堡壘機(jī)部署培訓(xùn)

1、帕拉迪統(tǒng)一安全管理與綜合審計系統(tǒng)帕拉迪統(tǒng)一安全管理與綜合審計系統(tǒng)產(chǎn)品培訓(xùn)產(chǎn)品培訓(xùn)追溯運(yùn)維安全事件源頭 降低核心操作系統(tǒng)風(fēng)險培訓(xùn)內(nèi)容介紹用戶環(huán)境問題分析用戶環(huán)境問題分析堡壘機(jī)部署架構(gòu)和體系堡壘機(jī)部署架構(gòu)和體系堡壘機(jī)部署收益堡壘機(jī)部署收益 核心功能和模塊介紹核心功能和模塊介紹使用和實施流程使用和實施流程用戶環(huán)境問題分析用戶環(huán)境問題分析用戶環(huán)境問題分析IT運(yùn)維現(xiàn)狀1多點登錄、分散管理服務(wù)器資源IT運(yùn)維現(xiàn)狀2交叉異構(gòu)、帳號共享第三方廠家開發(fā)人員管理人員系統(tǒng)帳號IT運(yùn)維現(xiàn)狀3人為操作風(fēng)險，責(zé)任無法追溯來自企業(yè)內(nèi)部內(nèi)部的非法威脅高權(quán)限操作風(fēng)險不透明違規(guī)操作導(dǎo)致敏感信息泄露誤操作導(dǎo)致服務(wù)異常甚至宕機(jī)來自企業(yè)

2、外部外部的非法威脅操作風(fēng)險不可控黑客盜用帳號實施惡意攻擊無法有效監(jiān)管操作、無法有效取證/舉證內(nèi)部用戶內(nèi)部用戶外部用戶外部用戶資源資源設(shè)備設(shè)備權(quán)限濫用惡意訪問誤操作權(quán)力限用系統(tǒng)管理員網(wǎng)管員安全管理員軟件系統(tǒng)開發(fā)人員黑客代維廠商合作伙伴企業(yè)臨時用戶 用戶身份信息分散于各個系統(tǒng)，形成身份信息的孤島 維護(hù)人員同時對多個系統(tǒng)進(jìn)行維護(hù)，工作復(fù)雜度會成倍增加 獨立的用戶數(shù)據(jù)庫獨立的用戶數(shù)據(jù)庫身份信息孤島身份信息孤島 用戶權(quán)限無法集中管理，越權(quán)事件時有發(fā)生缺乏集中統(tǒng)一的資缺乏集中統(tǒng)一的資源授權(quán)管理平臺源授權(quán)管理平臺 身份的混亂，帳號多人共用，難于確定帳號的實際使用者， 難于對帳號的擴(kuò)散范圍進(jìn)行控制，容易造成安

3、全漏洞自然人身份和業(yè)務(wù)自然人身份和業(yè)務(wù)系統(tǒng)帳號重疊系統(tǒng)帳號重疊 切換系統(tǒng)登錄時，都需要輸入用戶名和口令進(jìn)行登錄。 給工作帶來不便，影響了工作效率自然人對多系統(tǒng)的自然人對多系統(tǒng)的訪問頻繁切換訪問頻繁切換 無法對支撐系統(tǒng)進(jìn)行綜合分析，不能及時發(fā)現(xiàn)入侵行為進(jìn)行安全 預(yù)警和數(shù)據(jù)責(zé)任追蹤，增加操作風(fēng)險獨立的審計，缺乏獨立的審計，缺乏關(guān)聯(lián)分析關(guān)聯(lián)分析問題分析堡壘機(jī)部署架構(gòu)和體系堡壘機(jī)部署架構(gòu)和體系堡壘機(jī)部署架構(gòu)和體系操作管理統(tǒng)一化 統(tǒng)一操作管理平臺理念構(gòu)建數(shù)據(jù)庫 管理人員開發(fā)人員 操作 代維人員服務(wù)器 統(tǒng)一認(rèn)證統(tǒng)一授權(quán)統(tǒng)一審計網(wǎng)絡(luò)設(shè)備 管理流程規(guī)范化規(guī)范管理流程的實行1.實時監(jiān)控2.操作記錄3.操作回放4

4、.操作搜索5.統(tǒng)計報表1.角色劃分2.帳號管理3.密碼管理4.權(quán)限管理5.訪問控制1.帳號管理2.密碼定期 自動修改人的管理操作管理設(shè)備管理操作風(fēng)險最小化最小化操作風(fēng)險來源于管理模式集 中 管 理 模 式你做了什么？你能做什么？你去哪？你是誰？訪問控制管理帳號授權(quán)管理 資產(chǎn)帳號管理 統(tǒng)一身份管理 安全審計管理安全審計管理可用帳號？運(yùn)維審計方案支持體系2022-6-26命令行：Telnet、SSH文本菜單：HP的SAM、IBM的SMIT，LINUX的SETUP等 OracleInformixDB2SybaseSQL Server等基于WEB操作,如：HTTP、HTTPS基于C/S應(yīng)用終端操作，如

5、：AS400RDPX11VNCFTPSFTPRDP磁盤通道、剪貼板等文件傳輸Avocent 管理終端DSR、DSVIEW力登管理終端：RARITAN、RARITAN_CC覆蓋了所有的運(yùn)維方式，滿足數(shù)據(jù)中心運(yùn)維管理的需求網(wǎng)絡(luò)設(shè)備數(shù)據(jù)庫系統(tǒng)應(yīng)用系統(tǒng)主機(jī)系統(tǒng)SAPECM內(nèi)部門戶LotusNotesMESORACLEH3CLinux UNIXWindows字符管理模式2022-6-26命令分析及回放命令行：Telnet、SSH文本菜單：HP的SAM、IBM的SMIT，LINUX的SETUP等 網(wǎng)絡(luò)設(shè)備主機(jī)系統(tǒng)H3CLinux UNIX命令分析：區(qū)分指令的輸入和輸出；并支持從特定的命令進(jìn)行定位播放；幫助

6、用戶快速定位到關(guān)注的事件圖形管理模式RDPX11VNC主機(jī)系統(tǒng)Linux UNIXWindows實時監(jiān)控界面用戶操作界面1.完整支持原有客戶端，用戶可直接使用MSTSC工具進(jìn)行連接，不改變其使用習(xí)慣；2.支持磁盤映射和智能卡遠(yuǎn)程調(diào)用，并提供開關(guān)控制，實現(xiàn)數(shù)據(jù)不落地，有效保障數(shù)據(jù)安全2022-6-26數(shù)據(jù)庫管理模式2022-6-26OracleInformixDB2SybaseSQL Server等SQL操作語句展現(xiàn)：可捕獲底層SQL操作語句，用戶行為無法逃避，提供數(shù)據(jù)檢索，快速定位事故現(xiàn)場數(shù)據(jù)庫系統(tǒng)ORACLE數(shù)據(jù)庫操作審計回放SQL操作語句展現(xiàn)DB2Sybaseinformix應(yīng)用系統(tǒng)管理模

7、式2022-6-26錄像回放基于WEB操作,如：HTTP、HTTPS基于C/S應(yīng)用終端操作，如：AS400應(yīng)用系統(tǒng)SAPECM內(nèi)部門戶LotusNotesMES支持應(yīng)用系統(tǒng)賬戶密碼代填，實現(xiàn)單點登錄部署方式外網(wǎng)用戶外網(wǎng)用戶內(nèi)網(wǎng)用戶內(nèi)網(wǎng)用戶UTM安全審計管理安全審計管理WindowsHP_UnixHP_UnixAIXAIXLinuxLinuxSolaris安全設(shè)備網(wǎng)絡(luò)設(shè)備存儲設(shè)備運(yùn)維登錄流程運(yùn)維登錄流程: :1.不加裝任何客戶端程序2.不加裝任何服務(wù)器端引擎3.不影響任何網(wǎng)絡(luò)拓?fù)?.不影響任何業(yè)務(wù)數(shù)據(jù)流5.支持雙機(jī)熱備6.支持集中管理分級部署PLDSEC SMS UTM防火墻防火墻堡壘機(jī)部署收益

8、堡壘機(jī)部署收益堡壘機(jī)部署收益價值總結(jié)統(tǒng)一訪問入口，集中權(quán)限控制，實現(xiàn)運(yùn)維操作的規(guī)范化管理。有效防止了誤操作、濫操作以及越權(quán)訪問對核心業(yè)務(wù)系統(tǒng)造成的破壞。快速的故障定位，提高故障處理效率；提供精準(zhǔn)的責(zé)任鑒定和事件追溯。完善組織的內(nèi)控與審計體系，從而滿足合規(guī)性要求，使組織能夠順利通過IT審計。共享帳號的責(zé)任認(rèn)定移動辦公移動辦公合作伙伴合作伙伴運(yùn)維外包運(yùn)維外包Internet內(nèi)部運(yùn)維人員內(nèi)部運(yùn)維人員核心業(yè)務(wù)服務(wù)器核心業(yè)務(wù)服務(wù)器RootRoot帳號帳號MickeMickeHz_yangHz_yangDw_wangDw_wangEchoEcho部署前：所有人員包括移動辦公人員、合作伙伴、運(yùn)維外包人員、內(nèi)

9、部運(yùn)維人員共同使用root帳號直接登錄核心業(yè)務(wù)服務(wù)器進(jìn)行各種操作，當(dāng)核心業(yè)務(wù)數(shù)據(jù)被非法修改，或是執(zhí)行了其他非法命令等，在現(xiàn)有環(huán)境上很難定位到人，無法進(jìn)行責(zé)任的認(rèn)定和故障分析。安全監(jiān)控、審計安全監(jiān)控、審計部署后：每個自然人都對應(yīng)一個主帳號（審計平臺帳號），登錄到核心業(yè)務(wù)服務(wù)器的從帳號root（目標(biāo)主機(jī)帳號），兩個帳號存在唯一對應(yīng)關(guān)系，審計人員可以很方便的從平臺中查出是誰在什么時間登錄哪臺服務(wù)器做了什么操作，產(chǎn)生什么樣的結(jié)果，很方便的實現(xiàn)責(zé)任認(rèn)定和故障分析。第三方運(yùn)維管理合作伙伴合作伙伴運(yùn)維外包運(yùn)維外包核心業(yè)務(wù)服務(wù)器核心業(yè)務(wù)服務(wù)器RootRoot帳號帳號Hz_yangHz_yangDw_wangD

10、w_wang創(chuàng)建帳號，授權(quán)控制內(nèi)部管理人員為其創(chuàng)建臨時帳號，授予完成維護(hù)需要的最小化權(quán)限最小化權(quán)限，對高危操作高危操作命令進(jìn)行控制和告警控制和告警。安全監(jiān)控、審計安全監(jiān)控、審計保留所有運(yùn)維操作過程對該階段的運(yùn)維操作進(jìn)行全部記錄并保存記錄并保存，作為審計的依據(jù)，內(nèi)部人員還可以實時對其進(jìn)行監(jiān)控監(jiān)控，發(fā)現(xiàn)有違規(guī)操作，可以立即進(jìn)行阻斷阻斷。Internet業(yè)務(wù)系統(tǒng)運(yùn)維需求業(yè)務(wù)系統(tǒng)的維護(hù)、更新升級、故障處理需要合作伙伴或是運(yùn)維外包人員登錄系統(tǒng)進(jìn)行各種操作。滿足第三方審計機(jī)構(gòu)對運(yùn)維操作的審計報表展現(xiàn)報表展現(xiàn)根據(jù)用戶行業(yè)的要求，提供完善的報表展現(xiàn)，滿足用戶所在行業(yè)對合規(guī)性的需求。操作原始日志操作原始日志保存

11、了全年的包括內(nèi)部人員、合作伙伴、外包代維人員對核心業(yè)務(wù)服務(wù)器運(yùn)維的原始操作日志。第三方審計機(jī)構(gòu)第三方審計機(jī)構(gòu)核心功能和模塊介紹核心功能和模塊介紹核心功能和模塊介紹核心模塊說明用戶管理認(rèn)證管理設(shè)備管理授權(quán)管理與訪問控制審計管理用戶管理子模塊子模塊功能點功能點功能說明功能說明用戶權(quán)限分級用戶權(quán)限分級自然人用戶賬號根據(jù)權(quán)限不同，分為“超級用戶”、“資產(chǎn)管理員”、“權(quán)限管理員”、“密碼管理員”、“審計管理員”、“普通用戶”六大類。超級用戶最高權(quán)限用戶角色，可進(jìn)行所有系統(tǒng)配置、用戶管理、權(quán)限授權(quán)以及操作審計等權(quán)限管理員擁有用戶管理、授權(quán)管理權(quán)限，能夠添加刪除用戶，能完成用戶/用戶組、設(shè)備/設(shè)備組關(guān)聯(lián)授權(quán)

12、。資產(chǎn)管理員擁有資產(chǎn)添加編輯權(quán)限，包括添加、編輯、刪除權(quán)限。審計管理員擁有審計權(quán)限，能夠?qū)徲嬎杏脩暨\(yùn)維操作結(jié)果。密碼管理員擁有賬號密碼管理權(quán)限，只有密碼管理員才能管理賬號密碼。普通用戶擁有訪問被授權(quán)管理設(shè)備權(quán)限和自身信息修改及自身密碼修改權(quán)限。用戶賬號生命周期管理用戶狀態(tài)管理用戶賬號狀態(tài)分為“未激活”、“激活”、“鎖定”、“禁用”；用戶賬號有效期支持設(shè)置用戶賬號有效期限用戶信息管理用戶信息管理支持設(shè)置用戶信息：真實姓名、郵件地址、郵件附件密碼、所屬部門、直屬領(lǐng)導(dǎo)、聯(lián)系電話用戶組用戶分組管理支持用戶分組管理，簡化授權(quán)批量導(dǎo)入用戶賬號批量導(dǎo)入支持以規(guī)定格式文件的用戶賬號批量導(dǎo)入建立網(wǎng)關(guān)用戶 單擊

13、 “安全策略管理” “網(wǎng)關(guān)用戶管理”網(wǎng)關(guān)用戶舉例認(rèn)證管理功能點功能點功能說明功能說明開放可擴(kuò)展認(rèn)證體系采用開放靈活、可擴(kuò)展的認(rèn)證體系結(jié)構(gòu)，支持本地靜態(tài)口令認(rèn)證，及外部第三方認(rèn)證機(jī)制：Radius、動態(tài)令牌卡、PKI、AD域。支持本地認(rèn)證和第三方認(rèn)證體系混合使用。本地靜態(tài)口令認(rèn)證默認(rèn)使用本地靜態(tài)口令認(rèn)證。Radius認(rèn)證接口支持第三方Radius認(rèn)證動態(tài)令牌認(rèn)證接口支持第三方動態(tài)令牌認(rèn)證接口AD域認(rèn)證接口支持第三方AD域認(rèn)證（雙域）PKI認(rèn)證接口支持第三方CA服務(wù)器與PKI認(rèn)證設(shè)備管理設(shè)備管理設(shè)備添加、刪除添加、刪除設(shè)備資產(chǎn)設(shè)備組管理設(shè)備分組管理支持設(shè)備分組管理，簡化授權(quán)。賬號管理設(shè)備賬號添加刪

14、除添加、刪除設(shè)備賬號設(shè)備賬號密碼推送（linux/unix/Windows）支持設(shè)備賬號遠(yuǎn)程推送修改，支持一下修改策略及其組合1、單次修改2、定期修改3、指定新密碼4、自動生成新密碼設(shè)備賬號密碼導(dǎo)出支持設(shè)備賬號以證書加密方式導(dǎo)出批量導(dǎo)入設(shè)備批量導(dǎo)入支持以規(guī)定格式文件的設(shè)備批量導(dǎo)入 帕拉迪統(tǒng)一安全管理與綜合審計系統(tǒng)總結(jié)多年安全審計項目經(jīng)驗，實現(xiàn)了一套創(chuàng)新的賬號管理模式（帕拉迪統(tǒng)一賬號管理），其具有如下特點：u支持賬號集中管理模式。u支持賬號分散管理模式。u統(tǒng)一了集中管理模式與分散管理模式。對任意資產(chǎn)，可以使用任意一種管理模式，或兩種模式的組合。提供了極大的管理靈活性。授權(quán)管理功能模塊功能模塊子模

15、塊子模塊功能點功能點功能說明功能說明授權(quán)管理授權(quán)管理授權(quán)管理以設(shè)備IP、協(xié)議類型、賬號密碼三元組為單位，對用戶授權(quán)組授權(quán)組授權(quán)支持以設(shè)備組、用戶組方式進(jìn)行批量授權(quán)訪問控制字符終端訪問控制字符終端ACL支持基于用戶設(shè)備IP登錄IP設(shè)備賬號日期時間命令集空閑時間任意邏輯組合的訪問控制策略控制策略條件:用戶支持以用戶作為控制策略條件控制策略條件:設(shè)備IP支持以設(shè)備IP作為控制策略條件控制策略條件:登錄IP支持以登錄IP作為控制策略條件控制策略條件:設(shè)備賬號支持以設(shè)備賬號作為控制策略條件控制策略條件:日期支持以日期作為控制策略條件控制策略條件:星期支持以星期作為控制策略條件控制策略條件:時間支持以用戶

16、作為控制策略條件控制策略條件:空閑時間支持以空閑時間作為控制策略條件控制策略條件:命令集支持以命令集作為控制策略條件命令集可包含多條命令, 每條命令可使用命令模式或參數(shù)模式命令控制支持多平臺對FTP命令，SQL命令等命令能夠做到準(zhǔn)確識別并且可控字符終端擴(kuò)展命令擴(kuò)展命令擴(kuò)展命令是用戶登錄目標(biāo)設(shè)備后, 自動執(zhí)行的一系列命令基于擴(kuò)展命令功能可實現(xiàn)命令自動執(zhí)行功能, 自動跳轉(zhuǎn)功能, 自動enable等 圖形傳輸控制圖形傳輸控制針對圖形終端系統(tǒng), 支持文件傳輸,剪貼板功能的開啟或關(guān)閉權(quán)限分配列表審計管理1.實時監(jiān)控2.操作記錄3.操作回放4.操作搜索5.統(tǒng)計報表操作管理子模塊子模塊功能點功能點功能說明功

17、能說明審計管理審計日志回放所有審計日志以連接會話為單位，支持完整回放連接會話實時監(jiān)控，實時切斷任何類型終端交互或應(yīng)用交付連接會話，支持實時監(jiān)控，實時切斷審計日志搜索定位Syslog輸出支持以Syslog方式將審計日志輸出至第三方日志中心全面覆蓋字符終端審計命令，錄像，分析，監(jiān)控圖形終端審計錄像，鍵盤命令，監(jiān)控文件傳輸審計錄像，文件傳輸備份應(yīng)用發(fā)布審計錄像，SQL捕獲，監(jiān)控實施和使用流程實施和使用流程實施和使用流程用戶環(huán)境的調(diào)研1、主要管理設(shè)備的分類和管理數(shù)量2、用戶網(wǎng)絡(luò)拓?fù)涞牧私?、產(chǎn)品部署的位置和分配的IP地址前期準(zhǔn)備工作實施流程系統(tǒng)的組網(wǎng)拓?fù)鋱D如下（插入用戶實際網(wǎng)絡(luò)拓?fù)鋱D及產(chǎn)品部署位置）實

18、施流程地址規(guī)劃系統(tǒng)安裝調(diào)試系統(tǒng)安裝系統(tǒng)安裝PLD SMS系統(tǒng)由杭州帕拉迪網(wǎng)絡(luò)科技有限公司預(yù)裝，無需現(xiàn)場安裝。系統(tǒng)配置系統(tǒng)配置配置系統(tǒng)地址。配置系統(tǒng)其他基本設(shè)置。添加用戶添加用戶（批量導(dǎo)入用戶統(tǒng)計表格）添加設(shè)備資產(chǎn)添加設(shè)備資產(chǎn)（批量導(dǎo)入資產(chǎn)統(tǒng)計表格）設(shè)定授權(quán)設(shè)定授權(quán)（按照授權(quán)表格進(jìn)行授權(quán)）系統(tǒng)試運(yùn)行1，系統(tǒng)部署后，進(jìn)入系統(tǒng)試運(yùn)行階段，通過管理手段要求用戶登錄統(tǒng)一安全管理和綜合審計平臺進(jìn)行運(yùn)維操作，熟悉運(yùn)維平臺的操作。2，在該階段 ，對用戶出現(xiàn)的各類問題進(jìn)行解決，如個別資產(chǎn)無法運(yùn)維，或授權(quán)不完整等遺留問題。3，由于在該階段并未進(jìn)行訪問控制部署，故用戶能夠使用原有方式進(jìn)行目標(biāo)資產(chǎn)訪問，可在堡壘機(jī)無法正常運(yùn)維時切換為原有方式進(jìn)行運(yùn)維，保障系統(tǒng)安全平穩(wěn)的過渡。網(wǎng)絡(luò)訪問控制配置網(wǎng)絡(luò)訪問控制，目的在于控制用戶無法直接訪問被管理設(shè)備資源，只能通過PLD SMS訪問被管理設(shè)備資源。具體配置過程根據(jù)用戶實際網(wǎng)絡(luò)設(shè)備擬定。應(yīng)急預(yù)案當(dāng)發(fā)生突發(fā)意外