《M系列：运维安全产品OSM》课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/1/17,#,M,系列：运维安全产品,M系列：运维安全产品,目录,应用背景,功能特性,2,产品介绍,客户收益,目录应用背景功能特性2产品介绍客户收益,运维现状,管理人员,企业各类,IT,资源,开发人员,第三方厂家人员,运维人员,帐号共用,无法控制,操作源头,难于定位,加密协议,无法审计,独立授权,无法控制,运维现状管理人员企业各类IT资源开发人员第三方厂家人员运维人,3,经济损失,业务中断,形象破坏,严重后果,第三方人员泄密风险,内部人员操作安全隐患,高权限帐号滥用风险,帐号共用风险,违规行为无法控制,经济损失业务中断形象破坏严重后果第三方人员泄密风险内部人员操,4,无法捕捉用户完整访问过程,无法实现审计实名制,无法忽略用户违规操作,无法识别,SSH,、,RDP,等加密或图形协议,无法实现访问控制,无法实现命令级别的访问控制,防火墙,/VPN,IDS/IPS,旁路,/,日志审计,现有手段,不足,专业的需求，需要专业的产品与解决方案,现有手段,无法捕捉用户完整访问过程无法识别SSH、RDP等加密或图形协,政策法规,政策法规,6,目录,应用背景,功能特性,7,产品介绍,客户收益,目录应用背景功能特性7产品介绍客户收益,产品概述,堡垒机,帐号管理,单点登录,访问控制,行为审计,M,系列：运维安全产品,堡垒机,账号管理,实现对服务器、网络设备、数据库及其帐号的统一集中管理。,单点登录,实现密码代填和统一单点登录。支持多种单点登录方式，最大程度适应不同人员使用习惯。,访问控制,基于,最小权限原则，实现集中访问控制和细粒度命令级控制。,行为审计,审计实名制,，对用户从登录到退出的全程操作行为,的监控和事后审计。,产品概述堡垒机帐号管理单点登录访问控制行为审计M系列：运维,8,产品理念,集中管理是基础,身份认证是前提,访问授权是手段,权限控制是核心,行为审计是保证,管理水平不断提升,安全风险逐渐降低,产品理念集中管理是基础身份认证是前提访问授权是手段权限控制是,9,设计思路,管理人员,企业各类,IT,资源,开发人员,第三方厂家人员,运维人员,身份管理,设备管理,协议代理,身份认证,访问控制,帐号管理,行为审计,单点登录,设计思路管理人员企业各类IT资源开发人员第三方厂家人员运维人,10,技术方案,-,协议代理,技术方案-协议代理,11,技术方案,-,应用发布,技术方案-应用发布,12,广泛的运维对象支持,广泛的运维对象支持,13,广泛的运维协议支持,字符协议,SSH,TELNET,RLOGIN,TN5250,（,AS400,）,图形协议,RDP,VNC,文件传输,FTP,SFTP,WEB,应用,HTTP,HTTPS,数据库访问,Oracle,mysql,sqlserver,DB2,Sybase,Teradata,Informix,其他设备或工具,KVM,Pcanywhere,Radmin,广泛的运维协议支持字符协议SSHTELNETRLOGINTN,14,部署方式,物理旁路部署，不必更改现有的网络拓扑结构,部署方式物理旁路部署，不必更改现有的网络拓扑结构,15,目录,应用背景,功能特性,16,产品介绍,客户收益,目录应用背景功能特性16产品介绍客户收益,功能概述,事前预防,身份认证,设备管理,自动改密,事中控制,访问授权,指令授权,实时监控,事后审计,事后检索,操作回放,报表统计,功能概述事前预防身份认证设备管理自动改密事中控制访问授权指令,17,用户管理与认证手段,事前预防,管理员用户,运维用户,系统管理员,配置管理员,密码管理员,审计管理员,内部运维人员,第三方运维人员,管理员用户三权分立，各施其职,支持按部门进行分级管理,指定第三方运维人员使用期限，到期帐号锁定,支持静态口令、,radius,、,ldap,、,AD,域等多种认证手段,支持双因素认证手段,支持批量导入导出,特性,用户管理与认证手段事前预防管理员用户运维用户系统管理员配置管,18,设备管理,事前预防,支持批量导入导出,支持分级管理,支持,Windows AD,域,独有的“协议,-,帐号”绑定方式，授权更为精细,特性,设备基本属性管理,设备分组管理,设备帐号及密码管理,设备访问协议及端口,设备类型及图标管理,功能,设备管理事前预防支持批量导入导出特性设备基本属性管理功能,19,自动改密,事前预防,改密结果高强度加密保护,改密计划支持密码手工输入、随机相同和随机不同三种方式,支持上次改密时间记录和手工改密,特性,自持密码复杂度设置,支持,linux,类主机、,unix,类主机、,Windows,主机、思科设备、华为设备的帐号自动改密,支持周期改密，改密结果查看和邮件,/ftp,发送,功能,自动改密事前预防改密结果高强度加密保护特性自持密码复杂度设置,20,访问控制策略,事中控制,访问方式,向导式配置,可设置访问的运维用户,可设置访问的时间和源,IP,可设置访问的目标设备,可指定协议和设备帐号,可启用二次审批和备注功能,特性,谁,从哪,/,什么时候,访问对象,访问控制策略事中控制访问方式向导式配置特性谁从哪/什么时候访,21,指令控制策略,事中控制,向导式配置,支持黑白指令集配置,支持指令正则匹配,多种响应方式：告警、阻断、忽略和审批,特性,指令控制策略事中控制向导式配置特性,22,事后检索与回放,【,需重新写,】,事后审计,结果,时间,用户,IP,地址,指令,操作行为视频录像,堡垒机,检索条件、定位回放,事后检索与回放【需重新写】事后审计结果时间用户IP地址指令操,23,事后检索与回放,事后审计,支持高级检索询功能，查询条件支持与或非组合，条件匹配符支持等于、不等于、区间、包含、大于、小于等内容,支持检索模版,支持视频回放所有操作行为，支持定位回放,回放支持,倍速,/,低速播放、拖动、暂停、停止、重新播放等播放控制操作,特性,事后检索与回放事后审计支持高级检索询功能，查询条件支持与或非,24,统计报表,事后审计,内置报表模版,支持以日报、周报、月报的方式自动生成周期性报表,支持报表发送至指定邮箱,特性,统计报表事后审计内置报表模版特性,25,其他功能,支持运维用户同一时间只能从一个,IP,登录,支持运维会话超时设置,支持设备时间同步功能,支持告警事件对外转发，转发方式支持,syslog,、,snmp trap,、邮件等,支持批量脚本自动执行,支持第三方客户端的应用发布，实现录像审计,其他功能支持运维用户同一时间只能从一个IP登录,26,产品自身安全性,深度优化定制,Linux,内核，非通用版,Linux,数据存储,Raid,保障,运维用户均为虚拟用户，无实际操作系统帐号,数据加密存储，防篡改、防删除设计,自动改密结果高强度加密机制,产品自身安全性深度优化定制Linux内核，非通用版Linux,27,目录,应用背景,功能特性,28,产品介绍,客户收益,目录应用背景功能特性28产品介绍客户收益,客户收益,满足合规性要求，顺利通过,IT,审计,有效减少核心信息资产的破坏和泄漏风险,有效控制运维风险，利于事后原因追查与界定责任,实现独立审计与三权分立，完善,IT,内控机制,客户收益满足合规性要求，顺利通过IT审计有效减少核心信息资产,29,简单拓扑,简单拓扑,30,登录界面,登录界面,31,首页,首页,32,添加用户,添加用户,33,用户应用工具限制,用户应用工具限制,34,添加资源,添加资源,35,资源账号,资源账号,36,用户,-,资源列表,用户-资源列表,37,查看日志,查看日志,38,