LanSecS堡垒主机内控管理平台技术白皮书1

第堡垒主机对各种字符终端和图形终端使用的协议进行代理，实现多平台的操作支持和审计，例如Telnet、SSH、平台的RDP远程桌面协议，Linux/Unix平台的XWindow图形终端访问协议等。当运维机通过堡垒主机访问服务器时，首先由堡垒主机模拟成远程访问的服务端，接受运维机的连接和通讯，并对其进行协议的还原、解析、记录，最终获得运维机的操作行为，之后堡垒主机模拟运维机及真正的目标服务器建立通讯并转发运维机发送的指令信息，从而实现对各种维护协议的代理转发过程。在通讯过程中，堡垒主机会记录各种指令信息，并根据策略对通信过程进行控制，如发现违规操作，则不进行代理转发，并由堡垒主机反馈禁止执行的回显提示。身份授权分离以前管理员依赖各IT系统上的系统帐号实线两部分功能：身份认证和系统授权，但是因为共享帐号、弱口令帐号等问题存在，这两方面实现都存在漏洞，达不到预期的效果。解决的思路是将身份和授权分离。在堡垒主机上建立主帐号体系，用于身份认证，原各IT系统上的系统帐号仅用于系统授权，这样可以有效增强身份认证和系统授权的可靠性，从本质上解决帐号管理混乱问题，为认证、授权、审计提供可靠的保障。产品概述产品综述内控堡垒主机是一种被加固的可以防御进攻的计算机，具备坚强的安全防护能力。内控堡垒主机扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问和恶意攻击，对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。LanSecS（堡垒主机）内控管理平台具体有强大的输入输出审计功能，不仅能详细记录用户操作的每一条指令，而且能够通过回放的功能，将其动态的展现出来，大大丰富了内控审计的功能。LanSecS（堡垒主机）内控管理平台自身审计日志，可以极大增强审计信息的安全性，保证审计人员有据可查。LanSecS（堡垒主机）内控管理平台还具备图形终端审计功能，能够对多平台的多种终端操作审计，例如windows平台的RDP形式图形终端操作。为了给系统管理员查看审计信息提供方便性，LanSecS（堡垒主机）内控管理平台提供了审计查看检索功能。系统管理员可以通过多种查询条件查看审计信息。总之，LanSecS（堡垒主机）内控管理平台能够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化和专业化。产品组成产品功能单点登录LanSecS（堡垒主机）内控管理平台提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高生产效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。单点登录可以实现和用户管理授权的无缝隙链接，通过对用户、角色、资源和行为的授权，增加对资源的保护，和对用户行为的监控及审计。账户管理集中帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理，而且还降低了企业管理大量用户帐号的难度和工作量。同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准的用户帐号安全策略。通过建立集中帐号管理，企业可以实现将帐号及具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。身份认证LanSecS（堡垒主机）内控管理平台为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。集中身份认证提供静态密码、WindowsNT域、WindowsKerberos、双因素、一次性口令和生物特征等多种认证方式，而且系统具有灵活的定制接口。资源授权LanSecS（堡垒主机）内控管理平台系统提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S对服务器主机、网络设备的访问进行审计。在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员在LanSecS（堡垒主机）内控管理平台系统上，可以对各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作等的细粒度授权。访问控制LanSecS（堡垒主机）内控管理平台系统能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。访问控制策略是保护系统安全性的重要环节，制定良好的访问策略能够更好的提高系统的安全性。操作审计操作审计管理主要审计操作人员的帐号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。系统支持对如下协议进行审计：Telnet、、RDP（WindowsTerminal）、Xwindows、VNC等。LanSecS（堡垒主机）内控管理平台系统通过系统自身的用户认证系统、用户授权系统，以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方。对于生成的日志支持丰富的查询和操作。支持按服务器方式进行查询：通过对特定服务器地址进行查询，可以发现该服务器上发生的命令和行为。支持按用户名方式进行查询通过对用户名进行查询，可以发现该用户的所有行为。支持按登陆地址方式进行查询通过对特定IP地址进行查询，可以发现该地址对应主机及其用户在服务器上进行的所有操作。支持按照登陆时间进行查询通过对登录时间进行查询，可以发现特定时间内登录服务器的用户及其进行过的所有操作。支持对命令发生时间进行查询可以通过对命令发生的时间进行查询，可以查询到特定时间段服务器上发生过的所有行为。支持对命令名称进行查询通过查询特定命令如LS，可以查询到使用过该命令的所有用户及其使用的时间等。支持上述六个查询条件的任意组合查询如：可以查询"谁（用户名）""什么时间登录（登录时间）"服务器并在"什么时间（命令发生时间）"在"服务器（目标服务器）"上执行过"什么操作（命令）"。支持对日志的备份操作处理支持对日志的删除处理关键技术LanSecS（堡垒主机）内控管理平台采用系列先进技术，成功实现命令及图形的捕获及控制，为服务器的安全运行提供了强有力的系统工具。逻辑命令自动识别技术LanSecS（堡垒主机）内控管理平台自动识别当前操作终端，对当前终端的输入输出进行控制，组合输入输出流，自动识别逻辑语义命令。系统会根据输入输出上下文，确定逻辑命令编辑过程，进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能，在传统键盘捕获及控制领域取得新的突破，可以更加准确的控制用户意图。该技术能自动识别命令状态和编辑状态以及私有工作状态，准确捕获逻辑命令。分布式处理技术LanSecS（堡垒主机）内控管理平台采用分布式处理架构进行处理，启用命令捕获引擎机制，通过策略服务器完成策略审计，通过日志服务器存储操作审计日志，并通过实时监视中心，实时察看用户在服务器上行为。这种分体式设计有利于策略的正确执行和操作记录日志的安全。同时，各组件之间采用安全连接进行通信，防止策略和日志被篡改。各组件可以独立工作，可以分布于不同的服务器上，亦可所有组件安装于一台服务器。正则表达式匹配技术LanSecS（堡垒主机）内控管理平台采用正则表达式匹配技术，将正则表达式组合入树型可遗传策略结构，实现控制命令的自动匹配及控制。树型可遗传策略适合现代企业事业架构，对于服务器的分层分级管理及控制提供了强大的工具。RDP协议代理为了对图形终端操作行为进行审计和监控，LanSecS（堡垒主机）内控管理平台对图形终端使用的协议进行代理，实现多平台的多种图形终端操作的审计，例如Windows平台的RDP方式图形终端操作，Linux/Unix平台的XWindow方式图形终端操作。多进程/线程及同步技术LanSecS（堡垒主机）内控管理平台主体采用多进程/线程技术实现，利用独特的通信和数据同步技术，准确控制程序行为。多进程/线程方式逻辑处理准确，事务处理不会发生干扰，这有利于保证系统的稳定性、健壮性。数据加密功能LanSecS（堡垒主机）内控管理平台在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性。防止恶意用户截获和篡改数据。充分保护用户在操作过程中不被恶意破坏。审计查询检索功能自从《萨班斯法案》的推出，企业内控得到了严格的审查，企业的内部审计显得非常重要。LanSecS（堡垒主机）内控管理平台能够为企业内部网络提供完全的审计信息，这些审计信息能够为企业追踪用户行为，判定用户行为等，能够还原出用户的一些操作性为。传统审计关联到IP，这本身是一个不确定的和不负责任的审计结果，因为IP信息不能够真实反应出真实的操作者是谁，从而企业内部网络出现问题不能追踪用户。LanSecS（堡垒主机）内控管理平台能够对这些用户关联审计行为，就是说真正能够把每一次审计出的用户操作性为绑定到自然人身上，便于企业内部网络管理追踪到个人。操作还原技术操作还原技术是指将用户在系统中的操作行为以真实的环境模拟显现出来，审计管理员可以根据操作还原技术还原出真实的操作，以判定问题出在哪里。LanSecS（堡垒主机）内控管理平台采用操作还原技术能够将用户的操作流程自动地展现出来，能够监控用户的每一次行为，判定用户的行为是否对企业内部网络安全性造成危害。产品优势良好的扩展性LanSecS（堡垒主机）内控管理平台产品从4A解决方案中抽象出来，提供最便捷的4A项目集成方案。在程序结构上充分考虑到4A项目和非4A项目的使用场景，以先进的体系结构，清晰合理的模块划分实现多种用户场景的适用性。在4A项目中，LanSecS（堡垒主机）内控管理平台放弃帐号、认证、授权的集中管理，只提供执行单元，完成访问控制和操作审计功能；在非4A项目中将4A的一些理念融合到LanSecS（堡垒主机）内控管理平台产品中，除提供基础的访问控制和操作审计功能外，还提供精简的帐号、认证、授权集中管理功能。强大的审计功能精确记录用户操作时间。审计结果支持多种展现方式，让操作得以完整还原。审计结果可以录像回放，支持调节播放速度，并且回放过程中支持前后拖拽，方便快速定位问题操作。方便的审计查询功能，能够一次查询多条指令。部署和使用简单不需要在被管理设备上安装代理程序。不需要改变网络的物理拓扑结构。不影响被管理设备的运行。管理员和操作员都使用WEB方式操作，操作简单。高度的安全性和成熟性LanSecS（堡垒主机）内控管理平台系统的开发研制中，我们采用成熟的先进技术，对系统的关键技术在前期的工作中进行了大量实验和攻关及原型建立，在已开发并经广泛测试的产品中，上述的关键技术问题已解决。而且，LanSecS（堡垒主机）内控管理平台系统所选取的硬件平台和软件平台，是具有良好的技术支持和发展前途的成熟产品。系统运用了先进的加密、过滤、备份、数字签名及身份认证、权限管理等安全手段，建立健全的系统安全机制，保证了用户的合法性和数据不被非法盗取，从而保证产品的安全性。主要应用运维管理LanSecS（堡垒主机）内控管理平台通过单点登陆进行集中的运维管理，将全部设备集中管控，统一进行维护管理；通过集中账户管理解决运维管理人员密码安全存储问题，统一管理维护人员密码口令，避免密码遗忘和泄露；通过提供运维管理工具帮助管理员日常维护管理，快捷方便提供日常管理工具；通过访问控制避免管理员误操作的发生，禁止使用危险命令，防止破坏性事件发生；通过操作审计进行全称记录，并进行回放浏览。安全管理严重的攻击来自系统内部（80%来自内部攻击），LanSecS（堡垒主机）内控管理平台针对各种途径服务器的访问方式进行监控，支持telnet，，rdp，xwindow等，通过将服务器的常用端口关闭，阻止了其他主机访问服务器。通过堡垒主机代理连接的方式，可以访问指定服务器，即加强了服务器的安全，又不影响功能使用。但是，目前没有可靠办法保证系统管理员安全策略配置行为的有效性，合法性以及一致性，一般都通过行政手段，让系统管理员记录安全策略配置过程，这有严重的安全隐患。LanSecS（堡垒主机）内控管理平台可以记录系统管理员对网络边界安全设备的配置过程，保证安全策略的一致性，其生成的日志系统，可以比较方便的集成到企事业现有安全策略管理架构中。技术参数LanSecS（堡垒主机）内控管理平台单点登录客户端支持Windows全系列产品；支持常见数据库；支持常用连接工具；具体参数如下列表：名称说明windows

7

（mstsc）windows7远程桌面连接windowsXPSP3

（mstsc）WindowsXPSp3远程桌面连接windowsXPSP2（mstsc）WindowsXPSp2远程桌面连接CMD窗口windows运行中的CMD窗口securityCRT常用的字符连接工具支持telnet\ssh连接winscp()常用的FTP连接工具支持连接mstsc常用的主机图形访问工具支持linux\unix图形连接neterm常用的字符连接工具支持telnet\ssh连接ToadOracle客户端管理工具Golden32Oracle客户端管理工具SybasecontralSybase客户端管理工具WeblogicconsoleWeblogic管理工具PLsqlORACLE常用客户端winsql常用数据库连接客户端支持：DB2\sysbase\informix等多种数据库连接dbaccess(informix)informix自有数据库客户端sqlserver2000sqlserver2000查询分析器sqlserver2019sqlserver2019查询分析器MysqlMysql数据库管理器LanSecS（堡垒主机）内控管理平台支持如下系列系统资源从账户同步类别名称Windows（支持域模式）windowsserver2019windowsserver2019windowsserver2000windowsxpwindows2000unix/linuxlinuxHPunixAIX(IBM)SCOUnixsuse10suse9数据库Oracle9iOracle10gmysqlsqlserver2000sqlserver2019informixdb2sysbase网络设备（支持radius）Cisco、华为、华三、juniper安全设备Firewall、SSLVPN、IDSLanSecS（堡垒主机）内控管理平台包括多种协议代理，常用协议如下表：协议代理类型telnetssh1ssh2RDPX11VNCftpSftp产品部署逻辑部署示意图LanSecS（堡垒主机）内控管理平台部署逻辑图：物理部署示意图LanSecS（堡垒主机）内控管理平台支持多种部署方式，部署简单方便，实用，能够很好的满足用户的要求。并根据用户实际规模、安全级别采用以下两种部署方式：1、LanSecS（堡垒主机）内控管理平台典型部署示意图：2、LanSecS（堡垒主机）内控管理平台支持双机热备示意图：部署说明如图，LanSecS（堡垒主机）内控管理平台部署在被管服务器区的访问路径上，通过防火墙或者交换机的访问控制策略限定只能由LanSecS（堡垒主机）内控管理平台直接访问服务器的远程维护端口。维护人员维护被管服务器或者网络设备时，首先以WEB方式登录堡垒主机，然后通过堡垒主机上展现的访问资源列表直接访问授权资源。客户收益实现集中帐号管理，降低管理费用实现对用户帐号的统一管理和维护在实现集中帐号管理前，每一个新上线应用系统均需要建立一套新的用户帐号管理系统，并且分别由各自的管理员负责维护和管理。这种相对独立的帐号管理系统不仅建设前期投入成本较高，而且后期管理维护成本也会成倍增加。而通过堡垒主机的集中帐号管理，可实现对IT系统所需的帐号基础信息（包括用户身份信息、机构部门信息、其他公司相关信息，以及生命周期信息等）进行标准化的管理，能够为各IT系统提供基础的用户信息源。通过统一用户信息维护入口，保证各系统的用户帐号信息的唯一性和同步更新。解决用户帐号共享问题主机、数据库、网络设备中存在大量的共享帐号，当发生安全事故时，难于确定帐号的实际使用者，通过部署LanSecS（堡垒主机）内控管理平台系统，可以解决共享帐号问题。解决帐号锁定问题用户登录失败五次，应对帐号进行锁定。网络设备、主机、应用系统等大都不支持帐号锁定功能。通过部署LanSecS（堡垒主机）内控管理平台系统，可以实现用户帐号锁定、一键删除等功能。实现集中身份认证和访问控制，避免冒名访问，提高访问安全性提供集中身份认证服务实现用户访问IT系统的认证入口集中化和统一化，并实现高强度的认证方式，使整个IT系统的登录和认证行为可控制及可管理，从而提升业务连续性和系统安全性。实现用户密码管理，满足SOX法案内控管理的要求多数企业对主机、网络设备、数据库的访问都是基于“用户名+静态密码”访问，密码长期不更换，密码重复尝试的次数也没有限制，这些都不能满足SOX法案内控管理的需求。仅通过制度要求用户在密码更换、密码设定等方面满足SOX相关要求，无法在具体执行过程中对用户进行有效监督和检查。LanSecS（堡垒主机）内控管理平台系统通过建设集中的认证系统，并结合集中帐号管理的相关功能，实现用户密码管理，密码自动变更，提高系统认证的安全性。实现对用户的统一接入访问控制功能部署堡垒主机前，维护人员接入IT系统进行维护操作具有接入方式多样、接入点分散的特点。而维护人员中很多是代维人员，这些代维人员来自于各集成商或设备供应商，人员参差不齐，流动性大。由于维护人员对系统拥有过大权限，缺乏对其进行访问控制和行为审计的手段，存在极大的安全隐患。LanSecS（堡垒主机）内控管理平台系统统一维护人员访问系统和设备的入口，提供访问控制功能，有效的解决运维人员的操作问题，降低相关IT系统的安全风险。实现集中授权管理，简化授权流程，减轻管理压力实现统一的授权管理各应用系统分别管理所属的资源，并为本系统的用户分配权限，若没有集中统一的资源授权管理平台，授权管理任务随着用户数量及应用系统数量的增加越来越重，系统的安全性也无法得到充分保证。LanSecS（堡垒主机）内控管理平台系统实现统一的授权管理，对所有被管应用系统的授权信息进行标准化的管理，减轻管理员的管理工作，提升系统安全性。授权流程化管理通过LanSecS（堡垒主机）内控管理平台系统，管理层可容易地对用户权限进行审查，并确保用户的权限中不能有不兼容职责，用户只能拥有及身份相符的权限，授权也有相应的工作流审批。实现单点登录，规范操作过程，简化操作流程单点登录LanSecS（堡垒主机）内控管理平台提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问来提高生产效率。同时，单点登录可以实现及用户授权管理的无缝连接，这样可以通过对用户、角色、行为和资源的授权，增加对资源的保护，和对用户行为的监控及审计。规范操作流程规范操作人员和第三方代维厂商的操作行为。通过LanSecS（堡垒主机）内控管理平台系统的部署，所有系统管理人员，第三方系统维护人员，都必须通过LanSecS（堡垒主机）内控管理平台系统来实施网络管理和服务器维护。对所有操作行为做到可控制、可审计、可追踪。审计