网镜功能介绍课件

1、网镜功能介绍神州数码系统集成服务网镜系统新功能介绍网镜功能介绍功能回顾 网镜系统基于旁路检测模式，实现了以下网镜系统基于旁路检测模式，实现了以下功能功能 引入CA证书技术进行络层身份认证，实现了用户真实身份和IP地址的绑定 实现Unix主机操作协议Telnet、FTP、rLogin、RPC操作审计，并可通过预设规则对命令进行控制 实现数据库操作审计，支持Oracle、Informix、Sybase、DB2、SQL Server等主流数据库 对WEB页面访问进行审计 提供了符合内控、内审要求的审计报表 在上述功能的基础上，赛贝卡根据大型在上述功能的基础上，赛贝卡根据大型ITIT系统运维和管理的需

2、要，开发了更多的功系统运维和管理的需要，开发了更多的功能模块能模块网镜功能介绍新的功能 网镜-proxy堡垒机基于命令行的代理登录模式 网镜-portal堡垒机用户账号的集中管理和内容控制 新的web报表模块网镜功能介绍网镜-proxy堡垒机（1） 基于代理（堡垒机）模式，提供对SSH、RDP协议的审计和访问控制 网镜-Proxy/Windows：回放，跟踪到原始IP和账号，解决RDP图形操作审计问题 网镜-Proxy/UnixTerm：回放，跟踪到原始IP和账号，命令审计和查询等，并解决SSH加密协议审计问题，提供基于ssh的匹配规则的审计 以软件模块形式实现各项功能，与网镜系统无缝集成，包

3、括共用网镜-Server认证审计服务器、管理控制界面、报表系统等，并可灵活配置 在性能要求低的场合，可以直接部署在网镜-Sensor网络嗅探器上 在性能要求高的场合，部署在单独的网镜-Sensor网络嗅探器上，并可选配是否加载网络审计模块网镜功能介绍网镜-proxy堡垒机（2） 集中管理账号管理，实现SSO（一次登录全网有效） 用户凭一个账号登录后，可访问所有授权的服务 引入主从账号机制，实现用户身份的统一管理和一次登录全网有效；对账号和口令质量进行统一管理、控制 与网镜原功能结合，同时实现网络设备、主机、数据库、业务系统的访问控制和操作审计网镜功能介绍SSH堡垒机登录方式一（1） 通过put

4、ty工具输入主账号和口令进行登录后，选择要访问的主机列表网镜功能介绍SSH堡垒机登录方式一（2）网镜功能介绍SSH堡垒机登录方式二（1） 用户使用agent登录成功后，根据用户的安全策略权限在agent界面的左侧列出可以访问的保护主机列表网镜功能介绍SSH堡垒机登录方式二（2） 访问ssh保护主机，双击ssh保护服务网镜功能介绍SSH堡垒机登录方式二（3） 输入要访问的保护主机的帐号和密码网镜功能介绍SSH堡垒机登录方式二（4） 登录成功后执行运维操作网镜功能介绍网镜-portal堡垒机（1） 解决RDP图形操作审计问题 解决其他的访问审计，尤其是数据库直接访问审计 系统账号集中管理，统一授权

5、 集中管理和发布运维软件 对所有的操作过程进行命令级的审计记录和控制网镜功能介绍网镜-portal堡垒机（2） 内容控制严格控制（或禁止）拷贝、粘贴全面监控脚本编辑和执行对数据的传递引入审批机制服务生成的数据脚本生成的数据运维客户端生成的数据网镜功能介绍Portal产生的背景n工信部组织的信息安全检查制定了明确的工信部组织的信息安全检查制定了明确的目标目标n严格控制用户数据的外泄和不正常使用n严格控制各种不健康内容的发布和下载n运营商也从自身的业务安全深切地体会到运营商也从自身的业务安全深切地体会到n必须对那些因业务、维护需要进行的各种数据传递进行严格的审批和控制n在经历了在经历了“塞班斯内控

6、、内审建设塞班斯内控、内审建设”、“4A4A系统建设系统建设”后，目前已进入攻坚阶段：后，目前已进入攻坚阶段：基于数据和内容的控制基于数据和内容的控制网镜功能介绍场景（一） 内容供应商（SP）的信息发布和获取 需要在运营商系统中获取敏感信息；或在上传各种业务内容 问题： SP的业务软件在获取敏感信息后，是否存在外泄情况？ SP上传的业务内容是否符合相关规范要求？ 业务系统的数据获取和传递 在经营分析系统中，需要前台服务器产生大量的核心数据文件，进行人工分析或二次智能分析 问题 这些核心数据的下载、传递是否可控？网镜功能介绍场景（二） 后台脚本的执行 BOSS、经分等系统，需要执行大量的临时脚本

7、，以生成前台业务系统暂时不能提供的数据 问题： 这些脚本都做了些什么、生成了哪些文件？ 这些脚本所产生的数据或文件，其下载和传递是否可控？ 维护人员对数据库的直接访问 使用运维工具登录到数据库系统进行各种操作 问题： 维护人员在运维工具（如PL/SQL）中获取的信息，是否存在拷贝、粘贴的可能？网镜功能介绍场景（三） 作为核心业务系统，BOSS（BSS/OSS）、经营分析系统中承载着大量的企业核心信息；为了切实加强核心的信息的安全控制需要对这些核心业务系统的数据访问实行严格的访问控制、访问审批、访问审计机制，主要包括以下三个方面： 通过业务系统的WEB页面产生核心数据，并通过某种方式（如FTP）

8、进行的文件或信息下载； 通过登录核心服务器或数据库，运行后台脚本产生的文件或信息下载； 通过运维工具（如Telnet、FTP、PL/SQL）等登录核心服务器或数据库，上传脚本文件，或直接获取核心信息造成的信息泄露。网镜功能介绍核心需求 对各种脚本的编写、提交、执行进行严格的审批和控制 对脚本所产生的数据的传递和使用，进行严格的审批和控制 对运维工具进行统一管理和发布，禁止进行拷贝、粘贴等操作 对由服务器产生的数据的传递、使用情况引入严格的审批控制机制 前台营业厅人员生成数据后的审批下载对数据的对数据的“生成生成”、“传递传递”、“使用使用”全程全程引入审批和控制机制！引入审批和控制机制！网镜功

9、能介绍赛贝卡解决方案 基于多年内控内审、4A系统建设的经验，提出了相对完善的内容控制解决方案 系统帐号集中管理，统一授权 集中系统管理 用户集中管理和SSO 全面支持运维管理协议 多种认证方式 系统密码策略管理 运维工具的统一管理、发布 拷贝、粘贴及文件传输审批机制 对数据的传递引入审批机制 服务生成的数据 脚本生成的数据 运维客户端生成的数据 对所有操作过程进行命令级的审计记录和控制网镜功能介绍集中用户管理和授权 对所有涉及系统维护的人员进行集中管理，设置其认证方式、后台可访问服务权限、访问时间、可使用的运维工具类型、操作审计策略等。 运维人员通过网镜运维管理系统向后台系统发起运维操作时，必

10、须遵守网镜系统设置的策略，否则，网镜系统将采取相应的动作，包括：禁止登录、禁止操作、实时告警、审计记录等。网镜功能介绍集中系统管理 将IT设备、系统纳入统一的管理，包括以下类型： 网络设备：路由器、交换机、负载均衡设备等； 主机设备：基于Linux、Unix、Windows操作系统的主机； 数据库系统：Oracle、SQL Server、DB2、Informix、Sybase等；网镜功能介绍用户集中管理和SSO 网镜运维管理系统基于“主从帐号”机制实现用户的集中管理和SSO（Single Sign-On） “主帐号”是指分配给运维人员的帐号，这个帐号将用于运维人员登录网镜系统的堡垒端口时进行身

11、份认证。网镜系统的各项安全策略的设置，操作审计的记录、查询等，也将基于这个帐号进行。 “从帐号”是指后台系统或服务的登录帐号，这个帐号仅设置于网镜系统中，不为运维操作人员所知晓。当运维操作人员完成主帐号认证并选择需要登录的后台系统后，网镜系统将使用该帐号实现自动登录。 运维操作用户持主帐号登录网镜系统并完成身份认证后，就可以在无需知晓、输入后台帐号和口令的前提下，通过点击相应的后台服务实现自动登录。网镜功能介绍全面支持运维管理协议 网镜运维管理系统支持以下常用的运维管理协议，并实现了对这些协议的细粒度审计和控制： Telnet/SSH：通常用于网络设备、Unix/Linux操作系统及其业务系统

12、的运维管理。 ：通常用于网络设备、Unix/Linux操作系统及其业务系统的运维管理。 SQL：用于数据库系统的运维管理，网镜系统支持Oracle、SQL Server、Informix、Sybase、DB2、NCR等主流数据库。 RDP：用于Windows操作系统及其业务系统的运维管理。网镜功能介绍多种认证方式针对用户的主帐号，网镜运维管理系统支持多种方式的用户认证，包括： CACA证书认证：证书认证： CA数字证书的存储介质可选择使用“软件令牌”，也可选用“硬件令牌”。 帐号口令认证：帐号口令认证： 在选用“帐号口令”认证方式时，其口令将受“系统密码策略”的控制，以保证口令的质量并强制规范

13、口令的使用、更换。 手机短信口令认证：手机短信口令认证： 在用户提供短信接口的前提下，网镜系统支持通过手机短信传递一次性动态口令，从而进一步提升口令认证的安全性。 IPIP地址地址/IP/IP网段认证：网段认证： 可以为用户绑定一个IP地址或IP网段来实现用户认证，即：用户从绑定的IP或IP网段登录，无需再进行身份认证。 这种情况一般用于用户已经采用了诸如MAC/IP绑定、终端控制等安全技术的情况。网镜功能介绍系统密码策略管理 为了保证系统的安全性，网镜运维管理系统提供了专门的密码策略管理机制，允许运维管理根据需要制定多个不同的密码策略，并将这些密码策略赋予不同的管理对象，包括网镜系统管理员、

14、运维人员等。密码策略的内容包括： 口令的长度以及数字、字符的组合要求； 口令联系字符控制和与相似性检查； 第一次登录时强制修改缺省口令； 口令强制更改周期； 帐号错误输入次数超过阈值锁死； 帐号空闲时间超期锁死； 禁用口令字符集设置。网镜功能介绍运维工具的统一发布管理 在传统的运维管理中，管理对象主要集中在用户帐号及其认证的管理，而没有考虑运维工具的统一管理。即：操作人员在自己的PC上安装使用不同类型、版本的运维客户端工具，如Putty、PL/SQL等。 随着信息安全建设的深入，很多用户对运维工具的统一管理、发布提出了刚性的要求，即：堡垒机系统必须提供一个运维工具的发布平台，在这个平台上集中发

15、布被用户许可的运维工具；所有的运维人员只能使用在这个发布平台上安装、发布的运维工具。网镜功能介绍拷贝、粘贴及文件审批机制 在各种运维工具中，均提供有“拷贝、粘贴”等功能，这样，维护人员就可以将这些内容制作成诸如WORD、EXCEL等格式的文件存在在自己的PC中。 用户可以通过FTP等运维工具向后台目标服务器直接上传各种信息，包括可执行的脚本软件等，这也给信息系统留下了很大的隐患。 网镜堡垒机系统实现以下功能： 禁止在各种运维工具中使用拷贝、粘贴到本地PC的功能； 提供信息上传/下载审批机制：上传或下载的文件必须得到系统管理员的查看、审批后方可执行。网镜功能介绍热备及流量分担 网镜运维管理系统设

16、计了完备的热备和动态流量分担机制，基于这个机制，网镜运维管理服务器可以组成一个集群，同时向用户提供服务，这使得网镜系统可以提供高稳定性、高性能、不间断的运维管理服务。 针对用户广泛使用的基于四层交换的热备与流量分担机制，网镜系统也提供了相应的支持。网镜功能介绍脚本控制功能 对脚本的上传/下载、编辑、执行进行全程审计，形成相应的审计日志，并备份执行的脚本文件； 网镜系统对脚本执行形成的结果，包括调试结果和生产数据进行严格的控制；并对这些结果进行统一的管理和备份； 向业务服务器提供数据存储机制，以获取来自业务系统的数据，并对这些数据的存储、传递、使用进行严格控制，对过程和数据形成审计日志。网镜功能

17、介绍细粒度的运维操作审计和控制 网镜运维管理系统将对所有的运维操作进行细粒度的审计记录，包括： 对在线操作进行实时监控； 对操作命令、响应结果等进行查询，并对操作过程进行回放； 对违规登录或操作可以阻断或告警，并提供对违规操作的查询和跟踪。网镜功能介绍4A介绍 4A4A：包括统一用户账号（：包括统一用户账号（AccountAccount）管）管理、统一认证（理、统一认证（AuthenticationAuthentication） 管管理、统一授权理、统一授权(Authorization)(Authorization)管理和管理和统一安全审计统一安全审计(Audit)(Audit)四要素四要素

18、主要围绕用户管理提出了完整的技术解决思路 对于用户管理之后的细粒度访问控制、审计等，没有强制性要求网镜功能介绍与4A系统的关系 4A系统涉及面广，主要强调综合管理和集中展现，一般需要较长时间的定制开发 网镜解决方案基于成熟产品构建，简单的“部署”“实施”即可实现目前最急迫的核心需求 运维工具统一管理、发布；运维操作审计 拷贝粘贴、控制 脚本控制和审计 信息传递审批、控制 与4A系统接口 主从帐号同步，用户管理交由4A系统统一管理 审计日志共享，交由4A系统统一展现网镜功能介绍网镜：技术简捷，高性价比 多数厂商采用“CitrixWindows堡垒”的方式实现运维工具发布、图形操作回放、拷贝粘贴控

19、制 Citrix系统成本高昂 无法实现运维工具的操作命令审计 操作命令审计需要针对软件类型、版本定制开发 网镜解决方案 突破Citrix限制实现各项功能 除了提供图形回放外，同时提供操作命令审计，并且无需定制开发，“部署就使用” 同时提供命令行堡垒，最大程度地降低使用图形界面带来的带宽消耗、性能消耗用最简捷的技术，解决最核心的问题！用最简捷的技术，解决最核心的问题！网镜功能介绍技术成熟，功能贴切 已经在多个运营商核心系统成功使用，得到集团及外审组的高度评价 主要功能均围绕运营商需求进行开发 业务服务器数据流控制 脚本内容审批、控制，脚本数据流控制 文件传递分级审批 文件生成权与文件使用权限的分离 赛贝卡丰富的行业经验，可以共享行业内的成功经验网镜功能介绍案例网镜功能介绍网镜-Portal服务器 提供以下核心功能 运维工具的统一发布：Telnet/Toad/等常用运维工具，NotePad、Word、Excel等编辑工具 禁止从运维工具和编辑工具内拷贝、粘贴到操作PC 用户集中认证，依据用户权限，自动登录后台服务 用户提交文件传递审批申请、传递审批文件