UMA V200R001 方案介紹培訓(xùn)膠片

修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHUAWEI

UMA運(yùn)維行為審計(jì)V200R001C00SPC100及以后版本V2.0開發(fā)/優(yōu)化者時(shí)間審核人開發(fā)類型（新開發(fā)/優(yōu)化）李強(qiáng)2012-11-30王欽騫、吳俊杰新開發(fā)劉秀鋒2013-06-08優(yōu)化UMA運(yùn)維行為審計(jì)

方案介紹目標(biāo)學(xué)完本課程后，您將能夠:描述UMA運(yùn)維行為審計(jì)的定位和價(jià)值熟悉UMA運(yùn)維行為審計(jì)的主要功能特性、應(yīng)用場景熟悉UMA運(yùn)維行為審計(jì)的系統(tǒng)架構(gòu)、軟硬件組成了解UMA運(yùn)維行為審計(jì)的組網(wǎng)應(yīng)用目錄方案概述運(yùn)維現(xiàn)狀解決思路方案介紹應(yīng)用場景組網(wǎng)應(yīng)用企業(yè)運(yùn)維現(xiàn)狀多點(diǎn)接入，分散管理共享賬號(hào)訪問控制不嚴(yán)操作無法審計(jì)數(shù)據(jù)丟失、服務(wù)異常、責(zé)任失控多樣的運(yùn)維接入方式：RDP、VNC、Telnet、SSH、plsqlsqlplus、FTP、SFTP、Http、Https分散的多點(diǎn)登錄方式，無法進(jìn)行身份認(rèn)證和授權(quán)控制。操作不規(guī)范，濫操作、誤操作對系統(tǒng)破壞較大。

缺乏統(tǒng)一資源授權(quán)平臺(tái)

缺乏統(tǒng)一運(yùn)維接入管理資源和權(quán)限無法集中管理，越權(quán)事件時(shí)有發(fā)生；對高危操作無法監(jiān)控和控制。缺乏集中統(tǒng)一的訪問控制策略，各個(gè)系統(tǒng)訪問控制自成一體。

共享帳號(hào)使用問題

無法進(jìn)行操作行為的審計(jì)對用戶操作行為無法記錄。難于對故障進(jìn)行精確定位和故障恢復(fù)出現(xiàn)了安全事故很難進(jìn)行責(zé)任鑒定和事件追溯。企業(yè)IT運(yùn)維問題分析海外上市企業(yè)國內(nèi)主板上市企業(yè)VisaNet網(wǎng)絡(luò)交易金融保險(xiǎn)政府薩班斯法案ISO27001:2005信息系統(tǒng)

安全等級(jí)保護(hù)企業(yè)內(nèi)部控制基本規(guī)范深市公司內(nèi)部控制指引上市公司內(nèi)部控制指引商業(yè)銀行內(nèi)部控制指引保險(xiǎn)公司風(fēng)險(xiǎn)管理指引（試行）PCIDSS審計(jì)合規(guī)性需求解決思路---最低的運(yùn)維操作風(fēng)險(xiǎn)明確身份清晰授權(quán)事前控制記錄日志實(shí)時(shí)監(jiān)控日志審計(jì)責(zé)任認(rèn)定事中監(jiān)控事后審計(jì)多維度運(yùn)維審計(jì)流程權(quán)限管理是核心資產(chǎn)管理是手段賬號(hào)管理是基礎(chǔ)操作審計(jì)是保障集中管理是前提解決思路---綜合的運(yùn)維審計(jì)方案你做了什么？操作審計(jì)你能做什么？權(quán)限管理你能去哪？資產(chǎn)管理你是誰？賬號(hào)管理解決思路---全面的運(yùn)維協(xié)議支持圖形終端運(yùn)維審計(jì)字符終端運(yùn)維審計(jì)數(shù)據(jù)庫運(yùn)維審計(jì)文件傳輸操作審計(jì)應(yīng)用終端操作審計(jì)KVM終端操作審計(jì)可擴(kuò)展的應(yīng)用運(yùn)維協(xié)議支持RDPX11VNCTelnetSSHFTPSFTPHTTPHTTPSOracleDB2SybaseSQLServerAvocentDSRHP’SAMIBM’SMITLinux’SetupRDP磁盤通道剪貼板AS400中間件InformixDSVIEWRARITAN安全設(shè)備|網(wǎng)絡(luò)設(shè)備

|主機(jī)設(shè)備

|數(shù)據(jù)庫服務(wù)器|應(yīng)用系統(tǒng)覆蓋了所有主流廠商的設(shè)備和系統(tǒng)解決思路---最小的用戶結(jié)構(gòu)影響HuaweiUMA外網(wǎng)運(yùn)維人員合作伙伴代維廠商出差員工核心業(yè)務(wù)應(yīng)用服務(wù)器網(wǎng)路設(shè)備內(nèi)網(wǎng)運(yùn)維人員旁路部署邏輯串聯(lián)數(shù)據(jù)庫部署策略通過配置交換機(jī)ACL訪問控制策略，只允許HuaweiUMA的IP訪問需要管理的設(shè)備通過HuaweiUMA的密碼集中管理，屏蔽管理設(shè)備的登錄密碼信息部署原則

不安裝任何客戶端代理

不安裝任何服務(wù)端引擎不影響現(xiàn)網(wǎng)拓?fù)浣Y(jié)構(gòu)不影響現(xiàn)網(wǎng)業(yè)務(wù)數(shù)據(jù)流華為統(tǒng)一運(yùn)維審計(jì)支持單機(jī)部署、雙機(jī)熱備部署、集群部署、分級(jí)部署。目錄方案概述方案介紹統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一授權(quán)統(tǒng)一審計(jì)應(yīng)用場景組網(wǎng)應(yīng)用你做了什么你是誰？集中接入，實(shí)現(xiàn)單點(diǎn)登錄密碼托管，定期自動(dòng)改密身份管理訪問控制權(quán)限分配操作審計(jì)華為統(tǒng)一運(yùn)維審計(jì)系統(tǒng)–方案總覽UMA統(tǒng)一接入統(tǒng)一認(rèn)證賬號(hào)管理，實(shí)現(xiàn)用戶實(shí)名多樣認(rèn)證，提供擴(kuò)展接口三層授權(quán)，控制非法訪問權(quán)限管理，實(shí)現(xiàn)主動(dòng)防御統(tǒng)一授權(quán)操作記錄，提供全面審計(jì)搜索定位，實(shí)現(xiàn)精確認(rèn)定統(tǒng)一審計(jì)你能去哪？你能做什么？集中接入，實(shí)現(xiàn)單點(diǎn)登錄統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一授權(quán)統(tǒng)一審計(jì)運(yùn)維審計(jì)系統(tǒng)-UMA通過訪問控制，不同的運(yùn)維人員擁有不同的資源訪問列表Portal運(yùn)維外包外網(wǎng)運(yùn)維內(nèi)網(wǎng)運(yùn)維DataBaseServerNetwork功能---B/S運(yùn)維平臺(tái)統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一授權(quán)統(tǒng)一審計(jì)提供統(tǒng)一的B/S運(yùn)維操作平臺(tái)，運(yùn)維用戶可以通過IE內(nèi)核瀏覽器登錄UMA統(tǒng)一運(yùn)維平臺(tái)，集中管理字符終端、圖形終端、圖形應(yīng)用、文件傳輸?shù)人幸咽跈?quán)資源。功能---C/S運(yùn)維平臺(tái)統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一授權(quán)統(tǒng)一審計(jì)提供統(tǒng)一的C/S運(yùn)維操作平臺(tái)，用戶可以通過SecureCRT、Putty等字符終端類遠(yuǎn)程管理客戶端軟件，直接登錄字符終端運(yùn)維平臺(tái)，集中管理TELNET、SSH等字符終端；用戶可以使用任何現(xiàn)有微軟遠(yuǎn)程桌面客戶端軟件，直接登錄圖形終端、圖形應(yīng)用、KVM運(yùn)維平臺(tái)，集中管理VNC、RDP、X11、HTTPS、數(shù)據(jù)庫、KVM等圖形資源；用戶可以使用任何現(xiàn)有FTP、SFTP客戶端軟件，直接登錄文件傳輸平臺(tái)，進(jìn)行FTP，SFTP文件傳輸。密碼托管，定期自動(dòng)改密統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一授權(quán)統(tǒng)一審計(jì)根據(jù)可自定義靈活的密碼修改策略，實(shí)現(xiàn)密碼的批量定期自動(dòng)修改，修改后的結(jié)果可以以加密郵件方式發(fā)送給密碼保管員，從而實(shí)現(xiàn)密碼的集中管理，同時(shí)密碼保管員也可以隨時(shí)在系統(tǒng)的WEB界面打包備份設(shè)備的密碼到本地，提高改密功能可用性?？伸`活配置目標(biāo)設(shè)備密碼的修改策略功能---目標(biāo)主機(jī)、帳號(hào)、密碼管理統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一授權(quán)統(tǒng)一審計(jì)賬號(hào)管理，實(shí)現(xiàn)用戶實(shí)名統(tǒng)一認(rèn)證統(tǒng)一接入統(tǒng)一授權(quán)統(tǒng)一審計(jì)誰用了root？張三

zhangsanroot李四

lisiroot孫九

sunjiuroot王二

wangeradmin功能---網(wǎng)關(guān)用戶、密碼管理統(tǒng)一認(rèn)證統(tǒng)一接入統(tǒng)一授權(quán)統(tǒng)一審計(jì)多樣認(rèn)證，提供擴(kuò)展接口統(tǒng)一認(rèn)證統(tǒng)一接入統(tǒng)一授權(quán)統(tǒng)一審計(jì)默認(rèn)支持本地認(rèn)證、Radius認(rèn)證以及證書認(rèn)證提供可擴(kuò)展的認(rèn)證方式Radius證書認(rèn)證本地認(rèn)證可擴(kuò)展認(rèn)證方式賬戶認(rèn)證管理運(yùn)維權(quán)限管理設(shè)備資源管理根據(jù)用戶認(rèn)證需求，提供快速認(rèn)證接口開發(fā)三層授權(quán)，控制非法訪問統(tǒng)一授權(quán)統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一審計(jì)賬號(hào)登錄授權(quán)管理資源訪問授權(quán)管理運(yùn)維操作授權(quán)管理運(yùn)維賬號(hào)生命周期管理運(yùn)維賬號(hào)統(tǒng)一認(rèn)證、授權(quán)、審計(jì)資源賬號(hào)生命周期管理運(yùn)維賬號(hào)與資源賬號(hào)的授權(quán)關(guān)聯(lián)受控資源賬號(hào)權(quán)限受控運(yùn)維賬號(hào)的命令集主動(dòng)權(quán)限管理層層授權(quán)功能---資源權(quán)限分配統(tǒng)一授權(quán)統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一審計(jì)可以在【設(shè)備組|設(shè)備|設(shè)備賬號(hào)】和【用戶|用戶組】之間靈活授權(quán)功能---用戶訪問策略控制統(tǒng)一授權(quán)統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一審計(jì)命令管理，控制高危操作統(tǒng)一授權(quán)統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一審計(jì)UserAUserBUserC資源

A資源

B資源

C運(yùn)維審計(jì)系統(tǒng)-UMA通過權(quán)限疊加方式實(shí)現(xiàn)授權(quán)最小化原則，對高危操作進(jìn)行控制和告警Backupreboot權(quán)限策略表rootUserA功能---高危操作命令控制策略管理統(tǒng)一授權(quán)統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一審計(jì)功能---高危操作主動(dòng)攔截和告警統(tǒng)一授權(quán)統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一審計(jì)操作記錄，提供全面審計(jì)統(tǒng)一審計(jì)統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一授權(quán)運(yùn)維操作命令記錄運(yùn)維過程錄像運(yùn)維命令返回值實(shí)時(shí)運(yùn)維操作記錄Syslog上報(bào)記錄機(jī)密存儲(chǔ)運(yùn)維實(shí)時(shí)監(jiān)控運(yùn)維命令分析靜態(tài)命令、動(dòng)態(tài)過程、返回值關(guān)聯(lián)全方面的運(yùn)維記錄資料過程監(jiān)控、永久保存、實(shí)時(shí)上報(bào)多維度的運(yùn)維記錄方式功能---精確、完整的安全審計(jì)統(tǒng)一審計(jì)統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一授權(quán)功能---SYSLOG輸出、日志轉(zhuǎn)儲(chǔ)統(tǒng)一審計(jì)統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一授權(quán)功能---報(bào)表管理統(tǒng)一審計(jì)統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一授權(quán)操作搜索，實(shí)現(xiàn)快速定位統(tǒng)一審計(jì)統(tǒng)一接入統(tǒng)一認(rèn)證統(tǒng)一授權(quán)運(yùn)維賬號(hào)運(yùn)維命令登錄地址主機(jī)地址主機(jī)賬號(hào)運(yùn)維時(shí)間段海量運(yùn)維日志快速定位多維度搜索，最短的時(shí)間內(nèi)找到相關(guān)日志內(nèi)容，實(shí)現(xiàn)快速定位4W目錄方案概述方案介紹應(yīng)用場景組網(wǎng)應(yīng)用應(yīng)用場景總覽高效運(yùn)維技術(shù)培訓(xùn)責(zé)任認(rèn)定運(yùn)維監(jiān)控合規(guī)審計(jì)網(wǎng)管人員維護(hù)人員運(yùn)維外包合作廠商技服人員…….運(yùn)維用戶業(yè)務(wù)服務(wù)器交換機(jī)防火墻安全網(wǎng)管數(shù)據(jù)庫服務(wù)器………設(shè)備資源專對運(yùn)維領(lǐng)域提供全生命周期的安全解決方案應(yīng)用場景---高效的運(yùn)維管理運(yùn)維記錄審計(jì)運(yùn)維過程監(jiān)控運(yùn)維會(huì)同申請賬號(hào)權(quán)限分配部署前：所有人員使用root賬戶運(yùn)維分散接入，運(yùn)維不可控通過定期修改密碼來增強(qiáng)服務(wù)器安全性登錄所有資產(chǎn)修改密碼密碼定期修改后必須知會(huì)所有人部署后：自然人對應(yīng)分配權(quán)限的運(yùn)維賬號(hào)統(tǒng)一接入，有憑有據(jù)運(yùn)維系統(tǒng)修改密碼，郵件通知指定策略，運(yùn)維系統(tǒng)定期修改符合規(guī)則密碼密碼集中管理，不影響運(yùn)維工作運(yùn)維操作實(shí)施應(yīng)用場景---單點(diǎn)登錄內(nèi)網(wǎng)運(yùn)維人員OA系統(tǒng)運(yùn)維人員通過主身份ID登錄后，可直接登錄各目標(biāo)系統(tǒng)，無需輸入用戶名和密碼，運(yùn)維人員也不再需要記住多個(gè)系統(tǒng)的帳號(hào)和口令，提高用戶使用的便利性；運(yùn)維人員不再會(huì)把各個(gè)系統(tǒng)設(shè)置相同的口令或簡單口令，而是由單點(diǎn)登錄系統(tǒng)給各個(gè)系統(tǒng)設(shè)置復(fù)雜的口令，提高帳號(hào)口令安全性；靈活定制帳號(hào)管理、權(quán)限分配的審批流程，提高管理規(guī)范性、高效性，有效避免權(quán)限濫用。郵件系統(tǒng)報(bào)銷系統(tǒng)HR系統(tǒng)ERP系統(tǒng)UMA統(tǒng)一運(yùn)維審計(jì)②①禁止直接訪問??！應(yīng)用場景---嚴(yán)格訪問授權(quán)業(yè)務(wù)承載網(wǎng)網(wǎng)絡(luò)管理員WindowsHP-UXAIXSolaris業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)主機(jī)管理員認(rèn)證授權(quán)服務(wù)器實(shí)現(xiàn)基于角色的授權(quán)，實(shí)現(xiàn)權(quán)限最小化，確保合法的人做合法的事安全網(wǎng)關(guān)實(shí)現(xiàn)網(wǎng)絡(luò)層鑒權(quán)和訪問控制，禁止內(nèi)部幽靈帳號(hào)的訪問，拒絕越權(quán)訪問，有效避免安全事故安全網(wǎng)關(guān)實(shí)現(xiàn)基于網(wǎng)絡(luò)層的訪問控制，使用戶不能繞過對應(yīng)用系統(tǒng)進(jìn)行操作①②③允許拒絕④UMA統(tǒng)一運(yùn)維審計(jì)應(yīng)用場景---降低高危操作風(fēng)險(xiǎn)部署前：使用root最高權(quán)限運(yùn)維運(yùn)維過程不可控運(yùn)維質(zhì)量無法衡量系統(tǒng)后門通過修改密碼防止后續(xù)登錄部署后：分配運(yùn)維人員單獨(dú)的運(yùn)維賬號(hào)（時(shí)間、會(huì)同）登錄運(yùn)維服務(wù)器需要會(huì)同批準(zhǔn)運(yùn)維服務(wù)器密碼集中管理運(yùn)維過程記留日志實(shí)時(shí)監(jiān)控，高危阻斷

操作界面發(fā)現(xiàn)異常操作行為，立即阻斷應(yīng)用場景---賬號(hào)責(zé)任認(rèn)定移動(dòng)辦公合作伙伴運(yùn)維外包核心業(yè)務(wù)服務(wù)器Root帳號(hào)MickeHz_yangDw_wangEchoInternet內(nèi)部人員監(jiān)控審計(jì)部署前：所有人員使用root賬戶運(yùn)維分散接入，運(yùn)維不可控通過定期修改密碼來增強(qiáng)服務(wù)器安全性登錄所有資產(chǎn)修改密碼密碼定期修改后必須知會(huì)所有人部署后：自然人對應(yīng)分配權(quán)限的運(yùn)維賬號(hào)統(tǒng)一接入，有憑有據(jù)運(yùn)維系統(tǒng)修改密碼，郵件通知指定策略，運(yùn)維系統(tǒng)定期修改符合規(guī)則密碼密碼集中管理，不影響運(yùn)維工作應(yīng)用場景---滿足合規(guī)審計(jì)要求第三方審計(jì)機(jī)構(gòu)實(shí)時(shí)的運(yùn)維日志Syslog上報(bào)防篡改的運(yùn)維操作日志全流程的運(yùn)維屏幕錄像豐富的定制化報(bào)表導(dǎo)出應(yīng)用場景---實(shí)時(shí)技術(shù)培訓(xùn)目錄方案概述方案介紹應(yīng)用場景組網(wǎng)應(yīng)用產(chǎn)品介紹典型組網(wǎng)產(chǎn)品介紹HUAWEIUMA運(yùn)維行為審計(jì)提供統(tǒng)一的運(yùn)維操作入口，控制并記錄用戶進(jìn)行的運(yùn)維操作，支持以命令查看、視頻回放等方式進(jìn)行審計(jì)。UMA為軟硬件一體銷售，硬件分為只安裝UMA的硬件、只安裝Appbox的硬件、同時(shí)安裝UMA和Appbox的硬件，硬件型號(hào)均為T3200G3V1R3（2U）。注：APPBOX，即應(yīng)用發(fā)布中心，如需運(yùn)維數(shù)據(jù)庫、HTTP、HTTPS、第三方客戶端等圖形應(yīng)用，則需要選配產(chǎn)品介紹-硬件組成UMAUMA標(biāo)準(zhǔn)版（UMA堡壘主機(jī)）CPU：1*4核內(nèi)存：1*8G系統(tǒng)盤RAID1，數(shù)據(jù)RAID1或者R盤AID10