堡垒机方案.docx

1、堡垒机方案2015平安医院解决方案建议书天玥网络安全审计系统 V6.0运维安全管控系统精细控制合规审计项目概述 3.1安全现状分析 3.1.1内部人员操作的安全隐患 3.1.2第三方维护人员安全隐患 3.1.3高权限账号滥用风险 4.1.4系统共享账号安全隐患 4.1.5违规行为无法控制的风险 4.2运维安全管控系统方案设计 4.2.1建设原则 4.2.2总体目标 5.2.3建设思路 6.3运维管控系统解决方案 6.3.1系统总体设计 6.3.1.1系统概述 6.3.1.2系统组成 7.3.1.3技术架构 8.3.2系统主要功能 9.3.2.1用户认证与 SSO 9.3.2.2自动改密 1.0

2、3.2.3访问授权管理 1.03.2.4二次审批 1.13.2.5告警与阻断 1.23.2.6实时操作过程监控 1.23.2.7历史回放 1.33.2.8审计报表 1.43.2.9审计存储 1.43.3 系统功能特点 1.43.3.1运维协议支持广 1.43.3.2对用户网络影响最小 1.53.3.3友好的用户交互体验 1.53.4系统部署 1.5.3.4.1单台部署 1.6项目概述随着平安医院信息化应用的迅速发展，企业内部的各种业务和经营支 撑系统不断增加，网络规模也迅速扩大。由于信息系统运维人员和业务系 统的管理人员掌握着系统资源管理的最高权限，一旦操作出现安全问题将 会给企业带来巨大的损

3、失，加强对运维管理人员操作行为的监管与审计成 为信息安全发展的必然趋势。在此背景之下，平安医院计划针对运维操作和业务管理与审计进行堡 垒机项目建设。堡垒机提供了一套多维度的运维操作管控与审计解决方 案，使得管理人员可以对网络设备、服务器、安全设备、数据库等资源进 行集中账号管理、细粒度的权限管理和访问审计，帮助企业提升内部风险 控制水平。1安全现状分析1.1内部人员操作的安全隐患随着平安医院信息化进程不断深入，企业的业务系统变得日益复杂，由内 部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检 测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操 作却无能为力

4、。根据 FBI 和 CSI 对 484 家公司进行的网络安全专项调查结果显 示：超过 70%的安全威胁来自公司内部，在损失金额上，由于内部人员泄密导 致了 6056.5万美元的损失，是黑客造成损失的 16倍，是病毒造成损失的 12 倍 另据中国国家信息安全测评中心调查，信息安全的现实威胁也主要为内部信息 泄露和内部人员犯罪，而非病毒和外来黑客引起1.2第三方维护人员安全隐患平安医院在发展的过程中，因为战略定位和人力等诸多原因，越来越多的 会将非核心业务外包给设备商或者其他专业代维公司。如何有效地监控设备厂商和代维人员的操作行为 ,并进行严格的审计是企业面临的一个关键问题。 严格 的规章制度只能

5、约束一部分人的行为，只有通过严格的权限控制和操作审计才 能确保安全管理制度的有效执行。1.3高权限账号滥用风险 因为种种历史遗留问题，并不是所有的信息系统都有严格的身份认证和权 限划分，权限划分混乱，高权限账号（比如 root 账号）共用等问题一直困扰着 网络管理人员，高权限账号往往掌握着数据库和业务系统的命脉，任何一个操 作都可能导致数据的修改和泄露， 最高权限的滥用， 让运维安全变得更加脆弱， 也让责任划分和威胁追踪变得更加困难。1.4系统共享账号安全隐患 无论是内部运维人员还是第三方代维人员，基于传统的维护方式，都是直 接采用系统账号完成系统级别的认证即可进行维护操作。 随着系统的不断庞

6、大， 运维人员与系统账号之间的交叉关系越来越复杂，一个账号多个人同时使用， 是多对一的关系，账号不具有唯一性，系统账号的密码策略很难执行，密码修 改要通知所有知道这个账号的人，如果有人离职或部门调动，密码需要立即修 改，如果密码泄露无法追查， 如果有误操作或者恶意操作， 无法追查到责任人。1.5违规行为无法控制的风险网络管理员总是试图定义各种操作条例， 来规范内部员工的网络访问行为， 但是除了在造成恶性后果后追查责任人，没有更好的方式来限制员工的合规操 作。而事后追查，只能是亡羊补牢，损失已经造成。2运维安全管控系统方案设计2.1建设原则 随着信息技术的发展，平安医院已经建立了比较完善的信息系

7、统，具有网 络规模大、用户数多、系统全而复杂等特点。 IT 建设的核心任务是运用现代信 息技术为企业整体发展战略的实现提供支撑平台并起到推动作用。信息安全作 为 IT 建设的组成部分，核心任务是综合运用技术、管理等手段，保障企业 IT 系统的信息安全，保证业务的连续性。信息安全是平安医院正常业务运营与发 展的基础；是保证网络品质的基础；是保障客户利益的基础。根据集团的相关规范的指导意见，我们根据对平安医院信息系统具体需求 的分析，结合等级保护安全评估的要求，在对平安医院系统进行安全建设时， 我们所遵循的根本原则是：1、业务保障原则： 安全建设的根本目标是能够更好的保障网络上承载的 业务。在保证

8、安全的同时，还要保障业务的正常运行和运行效率。2、结构简化原则： 安全建设的直接目的和效果是要将整个网络变得更加 安全，简单的网络结构便于整个安全防护体系的管理、执行和维护。3、生命周期原则： 安全建设不仅仅要考虑静态设计， 还要考虑不断的变化； 系统应具备适度的灵活性和扩展性。2.2总体目标 本次在平安医院业务系统建立运维安全管理系统，实现全局的策略管理、 统一访问 Portal 页面、集中身份认证、统一授权及认证请求转发等功能，对平 安医院业务系统的系统资源账号、维护操作实施集中管理、访问认证、集中授 权和操作审计。通过本次安全运维管控系统的建设，最终达到以下目标：1.通过运维安全管控系统

9、的建设为平安医院的系统资源运维人员提供统 一的入口，支持统一身份认证手段。在完成统一认证后，根据账号所具有访问 权限发布、管理、登录各个主机、网络设备、数据库。2.系统应根据“网络实名制” 原则记录用户从登录系统直至退出的全程访 问、操作日志，并以方便、友好的界面方式提供对这些记录的操作审计功能。3.系统应具备灵活的管理和扩展能力， 系统扩容时不会对系统结构产生较 大影响。4.系统应具备灵活的授权管理功能， 可实现一对一、 一对多、 多对多的用 户授权。2.3建设思路为实现平安医院公司构建针对人员帐户管理层面全面完善的安全运维管控 系统需要，在本项目的实施过程中，启明星辰将根据“以用户身份集中

10、管理的 思路为核心，建立全局唯一的权威身份信息源，可在一点集中管理用户身份和 权限，从而降低管理成本”的思路，在统一用户身份的基础上，实现各个系统 资源的单点登录、统一认证、统一授权、审计等信息的集中统一管理，并提供 与用户现有的数字证书系统进行系统集成的解决方案，规划合理、高效的用户 身份管理流程。本项目建成后，对于用户来说，将实现只需进行一次登录，就可以维护不 同的主机、 网络设备、数据库等，并能方便的来回切换访问；对于管理员来说， 将实现对用户信息、设备信息、访问控制信息等统一定义和描述，能确保信息 的一致性；只需在运维安全管控系统进行统一配置管理和维护，降低工作量和 复杂度。3运维管控

11、系统解决方案3.1 系统总体设计3.1.1 系统概述启明星辰天玥网络安全审计系统 V6.0- 运维安全管控系统（以下简称天玥 -OSM），是启明星辰综合内控系列产品之一。天玥 -OSM 是针对业务环境下的用户运维操作进行控制和审计的合规性管 控系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人账 号资源资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、 分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障 业务系统的正常运营

12、。3.1.2 系统组成天玥-OSM 由 WEB 模块、协议代理模块、 行为审计模块和应用发布模块和 存储模块组成。WEB 模块为用户提供 web 方式访问系统的界面。管理员用户在界面中进行运维用 户管理、设备及帐号管理、用户授权管理和运维审计管理等管理功能；运维 用户在界面中进行资源单点登录等操作。协议代理模块实现对主机、数据库、网络设备维护过程中的协议数据包代理转发、行 为还原及记录、高危 / 违规行为阻断等功能。行为审计模块实现对行为操作的审计功能， 包括实时高危 /违规行为的告警、 实时监控、历史数据检索及报表统计等功能。应用发布模块（可选）安装在 Windows 服务器上，用于发布非标

13、准协议或应用客户端， 如 IE、 plsql、sqlplus 等。可实现对应用客户端工具的自动调出、密码代填和操作 审计功能。3.1.3 技术架构3.1.3.1. 协议代理模块用户身份认证SSH 客户端 telnet 客户端RDP 客户端 FTP客户端管理用户运维用户3.1.3.2. 应用发布模块管理用户运维用户WEB 界面登录运维用户管理访问控制管理集中授权管理运维访问鉴权资源列表协议代理模块设备帐号管理 统一认证管理运维审计管理资源名称1：192.168.10.200资源名称2：192.168.10.201资源名称2：192.168.10.201SSH 协议代理telnet 协议代理RDP

14、 协议代理天玥 -OSMWEB 界面登录运维用户管理 设备帐号管理 统一认证管理用户身份认证访问控制管理 集中授权管理 运维审计管理运维访问鉴权资源列表资源名称1：192.168.10.200资源名称2：192.168.10.201资源名称2：192.168.10.201应用发布模块PLSQLPCAnywhereRAdmin SQLPLUS 其他工具被管资源 2被管资源 3被管资源1被管资源 23.2 系统主要功能3.2.1 用户认证与 SSO在信息系统的运维操作过程中，经常会出现多名维护人员共用设备 （系统） 账号进行远程访问的情况，从而导致出现安全事件无法清晰地定位责任人。天 玥 OSM

15、为每一个运维人员创建唯一的运维账号（主账号），运维账号是获取 目标设备访问权利的唯一账号，进行运维操作时，所有设备账号（从账号）均 与主账号进行关联，确保所有运维行为审计记录的一致性，从而准确定位事故 责任人，弥补传统网络安全审计产品无法准确定位用户身份的缺陷，有效解决 账号共用问题。天玥 OSM 支持多种身份认证方式：本地认证Radius 认证LDAP 认证AD 域认证等天玥 OSM 系统还支持 SSO 功能，运维人员一次登陆，即可访问所有目标 资源，无需二次输入用户名、口令信息。天玥 OSM 部署后，运维人员可以通过不同的方式对目标对象进行访问、 维护：WEB 控件方式访问，所有协议均可通

16、过 WEB控件方式从 WEB 直接发 起访问，访问过程支持 IE（8-11 版本）浏览器； 支持通过 WEB 直接调用本地客户端方式进行访问； 支持客户端菜单模式访问：支持通过常用客户端软件，如 SecreCRT、 Putty、Xshell 等，用户可通过字符菜单方式选择目标服务器并进行访 问；运维人员登录天玥 OSM 系统时，系统会根据访问授权列表自动展示授权范 围的主机，避免用户访问XX主机。3.2.2 自动改密天玥 -OSM 支持主机系统账号的密码维护托管功能， 系统支持自动定期修改 Linux 、Unix 、Windows、AIX 以及 Oracle、MS SQL Server、IBM

17、 DB2 、Sybase、 IBM Informix Dynamic Server 、MySQL 、 PostgreSQL的内置账号密码。自动密码管理支持以下功能： 设定密码复杂度策略； 针对不同设备制定不同改密计划； 设定改密计划的自动改密周期； 支持随机不同密码、随机相同密码、手工指定密码等新密码设定策略； 改密结果自动发送至指定密码管理员邮箱； 设定指定的改密对象，支持 AD 域账号改密； 手工下载部分或全部密码列表；改密结果高强度加密保护功能。3.2.3 访问授权管理天玥 -OSM 系统通过集中统一的访问控制和细粒度的命令级授权策略， 确保 每个运维用户拥有的权限是完成任务所需的最合理

18、权限。基于向导式的配置过程； 支持基于用户角色的访问控制( RBAC ,Role-Based Access Contr)ol。管 理员可根据用户、访问主机、目标系统账号、访问方式设置细粒度访 问策略；支持基于时间的访问控制； 支持基于访问者 IP 的访问控制； 基于指令(黑白名单)的访问控制； 同一时刻不允许相同帐号在不同的位置登录；除访问授权之外，天玥 -OSM 还支持针对访问协议进行深层控制，比如： 限制 RDP 访问使用剪贴板功能 限制 RDP 访问使用磁盘映射功能3.2.4 二次审批天玥 -OSM 支持根据需求对特殊访问与操作进行二次审批功能，该功能可 以进一步加强对第三方人员访问或关

19、键设备访问操作的控制力度，确保所有访 问操作都在实时监控过程中进行。二次审批功能支持对特殊指令执行进行审批。运维人员操作过程中触发命 令策略，需要得到管理员的审批后才能继续执行后续操作。3.2.5 告警与阻断天玥 -OSM 系统支持根据已设定的访问控制策略， 自动检测日常运维过程中 发生的越权访问、违规操作等安全事件，系统能够根据安全事件的类型、等级 等条件进行自动的告警或阻断处理。禁止XX用户访问主机； 阻断从异常客户端、异常时间段发起的访问行为； 阻断指令黑名单的操作行为； 阻断方式支持：断开会话、忽略指令； 告警方式支持： 以 SYSLOG、邮件、SNMP、短信方式实时发送告警信息3.2

20、.6 实时操作过程监控对于所有远程访问目标主机的会话连接， 天玥 -OSM 均可实现操作过程同步监视，运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中。实时同步显示操作画面；支持 vi、smit、setup 等字符菜单操作同步显示；3.2.7 历史回放天玥-OSM 能够以视频回放方式， 可根据操作记录定位回放或完整重现维护 人员对远程主机的整个操作过程，从而真正实现对操作内容的完全审计。以 WEB 在线视频回放方式重现维护人员对服务器的所有操作过程， 无 须在客户端安装播放客户端软件； 支持从特定操作指令开始进行定位回放；支持倍速 /低速播放、拖动、暂停、停止、重新播放等播放

21、控制操作；RDP 回放界面中显示键盘输入和鼠标点击行为； 支持空闲时间过滤；下载回放文件到本地保存 （提供专用播放器）。3.2.8 审计报表天玥 OSM系统拥有强大的报表功能，内置能够满足不用客户审计需求的安 全审计报表模板，支持自动或手工方式生成运维审计报告，便于管理员全面分 析运维的合规性。系统内置多种运行维护报表模板；支持以 html 、 CSV方式生成并导出报表； 支持管理员自定义审计报表； 支持以日报、周报、月报的方式自动生成周期性报表。3.2.9 审计存储天玥 OSM 系统支持自动化审计数据存储管理， 管理员可以对审计数据进行 手工备份、导出，也可以设定自动归档策略进行自动归档。手

22、工归档、到处审计数据； 存储空间不足时自动归档并删除最早数据； 支持通过 FTP方式自动备份到外部 FTP服务器； 周期性自动归档功能；3.3系统功能特点3.3.1 运维协议支持广天玥 OSM 支持多种运维访问协议，能够充分满足日常运维需要。字符协议： SSHv1、SSHv2、 TELNET、RLOGIN图形协议： RDP、VNC文件传输协议： FTP、SFTP数据库访问： Oracle、 MS SQL Serve、r IBM DB2、 Sybase、 IBM InformixDynamic Server、 MySQL、 PostgreSQL 通过应用发布进行协议扩展，支持 Radmin、Pc

23、anywhere、 HTTP/HTTPS ，支持定制开发其他访问协议及第三方客户端通过应用发布使用运维工具访问目标资源，同样也有命令详情的审计，审 计回放可支持协议回放和图形回放两种方式。3.3.2 对用户网络影响最小物理旁路、逻辑串联方式部署，不必更改现有的网络拓扑结构，同时不需 要在被管理设备上安装任何代理程序，对用户业务和网络结构影响最小。3.3.3 友好的用户交互体验系统的用户界面具备友好的用户交互体验。系统采用多窗口操作模式，各 个功能界面之间可以快速切换，无需重复加载。同时系统支持多种目标资源访问方式， 包括页面 WEB 访问、页面调用本地 客户端访问，系统使用界面友好，能够最大程

24、度适应不同用户的使用习惯。3.4系统部署天玥 -OSM 采用物理旁路方式部署，不需改变现有网络结构，同时不需要 在被管理设备上安装任何代理程序，只需确保天玥 OSM 和被管资源以及用户 终端维护区域网络可达即可。 终端维护区域用户使用 WEB 浏览器通过 https 协 议登录系统，经过用户身份认证后，通过资源列表单点登录至被管目标资源。根据平安医院环境，部署方式可分为单机和双机部署方式以及分布式部3.4.1 单台部署如图所示，天玥 OSM 在部署时只需要为其分配一个独立 IP 地址即可，无 需对网络拓扑结构进行任何调整。一般而言，天玥 OSM 部署在服务器所在网 段，同时天玥 OSM 的 IP 地址通过网络设备发布到外部网络中供运维人员访问。