LanSecS(堡垒主机)内控管理平台产品交流(售前).pptx

《LanSecS(堡垒主机)内控管理平台产品交流(售前).pptx》由会员分享，可在线阅读，更多相关《LanSecS(堡垒主机)内控管理平台产品交流(售前).pptx（45页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第一页，共45页。交流交流(jioli)(jioli)提纲提纲54堡垒堡垒(boli)主机解决方案主机解决方案3现有现有(xin yu)解决方案解决方案2问题分析问题分析1IT运维运维现状现状堡垒主机产品介绍堡垒主机产品介绍6为何选择为何选择LanSecS第二页，共45页。IT资产资产(zchn)IT运维角度运维角度主机系统主机系统数据库系统数据库系统网络设备网络设备安全设备安全设备专用系统专用系统应用角度应用角度OAOA系统系统财务系统财务系统人力系统人力系统业务应用系统业务应用系统客户服务系统客户服务系统第三页，共45页。资产资产(zchn)用户用户资产的管理者资产的管理者内部维护人员内部

2、维护人员常驻维护人员常驻维护人员临时维护人员临时维护人员资产的使用者资产的使用者行政人员行政人员财务人员财务人员业务人员业务人员管理人员管理人员外部用户外部用户第四页，共45页。访问访问(fngwn)方式方式n各类人员可以通过下面各种(zhn)途径访问IT资产：n 使用远程终端服务：例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口（CLI）n 使用文件传输协议：例如FTP等n 使用远程窗口和桌面：例如Windows的远程桌面（RDP），和Unix的Xwindow。n 使用各种(zhn)数据库客户端：例如各种(zhn)数据库的client程序、ODBC、JDBC，以及多

3、种其它数据库工具。第五页，共45页。IT运维现状运维现状(xinzhung)？用户管理复杂性不可避免？资产安全性又如何保证？第六页，共45页。管理工作管理工作帐号帐号(zhn ho)(zhn ho)管理管理认证认证(rnzhng)(rnzhng)管理管理AB操作操作(cozu)(cozu)审计审计D授权管理授权管理C定义帐号密码定义帐号密码定义帐号密码定义帐号密码定期变更密码定期变更密码定期变更密码定期变更密码密码强度控制密码强度控制密码强度控制密码强度控制.日志收集日志收集日志收集日志收集日志分析日志分析日志分析日志分析故障排查故障排查故障排查故障排查事故追踪事故追踪事故追踪事故追踪.建立建

4、立建立建立帐号帐号帐号帐号修改帐号修改帐号修改帐号修改帐号删除帐号删除帐号删除帐号删除帐号.定义帐号权限定义帐号权限定义帐号权限定义帐号权限分配帐号分配帐号分配帐号分配帐号修改帐号权限修改帐号权限修改帐号权限修改帐号权限防止越权访问防止越权访问防止越权访问防止越权访问.设备及服务器管理设备及服务器管理设备及服务器管理设备及服务器管理第七页，共45页。管理管理(gunl)问题问题帐号管理帐号管理(gunl)空闲(kngxin)帐号弱口令(kulng)帐号僵尸帐号共享帐号相同帐号设备及服务器群第八页，共45页。管理管理(gunl)问题问题认证管理认证管理(gunl)n各系统独立认证n单一的静态口令

5、认证n口令强度(qingd)基本无限制第九页，共45页。管理管理(gunl)问题问题授权管理授权管理(gunl)n n授权工作量大、繁琐授权工作量大、繁琐n n没有有效没有有效(yuxio)(yuxio)的访问控制手段的访问控制手段n n授权粒度粗，基本只到设备授权粒度粗，基本只到设备第十页，共45页。管理管理(gunl)问题问题审计一审计一n n缺乏资源帐号管理的审计缺乏资源帐号管理的审计n n缺乏资源帐号分配给自然人的授权缺乏资源帐号分配给自然人的授权(shuqun)(shuqun)审计审计n n缺乏用户登录登出系统的审计缺乏用户登录登出系统的审计n n缺乏用户对系统操作行为的审计缺乏用户

6、对系统操作行为的审计第十一页，共45页。管理管理(gunl)问题问题审计二审计二关键关键(gunjin)业务系统数业务系统数据被修改了，系统记录是据被修改了，系统记录是admin改的，到底是谁用这改的，到底是谁用这个帐号改的？个帐号改的？这么多系统，查看命令这么复这么多系统，查看命令这么复杂，我怎么去使用杂，我怎么去使用(shyng)这这些命令去查看？些命令去查看？业务数据被修改，从日志中业务数据被修改，从日志中查，一天的日志量有几百万，查，一天的日志量有几百万，我该从什么地方开始看，他我该从什么地方开始看，他到底在什么时间修改业务数到底在什么时间修改业务数据的？据的？每个系统的日志都这么多，

7、不每个系统的日志都这么多，不知道他们之间有什么关系？知道他们之间有什么关系？第十二页，共45页。1.当出现事故或安全问题时，无法对事故责任进行追踪定责。2.无法对维护人员(rnyun)的作业行为进行监控。1.多人共用系统帐号，进行维护作业2.由于维护人员维护多个系统资源，常常为了方便将口令信息存放于文件之中3.维护人员通常使用高权限(qunxin)的帐号进行维护操作，对于某些用户来说该权限(qunxin)过于宽松4.企业关键设备的登陆缺乏强认证手段。传统强认证手段实施困难5.管理员误操作重现恢复困难。管理问题管理问题(wnt)小结小结第十三页，共45页。资产安全资产安全(nqun)问题问题n多

8、人共用系统帐号，帐号信息容易外泄，资产安全受到威胁n边界安全建设日趋完善，内部威胁未受重视，80%的问题与威胁来自于网络内部，终端防护类只解决了病毒、木马等，人为呢？或者操作失误呢？n企业生产数据面临被内部人员篡改、删除、窃取，主机(zhj)被关机、设备配置被修改，导致企业生产停顿、商业资料泄露，给企业造成巨大的损失。第十四页，共45页。运维人员使用运维人员使用(shyng)问题问题n n密码记忆密码记忆n n用户需要记忆许多用户需要记忆许多(xdu)(xdu)用户名和密码用于登录各个用户名和密码用于登录各个系统，经常出现忘记密码的情况，有些管理直接使用相系统，经常出现忘记密码的情况，有些管理

9、直接使用相同的密码，缺乏统一的用户管理。同的密码，缺乏统一的用户管理。n n频繁登录和注销频繁登录和注销n n管理不同的网络设备需要分别登录，操作繁琐。管理不同的网络设备需要分别登录，操作繁琐。第十五页，共45页。合规性问题合规性问题(wnt)萨班斯.奥克斯利法案（Sarbanes-Oxley）公安部：信息系统安全等级保护基本要求（试用稿）对数据安全的保护是安全等级保护关注的对象。财政部、审计署、证监会、银监会、保监会企业内部控制基本规范是内部控制审计的重要依据。第十六页，共45页。据外电报道，已有多个消息来源证实，在美国东部时间6日下午，一名交易员在卖出股票时敲错了一个字母，将百万误打成十亿

10、（million-billion），导致道琼斯指数突然出现近千点暴跌，误操作和技术问题可能是导致6日纽约股市(sh)暴跌的主要原因之一。针对出现多处异常波动现象，纽约证券交易所和纳斯达克股票市场已展开调查。2010.5.7新闻一个一个(y)实例实例第十七页，共45页。集中集中(jzhng)登录登录n集中式网络管理（先登录管理作业服务器，然后转换身份再对相关服务器进行维护(wih)(wih)。属于多用户单帐号管理方式）n问题：n1.1.多用户共享rootroot帐号，权限划分不明，所有人员都具有最高的ROOTROOT权限。n2.2.无法跟踪某个管理员的确切操作。n3.3.依靠各自服务器的日志信息

11、，审计信息不可集中审计管理。第十八页，共45页。旁路旁路(pn l)审计审计n针对协议：明文协议（TELNET/FTP/HTTPTELNET/FTP/HTTP等）n问题：n1.1.密文协议（SSH/RDPSSH/RDP等）n2.2.细粒度授权n3.3.审计(shn j)(shn j)信息不可读（实名、信息量）xvzb 銐e決;耂決塠hQ軴芠b/g纇錱密文，无法审计SSH分析仪/审计(shn j)仪镜像监听第十九页，共45页。解决问题思路解决问题思路(sl)现有解决方现有解决方案案堡垒主机解堡垒主机解决方案决方案帐户管理帐户管理认证管理认证管理授权管理授权管理操作审计操作审计集中登录集中登录旁路

12、审计旁路审计集中管理帐户集中管理帐户(zhn h)多系统统一帐户多系统统一帐户(zhn h)集中认证集中认证统一登录统一登录(dn l)安全认证安全认证集中管理集中管理授权细化授权细化变更容易变更容易集中审计集中审计过程审计过程审计易存储，易查询易存储，易查询可结构化输出可结构化输出第二十页，共45页。21集中访问入口、操作(cozu)审计堡垒堡垒(boli)主机内控平台主机内控平台第二十一页，共45页。建设建设(jinsh)目标目标集中管理帐号管理唯一身份认证管理你是谁授权管理你能干什么操作审计你干了什么第二十二页，共45页。身份授权身份授权(shuqun)分离分离系统(xtng)帐号=身份

13、(shn fen)认证系统授权+主帐号身份认证+从帐号系统授权+第二十三页，共45页。操作操作(cozu)审计审计n n集中审计集中审计n n全程记录，操作过程审计全程记录，操作过程审计n n统一存储，统一查询统一存储，统一查询n n真实真实(zhnsh)(zhnsh)还原操作过程还原操作过程n n多协议审计支持多协议审计支持第二十四页，共45页。产品产品(chnpn)(chnpn)架构架构第二十五页，共45页。集中管理平台集中管理平台(pngti)n集中(jzhng)帐号管理n集中(jzhng)认证n集中(jzhng)授权n集中(jzhng)访问控制n集中(jzhng)安全审计第二十六页，共

14、45页。字符字符(z f)终端代理终端代理n支持指令终端的常见(chn jin)协议nSSH、TELNET、RLOGIN、FTP第二十七页，共45页。策略中配置禁止该操作员使用kill等危险命令(mng lng)，显示禁用提示信息 策略中配置禁止命令中不包含more命令，放行(fngxng)通过，得到正确执行结果操作(cozu)人员more abc.filekillall apache堡垒主机目标服务器字符字符权限控制权限控制一一第二十八页，共45页。字符权限字符权限(qunxin)控制二控制二第二十九页，共45页。图形图形(txng)终端代理终端代理n支持图形(txng)终端的常见协议nRD

15、P、VNC、XWINDOWS第三十页，共45页。n统一的WEB单点登录(dn l)方式单点登录单点登录(dn l)UNIX第三十一页，共45页。n n统一统一(tngy)(tngy)的的WEBWEB单点登录方式单点登录方式单点登录单点登录(dn l)WINDOWS主机主机第三十二页，共45页。操作操作(cozu)审计一审计一第三十三页，共45页。操作操作(cozu)审计二审计二第三十四页，共45页。操作操作(cozu)审计三审计三第三十五页，共45页。操作操作(cozu)审计审计操作操作(cozu)过过程回放程回放第三十六页，共45页。产品产品(chnpn)特色特色n流程管理n提供用户申请、权

16、限申请、资源(zyun)申请等管理流程n4a扩展n在4A项目中，帐号、认证、授权管理转移到4A，提供执行单元，完成基础访问控制和操作审计功能。n在非4A项目中除提供基础的访问控制和操作审计功能外，还提供精简的帐号、认证、授权集中管理功能。n内部权限控制灵活n策略配置灵活n时间、源设备、命令n安全会话n一次性会话密钥与连接n会话加密n高可用性与可靠性n支持外接存储n支持双机第三十七页，共45页。分散(fnsn)审计-综合安全审计直接(zhji)访问管理-集中访问控制网关逐个系统的设置帐号策略(cl)-集中账号管理逐个系统的认证登陆-单点登陆逐个系统的认证安全建设-集中IAM方案符合安全规范符合安

17、全规范符合安全规范符合安全规范提高访问安全提高访问安全提高访问安全提高访问安全减轻管理压力减轻管理压力减轻管理压力减轻管理压力简化操作流程简化操作流程简化操作流程简化操作流程降低管理成本降低管理成本降低管理成本降低管理成本用户收益用户收益第三十八页，共45页。堡垒主机基本堡垒主机基本(jbn)部署部署DMZ或设备(shbi)中心工作(gngzu)区IT运维人员IT运维人员Internet堡垒主机第三十九页，共45页。产品产品规格规格产品名称型号产品名称型号产品描述产品描述LanSecSNK501U硬件设备、最大能够管理50个资源数LanSecSNK100 1U硬件设备、最大能够管理100个资源

18、数LanSecSNK200 2U硬件设备、最大能够管理200个资源数LanSecSNK500 2U硬件设备、最大能够管理500个资源数第四十页，共45页。典型典型(dinxng)案例案例n中国人保n30多台类Unix主机（包括SCO Unix、RedHat Linux、Solaris、AIX等）n20多台Windows主机（操作系统为windows 2003/2000和少数XP）n60多台核心交换(jiohun)和路由器n北师大n航天长城n100多个被管资源第四十一页，共45页。公司简介公司简介-圣博圣博润润n2000年成立与中关村科技园区n10年专业(zhuny)致力与信息安全软件产品开发、

19、研究和服务n国内领先的信息安全产品和服务提供商n自主知识产权n总公司设在北京，在中国29个重要城市设有办事机构，拥有以北京和南京地区为支点的研发体系，在华东、华南、东北地区设有分公司n目前公司总人数为300人，研发和技术人员人数占员工总数近40%n近万家的成功案例n国内内网安全产品和服务综合厂商中唯一上市公司n公司人员增长示意图公司人员增长示意图n2000n2003n2006n2010n3n35n90n210n2008n150第四十二页，共45页。公司简介公司简介-圣博润圣博润n公司于2009年2月18日在深交所新三板(snbn)市场正式挂牌，股票代码为430046n是国内安全运维防护产品企业

20、中唯一一家上市公司n公司技术具备创新性，管理规范n公司具备可持续发展能力，售后服务值得用户/合作伙伴信赖圣博润公司圣博润公司(n s)(n s)成功上市成功上市第四十三页，共45页。研发(yn f)和技术人员金融风险事业部 安全服务(fw)咨询 售后服务和800电话(dinhu)行政、财务和后勤 销售团队和市场创新能力突出 组织架构合理 高层管理团队团队建设团队建设第四十四页，共45页。高新技术企业证书高新技术企业证书ISO9001:2000ISO9001:2000质量管理体系认证质量管理体系认证软件产品认定软件产品认定软件企业认定软件企业认定软件软件(run jin)(run jin)著作权著作权第四十五页，共45页。