LanSecS(堡垒主机)内控管理平台产品交流(售前)

精细访控事件追踪

LanSecS（堡垒主机）内控管理平台技术交流技术顾问朱家卫2010年8月精细访控事件追踪技术顾问朱家卫2010年8月交流提纲54堡垒主机解决方案3现有解决方案2问题分析1IT运维现状堡垒主机产品介绍6为何选择LanSecS交流提纲54堡垒主机解决方案3现有解决方案2问题分析1IT运2IT资产IT运维角度主机系统数据库系统网络设备安全设备专用系统应用角度OA系统财务系统人力系统业务应用系统客户服务系统IT资产IT运维角度主机系统应用角度OA系统3资产用户资产的管理者内部维护人员常驻维护人员临时维护人员资产的使用者行政人员财务人员业务人员管理人员外部用户资产用户资产的管理者内部维护人员资产的使用者行政人员4访问方式各类人员可以通过下面各种途径访问IT资产：使用远程终端服务：例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口（CLI）使用文件传输协议：例如FTP等使用远程窗口和桌面：例如Windows的远程桌面（RDP），和Unix的Xwindow。使用各种数据库客户端：例如各种数据库的client程序、ODBC、JDBC，以及多种其它数据库工具。访问方式各类人员可以通过下面各种途径访问IT资产：5IT运维现状？用户管理复杂性不可避免？？资产安全性又如何保证？IT运维现状？用户管理复杂性不可避免？？资产安全性又如何保证6管理工作帐号管理认证管理AB操作审计D授权管理C定义帐号密码定期变更密码密码强度控制……..日志收集日志分析故障排查事故追踪……..

建立帐号修改帐号删除帐号……..定义帐号权限分配帐号修改帐号权限防止越权访问……..设备及服务器管理管理工作帐号管理认证管理AB操作审计D授权管理C定义帐号密码7管理问题—帐号管理空闲帐号弱口令帐号僵尸帐号共享帐号相同帐号设备及服务器群管理问题—帐号管理空闲帐号弱口令帐号僵尸帐号共享帐号相同帐号8管理问题—认证管理各系统独立认证单一的静态口令认证口令强度基本无限制管理问题—认证管理各系统独立认证9管理问题—授权管理授权工作量大、繁琐没有有效的访问控制手段授权粒度粗，基本只到设备管理问题—授权管理授权工作量大、繁琐10管理问题—审计一缺乏资源帐号管理的审计缺乏资源帐号分配给自然人的授权审计缺乏用户登录登出系统的审计缺乏用户对系统操作行为的审计管理问题—审计一缺乏资源帐号管理的审计11管理问题—审计二关键业务系统数据被修改了，系统记录是admin改的，到底是谁用这个帐号改的？这么多系统，查看命令这么复杂，我怎么去使用这些命令去查看？业务数据被修改，从日志中查，一天的日志量有几百万，我该从什么地方开始看，他到底在什么时间修改业务数据的？每个系统的日志都这么多，不知道他们之间有什么关系？管理问题—审计二关键业务系统数据被修改了，系统记录是admi12……当出现事故或安全问题时，无法对事故责任进行追踪定责。无法对维护人员的作业行为进行监控。多人共用系统帐号，进行维护作业由于维护人员维护多个系统资源，常常为了方便将口令信息存放于文件之中维护人员通常使用高权限的帐号进行维护操作，对于某些用户来说该权限过于宽松企业关键设备的登陆缺乏强认证手段。传统强认证手段实施困难管理员误操作重现恢复困难。管理问题小结……当出现事故或安全问题时，无法对事故责任进行追踪定责。多人13资产安全问题多人共用系统帐号，帐号信息容易外泄，资产安全受到威胁边界安全建设日趋完善，内部威胁未受重视，80%的问题与威胁来自于网络内部，终端防护类只解决了病毒、木马等，人为呢？或者操作失误呢？企业生产数据面临被内部人员篡改、删除、窃取，主机被关机、设备配置被修改，导致企业生产停顿、商业资料泄露，给企业造成巨大的损失。资产安全问题多人共用系统帐号，帐号信息容易外泄，资产安全受到14运维人员使用问题密码记忆用户需要记忆许多用户名和密码用于登录各个系统，经常出现忘记密码的情况，有些管理直接使用相同的密码，缺乏统一的用户管理。频繁登录和注销管理不同的网络设备需要分别登录，操作繁琐。运维人员使用问题密码记忆15合规性问题萨班斯.奥克斯利法案（Sarbanes-Oxley）公安部：《信息系统安全等级保护基本要求（试用稿）》对数据安全的保护是安全等级保护关注的对象。财政部、审计署、证监会、银监会、保监会《企业内部控制基本规范》是内部控制审计的重要依据。合规性问题萨班斯.奥克斯利法案（Sarbanes-Oxley16据外电报道，已有多个消息来源证实，在美国东部时间6日下午，一名交易员在卖出股票时敲错了一个字母，将百万误打成十亿（million-billion），导致道琼斯指数突然出现近千点暴跌，误操作和技术问题可能是导致6日纽约股市暴跌的主要原因之一。针对出现多处异常波动现象，纽约证券交易所和纳斯达克股票市场已展开调查。——2010.5.7新闻一个实例据外电报道，已有多个消息来源证实，在美国东部时间6日下午，一17集中登录集中式网络管理（先登录管理作业服务器，然后转换身份再对相关服务器进行维护。属于多用户单帐号管理方式）问题：

1.多用户共享root帐号，权限划分不明，所有人员都具有最高的ROOT权限。

2.无法跟踪某个管理员的确切操作。

3.依靠各自服务器的日志信息，审计信息不可集中审计管理。集中登录集中式网络管理（先登录管理作业服务器，然后转换身份再18旁路审计针对协议：明文协议（TELNET/FTP/HTTP等）问题：

1.密文协议（SSH/RDP等）

2.细粒度授权

3.审计信息不可读（实名、信息量）xvz@b銐>e決;`耂決塠hQ軴芠€b/g纇錱密文，无法审计SSH分析仪/审计仪镜像监听旁路审计针对协议：明文协议（TELNET/FTP/HTTP等19解决问题思路现有解决方案集中登录旁路审计堡垒主机解决方案帐户管理认证管理授权管理操作审计集中管理帐户多系统统一帐户集中认证统一登录安全认证集中管理授权细化变更容易集中审计过程审计易存储，易查询可结构化输出解决问题思路现有解决方案集中登录旁路审计堡垒主机解决方案帐户2021集中访问入口、操作审计堡垒主机内控平台21集中访问入口、操作审计堡垒主机内控平台21建设目标集中管理帐号管理唯一身份认证管理你是谁授权管理你能干什么操作审计你干了什么建设目标集中管理帐号管理唯一身份认证管理你是谁授权管理你能干22身份授权分离系统帐号=身份认证系统授权+主帐号身份认证+从帐号系统授权+身份授权分离系统帐号=身份认证系统授权+主帐号身份认证+从帐23操作审计集中审计全程记录，操作过程审计统一存储，统一查询真实还原操作过程多协议审计支持操作审计集中审计24产品架构产品架构25集中管理平台集中帐号管理集中认证集中授权集中访问控制集中安全审计集中管理平台集中帐号管理26字符终端代理支持指令终端的常见协议SSH、TELNET、RLOGIN、FTP字符终端代理支持指令终端的常见协议27

策略中配置禁止该操作员使用kill等危险命令，显示禁用提示信息策略中配置禁止命令中不包含more命令，放行通过，得到正确执行结果操作人员moreabc.filekillallapache堡垒主机目标服务器字符权限控制一策略中配置禁止该操作员使用kill等危险命28字符权限控制二字符权限控制二29图形终端代理支持图形终端的常见协议RDP、VNC、XWINDOWS图形终端代理支持图形终端的常见协议30统一的WEB单点登录方式单点登录—UNIX统一的WEB单点登录方式单点登录—UNIX31统一的WEB单点登录方式单点登录—WINDOWS主机统一的WEB单点登录方式单点登录—WINDOWS主机32操作审计一操作审计一33操作审计二操作审计二34操作审计三操作审计三35操作审计——操作过程回放操作审计——操作过程回放36产品特色流程管理提供用户申请、权限申请、资源申请等管理流程4a扩展在4A项目中，帐号、认证、授权管理转移到4A，提供执行单元，完成基础访问控制和操作审计功能。在非4A项目中除提供基础的访问控制和操作审计功能外，还提供精简的帐号、认证、授权集中管理功能。内部权限控制灵活策略配置灵活时间、源设备、命令安全会话一次性会话密钥与连接会话加密高可用性与可靠性支持外接存储支持双机产品特色流程管理37分散审计->综合安全审计直接访问管理-〉集中访问控制网关逐个系统的设置帐号策略-〉集中账号管理逐个系统的认证登陆-〉单点登陆逐个系统的认证安全建设-〉集中IAM方案符合安全规范提高访问安全减轻管理压力简化操作流程降低管理成本用户收益分散审计->综合安全审计直接访问管理-〉集中访问控制网关逐个38堡垒主机基本部署DMZ或设备中心工作区IT运维人员IT运维人员Internet堡垒主机堡垒主机基本部署DMZ或设备中心工作区IT运维人员IT运维人39产品规格产品名称型号产品描述LanSecS－NK－501U硬件设备、最大能够管理50个资源数LanSecS－NK－1001U硬件设备、最大能够管理100个资源数LanSecS－NK－2002U硬件设备、最大能够管理200个资源数LanSecS－NK－5002U硬件设备、最大能够管理500个资源数产品规格产品名称型号产品描述LanSecS－NK－501U硬40典型案例中国人保30多台类Unix主机（包括SCOUnix、RedHatLinux、Solaris、AIX等）20多台Windows主机（操作系统为windows2003/2000和少数XP）60多台核心交换和路由器北师大航天长城100多个被管资源典型案例中国人保41公司简介-圣博润2000年成立与中关村科技园区10年专业致力与信息安全软件产品开发、研究和服务国内领先的信息安全产品和服务提供商自主知识产权总公司设在北京，在中国29个重要城市设有办事机构，拥有以北京和南京地区为支点的研发体系，在华东、华南、东北地区设有分公司目前公司总人数为300人，研发和技术人员人数占员工总数近40%近万家的成功案例国内内网安全产品和服务综合厂商中唯一上市公司公司人员增长示意图2000200320062010335902102008150公司简介-圣博润2000年成立与中关村科技园区公司人员增长示42公司简介-圣博润公司于2009年2月18日在深交所新三板市场正式挂牌，股票代码为430046是国内安全运维防护产品企业中唯一一家上市公司公司技术具备创新性，管理规范公司具备可持续发展能力，售后服务值得用户/合作伙伴信赖圣博润公司成功上市公司简介-圣博润公司于2009年2月18日在深交所新三板市场43研发和技术人员金融风险事业部安全服务咨询售后服务和800电话行政、财务和后勤销售团队和市场创新能力突出组织架构合理高层管理团队团队建设研发和技术人员金融风险事业部安全服务咨询售后44高新技术企业证书ISO9001:2000质量管理体系认证软件产品认定软件企业认定软件著作权高新技术企业证书ISO9001:2000质量管理体系认证软件45交流提纲54堡垒主机解决方案3现有解决方案2问题分析1IT运维现状堡垒主机产品介绍6为何选择LanSecS交流提纲54堡垒主机解决方案3现有解决方案2问题分析1IT运46谢谢！！！谢谢！！！精细访控事件追踪

LanSecS（堡垒主机）内控管理平台技术交流技术顾问朱家卫2010年8月精细访控事件追踪技术顾问朱家卫2010年8月交流提纲54堡垒主机解决方案3现有解决方案2问题分析1IT运维现状堡垒主机产品介绍6为何选择LanSecS交流提纲54堡垒主机解决方案3现有解决方案2问题分析1IT运49IT资产IT运维角度主机系统数据库系统网络设备安全设备专用系统应用角度OA系统财务系统人力系统业务应用系统客户服务系统IT资产IT运维角度主机系统应用角度OA系统50资产用户资产的管理者内部维护人员常驻维护人员临时维护人员资产的使用者行政人员财务人员业务人员管理人员外部用户资产用户资产的管理者内部维护人员资产的使用者行政人员51访问方式各类人员可以通过下面各种途径访问IT资产：使用远程终端服务：例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口（CLI）使用文件传输协议：例如FTP等使用远程窗口和桌面：例如Windows的远程桌面（RDP），和Unix的Xwindow。使用各种数据库客户端：例如各种数据库的client程序、ODBC、JDBC，以及多种其它数据库工具。访问方式各类人员可以通过下面各种途径访问IT资产：52IT运维现状？用户管理复杂性不可避免？？资产安全性又如何保证？IT运维现状？用户管理复杂性不可避免？？资产安全性又如何保证53管理工作帐号管理认证管理AB操作审计D授权管理C定义帐号密码定期变更密码密码强度控制……..日志收集日志分析故障排查事故追踪……..

建立帐号修改帐号删除帐号……..定义帐号权限分配帐号修改帐号权限防止越权访问……..设备及服务器管理管理工作帐号管理认证管理AB操作审计D授权管理C定义帐号密码54管理问题—帐号管理空闲帐号弱口令帐号僵尸帐号共享帐号相同帐号设备及服务器群管理问题—帐号管理空闲帐号弱口令帐号僵尸帐号共享帐号相同帐号55管理问题—认证管理各系统独立认证单一的静态口令认证口令强度基本无限制管理问题—认证管理各系统独立认证56管理问题—授权管理授权工作量大、繁琐没有有效的访问控制手段授权粒度粗，基本只到设备管理问题—授权管理授权工作量大、繁琐57管理问题—审计一缺乏资源帐号管理的审计缺乏资源帐号分配给自然人的授权审计缺乏用户登录登出系统的审计缺乏用户对系统操作行为的审计管理问题—审计一缺乏资源帐号管理的审计58管理问题—审计二关键业务系统数据被修改了，系统记录是admin改的，到底是谁用这个帐号改的？这么多系统，查看命令这么复杂，我怎么去使用这些命令去查看？业务数据被修改，从日志中查，一天的日志量有几百万，我该从什么地方开始看，他到底在什么时间修改业务数据的？每个系统的日志都这么多，不知道他们之间有什么关系？管理问题—审计二关键业务系统数据被修改了，系统记录是admi59……当出现事故或安全问题时，无法对事故责任进行追踪定责。无法对维护人员的作业行为进行监控。多人共用系统帐号，进行维护作业由于维护人员维护多个系统资源，常常为了方便将口令信息存放于文件之中维护人员通常使用高权限的帐号进行维护操作，对于某些用户来说该权限过于宽松企业关键设备的登陆缺乏强认证手段。传统强认证手段实施困难管理员误操作重现恢复困难。管理问题小结……当出现事故或安全问题时，无法对事故责任进行追踪定责。多人60资产安全问题多人共用系统帐号，帐号信息容易外泄，资产安全受到威胁边界安全建设日趋完善，内部威胁未受重视，80%的问题与威胁来自于网络内部，终端防护类只解决了病毒、木马等，人为呢？或者操作失误呢？企业生产数据面临被内部人员篡改、删除、窃取，主机被关机、设备配置被修改，导致企业生产停顿、商业资料泄露，给企业造成巨大的损失。资产安全问题多人共用系统帐号，帐号信息容易外泄，资产安全受到61运维人员使用问题密码记忆用户需要记忆许多用户名和密码用于登录各个系统，经常出现忘记密码的情况，有些管理直接使用相同的密码，缺乏统一的用户管理。频繁登录和注销管理不同的网络设备需要分别登录，操作繁琐。运维人员使用问题密码记忆62合规性问题萨班斯.奥克斯利法案（Sarbanes-Oxley）公安部：《信息系统安全等级保护基本要求（试用稿）》对数据安全的保护是安全等级保护关注的对象。财政部、审计署、证监会、银监会、保监会《企业内部控制基本规范》是内部控制审计的重要依据。合规性问题萨班斯.奥克斯利法案（Sarbanes-Oxley63据外电报道，已有多个消息来源证实，在美国东部时间6日下午，一名交易员在卖出股票时敲错了一个字母，将百万误打成十亿（million-billion），导致道琼斯指数突然出现近千点暴跌，误操作和技术问题可能是导致6日纽约股市暴跌的主要原因之一。针对出现多处异常波动现象，纽约证券交易所和纳斯达克股票市场已展开调查。——2010.5.7新闻一个实例据外电报道，已有多个消息来源证实，在美国东部时间6日下午，一64集中登录集中式网络管理（先登录管理作业服务器，然后转换身份再对相关服务器进行维护。属于多用户单帐号管理方式）问题：

1.多用户共享root帐号，权限划分不明，所有人员都具有最高的ROOT权限。

2.无法跟踪某个管理员的确切操作。

3.依靠各自服务器的日志信息，审计信息不可集中审计管理。集中登录集中式网络管理（先登录管理作业服务器，然后转换身份再65旁路审计针对协议：明文协议（TELNET/FTP/HTTP等）问题：

1.密文协议（SSH/RDP等）

2.细粒度授权

3.审计信息不可读（实名、信息量）xvz@b銐>e決;`耂決塠hQ軴芠€b/g纇錱密文，无法审计SSH分析仪/审计仪镜像监听旁路审计针对协议：明文协议（TELNET/FTP/HTTP等66解决问题思路现有解决方案集中登录旁路审计堡垒主机解决方案帐户管理认证管理授权管理操作审计集中管理帐户多系统统一帐户集中认证统一登录安全认证集中管理授权细化变更容易集中审计过程审计易存储，易查询可结构化输出解决问题思路现有解决方案集中登录旁路审计堡垒主机解决方案帐户6768集中访问入口、操作审计堡垒主机内控平台21集中访问入口、操作审计堡垒主机内控平台68建设目标集中管理帐号管理唯一身份认证管理你是谁授权管理你能干什么操作审计你干了什么建设目标集中管理帐号管理唯一身份认证管理你是谁授权管理你能干69身份授权分离系统帐号=身份认证系统授权+主帐号身份认证+从帐号系统授权+身份授权分离系统帐号=身份认证系统授权+主帐号身份认证+从帐70操作审计集中审计全程记录，操作过程审计统一存储，统一查询真实还原操作过程多协议审计支持操作审计集中审计71产品架构产品架构72集中管理平台集中帐号管理集中认证集中授权集中访问控制集中安全审计集中管理平台集中帐号管理73字符终端代理支持指令终端的常见协议SSH、TELNET、RLOGIN、FTP字符终端代理支持指令终端的常见协议74

策略中配置禁止该操作员使用kill等危险命令，显示禁用提示信息策略中配置禁止命令中不包含more命令，放行通过，得到正确执行结果操作人员moreabc.filekillallapache堡垒主机目标服务器字符权限控制一策略中配置禁止该操作员使用kill等危险命75字符权限控制二字符权限控制二76图形终端代理支持图形终端的常见协议RDP、VNC、XWINDOWS图形终端代理支持图形终端的常见协议77统一的WEB单点登录方式单点登录—UNIX统一的WEB单点登录方式单点登录—UNIX78统一的WEB单点登录方式单点登录—WINDOWS主机统一的WEB单点登录方式单点登录—WINDOWS主机79操作审计一操作审计一80操作审计二操作审计二81操作审计三操作审计三82操作审计——操作过程回放操作审计——操作过程回放83产品特色流程管理提供用户申请、权限申请、资源申请等管理流程4a扩展在4A项目中，帐号、认证、授权管理转移到4A，提供执行单元，完成基础访问控制和操作审计功能。在非4A项目中除提供基础的访问控制和操作审计功能外，还提供精简的帐号、认证、授权集中管理功能。内部权限控制灵活策略配置灵活时间、源设备、命令安全会话一次性会话密钥与连接会话加密高可用性与可靠性支持外接存储支持双机产品特色流程管理84分散审计->综合安全审计直接访问管理-〉集中访问控制网关逐个系统的设置帐号策略-〉集中账号管理逐个系统的认证登陆-〉单点登陆逐个系统的认证安全建设-〉集中IAM方案符合安全规范提高访问安全减轻管理压力简化操作流程降低管理成本用户收益分散审计->综合安全审计直接访问管理-〉集中访问控制网关逐个85堡垒主机基本部署DMZ或设备中心工作区IT运维人员IT运维人员Internet堡垒主机堡垒主机基本部署DMZ或设备中心工作区IT运维人员IT运维人86产品规格产品名称型号产品描述LanSecS－NK－501U硬件设备、最大能够管理50个资源数LanSecS－NK－1001U硬