天玥网络安全审计系统(业务堡垒机)产品介绍

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,44,天玥网络安全审计系统（堡垒机）培训教材之,产品介绍,操作人员,系统与设备,传统运维工作,三楼楼长,系统账号,系统管理员,数据库管理员,安全管理员,厂商代维人员,系统账号,关键问题,关键,问题,共享,帐号,访问,控制,权限,控制,操作,审计,关键问题-,共享账号,帐号不具有唯一性,密码难以管理,责任难以认定,节约了帐号管理成本,降低了本地溢出的风险,共享账号,关键问题-,访问控制,username,password,username,password,关键问题-,权限控制,IP层的访问控制措施,root,password,rm -rf xx.xx,telnet xx.xx.xx,delete from xx,关键问题-,操作审计,时间1,源IP1,源MAC1,系统账号1,commands,时间2,源IP2,源MAC2,系统账号2,commands,时间3,源IP3,源MAC3,系统账号3,commands,用户账单,被修改,1.无法分析跳转行为；,2.无法实现操作日志,与用户身份的关联；,需求描述-1,集中管理,集中管理用户、设备、系统账号；,集中管理用户、系统账号的密码；,所有用户集中登录、集中认证；,集中配置账号密码策略、访问控制策略；,集中管理所有用户操作记录；,访问控制,根据用户角色设置分组访问控制策略；,实现“用户系统系统账号”的对应关系；,实现实体级的访问控制授权；,需求描述-2,权限控制,可设置以命令为基础的权限控制策略；,实现命令级别的实体内授权；,操作审计,以用户身份为依据，真实完整的记录每个用户的所有操作行为；,精确到命令的审计机制；,对用户的操作进行仿真回放；,记录加密维护协议SSH数据。,设计原理-,安全小区模型,草坪,垃圾筒,垃圾筒,花园,住户,name,name,园丁,name,who,where/what,收垃圾,锄草工,住户,住户,name,各种资源,操作管理-,核心要素与内容,各种角色的人,各种操作命令,集中管理,访问控制,权限控制,审计,天玥IV型的主要功能,按职能定义策略,用户与资源对应,执行访问控制策略,选择用户或分组,按权限定义命令,选择响应方式,按部门分配资源,集中管理各种资源,集中管理账号口令,按条件进行检索,按条件生成报表,按条件进行回放,集中管理,权限控制,访问控制,操作审计,操作,管理,天玥IV工作原理,天玥IV,认证，身份识别,Web登录,SSH客户端,登录,参数配置,口令修改,自服务界面,会话浏览,会话回放,日志查询,报表展现,审计界面,全局策略,密码策略,用户管理,设备管理,账号管理,部门管理,授权管理,权限控制,配置界面,SSH/telnet设备,Shell Portal,根据分组授权,显示设备列表,通过代填登录,定期修改口令,堡垒机程序记录用户屏幕操作,集中管理,集中登录,需要从网络层做访问控制，保证所有的用户只能通过天玥IV来访问所有的资源。,集中管理,二次登录,天玥IV,Device2:IP2,Device3:IP3,主账号登录,Device1:IP1,account2,account3,SSH/telnet设备,Device1:IP1，telnet服务,Device1:IP1,堡垒机模拟,telnet/SSH,终端，代填,IP1地址与,account1,账号的口令，,完成从账号,的登录。,account1,集中管理,身份管理,系统认证,=,系统账号,系统授权,天玥IV,传统的系统认证,使用天玥IV后的认证管理,用户帐号,身份认证,系统帐号,系统授权,集中管理,角色管理,根据工作职能给用户分配角色；,账号管理员,配置管理员,审计管理员,普通用户,真正实现三权分立。,集中管理,部门管理,完善的分级权限管理：根据人员、资源所处部门（系统）的不同，实现二级部门的分权限管理。二级部门内的管理员只能管理本部门内的资源。,集中管理,自然人账号管理,为维护人员分配惟一标识其身份的账号；,账号属性管理：,登录名,真实姓名,邮箱地址（接收初始化密码）,有效期限,所属部门,账号状态（活动/禁用）,角色,集中管理,设备管理,集中管理所有资源：,设备名称,IP地址,登录协议/端口,所属部门,设备类型,可定制化的自动登录脚本（用户堡垒机到设备的二次登录）,对跳转设备（Oracle/BSC等）的支持,集中管理,系统账号管理,集中管理所有设备内部的系统账号；,系统账号名称,系统账号密码（如果启用，可由堡垒机完成到设备的二次登录）,定期修改该账号的密码,所属设备,修改密码时采用的密码策略,集中管理,账号口令管理,用户口令管理：,创建用户时，可按用户密码策略给该用户生成强壮的口令；,该口令可以通过预设邮箱发送给用户，也可以由管理员手工管理并通知该用户；,设备账号口令管理：,新增设备账号时，需手工同步该账号的密码；,然后即可按照不同级别的设备账号密码策略进行定期修改，并以加密的方式发送给密码保管员。,集中管理,密码策略管理,集中管理,数据的导入导出,可以对用户列表、设备列表、设备账号列表、部门列表进行批量导入导出，节省管理员管理成本；,提供导入模版供下载参考。,访问控制,who-,用户,where-,可访问设备,account-,设备权限,严格的,访问控制列表,访问控制,创建访问控制列表,先创建分组，再选择分组内所管辖的用户与资源账号。,访问控制,执行访问控制策略,用户使用自己的账号登录天玥IV时，天玥IV只反馈给该用户所属分组范围内设备。,可按用户或分组创建命令防火墙策略；,可调整防火墙策略的优先级；,严格限制用户进入设备之后的命令执行。,权限控制,创建命令防火墙策略,权限控制,执行命令防火墙策略,操作审计,会话与命令审计,可显示会话的开始、结束时间、用户名、源IP、会话状态，可查看该会话的命令、命令输出，并对会话进行回放。,回放过程中可进行暂停、继续。,支持各种功能键（TAB，上下箭头，回退等）扩展后的命令和输出结果。,可区分用户的输入命令和输出结果；输入与输出分开，输出信息可以显示概要。,可对实时会话进行标识。,操作审计,会话回放,操作审计,SFTP操作审计,可记录会话开始时间、登录用户名、源IP地址，可查看sftp会话的细节（访问目录、上传下载文件信息等）。,操作审计,精确检索,可按时间段、目标主机、系统账号、用户和关键字为条件进行查询。支持通配符。,操作审计,完美呈现,可按用户或分组进行报表展示，可显示具体用户或分组的web登录次数、ssh登录次数、sftp登录次数以及ssh命令数量。,可生成多种审计视图。,系统自管理,AD域账号同步,提供API接口，可以被其他管理平台调用；,提供与LDAP账号数据库同步的接口。,系统自管理,SSH证书管理,针对ssh设备，可生成设备账号的ssh证书，这样堡垒机与ssh设备可直接通过证书交互完成二次认证，比密码认证更加安全。,系统自管理,双机热备与数据同步,通过HA保证系统的高可用性；,主备系统之间可以进行手工与自动数据同步。,系统自管理,邮件服务器配置,通过配置第三方的邮件服务器，可以给普通用户发送口令密码，给密码保管员发送设备账号修改后的密码。,适用场景,解决用户在维护大量,Unix/Linux主机,、,网络设备,时面临的集中控制、帐号与口令的管理、操作记录等问题，特别是针对加密协议SSH的记录。,支持telnet和SSH设备，扩展支持命令行方式的Oracle维护、图形化的sftp工具。,适用行业：,电信运营商,金融,门户网站运营商,网络游戏服务提供商,。,部署方式,单级部署,天玥IV单级部署示意图,天玥IV主,用户终端,Internet,文件服务器,Web服务器,数据库系统,应用服务器,核心服务器区,天玥IV备,HA,部署方式,分布式部署,天玥IV分布式部署示意图,A地办公系统,C地业务系统,业务人员,B地IT支撑系统,内部维护人员,外包人员,内部工作人员,集中监控平台,产品优势,服务器,：,AIX,、,HPUX,、,SUN,、,SCO UNIX,、,Linux,网络设备,：,CISCO,、,JUNIPER,、华为,存储设备,：,Netapp,、,EMC,等,交换传输设备,：华为、,NOKIA,、西门子等,最广泛的UNIX平台支持,键盘输入命令和屏幕的输出结果,多台机器间跳转操作的关联记录,支持加密传输（,SSH,）的操作记录,支持文本编辑软件（,vi,）操作记录,支持各种交互式命令（,SQL,）操作,支持各种功能键的扩展（,TAB,，,ESC,补齐，回退,删除,上下箭头等）,支持命令的粘贴,支持组合命令,完整清晰的操作记录,命令的具体时间点和时间段,用户账号，系统账号，服务器,输入的命令与,输出结果做全文检索,不需要用户端安装代理软件,不需要被管理设备上安装代理软件,不需要调整用户网络,所有配置只在一台设备上完成,精确的搜索与快速实施,一体化合归性解决方案,最佳实践,成功案例,新疆移动（网管中心/新业务开发中心）,广东移动（省计费中心）,福建移动（省网管中心/信息中心）,佛山移动（网管中心/IDC）,珠海移动（网管中心）,广东电信（智能网）,广东网通（DCN）,河北网通（网管网）,欢 迎 光 临 启 明 星 辰 大 厦 参 观 指 导 ！,谢谢！,