LanSecS內(nèi)控管理平臺(tái)產(chǎn)品交流

精細(xì)訪控事件追蹤

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)技術(shù)交流技術(shù)顧問(wèn)朱家衛(wèi)2010年8月交流提綱54堡壘主機(jī)解決方案3現(xiàn)有解決方案2問(wèn)題分析1IT運(yùn)維現(xiàn)狀堡壘主機(jī)產(chǎn)品介紹6為何選擇LanSecSIT資產(chǎn)IT運(yùn)維角度主機(jī)系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)網(wǎng)絡(luò)設(shè)備安全設(shè)備專(zhuān)用系統(tǒng)應(yīng)用角度OA系統(tǒng)財(cái)務(wù)系統(tǒng)人力系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng)客戶(hù)服務(wù)系統(tǒng)資產(chǎn)用戶(hù)資產(chǎn)的管理者內(nèi)部維護(hù)人員常駐維護(hù)人員臨時(shí)維護(hù)人員資產(chǎn)的使用者行政人員財(cái)務(wù)人員業(yè)務(wù)人員管理人員外部用戶(hù)訪問(wèn)方式各類(lèi)人員可以通過(guò)下面各種途徑訪問(wèn)IT資產(chǎn)：使用遠(yuǎn)程終端服務(wù)：例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口（CLI）使用文件傳輸協(xié)議：例如FTP等使用遠(yuǎn)程窗口和桌面：例如Windows的遠(yuǎn)程桌面（RDP），和Unix的Xwindow。使用各種數(shù)據(jù)庫(kù)客戶(hù)端：例如各種數(shù)據(jù)庫(kù)的client程序、ODBC、JDBC，以及多種其它數(shù)據(jù)庫(kù)工具。IT運(yùn)維現(xiàn)狀？用戶(hù)管理復(fù)雜性不可避免？？資產(chǎn)安全性又如何保證？管理工作帳號(hào)管理認(rèn)證管理AB操作審計(jì)D授權(quán)管理C定義帳號(hào)密碼定期變更密碼密碼強(qiáng)度控制……..日志收集日志分析故障排查事故追蹤……..

建立帳號(hào)修改帳號(hào)刪除帳號(hào)……..定義帳號(hào)權(quán)限分配帳號(hào)修改帳號(hào)權(quán)限防止越權(quán)訪問(wèn)……..設(shè)備及服務(wù)器管理管理問(wèn)題—帳號(hào)管理空閑帳號(hào)弱口令帳號(hào)僵尸帳號(hào)共享帳號(hào)相同帳號(hào)設(shè)備及服務(wù)器群管理問(wèn)題—認(rèn)證管理各系統(tǒng)獨(dú)立認(rèn)證單一的靜態(tài)口令認(rèn)證口令強(qiáng)度基本無(wú)限制管理問(wèn)題—授權(quán)管理授權(quán)工作量大、繁瑣沒(méi)有有效的訪問(wèn)控制手段授權(quán)粒度粗，基本只到設(shè)備管理問(wèn)題題—審計(jì)一缺乏資源源帳號(hào)管管理的審審計(jì)缺乏資源源帳號(hào)分分配給自自然人的的授權(quán)審審計(jì)缺乏用戶(hù)戶(hù)登錄登登出系統(tǒng)統(tǒng)的審計(jì)計(jì)缺乏用戶(hù)戶(hù)對(duì)系統(tǒng)統(tǒng)操作行行為的審審計(jì)管理問(wèn)題題—審計(jì)二關(guān)鍵業(yè)務(wù)務(wù)系統(tǒng)數(shù)數(shù)據(jù)被修修改了，，系統(tǒng)記記錄是admin改的，到到底是誰(shuí)誰(shuí)用這個(gè)個(gè)帳號(hào)改改的？這么多系系統(tǒng)，查查看命令令這么復(fù)復(fù)雜，我我怎么去去使用這這些命令令去查看看？業(yè)務(wù)數(shù)據(jù)據(jù)被修改改，從日日志中查查，一天天的日志志量有幾幾百萬(wàn)，，我該從從什么地地方開(kāi)始始看，他他到底在在什么時(shí)時(shí)間修改改業(yè)務(wù)數(shù)數(shù)據(jù)的？？每個(gè)系統(tǒng)統(tǒng)的日志志都這么么多，不不知道他他們之間間有什么么關(guān)系？？……當(dāng)出現(xiàn)事事故或安安全問(wèn)題題時(shí)，無(wú)無(wú)法對(duì)事事故責(zé)任任進(jìn)行追追蹤定責(zé)責(zé)。無(wú)法對(duì)維護(hù)人員的作作業(yè)行為為進(jìn)行監(jiān)監(jiān)控。多人共用用系統(tǒng)帳帳號(hào)，進(jìn)進(jìn)行維護(hù)護(hù)作業(yè)由于維護(hù)護(hù)人員維維護(hù)多個(gè)個(gè)系統(tǒng)資資源，常常常為了了方便將將口令信信息存放放于文件件之中維護(hù)人員員通常使使用高權(quán)權(quán)限的帳帳號(hào)進(jìn)行行維護(hù)操操作，對(duì)對(duì)于某些些用戶(hù)來(lái)來(lái)說(shuō)該權(quán)權(quán)限過(guò)于于寬松企業(yè)關(guān)鍵鍵設(shè)備的的登陸缺缺乏強(qiáng)認(rèn)認(rèn)證手段段。傳統(tǒng)統(tǒng)強(qiáng)認(rèn)證證手段實(shí)實(shí)施困難難管理員誤誤操作重重現(xiàn)恢復(fù)復(fù)困難。。管理問(wèn)題題小結(jié)資產(chǎn)安全全問(wèn)題多人共用用系統(tǒng)帳帳號(hào)，帳帳號(hào)信息息容易外外泄，資資產(chǎn)安全全受到威威脅邊界安全全建設(shè)日日趨完善善，內(nèi)部部威脅未未受重視視，80%的問(wèn)題與與威脅來(lái)來(lái)自于網(wǎng)絡(luò)內(nèi)內(nèi)部，終終端防護(hù)護(hù)類(lèi)只解解決了病病毒、木木馬等，，人為呢呢？或者者操作失失誤呢？？企業(yè)生產(chǎn)產(chǎn)數(shù)據(jù)面面臨被內(nèi)內(nèi)部人員員篡改、、刪除、、竊取，，主機(jī)被被關(guān)機(jī)、、設(shè)備配配置被修修改，導(dǎo)導(dǎo)致企業(yè)業(yè)生產(chǎn)停停頓、商商業(yè)資料料泄露，，給企業(yè)業(yè)造成巨巨大的損損失。運(yùn)維人員員使用問(wèn)問(wèn)題密碼記憶用戶(hù)需要記憶憶許多用用戶(hù)名和和密碼用用于登錄錄各個(gè)系系統(tǒng)，經(jīng)經(jīng)常出現(xiàn)現(xiàn)忘記密密碼的情情況，有有些管理理直接使使用相同同的密碼碼，缺乏乏統(tǒng)一的的用戶(hù)管管理。頻繁登錄錄和注銷(xiāo)銷(xiāo)管理不同同的網(wǎng)絡(luò)絡(luò)設(shè)備需需要分別別登錄，，操作繁繁瑣。合規(guī)性問(wèn)問(wèn)題薩班斯.奧克斯利法案（Sarbanes-Oxley）公安部：《信息系統(tǒng)安全等級(jí)保護(hù)基本要求（試用稿）》對(duì)數(shù)據(jù)安全的保護(hù)是安全等級(jí)保護(hù)關(guān)注的對(duì)象。財(cái)政部、審計(jì)署、證監(jiān)會(huì)、銀監(jiān)會(huì)、保監(jiān)會(huì)《企業(yè)內(nèi)部控制基本規(guī)范》是內(nèi)部控制審計(jì)的重要依據(jù)。據(jù)外電報(bào)報(bào)道，已已有多個(gè)個(gè)消息來(lái)來(lái)源證實(shí)實(shí)，在美美國(guó)東部部時(shí)間6日下午，，一名交交易員在在賣(mài)出股股票時(shí)敲敲錯(cuò)了一一個(gè)字母母，將百百萬(wàn)誤打打成十億億（million-billion），導(dǎo)致致道瓊斯斯指數(shù)突突然出現(xiàn)現(xiàn)近千點(diǎn)點(diǎn)暴跌，，誤操作作和技術(shù)術(shù)問(wèn)題可可能是導(dǎo)導(dǎo)致6日紐約股股市暴跌跌的主要要原因之之一。針針對(duì)出現(xiàn)現(xiàn)多處異異常波動(dòng)動(dòng)現(xiàn)象，，紐約證證券交易易所和納納斯達(dá)克克股票市市場(chǎng)已展展開(kāi)調(diào)查?！?010.5.7新聞一個(gè)實(shí)例例集中登錄集中式網(wǎng)網(wǎng)絡(luò)管理理（先登錄管理理作業(yè)服服務(wù)器，，然后轉(zhuǎn)轉(zhuǎn)換身份份再對(duì)相相關(guān)服務(wù)務(wù)器進(jìn)行行維護(hù)。。屬于多多用戶(hù)單單帳號(hào)管管理方式式）問(wèn)題：1.多用戶(hù)共共享root帳號(hào)，權(quán)權(quán)限劃分分不明，，所有人人員都具具有最高高的ROOT權(quán)限。2.無(wú)法跟蹤蹤某個(gè)管管理員的的確切操操作。3.依靠各自自服務(wù)器器的日志志信息，，審計(jì)信信息不可可集中審審計(jì)管理理。旁路審計(jì)針對(duì)協(xié)議議：明文協(xié)協(xié)議（TELNET/FTP/HTTP等）問(wèn)題：1.密文協(xié)議議（SSH/RDP等）2.細(xì)粒度授授權(quán)3.審計(jì)信息息不可讀讀（實(shí)名名、信息息量）xvz@b銐>e決;`耂決塠hQ軴芠€b/g纇錱密文，無(wú)法審計(jì)SSH分析儀/審計(jì)儀鏡像監(jiān)聽(tīng)聽(tīng)解決問(wèn)題題思路現(xiàn)有解決方案集中登錄旁路審計(jì)堡壘主機(jī)解決方案帳戶(hù)管理認(rèn)證管理授權(quán)管理操作審計(jì)集中管理理帳戶(hù)多系統(tǒng)統(tǒng)統(tǒng)一帳戶(hù)集中認(rèn)證證統(tǒng)一登錄錄安全認(rèn)證集中管理理授權(quán)細(xì)化化變更容易易集中審計(jì)計(jì)過(guò)程審計(jì)計(jì)易存儲(chǔ)，，易查詢(xún)?cè)兛山Y(jié)構(gòu)化化輸出21集中訪問(wèn)問(wèn)入口、、操作審審計(jì)堡壘主機(jī)機(jī)內(nèi)控平平臺(tái)建設(shè)目標(biāo)標(biāo)集中管理帳號(hào)管理唯一身份認(rèn)證管理你是誰(shuí)授權(quán)管理你能干什么操作審計(jì)你干了什么身份授權(quán)權(quán)分離系統(tǒng)帳號(hào)號(hào)=身份認(rèn)證證系統(tǒng)授權(quán)權(quán)+主帳號(hào)身份認(rèn)證證+從帳號(hào)系統(tǒng)授權(quán)權(quán)+操作審計(jì)計(jì)集中審計(jì)全程記錄，操操作過(guò)程審計(jì)計(jì)統(tǒng)一存儲(chǔ)，統(tǒng)統(tǒng)一查詢(xún)真實(shí)還原操作作過(guò)程多協(xié)議審計(jì)支支持產(chǎn)品架構(gòu)集中管理平臺(tái)集中帳號(hào)管理理集中認(rèn)證集中授權(quán)集中訪問(wèn)控制制集中安全審計(jì)計(jì)字符終端代理支持指令終端端的常見(jiàn)協(xié)議議SSH、TELNET、RLOGIN、FTP策略中配置禁禁止該操作員員使用kill等危險(xiǎn)命令，，顯示禁用提提示信息策略中配置禁禁止命令中不不包含more命令，放行通通過(guò)，得到正正確執(zhí)行結(jié)果果操作人員moreabc.filekillallapache堡壘主機(jī)目標(biāo)服務(wù)器字符權(quán)限控制一字符權(quán)限控制二圖形終端代理理支持圖形終端端的常見(jiàn)協(xié)議議RDP、VNC、XWINDOWS統(tǒng)一的WEB單點(diǎn)登錄方式式單點(diǎn)登錄—UNIX統(tǒng)一的WEB單點(diǎn)登錄方式式單點(diǎn)登錄—WINDOWS主機(jī)操作審計(jì)一操作審計(jì)二操作審計(jì)三操作審計(jì)——操作過(guò)程回放放產(chǎn)品特色流程管理提供用戶(hù)申請(qǐng)請(qǐng)、權(quán)限申請(qǐng)請(qǐng)、資源申請(qǐng)請(qǐng)等管理流程程4a擴(kuò)展在4A項(xiàng)目中，帳號(hào)、認(rèn)證、授權(quán)管理轉(zhuǎn)移移到4A，提供執(zhí)行單元，完完成基礎(chǔ)訪問(wèn)問(wèn)控制和操作作審計(jì)功能。在非4A項(xiàng)目中除提供供基礎(chǔ)的訪問(wèn)問(wèn)控制和操作作審計(jì)功能外外，還提供精精簡(jiǎn)的帳號(hào)、、認(rèn)證、授權(quán)權(quán)集中管理功功能。內(nèi)部權(quán)限控制靈活活策略配置靈活時(shí)間、源設(shè)備備、命令安全會(huì)話(huà)一次性會(huì)話(huà)密密鑰與連接會(huì)話(huà)加密高可用性與可可靠性支持外接存儲(chǔ)儲(chǔ)支持雙機(jī)分散審計(jì)->綜合安全審計(jì)計(jì)直接訪問(wèn)管理理-〉集中訪問(wèn)控制制網(wǎng)關(guān)逐個(gè)系統(tǒng)的設(shè)設(shè)置帳號(hào)策略略-〉集中賬號(hào)管理理逐個(gè)系統(tǒng)的認(rèn)認(rèn)證登陸-〉單點(diǎn)登陸逐個(gè)系統(tǒng)的認(rèn)認(rèn)證安全建設(shè)設(shè)-〉集中IAM方案符合安全規(guī)范范提高訪問(wèn)安全全減輕管理壓力力簡(jiǎn)化操作流程程降低管理成本本用戶(hù)收益堡壘主機(jī)基本本部署DMZ或設(shè)備中心工作區(qū)IT運(yùn)維人員IT運(yùn)維人員Internet堡壘主機(jī)產(chǎn)品規(guī)格產(chǎn)品名稱(chēng)型號(hào)產(chǎn)品描述LanSecS－NK－501U硬件設(shè)備、最大能夠管理50個(gè)資源數(shù)LanSecS－NK－1001U硬件設(shè)備、最大能夠管理100個(gè)資源數(shù)LanSecS－NK－2002U硬件設(shè)備、最大能夠管理200個(gè)資源數(shù)LanSecS－NK－5002U硬件設(shè)備、最大能夠管理500個(gè)資源數(shù)典型案例中國(guó)人保30多臺(tái)類(lèi)Unix主機(jī)（包括SCOUnix、RedHatLinux、Solaris、AIX等）20多臺(tái)Windows主機(jī)（操作系系統(tǒng)為windows2003/2000和少數(shù)XP）60多臺(tái)核心交換換和路由器北師大航天長(zhǎng)城100多個(gè)被管資源公司簡(jiǎn)介-圣博潤(rùn)2000年成立與中關(guān)關(guān)村科技園區(qū)區(qū)10年專(zhuān)業(yè)致力與與信息安全軟軟件產(chǎn)品開(kāi)發(fā)發(fā)、研究和服服務(wù)國(guó)內(nèi)領(lǐng)先的信信息安全產(chǎn)品品和服務(wù)提供供商自主知識(shí)產(chǎn)權(quán)權(quán)總公司設(shè)在北北京，在中國(guó)國(guó)29個(gè)重要城市設(shè)設(shè)有辦事機(jī)構(gòu)構(gòu)，擁有以北北京和南京地地區(qū)為支點(diǎn)的的研發(fā)體系，，在華東、、華南、東北北地區(qū)設(shè)有分分公司目前公司總?cè)藬?shù)為為300人，研發(fā)和技技術(shù)人員人數(shù)數(shù)占員工總數(shù)數(shù)近40%近萬(wàn)家的成功功案例國(guó)內(nèi)內(nèi)網(wǎng)安全全產(chǎn)品和服務(wù)務(wù)綜合廠商中中唯一上市公司公司人員增長(zhǎng)示意圖2000200320062010335902102008150公司簡(jiǎn)介-圣博潤(rùn)公司于2009年2月18日在深交所新新三板市場(chǎng)正正式掛牌，股股票代碼為430046是國(guó)內(nèi)安全運(yùn)運(yùn)維防護(hù)產(chǎn)品品企業(yè)中唯一一一家上市公公司公司技術(shù)具備備創(chuàng)新性，管管理規(guī)范公司具備可持持續(xù)發(fā)展能力力，售后服務(wù)務(wù)值得用戶(hù)/合作伙伴信