集團(tuán)公司網(wǎng)絡(luò)安全解決方案

集團(tuán)公司網(wǎng)絡(luò)安全設(shè)計(jì)方案集團(tuán)公司網(wǎng)絡(luò)安全設(shè)計(jì)方案 叮叮小文庫 2 一一 方案概述方案概述 集團(tuán)公司網(wǎng)絡(luò)規(guī)模日益擴(kuò)大 下屬幾十家分公司都將與集團(tuán)實(shí)現(xiàn)聯(lián)網(wǎng) 使用一套集 團(tuán)財(cái)務(wù)系統(tǒng) 根據(jù) IT 規(guī)劃要求 為有效保障公司網(wǎng)絡(luò)暢通 數(shù)據(jù)安全 集團(tuán)公司需 要構(gòu)建一個(gè)嚴(yán)密的整體的網(wǎng)絡(luò)安全系統(tǒng) 該系統(tǒng)包括四個(gè)主要方面 一 設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)優(yōu)化方案及建立網(wǎng)絡(luò)系統(tǒng)持續(xù)完善機(jī)制 二 建立智能化數(shù)據(jù)容災(zāi)系統(tǒng) 三 建立高效全面的病毒預(yù)防系統(tǒng) 四 建立科學(xué)合理的管理制度體系 二二 方案實(shí)現(xiàn)目標(biāo)方案實(shí)現(xiàn)目標(biāo) 通過該系統(tǒng)的建設(shè)實(shí)現(xiàn)以下功能目標(biāo) 1 實(shí)現(xiàn)集團(tuán)對(duì)網(wǎng)絡(luò)病毒的統(tǒng)一防護(hù) 讓網(wǎng)絡(luò)管理人員可以清晰的管理到內(nèi)部病毒防 護(hù)系統(tǒng)的部署情況 有病毒爆發(fā)時(shí)可以及時(shí)確定病毒發(fā)作范圍 并可以直接進(jìn)行隱 患清除工作 集團(tuán)可以統(tǒng)一部署和執(zhí)行安全防護(hù)策略 2 對(duì)集團(tuán)機(jī)房較為重要的服務(wù)器和應(yīng)用系統(tǒng)進(jìn)行容災(zāi)備份 當(dāng)服務(wù)器故障時(shí) 可以有 效的快速啟動(dòng)替代系統(tǒng) 并在故障清除后快速恢復(fù)系統(tǒng)和數(shù)據(jù) 3 對(duì)于集團(tuán)數(shù)據(jù)庫系統(tǒng) 因關(guān)聯(lián)使用的用戶多且分布各不同下屬單位 應(yīng)使用有效措 施來防范數(shù)據(jù)庫的使用安全 防范數(shù)據(jù)被惡意使用或篡改 4 因集團(tuán)機(jī)房部署不同部門和下屬公司的服務(wù)器 各部門都需要運(yùn)維自己的服務(wù)器 有必要對(duì)服務(wù)器的使用進(jìn)行安全審計(jì)和使用記錄 防范來自使用服務(wù)器帶來的風(fēng)險(xiǎn) 三三 安全產(chǎn)品推薦選型安全產(chǎn)品推薦選型 項(xiàng)目項(xiàng)目品牌品牌型號(hào)型號(hào)實(shí)現(xiàn)目標(biāo)實(shí)現(xiàn)目標(biāo) 企業(yè)版防病毒企業(yè)版防病毒趨勢趨勢 OfficeScanOfficeScan 全網(wǎng)病毒統(tǒng)一防護(hù)和統(tǒng)一安全全網(wǎng)病毒統(tǒng)一防護(hù)和統(tǒng)一安全 管理管理 服務(wù)器容災(zāi)備份服務(wù)器容災(zāi)備份 NOVELLNOVELL PlateSpinPlateSpin ForgeForge 對(duì)服務(wù)器進(jìn)行實(shí)時(shí)災(zāi)備對(duì)服務(wù)器進(jìn)行實(shí)時(shí)災(zāi)備 服務(wù)器服務(wù)器 故障時(shí)實(shí)現(xiàn)緊急替代和快速恢故障時(shí)實(shí)現(xiàn)緊急替代和快速恢 復(fù)復(fù) 數(shù)據(jù)庫審計(jì)數(shù)據(jù)庫審計(jì)安恒安恒 DAS AC1000DAS AC1000 對(duì)數(shù)據(jù)庫使用進(jìn)行安全審計(jì)對(duì)數(shù)據(jù)庫使用進(jìn)行安全審計(jì) 防防 護(hù)對(duì)數(shù)據(jù)庫的惡意侵入和篡改護(hù)對(duì)數(shù)據(jù)庫的惡意侵入和篡改 保壘機(jī)保壘機(jī)齊治齊治SHTERM L4 對(duì)使用機(jī)房內(nèi)服務(wù)器的人員的對(duì)使用機(jī)房內(nèi)服務(wù)器的人員的 使用行為進(jìn)行規(guī)范管理和審計(jì)使用行為進(jìn)行規(guī)范管理和審計(jì) 記錄記錄 防范服務(wù)器內(nèi)部使用風(fēng)險(xiǎn)防范服務(wù)器內(nèi)部使用風(fēng)險(xiǎn) 叮叮小文庫 3 四四 方案簡述方案簡述 1 網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)拓?fù)鋱D 2 信息安全設(shè)備物理分布圖信息安全設(shè)備物理分布圖 叮叮小文庫 4 3 產(chǎn)品說明 產(chǎn)品說明 1 IT 運(yùn)維堡壘機(jī)接在核心交換機(jī)上 通過細(xì)粒度的安全管控策略 保證企業(yè)的服務(wù)器 網(wǎng)絡(luò)設(shè)備 數(shù)據(jù)庫 安全設(shè)備等安全可靠運(yùn)行 降低人為安全風(fēng)險(xiǎn) 避免安全損失 保障 企業(yè)效益 管理員可直觀方便的監(jiān)控各種訪問行為 能夠及時(shí)發(fā)現(xiàn)違規(guī)操作 權(quán)限濫用等 2 數(shù)據(jù)庫審計(jì)設(shè)備接在核心交換機(jī)上 全面記錄數(shù)據(jù)庫訪問行為 識(shí)別越權(quán)操作等違 規(guī)行為 并完成追蹤溯源 檢測數(shù)據(jù)庫配置弱點(diǎn) 發(fā)現(xiàn) SQL 注入等漏洞 提供解決建議 為數(shù)據(jù)庫安全管理與性能優(yōu)化提供決策依據(jù) 提供符合法律法規(guī)的報(bào)告 滿足等級(jí)保護(hù) 企業(yè)內(nèi)控等審計(jì)要求 3 OfficeSan 服務(wù)器接入核心交換機(jī)上 OfficeScan 可以根據(jù)大同公司的自己的 要求進(jìn)行策略部署 并針對(duì)未來而設(shè)計(jì)的彈性架構(gòu) 可讓您透過插件來自定義 您的威脅防護(hù)與數(shù)據(jù)保護(hù) 4 Forge 設(shè)備部署在核心交換機(jī) 可同時(shí)對(duì) 25 臺(tái)服務(wù)器做備份 一旦一臺(tái) 或多臺(tái)生產(chǎn)服務(wù)器出現(xiàn)故障 該應(yīng)用即刻在 Forge 上運(yùn)行接管業(yè)務(wù) 五五 方案子系統(tǒng)介紹方案子系統(tǒng)介紹 1 1 趨勢科技網(wǎng)絡(luò)版防病毒軟件趨勢科技網(wǎng)絡(luò)版防病毒軟件 OfficeScan 趨勢科技的 OfficeScan 網(wǎng)絡(luò)版防病毒產(chǎn)品將管理 配置與部署的功能集中到服務(wù)器端 Officescan 服務(wù)器端 透過 Officescan 服務(wù)器端的 Web 接口的管理主控臺(tái) 管理人員 可以從網(wǎng)絡(luò)上的任何地點(diǎn) 來管理和設(shè)置全公司的防毒策略 每一臺(tái)計(jì)算機(jī)都安裝了 Officescan 客戶端防病毒軟件 并且也能迅速響應(yīng)各種緊急事件 綜合性的防護(hù)能力 綜合性的防護(hù)能力 免受病毒 特洛伊 蠕蟲和現(xiàn)在的間諜軟件的攻擊 同時(shí)具備防火墻 和入侵檢測的能力 支持防護(hù)策略的自動(dòng)支持防護(hù)策略的自動(dòng) 手動(dòng)配置 手動(dòng)配置 有效控制病毒擴(kuò)散 通過主控服務(wù)器 在設(shè)定的時(shí)間段內(nèi) 關(guān)閉所有客戶機(jī)的共享文件 特定端口 保護(hù)文件或文件夾不被病毒修改 防火墻策略應(yīng)用程序的備用服務(wù)器 防火墻策略應(yīng)用程序的備用服務(wù)器 客戶計(jì)算機(jī)可能無法連接到防毒墻網(wǎng)絡(luò)版服務(wù)器 但 仍可連接到您指定的備用防毒墻網(wǎng)絡(luò)版服務(wù)器上 以提供防火墻策略更新 叮叮小文庫 5 集成專殺工具 集成專殺工具 病毒專殺工具和客戶端防病毒軟件無縫集成 專殺工具的掃描引擎和病毒 碼可以自動(dòng)更新 完全擺脫傳統(tǒng)防病毒軟件需要獨(dú)立使用專殺工具 并且每一個(gè)病毒都有 特定的專殺工具 造成數(shù)量巨大 防御間諜軟件和其他類型的灰色軟件防御間諜軟件和其他類型的灰色軟件 防毒墻網(wǎng)絡(luò)版可以幫助保護(hù)您的計(jì)算機(jī)遠(yuǎn)離被趨勢 科技視為灰色軟件的各種威脅和損害 包括眾所周知的類型 間諜軟件 臨界間諜軟件臨界間諜軟件 灰色軟件例外列表 灰色軟件例外列表 防毒墻網(wǎng)絡(luò)版可能將特定類型的文件識(shí)別為灰色軟件 盡管您計(jì)算機(jī)上合法的應(yīng)用程序可能需要使用這些文件 為防止防毒墻網(wǎng)絡(luò)版將這些文件 識(shí)別為灰色軟件 可以配置應(yīng)用于所有掃描類型的臨界間諜軟件 灰色軟件例外列表 實(shí)時(shí)更新病毒日志 實(shí)時(shí)更新病毒日志 方便而簡單的配置管理與實(shí)時(shí)報(bào)告 自動(dòng)更新 自動(dòng)更新 先進(jìn)的自動(dòng)更新技術(shù) 無須管理員與用戶的手動(dòng)操作 不需要重新啟動(dòng) 支持客 戶端自行上互聯(lián)網(wǎng)更新防毒組件 靈活的更新代理設(shè)置 靈活的更新代理設(shè)置 通過設(shè)定網(wǎng)絡(luò)中任意計(jì)算機(jī)做為病毒碼更新源 將其它計(jì)算機(jī)指定 到該計(jì)算機(jī)更新 以節(jié)省網(wǎng)絡(luò)帶寬 對(duì)低帶寬網(wǎng)絡(luò)環(huán)境特別有效 檢測為安裝防病毒軟件的計(jì)算機(jī) 檢測為安裝防病毒軟件的計(jì)算機(jī) 支持網(wǎng)段掃描偵測尚未安裝 OfficeScan 的用戶機(jī) 強(qiáng)大的數(shù)據(jù)庫管理 強(qiáng)大的數(shù)據(jù)庫管理 支持將紀(jì)錄數(shù)據(jù)導(dǎo)入 SQL 服務(wù)器方便數(shù)據(jù)分析與管理 靈活的客戶端遷移 靈活的客戶端遷移 支持在客戶端可以在不同的 OfficeScan 服務(wù)器中轉(zhuǎn)移 不需重新安裝 定位病毒源頭病毒定位病毒源頭病毒 客戶機(jī)的排行榜功能 幫助網(wǎng)管了解毒源 善后處理 報(bào)告領(lǐng)導(dǎo) 支持多種支持多種 WebWeb Server Server IIS 和 Apache 部署建議 部署建議 OfficescanOfficescan 可以針對(duì) WindowsWindows 全系列全系列防范病毒 趨勢科技網(wǎng)絡(luò)版防病毒軟件的組織架趨勢科技網(wǎng)絡(luò)版防病毒軟件的組織架 構(gòu)為 構(gòu)為 通過一臺(tái) Officescan 服務(wù)器去遠(yuǎn)程的控制和管理局域網(wǎng)內(nèi)部 甚至廣域網(wǎng)中 Officescan 客戶端 OfficescanOfficescan 客戶端可以通過多種方式安裝到計(jì)算機(jī)上 客戶端可以通過多種方式安裝到計(jì)算機(jī)上 1 通過網(wǎng)頁遠(yuǎn)程自動(dòng)下載安裝 2 通過制作 Officescan 客戶端安裝包安裝 3 通過共享文件夾方式安裝 叮叮小文庫 6 4 通過集成 Windows 域自動(dòng)安裝客戶端 5 通過微軟 SMS 安裝 如此部署 OfficeScan 就可以為網(wǎng)絡(luò)內(nèi)部計(jì)算機(jī)提供綜合性的安全防護(hù) 免受病毒 特 洛伊 蠕蟲和現(xiàn)在的間諜軟件的攻擊 以及具備防火墻和入侵檢測的能力 從根本上對(duì)應(yīng) 用層的病毒文件以及網(wǎng)絡(luò)層的病毒數(shù)據(jù)包進(jìn)行防護(hù) 同時(shí)防護(hù)各種對(duì)于計(jì)算機(jī)的攻擊 2 2 NovellNovell PlateSpinPlateSpin ForgeForge 服務(wù)器災(zāi)備保護(hù)產(chǎn)品方案服務(wù)器災(zāi)備保護(hù)產(chǎn)品方案 Novell PlateSpin Forge是一個(gè)整合式的系統(tǒng)恢復(fù)硬件設(shè)備 通過采用內(nèi)置虛擬化 技術(shù)來保護(hù)實(shí)際物理和虛擬服務(wù)器工作負(fù)載 在生產(chǎn)服務(wù)器停止運(yùn)轉(zhuǎn)或發(fā)生故障時(shí) 工作 負(fù)載可在PlateSpin Forge恢復(fù)環(huán)境中快速通電 并繼續(xù)正常運(yùn)行 直到生產(chǎn)環(huán)境恢復(fù) 采用單臺(tái)PlateSpin Forge 設(shè)備可保護(hù)和恢復(fù)最多達(dá)25個(gè)物理和虛擬工作負(fù)載 使用PlateSpin Forge 客戶可以保護(hù)多個(gè)地理位置分散的多達(dá)25臺(tái)服務(wù)器的工作負(fù)載 并在服務(wù)器出現(xiàn)故障時(shí)予以快速恢復(fù) 通過使用PlateSpin Forge綜合恢復(fù)平臺(tái) 客戶能夠 更好地保護(hù)更多的工作負(fù)載 但無需支付高昂的復(fù)制硬件或冗余操作系統(tǒng)授權(quán)許可費(fèi)用 PlateSpin Forge不需要通過成本高昂的一對(duì)一硬件和軟件冗余保護(hù)數(shù)據(jù)中心資產(chǎn) 從而實(shí) 現(xiàn)了革命性的業(yè)務(wù)持續(xù)性 生產(chǎn)服務(wù)器可備份到虛擬機(jī) 而成本只是傳統(tǒng)災(zāi)難恢復(fù)解決方 案的一部分 而且可以更快 更輕松地實(shí)現(xiàn)恢復(fù) 除了標(biāo)準(zhǔn)文件類復(fù)制外 高速塊級(jí)復(fù)制允許企業(yè)客戶保護(hù)高級(jí)業(yè)務(wù)工作負(fù)載 如電子郵 件和數(shù)據(jù)庫服務(wù)器 有效增加傳輸可確保僅源數(shù)據(jù)文件變化被復(fù)制到PlateSpin Forge遠(yuǎn)程 恢復(fù)環(huán)境中 從而減少了廣域網(wǎng)的使用并使各大組織能夠在最少數(shù)據(jù)丟失情況下有效滿足 數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo) RPO 叮叮小文庫 7 快速容易的故障恢復(fù)計(jì)劃和過程的完整性 使用PlateSpin Forge可實(shí)現(xiàn)對(duì)服務(wù)器工作負(fù)載以多達(dá)28個(gè)歷史恢復(fù)點(diǎn)的方式進(jìn)行保護(hù) 備份 只需單擊測試恢復(fù)按鈕 即可快速容易地測試備份和恢復(fù)計(jì)劃的完整性 在進(jìn)行故 障恢復(fù)測試時(shí) 可選擇保護(hù)備份的任一快照并且在一個(gè)隔離的專用內(nèi)部網(wǎng)中啟動(dòng)運(yùn)行 這 允許用戶快速確認(rèn)恢復(fù)計(jì)劃和相關(guān)業(yè)務(wù)服務(wù) 而又不至于中斷生產(chǎn)服務(wù)器工作負(fù)載 一旦 確認(rèn)故障恢復(fù)計(jì)劃 PlateSpin Forge將屏棄測試過程中在恢復(fù)工作負(fù)載快照上發(fā)生的任何 變化 并恢復(fù)工作負(fù)載復(fù)制 基于WEB瀏覽器方式的多種監(jiān)控 報(bào)告和操作報(bào)警進(jìn)行控制 PlateSpin Forg 提供基于 Web 方式的單一管理界面 便于 IT 運(yùn)營專家隨時(shí)查看其保護(hù)計(jì) 劃狀況并管理 監(jiān)控和報(bào)告所有工作負(fù)載保護(hù)事宜 在生產(chǎn)服務(wù)器停機(jī)或發(fā)生故障時(shí) PlateSpin Forge 將以電子郵件方式自動(dòng)警示管理員 通過個(gè)人計(jì)算機(jī) Blackberry 或其 它移動(dòng)裝置點(diǎn)擊電子郵件內(nèi)的鏈接可執(zhí)行上下文相操作 多種報(bào)告功能可使管理員和 業(yè)主清楚地掌握保護(hù)資源的使用方式 用戶可報(bào)告實(shí)際對(duì)抗目標(biāo)恢復(fù)時(shí)間和恢復(fù)點(diǎn)目標(biāo) 復(fù)制窗口和數(shù)據(jù)傳輸速率 保護(hù)日志顯示成功的復(fù)制和恢復(fù)測試 從而提供了滿足定制服 務(wù)級(jí)協(xié)議或合規(guī)性所需的審計(jì)能力 叮叮小文庫 8 PlateSpin Forge 提供一個(gè)始終存在儀表盤 可讓 IT 操作專家隨時(shí)觀察其保護(hù)計(jì)劃狀況 并管理 監(jiān)控和報(bào)告所有的工作負(fù)載保護(hù)和恢復(fù)事宜 叮叮小文庫 9 一鍵故障恢復(fù)和靈活的災(zāi)難恢復(fù)方案 單擊運(yùn)行恢復(fù)工作負(fù)載 可根據(jù)需要將其恢復(fù)到相同或不同的硬件 在生產(chǎn)服務(wù)器停機(jī)或發(fā)生故障時(shí) 通過單擊故障恢復(fù)可快速恢復(fù)受保護(hù)的工作負(fù)載 僅 重新連接會(huì)話 并且 PlateSpin Forge將驗(yàn)收工作負(fù)載 當(dāng)生產(chǎn)環(huán)境恢復(fù)時(shí) 該工作負(fù)載 可繼續(xù)在PlateSpin Forge恢復(fù)設(shè)備上正常運(yùn)行 一旦生產(chǎn)環(huán)境聯(lián)機(jī) PlateSpin Forge還可 提供靈活的工作負(fù)載恢復(fù)方案 如果原始生產(chǎn)服務(wù)器修好并且硬件無損壞 用戶可通過一 個(gè)虛擬到物理 V2P 工作負(fù)載轉(zhuǎn)移操作將工作負(fù)載從虛擬恢復(fù)環(huán)境移回到原始硬件服務(wù)器 如果原始硬件不能修好 用戶可通過一個(gè)V2P轉(zhuǎn)移操作將工作負(fù)載轉(zhuǎn)移到新的硬件服務(wù)器 上 還可輕易將工作負(fù)載移到生產(chǎn)虛擬環(huán)境中 靈活的硬件獨(dú)立式恢復(fù)意味著新硬件可以 為不同品牌 型號(hào)或配置 叮叮小文庫 10 3 3 齊治運(yùn)維操作管理系統(tǒng)齊治運(yùn)維操作管理系統(tǒng) 通過 Shterm 的部署 可以有效的解決運(yùn)維部門當(dāng)前運(yùn)維過程中存在的各種 問題 以堡壘方式 形成統(tǒng)一的運(yùn)維入口 實(shí)現(xiàn)運(yùn)維操作的唯一路徑 引入主從帳號(hào)管理概念 使用戶認(rèn)證與系統(tǒng)授權(quán)分開 從而有效解決系統(tǒng) 帳號(hào)共享使用 帶來的身份不唯一的問題 基于用戶 設(shè)備 系統(tǒng)帳號(hào) 協(xié)議類型 登錄規(guī)則的嚴(yán)格訪問控制設(shè)置 有效規(guī)避了非授權(quán)訪問帶來的問題 密碼托管和自動(dòng)改密 使得密碼管理規(guī)范能有效落地 避免了因人員的流 動(dòng)還會(huì)導(dǎo)致設(shè)備密碼存在外泄的風(fēng)險(xiǎn) 能完整記錄運(yùn)維人員的操作過程 當(dāng)系統(tǒng)因人為操作導(dǎo)致故障的時(shí)候 能 夠快速定位故障原因和責(zé)任人 可以滿足等保 SOX ISO270001 BS7799 等安全規(guī)范對(duì)運(yùn)維操作管理的 要求 1 總設(shè)計(jì)思路總設(shè)計(jì)思路 因?yàn)椴僮鞯娘L(fēng)險(xiǎn)來源于各個(gè)方面 所以必須要從能夠影響到操作的各個(gè)層 面去降低風(fēng)險(xiǎn) 齊治運(yùn)維操作管理系統(tǒng) Shterm 采用操作代理 網(wǎng)關(guān) 方式 實(shí)現(xiàn)集中管理 對(duì)身份 訪問 審計(jì) 自動(dòng)化操作等統(tǒng)一進(jìn)行有效管理 真正 幫助用戶最小化運(yùn)維操作風(fēng)險(xiǎn) 集中管理是前提 集中管理是前提 只有集中以后才能夠?qū)崿F(xiàn)統(tǒng)一管理 只有集中管理才能 叮叮小文庫 11 把復(fù)雜問題簡單化 分散是無法談得上管理的 集中是運(yùn)維管理發(fā)展的必然趨 勢 也是唯一的選擇 身份管理是基礎(chǔ) 身份管理是基礎(chǔ) 身份管理解決的是維護(hù)操作者的身份問題 身份是用來 識(shí)別和確認(rèn)操作者的 因?yàn)樗械牟僮鞫际怯脩舭l(fā)起的 如果我們連操作的用 戶身份都無法確認(rèn) 那么不管我們?cè)趺纯刂?怎么審計(jì)都無法準(zhǔn)確的定位操作 責(zé)任人 所以身份管理是基礎(chǔ) 訪問控制是手段 訪問控制是手段 操作者身份確定后 下一個(gè)問題就是他能訪問什么資源 你能在目標(biāo)資源上做什么操作 如果操作者可以隨心所欲訪問任何資源 在資 源上做任何操作 就等于沒了控制 所以需要通過訪問控制這種手段去限制合 法操作者合法訪問資源 有效降低未授權(quán)訪問所帶來的風(fēng)險(xiǎn) 操作審計(jì)是保證 操作審計(jì)是保證 操作審計(jì)要保證在出了事故以后快速定位操作者和事故 原因 還原事故現(xiàn)場和舉證 另外一個(gè)方面操作審計(jì)做為一種驗(yàn)證機(jī)制 驗(yàn)證 和保證集中管理 身份管理 訪問控制 權(quán)限控制策略的有效性 自動(dòng)運(yùn)維是目標(biāo) 自動(dòng)運(yùn)維是目標(biāo) 操作自動(dòng)化是運(yùn)維操作管理的終極目標(biāo) 通過讓該功能 可讓堡壘機(jī)自動(dòng)幫助運(yùn)維人員執(zhí)行各種常規(guī)操作 從而達(dá)到降低運(yùn)維復(fù)雜度 提高運(yùn)維效率的目的 2 操作網(wǎng)關(guān)方式部署操作網(wǎng)關(guān)方式部署 集中管理是實(shí)現(xiàn)運(yùn)維操作安全管理的首要前提 針對(duì)當(dāng)前核心設(shè)備分散管理的現(xiàn)狀 集中管理倡導(dǎo)的是一種統(tǒng)一管理的理 念 集中管理是未來運(yùn)維操作安全管理的必然趨勢 實(shí)現(xiàn)集中管理 關(guān)鍵點(diǎn)在于對(duì)用戶原有的運(yùn)維環(huán)境不造成任何影響 綜合 各種部署方案 我們采用了 操作堡壘機(jī) 的部署方式 3 用好共享賬號(hào)用好共享賬號(hào) 在當(dāng)前的運(yùn)維環(huán)境中 普遍存在操作者身份無法識(shí)別的安全隱患 這主要 是由操作者共享使用核心設(shè)備上的系統(tǒng)賬號(hào)造成的 設(shè)備數(shù)量達(dá)到一定規(guī)模 必然會(huì)使用到共享賬號(hào) 共享賬號(hào)就是多人共同 使用同一個(gè)存在于設(shè)備上的系統(tǒng)賬號(hào) 使用共享賬號(hào)會(huì)讓整體賬號(hào)的數(shù)量最少 叮叮小文庫 12 但是僅僅依賴系統(tǒng)上的單一系統(tǒng)賬號(hào) 無法既能區(qū)分用戶身份 又能完成工作 角色的定位 如何準(zhǔn)確的區(qū)分用戶身份和工作角色 進(jìn)而實(shí)現(xiàn)操作者和具體的操作過程 一一對(duì)應(yīng) Shterm 將賬號(hào)的用戶身份確認(rèn)和系統(tǒng)工作角色功能分離 在 Shterm 上增 加了用戶賬號(hào) 完成用戶的身份確認(rèn) 原來系統(tǒng)上的賬號(hào)依然存在 但是作用 只是完成工作角色授權(quán)的工作賬號(hào) 用戶登錄 Shterm 是采用唯一的用戶賬號(hào) 然后根據(jù)工作角色的需要 轉(zhuǎn)換 成系統(tǒng)賬號(hào)登錄到被管理設(shè)備上 這樣既能夠保證整體賬號(hào)數(shù)量最少 管理方 便 同時(shí)又能夠?qū)崿F(xiàn)對(duì)用戶 工作角色的雙重定位 當(dāng)用戶加入 離職或崗位變動(dòng) 當(dāng)代維人員和原廠商進(jìn)行維護(hù)的時(shí)候 只 需要在 Shterm 上變更該用戶賬號(hào)即可 對(duì)系統(tǒng)上的系統(tǒng)賬號(hào)沒有任何影響 代維人員維護(hù)系統(tǒng)并不需要知道用戶系統(tǒng)的最高權(quán)限的系統(tǒng)帳號(hào)密碼 這 樣大大降低了管理風(fēng)險(xiǎn) 原廠商進(jìn)行臨時(shí)維護(hù)的時(shí)候只需要臨時(shí)分配一個(gè)用戶賬號(hào) 當(dāng)使用結(jié)束后 該賬號(hào)會(huì)自動(dòng)回收 減少了賬號(hào)管理的成本 4 訪問控制規(guī)則訪問控制規(guī)則 目前 用戶只要知道用戶名和密碼就可以任意訪問任意設(shè)備 這種現(xiàn)狀必然 會(huì)帶來 未授權(quán)訪問的安全風(fēng)險(xiǎn) 部署了 Shterm 后 情況就發(fā)生了變化 Shterm 邏輯上成為了用戶登錄的 唯一入口 因?yàn)槿肟谖ㄒ?訪問控制很容易配置了 相同工作任務(wù)的集合可以放置在一個(gè)訪問規(guī)則組里 當(dāng)用戶崗位 職責(zé)改 變時(shí) 對(duì)用戶相關(guān)聯(lián)的組 系統(tǒng)權(quán)限 可訪問設(shè)備通過 Web 的勾選 很容易調(diào) 整 根據(jù)工作內(nèi)容的需要 可以配置不同的許可或禁止的登錄策略 既可以設(shè) 定固定日期的登錄策略 也可以設(shè)定固定時(shí)間間隔的策略 還可以設(shè)定一天中 叮叮小文庫 13 指定時(shí)間段的策略 并且能夠針對(duì)具體的地址段進(jìn)行控制 Shterm 的訪問控制列表可以讓用戶一目了然的知道某臺(tái)設(shè)備上允許哪些用 戶登錄 某臺(tái)設(shè)備上的系統(tǒng)賬號(hào)有多少個(gè)用戶可以使用 另一方面 從安全運(yùn)維的角度分析 權(quán)限控制策略是從操作的層面上 降 低高危操作所帶來的安全風(fēng)險(xiǎn) 對(duì)于使用 Telnet SSH 等協(xié)議進(jìn)行遠(yuǎn)程管理的設(shè)備 各種網(wǎng)絡(luò)設(shè)備和 Unix 服務(wù)器 操作權(quán)限的多少取決于用戶可以執(zhí)行的命令 所以 針對(duì)操作指令 的控制才是核心 對(duì)于服務(wù)器設(shè)備操作 Shterm 可以對(duì)服務(wù)器的超級(jí)用戶 root 操作權(quán)限進(jìn) 行控制 即使是 root 用戶 權(quán)限也是受限制的 可以限制 root 用戶只能執(zhí)行 某些操作 白名單 和無法執(zhí)行某些操作 黑名單 當(dāng)多人同時(shí)使用一個(gè) root 賬號(hào)時(shí) Shterm 可以對(duì)同一個(gè)系統(tǒng)賬號(hào)進(jìn)行操 作權(quán)限再分配 保證使用同一個(gè) root 賬號(hào)的不同用戶擁有不同的操作指令權(quán)限 徹底解決了共享 root 賬號(hào)權(quán)限一致的情況 真正實(shí)現(xiàn)細(xì)粒度的操作權(quán)限控制 對(duì)于網(wǎng)絡(luò)設(shè)備操作 Shterm 可以保證即使多個(gè)用戶在進(jìn)入 enable 狀態(tài)的 時(shí)候 提供高于網(wǎng)絡(luò)設(shè)備系統(tǒng)更好級(jí)別的控制力度 保證每一個(gè)用戶的操作指 令都能嚴(yán)格受到控制 對(duì)于操作權(quán)限的控制意味著我們從被動(dòng)接受用戶輸入到了主動(dòng)控制 對(duì)于用戶的操作可以有 3 種執(zhí)行狀態(tài) 允許執(zhí)行 拒絕執(zhí)行 禁止執(zhí)行 對(duì)于高危命令 刪除 重起 關(guān)機(jī)等 可以實(shí)時(shí)告警 一旦高危操作觸發(fā) 會(huì)立即給相關(guān)人員發(fā)送告警郵件 保證用戶在第一時(shí)間內(nèi)知道高危操作是否對(duì) 系統(tǒng)造成了影響 5 完整操作審計(jì)完整操作審計(jì) 運(yùn)維操作審計(jì)是整個(gè) Shterm 解決方案的重要組成部分 管理員確定了以操 作網(wǎng)關(guān)方式來部署 解決了之前共享賬號(hào)的問題 配置了訪問規(guī)則 明確了操 作權(quán)限 那么最后也是最重要的就是操作和操作審計(jì) 叮叮小文庫 14 Shterm 支持的運(yùn)維操作方式和相應(yīng)的操作審計(jì)基本涵蓋了目前企業(yè)日常運(yùn) 維所涉及到的絕大部分操作模式 包括字符會(huì)話 圖形會(huì)話 Web Client 會(huì)話 文件傳輸 Oracle 數(shù)據(jù)庫操作審計(jì)等等 對(duì)不同會(huì)話采用不同的審計(jì)方式針對(duì)字符會(huì)話 Shterm 的審計(jì)功能會(huì)完全 記錄所有會(huì)話內(nèi)的輸入輸出 并可以使用模式方式對(duì)這些輸入輸出進(jìn)行查詢以 定位操作時(shí)間節(jié)點(diǎn)和操作內(nèi)容 對(duì)于圖形會(huì)話要采用全程的錄像和鍵盤鼠標(biāo)操 作的記錄 并在圖形會(huì)話回放的過程中同步的顯示出來 對(duì)于 Web Client 方式 的操作會(huì)話 也是目前非常主流的一種操作模式 Shterm 可以利用對(duì)于圖形會(huì) 話的審計(jì)方式來審計(jì) Web Client 方式的會(huì)話 即 既包括了圖形錄像也包括了 鍵盤鼠標(biāo)記錄 并且可以如圖形會(huì)話一樣 鍵盤輸入信息可以進(jìn)行完全的檢索 以便快速定位一個(gè)較長的審計(jì)錄像 針對(duì)文件傳輸 FTP SFTP 之類的上傳下 載 Shterm 支持全部的信息記錄 包含時(shí)間 人員 IP 等等信息 對(duì)于 Oracle 數(shù)據(jù)庫的操作審計(jì) 采用跳板機(jī)和應(yīng)用發(fā)布的方式 能夠把圖形方式操 作中的數(shù)據(jù)庫語句全部完成的審計(jì)到 Shterm 平臺(tái)內(nèi) 此外 Shterm 對(duì)審計(jì)人員本身也有嚴(yán)格要求 一方面 對(duì)審計(jì)人員的審計(jì) 操作 Shterm 有嚴(yán)格的記錄 審計(jì)管理員何時(shí)查閱了某個(gè)會(huì)話操作都要有明確 記錄 另一方面 Shterm 支持非全局性的操作審計(jì) 即 審計(jì)人員也沒有權(quán)利 審計(jì)所有的會(huì)話信息 因?yàn)闀?huì)話中可能包含了非常敏感甚至機(jī)密的企業(yè)信息 6 自動(dòng)化自動(dòng)化 日常運(yùn)維中經(jīng)常需要對(duì)一些操作進(jìn)行重復(fù)性動(dòng)作 例如每天去執(zhí)行一些腳 本 檢測一些狀態(tài)等 重復(fù)繁瑣的工作容易令人出現(xiàn)操作的失誤 如果能通過 一些技術(shù)手段 替代用戶的重復(fù)操作 使用戶從重復(fù)繁瑣的工作中釋放出來 可以讓用戶有更多的時(shí)間去專注于更多技術(shù)領(lǐng)域 操作自動(dòng)化是運(yùn)維操作管理的終極目標(biāo) 通過 Shterm 的自動(dòng)腳本功能 可 讓堡壘機(jī)自動(dòng)幫助運(yùn)維人員執(zhí)行各種常規(guī)操作 從而達(dá)到降低運(yùn)維復(fù)雜度 提 高運(yùn)維效率的目的 叮叮小文庫 15 4 4 安恒明御安恒明御 數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)介紹數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)介紹 1 1 產(chǎn)品介紹產(chǎn)品介紹 產(chǎn)品概述 明御 數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng) 簡稱 DAS DBAuditor 作為國內(nèi)數(shù)據(jù)庫審計(jì)產(chǎn)品領(lǐng) 域第一品牌 是安恒信息結(jié)合多年數(shù)據(jù)庫安全的理論和實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上 結(jié)合各類 法令法規(guī) 如 SOX PCI 企業(yè)內(nèi)控管理 等級(jí)保護(hù)等 對(duì)數(shù)據(jù)庫審計(jì)的要求 自主研發(fā) 完成的業(yè)界首創(chuàng)細(xì)粒度審計(jì) 精準(zhǔn)化行為回溯 全方位風(fēng)險(xiǎn)控制的數(shù)據(jù)庫全業(yè)務(wù)審計(jì)產(chǎn)品 明御 數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)可以幫助您解決以下問題 識(shí)別越權(quán)使用 權(quán)限濫用 管理數(shù)據(jù)庫帳號(hào)權(quán)限 跟蹤敏感數(shù)據(jù)訪問行為 及時(shí)發(fā)現(xiàn)敏感數(shù)據(jù)泄漏 檢測數(shù)據(jù)庫配置弱點(diǎn) 發(fā)現(xiàn) SQL 注入等漏洞 提供解決建議 為數(shù)據(jù)庫管理與優(yōu)化提供決策依據(jù) 滿足法律 法規(guī)要求 提供符合性報(bào)告 低成本且有效推行 IT 管理制度 DAS DBAuditor 以獨(dú)立硬件審計(jì)的工作模式 靈活的審計(jì)策略配置 解決企事業(yè)單位 核心數(shù)據(jù)庫面臨的 越權(quán)使用 權(quán)限濫用 權(quán)限盜用 等安全威脅 滿足各類法令法規(guī)對(duì) 數(shù)據(jù)庫審計(jì)的要求 廣泛適用于 政府 金融 運(yùn)營商 公安 能源 稅務(wù) 工商 社保 交通 衛(wèi)生 教育 電子商務(wù)及企業(yè) 等所有使用數(shù)據(jù)庫的各個(gè)行業(yè) DAS DBAuditor 支 持 Oracle MS SQL Server DB2 Sybase MySQL Informix CACH teradata 神通 原 OSCAR 達(dá)夢(mèng) 人大金倉 kingbase 等業(yè)界主流數(shù)據(jù)庫以及 TELNET FTP HTTP POP3 SMTP 等 可以幫助用戶提升數(shù)據(jù)庫運(yùn)行監(jiān)控的透明度 降低人工審計(jì)成本 真正實(shí)現(xiàn)數(shù)據(jù)庫全業(yè)務(wù)運(yùn)行可視化 日常操作可監(jiān)控 危險(xiǎn)操作可控 制 所有行為可審計(jì) 安全事件可追溯 技術(shù)優(yōu)勢 技術(shù)優(yōu)勢技術(shù)優(yōu)勢功能價(jià)值功能價(jià)值 超高的性能 多核 多線程處理 多核 多線程處理 采用多核處理技術(shù) 結(jié)合自主研發(fā)的多線程 應(yīng)用系統(tǒng) 單臺(tái)最大可以達(dá)到 50000 條 秒的處理能力 支持多臺(tái)數(shù) 據(jù)庫服務(wù)器 降低用戶成本 分布式部署 分布式部署 支持分布式部署 并行處理 成倍提升業(yè)務(wù)處理能 力 滿足大型業(yè)務(wù)環(huán)境需求 兼顧未來擴(kuò)容計(jì)劃 豐富規(guī)則和報(bào) 表 通過對(duì)大量項(xiàng)目實(shí)施經(jīng)驗(yàn)總結(jié) 已經(jīng)形成了豐富的行業(yè)規(guī)則包和 合規(guī)報(bào)表 包括合規(guī)性要求 帳號(hào)管理 權(quán)限管理 認(rèn)證管理 敏 感數(shù)據(jù)安全等多個(gè)維度的規(guī)則 系統(tǒng)默認(rèn)配置 60 多種報(bào)表 解決普 叮叮小文庫 16 通審計(jì)產(chǎn)品規(guī)則設(shè)置困難 審計(jì)分析無從下手 報(bào)表過于簡單且無 實(shí)際分析價(jià)值等問題 精準(zhǔn)的協(xié)議解 析 采用專利技術(shù)提升協(xié)議的準(zhǔn)確率 支持 oracle DB2 sqlserver 等 10 多種主流協(xié)議 滿足復(fù)雜環(huán)境應(yīng)用 領(lǐng)先的存儲(chǔ)能 力 采用專用存儲(chǔ)技術(shù)大大提升存儲(chǔ)能力 最大可以存儲(chǔ) 7 10 億條審 計(jì)日志 可以滿足客戶 3 6 個(gè)月的日志存儲(chǔ)要求 高效的查詢能 力 日志存儲(chǔ)在自主研發(fā)的專用數(shù)據(jù)庫中 并為日志記錄標(biāo)識(shí)唯一序 號(hào) 采用先進(jìn)的檢索引擎 達(dá)到百萬級(jí)每秒的查詢能力 并大大提 高查詢準(zhǔn)確度 自身安全性 采用 RAID 冗余電源等硬件架構(gòu) 以及三權(quán)分立 數(shù)據(jù)自動(dòng)備 份 詳盡的操作日志等技術(shù)確保審計(jì)記錄不丟失 不被違規(guī)刪除 滿足法律法規(guī)要求 功能價(jià)值 豐富的協(xié)議支持豐富的協(xié)議支持 主流數(shù)據(jù)庫Oracle SQL server DB2 Mysql Informix CACH Sybase PostgreSQL 國產(chǎn)數(shù)據(jù)庫神通 原 OSCAR 達(dá)夢(mèng) 人大金倉 kingbase 數(shù)據(jù)倉庫Teradata 其他協(xié)議FTP HTTP Telnet SMTP POP3 DCOM 等 細(xì)粒度的操作審計(jì)細(xì)粒度的操作審計(jì) 細(xì)粒度審計(jì) 通過對(duì)不同數(shù)據(jù)庫的 SQL 語義分析 提取出 SQL 中相關(guān)的 要素 用戶 SQL 操作 表 字段 視圖 索引 過程 函數(shù) 包 雙向?qū)徲?jì) 不僅對(duì)數(shù)據(jù)庫操作請(qǐng)求進(jìn)行實(shí)時(shí)審計(jì) 而且還可對(duì)數(shù)據(jù)庫 執(zhí)行狀態(tài) 返回結(jié)果 返回內(nèi)容進(jìn)行完整的還原和審計(jì) 同時(shí)可以根據(jù)返回結(jié)果設(shè)置審計(jì)規(guī)則 多行為審計(jì) 實(shí)時(shí)監(jiān)控來自各個(gè)層面的所有數(shù)據(jù)庫活動(dòng) 包括來自應(yīng)用 系統(tǒng)發(fā)起的數(shù)據(jù)庫操作請(qǐng)求 來自數(shù)據(jù)庫客戶端工具的操 作請(qǐng)求以及通過遠(yuǎn)程登錄服務(wù)器后的操作請(qǐng)求等 多層業(yè)務(wù)關(guān)聯(lián)審計(jì)多層業(yè)務(wù)關(guān)聯(lián)審計(jì) B S 三層架構(gòu)支持 HTTP 請(qǐng)求審計(jì) 提取 URL POST GET 值 cookie 操作 系統(tǒng)類型 瀏覽器類型 原始客戶端 IP MAC 地址 提交參數(shù)等 通過智能自動(dòng)多層關(guān)聯(lián) 關(guān)聯(lián)出每條 SQL 語句所對(duì)應(yīng) URL 以 及其原始客戶端 IP 地址等信息 實(shí)現(xiàn)追蹤溯源 C S 三層架構(gòu)在企業(yè) 醫(yī)院等行業(yè)客戶中 也部分采用 C S S 三層架構(gòu) 同樣 面臨追蹤溯源的難題 DAS DBAuditor 支持基于 DCOM 的三層架構(gòu) 自動(dòng)關(guān)聯(lián) 叮叮小文庫 17 運(yùn)維審計(jì)關(guān)聯(lián)通過運(yùn)維審計(jì)產(chǎn)品進(jìn)行統(tǒng)一認(rèn)證 授權(quán)后 也將面臨追蹤溯源的 難題 DAS DBAuditor 支持與運(yùn)維審計(jì)產(chǎn)品關(guān)聯(lián) 實(shí)現(xiàn)原始操作者 信息的追蹤 全方位風(fēng)險(xiǎn)控制全方位風(fēng)險(xiǎn)控制 靈活的策略定 制 根據(jù)登錄用戶 源 IP 地址 數(shù)據(jù)庫對(duì)象 分為數(shù)據(jù)庫用戶 表 字段 操作時(shí)間 SQL 操作命令 返回的記錄數(shù)或受影響的行數(shù) 關(guān)聯(lián)表數(shù)量 SQL 執(zhí)行結(jié)果 SQL 執(zhí)行時(shí)長 報(bào)文內(nèi)容的靈活組合 來定義客戶所關(guān)心的重要事件和風(fēng)險(xiǎn)事件 自動(dòng)建模DAS DBAuditor 支持自動(dòng)建模 可以非常方便了解整個(gè)數(shù)據(jù)庫的 允許狀態(tài) 幫助管理員形成有效的審計(jì)規(guī)則 快速識(shí)別越權(quán)操作 帳號(hào)復(fù)用 違規(guī)操作等行為 多形式的實(shí)時(shí) 告警 當(dāng)檢測到可疑操作或違反審計(jì)規(guī)則的操作時(shí) 系統(tǒng)可以通過監(jiān)控 中心告警 短信告警 郵件告警 Syslog 告警 SNMP 告警 FTP 告警等方式通知數(shù)據(jù)庫管理員 報(bào)表報(bào)表 DAS DBAuditor 報(bào)表系統(tǒng)包括預(yù)定義報(bào)表和自定義報(bào)表兩大模塊 可以快速生成 對(duì)安全事件的報(bào)表 并以 PDF 等格式導(dǎo)出 審計(jì)管理員報(bào)表支持從審計(jì)設(shè)備運(yùn)行狀況 安全事件 帳號(hào)的增刪 密碼是否修 改等角度形成報(bào)表 系統(tǒng)管理員報(bào)表支持從權(quán)限的變更 數(shù)據(jù)庫權(quán)限分配狀況