LanSecS堡壘主機(jī)內(nèi)控管理平臺產(chǎn)品交流

精細(xì)訪控事件追蹤

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺技術(shù)交流技術(shù)顧問XXX2010年8月交流提綱54堡壘主機(jī)解決方案3現(xiàn)有解決方案2問題分析1IT運(yùn)維現(xiàn)狀堡壘主機(jī)產(chǎn)品介紹6為何選擇LanSecS交流提綱54堡壘主機(jī)解決方案3現(xiàn)有解決方案2問題分析1IT運(yùn)維現(xiàn)狀堡壘主機(jī)產(chǎn)品介紹6為何選擇LanSecSIT資產(chǎn)IT運(yùn)維角度主機(jī)系統(tǒng)數(shù)據(jù)庫系統(tǒng)網(wǎng)絡(luò)設(shè)備安全設(shè)備專用系統(tǒng)應(yīng)用角度OA系統(tǒng)財(cái)務(wù)系統(tǒng)人力系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng)客戶服務(wù)系統(tǒng)資產(chǎn)用戶資產(chǎn)的管理者內(nèi)部維護(hù)人員常駐維護(hù)人員臨時(shí)維護(hù)人員資產(chǎn)的使用者行政人員財(cái)務(wù)人員業(yè)務(wù)人員管理人員外部用戶訪問方式各類人員可以通過下面各種途徑訪問IT資產(chǎn)：使用遠(yuǎn)程終端服務(wù)：例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口（CLI）使用文件傳輸協(xié)議：例如FTP等使用遠(yuǎn)程窗口和桌面：例如Windows的遠(yuǎn)程桌面（RDP），和Unix的Xwindow。使用各種數(shù)據(jù)庫客戶端：例如各種數(shù)據(jù)庫的client程序、ODBC、JDBC，以及多種其它數(shù)據(jù)庫工具。IT運(yùn)維現(xiàn)狀？用戶管理復(fù)雜性不可避免？？資產(chǎn)安全性又如何保證？交流提綱54堡壘主機(jī)解決方案3現(xiàn)有解決方案2問題分析1IT運(yùn)維現(xiàn)狀堡壘主機(jī)產(chǎn)品介紹6為何選擇LanSecS管理工作帳號管理認(rèn)證管理AB操作審計(jì)D授權(quán)管理C定義帳號密碼定期變更密碼密碼強(qiáng)度控制……..日志收集日志分析故障排查事故追蹤……..建立帳號修改帳號刪除帳號……..定義帳號權(quán)限分配帳號修改帳號權(quán)限防止越權(quán)訪問……..設(shè)備及服務(wù)器管理管理問題—帳號管理空閑帳號弱口令帳號僵尸帳號共享帳號相同帳號設(shè)備及服務(wù)器群管理理問問題題——認(rèn)認(rèn)證證管管理理各系系統(tǒng)統(tǒng)獨(dú)獨(dú)立立認(rèn)認(rèn)證證單一一的的靜靜態(tài)態(tài)口口令令認(rèn)認(rèn)證證口令令強(qiáng)強(qiáng)度度基基本本無無限限制制管理理問問題題——授授權(quán)權(quán)管管理理授權(quán)權(quán)工工作作量量大大、、繁繁瑣瑣沒有有有有效效的的訪訪問問控控制制手手段段授權(quán)權(quán)粒粒度度粗粗，，基基本本只只到到設(shè)設(shè)備備管理理問問題題——審審計(jì)計(jì)一一缺乏乏資資源源帳帳號號管管理理的的審審計(jì)計(jì)缺乏乏資資源源帳帳號號分分配配給給自自然然人人的的授授權(quán)權(quán)審審計(jì)計(jì)缺乏乏用用戶戶登登錄錄登登出出系系統(tǒng)統(tǒng)的的審審計(jì)計(jì)缺乏用戶戶對系統(tǒng)統(tǒng)操作行行為的審審計(jì)管理問題題—審計(jì)計(jì)二關(guān)鍵業(yè)務(wù)務(wù)系統(tǒng)這么多系統(tǒng)，，查看命令這這么復(fù)雜，我我怎么去使用用這些命令去去查看？業(yè)務(wù)數(shù)據(jù)被修修改，從日志志中查，一天天的日志量有有幾百萬，我我該從什么地地方開始看，，他到底在什什么時(shí)間修改改業(yè)務(wù)數(shù)據(jù)的的？每個(gè)系統(tǒng)的日日志都這么多多，不知道他他們之間有什什么關(guān)系？……當(dāng)出現(xiàn)事故或或安全問題時(shí)時(shí)，無法對事事故責(zé)任進(jìn)行行追蹤定責(zé)。。無法對維護(hù)人人員的作業(yè)行行為進(jìn)行監(jiān)控控。多人共用系統(tǒng)統(tǒng)帳號，進(jìn)行行維護(hù)作業(yè)由于維護(hù)人員員維護(hù)多個(gè)系系統(tǒng)資源，常常常為了方便便將口令信息息存放于文件件之中維護(hù)人員通常常使用高權(quán)限限的帳號進(jìn)行行維護(hù)操作，，對于某些用用戶來說該權(quán)權(quán)限過于寬松松企業(yè)關(guān)鍵設(shè)備備的登陸缺乏乏強(qiáng)認(rèn)證手段段。傳統(tǒng)強(qiáng)認(rèn)認(rèn)證手段實(shí)施施困難管理員誤操作作重現(xiàn)恢復(fù)困困難。管理問題小結(jié)結(jié)資產(chǎn)安全問題題多人共用系統(tǒng)統(tǒng)帳號，帳號號信息容易外外泄，資產(chǎn)安安全受到威脅脅邊界安全建設(shè)設(shè)日趨完善，，內(nèi)部威脅未未受重視，80%的問題與威脅脅來自于網(wǎng)絡(luò)絡(luò)內(nèi)部，終端端防護(hù)類只解解決了病毒、、木馬等，人人為呢？或者者操作失誤呢呢？企業(yè)生產(chǎn)數(shù)據(jù)據(jù)面臨被內(nèi)部部人員篡改、、刪除、竊取取，主機(jī)被關(guān)關(guān)機(jī)、設(shè)備配配置被修改，，導(dǎo)致企業(yè)生生產(chǎn)停頓、商商業(yè)資料泄露露，給企業(yè)造造成巨大的損損失。運(yùn)維人員使用用問題密碼記憶用戶需要記憶憶許多用戶名名和密碼用于于登錄各個(gè)系系統(tǒng)，經(jīng)常出出現(xiàn)忘記密碼碼的情況，有有些管理直接接使用相同的的密碼，缺乏乏統(tǒng)一的用戶戶管理。頻繁登錄和注注銷管理不同的網(wǎng)網(wǎng)絡(luò)設(shè)備需要要分別登錄，，操作繁瑣。。合規(guī)性問題薩班斯.奧克斯利法案（Sarbanes-Oxley）公安部：《信息系統(tǒng)安全等級保護(hù)基本要求（試用稿）》對數(shù)據(jù)安全的保護(hù)是安全等級保護(hù)關(guān)注的對象。財(cái)政部、審計(jì)署、證監(jiān)會、銀監(jiān)會、保監(jiān)會《企業(yè)內(nèi)部控制基本規(guī)范》是內(nèi)部控制審計(jì)的重要依據(jù)。據(jù)外電報(bào)道，，已有多個(gè)消消息來源證實(shí)實(shí)，在美國東東部時(shí)間6日下午，一名名交易員在賣賣出股票時(shí)敲敲錯了一個(gè)字字母，將百萬萬誤打成十億億（million-billion），導(dǎo)致道瓊瓊斯指數(shù)突然然出現(xiàn)近千點(diǎn)點(diǎn)暴跌，誤操操作和技術(shù)問問題可能是導(dǎo)導(dǎo)致6日紐約股市暴暴跌的主要原原因之一。針針對出現(xiàn)多處處異常波動現(xiàn)現(xiàn)象，紐約證證券交易所和和納斯達(dá)克股股票市場已展展開調(diào)查?！?010.5.7新聞一個(gè)實(shí)例交流提綱54堡壘主機(jī)解決決方案3現(xiàn)有解決方案案2問題分析1IT運(yùn)維現(xiàn)狀堡壘主機(jī)產(chǎn)品品介紹6為何選擇LanSecS集中登錄集中式網(wǎng)絡(luò)管管理（先登錄管理作業(yè)業(yè)服務(wù)器，然然后轉(zhuǎn)換身份份再對相關(guān)服服務(wù)器進(jìn)行維維護(hù)。屬于多多用戶單帳號號管理方式）問題：1.多用戶共享root帳號，權(quán)限劃劃分不明，所所有人員都具具有最高的ROOT權(quán)限。2.無法跟蹤某個(gè)個(gè)管理員的確確切操作。3.依靠各自服務(wù)務(wù)器的日志信信息，審計(jì)信信息不可集中中審計(jì)管理。。旁路審計(jì)針對協(xié)議：明文協(xié)議（（TELNET/FTP/HTTP等）問題：1.密文協(xié)議（

2.細(xì)粒度授權(quán)

3.審計(jì)信息不可讀（實(shí)名、信息量）xvz@b銐>e決;`耂決塠hQ軴芠€b/g纇錱密文，無法審計(jì)SSH分析儀/審計(jì)儀鏡像監(jiān)聽解決問題思路路現(xiàn)有解決方案集中登錄旁路審計(jì)堡壘主機(jī)解決方案帳戶管理認(rèn)證管理授權(quán)管理操作審計(jì)集中登錄解決了用戶帳戶管理問題，但用戶權(quán)限更加不易控制旁路審計(jì)解決了基本明文協(xié)議的審計(jì)，但密文協(xié)議及圖形界面審計(jì)無法完成集中管理帳戶多系統(tǒng)統(tǒng)一帳戶集中認(rèn)證統(tǒng)一登錄安全認(rèn)證集中管理授權(quán)細(xì)化變更容易集中審計(jì)過程審計(jì)易存儲，易查詢可結(jié)構(gòu)化輸出交流提綱54堡壘主機(jī)解決決方案3現(xiàn)有解決方案案2問題分析1IT運(yùn)維現(xiàn)狀堡壘主機(jī)產(chǎn)品品介紹6為何選擇LanSecS25集中訪問入口口、操作審計(jì)計(jì)堡壘主機(jī)內(nèi)控控平臺建設(shè)目標(biāo)集中管理帳號管理唯一身份認(rèn)證管理你是誰授權(quán)管理你能干什么操作審計(jì)你干了什么身份授權(quán)分離離系統(tǒng)帳號=身份認(rèn)證系統(tǒng)授權(quán)+主帳號身份認(rèn)證+從帳號系統(tǒng)授權(quán)+操作審計(jì)集中審計(jì)全程記錄，操操作過程審計(jì)計(jì)統(tǒng)一存儲，統(tǒng)統(tǒng)一查詢真實(shí)還原操作作過程多協(xié)議審計(jì)支支持交流提綱54實(shí)質(zhì)性的解決決方案3階段性的解決決方案2問題分析1IT運(yùn)維現(xiàn)狀堡壘主機(jī)產(chǎn)品品介紹6為何選擇LanSecS產(chǎn)品架構(gòu)集中管理平臺臺集中帳號管理理集中認(rèn)證集中授權(quán)集中訪問控制制集中安全審計(jì)計(jì)字符終端代理理支持指令終端端的常見協(xié)議議SSH、TELNET、RLOGIN、FTP策略中配置禁禁止該操作員員使用kill等危險(xiǎn)命令，，顯示禁用提提示信息策略中配置禁禁止命令中不不包含more命令，放行通通過，得到正正確執(zhí)行結(jié)果果操作人員moreabc.filekillallapache堡壘主機(jī)目標(biāo)服務(wù)器字符權(quán)限控制制一字符權(quán)限控制制二圖形終端代理理支持圖形終端端的常見協(xié)議議RDP、VNC、XWINDOWS統(tǒng)一的WEB單點(diǎn)登錄方式式單點(diǎn)登錄—UNIX統(tǒng)一的WEB單點(diǎn)登錄方式式單點(diǎn)登錄—WINDOWS主機(jī)操作審計(jì)一操作審計(jì)二操作審計(jì)三操作審計(jì)——操作過程回放放產(chǎn)品特色流程管理提供用戶申請請、權(quán)限申請請、資源申請請等管理流程程4a擴(kuò)展在4A項(xiàng)目中，帳號號、認(rèn)證、授授權(quán)管理轉(zhuǎn)移移到4A，提供執(zhí)行單單元，完成基基礎(chǔ)訪問控制制和操作審計(jì)計(jì)功能。在非4A項(xiàng)目中除提供供基礎(chǔ)的訪問問控制和操作作審計(jì)功能外外，還提供精精簡的帳號、、認(rèn)證、授權(quán)權(quán)集中管理功功能。內(nèi)部權(quán)限控制制靈活策略配置靈活活時(shí)間、源設(shè)備備、命令安全會話一次性會話密密鑰與連接會話加密高可用性與可可靠性支持外接存儲儲支持雙機(jī)分散審計(jì)->綜合安全審審計(jì)直接訪問管管理-〉集中訪問控控制網(wǎng)關(guān)逐個(gè)系統(tǒng)的的設(shè)置帳號號策略-〉集中賬號管管理逐個(gè)系統(tǒng)的的認(rèn)證登陸陸-〉單點(diǎn)登陸逐個(gè)系統(tǒng)符合安全提高訪問安安全減輕管理壓壓力簡化操作流流程降低管理成成本用戶收益堡壘主機(jī)基基本部署DMZ或設(shè)備中心心工作區(qū)IT運(yùn)維人員IT運(yùn)維人員Internet堡壘主機(jī)產(chǎn)品規(guī)格產(chǎn)品名稱型號產(chǎn)品描述LanSecS－NK－501U硬件設(shè)備、最大能夠管理50個(gè)資源數(shù)LanSecS－NK－1001U硬件設(shè)備、最大能夠管理100個(gè)資源數(shù)LanSecS－NK－2002U硬件設(shè)備、最大能夠管理200個(gè)資源數(shù)LanSecS－NK－5002U硬件設(shè)備、最大能夠管理500個(gè)資源數(shù)典型案例中國人保30多臺類Unix主機(jī)（包括括SCOUnix、RedHatLinux、Solaris、AIX等）20多臺Windows主機(jī)（操作作系統(tǒng)為windows2003/2000和少數(shù)XP）60多臺核心交交換和路由由器北師大航天長城100多個(gè)被管資資源交流提綱54堡壘主機(jī)解解決方案3現(xiàn)有解決方方案2問題分析IT運(yùn)維維現(xiàn)現(xiàn)狀狀堡壘壘主主機(jī)機(jī)產(chǎn)產(chǎn)品品介介紹紹6為何何選選擇擇LanSecS公司司簡簡介介-圣博博潤潤2000年成成立立與與中中關(guān)關(guān)村村科科技技園園區(qū)區(qū)10年專專業(yè)業(yè)致致力力與與信信息息安安全全軟軟件件產(chǎn)產(chǎn)品品開開發(fā)發(fā)、、研研究究和和服服務(wù)務(wù)國內(nèi)內(nèi)領(lǐng)領(lǐng)先先的的信信息息安安全全產(chǎn)產(chǎn)品品和和服服務(wù)務(wù)提提供供商商自主主知知識識產(chǎn)產(chǎn)權(quán)權(quán)總公公司司設(shè)設(shè)在在北北京京，，在在中中國國29個(gè)重重要要城城市市設(shè)設(shè)有有辦辦事事機(jī)機(jī)構(gòu)構(gòu)，，擁擁有有以以北北京京和和南南京京地地區(qū)區(qū)為為支支點(diǎn)點(diǎn)的的研研發(fā)發(fā)體體系系，，在在華華東東、、華華南南、、東東北北地地區(qū)區(qū)設(shè)設(shè)有有分分公公司司目前前公公司司人人數(shù)數(shù)近近200人，，研研發(fā)發(fā)和和技技術(shù)術(shù)人人員員人人數(shù)數(shù)占占員員工工總總數(shù)數(shù)近近40%近萬萬家家的的成成功功案案例例國內(nèi)內(nèi)內(nèi)內(nèi)網(wǎng)網(wǎng)安安全全產(chǎn)產(chǎn)品品和和服服務(wù)務(wù)綜綜合合廠廠商商中中唯唯一一上上市市公公司司公司人員增長示意圖2000200320062010335902102008150公司司簡簡