绿盟科技安全审计-堡垒机

绿盟科技安全审计-堡垒机NSFOCUSSAS-H术业专攻成就所托张盼SAS&SAS-H推广经理电话箱：zhangpan@QQ：11609763自我介绍SAS-H尽全力协助解决产品推进中遇到的问题尽全力让一线所提需求都得到确定的答复尽全力让产品服务和响应速度符合预期尽全力提供一线最需要的资料目录SAS-H1卖什么？2卖给谁？谁在买？3怎么卖？4FAQ定位与需求分析堡垒机概述绿盟科技堡垒机目标客户分析历年销售分析典型案例介绍销售FAQ产品FAQ推广促销FAQ需求思路挖掘客户痛点解析竞争信息分享报价策略分享目录SAS-H1卖什么？定位与需求分析堡垒机概述绿盟科技堡垒机产品定位可授权可控制可审计可追溯运维审计系统是一台部署在数据中心、通过切断终端对网络设备或网络资源的直接访问、采用协议代理的方式、可以进行设备账号统一管理、资源和权限统一分配、操作全程审计的设备。SAS-H堡垒机+=需求分析-运维现状SAS-H账号混乱、定位不明权限粗放、资源滥用审计不严、取证困难信息泄露经济损失信任危机网络瘫痪牢狱之灾现状问题后果恶性循环需求分析-合规SAS-H公安部信息系统等级保护标准财政部企业内部控制基本规范银监会商业银行内部控制指引中国电信CTG-MBOSS安全规范

中国移动集团内控手册深交所信息安全评估准则上交所上市公司内部控制指引海外萨班斯法案巴塞尔新资本协议目录SAS-H1卖什么？定位与需求分析堡垒机概述绿盟科技堡垒机堡垒机概述SAS-H支持Linux、Unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改；支持SSH、TELNET、RDP、HTTP、HTTPS、VNC、SFTP等协议代理；单点登录设备支持统一账户管理策略，能实现对所有设备账号进行集中管理，可以对设备进行特殊角色设置如：设备管理员、运维操作员等，以满足审计需求；账号管理主账号支持LDAP、Radius、Usb-key、本地认证等多种认证方式（不同主账号可以采用不同的认证方式），并支持与Usb-key组成双因子认证，提高了认证的安全性和可靠性；身份认证支持创建基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、危险级别（高中低）等元素组合条件，授权用户可访问目标设备、定义高危操作监控策略；资源授权支持基于角色的访问控制（RBAC）。管理员可按照时间、部门、职责和安全策略等维度，设置细粒度权限策略，让正确的人做正确的事，简化授权管理；访问控制支持字符会话审计、图形操作审计、数据库运维审计、文件传输审计。针对各类运维审计日志，审计员能够单独或批量进行合规审计并输出合规审计结果；操作审计账号管理有序权限分配可控操作行为可查事后追溯有据——无权登录不敢乱动动则必查一查必中目录SAS-H1卖什么？定位与需求分析堡垒机概述绿盟科技堡垒机客户价值重点功能典型部署资质&规格成功案例运维之道运维之道系统账号（主账号）目标设备账号（从账号）自然人

→主账号

→认证&授权→从账号

→目标设备

→运维操作→退出自然人认证&授权运维操作SAS-H支持批量导入设备和主账号信息，灵活适应设备数量大、运维人员数量多的用户环境，大大节约管理员的运维成本；网络设备特权密码代填；从账号自动改密。支持目标设备自动扫描，快速添加设备。客户价值企业价值

1助力客户符合政策或行业法规；通过细粒度的安全管控策略，保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行，降低人为安全风险，避免安全损失，保障企业效益。

管理价值

2所有运维账号在一个平台进行管理，账号管理更加简单有序；通过建立用户与账号唯一对应关系，确保用户拥有完成任务所需的最小权限；直观方便监控各种访问行为，能够及时发现违规操作、权限滥用等。运维价值

3运维人员只需记忆一个账号和口令，一次登录，便可实现对其所维护的多台设备的访问，无须记忆多个账号和口令，提高了工作效率，降低工作复杂度。SAS-H重点功能多维度细粒度的认证与授权LDAP/USBKEY/RADIUS/本地认证/双因子认证/金库模式一站式管理单点登录/灵活的设备管多种网络设备&服务器支持思科、华为等网络设备支持Linux&Windows服务器多种协议代理RDP/SSH/TELNET/FTP/SFTP/HTTP/HTTP/VNC数据库图形&命令行双层审计SqlServer/Oracle/IBMDB2/PostgreSQL/Informix/Sybase/Mysql静态路由支持跨网段设备管理部署方式简单物理旁路逻辑串联自身安全性渗透测试&安全加固控制命令采用SSL加密传输磁盘告警日志清除配置管理员&审计员登录告警灵活登录目标设备自动、半自动、手动配置核查&运维审计BVS&SAS-H联动方案密码管理自动改密/加密存储/加密传输绿盟ESPC统一管理审计信息“零配置”日志自动维护支持导出Word/Html格式文档SAS-HV5.6.9V5.6.9V5.6.9V5.6.9多维度细粒度的认证与授权SAS-HLDAP服务器Radius服务器双因子认证：USBKEY+LDAPLDAP认证双因子认证：USBKEY+RADIUS认证SAS-HSAS-H金库模式：第三方授权与USB-KEY双因子认证每个用户单独配置全局配置高效管理金库模式授权金库模式授权SAS-H重点设备授权策略配置设备访问者（申请人），通过设备账号访问目标设备或执行需要授权的命令时，客户端向堡垒机发送一条授权申请请求，并写入数据库中；授权人检测到发送给自己的授权请求时，对请求进行授权处理（同意或拒绝）；申请人循环检测授权结果，若授权通过则访问目标设备。申请人和授权人是N:1的关系危险命令授权执行危险命令警告并阻断执行数据库图形与命令行双层审计SAS-HSAS-H前置机代维人员运维人员账号管理SQL语句审计数据库客户端单点登录服务监控支持七大主流数据库图形&命令行双层审计根据时间点管理图形和命令行日志便于查询图形日志可根据客户选择定点播放设备自身高安全性保障SAS-H采用专门设计的安全、可靠、高效的硬件平台，该硬件平台采用严格的设计和工艺标准，保证高可靠性；操作系统经过优化和安全性处理，保证系统的安全性；支持热插拔的冗余双电源，避免电源硬件故障时设备宕机，具有更强的高可用性；采用强加密的SSL传输控制命令，完全避免可能存在的嗅探行为，确保数据传输安全；绿盟科技15年安全攻防能力，对每一款产品安全性提供优先保障；作为大量网络设备密码信息的承载者，安全性必然是重中之重市场需求量上升黑客关注度增加高危漏洞频繁爆出单点登录一站式管理SAS-H化繁为简，一站直达名片式设备管理，直观清晰运维操作集中可视化管控，通过基于唯一身份标识的集中账号与访问控制策略，实现与目标设备无缝连接，名片式管理，一站直达运维操作全程审计WHO账号、IP地址WHEN登陆/退出系统时间WHAT操作命令、返回结果WHERE目标设备名称、IP地址SAS-H字符审计图形操作审计文件传输审计数据库运维审计运维操作全程审计SAS-H运维操作全程审计系统支持审计通过RDP、VNC等远程桌面以及HTTP/HTTPS协议的图形操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级、操作内容等。支持视频录像方式记录操作内容，可提供倍速回放、定位播放等。系统支持审计通过SFTP、FTP等协议的操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、目标设备IP、协议类型、文件名称、危险等级、操作命令等。可提供操作内容倍速回放功能。系统支持审计通过SSH、Telnet等协议的操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级、操作命令等。可提供操作内容倍速回放、定位播放等功能系统支持审计Oracle、MSSQL、IBMDB2、MySQL、PostgreSQL等各主流数据库的操作行为，包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级、操作内容等。支持视频录像方式记录操作内容，可提供倍速回放、进度拖拉等。字符文件图形数据库跨平台无缝管理SAS-H运维审计系统具有跨平台的运维行为管控能力，可覆盖多种主流主机操作系统、网络设备、数据库和运维协议。协议类型：SSH、RDP、VNC、SFTP、Telnet、FTP、HTTP、HTTPS等；数据库类型：Oracle、MSSQLServer、IBMDB2、Sybase、IBMInformix、MySQL、PostgreSQL等；操作系统类型：FreeBSD、CentOS、Solaris、RedHatLinux、Windows等；网络设备类型：CISCO、HUAWEI等厂商的网络设备。审计信息“零配置”SAS-H日志自动维护：根据日志自动维护计划的设置，系统在指定时间自动进行相应的日志数据备份。日志查询：系统提供多种审计日志查询条件，包括时间、IP地址、用户名、设备名、关键字、危险等级（高、中、低）等；审计报表：系统提供详细的多种类别的报表模板，可提供基于操作时长、高危操作、阻断操作等类别的用户操作TOP10。系统支持生成：日、周、月、年度综合报表，报表支持Word、Html等格式导出，降低维护费用与管理员的工作强度。典型部署方式SAS-H不改变现有网络环境和网络拓扑的情况下，接入核心交换机中，物理上是旁路，逻辑上是串联的模式；不改变管理员、运维人员的操作习惯；不需要在终端安装客户端软件；不影响正常业务运行；支持静态路由，可实现跨多网段管理目标设备。产品资质SAS-H资质名称产品名称有效期计算机信息系统安全专用产品销售许可证绿盟安全审计系统V5.6（增强级）2013.01~2015.01涉密信息系统产品检测证书绿盟运维安全网关V5.6（百兆/千兆）2014.01~2016.01中国国家信息安全产品认证证书绿盟安全审计系统V5.62010.06~2015.06军用信息安全产品认证证书绿盟安全审计系统V5.6（军B)2013.09~2015.09绿盟安全审计系统V5.6（EAL3）绿盟安全审计系统V5.6（百兆/千兆）2012.03~2015.03绿盟科技堡垒机拥有各重点行业的准入资质产品信息SASNX3H200CSASNX3H200C-CSASNX3H600CSASNX3H600C-CSASNX3H1100CSASNX3H1100C-CSASNX3H2000CSASNX3H2000C-C产品外形SLOT插槽无无1个1个SFP接口无无最多8个最多8个GE接口4个4个最多14个最多14个硬盘2T2T2T/4T2T管理接口1GE1GE1GE1GE配置串口1个RJ451个RJ451个RJ451个RJ45USB接口2个2个2个2个最大可管设备数200台500台2000台无限制字符并发会话数180个200个500个1200个图形并发会话数80个160个700个800个产品规格SAS-H某省联通公司部署SAS-H第一套系统主要管理设备包括互联网CR、BASE、SR、L2、ASBR，设备数量约600台。第二套系统主要管理设备包括移动分组域路由器180台、远程桌面控制20台以及和业务平台网络设备交换机、路由器、防火墙、F5、服务器等400台，共计约600台。第二套系统必须满足能建立两个超级管理员分别管理两个部门，各个部门分别管自己的设备和账号，不能存在有越权越域的违规行为。业务平台PS域CS域城域网中国电信河南网络资产分公司SAS-H河南电信通过SAS-H系统可实现以下运维管控：对访问业务运营支撑系统的运维人员进行身份认证、授权和操作的行为审计；对业务运营支撑系统的各种账号进行管理和授权，确保运维人员拥有的权限是完成任务所需的最小权限；实现集中有序的运维操作管理与审计；监控运维人员对被管理设备的所有敏感关键操作，实现对安全事件及时预警发现、准确可查。河南电信通过SAS-H，实现对运维操作的集中可视化管控，真正做到了“让正确的人做正确的事”降低人为安全风险，避免安全损失，同时通过单点登录功能也大大提高了运维人员的工作效率。第二军医大学附属长海医院SAS-H门诊楼机房拓扑综合辅助楼机房拓扑第二军医大学附属长海医院安全产品采购项目中我方实施的安全产品包括绿盟安全审计系统-堡垒机。系统部署在上海第二军医大学附属长海医院机房，加强IT运维安全管理，降低人为安全风险，满足合规要求，保障企业效益。目录SAS-H2卖给谁？谁在买？目标客户分析销售数据分享典型案例介绍目标客户分析SAS-H政府金融运营商能源互联网企业历年销售数据分享SAS-H市场需求及其庞大——全国有尽40家从事堡垒机产品研发和销售的企业典型案例SAS-H政府(涉密）河北省邮政局山东省邮政公司福建省公安厅海南省公安厅内蒙古国税局安徽烟草重庆财政局安徽省公安厅四川省公安局吉林省机要厅国家环境保护部……金融君龙人寿保险海通期货有限公司鑫鼎盛期货有限公司武汉农村商业银行河南省银监局安徽省农村信用宁波东海银行泸州市商业银行四川省银监局中国银行厦门监管局南阳银行……运营商中国电信河南分公司中国电信四川分公司中国电信西藏分公司中国电信广西分公司中国电信自贡分公司中国电信内蒙分公司中国联通湖北分公司中国联通安徽分公司中国联通北京分公司中国移动四川分公司中国移动贵州分公司……能源中国石油天然气集团公司四川省电力公司重庆市电力公司福建核清核电有限公司中国石化河南油田分公司内蒙古东部电力有限公司京能集团财务有限公司国网信息通信有限公司中国国电集团公司厦门华夏国际电力田集发电厂……其他行业亿万豪剑桥有限公司南车长江车辆有限公司富基融通科技有限公司讯达网脉科技有限公司厦门港务集团冰川网络股份有限公司武汉地铁集团有限公司铁四院西藏之声甬易电子支付有限公司厦门日报……产品涉及政府、涉密、军工、运营商、能源、金融、互联网、企业等各个行业共计近千个案例目录SAS-H3怎么卖？需求思路挖掘客户痛点解析竞争信息分享报价策略分享需求思路挖掘SAS-H政策合规需求运维审计需求国家&行业角度越来越多的合规要求单点登录、集中审计、权限控制、行为可追溯、管理清晰化网络发展需求大数据时代&云计算时代&虚拟化——数据中心扩大化对运维管控的需求分支案例参考通过其他分支案例，挖掘本地相应行业需求，比如：涉密、金融等良好的客户关系此处省去5000字……客户痛点解析SAS-H堡垒机大规模部署、同时存在其他绿盟安全设备，需要统一管理。审计员统一管理审计日志。ESPC统一管理核心设备需要额外粒度监管，防止因为监管不力导致的安全事件。不同的命令监管级别不一致，需要警告、阻止或者授权。金库模式运维审计日志中需要包换完整的信息，同时不能记录敏感信息。日志审计增加合规审计。

FTP/SFTP运维频繁，易用性要求较高，不希望改变运维习惯。

旧版本提供的web+java插件方式、运维效率不高。FTP客户端运维字符运维优化除了一般的windows/linux/unix/交换机/数据库需要运维审计外，内部以web方式管理的系统也需要运维审计。内部系统密码不能透露给代维人员，需单点登录，保障密码安全。Https/Http运维网络环境大量部署windows服务器，需要集中管理，授权运维人员，很难保障密码安全。运维人员熟悉远程桌面，要求操作简单，使用web+java插件方式太繁琐，运维低效。图形审计日志文件庞大，存储成本高。RDP协议代理网络环境复杂、运维人员流动大。不同运维人员需要不同的认证方式。混合认证数据库类型多，账号繁杂，权限难集中控制。数据库操作易引起泄密或其他安全事件，需精确审计。SQL审计为保障密码安全，需要周期对服务器进行改密，设备管理员维护工作量巨大。大量设备密码很难手动备份，容易忘记密码。自动改密加密传输加密存储竞争信息分享-江南科友SAS-H江南科友漏洞链接地址爆出时间/bugs/wooyun-2010-0286172013-07-12/bugs/wooyun-2010-0513452014-02-18/bugs/wooyun-2014-0528342014-03-05/bugs/wooyun-2014-0534292014-03-12安全性问题后果不堪设想江南科友为非专业的网络安全公司从对目前爆出漏洞的响应速度来看，该公司根本无法解决这些问题另：该公司堡垒机研发人员处于极度流失状态，对后续产品服务和支持存在风险硬伤竞争信息分享-思福迪SAS-H绿盟优势运维人员登录目标设备时，支持自动、半自动和手动界面展示与管理支持一站式管理

命令定义支持正则表达式

支持设备发现（自动扫描方式添加设备）支持对更多的主流数据库运维审计支持特权密码代填功能

静态路由

支持https

思福迪优势应对措施认证方式支持手机短信认证当前已经支持联通，后续通过定制申请支持管理界面仪表盘显示目前WebUI还未进行改版，改版之后将支持该功能报表自定义V5.6.9中已有部分自定义报表功能，后续将更加完善页面帮助、FAQ维护版本完善该功能能够记录RDP协议中的活动窗口名称、删除文件等动作技术调研，后续版本实现会话克隆技术预研，后续版本实现除了产品本身性能和功能对比之外，可以从以下角度进行控制：产品资质、公司资质、公司实力等方面均有很大优势；竞争信息分享-帕拉迪SAS-H绿盟优势运维人员登录目标设备时，支持自动、半自动和手动支持设备发现（自动扫描方式添加设备）报表略有优势支持http/https单点登录帕拉迪优势

应对措施支持Pcanywhere，Radmin，DameWare，CiscoASDM单点登录前置机方案，支持定制支持集群部署后续版本（5.6.10后）完善支持KVM支持定制支持X-windows5.6.10实现除了产品本身性能和功能对比之外，可以从以下角度进行控制：产品资质、公司资质、公司实力等方面均有很大优势；竞争信息分享-齐治科技SAS-H绿盟优势运维人员登录目标设备时，支持自动、半自动和手动支持设备发现（自动扫描方式添加设备）支持http/https单点登录(v5.6.9版本)数据库审计支持更多客户端：sql2000企业查询器、dbaccess、SybaseCentralv6.0、SQL*PLUS、questcentralfordb2v5.0支持mstsc（齐治对于RDP的运维类似于v5.6.6版本的java插件方式，运维效果很差）齐治优势

应对措施图形审计支持剪贴板记录非核心功能，暂不接受定制支持工单管理（工单申请、工单审批）非核心功能，暂不接受定制密码信封打印非核心功能，暂时不支持KVMOverIP操作审计可以接受定制开发除了产品本身性能和功能对比之外，可以从以下角度进行控制：产品资质、公司资质、公司实力等方面均有很大优势；报价策略SAS-H产品报价=引擎模块+扩展板卡+接口模块+授权许可+服务包+单项服务+独立服务

产品型号必选模块NX3SASH200CNX3SASH600CNX3SASH1100CNX3SASH2000C引擎模块H200C引擎模块-1U；含单交流电源；2*USB接口；1*RJ45串口；1*GE管理口；4*GE电口；2TSATA硬盘；缺省授权管理25台设备H600C引擎模块-1U；含单交流电源；2*USB接口；1*RJ45串口；1*GE管理口；4*GE电口；2TSATA硬盘；缺省授权管理100台设备H1100C引擎模块-2U；含交流冗余电源模块；2*USB接口；1*RJ45串口；1*GE管理口；6*GE电口；1个接口扩展槽位；2T/4TSATA硬盘；缺省授权管理200台设备引擎模块-2U；含交流冗余电源模块；2*USB接口；1*RJ45串口；1*GE管理口；6*GE电口；1个接口扩展槽位；1TSATA硬盘；缺省授权管理500台设备。产品详细报价请参见：藏经阁\01_国内直销\04_安全审计系统堡垒机（SAS-H）\配置报价指导书

报价举例SAS-H客户要求：可管理1000台设备，并配置1个千兆多模光口，2年白银服务推荐产品：SASNX3H1100C产品价格：H1100C引擎模块报价+光模块（SFP-GE-SX550-MM850）

+性能扩展授权（SASNX3-H1100C-AEL-DAL-03）

+白银服务（一年）推荐产品：SASNX3H2000C产品价格：H2000C引擎模块报价+光模块（SFP-GE-SX550-MM850）

+性能扩展授权（SASNX3-H2000C-AEL-DAL-01）

+白银服务（一年）产品出厂自带一年基础白银服务，需另外购买一年目录SAS-H4FAQ销售FAQ产品FAQ推广促销FAQ销售FAQSAS-HNSFOCUSSAS-H的销售工具文档如何获取？答：产品销售工具文档可在藏经阁获取，具体路径为：藏经阁→01_国内直销→04