LanSecS内控管理平台堡垒主机技术白皮书.docx

1、LanSecS内控管理平台堡垒主机技术白皮书 LanSecS内控管理平台（堡垒主机）技术白皮书北京圣博润高新技术股份有限公司 2010年12月目录1 背景 31.1 概述 31.2 管理现状 31.2.1 使用共享帐号的安全隐患 31.2.2 密码策略无法有效执行 41.2.3 授权不清晰 41.2.4 访问控制策略不严格 41.2.5 用户操作无法有效审计 41.3 问题分析 52 设计理念 62.1 集中管理模式 62.2 协议代理 62.3 身份授权分离 73 产品概述 83.1 产品综述 83.2 产品组成 93.3 产品功能 93.3.1 单点登录 93.3.2 账户管理 103.3

2、.3 身份认证 103.3.4 资源授权 103.3.5 访问控制 113.3.6 操作审计 114 关键技术 124.1 逻辑命令自动识别技术 124.2 分布式处理技术 134.3 正则表达式匹配技术 134.4 RDP协议代理 134.5 多进程/线程与同步技术 134.6 数据加密功能 134.7 审计查询检索功能 144.8 操作还原技术 145 产品优势 155.1 良好的扩展性 155.2 强大的审计功能 155.3 部署和使用简单 155.4 高度的安全性和成熟性 156 主要应用 166.1 运维管理 166.2 安全管理 167 技术参数 178 产品部署 198.1 逻辑

3、部署示意图 198.2 物理部署示意图 198.3 部署说明 219 客户收益 219.1 实现集中帐号管理，降低管理费用 219.2 实现集中身份认证和访问控制，避免冒名访问，提高访问安全性 229.3 实现集中授权管理，简化授权流程，减轻管理压力 239.4 实现单点登录，规范操作过程，简化操作流程 239.5 实现实名运维审计，满足安全规范要求 2410 产品服务 2510.1 售后服务 2510.2 技术支持 251 背景1.1 概述随着信息技术的不断发展和信息化建设的不断进步，办公系统、 商务平台的不断推出和投入运行，信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、

4、电力、石油、大中企业和门户网站，更是使用 数量较多的服务器主机来运行关键业务。2002年由美国总统布什签发的萨班斯法案(Sarbanes-Oxley Act)开始生效。其中要求企业的经营活动，企业管理、项目和投资等，都要有控制和审计手段。因此，管理人员需要有有效的技术手段和专业的技术工具和安全产品按照行业的标准来做细粒度的管理，真正做到对于内部网络的严格管理，可以控制、限制和追踪用户的行为，判定用户的行为是否对企业内部网络的安全运行带来威胁。1.2 管理现状目前机构的运维管理有以下三个特点： 关键的核心业务都部署于Unix和Windows服务器上。 应用的复杂度决定了多种角色交叉管理。 运行维

5、护人员更多的依赖Telnet、SSH、FTP、RDP等进行远程管理。基于这些现状，在管理中存在以下突出问题：1.2.1 使用共享帐号的安全隐患企业的支撑系统中有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系，用户为了方便登陆，经常出现多人共用帐号的情况。多人同时使用一个系统帐号在带来方便性的同时，导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员，会使这个帐号的安全无法保证。由于共享帐号是多人共同使用，发生问题后，无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员，带来了密码管理

6、的复杂化。1.2.2 密码策略无法有效执行为了保证密码的安全性，安全管理员制定了严格的密码策略，比如密码要定期修改，密码要保证足够的长度和复杂度等，但是由于管理的机器数量和帐号数量太多，往往导致密码策略的实施流于形式。1.2.3 授权不清晰各系统分别管理所属的系统资源，为本系统的用户分配权限，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加，安全性无法得到充分保证。1.2.4 访问控制策略不严格目前的管理中，没有一个清晰的访问控制列表，无法一目了然的看到什么用户能够以何种身份访问哪些关键设备，同时缺少有效

7、的技术手段来保证访问控制策略被有效执行。1.2.5 用户操作无法有效审计各系统独立运行、维护和管理，所以各系统的审计也是相互独立的。每个网络设备，每个主机系统分别进行审计，安全事故发生后需要排查各系统的日志，但是往往日志找到了，也不能最终定位到行为人。另外各系统的日志记录能力各不相同，例如对于Unix系统来说，日志记录就存在以下问题： Unix 系统中，用户在服务器上的操作有一个历史命令记录的文件，但是用户可以随意更改和删除自己的记录； root 用户不仅仅可以修改自己的历史记录，还可以修改他人的历史记录，系统本身的历史记录文件已经变的不可信； 记录的命令数量有限制； 无法记录操作人员、操作时

8、间、操作结果等。1.3 问题分析对运维的管理现状进行分析，我们认为造成这种不安全现状的原因是多方面的，总结起来主要有以下几点。 各IT系统独立的帐户管理体系造成身份管理的换乱，而身份的唯一性又恰恰是认证、授权、审计的依据和前提，因此身份的混乱实际上造成设备访问的混乱。 各IT系统独立管理，风险分散在各系统中，各个击破困难大，这种管理方式造成业务管理和安全之间失衡。 核心服务器或设备的物理安全和临机访问安全通过门禁系统和录像系统得以较好的解决，但是对他们的网络访问缺少控制或欠缺控制力度。 在帐号、密码、认证、授权、审计等各方面缺乏有效的集中管理技术手段。因此，迫切要求企业内部规范管理，通过多种用

9、户认证方式，不同的安全操作权限，同一地点的不同资源的集中访问，简化操作流程，并满足SOX法案中关于用户身份与访问管理的审计要求。通过控堡垒主机实现企业内部网络的合理化，安全化，专业化，规范化，充分保障企业资源安全。2 设计理念2.1 集中管理模式要解决核心资源的访问安全问题，我们首先从管理模式上进行分析。管理模式是首要因素，管理是从一个很高的高度，综合考虑整体的情况，然后制定出相应的解决策略，最后落实到技术实现上。管理解决的是面的问题，技术解决的是点的问题，管理的模式决定了管理的高度。我们认为随着应用的发展，设备越来越多，维护人员也越来越多，我们必须由分散的管理模式逐步转变为集中的管理模式。只

10、有集中才能够实现统一管理，也只有集中才能把复杂问题简单化，集中管理是运维管理思想发展的必然趋势，也是唯一的选择。集中管理包括：集中的资源访问入口、集中帐号管理、集中授权管理、集中认证管理、集中审计管理等等。2.2 协议代理为了对字符终端、图形终端操作行为进行审计和监控，堡垒主机对各种字符终端和图形终端使用的协议进行代理，实现多平台的操作支持和审计，例如Telnet、SSH、FTP、Windows平台的RDP远程桌面协议，Linux/Unix平台的X Window图形终端访问协议等。当运维机通过堡垒主机访问服务器时，首先由堡垒主机模拟成远程访问的服务端，接受运维机的连接和通讯，并对其进行协议的还

11、原、解析、记录，最终获得运维机的操作行为，之后堡垒主机模拟运维机与真正的目标服务器建立通讯并转发运维机发送的指令信息，从而实现对各种维护协议的代理转发过程。在通讯过程中，堡垒主机会记录各种指令信息，并根据策略对通信过程进行控制，如发现违规操作，则不进行代理转发，并由堡垒主机反馈禁止执行的回显提示。2.3 身份授权分离以前管理员依赖各IT系统上的系统帐号实线两部分功能：身份认证和系统授权，但是因为共享帐号、弱口令帐号等问题存在，这两方面实现都存在漏洞，达不到预期的效果。解决的思路是将身份和授权分离。在堡垒主机上建立主帐号体系，用于身份认证，原各IT系统上的系统帐号仅用于系统授权，这样可以有效增强

12、身份认证和系统授权的可靠性，从本质上解决帐号管理混乱问题，为认证、授权、审计提供可靠的保障。3 产品概述3.1 产品综述内控堡垒主机是一种被加固的可以防御进攻的计算机，具备坚强的安全防护能力。内控堡垒主机扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问和恶意攻击，对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。LanSecS内控管理平台（堡垒主机）具体有强大的输入输出审计功能，不仅能详细记录用户操作的每一条指令，而且能够通过回放的功能，将其动态的展现出来，大大丰富了内控审计的功能。LanSecS内控管理平台（堡垒主机）自身审计日志，

13、可以极大增强审计信息的安全性，保证审计人员有据可查。LanSecS内控管理平台（堡垒主机）还具备图形终端审计功能，能够对多平台的多种终端操作审计，例如windows 平台的RDP 形式图形终端操作。为了给系统管理员查看审计信息提供方便性，LanSecS内控管理平台（堡垒主机）提供了审计查看检索功能。系统管理员可以通过多种查询条件查看审计信息。总之，LanSecS内控管理平台（堡垒主机）能够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化和专业化。3.2 产品组成3.3 产品功能3.3.1 单点登录 LanSecS内控管理平台（堡垒主机）提供了基于 B/S 的单点登录系

14、统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于 B/S的应用系统。 单点登录为具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种 登录用户 ID 和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高 生产效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。单点登录可以实现和用户管理授权的无缝隙链接，通过对用户、角色、资源和行为的授权，增加对资源的保护，和对用户行为的监控及审计。3.3.2 账户管理集中帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的 集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生

15、 命周期的监控和管理，而且还降低了企业管理大量用户帐号的难度和工作量。同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准 的用户帐号安全策略。通过建立集中帐号管理，企业可以实现将帐号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。 3.3.3 身份认证LanSecS内控管理平台（堡垒主机）为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。集中身份认证提供静态密码、Windows NT 域、Windows Ker

16、beros、双因素、 一次性口令和生物特征等多种认证方式，而且系统具有灵活的定制接口。3.3.4 资源授权LanSecS内控管理平台（堡垒主机）系统提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S对服务器主机、网络设备的访问进行审计。在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员在 LanSecS内控管理平台（堡垒主机）系统上，可以对各自的管理对象进行授权，而不需要进

17、入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作等的细粒度授权。3.3.5 访问控制LanSecS内控管理平台（堡垒主机）系统能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。访问控制策略是保护系统安全性的重要环节，制定良好的访问策略能够更好的提高系统的

18、安全性。3.3.6 操作审计操作审计管理主要审计操作人员的帐号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。系统支持对如下协议进行审计：Telnet、FTP、SSH、RDP（Windows Terminal）、X windows、VNC等。 LanSecS内控管理平台（堡垒主机）系统通过系统自身的用户认证系统、用户授权系统，以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方。 对于生成的日志支持丰富的查询和操作。 支持按服务器方式进行查询 通过

19、对特定服务器地址进行查询，可以发现该服务器上发生的命令和行为。 支持按用户名方式进行查询 通过对用户名进行查询，可以发现该用户的所有行为。 支持按登陆地址方式进行查询 通过对特定 IP 地址进行查询，可以发现该地址对应主机及其用户在服务器 上进行的所有操作。 支持按照登陆时间进行查询 通过对登录时间进行查询，可以发现特定时间内登录服务器的用户及其进行 过的所有操作。 支持对命令发生时间进行查询 可以通过对命令发生的时间进行查询，可以查询到特定时间段服务器上发生 过的所有行为。 支持对命令名称进行查询 通过查询特定命令如 LS，可以查询到使用过该命令的所有用户及其使用的时 间等。 支持上述六个查

20、询条件的任意组合查询 如：可以查询谁（用户名）什么时间登录（登录时间）服务器并在什 么时间（命令发生时间）在服务器（目标服务器）上执行过什么操作（命 令）。 支持对日志的备份操作处理 支持对日志的删除处理4 关键技术LanSecS内控管理平台（堡垒主机）采用系列先进技术，成功实现命令及图形的捕获与控制，为服务器的安全运行提供了强有力的系统工具。4.1 逻辑命令自动识别技术LanSecS内控管理平台（堡垒主机）自动识别当前操作终端，对当前终端的输入输出进行控制，组合输入输出流，自动识别逻辑语义命令。系统会根据输入输出上下文，确定逻辑命令编辑过程，进而自动捕获出用户使用的逻辑命令。该项技术解决了逻

21、辑命令自动捕获功能，在传统键盘捕获与控制领域取得新的突破，可以更加准确的控制用户意图。该技术能自动识别命令状态和编辑状态以及私有工作状态，准确捕获逻辑命令。4.2 分布式处理技术LanSecS内控管理平台（堡垒主机）采用分布式处理架构进行处理，启用命令捕获引擎机制，通过策略服务器完成策略审计，通过日志服务器存储操作审计日志，并通过实时监视中心，实时察看用户在服务器上行为。这种分体式设计有利于策略的正确执行和操作记录日志的安全。同时，各组件之间采用安全连接进行通信，防止策略和日志被篡改。各组件可以独立工作，可以分布于不同的服务器上，亦可所有组件安装于一台服务器。4.3 正则表达式匹配技术LanS

22、ecS内控管理平台（堡垒主机）采用正则表达式匹配技术，将正则表达式组合入树型可遗传策略结构，实现控制命令的自动匹配与控制。树型可遗传策略适合现代企业事业架构，对于服务器的分层分级管理与控制提供了强大的工具。4.4 RDP协议代理为了对图形终端操作行为进行审计和监控，LanSecS内控管理平台（堡垒主机）对图形终端使用的协议进行代理，实现多平台的多种图形终端操作的审计，例如Windows平台的RDP方式图形终端操作，Linux/Unix平台的XWindow方式图形终端操作。4.5 多进程/线程与同步技术LanSecS内控管理平台（堡垒主机）主体采用多进程/线程技术实现，利用独特的通信和数据同步技

23、术，准确控制程序行为。多进程/线程方式逻辑处理准确，事务处理不会发生干扰，这有利于保证系统的稳定性、健壮性。4.6 数据加密功能LanSecS内控管理平台（堡垒主机）在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性。防止恶意用户截获和篡改数据。充分保护用户在操作过程中不被恶意破坏。4.7 审计查询检索功能自从萨班斯法案的推出，企业内控得到了严格的审查，企业的内部审计显得非常重要。LanSecS内控管理平台（堡垒主机）能够为企业内部网络提供完全的审计信息，这些审计信息能够为企业追踪用户行为，判定用户行为等，能够还原出用户的一些操作性为。传统审计关联到IP，这本身是一个

24、不确定的和不负责任的审计结果，因为IP信息不能够真实反应出真实的操作者是谁，从而企业内部网络出现问题不能追踪用户。 LanSecS内控管理平台（堡垒主机）能够对这些用户关联审计行为，就是说真正能够把每一次审计出的用户操作性为绑定到自然人身上，便于企业内部网络管理追踪到个人。4.8 操作还原技术操作还原技术是指将用户在系统中的操作行为以真实的环境模拟显现出来，审计管理员可以根据操作还原技术还原出真实的操作，以判定问题出在哪里。LanSecS内控管理平台（堡垒主机）采用操作还原技术能够将用户的操作流程自动地展现出来，能够监控用户的每一次行为，判定用户的行为是否对企业内部网络安全性造成危害。5 产品

25、优势5.1 良好的扩展性LanSecS内控管理平台（堡垒主机）产品从4A解决方案中抽象出来，提供最便捷的4A项目集成方案。在程序结构上充分考虑到4A项目和非4A项目的使用场景，以先进的体系结构，清晰合理的模块划分实现多种用户场景的适用性。在4A项目中，LanSecS内控管理平台（堡垒主机）放弃帐号、认证、授权的集中管理，只提供执行单元，完成访问控制和操作审计功能；在非4A项目中将4A的一些理念融合到LanSecS内控管理平台（堡垒主机）产品中，除提供基础的访问控制和操作审计功能外，还提供精简的帐号、认证、授权集中管理功能。5.2 强大的审计功能 精确记录用户操作时间。 审计结果支持多种展现方式

26、，让操作得以完整还原。 审计结果可以录像回放，支持调节播放速度，并且回放过程中支持前后拖拽，方便快速定位问题操作。 方便的审计查询功能，能够一次查询多条指令。5.3 部署和使用简单 不需要在被管理设备上安装代理程序。 不需要改变网络的物理拓扑结构。 不影响被管理设备的运行。 管理员和操作员都使用WEB方式操作，操作简单。5.4 高度的安全性和成熟性 LanSecS内控管理平台（堡垒主机）系统的开发研制中，我们采用成熟的先进技术，对系统的关键技术在前期的工作中进行了大量实验和攻关及原型建立，在已开发并经广泛测试的产品中，上述的关键技术问题已解决。而且， LanSecS内控管理平台（堡垒主机）系统

27、所选取的硬件平台和软件平台，是具有良好的技术支持和发展前途的成熟产品。系统运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安全手段，建立健全的系统安全机制，保证了用户的合法性和数据不被非法盗取，从而保证产品的安全性。6 主要应用6.1 运维管理LanSecS内控管理平台（堡垒主机）通过单点登陆进行集中的运维管理，将全部设备集中管控，统一进行维护管理；通过集中账户管理解决运维管理人员密码安全存储问题，统一管理维护人员密码口令，避免密码遗忘和泄露；通过提供运维管理工具帮助管理员日常维护管理，快捷方便提供日常管理工具；通过访问控制避免管理员误操作的发生，禁止使用危险命令，防止破坏性事件发

28、生；通过操作审计进行全称记录，并进行回放浏览。6.2 安全管理严重的攻击来自系统内部（80%来自内部攻击），LanSecS内控管理平台（堡垒主机）针对各种途径服务器的访问方式进行监控，支持 telnet，ftp，ssh，rdp，xwindow 等，通过将服务器的常用端口关闭，阻止了其他主机访问服务器。通过堡垒主机代理连接的方式，可以访问指定服务器，即加强了服务器的安全，又不影响功能使用。但是，目前没有可靠办法保证系统管理员安全策略配置行为的有效性，合法性以及一致性，一般都通过行政手段，让系统管理员记录安全策略配置过程，这有严重的安全隐患。LanSecS内控管理平台（堡垒主机）可以记录系统管理员

29、对网络边界安全设备的配置过程，保证安全策略的一致性，其生成的日志系统，可以比较方便的集成到企事业现有安全策略管理架构中。7 技术参数 LanSecS内控管理平台（堡垒主机）单点登录客户端支持Windows全系列产品；支持常见数据库；支持常用连接工具；具体参数如下列表：名称说明windows7（mstsc）windows7远程桌面连接windowsXPSP3（mstsc）Windows XP Sp3远程桌面连接windowsXPSP2（mstsc）Windows XP Sp2远程桌面连接CMD窗口windows运行中的CMD窗口securityCRT常用的字符连接工具支持telnetssh连接w

30、inscp(FTPSFTP)常用的FTP连接工具支持FTPSFTP连接mstsc常用的主机图形访问工具支持linuxunix图形连接neterm常用的字符连接工具支持telnetssh连接ToadOracle客户端管理工具Golden 32Oracle客户端管理工具Sybase contralSybase客户端管理工具Weblogic consoleWeblogic管理工具PLsqlORACLE常用客户端winsql常用数据库连接客户端支持：DB2sysbaseinformix等多种数据库连接dbaccess(informix)informix自有数据库客户端sqlserver2000sqls

31、erver2000查询分析器sqlserver2005sqlserver2005查询分析器MysqlMysql数据库管理器 LanSecS内控管理平台（堡垒主机）支持如下系列系统资源从账户同步类别名称Windows（支持域模式）windows server 2008windows server 2003windows server 2000windows xpwindows 2000unix/linuxlinuxHP unixAIX(IBM)SCO Unixsuse10suse9数据库Oracle 9iOracle 10gmysqlsqlserver2000sqlserver2005informixdb2sysbase网络设备（支持radius）Cisco、华为、华三、juniper安全设备Firewall、SSL VPN、IDS