限管理日趨繁重和無序;而且維護人員的權限大多是粗放管理,無法基于最小權限分配原則的用戶權限管理,難以實現更細粒度的命令級權限控制,系統安全性無法充分保證。
4.無法制定統一的訪問審計策略,審計粒度粗。各網絡設備、主機系統、數據庫是分别單獨審計記錄訪問行為,由于沒有統一審計策略,并且各系統自身審計日志内容深淺不一,難以及時通過系統自身審計發現違規操作行為和追查取證。
5.傳統的網絡安全審計系統無法對維護人員經常使用的SSH、RDP等加密、圖形操作協議進行内容審計。
核心功能
單點登錄功能
支持對X11、linux、unix、數據庫、網絡設備、安全設備等一系列授權賬号進行密碼的自動化周期更改,簡化密碼管理,讓使用者無需記憶衆多系統密碼,即可實現自動登錄目标設備,便捷安全。
賬号管理
設備支持統一賬戶管理策略,能夠實現對所有服務器、網絡設備、安全設備等賬号進行集中管理,完成對賬号整個生命周期的監控,并且可以對設備進行特殊角色設置如:審計巡檢員、運維操作員、設備管理員等自定義設置,以滿足審計需求
身份認證
設備提供統一的認證接口,對用戶進行認證,支持身份認證模式包括動态口令、靜态密碼、硬件key、生物特征等多種認證方式,設備具有靈活的定制接口,可以與其他第三方認證服務器之間結合;安全的認證模式,有效提高了認證的安全性和可靠性。
資源授權
設備提供基于用戶、目标設備、時間、協議類型IP、行為等要素實現細粒度的操作授權,最大限度保護用戶資源的安全
訪問控制
設備支持對不同用戶進行不同策略的制定,細粒度的訪問控制能夠最大限度的保護用戶資源的安全,嚴防非法、越權訪問事件的發生。
操作審計
設備能夠對字符串、圖形、文件傳輸、數據庫等全程操作行為審計;通過設備錄像方式實時監控運維人員對操作系統、安全設備、網絡設備、數據庫等進行的各種操作,對違規行為進行事中控制。對終端指令信息能夠進行精确搜索,進行錄像精确定位。
目标價值
堡壘機的作用主要體現在下述幾個方面:
企業角度
通過細粒度的安全管控策略,保證企業的服務器、網絡設備、數據庫、安全設備等安全可靠運行,降低人為安全風險,避免安全損失,保障企業效益。
管理員角度
所有運維賬号的管理在一個平台上進行管理,賬号管理更加簡單有序;
通過建立用戶與賬号的唯一對應關系,确保用戶擁有的權限是完成任務所需的最小權限;
直觀方便的監控各種訪問行為,能夠及時發現違規操作、權限濫用等。
鑒于多賬号同時使用超管進行的操作,便于實名制的認證和自然人的關聯。
普通用戶角度
運維人員隻需記憶一個賬号和口令,一次登錄,便可實現對其所維護的多台設備的訪問,無須記憶多個賬号和口令,提高了工作效率,降低工作複雜度。
應用
一種用于單點登陸的主機應用系統,目前電信、移動、聯通三個運營商廣泛采用堡壘機來完成單點登陸和薩班斯要求的審計。
在銀行、證券等金融業機構也廣泛采用堡壘機來完成對财務、會計操作的審計。
在電力行業的雙網改造項目後,采用堡壘機來完成雙網隔離之後跨網訪問的問題,能夠很好的解決雙網之間的訪問的安全問題。
相關廠商
目前,已經有相當多的廠商開始涉足這個領域,如:思福迪、帕拉迪、聖博潤、尚思卓越、綠盟、
科友、齊治、金萬維、極地、派拉等,這些都是目前行業裡做的專業且受到企業用戶好評的廠商,但每家廠商的産品所關注的側重又有所差别。
以某運維安全審計産品為例,其産品更側重于運維安全管理,它集單點登錄、賬号管理、身份認證、資源授權、訪問控制和操作審計為一體的新一代運維安全審計産品,它能夠對操作系統、網絡設備、安全設備、數據庫等操作過程進行有效的運維操作審計,使運維審計由事件審計提升為操作内容審計,通過系統平台的事前預防、事中控制和事後溯源來全面解決企業的運維安全問題,進而提高企業的IT運維管理水平。
功能
1、身份認證及授權管理
健全的用戶管理機制和靈活的認證方式
為解決企業IT系統中普遍存在的因交叉運維而存在的無法定責的問題,堡壘機提出了采用“集中賬号管理“的解決辦法;集中帳号管理可以完成對帳号整個生命周期的監控和管理,而且還降低了企業管理大量用戶帳号的難度和工作量。
同時,通過統一的管理還能夠發現帳号中存在的安全隐患,并且制定統一的、标準的用戶帳号安全策略。針對平台中創建的運維用戶可以支持靜态口令、動态口令、數字證書等多種認證方式;支持密碼強度、密碼有效期、口令嘗試死鎖、用戶激活等安全管理功能;支持用戶分組管理;支持用戶信息導入導出,方便批量處理。
細粒度、靈活的授權
系統提供基于用戶、運維協議、目标主機、運維時間段(年、月、日、周、時間)等組合的授權功能,實現細粒度授權功能,滿足用戶實際授權的需求。授權可基于:用戶到資源、用戶組到資源、用戶到資源組、用戶組到資源組。
單點登錄功能是運維人員通過堡壘機認證和授權後,堡壘機根據配置策略實現後台資源的自動登錄。保證運維人員到後台資源帳号的一種可控對應,同時實現了對後台資源帳号的口令統一保護與管理。系統提供運維用戶自動登錄後台資源的功能。堡壘機能夠自動獲取後台資源帳号信息并根據口令安全策略,定期自動修改後台資源帳号口令;根據管理員配置,實現運維用戶與後台資源帳号相對應,限制帳号的越權使用;運維用戶通過堡壘機認證和授權後,SSA根據分配的帳号實現自動登錄後台資源。
運維事件事中控制
實時監控
監控正在運維的會話,信息包括運維用戶、運維客戶端地址、資源地址、協議、開始時間等:監控後台資源被訪問情況,提供在線運維操作的實時監控功能。針對命令交互性協議,可以實時監控正在運維的各種操作,其信息與運維客戶端所見完全一緻。
違規操作實時告警與阻斷
針對運維過程中可能存在的潛在操作風險,SSA根據用戶配置的安全策略實施運維過程中的違規操作檢測,對違規操作提供實時告警和阻斷,從而達到降低操作風險及提高安全管理與控制的能力。對于非字符型協議的操作能夠實時阻斷;
字符型協議的操作可以通過用戶配置的命令行規則進行規則匹配,實現告警與阻斷。告警動作支持權限提升、會話阻斷、郵件告警、短信告警等。
運維事件事後審計
對常見協議能夠記錄完整的會話過程
堡壘機能夠對日常所見到的運維協議如SSH,FTP,Telnet,SFTP,Http,Https,RDP,X11,VNC等會話過程進行完整的記錄,以滿足日後審計的需求;審計結果可以錄像和日志方式呈現,錄像信息包括運維用戶名稱、目标資源名稱、客戶端IP、客戶端計算機名稱、協議名、運維開始時間、結束時間、運維時長等信息
詳盡的會話審計與回放
運維人員操作錄像以會話為單位,能夠對用戶名、日期和内容進行單項查詢和組合式查詢定位。組合式查詢則按運維用戶、運維地址、後台資源地址、協議、起始時間、結束時間和操作内容中關鍵字等組合方式進行;針對命令字符串方式的協議,提供逐條命令及相關操作結果的顯示:提供圖像形式的回放,真實、直觀、可視地重現當時的操作過程;回放提供快放、慢放、拖拉等方式,針對檢索的鍵盤輸入的關鍵字能夠直接定位定位回放;針對RDP、X11、VNC協議,提供按時間進行定位回放的功能。
豐富的審計報表功能
堡壘機系統平台能夠對運維人員的日常操作、會話已經管理員對審計平台進行的操作配置或者是報警次數等做各種報表統計分析。報表包括:日常報表、會話報表、自審計操作報表、告警報表、綜合統計報表,并可根據個性需求設計和展現自定義報表。以上報表可以EXCEL格式輸出,并且可以以折線、柱狀、圓餅圖等圖形方式展現出來。
應用發布
針對用戶獨特的運維需求,堡壘機推出了業界虛拟桌面主機安全操作系統設備,通過其配合堡壘機進行審計能夠完全達到審計、控制、授權的要求,配合此産品,可實現對數據庫維護工具、pcAnywhere、DameWare等不同工具的運維操作進行監控和審計。
特點
超全的審計協議範圍
平台采用協議分析、基于數據包還原虛拟化技術,實現操作界面模拟,将所有的操作轉換為圖形化界面予以展現,實現100%審計信息不丢失:針對運維操作圖形化審計功能的展現外,同時還能對字符進行分析,包括命令行操作的命令以及回顯信息和非字符型操作時鍵盤、鼠标的敲擊信息。
系統支持的審計協議以及工具包括:
字符串操作:SSH,Telnet(工具:SecureCRT,Putty,Xshell)
圖形操作:RDP,VNC,X11,pcAnywhere,DameWare等
其他協議:FTP,SFTP,Http,Https等
數據庫工具:Oracle,sqlserver,Mysql客戶端工具
協議以及工具
字符串操作:SSH,Telnet(工具:SecureCRT,Putty,Xshell)
圖形操作:RDP,VNC,X11,pcAnywhere,DameWare等
其他協議:FTP,SFTP,Http,Https,SQLPLUS等
報表管理
平台具有豐富的報表統計功能,可以進行默認報表和自定義報表來進行運維數據的報表統計。
平台提供多種報表格式,包括Word、Excel等。
平台提供折線、餅狀、柱狀等多種圖表統計運維數據,方便後期的運維分析和管理。
機制完善用戶管理權限
平台對用戶的管理權限嚴格分明,各司其職,分為系統管理員、審計管理員、運維管理員、口令管理員四種管理員角色,平台也支持管理員角色的自定義創建,對管理權限進行細粒度設置,保障了平台的用戶安全管理,以滿足審計需求
平台集用戶管理、身份認證、資源授權、訪問控制、操作審計為一體,有效地實現了事前預防、事中控制和事後審計。
高效的處理能力
審計平台能夠對常見的SSH,Telnet,FTP,SFTP,HTTP,HTTPS,WindowsTerminal,X11、VNC協議進行完整的透明轉發,針對如RDP,VNC,X11等圖形化協議的處理能力要比同類産品處理能力強。
可擴展性與兼容性
平台采用模塊化設計,單模塊故障不影響其他模塊使用,從而提高了平台的健壯性、穩定性
運維人員登陸可支持Portal統一登錄,并兼容終端C,S客戶端連接設備;
審計平台的認證方式可以與第三方的認證設備進行定制兼容
具有強大研發實力,不但能為客戶提供長期的産品更新,還能按照客戶的實際需求進行定制開發。
靈活的部署方式
堡壘機提供了功能完善、操作靈活、使用方便、界面友好、符合習慣的審計管理功能;
B,S方式實現了對後台的各項管理配置
平台簡單易部署,通過配置導航,可在短時間内完成配置要求,實現上線要求。
完善的系統安全設計
基于HTTPS,SSL的自身安全管理與審計;
嚴格的安全訪問控制和管理員身份認證支持強認證;
審計信息加密存儲;
完善的審計信息備份機制;
完整全面的自審計功能。
