LanSecS(堡垒主机)内控管理平台技术白皮书解析.doc

 LanSecS（堡垒主机）内控管理平台 技术白皮书 北京圣博润高新技术股份有限公司 2013年5月目录 1 背景 3 1.1 概述 3 1.2 管理现状 3 1.2.1 使用共享帐号的安全隐患 3 1.2.2 密码策略无法有效执行 4 1.2.3 授权不清晰 4 1.2.4 访问控制策略不严格 4 1.2.5 用户操作无法有效审计 4 1.3 问题分析 5 2 设计理念 6 2.1 集中管理模式 6 2.2 协议代理 6 2.3 身份授权分离 7 3 产品概述 8 3.1 产品综述 8 3.2 产品组成 9 3.3 产品功能 9 3.3.1 单点登录 9 3.3.2 账户管理 10 3.3.3 身份认证 10 3.3.4 资源授权 10 3.3.5 访问控制 11 3.3.6 操作审计 11 4 关键技术 12 4.1 逻辑命令自动识别技术 12 4.2 分布式处理技术 13 4.3 正则表达式匹配技术 13 4.4 RDP协议代理 13 4.5 多进程/线程与同步技术 13 4.6 数据加密功能 13 4.7 审计查询检索功能 14 4.8 操作还原技术 14 5 产品优势 15 5.1 良好的扩展性 15 5.2 强大的审计功能 15 5.3 部署和使用简单 15 5.4 高度的安全性和成熟性 15 6 主要应用 16 6.1 运维管理 16 6.2 安全管理 16 7 技术参数 17 7.1 产品参数 17 7.2 产品规格 19 8 产品部署 21 8.1 逻辑部署示意图 21 8.2 物理部署示意图 21 8.3 部署说明 23 9 客户收益 23 9.1 实现集中帐号管理，降低管理费用 23 9.2 实现集中身份认证和访问控制，避免冒名访问，提高访问安全性 24 9.3 实现集中授权管理，简化授权流程，减轻管理压力 25 9.4 实现单点登录，规范操作过程，简化操作流程 25 9.5 实现实名运维审计，满足安全规范要求 26 10 产品服务 27 10.1 售后服务 27 10.2 技术支持 27 背景 概述 随着信息技术的不断发展和信息化建设的不断进步，办公系统、 商务平台的不断推出和投入运行，信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中企业和门户网站，更是使用数量较多的服务器主机来运行关键业务2002年由美国总统布什签发的萨班斯法案(Sarbanes-Oxley Act) 设计理念 集中管理模式 要解决核心资源的访问安全问题，我们首先从管理模式上进行分析。管理模式是首要因素，管理是从一个很高的高度，综合考虑整体的情况，然后制定出相应的解决策略，最后落实到技术实现上。管理解决的是面的问题，技术解决的是点的问题，管理的模式决定了管理的高度。我们认为随着应用的发展，设备越来越多，维护人员也越来越多，我们必须由分散的管理模式逐步转变为集中的管理模式。 只有集中才能够实现统一管理，也只有集中才能把复杂问题简单化，集中管理是运维管理思想发展的必然趋势，也是唯一的选择。集中管理包括：集中的资源访问入口、集中帐号管理、集中授权管理、集中认证管理、集中审计管理等等。 协议代理 为了对字符终端、图形终端操作行为进行审计和监控，堡垒主机对各种字符终端和图形终端使用的协议进行代理，实现多平台的操作支持和审计，例如Telnet、SSH、FTP、Windows平台的RDP远程桌面协议，Linux/Unix平台的X Window图形终端访问协议等。 当运维机通过堡垒主机访问服务器时，首先由堡垒主机模拟成远程访问的服务端，接受运维机的连接和通讯，并对其进行协议的还原、解析、记录，最终获得运维机的操作行为，之后堡垒主机模拟运维机与真正的目标服务器建立通讯并转发运维机发送的指令信息，从而实现对各种维护协议的代理转发过程。在通讯过程中，堡垒主机会记录各种指令信息，并根据策略对通信过程进行控制，如发现违规操作，则不进行代理转发，并由堡垒主机反馈禁止执行的回显提示。 身份授权分离 以前管理员依赖各IT系统上的系统帐号实线两部分功能：身份认证和系统授权，但是因为共享帐号、弱口令帐号等问题存在，这两方面实现都存在漏洞，达不到预期的效果。 解决的思路是将身份和授权分离。在堡垒主机上建立主帐号体系，用于身份认证，原各IT系统上的系统帐号仅用于系统授权，这样可以有效增强身份认证和系统授权的可靠性，从本质上解决帐号管理混乱问题，为认证、授权、审计提供可靠的保障。 产品概述 产品综述 内控堡垒主机是一种被加固的可以防御进攻的计算机，具备坚强的安全防护能力。内控堡垒主机扮演着看门者的职责，所有对网络设备和服务器的请求都要从这