用户需求
一、现状与分析 (一)多入口操作 信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。在运维过程中可通过多种入口对信息系统进行维护,运维人员复杂、操作习惯不同以及故障情况下,都导致通过不同入口(如:远程、KVM、串口等)去维护系统。另外也存在第三方代维和厂商通过远程来调试和维护特定设备的情况。 运维人员通过不同的入口去维护信息系统,导致无法统一管理、设置统一安全策略,维护过程中,存在许多不可控的因素,从而容易引起各种安全隐患。 当第三方运维人员(代维/原厂工程师),通过远程来进行维护时,管理员无法从技术上确保,第三方人员的所有操作行为是否合规。 (二)交叉运维操作 在信息系统运维过程中,为了方便登录,经常有共用账号的现象发生。另外在有对权限要求较高的运维操作时,往往会采用管理员权限的账号进行维护。 多人同时使用一个系统账号甚至管理员账号在带来管理方便性的同时,也导致用户身份唯一性无法确定。由于共享账号是多人共同使用,发生问题后,无法准确定位恶意操作或误操作的具体责任人。更改密码需要通知到每一个需要使用此账号的人员,带来了密码管理的复杂化,同时也存在密码泄露的风险。 (三)越权和违规操作 由于大量使用特权账号维护,且没有一种技术手段来监控、控制特权账户的操作,所以出现越权或违规操作的现象较多。 无法保证可信的用户才能访问其拥有权限的资源,无法对用户的操作权限基于账号进行精确划分,因此无法规避越权或违规操作,从而导致安全事件发生。 (四)密码策略无法有效执行 为了保证资产账号密码的安全性安全管理员制定了严格的密码策略,如密码要定期修改,密码要保证足够的长度和复杂度等,但是由于管理的资产数量和账号数量太多,这对于IT资产众多的用户来说是一件费时费力的工作,要保证按期安全的执行密码策略存在很大困难,往往导致密码策略的实施流于形式。 由于设备多,帐号多,每一个密码都要足够复杂,依靠人工记忆很难,定期修改密码费时,费力。对用户来说,安全保存多个密码的也是一个难题。因此许多用户采用将密码明文存放在文档中,需要的时候去文档中查找对应密码的密码保存使用方式,这种方式虽为用户带来使用上的便利,但存在较高的安全隐患。 二、政策依据 l国家保密标准BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》 l国家保密标准BMZ1-2000,《涉及国家秘密的计算机信息系统保密技术要求》 l国家保密标准《计算机信息系统保密管理暂行规定》(国保发{1998}1号) l国家标准GB17859-1999,《计算机信息系统安全保护等级划分准则》 l国家标准GB/T18336.2-2001,《信息技术安全技术信息技术安全性评估准则第2部分: 安全功能要求》 lISO27001/ISO17799:2005/BS7799,《信息安全管理技术规范》 产品优势 (一)逻辑命令自动识别技术 国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0自动识别当前操作终端,对当前终端的输入输出进行控制,组合输入输出流,自动识别逻辑语义命令。系统会根据输入输出上下文,确定逻辑命令编辑过程,进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能,在传统键盘捕获与控制领域取得新的突破,可以更加准确的控制用户意图。 该技术能自动识别命令状态和编辑状态以及私有工作状态,准确捕获逻辑命令。 (二)实时多维运维数据分析 国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0产品内置多种统计分析功能,可对系统用户、资源数据、策略数据、授权数据、审计数据、工单数据、计划任务等多模块进行逐一展现。并提供相关数据的下钻和分类查询。便于管理人员进行一目了然的了解当前使用国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0的状态,及时了解运维情况。通过长期数据积累和分析,对运维走势可进行参考预判。 (三)强大的审计功能 国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0在审计方面能做到: l精确记录用户操作时间; l审计结果支持多种展现方式,让操作得以完整还原; l审计结果可以录像回放,支持调节播放速度,并且回放过程中支持前后拖拽,方便快速定位问题操作; l方便的审计查询功能,能够一次查询多条指令。 (四)使用简单,适应各种应用 不增加操作和维护的复杂度,不改变用户的使用习惯,不影响被管理设备的运行。 统一操作入口,统一登录界面,管理员和操作员都使用WEB方式操作,操作简单。可对所有UNIX类服务器、LINUX类服务器、Windows类服务器、网络/安全等重要设备的进行统一操作管理。 统一运维工具,不需要用户安装SSHClient、Neteam、SecureCRT等运维工具,即可采用RDP、Telnet、FTP、SSH等常用运维方式对被管资源进行操作。 (五)静态转动态展示 采用最前沿界面架构,优化界面友好度和操作便捷性,加强界面、图表、数据、查询等功能视觉冲击。 优化原有静态页面因资源、用户、授权等数据量巨大的情况下浏览器出现的卡顿、崩溃等问题。 完美兼容火狐、谷歌等第三方内核浏览器,展示效果更突出。 (六)运维命令的实时审计和拦截控制 对于普通用户登录到目标设备上正在进行的操作,审计管理员可以通过国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0的WEB界面做到实时监控,做到边操作边审计,真正实现操作透明。同时对于用户的违规操作,审计管理员还可以做到实时切断。(相比传统的并行网络侦听审计而言) (七)数据库运维审计和控制 基于数据库协议精确解析能力,提供高精准度的事中管控 国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0旁路部署于服务器之间,基于数据库协议精确解析能力与语句模板匹配技术,将实际执行操作与申请操作进行对比分析,匹配失败即启动拦截,有效防止恶意操作及误操作。 国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0支持对数据库加密类协议进行全面审计。可以记录操作命令、操作过程中的键盘事件,同时可以对操作过程进行实时监控、录像、回放,输入和输出完整审计。支持对高危数据库操作指令进行拦截控制,并进行告警通知。 典型应用 国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0接入用户网络中的方式是旁路,仅需要为系统分配一个IP,并确保该地址与需要运维的主机IP可达,协议可访问。 维护人员维护被管服务器或者网络设备时,首先以WEB方式登录国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0,然后通过国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0上展现的访问资源列表直接访问授权资源。 不论运维人员以何种方式(局域网直连、VPN、ADSL拨号等)访问国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0,只要保证运维工作站与国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0路由可达即可。 国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0部署采用分区域、分安全域部署,根据实际网络环境,每个安全域部署一台(套),采用“分布式部署,集中式管理”模式,即“物理分布,逻辑集中”。 (一)区域内部署 国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0部署逻辑图: (二)分布式部署 国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0分布部署图: 如图,以IDC机房运维为例,在分布在各地的IDC机房内视其网络安全域划分情况部署国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0。运维人员只需登陆被管资源所属的国基华电运维审计安全管理系统(堡垒机)GJsec-OAS/3.0即可对该资源进行运维操作。