《M系列：运维安全产品OSM》课件

《M系列：运维安全产品》《M系列：运维安全产品》目录应用背景功能特性2产品介绍客户收益目录应用背景功能特性2产品介绍客户收益运维现状管理人员企业各类IT资源开发人员第三方厂家人员运维人员帐号共用无法控制操作源头难于定位加密协议无法审计独立授权无法控制运维现状管理人员企业各类IT资源开发人员第三方厂家人员运维人3经济损失业务中断形象破坏严重后果第三方人员泄密风险内部人员操作安全隐患高权限帐号滥用风险帐号共用风险违规行为无法控制经济损失业务中断形象破坏严重后果第三方人员泄密风险内部人员操4无法捕捉用户完整访问过程无法实现审计实名制无法忽略用户违规操作无法识别SSH、RDP等加密或图形协议无法实现访问控制无法实现命令级别的访问控制防火墙/VPNIDS/IPS旁路/日志审计现有手段不足专业的需求，需要专业的产品与解决方案现有手段无法捕捉用户完整访问过程无法识别SSH、RDP等加密或图形协政策法规政策法规6目录应用背景功能特性7产品介绍客户收益目录应用背景功能特性7产品介绍客户收益产品概述堡垒机帐号管理单点登录访问控制行为审计《M系列：运维安全产品》堡垒机账号管理实现对服务器、网络设备、数据库及其帐号的统一集中管理。单点登录实现密码代填和统一单点登录。支持多种单点登录方式，最大程度适应不同人员使用习惯。访问控制基于最小权限原则，实现集中访问控制和细粒度命令级控制。行为审计审计实名制，对用户从登录到退出的全程操作行为的监控和事后审计。产品概述堡垒机帐号管理单点登录访问控制行为审计《M系列：运维8产品理念集中管理是基础身份认证是前提访问授权是手段权限控制是核心行为审计是保证管理水平不断提升安全风险逐渐降低产品理念集中管理是基础身份认证是前提访问授权是手段权限控制是9设计思路管理人员企业各类IT资源开发人员第三方厂家人员运维人员身份管理设备管理协议代理身份认证访问控制帐号管理行为审计单点登录设计思路管理人员企业各类IT资源开发人员第三方厂家人员运维人10技术方案-协议代理技术方案-协议代理11技术方案-应用发布技术方案-应用发布12广泛的运维对象支持广泛的运维对象支持13广泛的运维协议支持字符协议SSHTELNETRLOGINTN5250（AS400）图形协议RDPVNC文件传输FTPSFTPWEB应用HTTPHTTPS数据库访问OraclemysqlsqlserverDB2SybaseTeradataInformix其他设备或工具KVMPcanywhereRadmin广泛的运维协议支持字符协议SSHTELNETRLOGINTN14部署方式物理旁路部署，不必更改现有的网络拓扑结构部署方式物理旁路部署，不必更改现有的网络拓扑结构15目录应用背景功能特性16产品介绍客户收益目录应用背景功能特性16产品介绍客户收益功能概述事前预防身份认证设备管理自动改密事中控制访问授权指令授权实时监控事后审计事后检索操作回放报表统计功能概述事前预防身份认证设备管理自动改密事中控制访问授权指令17用户管理与认证手段事前预防管理员用户运维用户系统管理员配置管理员密码管理员审计管理员内部运维人员第三方运维人员管理员用户三权分立，各施其职支持按部门进行分级管理指定第三方运维人员使用期限，到期帐号锁定支持静态口令、radius、ldap、AD域等多种认证手段支持双因素认证手段支持批量导入导出特性用户管理与认证手段事前预防管理员用户运维用户系统管理员配置管18设备管理事前预防支持批量导入导出支持分级管理支持WindowsAD域独有的“协议-帐号”绑定方式，授权更为精细特性设备基本属性管理设备分组管理设备帐号及密码管理设备访问协议及端口设备类型及图标管理功能设备管理事前预防支持批量导入导出特性设备基本属性管理功能19自动改密事前预防改密结果高强度加密保护改密计划支持密码手工输入、随机相同和随机不同三种方式支持上次改密时间记录和手工改密特性自持密码复杂度设置支持linux类主机、unix类主机、Windows主机、思科设备、华为设备的帐号自动改密支持周期改密，改密结果查看和邮件/ftp发送功能自动改密事前预防改密结果高强度加密保护特性自持密码复杂度设置20访问控制策略事中控制访问方式向导式配置可设置访问的运维用户可设置访问的时间和源IP可设置访问的目标设备可指定协议和设备帐号可启用二次审批和备注功能特性谁从哪/什么时候访问对象访问控制策略事中控制访问方式向导式配置特性谁从哪/什么时候访21指令控制策略事中控制向导式配置支持黑白指令集配置支持指令正则匹配多种响应方式：告警、阻断、忽略和审批特性指令控制策略事中控制向导式配置特性22事后检索与回放【需重新写】事后审计结果时间用户IP地址指令操作行为视频录像堡垒机检索条件、定位回放事后检索与回放【需重新写】事后审计结果时间用户IP地址指令操23事后检索与回放事后审计支持高级检索询功能，查询条件支持与或非组合，条件匹配符支持等于、不等于、区间、包含、大于、小于等内容支持检索模版支持视频回放所有操作行为，支持定位回放回放支持倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作特性事后检索与回放事后审计支持高级检索询功能，查询条件支持与或非24统计报表事后审计内置报表模版支持以日报、周报、月报的方式自动生成周期性报表支持报表发送至指定邮箱特性统计报表事后审计内置报表模版特性25其他功能支持运维用户同一时间只能从一个IP登录支持运维会话超时设置支持设备时间同步功能支持告警事件对外转发，转发方式支持syslog、snmptrap、邮件等支持批量脚本自动执行支持第三方客户端的应用发布，实现录像审计其他功能支持运维用户同一时间只能从一个IP登录26产品自身安全性深度优化定制Linux内核，非通用版Linux数据存储Raid保障运维用户均为虚拟用户，无实际操作系统帐号数据加密存储，防篡改、防删除设计自动改密结果高强度加密机制产品自身安全性深度优化定制Linux内核，非通用版Linux27目录应用背景功能特性28产品介绍客户收益目录应用背景功能特性28产品介绍客户收益客户收益满足合规性要求，顺利通过IT审计有效减少核心信息资产的破坏和泄漏风险有效控制运维风险，利于事后原因追查与界定责任实现独立审计与三权分立，完善IT内控机制客户收益满足合规性要求，顺利通过IT审计有效减少核心信息资产29简单拓扑简单拓扑30登录界面登录界面31首页首页32添加用户添加用户33用户应用工具限制用户应用工具限制34添加资源添加资源35资源账号资源账号36用户-资源列表用户-资源列表37查看日志查看日志38《M系列：运维安全产品》《M系列：运维安全产品》目录应用背景功能特性40产品介绍客户收益目录应用背景功能特性2产品介绍客户收益运维现状管理人员企业各类IT资源开发人员第三方厂家人员运维人员帐号共用无法控制操作源头难于定位加密协议无法审计独立授权无法控制运维现状管理人员企业各类IT资源开发人员第三方厂家人员运维人41经济损失业务中断形象破坏严重后果第三方人员泄密风险内部人员操作安全隐患高权限帐号滥用风险帐号共用风险违规行为无法控制经济损失业务中断形象破坏严重后果第三方人员泄密风险内部人员操42无法捕捉用户完整访问过程无法实现审计实名制无法忽略用户违规操作无法识别SSH、RDP等加密或图形协议无法实现访问控制无法实现命令级别的访问控制防火墙/VPNIDS/IPS旁路/日志审计现有手段不足专业的需求，需要专业的产品与解决方案现有手段无法捕捉用户完整访问过程无法识别SSH、RDP等加密或图形协政策法规政策法规44目录应用背景功能特性45产品介绍客户收益目录应用背景功能特性7产品介绍客户收益产品概述堡垒机帐号管理单点登录访问控制行为审计《M系列：运维安全产品》堡垒机账号管理实现对服务器、网络设备、数据库及其帐号的统一集中管理。单点登录实现密码代填和统一单点登录。支持多种单点登录方式，最大程度适应不同人员使用习惯。访问控制基于最小权限原则，实现集中访问控制和细粒度命令级控制。行为审计审计实名制，对用户从登录到退出的全程操作行为的监控和事后审计。产品概述堡垒机帐号管理单点登录访问控制行为审计《M系列：运维46产品理念集中管理是基础身份认证是前提访问授权是手段权限控制是核心行为审计是保证管理水平不断提升安全风险逐渐降低产品理念集中管理是基础身份认证是前提访问授权是手段权限控制是47设计思路管理人员企业各类IT资源开发人员第三方厂家人员运维人员身份管理设备管理协议代理身份认证访问控制帐号管理行为审计单点登录设计思路管理人员企业各类IT资源开发人员第三方厂家人员运维人48技术方案-协议代理技术方案-协议代理49技术方案-应用发布技术方案-应用发布50广泛的运维对象支持广泛的运维对象支持51广泛的运维协议支持字符协议SSHTELNETRLOGINTN5250（AS400）图形协议RDPVNC文件传输FTPSFTPWEB应用HTTPHTTPS数据库访问OraclemysqlsqlserverDB2SybaseTeradataInformix其他设备或工具KVMPcanywhereRadmin广泛的运维协议支持字符协议SSHTELNETRLOGINTN52部署方式物理旁路部署，不必更改现有的网络拓扑结构部署方式物理旁路部署，不必更改现有的网络拓扑结构53目录应用背景功能特性54产品介绍客户收益目录应用背景功能特性16产品介绍客户收益功能概述事前预防身份认证设备管理自动改密事中控制访问授权指令授权实时监控事后审计事后检索操作回放报表统计功能概述事前预防身份认证设备管理自动改密事中控制访问授权指令55用户管理与认证手段事前预防管理员用户运维用户系统管理员配置管理员密码管理员审计管理员内部运维人员第三方运维人员管理员用户三权分立，各施其职支持按部门进行分级管理指定第三方运维人员使用期限，到期帐号锁定支持静态口令、radius、ldap、AD域等多种认证手段支持双因素认证手段支持批量导入导出特性用户管理与认证手段事前预防管理员用户运维用户系统管理员配置管56设备管理事前预防支持批量导入导出支持分级管理支持WindowsAD域独有的“协议-帐号”绑定方式，授权更为精细特性设备基本属性管理设备分组管理设备帐号及密码管理设备访问协议及端口设备类型及图标管理功能设备管理事前预防支持批量导入导出特性设备基本属性管理功能57自动改密事前预防改密结果高强度加密保护改密计划支持密码手工输入、随机相同和随机不同三种方式支持上次改密时间记录和手工改密特性自持密码复杂度设置支持linux类主机、unix类主机、Windows主机、思科设备、华为设备的帐号自动改密支持周期改密，改密结果查看和邮件/ftp发送功能自动改密事前预防改密结果高强度加密保护特性自持密码复杂度设置58访问控制策略事中控制访问方式向导式配置可设置访问的运维用户可设置访问的时间和源IP可设置访问的目标设备可指定协议和设备帐号可启用二次审批和备注功能特性谁从哪/什么时候访问对象访问控制策略事中控制访问方式向导式配置特性谁从哪/什么时候访59指令控制策略事中控制向导式配置支持黑白指令集配置支持指令正则匹配多种响应方式：告警、阻断、忽略和审批特性指令控制策略事中控制向导式配置特性60事后检索与回放【需重新写】事后审计结果时间用户IP地址指令操作行为视频录像堡垒机检索条件、定位回放事后检索与回放【需重新写】事后审计结果时间用户IP地址指令操61事后检索与回放事后审计支持高级检索询功能，查询条件支持与或非组合，条件匹配符支持等于、不等于、区间、包含、大于、小于等内容支持检索模版支持视频回放所有操作行为，支持定位回放回放支持倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作特性事后检索与回放事后审计支持高级检索询功能，查询条件支持与或非62统计报表事后审计内置报表模版支持以日报、周报、月报的方式自动