運(yùn)維堡壘機(jī)1.跳板機(jī)的簡(jiǎn)介及核心功能介紹
跳板機(jī) 一、跳板機(jī)簡(jiǎn)介
跳板機(jī)是一個(gè)服務(wù)器。 運(yùn)維人員在維護(hù)過程中必須先統(tǒng)一登錄本服務(wù)器,再登錄目標(biāo)設(shè)備進(jìn)行維護(hù)操作;
在騰訊,跳板機(jī)是開發(fā)者登錄服務(wù)器的唯一途徑。 開發(fā)者首先要登錄跳板機(jī),然后通過跳板機(jī)登錄應(yīng)用服務(wù)器。
二、跳板機(jī)的檢定方法
影響:
證書:證書為文本格式,粗細(xì)為; 它是應(yīng)用程序登錄機(jī)器的唯一身份標(biāo)志,每個(gè)用戶有且只有一個(gè)證書。
固定密碼:分配LDAP賬號(hào)時(shí),也會(huì)分配一個(gè)固定密碼
動(dòng)態(tài)驗(yàn)證碼(token):6位數(shù)字串,每個(gè)動(dòng)態(tài)驗(yàn)證碼有效期為3分鐘。
3、跳板機(jī)的優(yōu)缺點(diǎn):
優(yōu)勢(shì):集中管理
不足:未實(shí)現(xiàn)對(duì)運(yùn)維人員操作行為的管控和審計(jì)。 在使用跳板機(jī)的過程中,還是會(huì)出現(xiàn)誤操作和違規(guī)操作造成的事故。 一旦發(fā)生操作事故,很難快速定位原因和責(zé)任人。
四、運(yùn)維思維:運(yùn)維堡壘機(jī) 一、堡壘機(jī)簡(jiǎn)介
1)堡壘機(jī)的概念起源于跳板機(jī);
2005年,啟智科技研發(fā)出全球第一臺(tái)運(yùn)維堡壘機(jī); (啟智科技官網(wǎng))
2)啟智科技堡壘機(jī):
3)堡壘機(jī)是切斷終端對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和服務(wù)器資源的直接訪問,以契約代理的形式接管終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器的訪問。
二、堡壘機(jī)的功能 三、堡壘機(jī)的核心功能 1)單點(diǎn)登錄功能
支持對(duì)X11、Linux、Unix、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等一系列授權(quán)賬戶手動(dòng)定期修改密碼,簡(jiǎn)化密碼管理,讓用戶無需記憶眾多系統(tǒng)密碼,即可手動(dòng)登錄目標(biāo)設(shè)備,方便安全。
2) 賬戶管理
設(shè)備支持統(tǒng)一的賬戶管理策略,可實(shí)現(xiàn)對(duì)所有服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等賬戶的集中管理,完成對(duì)賬戶全生命周期的監(jiān)控,并可為設(shè)備設(shè)置特殊角落,如:審計(jì)檢查員、運(yùn)維操作員、設(shè)備管理員等,滿足審計(jì)需求。
3)身份認(rèn)證
設(shè)備提供統(tǒng)一的認(rèn)證接口對(duì)用戶進(jìn)行認(rèn)證,支持動(dòng)態(tài)密碼、靜態(tài)密碼、硬件密鑰、生物識(shí)別等多種身份認(rèn)證方式。 該設(shè)備具有靈活的自定義套接字,可以直接連接到其他第三方認(rèn)證服務(wù)器。 結(jié)合安全認(rèn)證方式,有效提高認(rèn)證的安全性和可靠性。
4)資源授權(quán)
設(shè)備提供基于用戶、目標(biāo)設(shè)備、時(shí)間、協(xié)議類型IP、行為等要素的細(xì)粒度操作授權(quán),最大程度保障用戶資源安全。
5)訪問控制
設(shè)備支持針對(duì)不同用戶制定不同策略,細(xì)粒度的訪問控制,最大限度保護(hù)用戶資源安全,杜絕非法、未授權(quán)訪問事件的發(fā)生;
6)運(yùn)行審計(jì)
設(shè)備可以對(duì)字符串、圖形、文件傳輸、數(shù)據(jù)庫(kù)等安全操作進(jìn)行行為審計(jì); 通過設(shè)備視頻監(jiān)控運(yùn)維人員對(duì)操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)的各種操作,并對(duì)違規(guī)行為進(jìn)行審計(jì)。 過程控制; 精準(zhǔn)搜索終端指令信息,精準(zhǔn)定位錄像;
4. 堡壘機(jī)應(yīng)用場(chǎng)景
1)多個(gè)用戶使用同一個(gè)賬戶
大多出現(xiàn)在同一個(gè)工作組,因?yàn)楣ぷ餍枰到y(tǒng)管理員賬號(hào)是唯一的,所以只能多個(gè)用戶共享同一個(gè)賬號(hào); 一旦發(fā)生安全事故,除了無法定位賬戶的實(shí)際使用人和責(zé)任人外,也無法對(duì)賬戶進(jìn)行核實(shí)。 有效控制使用范圍,存在較大安全隱患和隱患;
2) 一個(gè)用戶使用多個(gè)賬戶。
目前,一個(gè)維護(hù)人員使用多個(gè)賬號(hào)的情況比較普遍。 用戶需要記憶多組密碼,同時(shí)在多組主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備之間切換,提高了工作效率,降低了工作復(fù)雜度;
3)缺乏統(tǒng)一的權(quán)限管理平臺(tái),無法實(shí)現(xiàn)更細(xì)粒度的指揮權(quán)限控制。
維護(hù)人員權(quán)限多為粗放式管理,沒有基于最小權(quán)限分配原則的用戶權(quán)限管理,無法實(shí)現(xiàn)更細(xì)粒度的指揮權(quán)限控制,系統(tǒng)安全性難以得到充分保障;
4) 沒有制定統(tǒng)一的訪問審計(jì)策略,審計(jì)精細(xì)度粗糙。
每個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和數(shù)據(jù)庫(kù)都被單獨(dú)審計(jì)和記錄訪問行為。 由于沒有統(tǒng)一的審計(jì)策略,各個(gè)系統(tǒng)自身的審計(jì)日志內(nèi)容不盡相同,無法通過系統(tǒng)自身的審計(jì)及時(shí)發(fā)現(xiàn)違規(guī)操作并追究取證;
5)傳統(tǒng)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)無法對(duì)維護(hù)人員常用的SSH、RDP等加密、圖形化操作合約的內(nèi)容進(jìn)行審計(jì)。
5. 目標(biāo)價(jià)值 1) 目標(biāo)
堡壘機(jī)的核心思想是在邏輯上將人與目標(biāo)設(shè)備分開,構(gòu)建“人->主賬號(hào)(堡壘機(jī)用戶賬號(hào))->授權(quán)->從賬號(hào)(目標(biāo)設(shè)備賬號(hào))”的模式);在這些模式中,基于唯一身份標(biāo)識(shí),通過對(duì)賬戶管理、授權(quán)管理和安全策略審計(jì)的集中管控,對(duì)“主賬戶->登錄->訪問操作”的全流程進(jìn)行完整的審計(jì)管理->維護(hù)人員注銷”,實(shí)現(xiàn)對(duì)各種運(yùn)維的加密/非加密、graph-op合約的命令級(jí)審計(jì)。
2)系統(tǒng)值
堡壘機(jī)的作用主要表現(xiàn)在以下幾個(gè)方面:
企業(yè)視角
通過細(xì)粒度的安全管控策略服務(wù)器運(yùn)維,保障企業(yè)服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、安全設(shè)備等安全可靠運(yùn)行,增加人身安全風(fēng)險(xiǎn),防范安全損失,保障企業(yè)利益。
管理員視角
針對(duì)使用超級(jí)管理的多個(gè)賬戶同時(shí)操作,需要實(shí)名制認(rèn)證和自然人關(guān)聯(lián)。
普通用戶視角
運(yùn)維人員只需記住一個(gè)賬號(hào)和密碼,一次登錄,即可實(shí)現(xiàn)對(duì)自己維護(hù)的多臺(tái)設(shè)備的訪問。 無需記憶多個(gè)帳號(hào)和密碼,提高工作效率,降低工作復(fù)雜度。
六、申請(qǐng)
用于單點(diǎn)登錄的主機(jī)應(yīng)用程序系統(tǒng)。 目前,中國(guó)聯(lián)通、中國(guó)移動(dòng)、中國(guó)聯(lián)通廣泛使用堡壘機(jī)來完成中國(guó)薩班斯法案要求的單點(diǎn)登錄和審計(jì)。
在工商銀行、證券等金融機(jī)構(gòu)中,堡壘機(jī)也被廣泛用于完成財(cái)務(wù)會(huì)計(jì)業(yè)務(wù)的審計(jì)。
電力行業(yè)雙網(wǎng)改造工程后,利用堡壘機(jī)完成雙網(wǎng)隔離后的跨網(wǎng)訪問問題,也可以解決兩網(wǎng)間訪問的安全問題。
七、相關(guān)廠商
目前,已經(jīng)有不少?gòu)S商開始投身于這一領(lǐng)域,如:思芙迪、帕拉迪斯、三博潤(rùn)、上思卓越、綠盟科技、[3]科優(yōu)、啟智、金萬維、Polar、派拉等,這些都是行業(yè)內(nèi)均是專業(yè)廠商,深受企業(yè)用戶的好評(píng),但各廠商的產(chǎn)品側(cè)重點(diǎn)不同。
以某運(yùn)維安全審計(jì)產(chǎn)品為例,其產(chǎn)品更側(cè)重于運(yùn)維安全管理。 是集單點(diǎn)登錄、賬戶管理、身份認(rèn)證、資源授權(quán)、訪問控制、操作審計(jì)為一體的新一代運(yùn)維安全審計(jì)產(chǎn)品,可以對(duì)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)等事后追溯,全面解決企業(yè)運(yùn)維安全問題,提升企業(yè)IT運(yùn)維管理水平。
八、堡壘機(jī)功能 1)身份認(rèn)證與授權(quán)管理
完善的用戶管理機(jī)制和靈活的認(rèn)證形式
為解決企業(yè)IT系統(tǒng)普遍存在的交叉運(yùn)維難以確定責(zé)任的問題,堡壘機(jī)提出了“賬戶集中管理”的解決方案; 集中的賬戶管理可以完成對(duì)賬戶整個(gè)生命周期的監(jiān)控和管理,同時(shí)也增加了企業(yè)管理大量用戶賬戶的難度和工作量。 同時(shí),通過統(tǒng)一管理,可以及時(shí)發(fā)現(xiàn)賬戶中存在的安全隱患,制定統(tǒng)一規(guī)范的用戶賬戶安全策略。 對(duì)于平臺(tái)內(nèi)創(chuàng)建的運(yùn)維用戶,可支持靜態(tài)密碼、動(dòng)態(tài)密碼、數(shù)字證書等認(rèn)證方式; 支持密碼硬度、密碼有效期、密碼嘗試死鎖、用戶激活等安全管理功能; 支持用戶組管理; 支持用戶信息導(dǎo)出導(dǎo)入,方便批量處理。
2)細(xì)粒度靈活的授權(quán)
系統(tǒng)提供基于用戶、運(yùn)維合約、目標(biāo)主機(jī)、運(yùn)維時(shí)間段(年、月、日、周、時(shí)間)等組合的授權(quán)功能,實(shí)現(xiàn)細(xì)粒度的授權(quán)功能,滿足用戶的實(shí)際授權(quán)需求。 授權(quán)可以基于:用戶對(duì)資源、用戶組對(duì)資源、用戶對(duì)資源組、用戶組對(duì)資源組。
單點(diǎn)登錄功能是運(yùn)維人員通過堡壘機(jī)的認(rèn)證授權(quán)后,堡壘機(jī)可以根據(jù)配置策略手動(dòng)登錄后臺(tái)資源。 保證了運(yùn)維人員與后臺(tái)資源賬號(hào)的對(duì)應(yīng)關(guān)系可控,同時(shí)實(shí)現(xiàn)了后臺(tái)資源賬號(hào)密碼的統(tǒng)一保護(hù)和管理。 系統(tǒng)提供運(yùn)維用戶手動(dòng)登錄后臺(tái)資源的功能。 堡壘機(jī)可手動(dòng)獲取后臺(tái)資源賬戶信息,并根據(jù)密碼安全策略定期手動(dòng)修改后臺(tái)資源賬戶密碼; 根據(jù)管理員的配置,運(yùn)維用戶對(duì)應(yīng)后臺(tái)資源賬號(hào),限制賬號(hào)的非授權(quán)使用; 運(yùn)維用戶通過堡壘機(jī)認(rèn)證授權(quán)后,SSA根據(jù)分配的賬號(hào)實(shí)現(xiàn)手動(dòng)登錄后臺(tái)資源。
九、運(yùn)維事件控制 1)實(shí)時(shí)監(jiān)控
監(jiān)控正在運(yùn)維的會(huì)話,信息包括被運(yùn)維用戶、被運(yùn)維客戶端地址、資源地址、協(xié)議、啟動(dòng)時(shí)間等:監(jiān)控正在訪問的后臺(tái)資源,提供在線運(yùn)維運(yùn)行實(shí)時(shí)監(jiān)控功能。 對(duì)于命令交互合約,可以實(shí)時(shí)監(jiān)控運(yùn)維中的各種操作,信息與運(yùn)維客戶端看到的完全一致。
2) 非法操作實(shí)時(shí)預(yù)警和攔截
針對(duì)運(yùn)維過程中可能存在的操作風(fēng)險(xiǎn)隱患,SSA根據(jù)用戶配置的安全策略,在運(yùn)維過程中實(shí)施違規(guī)操作檢查,并對(duì)違規(guī)操作進(jìn)行實(shí)時(shí)告警和阻斷,從而降低操作風(fēng)險(xiǎn),提高安全管控能力。 非字符合約的操作可被實(shí)時(shí)阻止;
角色合約的操作可以通過用戶配置的命令行規(guī)則進(jìn)行匹配,實(shí)現(xiàn)報(bào)警和攔截。 告警動(dòng)作支持提權(quán)、會(huì)話阻塞、郵件告警、短信告警等。
10. 運(yùn)維風(fēng)波事后審計(jì) 1) 普通合約是否可以記錄完整的對(duì)話過程?
只有堡壘機(jī)可以完整記錄SSH/FTP//SFTP/Http/Https/RDP/X11/VNC等日常運(yùn)維合約,滿足日后審計(jì)需要; 審計(jì)結(jié)果可以視頻和日志的形式呈現(xiàn),視頻信息包括運(yùn)維用戶名、目標(biāo)資源名、客戶端IP、客戶端計(jì)算機(jī)名、協(xié)議名、運(yùn)維開始時(shí)間、結(jié)束時(shí)間、操作和維護(hù)時(shí)間等
2)詳細(xì)的審計(jì)和回放
只有運(yùn)維人員以會(huì)話為單位對(duì)會(huì)話中的視頻進(jìn)行操作時(shí),才能對(duì)用戶名、日期、內(nèi)容進(jìn)行單一查詢和組合查詢定位。 根據(jù)操作內(nèi)容中的運(yùn)維用戶、運(yùn)維地址、后臺(tái)資源地址、協(xié)議、開始時(shí)間、結(jié)束時(shí)間、關(guān)鍵字組合進(jìn)行組合查詢; 對(duì)于命令串形式的合約,逐字命令及相關(guān)操作結(jié)果展示:提供圖像回放,真實(shí)、直觀、可視化再現(xiàn)當(dāng)時(shí)的操作過程; 回放提供快放、慢放、拖拽等多種方式,搜索按鈕輸入關(guān)鍵詞可直接定位回放; 針對(duì)RDP、X11、VNC合約,提供按時(shí)間定位播放功能。
3)豐富的審計(jì)報(bào)表功能
堡壘機(jī)系統(tǒng)平臺(tái)可以對(duì)運(yùn)維人員的日常操作、會(huì)話管理員對(duì)審計(jì)平臺(tái)的操作配置、報(bào)表數(shù)量等進(jìn)行各種報(bào)表的統(tǒng)計(jì)分析。 報(bào)表包括:日?qǐng)?bào)表、會(huì)話報(bào)表、自審計(jì)運(yùn)行報(bào)表、報(bào)警表、綜合統(tǒng)計(jì)報(bào)表,自定義報(bào)表可根據(jù)個(gè)性化需求設(shè)計(jì)解讀。 以上報(bào)表可以EXCEL格式輸出,可以折線圖、柱狀圖、餅圖等圖形方式進(jìn)行解讀。
4) 應(yīng)用發(fā)布
針對(duì)用戶獨(dú)特的運(yùn)維需求,堡壘機(jī)推出了業(yè)界領(lǐng)先的虛擬桌面主機(jī)安全操作系統(tǒng)設(shè)備。 只有配合堡壘機(jī)進(jìn)行審計(jì),才能充分滿足審計(jì)、控制、授權(quán)的要求。 借助本產(chǎn)品、數(shù)據(jù)庫(kù)維護(hù)工具等工具,對(duì)運(yùn)維操作進(jìn)行監(jiān)控和審計(jì)。
11. 特點(diǎn) 1) 超全審計(jì)合同范圍
平臺(tái)采用基于數(shù)據(jù)包還原的合約分析和虛擬化技術(shù),實(shí)現(xiàn)操作界面模擬,將所有操作轉(zhuǎn)化為圖形化界面進(jìn)行解釋,實(shí)現(xiàn)審計(jì)信息100%不丟失:圖形化審計(jì)功能對(duì)運(yùn)維操作的解釋,同時(shí)可以對(duì)字符進(jìn)行分析,包括命令行操作的命令,非字符操作時(shí)的回顯信息和鼠標(biāo)鼠標(biāo)點(diǎn)擊信息。
系統(tǒng)支持的審計(jì)合約和工具包括:
2) 合同和工具包括 3) 報(bào)告管理
平臺(tái)具有豐富的報(bào)表統(tǒng)計(jì)功能,可以進(jìn)行默認(rèn)報(bào)表和自定義報(bào)表進(jìn)行運(yùn)維數(shù)據(jù)的報(bào)表統(tǒng)計(jì)。
平臺(tái)提供多種報(bào)表格式,包括Word、Excel等。
平臺(tái)提供折線圖、餅圖、柱狀圖等多種圖表統(tǒng)計(jì)運(yùn)維數(shù)據(jù),方便后期運(yùn)維分析和管理。
4)建立用戶管理權(quán)限的機(jī)制
平臺(tái)對(duì)用戶的管理權(quán)限嚴(yán)格界定,各司其職。 分為四種管理員角色:系統(tǒng)管理員、審計(jì)管理員、運(yùn)維管理員、密碼管理員。 該平臺(tái)還支持自定義創(chuàng)建管理員角色。 管理權(quán)限精細(xì)化設(shè)置,確保平臺(tái)用戶安全管理滿足審計(jì)要求
平臺(tái)集用戶管理、身份認(rèn)證、資源授權(quán)、訪問控制、操作審計(jì)于一體,有效實(shí)現(xiàn)事前預(yù)防、事中控制、事后審計(jì)。
5)高效的處理能力
審計(jì)平臺(tái)可以完整透明轉(zhuǎn)發(fā)常見的SSH//FTP/SFTP/HTTP/HTTPS//X11、VNC合約,對(duì)RDP/VNC/X11等圖形化合約的處理能力強(qiáng)于同類產(chǎn)品。
6)可擴(kuò)展性和兼容性
平臺(tái)采用模塊化設(shè)計(jì),單個(gè)模塊故障不影響其他模塊的使用,提高了平臺(tái)的健壯性和穩(wěn)定性。
運(yùn)維人員登錄可支持統(tǒng)一登錄,兼容終端C/S客戶端連接設(shè)備;
審計(jì)平臺(tái)認(rèn)證形式可定制,兼容第三方認(rèn)證設(shè)備
憑借強(qiáng)大的研發(fā)能力,不僅可以為客戶提供常年的產(chǎn)品更新,還可以根據(jù)客戶的實(shí)際需求進(jìn)行定制化開發(fā)。
7)靈活的部署形式
堡壘機(jī)提供審計(jì)管理功能,功能完善,操作靈活,使用方便,界面友好,習(xí)慣; B/S方式實(shí)現(xiàn)后臺(tái)各種管理配置。
該平臺(tái)簡(jiǎn)單易部署。 通過配置導(dǎo)航,可以在短時(shí)間內(nèi)完成配置需求,實(shí)現(xiàn)上線需求。
8) 建立系統(tǒng)安全設(shè)計(jì)
12.案例A連鎖酒店公司
客戶現(xiàn)狀及需求:
IT系統(tǒng)分散在全省總店和分店連鎖餐廳。 每個(gè)餐廳都有相應(yīng)的技術(shù)人員進(jìn)行系統(tǒng)運(yùn)維; 總部還設(shè)有運(yùn)維人員,對(duì)全省IT系統(tǒng)的整體運(yùn)維質(zhì)量負(fù)最終責(zé)任。 責(zé)任。
酒店實(shí)體越來越多,總部IT運(yùn)維工作越來越復(fù)雜,運(yùn)維問題越來越突出。 一個(gè)最基本的場(chǎng)景是:當(dāng)某酒店的IT系統(tǒng)出現(xiàn)問題,當(dāng)?shù)氐腎T運(yùn)維人員無法解決時(shí),就會(huì)打電話給總部求助。 這個(gè)時(shí)候,總部的技術(shù)工程師根本就無法了解到最原始的問題,因?yàn)樵瓉淼膯栴}經(jīng)過分公司運(yùn)維工程師的操作已經(jīng)完全變了,可能還會(huì)引入新的問題。 沒有解決問題的線索。 所以總部的工程師們很想知道從一開始的問題假象到分公司運(yùn)維人員的運(yùn)維到底是怎么回事。 此外,還有其他運(yùn)維問題列舉如下:
1、運(yùn)維人員管理方式落后,當(dāng)時(shí)沒有明確職責(zé),沒有對(duì)各方運(yùn)維工作的質(zhì)量和數(shù)量進(jìn)行有效的評(píng)價(jià)和評(píng)價(jià)。
2.沒有設(shè)備賬號(hào)管理。 連鎖酒店的每位運(yùn)維人員負(fù)責(zé)多套信息系統(tǒng)的運(yùn)維管理。 同時(shí),在大多數(shù)情況下,某一套信息系統(tǒng)往往需要多名運(yùn)維人員共同管理。 在這種情況下,密碼丟失、登錄失敗、密碼被隨意更改等情況時(shí)有發(fā)生。 而且,對(duì)于第三方維護(hù)人員來說,沒有更強(qiáng)大的設(shè)備賬號(hào)檢測(cè)機(jī)制和有效的生命周期管理機(jī)制;
解決方案:
進(jìn)行統(tǒng)一認(rèn)證,認(rèn)證成功后,進(jìn)行有權(quán)限的IT設(shè)備的運(yùn)維。 整個(gè)運(yùn)維過程全程錄像,對(duì)危險(xiǎn)操作具有報(bào)警、阻斷功能。
通過這些“跳板機(jī)”解決方案,運(yùn)維人員只需要記住一個(gè)密碼,就可以操作和維護(hù)授權(quán)的設(shè)備。 使用運(yùn)維審計(jì)集中管理客戶端軟件,可讓總部運(yùn)維人員隨時(shí)查詢分散在全省各地的酒店IT系統(tǒng)的運(yùn)維視頻,遠(yuǎn)程視頻也能流暢播放通過播放器。
客戶利潤(rùn):
運(yùn)維安全審計(jì)堡壘平臺(tái)后,所有運(yùn)維人員以統(tǒng)一用戶登錄系統(tǒng); 所有操作和維護(hù)操作均有記錄; 操作對(duì)應(yīng)的是真實(shí)的自然人,而不是設(shè)備賬號(hào)。 出現(xiàn)問題后,可快速調(diào)出運(yùn)維操作視頻進(jìn)行排查,并可根據(jù)視頻追溯問題根源,直接定位問題癥結(jié),提供寶貴的第一手資料用于解決 IT 系統(tǒng)故障的信息。
部署安全審計(jì)堡壘平臺(tái)后,平均解決問題時(shí)間縮短至1-2小時(shí),運(yùn)維質(zhì)量得到數(shù)量級(jí)提升。 另外,因?yàn)橛幸曨l可供學(xué)習(xí)、交流和參考,一定程度上提升了所有運(yùn)維人員的運(yùn)維體驗(yàn)。
中國(guó)某商業(yè)銀行
客戶現(xiàn)狀及需求:
就內(nèi)部運(yùn)維管理安全而言,原有的人工管理手段已經(jīng)不能滿足當(dāng)前和未來業(yè)務(wù)發(fā)展的要求。 為此,建行提出按照國(guó)家相關(guān)法律法規(guī)的要求,按照建行業(yè)務(wù)系統(tǒng)自身安全等級(jí)保護(hù)規(guī)則的要求,建設(shè)服務(wù)器和設(shè)備接入安全管理系統(tǒng),使系統(tǒng)安全管理人員可以對(duì)信息系統(tǒng)的用戶和各種資源進(jìn)行監(jiān)控。 實(shí)行集中管理、集中授權(quán)、集中審計(jì),從技術(shù)上保障信息系統(tǒng)安全政策的落實(shí)。 具體需要滿足以下功能需求:
1. 賬戶集中管理,但只能對(duì)用戶進(jìn)行一定的權(quán)限定義和管理;
2. 權(quán)限控制,對(duì)用戶進(jìn)行細(xì)粒度的權(quán)限控制,將用戶和設(shè)備關(guān)聯(lián)起來進(jìn)行運(yùn)維的目標(biāo)設(shè)備;
3、在運(yùn)維過程中,可對(duì)違規(guī)信息進(jìn)行預(yù)警、增加權(quán)限、攔截操作,實(shí)現(xiàn)活動(dòng)過程中的實(shí)時(shí)審計(jì)管理;
4、事后審核錄像可回放、復(fù)式查詢、定位回放等便捷操作;
解決方案:
該銀行選擇了某品牌的堡壘機(jī)作為其安全審計(jì)項(xiàng)目的參與者。
構(gòu)建RBAC角色授權(quán)機(jī)制,通過用戶和設(shè)備,集中用戶管理,有效定義用戶在設(shè)備管理中的權(quán)限,如“三權(quán)”(系統(tǒng)管理員權(quán)限、運(yùn)維管理員權(quán)限、審計(jì)管理員權(quán)限)的劃分關(guān)聯(lián)管理實(shí)現(xiàn)了用戶運(yùn)維權(quán)限的細(xì)分; 之后,通過一些安全策略設(shè)置來增加非法操作對(duì)資源造成的破壞。 雖然出現(xiàn)問題,但可以通過視頻查詢進(jìn)行“事發(fā)現(xiàn)場(chǎng)”回放,實(shí)現(xiàn)防控。 、審核一站式; 具體來說,在銀行的運(yùn)維管理項(xiàng)目中,實(shí)現(xiàn)了以下幾點(diǎn):
1、在對(duì)用戶進(jìn)行集中管理的同時(shí),也定義了相應(yīng)的權(quán)限,權(quán)限獨(dú)立、清晰;
2、能夠提前預(yù)防,針對(duì)銀行擁有大量第三方維護(hù)人員的情況,采取多樣化的角色類型和接入策略;
3、實(shí)現(xiàn)對(duì)設(shè)備資源非法操作的權(quán)限提升和告警,發(fā)現(xiàn)嚴(yán)重違規(guī)操作時(shí)直接阻止操作; (權(quán)限增強(qiáng)是指:個(gè)別指令需要更高級(jí)別角色的臨時(shí)授權(quán)才能執(zhí)行。)
4、實(shí)現(xiàn)事后審核的方便快捷,結(jié)合視頻查詢定位,直接找到問題點(diǎn);
客戶利潤(rùn):
對(duì)內(nèi)部運(yùn)維人員工作流程進(jìn)行了梳理,明確了IT系統(tǒng)和設(shè)備對(duì)其運(yùn)維的職責(zé)。 事實(shí)上,通過運(yùn)維審計(jì)體系的約束,這樣的約束和流程越來越清晰,業(yè)務(wù)數(shù)據(jù)的安全性和IT系統(tǒng)的運(yùn)維都得到了顯著提升。
但由于堡壘機(jī)產(chǎn)品沿用了國(guó)際流行的RBAC角色授權(quán)機(jī)制,以及P2DR安全模型、4A身份認(rèn)證等安全防護(hù)體系,使銀行信息系統(tǒng)安全防護(hù)水平有了質(zhì)的飛躍。
某期貨機(jī)構(gòu)
問題描述:
難以客觀支付報(bào)酬; 不僅如此,更為嚴(yán)重的是,在軟件開發(fā)過程中服務(wù)器運(yùn)維,由于某軟件外包公司開發(fā)人員的誤操作,導(dǎo)致期貨機(jī)構(gòu)部分系統(tǒng)模塊突然無法正常使用,持續(xù)時(shí)間長(zhǎng)達(dá)10分鐘。 10分鐘損失數(shù)百萬美元,造成了嚴(yán)重的負(fù)面影響。 既然沒有證據(jù)證明是軟件外包商干的,后果只能自己承擔(dān); 同時(shí),機(jī)構(gòu)的運(yùn)維管理也存在一定的問題,越權(quán)運(yùn)維、誤操作、共享賬號(hào)等運(yùn)維問題也時(shí)有發(fā)生,那么如何實(shí)現(xiàn)運(yùn)維審計(jì)并同時(shí)實(shí)現(xiàn)運(yùn)維管理是組織信息中心主任急需解決的問題?
解決方案:
在期貨機(jī)構(gòu)后續(xù)的發(fā)展過程中,所有的運(yùn)維和開發(fā)人員都必須經(jīng)過一道“門”。 這道“閘門”就是金萬維的運(yùn)維安全審計(jì)系統(tǒng)。 之后根據(jù)設(shè)定的權(quán)限對(duì)目標(biāo)設(shè)備進(jìn)行運(yùn)維,并記錄整個(gè)運(yùn)維過程; 并且可以通過報(bào)表和圖表統(tǒng)計(jì)和審計(jì)每個(gè)運(yùn)維人員每晚、每周、每月的運(yùn)維情況。 同時(shí)實(shí)現(xiàn)了運(yùn)維管理;
客戶利潤(rùn):
通過部署運(yùn)維安全審計(jì)系統(tǒng),期貨機(jī)構(gòu)運(yùn)維人員與第三方機(jī)構(gòu)外包開發(fā)人員進(jìn)行統(tǒng)一賬戶管理,對(duì)運(yùn)維進(jìn)行“生命周期”自動(dòng)化管理第三方開發(fā)者的維護(hù)賬號(hào)。 使用時(shí)間過后,第三方開發(fā)者將無權(quán)再使用該運(yùn)維賬號(hào)登錄。 期貨機(jī)構(gòu)不僅可以針對(duì)危險(xiǎn)操作行為設(shè)置安全策略,盡量將已知風(fēng)險(xiǎn)降到最低; 在未來的發(fā)展過程中,期貨機(jī)構(gòu)可以通過運(yùn)維報(bào)表中的統(tǒng)計(jì)數(shù)據(jù)來支付工資,并對(duì)“矛盾”的問題進(jìn)行視頻回放,找到問題的根源; 在實(shí)現(xiàn)運(yùn)維管理的同時(shí),真正實(shí)現(xiàn)了運(yùn)維審計(jì),為期貨機(jī)構(gòu)的信息化建設(shè)做出了重大貢獻(xiàn);
某互聯(lián)網(wǎng)IT公司
問題描述:
A well-known IT in still aims to with -edge and in the field of media , such as SEM/SEO/ , , etc. the , and R&D teams have also been in and . The and a .
With the of R&D and the of scale, some have been , such as , and , no of and , to find the for , and for the R&D . The and work be and other are the work and of the team;
解決方案:
After a well-known IT in found us, they on-site and , and found that the main "crux" was that the were not only the , but also often at home, into the IT in other for and . At the same time, the of login was . , The and is not , the is too , there is no for the and , and there is no and for the of and of the ; " the right " after the and audit . All R&D must be “” the audit , and can carry out and work. The main R&D can be by such as and cards. User are “” at the same time. All video are out. On the one hand, the video can be used as "error ", and on the other hand, it can be used as a " "; the of the and audit , the root can be , and the and audit ;
:
The of the and audit has the of the team, and a solid for and safe ; the audit video is used as the video, and the and is used as the basis, which the new for the team. and KPI . it is from the of or the of and , it can and work .
售前咨詢專員
