等保2.0之堡垒机产品技术方案建议书

121项目需求 3 4 5 5 62.2××企业运维行为管理问题与分析 62.3××企业运维安全需求 8 93.1XX公司堡垒机产品简介 93.2××企业堡垒机部署模式 9 93.2.2双机热备部署模式 3.3××企业运维安全解决方案优点总结 3.3.1支持手机APP、动态令牌等多种双因子认证 3.3.2覆盖最全的运维协议，让运维安全无死角 3.3.3运维方式丰富多样，适用自动化运维等复杂场景 3.3.4自动学习、自动授权，大大减轻管理员的配置工作 3.3.5灵活、可靠的自动改密，保障密码安全 3.3.6文件传输审计，让数据窃取行为无藏身之地 3.3.7极强的高可用性和扩展性 154.1规范运维管理 4.2满足合规性要求 4.3降低资源风险，快速故障定位和责任追踪 31项目需求随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。由于业务发展等因素，各单位信息系统中的服务器及各种网络设备的不断增加，对设备的管理必须经过各种认证过程。在一个设备的帐号被多个管理人员共享的情况下，引发了如帐号管理混乱、授权关系不清晰等各类安全问题，并加大了内控审计的难度。国际信息安全领域很早就提出了4A（认证Authentication、账号Account、授权Authorization、审计Audit）统一安全管理平台解决方案概念，而在机构的IT运维体系中，也同样需要建立符合4A标准的统一运维安全管理平台，即融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素的用户提供参照各类法令法规（如SOX、PCI、企业内控管理、等级保护、ISO/IEC27001等）要求的运维内控功能实现和可用的内控安全丰富报表。随着XXXX业务系统的迅速发展，各种支撑系统和资产账号数量的不断增加，网络规模迅速扩大，原有的账号口令、权限认证、审计管理措施已不能满足企业目前及未来业务发展的要求。面对系统和网络安的访问控制策略，各个系统访问控制自成一体，力度不一。4以对账号的扩散范围进行控制，容易造成安全漏洞。追溯到自然人；无法对支撑系统进行综合分析，不能及时发现入侵行为进行安全预警和数据责任为解决XXXX安全管理的上述问题，迫切需要建立一个统一的安全管理平台，使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证业务支撑系本项目为构建一个统一的安全管理平台，集中解决XXXX的核心业务运维的安全管理问题。主要目标如下：帐号、认证、授权和审计的集中控制和管理。有效地保障业务支撑系统安全可靠地运行。为业务支撑系统提供机制统一、多样化的认证与授权安全服务，实现平滑过渡并实现与其他堡垒机系平台之间的数据交互。拥有的资产帐号关联，统一规划用户身份信息和角色，对不同系统中的帐号进行创建、分配、同5终实现认证手段和应用的相对隔离和灵活使用。系统中资源的具体情况进行合理分配，实现不同用户对不同部分实体资源的访问。最终建立完善然人对资源的访问情况，在出现安全事故时，可以责任追踪。对人员的登录过程、操作行为进行审计和处理。最终建立完善针对“自然人→资源”访问过程的完整审计。本次项目的方案设计原则体现在以下几个方面：必须拥有完整的自有HA（高可用性）能力，以保证在特殊情况下的系统稳定性和高可用性，满足业务连续性要求。准、信息产业部有关通信行业通用的规范、通用的国际规范。利用，避免资源浪费。为了满足业务连续性要求，堡垒机系平台系统建设时遵循以下几点要求：6有完整的自有HA（高可用性）能力，以保证在特殊情况下的系统稳定性和高可用性，满足业务连续性要求；设后必须制定详细的备份和恢复策略，并验证这些策略的可靠性；或交换机的访问控制策略，阻断原有的认证授权通道，只允许通过堡垒机系平台系统的堡垒主机访问，当堡垒机系平台出现故障时，取消访问控制策略，恢复这些设备和系统原有认证与授权机制，可以由用户通过资产帐号的方式直接访问；2××企业网络与运维管理分析本项目通过与××企业进行深入的交流，我们对其网络进行了充分的了解与分析。……本项目主要包括两个部分(注意：要给出运维设备数和运维人员、时间等变量)：1.××企业内部网络拓扑图，用来进行组网方案的分析。2.××企业内部网络承载的运维业务，主要是内部运维业务以及外部运维业务]本项目主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出)：3.1.运维安全问题在当前的运维状况下，由于对业务系统区域采用的是“直接访问”式的运维操作，在应用层面得不到有效的安全控制和审计。7传统“直接访问”式运维模式在这种情况下，极有可能由于人工的疏忽、失误甚至恶意操作而增大业务系统的安全风险，另外由于业务资产数量庞大，种类众多，运维协议多样，传统的人工运维管理存在效率低下，维护难度大等弊病。综合来看，以上问题主要表现在：1）共享账号问题当前运维环境中，某单个业务资产上的运维账号（如AIX系统下的root账号）有可能被多个运维人员（系统开发人员）所使用，这就存在共享账号的安全问题。由于无法对应到具体的使用人（自然人），因此一旦发生运维事故，很难追溯到当时的责任人。由于无法追责，因此容易造成权限的误用、滥用等各类衍生的运维安全问题，使得业务系统面临很大的安全风险；2）临时账号问题业务资产将不定期的接受厂商等第三方工作人员的维护或临时访问，因此需要临时建立访问账号，由于业务资产数量众多，以及以往各种原因，不可避免的在资产中存在遗留的各种临时账号，如果继续采用现有的传统运维管理方式，在将来和以后仍有可能出现临时账号未及时删除的状况。临时账号将成为业务资产被恶意入侵的重要后门；3）账号口令敏感性问题采用传统的运维管理方式，必须要把访问业务系统的账号和口令都通知到每个需要运维访问的人员，而账号口令是业务系统极其重要的安全信息种类，理应得到保护和保密，接触的人员越多，越容易产生泄8漏等安全事件，从而对业务资产的安全造成威胁；4）运维透明度和可视化问题在当前的运维模式下，管理员很难实现运维操作的透明化和可视化，包括：a)不知道（或很难知道）当前有谁正在操作业务资产；b)不知道（或很难知道）业务资产每天发生了多少次运维访问；c)不知道（或很难知道）最重要的业务资产上发生了什么运维操作；d)不知道（或很难知道）是否有高危操作正在发生，一旦发生，完全没有风险控制或报警机制；运维不透明是运维安全管理的一大弊病和隐患。5）运维效率与工作量问题以当前的业务资产数量级，某专门的运维人员有可能要记忆或保管几十台业务节点的账号和口令，而在每一次运维过程中都有可能要手工输入几十次账号和口令，或面临输入错误等运维意外，这将大大增加运维工作的复杂度，降低运维效率，有可能造成运维人员的抵触情绪或偷工减料的工作态度。另外，管理员的一次修改可能影响到所有需要访问资产的运维人员，随着人员的增加或调整，这种方式将显得极不灵活，很有可能挂一漏万造成某运维人员的无法登录。管理平台，从而实现：1）对所有运维人员建立一对一的自然人用户，解决业务资产账号共享问题；2）对临时运维访问进行统一管理，建立人走号销的访客运维机制；3）运维人员不直接接触业务资产账号口令，资产账号口令由运维管理平台统一保管；4）借由运维管理平台对所有运维操作进行实时监控和历史回放，打造透明化、可视化运维，对高危9操作进行控制或报警，提高运维合理性和风险防范能力；5）运维人员可以借由运维管理平台实现单点登录，一次登录即可直接访问所有授权资产，提高运维效率和便捷性；6）运维管理平台需要对当前所有的非标准协议、客户端工具进行支持，包括授权和审计，确保在业务扩充的情况下依然能够进行有效的运维管理；3XX公司堡垒机产品解决方案XX公司堡垒机系统关注的是运维人员的远程操作行为，可对操作行为进行限制、监控以及记录，并可以进行回放、查询、分析等审计功能。它作为企业IT核心资源的统一接入控制和运维审计解决方案，通过本项目根据对××企业的需求分析选择以下的一个方案或者进行方案综合根据方案设计依据和设计原则，结合XXXX网拓扑架构和客户的具体需求，采用物理旁路逻辑网关方式，在不更改原有网络拓扑结构、不影响设备的业务数据流、不需要在被保护服务器和终端上安装任何Agent的情况下，以集中管理为基础，单点登录为手段，实现对“自然人（操作者）”在“主机设备等重要资源（操作对象）”上的“操作行为（操作内容）”的集中管理、集中认证、实时控制和实时审计，审1）部署模式：在核心交换机上旁路部署一套堡垒机系统硬件设备，通过防火墙或者交换机上的ACL策略，切断用户原有运维访问通道。2）部署条件：保证业务服务器与堡垒机之间的路由可达，保证运维终端与堡垒机之间的路由可达；3）登录过程：集中管理的标志就是入口唯一，堡垒机（堡垒机系统）是用户操作的唯一入口。用户通过唯一的自然人ID登录到堡垒机系统上，然后系统会根据配置管理员预先设置好的访问控制规则，提示用户选择可以访问的目标设备和相应系统登录账户，用户选择完成后会自动登录到目标设备，实现单点登根据方案设计依据和设计原则，结合XXXX网拓扑架构和客户的具体需求，堡垒机（堡垒机系统）采用物理旁路逻辑网关方式，在不更改原有网络拓扑结构、不影响设备的业务数据流、不需要在被保护服务在“主机设备等重要资源（操作对象）”上的“操作行为（操作内容）”的集中管理、集中认证、实时控制和实时审计，审计信息不可更改、不可杜撰，最终实现人为操作风险最小化控制。部署模式如下：1）部署模式：在核心交换机上旁路部署两套堡垒机硬件设备，采用双机热备方式进行部署，提供高可用性，主机出现故障，备机可立即进行服务托管，保证服务的连续性和可靠性。通过防火墙或者交换机上的ACL策略，切断用户原有运维访问通道。2）部署条件：保证业务服务器与堡垒机之间的路由可达，保证运维终端与堡垒机之间的路由可达；3）登录过程：集中管理的标志就是入口唯一，堡垒机是用户操作的唯一入口。用户通过唯一的自然人ID登录到堡垒机系统上，然后系统会根据配置管理员预先设置好的访问控制规则，提示用户选择可以访问的目标设备和相应系统登录账户，用户选择完成后会自动登录到目标设备，实现单点登录。根据方案设计依据和设计原则，结合XXXX网拓扑架构和客户的具体需求，采用集群部署模式。集群模式分管理中心和节点，管理中心负责用户账号、资产管理和权限分配等，并对审计日志进行统一管理；节点提高系统负载能力。用户直接登录运维审计系统管理中心进行操作。集群部署方案特点：1、实现用户和资源的集中管理：堡垒机对运维用户和资源进行了集中统一的管理体制，大大提升了管理人员的工作效率，实现对信息2、日志分散存储，集中审计：所有日志分散存储在中心及节点中，充分利用所有存储空间，且实现日志的集中审计，审计人员通过管理中心查看所有审计信息，方便事件定位追踪。3、不影响现有用户环境：采用物理旁路部署，不改变用户网络拓扑，不用在服务器端安装引擎，对业务系统无影响。4、可靠性高，可扩展性强：采用集群模式，管理中心采用热备模式部署，提供高可靠性，集群模式可提供高负载的能力，对大并发的运维操作进行支撑，支撑管理1000以上的服务器资产，可通过增加节点的数量进行负载扩容。针对××企业原有网络业务流分析、具体方案的选择、××企业网络业务流分析给出解决方案的优点：为了提高来源身份的可靠性，防止身份冒用；堡垒机可以利用以下认证机制实现：堡垒机兼容的运维协议更全面，实现“统一管理”的要求。VMwareVMwarevSphereClientPutty、winscp、flashFXP、SecureFX、OpenSSH等）和更加灵活的运维方式：人员，以及自动化运维等复杂场景堡垒机支持自动收集主机的IP、协议、端口号、账户、密码等信息，并且可以学习到运维人员的权限关系，进一步实自动授权。特别适用与前期对授权关系不清晰、资产信息不完整的场景。运维人员只需通过堡垒机成功登录一次目标主机即可自动录入主机信息，这大大减轻了管理员配置主机信息、用户与主机关系的工作量。对运维人员来说，修改主机的密码和记住主机的密码是最重要的任务。一旦发生密码遗失和泄露，将带来的风险无法估量。堡垒机提供了完善的自动改密功能，可以实现：特殊端口制定自动改密任务周期、手工执行、自定义改密脚本等任务计划作为运维审计系统，审计是最终目标；审计内容的完整体现了产品的审计能力。不仅实现了对所有操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容（如对文件的上传、下载、删除、修改等操作等）等行为记还实现了对SFTP/FTP/SCP/RDP/RZ/SZ传输的文件完整备份在堡垒机中，为上传恶意文件、拖库、窃取数据等危险行为起到了查询依据。热备支持，提高系统可用性。热备配置数据完全同步。4XX公司堡垒机给用户带