建恒信安堡垒机产品白皮书

--.z..z.未有的运维挑战随着信息技术的不断开展和信息化建立的不断进步，业务应用、办公系统、商务平台不断推出和投入运行，信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中型企业和门户，使用数量众多的网络设备、效劳器主机来提供根底网络效劳、运行关键业务，提供电子商务、数据ERP和协同工作群件等效劳。由于设备和效劳器众多，系统管理员压力太大等因素，越权访问、误操作、滥用、恶意破坏等情况时有发生，这严重影响企业的经济运行效能，并对企业声誉造成重大影响。另外黑客的恶意访问也有可能获取系统权限，闯入部门或企业部网络，造成不可估量的损失。如何提高系统运维管理水平，跟踪效劳器上用户的操作行为，防止黑客的入侵和破坏，提供控目前，面对日趋复杂的IT系统，不同背景的运维人员已给企业信息系统平安运行带来较大潜在风险，主要表现在：账号缺乏统一管理，隐藏着巨大的风险多个用户混用同一个账号这种情况主要出现在同一工作组中，由于工作需要，同时系统管理账号唯一，因此只能多用户共享同一账号。不仅在发生平安事故时难以定位账号的实际使用者和责任人，而且无法对账号的使用围进展有效控制，存在较大平安隐患。一个用户使用多个账号目前，一个维护人员使用多个账号是较为普遍的情况，用户需要记忆多套口令同时在多套主机系统、网络设备之间切换。如果设备数量到达几十甚至上百台时，维护人员进展一项简单的配置需要分别逐一登录相关设备，其工作量和复杂度成倍增加，直接导致的后果是工作效率低下、管理繁琐甚至出现误操作，影响系统正常运行。粗放式权限管理，平安性难以保证大多数企事业单位的IT授权功能分散在各设备和系统中。管理人员的权限大多是粗放式管理，由于缺少统一的运维操作授权策略，授权粒度粗，无法基于最小权限分配原则管理用户权限，难以与业务管理要求相协调。因此，出现运维人员权限过大、部操作权限滥用等诸多问题，如果不及时解决，信息系统的平安性难以充分保证。设备自身日志粒度粗，难以有效定位平安事件在运维工作中，大多是通过各网络设备、操作系统的系统日志进展监控审计，但是由于各系统自身审计日志分散、容深浅不一，且无法根据业务要求制定统一审计谋略；因此，难以通过系统自身审计及时发现违规操作行为和追查取证。第三方代维人员带来平安隐患目前，很多大型企业，包括一些政府机构选择将非核心业务外包给设备商或代维公司，在享受便利的同时，由于代维人员流动性大、对操作行为缺少监控带来的风险日益凸显。因此，需要通过严格的权限控制和操作行为审计，加强对代维人员的行为管理，从而到达消隐患、避风险的目的。面临法规遵从的压力为加强信息系统风险管理，政府、金融、运营商等陆续发布信息系统管理规和要求，如“信息系统等级保护〞但其缺乏有效的技术手段。上述风险带来的运维平安风险和审计监管问题，已经成为企业信息系统平安运行的严重隐患。企业IT运维平安管理的变革已刻不容缓！产品概述建恒身份及访问管理系统是集用户〔Account〕管理、授权〔Authorization〕管理、认证〔Authentication〕管理和综合审计〔Audit〕于一体的集中运维管理系统。该系统能够为企业提供集中的管理平台，减少系统维护工作；能够为企业提供全面的用户和资源管理，减少企业的维护本钱；能够帮助企业制定严格的资源访问策略，并且采用强身份认证手段，全面保障系统资源的平安；能够详细记录用户对资源的访问及操作，到达对用户行为审计的需要。建恒身份及访问管理系统采用层次化、模块化的设计，产品整体架构包括：资源层、接口管理层、核心效劳层和统一展示层。资源层：负责提供各种类型资源的资源管理交互。接口管理层：主要功能是实现核心层与外部产品、用户资源系统之间的数据交互，包括账号类、认证类、授权类和审计类四个方面的接口。其中账号/角色管理接口实现资源从账号的收集和同步管理，认证接口实现与第三方强身份认证产品的联动和主账号认证，访问控制策略接口实现访问控制策略的下发，审计接口能接收外部系统产生的各类日志。通过数据接口层完成与各种应用系统的相关接口通信。核心效劳层：完成系统各功能模块的业务处理，包括身份管理，行为管理，审计管理以及协议代理等效劳，每个模块再细分假设干子模块完成各自的管理功能。核心层具体的功能模块如下：账号管理授权管理认证管理审计管理统一展示层：负责用户交互局部的展现，一方面对用户身份的认证，同时显示信息给系统操作人员，包括操作人员的可访问资源展现及自效劳展现；另一方面承受管理人员的管理配置和审计查看，将管理人员的输入传递到核心效劳层处理。产品特点丰富的部署方式HA双机部署：一般HA双机基于监测网络存活状态进展切换，无法做到根据系统效劳状态进展切换，建恒身份及访问管理系统真正实现基于硬件和应用效劳状态进展监控切换，从而为客户提供不连续的效劳，确保高可靠性。中管理的问题。多元化的认证方法自身提供证书认证效劳，也可与第三方CA式进展结合。支持组合认证，提高访问的平安性。平台在网络设备的认证协议上支持RADIUS和TACACS+协议。强大的资源管理能力资源数量统计：支持柱形图方式查看系统中不同资源所占比例。资源类型：支持资源类型丰富，uni*资源、网络资源、windows资源、数C/SB/S登录功能实现登录访问，访问过程被完整的审计下来。大型机：支持金融行业大型机的管理。全面的账号管理机制完整的用户账号中管理；生命周期管理，实现账号的创立、维护、修改、删除的集用户类型：自定义用户类型，基于用户类型进展用户地址策略。AD域同步：平台与AD域数据同步，将AD域中OU或域用户数据作为据。将资源上的账号进展自动收集、推、拉、同步及属性的变更等。超强的授权管理功能定义，从而实现分层分级管理模式。关平安策略。单点登录SSO批量单点登录资源，表达平台运维便捷性，易用性。键快速登录目标资源。支持ensu、super增强的密码管理功能码策略的要求进展变更，变更的密码符合密码策略中关于密码强度的要求。象发生。审计管理审计回放时，可以从*个键盘、剪切板、文件传输记录的指定位置开场回放。WebLogic〕配置操作的管理和审计能力。更专业的平安管理功能问的平安性。平台支持FTP、telnet、ssh、远程桌面等协议效劳端口变更。进展防病毒检测，并阻止带病毒文件的传输，有限防护效劳器的平安。产品自身集成VPNVPN的访问。良好的扩展性及定制化能力支持第三方应用程序获取密码接口证充分满足市场及用户需求。产品主要功能模块部署方式部署方式建恒身份及访问管理系统采用物理旁路单臂部署；不改变现有网络构造，不改变运维人员的运维习惯；组织构造基于用户、资源、综合方式进展分层分级管理；用户管理资源管理提供用户的创立、维护、修改、删除的集中管理，用户的树形分组展示及导入导出。提供基于用户的配置口令、访问锁定、访问时间等平安策略。资源即我们的IT资产，比方效劳器，网络设备，应用系统，该功能模块提供了资源的统计、分组管理、树形展现，支持主流的大局部资源类型和资源协议。从账号管理〔设备账号〕授权管理单点登录SS0从账号即资源设备账号，建恒身份及访问管理系统提供了账号管理，自动改密，密码拨测，账号导出等一系列从账号管理功能。认证管理资源授权模式基于岗位授权，岗位上绑定资源账号，并可针对岗位设置相关平安策略。的运维管理。建恒身份及访问管理系统自身提供证书认证效劳，也可与第三方CA、动态令牌、生物识别等方式进展结合。支持组合认证，提高访问的平安性。同时能够支持网络设备的RADIUS和TACACS+协议。平安管理平安管理审计管理系统参数管理高可用性建恒身份及访问管理系统提供了丰富的平安策略功能，如访问时间策略、地址策略、RDP策略、字符命令、FTP、口令策略、锁定策略等；提供审计谋略如字符、图形、FTP等相关审计谋略。建恒身份及访问管理系统支持VPNVPN过远程接入身份及访问管理系统。建恒身份及访问管理系统支持图形审计、字符审计、实时监控、管理审计及审计报表。该模块提供了系统自身的管理功能，如数据备份、复原，系统运行状态的监控，系统效劳配置去除、审计日志清理、复原出厂设置，关机重启等。建恒身份及访问管理系统针对不同的业务场景及可靠性要求，提供了HA、集群、分布式部署方式。产品价值有效减少信息资产的破坏和泄漏随着各行各业信息化建立的完善，越来越多的企业单位将核心信息资产存放在少数几个关键业务系统上，通过使用建恒身份及管理系统，能够加强对这些关键系统的访问控制与审计，从而有效地减少核心信息资产的破坏和泄漏。满足合规性要求，顺利通过IT审计目前，越来越多的单位面临一种或者几种合规性要求。比方，在美上市的中国移动集团公司及其下属分子公司就面临SO*法案的合规性要求；而商业银行则面临Basel协议的合规性要求；政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。建恒身份及访问管理系统起源于国最早