天玥网络安全审计系统(业务堡垒机,MA系列V6010)产品白皮书v20

1、天玥网络安全审计系统(业务堡垒机,ma系列v)产品白皮书v2.0 天玥网络安全审计系统（ma系列v） 产品白皮书（版本2.0） 北京启明星辰信息技术股份有限公司2010年6月 天玥网络安全审计系统（ma系列）产品白皮书北京启明星辰信息技术股份有限公司2010版权所有，保留一切权利。未经北京启明星辰信息技术股份有限公司（以下简称启明星辰）书面同意不得擅自传播、复制、泄露或复写发布日期：2010年6月适用范围：天玥网络安全审计系统v6.0（ma系列）如有任何意见或建议，请按如下联系方式反馈给启明星辰。邮政地址：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮

2、政编码：100094电话：86-10-82779088e-mail：cpyj传真：86-10-82779000根据适用法律的许可范围，启明星辰按“原样”提供 北京启明星辰信息技术股份有限公司 i天玥网络安全审计系统（ma系列）产品白皮书目录1 产品概述 . 31.1 产品简介 . 31.2 适用场景 . 31.3 核心价值 . 41.4 能够从天玥ma系列获益的用户 . 4用户需求（面临的问题） . 52.1 北京启明星辰信息技术股份有限公司 天玥网络安全审计系统（ma系列）产品白皮书1 产品概述1.1 产品简介天玥网络安全审计系统（ma业务堡垒机系列），以下简称天玥（ma），是启明星辰综合内

3、控系列产品之一。天玥网络安全审计系统（ma系列）是针对业务环境下的网络操作行为进行集中管理（management）与细粒度审计（audit）的合规性管理系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人账号资源资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的业务操作行为进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（数据库、服务器、网络设备等）损失、保障业务系统的正常运营。1.2 适用场景天玥（ma）的用户通常拥有重要的业务系统或者网络基础设施，相应地具备如下需求中

4、的部分或者全部：1、需要保证重要/关键服务器、网络设备的安全；2、希望对运维人员与核心资产进行集中管理，明确每个人员对核心资产的权限；3、正在或将要开展内控工作，希望有效地控制操作风险；4、需要记录或审计加密协议ssh的操作内容；5、需要进行事后追查，但缺乏数据记录与追查方法。天玥ma系列适用与以下行业： 电信运营商 金融行业 门户网站运营商 网络游戏服务提供商 有类似需求的企事业单位北京启明星辰信息技术股份有限公司 3天玥网络安全审计系统（ma系列）产品白皮书1.3 核心价值天玥ma的核心价值体现在：完善业务系统的安全防范体系，满足组织机构内外部合规性要求，全面体现管理者对业务系统信息资源的

5、全局把控和调度能力。主要表现在：1、结合账号管理、资源管理、单点登录、身份认证、访问授权、操作审计等技术于一体，融合为有效实用的一体化4a解决方案；2、当出现安全事件后，能根据翔实的审计记录，一步步地追查出攻击者；3、通过对客户关键信息资产的业务操作行为进行访问控制、避免核心资产损失；4、核心服务器与网络设备的账号口令定期修改，并通过安全的方式通知安全管理员；5、核心服务器与网络基础设备的实体内授权，用户登录设备之后的行为细粒度控制；6、帮助用户加强内外部网络行为监管、满足企业内部控制或者外部政策等合规性要求。1.4 能够从天玥ma系列获益的用户以下几类用户能够从天玥ma的使用中获益：安全管理

6、部门或it审计部门：能够凭借天玥ma有效地提供符合内控策略的操作风险控制措施，并且能够弥补在操作审计方面的不足；网络与主机的运维部门：能够利用天玥ma有效地梳理应用系统账号关系、规避操作风险、使运维操作本身符合组织的信息安全方针。另外，天玥ma提供的操作日志以及过程再现（会话回放）可以作为运维部门的免责依据或者安全管理/it审计部门的追查证据。 北京启明星辰信息技术股份有限公司 4天玥网络安全审计系统（ma系列）产品白皮书2 用户需求（面临的问题）2.1 内部人员操作安全隐患随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒

7、、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作却无能为力。根据最新统计资料，对企业造成严重攻击中的70是来自于组织里的内部人员。2.2 第三方维护人员安全隐患企业在发展的过程中，因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地监控设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。严格的规章制度只能约束一部分人的行为，只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行。2.3 系统共享账号安全隐患无论是内部运维人员还是第三方代维人员，基于传统的维护方式，都是直接采用系统账号完成系统

8、级别的认证即可进行维护操作。随着系统的不断庞大，运维人员与系统账号之间的交叉关系越来越复杂，一个账号多个人同时使用，是多对一的关系，账号不具有唯一性，系统账号的密码策略很难执行，密码修改要通知所有知道这个账号的人，如果有人离职或部门调动，密码需要立即修改，如果密码泄露无法追查，如果有误操作或者恶意操作，无法追查到责任人。2.4 最高权限用户安全隐患一般来说，我们都是从各种系统日志里面去发现是否有入侵后留下来的“蛛丝马迹”来判断是否发生过安全事件。但是，系统是在经历了大量的操作和变化后，才逐渐变得不安全。从系统变更的角度来看，网络审计日志比系统日志在定位系统安全问题上更可信。系统的超级用户长期以

9、来一直处于不可管理的状态。 北京启明星辰信息技术股份有限公司 5天玥网络安全审计系统（ma系列）产品白皮书3 产品原理天玥iv业务堡垒机的产品原理如下图所示：其核心进程为常用协议的代理，目前可以实现的有： telnet ssh ftp sftp/scp rdp（windows远程桌面） vnc代理进程监听相应的端口，捕获通信后，按照授权策略转发到相应的资源，同时对数据包进行命令级别的解析。4 产品主要功能天玥ma系列基于“用户账号目标设备系统账号”的权限管理模式提供各项安全功能，主要体现在以下几个方面：1、集中管理：对所有的自然人以及所有核心服务器、核心网络基础设施及其上面的账号进行统一集中管

10、理与单点登录；2、身份管理：有效解决传统unix模式的共享账号问题，通过自然人账号与系统账号北京启明星辰信息技术股份有限公司 6天玥网络安全审计系统（ma系列）产品白皮书的关联实现网络操作的实名制；3、访问控制：管理员可自定义访问控制规则，给每个用户分配适当的网络资源；4、权限控制：通过命令防火墙可进一步把用户的权限控制到命令级别，可有效限制root的操作权限；5、操作审计：对所有自然人的访问信息，包括输入命令与输出结果进行记录并回放，能根据翔实的审计记录，一步步地追查出攻击者。4.1 功能流程图 人的管理： 角色划分：不同的用户按照职责分成不同的角色，有超级管理员，账号管理员、审计管理员，配

11、置管理员，密码保管员与普通用户； 账号管理：账号采用实名制和用户一一对应； 密码策略：密码复杂度设置，密码有效期等严格的密码策略；北京启明星辰信息技术股份有限公司 7天玥网络安全审计系统（ma系列）产品白皮书 访问控制：通过严格的访问控制，确保合法用户在其系统权限范围内访问授权设备，降低人为的安全隐患； 权限控制：控制用户可以执行和禁止执行的操作命令。操作管理： 操作记录：以人为记录依据，真实完整的记录用户的操作行为； 操作搜索：根据各种搜索条件对所有操作记录进行高速精确搜索； 操作回放：完整回放用户的历史操作； 实时监控：实时窗口显示用户当年的操作行为； 统计报表：按照时间与事件生成用户操作

12、行为报表；设备管理： 密码管理：按照不同级别密码策略定期自动修改设备的系统密码。4.2 sox合规性解决方案sox法案是希望通过严格的内控去解决信任危机的问题。天玥ma作为一个完整的sox合规解决方案，实现了： 清晰完整的策略：天玥ma有集中管理，身份管理，访问控制，权限控制，操作审计一系列的针对人的操作管理策略； 天玥ma系列通过相应技术手段保证策略在产品上的有效执行； 对过程进行真实完整的记录与回放； 能够让审计管理员和第三方审计公司验证以上内容的真实可信 天玥ma通过一系列策略（集中管理、身份管理、访问控制、权限控制）的制定和有效实施以及严格的审计机制，规范用户对unix设备、网络设备以

13、及安全设别的操作行为，控制企业内部以及第三方代维的操作风险，并对全部的操作与结果进行真实完整的记录，为第三方审计提供真实的原始材料，最终实现sox合规要求。北京启明星辰信息技术股份有限公司 8天玥网络安全审计系统（ma系列）产品白皮书4.3 集中管理当管理一个包含各种各样异构设备的环境时，拥有一个集中管理控制平台以降低成本、合并冗余的操作就变得非常重要，天玥ma能够为管理员提供唯一的策略执行点和对所有用户的访问控制点，从而对用户的操作实现集中控制。4.3.1 单点登陆（single sign-on）天玥ma作为用户登录的唯一入口，是实现集中化管理的必要条件。鉴于天玥ma采用旁路的部署方式，需要

14、在用户的核心路由或防火墙上配置适当的策略保证所有用户的telnet/ssh访问都转发到天玥ma上面来。4.3.2 用户身份管理对业务系统中的运维、操作人员进行集中管理： 根据工作职责为每个运维人员分配一个唯一标识其身份的用户账号，实现用户账号与人员身份的一一对应； 集中管理账号属性，包括账号名称、真实姓名、邮箱地址、账号开始日期、失效日期、账号所属部门、账号状态（活动/禁用）、账号权限以及备注信息； 管理员可手工设定用户账号使用规则，确保用户账号可用性：当用户处于休假、换岗、离职等状态，及时对其账号可用性（活动、禁用）进行调整； 集中管理与分发账号口令，创建用户账号时即可给用户分配强壮的口令，

15、口令可以通过系统随即生成并发送到用户邮箱或由管理员手工定义，管理员可随之重置用户口令，用户可通过web界面修改自己的口令； 集中管理用户口令策略，可根据安全级别自定义用户口令策略，口令策略包括密码最短长度（默认为8）、密码最长使用天数（默认为13，最长为90）、失败尝试次数（默认为5）、必须包含数字位数、必须包含大写字母位数、必须包含小写字母位数、必须包含特殊字符位数。4.3.3 部门以及权限管理支持分级权限管理，严格按照三权分立的思想对管理员进行授权。 部门管理：根据用户实际环境配置业务部门，每个部门下面管理相应的业务系统、北京启明星辰信息技术股份有限公司 9天玥网络安全审计系统（ma系列）

16、产品白皮书用户、资源、资源账号，不同部门之间相对独立； 权限管理：支持二级权限管理，系统有一个全局的超级管理员，然后是每个部门内部的账号管理员、配置管理员、审计管理员、密码保管员。 超级管理员：能够创建部门与各部门的二级管理员，进行系统的全局策略配置，如双机热备策略、密码策略、邮件服务器配置、系统备份、授权管理以及当前系统健康状态的查看。 账号管理员：创建本部门内的用户账号； 配置管理员：为本部门添加资源与资源账号，并创建“用户账号资源资源账号”的分组访问控制关系，配置分组与用户账号的命令防火墙策略，管理本部门内ssh资源的证书。 审计管理员：集中管理本部门账号所产生的会话日志、登录日志、操作

17、日志、审计日志与审计报表，并对本部门内的日志进行查询与检索。 密码保管员：集中接收与记录本部门内资源账号密码的修改结果。4.3.4 设备以及资源管理对用户业务环境中的unix、网络设备、安全设备、oracle数据库、话务网元进行集中管理，具体包括： 集中管理资源的主机名、ip地址、登录协议以及端口号、所属部门以及设备类型； 资源的认证管理：根据资源的类型模拟资源的自动登录过程，通过密码代填的方式由天玥ma完成到资源的认证，避免了用户记录大量资源账号和密码的繁琐工作，提高了工作效率，提高系统的整体安全性。资源的自动登录脚本可根据实际情况由管理员来定义，支持正则表达式与通配符。 支持二次跳转设备的

18、管理，某些行业存在一些特殊应用，要访问该类资源，需要先登录到一台堡垒机上，再运行命令跳转到最终资源上。天玥ma完全支持这样的维护方式。 针对ssh设备，可为设备生成ssh证书，通过天玥ma系统与ssh设备交换ssh证书创建ma与设备之间的ssh通道，这样，就可以通过ssh证书方式实现ma到设备而的二次登录认证，而不使用资源账号来实现，在一定程度上提高了访问认证的安全性。北京启明星辰信息技术股份有限公司 10天玥网络安全审计系统（ma系列）产品白皮书4.3.5 资源账号管理集中管理业务系统内资源上面的账号与密码，具体包括： 资源账号密码策略的管理，按照不同安全级别分为highdevpwdpoli

19、cy、middledevpwdpolicy、lowdevpwdpolicy以及generydevpwdpolicy，分别定义了密码最短长度、密码最长使用天数、失败尝试次数、必须包含数字位数、必须包含大写字母位数、必须包含小写字母位数以及必须包含特殊字符位数； 根据密码策略定期修改资源账号的密码，密码结果通过加密邮件的方式发送给密码保管员； 配置管理员可手工触发资源账号的密码修改； 对于类似的资源或资源账号，可进行资源账号的批量添加或类似添加； 对与资源账号口令，管理员可选择由用户手工输入或由天玥ma系统代填完成目标资源的二次认证； 对于代填密码的资源账号，配置管理员可通过web界面进行登录测试

20、，以检测密码的正确性或路由的可达性。4.4 访问控制以及权限控制有效解决传统unix模式的共享账号问题；通过分组访问控制规则，给每个用户分配适当的网络资源，建立“用户账号资源资源账号”的对应关系；通过命令防火墙把用户的权限控制到命令级别。确保合法用户在其系统权限范围内访问授权设备，降低人为的安全隐患。 根据业务角色与规则设置分组“组”的概念源自不同业务操作人员的工作任务，它并不一定映射到实际的企业组织结构，而更多的反映“工作团队”性质的虚拟组织结构。通常对相同类型的工作或权限建立一个组进行管理。 制定访问控制策略，对用户账号、资源、资源账号进行设置n 将同类工作的用户账号纳入同一组，以组为单位

21、进行基础权限设定；n 设置组内用户可访问的资源，对组内可操作的授权设备做进一步规定；n 设置组内用户可使用的资源账号，确定了用户对被管理资源的实体权限；n 建立用户账号与资源账号的关联，使“组”内成员可用单个用户账号进行多系北京启明星辰信息技术股份有限公司 11天玥网络安全审计系统（ma系列）产品白皮书统权限的操作管理。n 为分组创建时间策略与源ip控制策略：可以为分组访问控制列表选择时间策略，并定义时间段内能够使用天玥系统的源ip地址范围。 明确、清晰的访问控制列表，清晰的了解谁（who）在什么时间（when）能用何种系统权限（what）访问哪些资源（where），让权限关系一目了然。 配置

22、简单，变更灵活，当人员岗位、职责改变时，对用户相关联的组、系统权限、可访问资源等进行调整即可收回已有权限。 命令防火墙：当不同用户账号与同一资源账号关联时，就需要以命令为核心建立实体内的细粒度授权策略。根据操作人员的业务属性，在资源账号权限范围内，使不同用户账号获得资源账号的全部命令权限或部分命令权限。n 建立以命令为基础的权限控制策略；n 严格限制超级用户root的操作权限；n 针对分组或单个用户用户，设置“允许、拒绝”的规则列表；n 命令防火墙的策略可跨平台存在。4.5 操作审计对所有自然人的访问信息，包括输入命令与输出结果进行记录并回放，通过自然人账号与操作日志的关联实现网络操作的实名制

23、。 以用户的操作周期为记录单位，清晰、全面了解用户的整个操作过程； 真实完整的记录：n 记录用户输入命令和命令输出结果；n 记录图形操作（rdp/vnc）的会话内容以及用户在图形回话中输入的文本信息；n 记录加密协议ssh的操作内容；n 对用户的实时会话进行监控，可实时显示用户的当前操作；n 通过web界面完整回放用户的历史操作，支持从任意命令开始回放；n 记录文本编辑软件（vi）等的编辑命令和编辑内容；n 记录各种交互式操作（sql）的输入命令和输出结果；n 记录用户执行命令的具体时间（精确到秒）；北京启明星辰信息技术股份有限公司 12天玥网络安全审计系统（ma系列）产品白皮书n 完整记录各

24、种功能键扩展后的操作命令（tab补齐，backspace回退、删除、上下箭头等）；n 记录粘贴命令与组合命令；n 操作的历史记录加密存储，只能查看与检索，不可更改、删除。根据用户账号、操作时间、系统账号、资源等关键词对所有操作记录进行搜索，在最短时间内实现责任认定。 精确的查询方式（开始时间，结束时间，用户/系统账号，资源，自定义关键字）； 根据用户操作的命令的具体时间点和时间段（年/月/日/小时/分钟）进行搜索； 根据用户输入的命令做检索（支持通配符与正则表达式方式的模糊匹配和精确匹配查询）； 根据用户的输入命令和输出结果做全文检索（支持通配符与正则表达式方式的模糊匹配和精确匹配查询） 能够

25、检索图形会话内容中的用户输入信息，并定位到具体图形会话。4.6 日志报表天玥ma本身可生成详细丰富的日志，并可按时间与事件展现报表。会话日志，可按照开始时间、结束时间、用户名、源ip、会话状态显示实时会话与历史会话，可查看会话中的详细命令与命令输出，并进行回放。sftp会话日志，按照时间、用户名、源ip显示加密文件传输协议的操作命令与内容。 登录日志，记录普通用户与管理员的历史登录情况，可记录登录账号、登录时间、登录ip、登录类型（web、ssh、telnet）以及登录结果（成功、失败）。操作日志，记录天玥ma管理员对系统所进行的配置操作，可记录管理员账号名称、操作时间、登录ip、操作类型以及

26、操作对象（ma系统后台数据库表）。审计日志，对账号的登录以及操作情况进行集中统计，可显示某一用户的web登录次数、ssh登录次数、sftp登录次数以及操作命令的数量。审计视图，以柱状图或饼图的方式显示最近十个月的用户操作统计、用户操作类型统计、用户操作对比、用户登录统计与用户登录对比。4.7 高级功能 ha双机热备与数据同步北京启明星辰信息技术股份有限公司 13天玥网络安全审计系统（ma系列）产品白皮书作为portal类的访问控制类系统，应充分考虑消除单点故障，保证系统的可用性。天玥ma系统可通过web配置双机热备策略，对于部署两台ma系统的用户，可实时显示当前的ha状态（actmae或sta

27、ndby）并配置、启动ha状态，可指定当前设备的ha类型（主、备），指定心跳口来监控对端ma设备的存活，指定浮动ip，用户通过访问浮动ip地址即可访问当前活动的ma设备。一旦主ma设备出现故障而不能提供服务，备ma设备可立即切换到工作状态，接管服务，切换速度在2秒之内。可根据心跳口指定对端ma设备的ip地址进行数据同步，保证备机启动后与原先主机上面的配置完全一样。 配置工作方便高效基础数据管理（用户管理、设备管理、系统账号管理、分组管理、部门管理、命令防火墙策略）可按照excel格式进行批量导入导出并提供批量导入模板供配置管理员下载，对于大数据量的用户，在很大程度上提高了ma系统管理员的工作效

28、率。同时，基础数据管理部分可按照部门进行筛选，可按照关键字段进行排序，方便管理员定位需要管理的用户、设备资源、系统账号等。 邮件服务器配置管理员可通过web界面配置可用邮件服务器，用来给用户发送密码邮件，给密码保管员发送设备账号的修改结果。可指定用户密码发送对象（不发送、发送给用户或同时发送给用户和密码保管员）。 安全文件传输天玥ma系统通过ssh代理的方式利用ssh协议的安全文件传输有效解决ftp的高安全风险漏洞问题。用户利用天玥ma系统可以实现对后台资源的安全文件上传和下载，上传和下载的文件名和内容可以被ma进行审计。 认证枢纽服务天玥ma本身采用静态口令对用户账号进行认证。针对认证强度需

29、求较高的用户，天玥ma系统内部提供认证接口，可提供认证枢纽服务，把用户账号的认证请求转发到第三方的强身份认证服务器上，实现用户账号的强身份认证（软、硬件令牌、数字证书、短信认证等），满足内控要求。 ad域账号同步天玥ma系统作为综合内控系统，本身提供主、从账号管理的功能。同时，天玥ma北京启明星辰信息技术股份有限公司 14天玥网络安全审计系统（ma系列）产品白皮书系统提供账号管理接口，可与标准ldap数据库进行主账号同步，目前支持微软ad域的账号目录结构以及认证方式。 系统备份可通过web界面对当前的系统配置以及全部日志进行备份以及恢复。 系统健康状态监控天玥ma系统提供对自身健康状态进行检查

30、的功能，可通过web界面查看当前的ma系统的主要信息以及运行状态，包括：系统主要信息：主机名、ip地址、内核版本、开机时间、在线使用者、平均负载等； 网络负载：系统所有网络接口的上行数据流量、下行数据流量以及错误/中断的数据流量；内存使用量：显示当前物理内存以及虚拟内存的使用百分比、剩余空间、已用空间以及总容量，显示物理内存的使用分布情况包括内核以及应用程序、缓冲区、缓存等的使用百分比、剩余空间、已用空间以及总容量。硬盘使用情况：显示当前ma系统挂载路径、文件类型、挂载物理磁盘、使用量百分比、剩余空间、已用空间以及总容量。 集中监控对于跨地域或分布式部署的多台天玥ma系统，可提供软件形式的集中

31、监控平台，可实时收集各个ma系统的基础数据、会话日志以及健康状态。4.8 跨平台支持天玥ma系列产品支持的设备类型主要有： 主流unix/linux服务器：n ibm aixn hp-uxn sun solarisn sco unixn freebsdn red hat enterprise linuxn fedoran suse linux enterprise server北京启明星辰信息技术股份有限公司 15天玥网络安全审计系统（ma系列）产品白皮书n mandrake linuxn turbo linuxn debian/ubuntu linux 主流网络设备：n cisco cata

32、lyst系列n cisco ios系列n huawei交换机与路由器n juniper交换机与路由器 安全设备：n cisco pix防火墙；n 华为eudemon防火墙；n juniper netscreen防火墙； 数据库：n 本地sqlplus方式的oracle数据库各种版本； 交换传输设备：n nokia bsc网元；n 华为msc/bsc网元；n motorola msc/bsc网元 windows服务器的远程桌面 unix/linux服务器的远程桌面（vnc） 4.9 快速部署 天玥ma提供给用户最简洁的操作界面和最人性化的使用方法； 用户只很少时间就可以熟练配置天玥ma； 天玥m

33、a的全部功能都以web界面呈现给用户； 既不需要修改客户的网络架构也不需要在客户的被管理设备上安装任何程序； 所有的部署都是在天玥ma上完成； 大规模部署同样在极短的时间内可以完成；北京启明星辰信息技术股份有限公司 16天玥网络安全审计系统（ma系列）产品白皮书4.10 天玥iv rdp模块4.10.1 rdp代理简介针对windows远程桌面的以上一些安全问题，我公司在天玥iv堡垒机上开发了rdp-proxy模块，它是一款通过代理方式实现rdp访问安全性增强的系统，该模块有如下优点：（1）几乎不需要改变用户的操作习惯（2）对原有服务器的性能不产生任何影响（3）不需要在原有服务器和客户端上安装

34、软件，修改配置（4）能够完整记录用户的整个访问过程并回放4.10.2 工作原理天玥iv rdp-proxy模块的工作原理如下图所示： 通过对企业出入口的防火墙的配置，客户端通过internet不能直接访问rdp服务器群，只能先访问rdp-proxy，rdp连接建立之后，再输入目的服务器地址，跳转到目的服务器。 这样，用户的所有输入都是通过rdp-proxy服务器转发到目的服务器，目的服务器的所有输出结果也是先发送到rdp-proxy，再由rdp-proxy发送到客户端。 rdp-proxy根据配置，可以记录用户的所有访问过程数据，写入本地文件，供rdp-replayer程序事后回放。 北京启明

35、星辰信息技术股份有限公司 17天玥网络安全审计系统（ma系列）产品白皮书4.10.3 体系结构rdp-proxy系统的内部结构如下图所示，由以下部分组成：rdprdp堡垒机（1） rdp-proxy程序，负责rdp协议的代理转发，并将协议数据记录成审计数据文件。（2） rdp-config程序，负责配置、管理rdp-proxy。（3） rdp-replayer程序，负责读取审计数据文件并在回放。 北京启明星辰信息技术股份有限公司 18天玥网络安全审计系统（ma系列）产品白皮书5 客户收益5.1.1 满足合规性要求，顺利通过it审计目前，越来越多的单位面临一种或者几种合规性要求。比如，在美上市的

36、中国移动集团公司及其下属分子公司就面临sox法案的合规性要求；而商业银行则面临basel协议的合规性要求；政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。天玥ma系统提供了一种独立的审计方案，有助于完善组织的it内控与审计体系，从而满足各种合规性要求，并且使组织能够顺利通过it审计。5.1.2 有效减少核心信息资产的破坏和泄漏对单位的业务系统来说，真正重要的核心信息资产往往存放在少数几个关键系统上，通过使用天玥ma系统，能够加强对这些关键系统的访问控制与审计，从而有效地减少核心信息资产的破坏和泄漏。5.1.3 有效控制运维操作风险，便于事后追查原因与界定责任一个单位里负责运维的部门

37、通常拥有目标系统或者网络设备的最高权限（掌握root帐号的口令），因而也承担着很高的风险（误操作或者是个别人员的恶意破坏）。由于目标系统不能区别不同人员使用同一个帐号进行维护操作，所以不能界定维护人员的真实身份。天玥ma系统提供基于角色的访问控制与审计，不但能够有效地控制运维操作风险，还能够有效地区分不同维护人员的身份，便于事后追查原因与界定责任。5.1.4 有效控制业务运行风险，直观掌握业务系统运行的安全状况业务系统的正常运行需要一个安全、稳定的网络环境。对运维部门来说，网络环境的安全状况事关重大。天玥ma系统提供业务流量监控与审计事件统计分析功能，能够直观地反映网络环境的安全状况。5.1.

38、5 实现独立审计与三权分立，完善it内控机制从内控的角度来看，it系统的使用权、管理权与监督权必须三权分立。在三权分立的基础上实施内控与审计，有效地控制操作风险（包括业务操作风险与运维操作风险）。天玥北京启明星辰信息技术股份有限公司 19天玥网络安全审计系统（ma系列）产品白皮书ma系统实现独立的审计与三权分立，完善it内控机制。5.1.6 一体化、低成本、可操作的4a解决方案对于有内控需求的个别行业，目前正在建设4a系统，虽然在业内已经颁布各种4a规范与标准，但建设4a系统并非易事。要遵循规范，循序渐进，而且实施周期长，实施成本巨大。鉴于4a全面建设的困难性，可考虑从离散的点铺开，然后连成面

39、。天玥ma系统即是这样一种低成本、易实施的一体化4a解决方案，涵盖了账号管理、身份认证、访问授权以及操作审计等几方面的基本功能。北京启明星辰信息技术股份有限公司 20天玥网络安全审计系统（ma系列）产品白皮书6 部署与使用天玥ma的一般部署方式如下：1、根据不同的管辖范围部署一到多台天玥ma；2、部署一台天玥ma集中监控平台；6.1 单台部署在天玥ma上，给每一个维护人员建立唯一的自然人账号，配置要管辖的主机资源，建立主机的资源账号，根据业务需要，配置访问控制策略，每个人能以什么身份访问主机，建立自然人与主机账号的对应关系。用户要登录（通过telnet或ssh）某主机，首先通过ssh登录到天玥

40、ma系统，天玥ma根据登录用户的权限，提供该用户所能访问的主机与网络设备的列表；用户选择要维护的主机，天玥ma根据用户在该网元设备上的帐号权限，完成后续的登录过程；用户方可使用该网元设备。用户在目标设备上的所有操作命令以及命令输出均由天玥ma来进行记录。同时，天玥ma可实时监视网络系统的运行状态，记录网络事件，发现安全隐患，并对网络活动的相关信息进行存储、分析和审计回放。天玥ma以旁路的方式接入网络，通过路由策略来限制天玥ma成为用户访问网络资源的唯一入口。天玥ma在网络中的部署示意图如下：北京启明星辰信息技术股份有限公司 21天玥网络安全审计系统（ma系列）产品白皮书 图1. 天玥ma单台部

41、署示意图6.2 分布式部署适用于省级规模的骨干网，在单台部署的基础上，可以在中心部署一套集中监控平台，用来采集各实施点的安全策略与操作日志，并监控各个实施点产品的健康状态，部署图如下： 图2. 天玥ma分布式部署示意图 北京启明星辰信息技术股份有限公司 22天玥网络安全审计系统（ma系列）产品白皮书7 典型用户目前天玥ma系统已经在电信运营商行业有大规模部署经验，目前主要客户有： 北京启明星辰信息技术股份有限公司 23 袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀

42、衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈

43、羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿

44、薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿

45、虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇

46、蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈

47、蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿

48、螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆

49、蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇

50、螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈

51、袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆

52、袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅袆莅蒂羇膂芁蒁蚇羄膇蒁蝿膀肃蒀袂羃莁蕿薁膈芇薈蚄羁膃薇螆膆聿薆羈罿蒈薅蚈袂莄薅螀肈芀薄袃袀膆薃薂肆肂蚂蚅衿莀蚁螇肄芆蚀衿袇膂虿虿肂膈虿螁羅蒇蚈袃膁莃蚇羆羃艿蚆蚅腿膅节螈羂肁莂袀膇莀莁薀羀芆莀螂膆节荿袄肈膈莈羇袁蒆莇蚆肇莂莆蝿衿芈蒆袁肅膄蒅薁袈肀蒄蚃肃葿蒃袅