天玥网络安全审计系统(业务堡垒机)产品介绍解读课件.ppt

1、13操作人员操作人员系统与设备系统与设备传统运维工作三楼楼长系统账号系统账号系统管理员数据库管理员安全管理员厂商代维人员系统账号系统账号4关键问题关键关键问题问题共享共享帐号帐号访问访问控制控制权限权限控制控制操作操作审计审计5关键问题-共享账号帐号不具有唯一性密码难以管理责任难以认定节约了帐号管理成本降低了本地溢出的风险共享账号6关键问题-访问控制usernamepasswordusernamepassword7关键问题-权限控制IP层的访问控制措施rootpasswordrm-rf xx.xxtelnet xx.xx.xxdelete from xx8关键问题-操作审计时间时间1 1源源I

2、P1IP1源源MAC1MAC1系统账号系统账号1 1commandscommands时间时间2 2源源IP2IP2源源MAC2MAC2系统账号系统账号2 2commandscommands时间时间3 3源源IP3IP3源源MAC3MAC3系统账号系统账号3 3commandscommands用户账单用户账单被修改被修改1.1.无法分析跳转行为；无法分析跳转行为；2.2.无法实现操作日志无法实现操作日志与用户身份的关联；与用户身份的关联；9需求描述-1 集中管理集中管理 集中管理用户、设备、系统账号；集中管理用户、系统账号的密码；所有用户集中登录、集中认证；集中配置账号密码策略、访问控制策略；集

3、中管理所有用户操作记录；访问控制访问控制 根据用户角色设置分组访问控制策略；实现“用户系统系统账号”的对应关系；实现实体级的访问控制授权；10需求描述-2 权限控制权限控制 可设置以命令为基础的权限控制策略；实现命令级别的实体内授权；操作审计操作审计 以用户身份为依据，真实完整的记录每个用户的所有操作行为；精确到命令的审计机制；对用户的操作进行仿真回放；记录加密维护协议SSH数据。12设计原理-安全小区模型草坪草坪垃圾筒垃圾筒垃圾筒垃圾筒花园花园住住户户namename园园丁丁namewhowhere/what收垃圾收垃圾锄草工锄草工住住户户住住户户name13操作管理-核心要素与内容集中管理

4、访问控制权限控制审计14天玥IV型的主要功能按职能定义策略按职能定义策略用户与资源对应用户与资源对应执行访问控制策略执行访问控制策略选择用户或分组选择用户或分组按权限定义命令按权限定义命令选择响应方式选择响应方式按部门分配资源按部门分配资源集中管理各种资源集中管理各种资源集中管理账号口令集中管理账号口令按条件进行检索按条件进行检索按条件生成报表按条件生成报表按条件进行回放按条件进行回放集中管理权限控制访问控制操作审计15天玥IV工作原理天玥天玥IV认证，身份识别认证，身份识别Web登录登录SSH客户端客户端登录登录参数配置参数配置口令修改口令修改自服务界面自服务界面会话浏览会话浏览会话回放会话

5、回放日志查询日志查询报表展现报表展现审计界面审计界面全局策略全局策略密码策略密码策略用户管理用户管理设备管理设备管理账号管理账号管理部门管理部门管理授权管理授权管理权限控制权限控制配置界面配置界面SSH/telnet设备设备Shell Portal根据分组授权根据分组授权显示设备列表显示设备列表通过代填登录通过代填登录定期修改口令定期修改口令堡垒机程序记录用户屏幕堡垒机程序记录用户屏幕操作操作16集中管理集中登录需要从网络层做访问控制，保证所有的用户只能通过天玥需要从网络层做访问控制，保证所有的用户只能通过天玥IVIV来访问所有的资源。来访问所有的资源。17集中管理二次登录天玥天玥IVDevi

6、ce2:IP2Device3:IP3主账号登主账号登录录Device1:IP1account2account3SSH/telnet设备设备Device1:IP1，telnet服务服务Device1:IP1堡垒机模拟堡垒机模拟telnet/SSH终端，代填终端，代填IP1地址与地址与account1账号的口令，账号的口令，完成从账号完成从账号的登录。的登录。account118集中管理身份管理系统认证系统认证=系统账号系统账号系统授权系统授权天玥天玥IV用户帐号用户帐号身份认证身份认证系统帐号系统帐号系统授权系统授权19集中管理角色管理 根据工作职能给用户分配角色；根据工作职能给用户分配角色；账

7、号管理员 配置管理员 审计管理员 普通用户 真正实现三权分立。真正实现三权分立。20集中管理部门管理 完善的分级权限管理：根据人员、资源完善的分级权限管理：根据人员、资源所处部门（系统）的不同，实现二级部所处部门（系统）的不同，实现二级部门的分权限管理。二级部门内的管理员门的分权限管理。二级部门内的管理员只能管理本部门内的资源。只能管理本部门内的资源。21集中管理自然人账号管理 为维护人员分配惟一标识其身份的账号；为维护人员分配惟一标识其身份的账号；账号属性管理：账号属性管理：登录名 真实姓名 邮箱地址（接收初始化密码）有效期限 所属部门 账号状态（活动/禁用）角色22集中管理设备管理 集中管

8、理所有资源：集中管理所有资源：设备名称 IP地址 登录协议/端口 所属部门 设备类型 可定制化的自动登录脚本（用户堡垒机到设备的二次登录）对跳转设备（Oracle/BSC等）的支持23集中管理系统账号管理 集中管理所有设备内部的系统账号；集中管理所有设备内部的系统账号；系统账号名称 系统账号密码（如果启用，可由堡垒机完成到设备的二次登录）定期修改该账号的密码 所属设备 修改密码时采用的密码策略24集中管理账号口令管理 用户口令管理：用户口令管理：创建用户时，可按用户密码策略给该用户生成强壮的口令；该口令可以通过预设邮箱发送给用户，也可以由管理员手工管理并通知该用户；设备账号口令管理：设备账号口

9、令管理：新增设备账号时，需手工同步该账号的密码；然后即可按照不同级别的设备账号密码策略进行定期修改，并以加密的方式发送给密码保管员。25集中管理密码策略管理26集中管理数据的导入导出 可以对用户列表、设备列表、设备账号可以对用户列表、设备列表、设备账号列表、部门列表进行批量导入导出，节列表、部门列表进行批量导入导出，节省管理员管理成本；省管理员管理成本；提供导入模版供下载参考。提供导入模版供下载参考。27访问控制who-用户用户where-可访问设备可访问设备account-设备权限设备权限严格的严格的访问控制列表访问控制列表28访问控制创建访问控制列表 先创建分组，再选择分组内所管辖的用先创

10、建分组，再选择分组内所管辖的用户与资源账号。户与资源账号。29访问控制执行访问控制策略 用户使用自己的账号登录天玥用户使用自己的账号登录天玥IV时，天时，天玥玥IV只反馈给该用户所属分组范围内设只反馈给该用户所属分组范围内设备。备。30 可按用户或分组创建命令防火墙策略；可按用户或分组创建命令防火墙策略；可调整防火墙策略的优先级；可调整防火墙策略的优先级；严格限制用户进入设备之后的命令执行。严格限制用户进入设备之后的命令执行。权限控制创建命令防火墙策略31权限控制执行命令防火墙策略32操作审计会话与命令审计 可显示会话的开始、结束时间、用户名、可显示会话的开始、结束时间、用户名、源源IP、会话

11、状态，可查看该会话的命令、会话状态，可查看该会话的命令、命令输出，并对会话进行回放。命令输出，并对会话进行回放。回放过程中可进行暂停、继续。回放过程中可进行暂停、继续。支持各种功能键（支持各种功能键（TAB，上下箭头，回，上下箭头，回退等）扩展后的命令和输出结果。退等）扩展后的命令和输出结果。可区分用户的输入命令和输出结果；输可区分用户的输入命令和输出结果；输入与输出分开，输出信息可以显示概要。入与输出分开，输出信息可以显示概要。可对实时会话进行标识。可对实时会话进行标识。33操作审计会话回放34操作审计SFTP操作审计 可记录会话开始时间、登录用户名、源可记录会话开始时间、登录用户名、源IP

12、地址，可查看地址，可查看sftp会话的细节（访问目会话的细节（访问目录、上传下载文件信息等）。录、上传下载文件信息等）。35操作审计精确检索 可按时间段、目标主机、系统账号、用可按时间段、目标主机、系统账号、用户和关键字为条件进行查询。支持通配户和关键字为条件进行查询。支持通配符。符。36操作审计完美呈现 可按用户或分组进行报表展示，可显示可按用户或分组进行报表展示，可显示具体用户或分组的具体用户或分组的web登录次数、登录次数、ssh登登录次数、录次数、sftp登录次数以及登录次数以及ssh命令数量。命令数量。可生成多种审计视图。可生成多种审计视图。37系统自管理AD域账号同步 提供提供AP

13、I接口，可以被其他管理平台调用；接口，可以被其他管理平台调用；提供与提供与LDAP账号数据库同步的接口。账号数据库同步的接口。38系统自管理SSH证书管理 针对针对ssh设备，可生成设备账号的设备，可生成设备账号的ssh证书，证书，这样堡垒机与这样堡垒机与ssh设备可直接通过证书交设备可直接通过证书交互完成二次认证，比密码认证更加安全。互完成二次认证，比密码认证更加安全。39系统自管理双机热备与数据同步 通过通过HA保证系统的高可用性；保证系统的高可用性；主备系统之间可以进行手工与自动数据主备系统之间可以进行手工与自动数据同步。同步。40系统自管理邮件服务器配置 通过配置第三方的邮件服务器，可

14、以给通过配置第三方的邮件服务器，可以给普通用户发送口令密码，给密码保管员普通用户发送口令密码，给密码保管员发送设备账号修改后的密码。发送设备账号修改后的密码。42适用场景 解决用户在维护大量解决用户在维护大量Unix/Linux主机主机、网络设网络设备备时面临的集中控制、帐号与口令的管理、操时面临的集中控制、帐号与口令的管理、操作记录等问题，特别是针对加密协议作记录等问题，特别是针对加密协议SSH的记的记录。录。支持支持telnet和和SSH设备，扩展支持命令行方式的设备，扩展支持命令行方式的Oracle维护、图形化的维护、图形化的sftp工具。工具。适用行业：适用行业：电信运营商 金融 门户

15、网站运营商 网络游戏服务提供商。43部署方式单级部署Internet文件服务器文件服务器 Web服务器服务器 数据库系统数据库系统 应用服务器应用服务器HA44部署方式分布式部署业务人员业务人员内部维护人员内部维护人员外包人员外包人员内部工作人员内部工作人员45产品优势 服务器服务器：AIXAIX、HPUXHPUX、SUNSUN、SCO UNIXSCO UNIX、LinuxLinux 网络设备网络设备：CISCOCISCO、JUNIPERJUNIPER、华为、华为 存储设备存储设备：NetappNetapp 、EMCEMC等等 交换传输设备交换传输设备：华为、：华为、NOKIANOKIA、西门

16、子等、西门子等键盘输入命令和屏幕的输键盘输入命令和屏幕的输出结果出结果多台机器间跳转操作的关多台机器间跳转操作的关联记录联记录支持加密传输（支持加密传输（SSHSSH）的操）的操作记录作记录支持文本编辑软件（支持文本编辑软件（vivi）操作记录操作记录支持各种交互式命令（支持各种交互式命令（SQLSQL）操作操作支持各种功能键的扩展支持各种功能键的扩展（TABTAB，ESCESC补齐，回退补齐，回退,删除删除,上下箭头等）上下箭头等）支持命令的粘贴支持命令的粘贴支持组合命令支持组合命令 命令的具体时间点和时间命令的具体时间点和时间段段 用户账号，系统账号，服用户账号，系统账号，服务器务器 输入

17、的命令与输入的命令与输出结果做输出结果做全文检索全文检索 不需要用户端安装代理软不需要用户端安装代理软件件 不需要被管理设备上安装不需要被管理设备上安装代理软件代理软件 不需要调整用户网络不需要调整用户网络 所有配置只在一台设备上所有配置只在一台设备上完成完成一体化合归性解决方案最佳实践47成功案例 新疆移动（网管中心新疆移动（网管中心/新业务开发中心）新业务开发中心）广东移动（省计费中心）广东移动（省计费中心）福建移动（省网管中心福建移动（省网管中心/信息中心）信息中心）佛山移动（网管中心佛山移动（网管中心/IDC）珠海移动（网管中心）珠海移动（网管中心）广东电信（智能网）广东电信（智能网）广东网通（广东网通（DCN）河北网通（网管网）河北网通（网管网）48欢 迎 光 临 启 明 星 辰 大 厦 参 观 指 导！谢谢！谢谢！