(堡垒主机)技术白皮书

(堡垒主机)技术白皮 书 关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf LanSecS内控管理平台(堡垒主机) 技术白皮书 北京圣博润高新技术股份有限公司 2010年5月 LanSecS内控管理平台(堡垒主机)技术白皮书 目录 1 背景 .................................................................................................................................................................. 3 1.1 概述 ..........................................................................................................................................................3 1.2 管理现状 .................................................................................................................................................3 1.2.1 使用共享帐号的安全隐患.........................................................................................................3 1.2.2 密码策略无法有效执行 .............................................................................................................4 1.2.3 授权不清晰 ...................................................................................................................................4 1.2.4 访问控制策略不严格..................................................................................................................4 1.2.5 用户操作无法有效审计 .............................................................................................................4 1.3 问题分析 .................................................................................................................................................5 2 设计理念 ......................................................................................................................................................... 6 2.1 集中管理模式 ........................................................................................................................................6 2.2 协议代理 .................................................................................................................................................6 2.3 身份授权分离 ........................................................................................................................................7 3 产品概述 ......................................................................................................................................................... 8 3.1 产品综述 .................................................................................................................................................8 3.2 产品组成 .................................................................................................................................................9 3.3 产品功能 .................................................................................................................................................9 3.3.1 单点登录 ........................................................................................................................................9 3.3.2 账户管理 ..................................................................................................................................... 10 3.3.3 身份认证 ..................................................................................................................................... 10 3.3.4 资源授权 ..................................................................................................................................... 10 3.3.5 访问控制 ..................................................................................................................................... 11 3.3.6 操作审计 ..................................................................................................................................... 11 4 关键技术 .......................................................................................................................................................12 4.1 逻辑命令自动识别技术.................................................................................................................... 12 4.2 分布式处理技术 ................................................................................................................................. 13 4.3 正则表达式匹配技术 ........................................................................................................................ 13 4.4 RDP协议代理 ..................................................................................................................................... 13 4.5 多进程/线程与同步技术 ................................................................................................................. 13 4.6 数据加密功能 ..................................................................................................................................... 13 4.7 审计查询检索功能 ............................................................................................................................ 14 4.8 操作还原技术 ..................................................................................................................................... 14 5 产品优势 .......................................................................................................................................................15 5.1 良好的扩展性 ..................................................................................................................................... 15 5.2 强大的审计功能 ................................................................................................................................. 15 5.3 部署和使用简单 ................................................................................................................................. 15 5.4 高度的安全性和成熟性.................................................................................................................... 15 6 主要应用 .......................................................................................................................................................16 6.1 运维管理 .............................................................................................................................................. 16 6.2 安全管理 .............................................................................................................................................. 16 7 技术参数 .......................................................................................................................................................17 8 产品部署 .......................................................................................................................................................19 8.1 逻辑部署示意图 ................................................................................................................................. 19 8.2 物理部署示意图 ................................................................................................................................. 19 8.3 部署说明 .............................................................................................................................................. 21 版权所有 圣博润 第1页 LanSecS内控管理平台(堡垒主机)技术白皮书 9 客户收益 .......................................................................................................................................................21 9.1 实现集中帐号管理，降低管理费用 ............................................................................................. 21 9.2 实现集中身份认证和访问控制，避免冒名访问，提高访问安全性 ................................... 22 9.3 实现集中授权管理，简化授权流程，减轻管理压力 .............................................................. 23 9.4 实现单点登录，规范操作过程，简化操作流程 ....................................................................... 23 9.5 实现实名运维审计，满足安全规范要求 .................................................................................... 24 10 产品服务...................................................................................................................................................25 10.1 售后服务.......................................................................................................................................... 25 10.2 技术支持.......................................................................................................................................... 25 版权所有 圣博润 第2页 LanSecS内控管理平台(堡垒主机)技术白皮书 1 背景 1.1 概述 随着信息技术的不断发展和信息化建设的不断进步，办公系统、 商务平台的不断推出和投入运行，信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中企业和门户网站，更是使用 数量较多的服务器主机来运行关键业务。 2002年由美国总统布什签发的萨班斯法案(Sarbanes-Oxley Act)开始生效。其中要求企业的经营活动，企业管理、项目和投资等，都要有控制和审计手段。因此，管理人员需要有有效的技术手段和专业的技术工具和安全产品按照行业的标准来做细粒度的管理，真正做到对于内部网络的严格管理，可以控制、限制和追踪用户的行为，判定用户的行为是否对企业内部网络的安全运行带来威胁。 细粒度模型,通俗的讲就是将业务模型中的对象加以细分,从而得到更科学合理的对象模型,直观的说就是划分出很多对象. 所谓细粒度的划分就是在pojo类上的面向对象的划分,而不是在于表的划分上 1.2 管理现状 目前机构的运维管理有以下三个特点: , 关键的核心业务都部署于Unix和Windows服务器上。 , 应用的复杂度决定了多种角色交叉管理。 , 运行维护人员更多的依赖Telnet、SSH、FTP、RDP等进行远程管理。 基于这些现状，在管理中存在以下突出问题: 1.2.1 使用共享帐号的安全隐患 企业的支撑系统中有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系，用户为了方便登陆，经常出现多人共用帐号的情况。 多人同时使用一个系统帐号在带来方便性的同时，导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员，会使这个帐号的安全无法保证。 版权所有 圣博润 第3页 LanSecS内控管理平台(堡垒主机)技术白皮书 由于共享帐号是多人共同使用，发生问题后，无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员，带来了密码管理的复杂化。 1.2.2 密码策略无法有效执行 为了保证密码的安全性，安全管理员制定了严格的密码策略，比如密码要定期修改，密码要保证足够的长度和复杂度等，但是由于管理的机器数量和帐号数量太多，往往导致密码策略的实施流于形式。 1.2.3 授权不清晰 各系统分别管理所属的系统资源，为本系统的用户分配权限，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加，安全性无法得到充分保证。 1.2.4 访问控制策略不严格 目前的管理中，没有一个清晰的访问控制列表，无法一目了然的看到什么用户能够以何种身份访问哪些关键设备，同时缺少有效的技术手段来保证访问控制策略被有效执行。 1.2.5 用户操作无法有效审计 各系统独立运行、维护和管理，所以各系统的审计也是相互独立的。每个网络设备，每个主机系统分别进行审计，安全事故发生后需要排查各系统的日志，但是往往日志找到了，也不能最终定位到行为人。 另外各系统的日志记录能力各不相同，例如对于Unix系统来说，日志记录就存在以下问题: , Unix 系统中，用户在服务器上的操作有一个历史命令记录的文件，但是用户可以 随意更改和删除自己的记录; , root 用户不仅仅可以修改自己的历史记录，还可以修改他人的历史记录，系统本 身的历史记录文件已经变的不可信; , 记录的命令数量有限制; 版权所有 圣博润 第4页 LanSecS内控管理平台(堡垒主机)技术白皮书 , 无法记录操作人员、操作时间、操作结果等。 1.3 问题分析 对运维的管理现状进行分析，我们认为造成这种不安全现状的原因是多方面的，总结起来主要有以下几点。 , 各IT系统独立的帐户管理体系造成身份管理的换乱，而身份的唯一性又恰恰是认 证、授权、审计的依据和前提，因此身份的混乱实际上造成设备访问的混乱。 , 各IT系统独立管理，风险分散在各系统中，各个击破困难大，这种管理方式造成 业务管理和安全之间失衡。 , 核心服务器或设备的物理安全和临机访问安全通过门禁系统和录像系统得以较好 的解决，但是对他们的网络访问缺少控制或欠缺控制力度。 , 在帐号、密码、认证、授权、审计等各方面缺乏有效的集中管理技术手段。 因此，迫切要求企业内部规范管理，通过多种用户认证方式，不同的安全操作权限，同一地点的不同资源的集中访问，简化操作流程，并满足SOX法案中关于用户身份与访问管理的审计要求。通过堡垒主机实现企业内部网络的合理化，安全化，专业化，规范化，充分保障企业资源安全。 版权所有 圣博润 第5页 LanSecS内控管理平台(堡垒主机)技术白皮书 2 设计理念 2.1 集中管理模式 要解决核心资源的访问安全问题，我们首先从管理模式上进行分析。管理模式是首要因素，管理是从一个很高的高度，综合考虑整体的情况，然后制定出相应的解决策略，最后落实到技术实现上。管理解决的是面的问题，技术解决的是点的问题，管理的模式决定了管理的高度。我们认为随着应用的发展，设备越来越多，维护人员也越来越多，我们必须由分散的管理模式逐步转变为集中的管理模式。 只有集中才能够实现统一管理，也只有集中才能把复杂问题简单化，集中管理是运维管理思想发展的必然趋势，也是唯一的选择。集中管理包括:集中的资源访问入口、集中帐号管理、集中授权管理、集中认证管理、集中审计管理等等。 2.2 协议代理 为了对字符终端、图形终端操作行为进行审计和监控，堡垒主机对各种字符终端和图形终端使用的协议进行代理，实现多平台的操作支持和审计，例如Telnet、SSH、FTP、Windows版权所有 圣博润 第6页 LanSecS内控管理平台(堡垒主机)技术白皮书 平台的RDP远程桌面协议，Linux/Unix平台的X Window图形终端访问协议等。 当运维机通过堡垒主机访问服务器时，首先由堡垒主机模拟成远程访问的服务端，接受运维机的连接和通讯，并对其进行协议的还原、解析、记录，最终获得运维机的操作行为，之后堡垒主机模拟运维机与真正的目标服务器建立通讯并转发运维机发送的指令信息，从而实现对各种维护协议的代理转发过程。在通讯过程中，堡垒主机会记录各种指令信息，并根据策略对通信过程进行控制，如发现违规操作，则不进行代理转发，并由堡垒主机反馈禁止执行的回显提示。 2.3 身份授权分离 以前管理员依赖各IT系统上的系统帐号实线两部分功能:身份认证和系统授权，但是因为共享帐号、弱口令帐号等问题存在，这两方面实现都存在漏洞，达不到预期的效果。 解决的思路是将身份和授权分离。在堡垒主机上建立主帐号体系，用于身份认证，原各IT系统上的系统帐号仅用于系统授权，,这样可以有效增强身份认证和系统授权的可靠性，从本质上解决帐号管理混乱问题，为认证、授权、审计提供可靠的保障。 版权所有 圣博润 第7页 LanSecS内控管理平台(堡垒主机)技术白皮书 3 产品概述 3.1 产品综述 内控堡垒主机是一种被加固的可以防御进攻的计算机，具备坚强的安全防护能力。内控堡垒主机扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问和恶意攻击，对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。 LanSecS内控管理平台(堡垒主机)具体有强大的输入输出审计功能，不仅能详细记录用户操作的每一条指令，而且能够通过回放的功能，将其动态的展现出来，大大丰富了内控审计的功能。LanSecS内控管理平台(堡垒主机)自身审计日志，可以极大增强审计信息的安全性，保证审计人员有据可查。 LanSecS内控管理平台(堡垒主机)还具备图形终端审计功能，能够对多平台的多种终端操作审计，例如windows 平台的RDP 形式图形终端操作。 为了给系统管理员查看审计信息提供方便性，LanSecS内控管理平台(堡垒主机)提供了审计查看检索功能。系统管理员可以通过多种查询条件查看审计信息。 总之，LanSecS内控管理平台(堡垒主机)能够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化和专业化。 版权所有 圣博润 第8页 LanSecS内控管理平台(堡垒主机)技术白皮书 3.2 产品组成 3.3 产品功能 3.3.1单点登录 LanSecS内控管理平台(堡垒主机)提供了基于 B/S 的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于 B/S的应用系统。 单点登录为版权所有 圣博润 第9页 LanSecS内控管理平台(堡垒主机)技术白皮书 具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种 登录用户 ID 和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高 生产效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。 单点登录可以实现和用户管理授权的无缝隙链接，通过对用户、角色、资源和行为的授权，增加对资源的保护，和对用户行为的监控及审计。 3.3.2账户管理 集中帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的 集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生 命周期的监控和管理，而且还降低了企业管理大量用户帐号的难度和工作量。同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准 的用户帐号安全策略。 通过建立集中帐号管理，企业可以实现将帐号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。 3.3.3身份认证 LanSecS内控管理平台(堡垒主机)为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。 集中身份认证提供静态密码、Windows NT 域、Windows Kerberos、双因素、 一次性口令和生物特征等多种认证方式，而且系统具有灵活的定制接口。, 3.3.4资源授权 LanSecS内控管理平台(堡垒主机)系统提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S对服务器主机、网络设备的访问进行审计。 在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能，管理员也由各自的归口管理部门委版权所有 圣博润 第10页 LanSecS内控管理平台(堡垒主机)技术白皮书 派，但是这些管理员在 LanSecS内控管理平台(堡垒主机)系统上，可以对各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作等的细粒度授权。 3.3.5访问控制 LanSecS内控管理平台(堡垒主机)系统能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。 访问控制策略是保护系统安全性的重要环节，制定良好的访问策略能够更好的提高系统的安全性。 3.3.6操作审计 操作审计管理主要审计操作人员的帐号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。 系统支持对如下协议进行审计:Telnet、FTP、SSH、RDP(Windows Terminal)、X windows、VNC等。 LanSecS内控管理平台(堡垒主机)系统通过系统自身的用户认证系统、用户授权系统，以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方。 对于生成的日志支持丰富的查询和操作。 , 支持按服务器方式进行查询 通过对特定服务器地址进行查询，可以发现该服务器上发生的命令和行为。 , 支持按用户名方式进行查询 通过对用户名进行查询，可以发现该用户的所有行为。 , 支持按登陆地址方式进行查询 版权所有 圣博润 第11页 LanSecS内控管理平台(堡垒主机)技术白皮书 通过对特定 IP 地址进行查询，可以发现该地址对应主机及其用户在服务器 上进行的所有操作。 , 支持按照登陆时间进行查询 通过对登录时间进行查询，可以发现特定时间内登录服务器的用户及其进行 过的所有操作。 , 支持对命令发生时间进行查询 可以通过对命令发生的时间进行查询，可以查询到特定时间段服务器上发生 过的所有行为。 , 支持对命令名称进行查询 通过查询特定命令如 LS，可以查询到使用过该命令的所有用户及其使用的时 间等。 , 支持上述六个查询条件的任意组合查询 如:可以查询"谁(用户名)""什么时间登录(登录时间)"服务器并在"什 么时间(命令发生时间)"在"服务器(目标服务器)"上执行过"什么操作(命 令)"。 , 支持对日志的备份操作处理 , 支持对日志的删除处理 4 关键技术 LanSecS内控管理平台(堡垒主机)采用系列先进技术，成功实现命令及图形的捕获与控制，为服务器的安全运行提供了强有力的系统工具。 4.1 逻辑命令自动识别技术 LanSecS内控管理平台(堡垒主机)自动识别当前操作终端，对当前终端的输入输出进行控制，组合输入输出流，自动识别逻辑语义命令。系统会根据输入输出上下文，确定逻辑命令编辑过程，进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能，在传统键盘捕获与控制领域取得新的突破，可以更加准确的控制用户意图。 该技术能自动识别命令状态和编辑状态以及私有工作状态，准确捕获逻辑命令。 版权所有 圣博润 第12页 LanSecS内控管理平台(堡垒主机)技术白皮书 4.2 分布式处理技术 LanSecS内控管理平台(堡垒主机)采用分布式处理架构进行处理，启用命令捕获引擎机制，通过策略服务器完成策略审计，通过日志服务器存储操作审计日志，并通过实时监视中心，实时察看用户在服务器上行为。 这种分体式设计有利于策略的正确执行和操作记录日志的安全。同时，各组件之间采用安全连接进行通信，防止策略和日志被篡改。各组件可以独立工作，可以分布于不同的服务器上，亦可所有组件安装于一台服务器。 4.3 正则表达式匹配技术 LanSecS内控管理平台(堡垒主机)采用正则表达式匹配技术，将正则表达式组合入树型可遗传策略结构，实现控制命令的自动匹配与控制。树型可遗传策略适合现代企业事业架构，对于服务器的分层分级管理与控制提供了强大的工具。 4.4 RDP协议代理 为了对图形终端操作行为进行审计和监控，LanSecS内控管理平台(堡垒主机)对图形终端使用的协议进行代理，实现多平台的多种图形终端操作的审计，例如Windows平台的RDP方式图形终端操作，Linux/Unix平台的XWindow方式图形终端操作。 4.5 多进程/线程与同步技术 LanSecS内控管理平台(堡垒主机)主体采用多进程/线程技术实现，利用独特的通信和数据同步技术，准确控制程序行为。多进程/线程方式逻辑处理准确，事务处理不会发生干扰，这有利于保证系统的稳定性、健壮性。 4.6 数据加密功能 LanSecS内控管理平台(堡垒主机)在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性。防止恶意用户截获和篡改数据。充分保护用户在操作过程中不被恶意破坏。 版权所有 圣博润 第13页 LanSecS内控管理平台(堡垒主机)技术白皮书 4.7 审计查询检索功能 自从《萨班斯法案》的推出，企业内控得到了严格的审查，企业的内部审计显得非常重要。 LanSecS内控管理平台(堡垒主机)能够为企业内部网络提供完全的审计信息，这些审计信息能够为企业追踪用户行为，判定用户行为等，能够还原出用户的一些操作性为。 传统审计关联到IP，这本身是一个不确定的和不负责任的审计结果，因为IP信息不能够真实反应出真实的操作者是谁，从而企业内部网络出现问题不能追踪用户。 LanSecS内控管理平台(堡垒主机)能够对这些用户关联审计行为，就是说真正能够把每一次审计出的用户操作性为绑定到自然人身上，便于企业内部网络管理追踪到个人。 4.8 操作还原技术 操作还原技术是指将用户在系统中的操作行为以真实的环境模拟显现出来，审计管理员可以根据操作还原技术还原出真实的操作，以判定问题出在哪里。 LanSecS内控管理平台(堡垒主机)采用操作还原技术能够将用户的操作流程自动地展现出来，能够监控用户的每一次行为，判定用户的行为是否对企业内部网络安全性造成危害。 版权所有 圣博润 第14页 LanSecS内控管理平台(堡垒主机)技术白皮书 5 产品优势 5.1 良好的扩展性 LanSecS内控管理平台(堡垒主机)产品从4A解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 中抽象出来，提供最便捷的4A项目集成方案。在程序结构上充分考虑到4A项目和非4A项目的使用场景，以先进的体系结构，清晰合理的模块划分实现多种用户场景的适用性。在4A项目中，LanSecS内控管理平台(堡垒主机)放弃帐号、认证、授权的集中管理，只提供执行单元，完成访问控制和操作审计功能;在非4A项目中将4A的一些理念融合到LanSecS内控管理平台(堡垒主机)产品中，除提供基础的访问控制和操作审计功能外，还提供精简的帐号、认证、授权集中管理功能。 5.2 强大的审计功能 , 精确记录用户操作时间。 , 审计结果支持多种展现方式，让操作得以完整还原。 , 审计结果可以录像回放，支持调节播放速度，并且回放过程中支持前后拖拽，方便 快速定位问题操作。 , 方便的审计查询功能，能够一次查询多条指令。 5.3 部署和使用简单 , 不需要在被管理设备上安装代理程序。 , 不需要改变网络的物理拓扑结构。 , 不影响被管理设备的运行。 , 管理员和操作员都使用WEB方式操作，操作简单。 5.4 高度的安全性和成熟性 LanSecS内控管理平台(堡垒主机)系统的开发研制中，我们采用成熟的先进技术，对系统的关键技术在前期的工作中进行了大量实验和攻关及原型建立，在已开发并经广泛测试的产品中，上述的关键技术问题已解决。而且， LanSecS内控管理平台(堡垒主机)系统所选取的硬件平台和软件平台，是具有良好的技术支持和发展前途的成熟产品。 版权所有 圣博润 第15页 LanSecS内控管理平台(堡垒主机)技术白皮书 系统运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安全手段，建立健全的系统安全机制，保证了用户的合法性和数据不被非法盗取，从而保证产品的安全性。 6 主要应用 6.1 运维管理 LanSecS内控管理平台(堡垒主机)通过单点登陆进行集中的运维管理，将全部设备集中管控，统一进行维护管理;通过集中账户管理解决运维管理人员密码安全存储问题，统一管理维护人员密码口令，避免密码遗忘和泄露;通过提供运维管理工具帮助管理员日常维护管理，快捷方便提供日常管理工具;通过访问控制避免管理员误操作的发生，禁止使用危险命令，防止破坏性事件发生;通过操作审计进行全称记录，并进行回放浏览。 6.2 安全管理 严重的攻击来自系统内部(80%来自内部攻击)，LanSecS内控管理平台(堡垒主机)针对各种途径服务器的访问方式进行监控，支持 telnet，ftp，ssh，rdp，xwindow 等，通过将服务器的常用端口关闭，阻止了其他主机访问服务器。通过堡垒主机代理连接的方式，可以访问指定服务器，即加强了服务器的安全，又不影响功能使用。 但是，目前没有可靠办法保证系统管理员安全策略配置行为的有效性，合法性以及一致性，一般都通过行政手段，让系统管理员记录安全策略配置过程，这有严重的安全隐患。LanSecS内控管理平台(堡垒主机)可以记录系统管理员对网络边界安全设备的配置过程，保证安全策略的一致性，其生成的日志系统，可以比较方便的集成到企事业现有安全策略管理架构中。 版权所有 圣博润 第16页 LanSecS内控管理平台(堡垒主机)技术白皮书 7 技术参数 , LanSecS内控管理平台(堡垒主机)单点登录客户端支持Windows全系列产品;支持 常见数据库;支持常用连接工具;具体参数如下列表: 名称 说明 windows 7 (mstsc) windows7远程桌面连接 windowsXPSP3 (mstsc) Windows XP Sp3远程桌面连接 windowsXPSP2(mstsc) Windows XP Sp2远程桌面连接 CMD窗口 windows运行中的CMD窗口 securityCRT 常用的字符连接工具支持telnet\ssh连接 winscp(FTP\SFTP) 常用的FTP连接工具支持FTP\SFTP连接 mstsc 常用的主机图形访问工具支持linux\unix图形连接 neterm 常用的字符连接工具支持telnet\ssh连接 Toad Oracle客户端管理工具 Golden 32 Oracle客户端管理工具 Sybase contral Sybase客户端管理工具 Weblogic console Weblogic管理工具 PLsql ORACLE常用客户端 winsql 常用数据库连接客户端支持:DB2\sysbase\informix等多种数据库连接 dbaccess(informix) informix自有数据库客户端 sqlserver2000 sqlserver2000查询分析器 sqlserver2005 sqlserver2005查询分析器 Mysql Mysql数据库管理器 版权所有 圣博润 第17页 LanSecS内控管理平台(堡垒主机)技术白皮书 , LanSecS内控管理平台(堡垒主机)支持如下系列系统资源从账户同步 类别 名称 windows server 2008 windows server 2003 Windows(支持域模式) windows server 2000 windows xp windows 2000 linux HP unix AIX(IBM) unix/linux SCO Unix suse10 suse9 Oracle 9i Oracle 10g mysql sqlserver2000 数据库 sqlserver2005 informix db2 sysbase 网络设备(支持radius) Cisco、华为、华三、juniper 安全设备 Firewall、SSL VPN、IDS , LanSecS内控管理平台(堡垒主机)包括多种协议代理，常用协议如下表: telnet ssh1 ssh2 RDP 协议代理类型 X11 VNC ftp Sftp 版权所有 圣博润 第18页 LanSecS内控管理平台(堡垒主机)技术白皮书 8 产品部署 8.1 逻辑部署示意图 LanSecS内控管理平台(堡垒主机)部署逻辑图: 8.2 物理部署示意图 LanSecS内控管理平台(堡垒主机)支持多种部署方式，部署简单方便，实用，能够很好的满足用户的要求。并根据用户实际规模、安全级别采用以下两种部署方式: 版权所有 圣博润 第19页 LanSecS内控管理平台(堡垒主机)技术白皮书 1. LanSecS内控管理平台(堡垒主机)典型部署示意图: 版权所有 圣博润 第20页 LanSecS内控管理平台(堡垒主机)技术白皮书 2. LanSecS内控管理平台(堡垒主机)支持双机热备示意图: 8.3 部署说明 如图，LanSecS内控管理平台(堡垒主机)部署在被管服务器区的访问路径上，通过防火墙或者交换机的访问控制策略限定只能由LanSecS内控管理平台(堡垒主机)直接访问服务器的远程维护端口。维护人员维护被管服务器或者网络设备时，首先以 WEB 方式登录堡垒主机，然后通过堡垒主机上展现的访问资源列表直接访问授权资源。 9 客户收益 9.1 实现集中帐号管理，降低管理费用 , 实现对用户帐号的统一管理和维护 版权所有 圣博润 第21页 LanSecS内控管理平台(堡垒主机)技术白皮书 在实现集中帐号管理前，每一个新上线应用系统均需要建立一套新的用户帐号管理系统，并且分别由各自的管理员负责维护和管理。这种相对独立的帐号管理系统不仅建设前期投入成本较高，而且后期管理维护成本也会成倍增加。而通过堡垒主机的集中帐号管理，可实现对IT系统所需的帐号基础信息(包括用户身份信息、机构部门信息、其他公司相关信息，以及生命周期信息等)进行标准化的管理，能够为各IT系统提供基础的用户信息源。通过统一用户信息维护入口，保证各系统的用户帐号信息的唯一性和同步更新。 , 解决用户帐号共享问题 主机、数据库、网络设备中存在大量的共享帐号，当发生安全事故时，难于确定帐号的实际使用者，通过部署LanSecS内控管理平台(堡垒主机)系统，可以解决共享帐号问题。 , 解决帐号锁定问题 用户登录失败五次，应对帐号进行锁定。网络设备、主机、应用系统等大都不支持帐号锁定功能。通过部署LanSecS内控管理平台(堡垒主机)系统，可以实现用户帐号锁定、一键删除等功能。 9.2 实现集中身份认证和访问控制，避免冒名访问，提高访 问安全性 , 提供集中身份认证服务 实现用户访问IT系统的认证入口集中化和统一化，并实现高强度的认证方式，使整个IT系统的登录和认证行为可控制及可管理，从而提升业务连续性和系统安全性。 , 实现用户密码管理，满足SOX法案内控管理的要求 多数企业对主机、网络设备、数据库的访问都是基于“用户名+静态密码”访问，密码长期不更换，密码重复尝试的次数也没有限制，这些都不能满足SOX法案内控管理的需求。仅通过 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 要求用户在密码更换、密码设定等方面满足SOX相关要求，无法在具体执行过程中对用户进行有效监督和检查。LanSecS内控管理平台(堡垒主机)系统通过建设集中的认证系统，并结合集中帐号管理的相关功能，实现用户密码管理，密码自动变更，提高系统认证的安全性。 , 实现对用户的统一接入访问控制功能 部署堡垒主机前，维护人员接入IT系统进行维护操作具有接入方式多样、接入点分散的特点。而维护人员中很多是代维人员，这些代维人员来自于各集成商或设备供应商，人员版权所有 圣博润 第22页 LanSecS内控管理平台(堡垒主机)技术白皮书 参差不齐，流动性大。由于维护人员对系统拥有过大权限，缺乏对其进行访问控制和行为审计的手段，存在极大的安全隐患。LanSecS内控管理平台(堡垒主机)系统统一维护人员访问系统和设备的入口，提供访问控制功能，有效的解决运维人员的操作问题，降低相关IT系统的安全风险。 9.3 实现集中授权管理，简化授权流程，减轻管理压力 , 实现统一的授权管理 各应用系统分别管理所属的资源，并为本系统的用户分配权限，若没有集中统一的资源授权管理平台，授权管理任务随着用户数量及应用系统数量的增加越来越重，系统的安全性也无法得到充分保证。LanSecS内控管理平台(堡垒主机)系统实现统一的授权管理，对所有被管应用系统的授权信息进行标准化的管理，减轻管理员的管理工作，提升系统安全性。 , 授权流程化管理 通过LanSecS内控管理平台(堡垒主机)系统，管理层可容易地对用户权限进行审查，并确保用户的权限中不能有不兼容职责，用户只能拥有与身份相符的权限，授权也有相应的工作流审批。 9.4 实现单点登录，规范操作过程，简化操作流程 , 单点登录 LanSecS内控管理平台(堡垒主机)提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问来提高生产效率。同时，单点登录可以实现与用户授权管理的无缝连接，这样可以通过对用户、角色、行为和资源的授权，增加对资源的保护，和对用户行为的监控及审计。 , 规范操作流程 规范操作人员和第三方代维厂商的操作行为。通过LanSecS内控管理平台(堡垒主机)系统的部署，所有系统管理人员，第三方系统维护人员，都必须通过LanSecS内控管理平台(堡垒主机)系统来实施网络管理和服务器维护。对所有操作行为做到可控制、可审计、可版权所有 圣博润 第23页 LanSecS内控管理平台(堡垒主机)技术白皮书 追踪。审计人员定期对维护人员的操作进行审计，以提高维护人员的操作规范性。 LanSecS内控管理平台(堡垒主机)系统规范了运维操作的工作流程，将管理员从繁琐的密码管理工作中解放出来，投入到其他工作上，对第三方代维厂商的维护操作也不再需要专门陪同，从而有效提高了运维管理效率。 9.5 实现实名运维审计，满足安全规范要求 , 实现集中的日志审计功能 各应用系统相互独立的日志审计，无法进行综合日志分析，很难通过日志审计发现异常或违规行为。LanSecS内控管理平台(堡垒主机)系统提供集中的日志审计，能关联用户的操作行为，对非法登录和非法操作快速发现、分析、定位和响应，为安全审计和追踪提供依据。 , 辅助审查 通过集中的日志审计，可以收集用户访问网络设备、主机、数据库的操作日志记录，并对日志记录需要定期进行审查，满足内部控制规范中关于日志审计的需求，真正实现关联到自然人的日志审计。 版权所有 圣博润 第24页 LanSecS内控管理平台(堡垒主机)技术白皮书 10 产品服务 10.1 售后服务 LanSecS内控管理平台(堡垒主机)自产品售出之日起，提供一年期免费的售后服务，具体服务内容包括如下方面: , 软件升级服务:提供一年免费产品版本升级 , 硬件服务内容:提供设备提供一年免费质保 , 产品培训服务:提供产品的部署和使用方面的培训 , 技术支持服务:提供5 x 8电话技术支持服务 , 产品咨询服务:提供关于产品的功能、配置和使用咨询 LanSecS内控管理平台(堡垒主机)自产品售出之日起满一年后，提供有偿售后服务，服务费用一般为产品购置费德15%。 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 另行约定的，按照合同约定执行，具体服务内容包括如下方面: , 产品升级服务:如果产品版本升级，可按照用户要求提供产品升级服务 , 电话技术支持服务:提供5 x 8电话技术支持服务 , 现场技术支持服务:提供本地4小时，异地24小时到达现场产品调试与技术服务 , 产品咨询服务:提供关于产品的功能、配置和使用咨询 10.2 技术支持 北京圣博润高新技术股份有限公司为用户提供如下技术支持: , 远程技术支持:通过电话、邮件、远程桌面等方式提供产品使用、维护和升级等支持， 公司免费技术支持热线:800-810-2332 , 现场技术支持:对于无法远程解决的产品问题，提供现场技术支持，将委派工程师在承 诺的时间内到达用户现场，为用户解决产品相关问题 , 网络公告支持:为用户提供产品最新技术进展，缺陷报告和补丁下载等支持 版权所有 圣博润 第25页