SecPath运维审计系统堡垒机深度介绍及销售场景课件

1、安全运维轻松运维SecPath 运维审计系统第1页，共47页。目录运维安全风险分析运维审计功能介绍优势与价值总结选型/部署竞争分析第2页，共47页。IT团队服务器、交换机、安全设备大家都用这个账号操作失误也没人知道滥用、误用权限严重业务系统故障共享账号运维现状一：共享账号第3页，共47页。服务器、交换机、安全设备临时账号临时账号“忘记”清除日积月累，临时账号泛滥被恶意人员利用业务系统故障第三方人员运维现状二：代维人员威胁大第4页，共47页。IT人员服务器、交换机、安全设备一次巡检需要反复登录每次运维进行多次认证太麻烦，效率太低提高效率=有特征的密码？严重的安全隐患运维现状三：效率低第5页，共4

2、7页。IT团队服务器、交换机、安全设备运维情况不透明谁正在操作您的服务器？您的服务器每天发生了多少运维访问？重要的系统上每天都有什么操作？是否有高危操作正在发生？谁来告警？网络运维现状四：不透明第6页，共47页。运维泄露事件【外包人员窃密】 上海数10万新生儿信息被倒卖，出自市卫生局数据库外包维护 人员。【内部人员窃密】卫生部明文要求医院加强对统方信息的管理，但事故频出，如福州市马江医院某信息科科员通过卖“统方”收受医药代表贿款。【内部人员窃密】+【外包人员窃密】？2007年，CIA将其派驻瑞士日内瓦负责维持计算机网络安全。2009年离开中情局后作为博思艾伦公司雇员在国安局工作4年。第7页，共

3、47页。运维资产区域Step1：统一入口Step2：集中管理解决运维风险的思路第8页，共47页。目录运维安全风险分析运维审计功能介绍优势与价值总结选型/部署竞争分析第9页，共47页。身份管理访问认证权限控制操作审计运维审计主要实现4A功能你（运维人员）是谁？人员和资产的管理防止身份冒用和复用防止内部误操作和权限滥用追溯的保障和事故分析的依据你（运维人员）的身份合法？你（运维人员）能做什么？你（运维人员）做了什么？什么是运维审计第10页，共47页。运维审计主机（堡垒机） 堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环

4、境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、记录、分析、处理的一种技术手段。核心思路逻辑上将人与目标设备分离，建立“人-主账号（堡垒机用户账号）-授权从账号（目标设备账号）的模式;在这种模式下，基于唯一身份标识，通过集中管控安全策略的账号管理、授权管理和审计，建立针对维护人员的“主账号-登录访问操作-退出”的全过程完整审计管理，实现对各种运维加密/非加密、图形操作协议的命令级审计。系统价值1、医疗、大中型国有企业有等重要客户，可作为等保评定的组成部分2、满足萨班斯法案的内控要求第11页，共47页。telnet到交换机https访问防火墙ssh到linux、远程到window

5、sIT人员统一运维入口通道安全封杀其他所有访问通道（防火墙、交换机ACL）运维审计一、实现运维入口统一第12页，共47页。字符型运维协议文件型运维协议图形运维协议Web访问协议数据库工具其他工具telnet、sshftp、sftpRDP、VNChttp、httpsPLSQLSQLplustoadSQLyogPcanywhere虚拟化工具广泛支持各种运维工具：SecureCRTSecureFXXshellmstscPuTTYFileZilla WinSCP FlashFXP 支持的运维种类第13页，共47页。登录IT人员认证本地AD域LDAPRadius短信认证服务器用户（自然人）角色账户（资产

6、）linux账户AIX账户Windows账户交换机账户数据库账户身份安全运维审计二、统一账户管理、统一认证第14页，共47页。1）快速部署一次批量导入用户、主机和账户，以及授权关系第15页，共47页。16支持账号手动登录2）自动学习添加资产、自动完成授权第16页，共47页。可通过radius与主流认证系统对接，实现双因子认证；3）灵活的双因子认证支持短信、AD、LDAP、radius第17页，共47页。运维审计基本控制IT人员图形会话1.ACL命令控制操作安全4.邮件、syslog告警2.命令阻断3、手工切断会话rm mkfs shutdown 源和目的IP地址、协议、账号三、运维风险控制第1

7、8页，共47页。1）登陆双人审核、登陆备注模式第19页，共47页。2）内置命令分组，快速部署命令规则第20页，共47页。3）违规操作阻断支持告警、取消、阻断第21页，共47页。IT人员加密隧道提取字符命令和图形时间目标主机用户命令内容来源ip详细信息2015/05/10192.10.张三ls192.168.-操作命令列表操作命令回放图形操作回放运维审计四、运维会话全审计第22页，共47页。telnet会话回放ssh会话回放1）字符会话回放第23页，共47页。文件传输事件2）文件传输会话审计第24页，共47页。标题窗口记录屏幕动态文字内容记录键盘键入和搜索3）视频会话回放和检索第25页，共47页

8、。Xftp审计PL/SQL审计SQLplus审计4）其他运维工具审计第26页，共47页。目录运维安全风险分析运维审计功能介绍优势与价值总结选型/部署竞争分析第27页，共47页。立即、定时、周期改密可通过邮件、FTP、SFTP外送密码，并可以设置密码最可靠的改密机制：全仿真人工改密方式；无需安装agent、打开telnet服务；最高可靠的改密途径；全自动的密码灾难恢复方案；改密前外送密码密码加密传输自动改密，增强安全，减轻运维压力第28页，共47页。最近运维统计，快速登录直接点击，快速登录支持常用客户端，最小改变客户运维习惯全仿真linux命令体系注重易用性和大型运维场景第29页，共47页。30

9、重要资产双人复核金库模式，可避免命令绕过第30页，共47页。31HTTP应用自动登录（安全设备、存储等）第31页，共47页。RAID实时监测模块系统使用寿命更长磁盘故障不影响运维系统日志分离RAID 1三重保障由于频繁读写导致的磁盘故障是设备宕机的最大原因独特的稳定性设计第32页，共47页。运维审计运维人员应用中心IT人员使用应用软件Step3:审计Step1：安装Step2：发布任意客户端/程序都可以在应用中心安装并接受统一管理和授权运维工具也可实现密码代填虚拟化实现运维任意扩展第33页，共47页。基于应用虚拟化的真实界面运维工具应用中心第34页，共47页。能够钻取的报表可以体现更深入的产品

10、价值钻取出报表的价值第35页，共47页。丰富的报表第36页，共47页。37离线播放器，自动备份日志第37页，共47页。审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户，根据记录数据进行分析，并生成审计报表。为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性及时删除多余的、过期的帐户，避免共享帐户的存在”依据安全策略严格控制用户对有敏感标记重要信息资源的操作用户账号授权审计遵从法律法规的价值等保第38页，共47页。目录运维安全风险分析运维审计功能介绍优势与价值总结选型/部署竞争分析第39页，共47页。配置清单项目A2020A2100接口1个配置口（conso

11、le）1个外置USB host接口6个千兆以太网电口1个配置口（console）1个外置USB host接口4个千兆以太网电口2个千兆以太网光口硬盘配置1T2T*2，支持raid1电源配置单电源双电源临时目录价3120001056000资源性能资产数300个字符连接300个图形连接30个资产数无限制字符连接1000个图形连接300个第40页，共47页。运维审计部署运维审计一般采用旁路方式连接核心交换机，不改变用户网络结构IT运维人员终端业务用户Internet第41页，共47页。目录运维安全风险分析运维审计功能介绍优势与价值总结选型/部署竞争分析第42页，共47页。HW项目参数型号iSOC U

12、MA OMA SiSOC UMA OMA EiSOC UMA APPBOX软件iSOC-UMAiSOC-UMAAppbox操作系统CentOS 5.7CentOS 5.7Microsoft Windows 2008CPU1 （E4-2403 4核 1.8GHz）2 （E4-2403 4核 1.8GHz）1 （E4-2403 4核 1.8GHz）内存提供6个内存插槽采用DDR3a内存内存配置：1 8G DDR3提供12个内存插槽采用DDR3内存内存配置：2 8G DDR3提供6个内存插槽采用DDR3内存内存配置：1 8G DDR3硬盘系统盘：配置2块后置2.5英寸、容量为300GB、转速为100

13、00r/min的SASb硬盘。数据盘：配置2块3.5英寸、容量2TB、转速为7200r/min的NL-SASc。系统盘：配置2块后置2.5英寸、容量为300GB、转速为10000r/min的SAS硬盘。数据盘：配置2块3.5英寸、容量2TB、转速为7200r/min的NL-SAS。配置2块后置2.5英寸、容量为300GB、转速为10000r/min的SAS硬盘。电源参数电源模块数量：2，构成1 + 1冗余模式最大功率：650W交流电源电压：100V 127V或200V 240V交流电源频率：50Hz 60Hz直流电源电压：48V 60V重量最大重量d：32kg尺寸2U，86.1mm 446mm

14、 582mm（高 宽 深）I/O接口1个百兆IPMI 2.0管理网口2个GE业务网口 + 4个扩展GE网口1个百兆IPMI 2.0管理网口2个GE业务网口 + 6个扩展GE网口1个百兆IPMI 2.0管理网口2个GE业务网口 + 2个扩展GE网口第43页，共47页。竞争分析公司规模小、研发力量不足、新需求难以满足、技术支持不足；不支持文件内容审计（包括SFTP/FTP/远程桌面拷贝/rz和sz命令）；不支持远程桌面图形日志的屏幕文字内容搜索；审计搜索不方便，需要区分不同的审计类型，在不同界面搜索；硬件为普通组装PC服务器，硬件稳定性不好；硬件内置了堡垒机和应用中心两个虚拟机，性能和稳定性存疑；第44页，共47页。竞争分析不支持远程桌面拷贝/rz和sz命令文件内容审计，不支持审计控制；不支持远程桌面图形日志的屏幕文字内容搜索；审计搜索不太方便，需要区分不同的审计类型，在不同界面搜索；应用发布无法自定义程序；产品安全漏洞较多，在乌云漏洞平台可查；为双子星架构（一个盒子两套主板），性能和稳定性存疑；第45页，共47页。竞争分析公司在走下坡路，产品影响范围越来越小了；自动改密准确性较低；不支持S