菜单
分类: 标签:

圣博润堡垒主机

最近180天交易数:0

线下议价

用户点赞:

运维和审计管理平台,将运维人员离散维护主机及网络设备的行为统一到该平台进行,加强对系统安全以及运维的控制力。一方面通过集中运维,减少因离散操作导致的失误,提高工作效率,如新的安全策略在主机上的统一应用等;另一方面通过对所有用户在主机上的操作行为进行监控与记录,实时了解用户的操作行为,发现风险及时中止用户的操作,并记录下用户所有的操作行为,便于进行事后的审查与取证。

产品功能

6/5b583ae27b731.png

1、 账号管理

帐号管理包含对所有服务器、网络设备帐号以及所有使用堡垒主机自然人的账号实行集中管理。账号的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理,而且降低了设备管理员管理大量用户帐号的难度和工作量。同时,通过统一的管理还能够发现帐号中存在的安全隐患,并且制定统一的、标准的用户帐号安全策略。
通过建立集中帐号管理,可实现帐号与实际自然人相关联。通过这种关联,可实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的实名行为审计,真正满足审计需要。

5/5b583b3294fbd.png


(1)主账号管理
使用堡垒主机系统的用户与真实人员是唯一对应的,普通用户即为主账号。主账号管理将实现对用户的集中管理及用户的集中授权管理。主账号管理功能包括主账号的创建,主账号基本信息维护,主账号资源角色授权(主账号资源访问授权),主账号的锁定,主账号删除等。除此之外,还可以通过角色划分功能,区分人员类别,比如一线、二线,岗位不同,中心员工或外包人员等。
(2)从账号管理
资源管理与主账号管理同样是系统的核心部分。资源管理主要负责管理不同类型的资源,其中包括不同类型主机系统,网络设备,安全设备等。这些不同类型的资源组成了整个内控堡垒主机系统的访问对象,也是保护对象。
资源管理主要包含两个大模块:资源管理和资源从账号管理。资源管理主要是对不同类型的资源进行划分。从账号管理则依附于不同的资源。访问资源就是访问资源的从账号,这里也是管理员操作和运维人员操作的核心部分。

(3)从账号口令变更
依照等级保护和分级保护的基本要求,对于内网设备的口令需要定时按照一定的复杂程度进行变更,堡垒主机提供自动定时批量修改从账号口令的功能。用户可自定义口令变更时间、周期、复杂程度等内容。极大的减轻了运维人员的工作压力。
2、 授权管理
LanSecS(堡垒主机)内控管理平台通过灵活的授权管理和细粒度的访问控制管理可以对用户对各种资源的访问进行控制和审计。
(1)灵活的授权管理
LanSecS(堡垒主机)内控管理平台提供统一的界面,对用户、角色与行为、资源进行关联授权,以达到对权限的细粒度分配,最大限度保护 IT 资源的安全。
在集中授权里强调的“集中”是逻辑上的集中,而不是物理上的集中。即在各网络设备、主机系统、安全设备中可能还拥有各自的权限管理功能,管理员也由各自的归口管理部门委派,但是这些管理员从统一的授权系统进去以后,可以对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。
(2)细粒度的访问控制管理
LanSecS(堡垒主机)内控管理平台能够提供细粒度的访问控制管理。细粒度的命令策略是命令的集合,提供基于黑白名单的命令清单配置,该命令策略可分配给运维自然人或后台设备,另外也可提供基于访问时间、访问地点、资源、系统帐号、操作命令、自定义命令的强访问控制。通过对访问内容的监控和记录、对危险命令的过滤,实现内部访问的安全运作。
访问控制策略是保护系统安全性的重要环节,制定良好的访问控制策略能够有效提高系统的安全性。 

3、认证管理
(1)认证方式多样性
LanSecS(堡垒主机)内控管理平台为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。
LanSecS(堡垒主机)内控管理平台自身是经过加固的可防御进攻的安全设备,支持静态口令、动态口令、 USB-KEY、数字证书、动态令牌、生物特征等多种组合认证方式,并且传输过程加密。 

f/5b583ce7b790f.png 

(2)单点登录(SSO)
LanSecS(堡垒主机)内控管理平台提供了基于 B/S 的单点登录,在整个 IT 系统中具有多帐号的用户提供了方便快捷的访问途径,运维人员通过一次登录堡垒主机,就可以访问被授权的多个设备资源,无需再次手动输入设备账号和密码信息,而且访问不同系统不用重复登录,提高了运维的效率,改善用户体验。同时,集中的单点登录便于全系统采用强认证,从而提高了用户认证环节的安全性。

LanSecS(堡垒主机)内控管理平台基于人性化设计,不改变用户原有运维习惯,支持原有运维工具。

4、访问控制
(1) 实时监控与阻断
LanSecS(堡垒主机)内控管理平台能够实现对运维人员在线操作的实时监控功能,审计员可以以图像方式实时的监视运维人员的运维操作,如果发现运维人员存在不合规的操作,审计员有权限实现对当前会话的实时阻断。
(2) 访问控制策略
LanSecS(堡垒主机)内控管理平台能够制定基于黑白名单的访问控制策略,用以限制用户访问目标设备的访问命令,该策略支持正则表达式。
5、审计管理
(1)详尽的操作审计
LanSecS(堡垒主机)内控管理平台提供详尽的操作审计功能,主要审计操作人员的帐号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后,操作审计能更好地对帐号的完整使用过程进行追踪审计。由于堡垒主机采用单点登录(SSO)方式,自然人与堡垒账号实现一一对应,审计员可以轻松的将系统操作与自然人相对应,解决了以往运维环境中仅追查到设备账号层面的问题,方便了安全事故的定责工作。 

LanSecS(堡垒主机)内控管理平台提供命令审计、内容审计和录像审计。对不同设备、不同访问方式都有详尽的操作审计,真实、直观的重现操作人员的操作过程。系统支持操作协议:Telnet、FTP、SFTP、SSH、SSH2、RDP、X windows、VNC 等。
LanSecS(堡垒主机)内控管理平台通过系统自身的用户认证系统、用户授权系统,以及访问控制等详细记录整个会话过程中用户的全部行为,还可以将审计日志传送给第三方。
(2)完备的审计报表
LanSecS(堡垒主机)内控管理平台提供完备的审计报表。堡垒主机管理员可以按照用户定义条件,以及系统自定义的报表模板制定综合报表;系统可按照访问者、被保护对象、行为方式、操作内容等自动生成统计报表,并能按照用户的要求添加、修改报表数量、格式及内容,以满足审计的要求。
(3)内部审计
LanSecS(堡垒主机)内控管理平台提供完备的内部审计记录,可完整记录堡垒主机管理员的管理行为,如主/从账号管理、策略修改、登入、登出等内容。

产品特点 

1、多平台兼容
LanSecS(堡垒主机)内控管理平台基于,可以支持 indows 操作系统、macOS、麒麟等国产操作系统、IOS、Andoid 等系统的运维访问和审计结果查询。
2、完善的加密措施
LanSecS(堡垒主机)内控管理平台对访问会话代理全程提供通信加密防护。堡垒主机业务数据及审计录像文件均密文本地。
3、 运维登陆一次性会话号机制防重放
LanSecS(堡垒主机)内控管理平台运维登陆到目标服务器时,采用一次性会话号机制。该机制会话号只能使用一次,防止不法人员通过重放攻击方式访问堡垒主机。

4、口令信封
LanSecS(堡垒主机)内控管理平台提供口令信封打印功能,用户可定期通过口令信封对主/从账号信息打印纸质存档。
5、内置双因素认证,不依赖第三方认证平台
LanSecS(堡垒主机)内控管理平台内置证书发放系统,支持软/硬证书的发放,可和静态口令组成双因素认证方式,同时内置了 Google 动态口令认证系统,可以安装手机 app 实现动态口令获取,满足相关政策要求,节约企业成本。

6、流程审批
(1) 双人操作
LanSecS(堡垒主机)内控管理平台支持以双人互输密码的方式对资源进行保护。即其中一人想要对资源进行访问的时候,需要另外一人输入口令后方能进行访问。
(2) 访问审批
LanSecS(堡垒主机)内控管理平台可以通过设置访问审批流程,对关键设备的访问进行有效的访问授权管理,逐级审批后方能进行访问。
(3) 命令审批
LanSecS(堡垒主机)内控管理平台支持通过命令审批的方式对 unix、linux、网络设备等字符运维类的资源进行保护。即当在控制名单内的命令被请求执行时,需审批通过后,该命令才可以被执行,否则命令请求将被阻断。

7、 高可用性
LanSecS(堡垒主机)内控管理平台提供主/备模式双机热备部署,主备机切换时长小于3秒。

 产品部署

LanSecS(堡垒主机)内控管理平台采用典型的旁路部署,不改变网络拓扑,部署简单方便,实现灵活接入。通过设置防火墙端口控制策略或交换机 ACL 访问策略,防止用户绕过堡垒主机直接访问目标设备。 LanSecS(堡垒主机)内控管理平台典型部署示意图:

c/5b58406dcc8d2.png

增加评论