LanSecS内控管理平台产品交流

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2011/8/16,#,精细访控 事件追踪,LanSecS,（堡垒主机）内控管理平台 技术交流,技术顾问,朱家卫,2010,年,8,月,交流提纲,5,4,堡垒主机解决方案,3,现有解决,方案,2,问题分析,1,IT,运维,现状,堡垒主机产品介绍,6,为何选择,LanSecS,IT,资产,IT,运维角度,主机系统,数据库系统,网络设备,安全设备,专用系统,应用角度,OA,系统,财务系统,人力系统,业务应用系统,客户服务系统,资产用户,资产的管理者,内部维护人员,常驻维护人员,临时维护人员,资产的使用者,行政人员,财务人员,业务人员,管理人员,外部用户,访问方式,各类人员可以通过下面各种途径访问,IT,资产：,使用远程终端服务：例如,telnet,、,rlogin,、,rsh,、,rexec,、,ssh,之上的命令行接口（,CLI,）,使用文件传输协议：例如,FTP,等,使用远程窗口和桌面：例如,Windows,的远程桌面（,RDP,），和,Unix,的,Xwindow,。,使用各种数据库客户端：例如各种数据库的,client,程序、,ODBC,、,JDBC,，以及多种其它数据库工具。,IT,运维,现状,？用户管理复杂性不可避免？,？资产安全性又如何保证？,管理工作,帐号管理,认证管理,A,B,操作审计,D,授权管理,C,定义帐号密码,定期变更密码,密码强度控制,.,日志收集,日志分析,故障排查,事故追踪,.,建立,帐号,修改帐号,删除帐号,.,定义帐号权限,分配帐号,修改帐号权限,防止越权访问,.,设备及服务器管理,管理问题,帐号管理,空闲帐号,弱口令帐号,僵尸帐号,共享帐号,相同帐号,设备及服务器群,管理问题,认证管理,各系统独立认证,单一的静态口令认证,口令强度基本无限制,管理问题,授权管理,授权工作量大、繁琐,没有有效的访问控制手段,授权粒度粗，基本只到设备,管理问,题,题,审计一,缺乏资,源,源帐号,管,管理的,审,审计,缺乏资,源,源帐号,分,分配给,自,自然人,的,的授权,审,审计,缺乏用,户,户登录,登,登出系,统,统的审,计,计,缺乏用,户,户对系,统,统操作,行,行为的,审,审计,管理问,题,题,审计二,关键业,务,务系统,数,数据被,修,修改了,，,，系统,记,记录是,admin,改的，,到,到底是,谁,谁用这,个,个帐号,改,改的？,这么多,系,系统，,查,查看命,令,令这么,复,复杂，,我,我怎么,去,去使用,这,这些命,令,令去查,看,看？,业务数,据,据被修,改,改，从,日,日志中,查,查，一,天,天的日,志,志量有,几,几百万,，,，我该,从,从什么,地,地方开,始,始看，,他,他到底,在,在什么,时,时间修,改,改业务,数,数据的,？,？,每个系,统,统的日,志,志都这,么,么多，,不,不知道,他,他们之,间,间有什,么,么关系,？,？,当出现,事,事故或,安,安全问,题,题时，,无,无法对,事,事故责,任,任进行,追,追踪定,责,责。,无法对维护人员的,作,作业行,为,为进行,监,监控。,多人共,用,用系统,帐,帐号，,进,进行维,护,护作业,由于维,护,护人员,维,维护多,个,个系统,资,资源，,常,常常为,了,了方便,将,将口令,信,信息存,放,放于文,件,件之中,维护人,员,员通常,使,使用高,权,权限的,帐,帐号进,行,行维护,操,操作，,对,对于某,些,些用户,来,来说该,权,权限过,于,于宽松,企业关,键,键设备,的,的登陆,缺,缺乏强,认,认证手,段,段。传,统,统强认,证,证手段,实,实施困,难,难,管理员,误,误操作,重,重现恢,复,复困难,。,。,管理问,题,题小结,资产安,全,全问题,多人共,用,用系统,帐,帐号，,帐,帐号信,息,息容易,外,外泄，,资,资产安,全,全受到,威,威胁,边界安,全,全建设,日,日趋完,善,善，内,部,部威胁,未,未受重,视,视，,80%,的问题,与,与威胁,来,来自于网络,内,内部，,终,终端防,护,护类只,解,解决了,病,病毒、,木,木马等,，,，人为,呢,呢？或,者,者操作,失,失误呢,？,？,企业生,产,产数据,面,面临被,内,内部人,员,员篡改,、,、删除,、,、窃取,，,，主机,被,被关机,、,、设备,配,配置被,修,修改，,导,导致企,业,业生产,停,停顿、,商,商业资,料,料泄露,，,，给企,业,业造成,巨,巨大的,损,损失。,运维人,员,员使用,问,问题,密码记忆,用户需要记,忆,忆许多,用,用户名,和,和密码,用,用于登,录,录各个,系,系统，,经,经常出,现,现忘记,密,密码的,情,情况，,有,有些管,理,理直接,使,使用相,同,同的密,码,码，缺,乏,乏统一,的,的用户,管,管理。,频繁登,录,录和注,销,销,管理不,同,同的网,络,络设备,需,需要分,别,别登录,，,，操作,繁,繁琐。,合规性,问,问题,萨班斯,.,奥克斯利法案（,Sarbanes-Oxley,）,公安部：,信息系统安全等级保护基本要求（试用稿）,对数据安全的保护是安全等级保护关注的对象。,财政部、审计署、证监会、银监会、保监会,企业内部控制基本规范,是内部控制审计的重要依据。,据外电,报,报道，,已,已有多,个,个消息,来,来源证,实,实，在,美,美国东,部,部时间,6,日下午,，,，一名,交,交易员,在,在卖出,股,股票时,敲,敲错了,一,一个字,母,母，将,百,百万误,打,打成十,亿,亿（,million-billion,），导,致,致道琼,斯,斯指数,突,突然出,现,现近千,点,点暴跌,，,，误操,作,作和技,术,术问题,可,可能是,导,导致,6,日纽约,股,股市暴,跌,跌的主,要,要原因,之,之一。,针,针对出,现,现多处,异,异常波,动,动现象,，,，纽约,证,证券交,易,易所和,纳,纳斯达,克,克股票,市,市场已,展,展开调查。,2010.5.7,新闻,一个实,例,例,集中登录,集中式,网,网络管,理,理,（,先,登录管,理,理作业,服,服务器,，,，然后,转,转换身,份,份再对,相,相关服,务,务器进,行,行维护,。,。属于,多,多用户,单,单帐号,管,管理方,式,式,）,问题,：,1.,多用户,共,共享,root,帐号，,权,权限划,分,分不明,，,，所有,人,人员都,具,具有最,高,高的,ROOT,权限。,2.,无法跟,踪,踪某个,管,管理员,的,的确切,操,操作。,3.,依靠各,自,自服务,器,器的日,志,志信息,，,，审计,信,信息不,可,可集中,审,审计管,理,理。,旁路审计,针对协,议,议,：明文,协,协议（,TELNET/FTP/HTTP,等）,问题,：,1.,密文协,议,议（,SSH/RDP,等）,2.,细粒度,授,授权,3.,审计信,息,息不可,读,读（实,名,名、信,息,息量）,xvzb,銐,e,決,;,耂決塠,hQ,軴芠,b/g,纇錱,密文，无法审计,SSH,分析仪,/,审计仪,镜像监,听,听,解决问,题,题思路,现有解决方案,集中登录,旁路审计,堡垒主机解决方案,帐户管理,认证管理,授权管理,操作审计,集中管,理,理帐户,多系统,统,统一帐户,集中认,证,证,统一登,录,录,安全认证,集中管,理,理,授权细,化,化,变更容,易,易,集中审,计,计,过程审,计,计,易存储,，,，易查,询,询,可结构,化,化输出,21,集中访,问,问入口,、,、操作,审,审计,堡垒主,机,机内控,平,平台,建设目,标,标,集中管理,帐号管理,唯一身份,认证管理,你是谁,授权管理,你能干什么,操作审计,你干了什么,身份授,权,权分离,系统帐,号,号,=,身份认,证,证,系统授,权,权,+,主帐号,身份认,证,证,+,从帐号,系统授,权,权,+,操作审,计,计,集中审计,全程记录，,操,操作过程审,计,计,统一存储，,统,统一查询,真实还原操,作,作过程,多协议审计,支,支持,产品架构,集中管理平台,集中帐号管,理,理,集中认证,集中授权,集中访问控,制,制,集中安全审,计,计,字符终端代理,支持指令终,端,端的常见协,议,议,SSH,、,TELNET,、,RLOGIN,、,FTP,策略中配置,禁,禁止该操作,员,员使用,kill,等危险命令,，,，显示禁用,提,提示信息,策略中配置,禁,禁止命令中,不,不包含,more,命令，放行,通,通过，得到,正,正确执行结,果,果,操作人员,moreabc.file,killall apache,堡垒主机,目标服务器,字符权限控制一,字符权限控制二,图形终端代,理,理,支持图形终,端,端的常见协,议,议,RDP,、,VNC,、,XWINDOWS,统一的,WEB,单点登录方,式,式,单点登录,UNIX,统一的,WEB,单点登录方,式,式,单点登录,WINDOWS,主机,操作审计一,操作审计二,操作审计三,操作审计,操作过程回,放,放,产品特色,流程管理,提供用户申,请,请、权限申,请,请、资源申,请,请等管理流,程,程,4a,扩展,在,4A,项目中，帐号、认证、授权管理转,移,移到,4A,，提供执行单元，,完,完成基础访,问,问控制和操,作,作审计功能。,在非,4A,项目中除提,供,供基础的访,问,问控制和操,作,作审计功能,外,外，还提供,精,精简的帐号,、,、认证、授,权,权集中管理,功,功能。,内部权限控制灵,活,活,策略配置灵活,时间、源设,备,备、命令,安全会话,一次性会话,密,密钥与连接,会话加密,高可用性与,可,可靠性,支持外接存,储,储,支持双机,分散审计,-,综合安全审,计,计,直接访问管,理,理,-,集中访问控,制,制网关,逐个系统的,设,设置帐号策,略,略,-,集中账号管,理,理,逐个系统的,认,认证登陆,-,单点登陆,逐个系统的,认,认证安全建,设,设,-,集中,IAM,方案,符合安全规,范,范,提高访问安,全,全,减轻管理压,力,力,简化操作流,程,程,降低管理成,本,本,用户收益,堡垒主机基,本,本部署,DMZ,或设备中心,工作区,IT,运维人员,IT,运维人员,Internet,堡垒主机,产品规格,产品名称型号,产品描述,LanSecSNK50,1U,硬件设备、最大能够管理,50,个资源数,LanSecSNK100,1U,硬件设备、最大能够管理,100,个资源数,LanSecSNK200,2U,硬件设备、最大能够管理,200,个资源数,LanSecSNK500,2U,硬件设备、最大能够管理,500,个资源数,典型案例,中国人保,30,多台类,Unix,主机（包括,SCO Unix,、,RedHat Linux,、,Solaris,、,AIX,等）,20,多台,Windows,主机（操作,系,系统为,windows 2003/2000,和少数,XP,）,60,多台核心交,换,换和路由器,北师大,航天长城,100,多个被管资源,公司简介,-,圣博润,2000,年成立与中,关,关村科技园,区,区,10,年专业致力,与,与信息安全,软,软件产品开,发,发、研究和,服,服务,国内领先的,信,信息安全产,品,品和服务提,供,供商,自主知识产,权,权,总公司设在,北,北京，在中,国,国,29,个重要城市,设,设有办事机,构,构，拥有以,北,北京和南京,地,地区为支点,的,的研发体系,，,，在华东,、,、华南、东,北,北地区设有,分,分公司,目前公司总人数,为,为,300,人，研发和,技,技术人员人,数,数占员工总,数,数近,40%,近万家的成,功,功案例,国内内网安,全,全产品和服,务,务综合厂商,中,中唯一上市公司,公司人员增长示意图,2000,2003,2006,2010,3,35,90,210,2008,150,公司简介,-,圣博润,公司于,2009,年,2,月,18,日在深交所,新,新三板市场,正,正式挂牌，,股,股票代码为,430046,是国内安全,运,运维防护产,品,品