《天玥网络安全审计系统业务堡垒机产品介绍.ppt

传统运维工作 关键问题 关键问题-共享账号 关键问题-访问控制 关键问题-权限控制 需求描述-1 集中管理 集中管理用户、设备、系统账号； 集中管理用户、系统账号的密码； 所有用户集中登录、集中认证； 集中配置账号密码策略、访问控制策略； 集中管理所有用户操作记录； 访问控制 根据用户角色设置分组访问控制策略； 实现“用户－系统－系统账号”的对应关系； 实现实体级的访问控制授权； 需求描述-2 权限控制 可设置以命令为基础的权限控制策略； 实现命令级别的实体内授权； 操作审计 以用户身份为依据，真实完整的记录每个用户的所有操作行为； 精确到命令的审计机制； 对用户的操作进行仿真回放； 记录加密维护协议SSH数据。 设计原理-安全小区模型 操作管理-核心要素与内容 天玥IV型的主要功能 天玥IV工作原理 集中管理－集中登录 集中管理－二次登录 集中管理－身份管理 集中管理－角色管理 根据工作职能给用户分配角色； 账号管理员 配置管理员 审计管理员 普通用户 真正实现三权分立。 集中管理－部门管理 完善的分级权限管理：根据人员、资源所处部门（系统）的不同，实现二级部门的分权限管理。二级部门内的管理员只能管理本部门内的资源。 集中管理－自然人账号管理 为维护人员分配惟一标识其身份的账号； 账号属性管理： 登录名 真实姓名 邮箱地址（接收初始化密码） 有效期限 所属部门 账号状态（活动/禁用） 角色 集中管理－设备管理 集中管理所有资源： 设备名称 IP地址 登录协议/端口 所属部门 设备类型 可定制化的自动登录脚本（用户堡垒机到设备的二次登录） 对跳转设备（Oracle/BSC等）的支持 集中管理－系统账号管理 集中管理所有设备内部的系统账号； 系统账号名称 系统账号密码（如果启用，可由堡垒机完成到设备的二次登录） 定期修改该账号的密码 所属设备 修改密码时采用的密码策略 集中管理－账号口令管理 用户口令管理： 创建用户时，可按用户密码策略给该用户生成强壮的口令； 该口令可以通过预设邮箱发送给用户，也可以由管理员手工管理并通知该用户； 设备账号口令管理： 新增设备账号时，需手工同步该账号的密码； 然后即可按照不同级别的设备账号密码策略进行定期修改，并以加密的方式发送给密码保管员。 集中管理－密码策略管理 集中管理－数据的导入导出 可以对用户列表、设备列表、设备账号列表、部门列表进行批量导入导出，节省管理员管理成本； 提供导入模版供下载参考。 访问控制 访问控制－创建访问控制列表 先创建分组，再选择分组内所管辖的用户与资源账号。 访问控制－执行访问控制策略 用户使用自己的账号登录天玥IV时，天玥IV只反馈给该用户所属分组范围内设备。 权限控制－创建命令防火墙策略 可按用户或分组创建命令防火墙策略； 可调整防火墙策略的优先级； 严格限制用户进入设备之后的命令执行。 权限控制－执行命令防火墙策略 操作审计－会话与命令审计 可显示会话的开始、结束时间、用户名、源IP、会话状态，可查看该会话的命令、命令输出，并对会话进行回放。 回放过程中可进行暂停、继续。 支持各种功能键（TAB，上下箭头，回退等）扩展后的命令和输出结果。 可区分用户的输入命令和输出结果；输入与输出分开，输出信息可以显示概要。 可对实时会话进行标识。 操作审计－会话回放 操作审计－SFTP操作审计 可记录会话开始时间、登录用户名、源IP地址，可查看sftp会话的细节（访问目录、上传下载文件信息等）。 操作审计－精确检索 可按时间段、目标主机、系统账号、用户和关键字为条件进行查询。支持通配符。 操作审计－完美呈现 可按用户或分组进行报表展示，可显示具体用户或分组的web登录次数、ssh登录次数、sftp登录次数以及ssh命令数量。 可生成多种审计视图。 系统自管理－AD域账号同步 提供API接口，可以被其他管理平台调用； 提供与LDAP账号数据库同步的接口。 系统自管理－SSH证书管理 针对ssh设备，可生成设备账号的ssh证书，这样堡垒机与ssh设备可直接通过证书交互完成二次认证，比密码认证更加安全。 系统自管理－双机热备与数据同步 通过HA保证系统的高可用性； 主备系统之间可以进行手工与自动数据同步。 系统自管理－邮件服务器配置 通过配置第三方的邮件服务器，可以给普通用户发送口令密码，给密码保管员发送设备账号修改后的密码。 适用场景 解决用户在维护大量Unix/Linux主机、网络设备时面临的集中控制、帐号与口令的管理、操作记录等问题，特别是针对加密协议SSH的记录。 支持telnet和SSH设备，扩展支持命令行方式的Oracle维护、图形化的sftp工具。 适用行业： 电信运营商 金融 门户网站运营商 网络游戏服务提供商 。。。。。。 部署方式－单级部署 部署方