一、背景随着 IT 建设的不断深入和完善,计算机硬软件系统的运行维护已经成为了各行各业单位领导和信息服务部门普遍关注和不堪重负的问题。 由于这是随着计算机信息技术的深入应用而产生的,因此如何提高系统运维管理水平,满足相关标准要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,这方面的知识积累和应用技术还刚刚起步。对这一领域的研究和探索,将具有广阔的发展前景和巨大的现实意义。
大中型企业和机构纷纷建立起庞大而复杂的 IT 系统,IT 系统的运营、维护和管理的风险不断加大。运维管理安全风险是指运维用户在运维操作中引入的风险。这里有由于变更设计不完善、误操作、越权操作、恶意操作及代维等因素。由于运维管理一般是采用特权用户进行操作,所以其操作风险是非常大。目前大多用户采用分权双人、各种管理制度等方式来规避或降低,但实际运行中由于制度落实等问题,无法做到全面的控制,运维安全仍然存在很大的风险。
同时由于近年国外设备、软件隐藏的“后门”和漏洞造成的失泄密事件已严重威胁到我国的国家安全。我国计算机网络系统中的操作系统、数据库、芯片等大多由国外厂商生产,很难判断设备是否存在“后门”或软件陷阱等安全漏洞,信息安全风险非常高。
面对日益严峻的信息安全形势,只有加快国产化步伐,建立起可靠的关键核心技术体系,才能真正保障信息安全。而关键核心技术设备、信息产品和服务等的可控是保障网络信息安全的前提。
二、产品简介捷普安全运维管理系统是一款基于软硬件可控的堡垒机,硬件平台核心处理器采用了国产飞腾处理器,搭配国产麒麟操作系统。捷普安全运维管理系统可对主机、服务器、网络设备、安全设备等管理维护过程进行安全、有效、直观的操作审计,对策略配置、系统维护、内部访问等进行详细的记录,并支持操作过程的全程回放。系统在实现国产化可控的基础上弥补了传统审计系统的不足,将运维审计由事件审计提升为内容审计,并将身份认证、授权、管理、审计有机地结合,保证只有合法用户才能使用其拥有运维权限的关键资源。
三、设计模型四、功能特点集中账号管理
捷普安全运维管理系统建立基于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备等无缝连接,集中管理主账号(普通用户)、从账号(目标设备系统账号)及相关属性。
集中访问控制
捷普安全运维管理系统通过集中统一的访问控制和细粒度的命令级授权策略,确保用户拥有的权限。捷普安全运维管理系统是完成任务所需的最小权限,实现集中有序的运维操作管理,防止非法、越权访问事件发生。
集中安全审计
基于唯一身份标识,系统通过对用户从登录到退出的全程操作行为审计,监控用户对被管理设备的所有敏感关键操作,提供分级告警,聚焦关键事件,实现对安全事件及时预警发现、准确可查。
智能设备发现
捷普安全运维管理系统可智能发现网络中的设备及协议,支持一键式添加到策略,简易运维管理员繁琐的操作,提高运维效率。
严格的审计管理
捷普安全运维管理系统包含默认的三权分立的管理模式,包括系统管理员、运维管理员和审计员三种管理员角色,同时支持可灵活定制管理员角色,进一步细化管理员权限,从技术上保证系统管理安全。
严格的审计管理
捷普安全运维管理系统包含默认的三权分立的管理模式,包括系统管理员、运维管理员和审计员三种管理员角色,同时支持可灵活定制管理员角色,进一步细化管理员权限,从技术上保证系统管理安全。
五、产品优势全面的运维审计
系统采用协议分析、基于数据包还原虚拟化技术,实现操作界面模拟,将所有的操作转换为图形化界面予以展现,实现 100%审计信息不丢失。
针对运维操作图形化审计功能的展现外,同时还能对字符进行分析,包括命令行操作的命令以及回显信息和键盘、鼠标的操作信息。
系统支持的审计协议以及工具包括:
终端命令操作:Telnet、SSH
图形操作: VNC、Xwindows 等
文件上传和下载:FTP、SFTP、SCP
基于 BS 的管理操作:HTTP、HTTPS
数据库协议:DM(达梦)、UXDB(优炫)、KINGBASE(人大金仓)、OSCAR(神通)、HIGHGO(汉高)等
应用发布协议:用户使用应用发布发布的自定义协议
全面 IPV4/IPV6 支持
系统提供的所有功能都支持 IPV4、IPV6 双协议栈。
丰富的运维方式
系统提供客户端方式运维和 web 方式运维。
强大的应用发布支持
通过专业的应用发布系统发布常用数据库工具、常用运维工具等,能够完美支持用户按照实际需求对堡垒机进行扩展。
友好的协同运维支持
系统针对常见的运维协议 SSH、TELNET、RDP、VNC 提供了协同运维功能的支持。当运维人员运维时遇到困难或者需要双人一起运维的时候可以使用该功能,两个运维人员一起运维同一个资源,大家同时都具有读写权限,可以协同完成对资源的运维。
易部署高可用
系统提供单臂、中间机 2 种模式接入到企业内部网络中,不需改变网络拓扑,安装调试过程简单。同时系统提供支持主备模式的双机热备,提高容错率,避免单点故障,保障用户的正常业务开展。
方便的批量管理
系统提供批量脚本和批量命令实时及定时执行的功能,减少运维人员反复的重复性工作,提高工作效率,降低运维成本。
智能的设备发现功能
系统提供了一种智能发现网络中的设备及协议功能,并支持一键式添加到策略,简易运维管理员繁琐的操作,同时减少遗漏,提高运维的效率。
更严格的审计管理
系统提供默认的三权分立的管理模式,包括系统管理员、安全操作员和安全审计员三种管理员角色。
系统提供管理员对不同运维用户的分管机制,方便多管理员分权管理。
系统集认证、授权、管理和审计有机地集成为一体,有效地实现了事前预防、事中控制和事后审计。
高效的处理能力
系统具有业界最强的协议转发处理能力,摒弃业绩常用的协议转发“黑盒子”,能够对TELNET、FTP、SSH、SFTP、SCP、RDP、X11、VNC、HTTP、HTTPS、DM(达梦)、UXDB(优炫)、KINGBASE(人大金仓)、OSCAR(神通)、HIGHGO(汉高)等协议进行完整的透明转发,特别是对图形化操作协议的转发性能远远优于其它同类型产品。
丰富实时的报表系统
报表系统实时产生,且支持多种业务维度。
系统提供多种报表格式,包括 PDF、Word、Execl、HTML、PPT。
系统提供直接 HTML 打印。
完善的系统安全设计
精简的内核和优化的 TCP/IP 协议栈;
基于 HTTPS/SSL 的自身安全管理与审计;
严格的安全访问控制和管理员身份认证支持强认证;
审计信息加密存储;
口令信息加密存储;
完善的审计信息备份机制;
完整全面的自审计功能;
一键 OEM 支持
系统提供对外 OEM 一键支持功能,第三方厂商可以很方便的定制产品标签。
六、产品参数设备型号
| 主要指标
| 性能参数
|
GK6100
| >CPU:phytium FT1500a
>内存:8G
>6 个千兆电口
>2 个千兆光口
>单电源、支持 1T 硬盘
|
授权设备: 200
最大并发会话数:200
|
七、成功案例某市三甲人民医院网络设备、服务器、存储设备等it资产数量庞大、种类繁多,同时维护人员管理难度大、设备维护安全级别要求高、设备故障快速处理压力大,帐号管理混乱,存在共用帐号和无法有效记录实施和运维人员的操作过程等问题。通过部署我司堡垒机,提供完善的身份管理和认证,确保可信用户才能进行操作。实现了对主机、服务器、网络设备、安全设备、数据库等访问的控制和操作审计,大大提高了网络的安全性,有效的控制了网络内可能发生的违规行为。