天玥网络安全审计系统业务堡垒机MA系列V6010产品白皮书v20文档格式.docx
《天玥网络安全审计系统业务堡垒机MA系列V6010产品白皮书v20文档格式.docx》由会员分享,可在线阅读,更多相关《天玥网络安全审计系统业务堡垒机MA系列V6010产品白皮书v20文档格式.docx(25页珍藏版)》请在冰点文库上搜索。
1产品概述
产品简介
天玥网络安全审计系统(MA业务堡垒机系列),以下简称天玥(MA),是启明星辰综合内控系列产品之一。
天玥网络安全审计系统(MA系列)是针对业务环境下的网络操作行为进行集中管理(Management)与细粒度审计(Audit)的合规性管理系统。
它通过对自然人身份以及资源、资源账号的集中管理建立“自然人账号——资源——资源账号”对应关系,实现自然人对资源的统一授权,同时,对授权人员的业务操作行为进行记录、分析、展现,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强内部业务操作行为监管、避免核心资产(数据库、服务器、网络设备等)损失、保障业务系统的正常运营。
适用场景
天玥(MA)的用户通常拥有重要的业务系统或者网络基础设施,相应地具备如下需求中的部分或者全部:
1、需要保证重要/关键服务器、网络设备的安全;
2、希望对运维人员与核心资产进行集中管理,明确每个人员对核心资产的权限;
3、正在或将要开展内控工作,希望有效地控制操作风险;
4、需要记录或审计加密协议SSH的操作内容;
5、需要进行事后追查,但缺乏数据记录与追查方法。
天玥MA系列适用与以下行业:
Ø
电信运营商
金融行业
门户网站运营商
网络游戏服务提供商
有类似需求的企事业单位
核心价值
天玥MA的核心价值体现在:
完善业务系统的安全防范体系,满足组织机构内外部合规性要求,全面体现管理者对业务系统信息资源的全局把控和调度能力。
主要表现在:
1、结合账号管理、资源管理、单点登录、身份认证、访问授权、操作审计等技术于一体,融合为有效实用的一体化4A解决方案;
2、当出现安全事件后,能根据翔实的审计记录,一步步地追查出攻击者;
3、通过对客户关键信息资产的业务操作行为进行访问控制、避免核心资产损失;
4、核心服务器与网络设备的账号口令定期修改,并通过安全的方式通知安全管理员;
5、核心服务器与网络基础设备的实体内授权,用户登录设备之后的行为细粒度控制;
6、帮助用户加强内外部网络行为监管、满足企业内部控制或者外部政策等合规性要求。
能够从天玥MA系列获益的用户
以下几类用户能够从天玥MA的使用中获益:
安全管理部门或IT审计部门:
能够凭借天玥MA有效地提供符合内控策略的操作风险控制措施,并且能够弥补在操作审计方面的不足;
网络与主机的运维部门:
能够利用天玥MA有效地梳理应用系统账号关系、规避操作风险、使运维操作本身符合组织的信息安全方针。
另外,天玥MA提供的操作日志以及过程再现(会话回放)可以作为运维部门的免责依据或者安全管理/IT审计部门的追查证据。
2用户需求(面临的问题)
内部人员操作安全隐患
随着企业信息化进程不断深入,企业的业务系统变得日益复杂,由内部员工违规操作导致的安全问题变得日益突出起来。
防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题,但对于内部人员的违规操作却无能为力。
根据最新统计资料,对企业造成严重攻击中的70%是来自于组织里的内部人员。
第三方维护人员安全隐患
企业在发展的过程中,因为战略定位和人力等诸多原因,越来越多的会将非核心业务外包给设备商或者其他专业代维公司。
如何有效地监控设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。
严格的规章制度只能约束一部分人的行为,只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行。
系统共享账号安全隐患
无论是内部运维人员还是第三方代维人员,基于传统的维护方式,都是直接采用系统账号完成系统级别的认证即可进行维护操作。
随着系统的不断庞大,运维人员与系统账号之间的交叉关系越来越复杂,一个账号多个人同时使用,是多对一的关系,账号不具有唯一性,系统账号的密码策略很难执行,密码修改要通知所有知道这个账号的人,如果有人离职或部门调动,密码需要立即修改,如果密码泄露无法追查,如果有误操作或者恶意操作,无法追查到责任人。
最高权限用户安全隐患
一般来说,我们都是从各种系统日志里面去发现是否有入侵后留下来的“蛛丝马迹”来判断是否发生过安全事件。
但是,系统是在经历了大量的操作和变化后,才逐渐变得不安全。
从系统变更的角度来看,网络审计日志比系统日志在定位系统安全问题上更可信。
系统的超级用户长期以来一直处于不可管理的状态。
3产品原理
天玥IV业务堡垒机的产品原理如下图所示:
其核心进程为常用协议的代理,目前可以实现的有:
telnet
ssh
ftp
sftp/scp
RDP(Windows远程桌面)
VNC
代理进程监听相应的端口,捕获通信后,按照授权策略转发到相应的资源,同时对数据包进行命令级别的解析。
4产品主要功能
天玥MA系列基于“用户账号→目标设备→系统账号”的权限管理模式提供各项安全功能,主要体现在以下几个方面:
1、集中管理:
对所有的自然人以及所有核心服务器、核心网络基础设施及其上面的账号进行统一集中管理与单点登录;
2、身份管理:
有效解决传统UNIX模式的共享账号问题,通过自然人账号与系统账号的关联实现网络操作的实名制;
3、访问控制:
管理员可自定义访问控制规则,给每个用户分配适当的网络资源;
4、权限控制:
通过命令防火墙可进一步把用户的权限控制到命令级别,可有效限制root的操作权限;
5、操作审计:
对所有自然人的访问信息,包括输入命令与输出结果进行记录并回放,能根据翔实的审计记录,一步步地追查出攻击者。
功能流程图
人的管理:
角色划分:
不同的用户按照职责分成不同的角色,有超级管理员,账号管理员、审计管理员,配置管理员,密码保管员与普通用户;
账号管理:
账号采用实名制和用户一一对应;
密码策略:
密码复杂度设置,密码有效期等严格的密码策略;
访问控制:
通过严格的访问控制,确保合法用户在其系统权限范围内访问授权设备,降低人为的安全隐患;
权限控制:
控制用户可以执行和禁止执行的操作命令。
操作管理:
操作记录:
以人为记录依据,真实完整的记录用户的操作行为;
操作搜索:
根据各种搜索条件对所有操作记录进行高速精确搜索;
操作回放:
完整回放用户的历史操作;
实时监控:
实时窗口显示用户当年的操作行为;
统计报表:
按照时间与事件生成用户操作行为报表;
设备管理:
密码管理:
按照不同级别密码策略定期自动修改设备的系统密码。
SOX合规性解决方案
SOX法案是希望通过严格的内控去解决信任危机的问题。
天玥MA作为一个完整的SOX合规解决方案,实现了:
清晰完整的策略:
天玥MA有集中管理,身份管理,访问控制,权限控制,操作审计一系列的针对人的操作管理策略;
天玥MA系列通过相应技术手段保证策略在产品上的有效执行;
对过程进行真实完整的记录与回放;
能够让审计管理员和第三方审计公司验证以上内容的真实可信
天玥MA通过一系列策略(集中管理、身份管理、访问控制、权限控制)的制定和有效实施以及严格的审计机制,规范用户对Unix设备、网络设备以及安全设别的操作行为,控制企业内部以及第三方代维的操作风险,并对全部的操作与结果进行真实完整的记录,为第三方审计提供真实的原始材料,最终实现SOX合规要求。
集中管理
当管理一个包含各种各样异构设备的环境时,拥有一个集中管理控制平台以降低成本、合并冗余的操作就变得非常重要,天玥MA能够为管理员提供唯一的策略执行点和对所有用户的访问控制点,从而对用户的操作实现集中控制。
单点登陆(SingleSign-On)
天玥MA作为用户登录的唯一入口,是实现集中化管理的必要条件。
鉴于天玥MA采用旁路的部署方式,需要在用户的核心路由或防火墙上配置适当的策略保证所有用户的telnet/SSH访问都转发到天玥MA上面来。
用户身份管理
对业务系统中的运维、操作人员进行集中管理:
根据工作职责为每个运维人员分配一个唯一标识其身份的用户账号,实现用户账号与人员身份的一一对应;
集中管理账号属性,包括账号名称、真实姓名、邮箱地址、账号开始日期、失效日期、账号所属部门、账号状态(活动/禁用)、账号权限以及备注信息;
管理员可手工设定用户账号使用规则,确保用户账号可用性:
当用户处于休假、换岗、离职等状态,及时对其账号可用性(活动、禁用)进行调整;
集中管理与分发账号口令,创建用户账号时即可给用户分配强壮的口令,口令可以通过系统随即生成并发送到用户邮箱或由管理员手工定义,管理员可随之重置用户口令,用户可通过web界面修改自己的口令;
集中管理用户口令策略,可根据安全级别自定义用户口令策略,口令策略包括密码最短长度(默认为8)、密码最长使用天数(默认为13,最长为90)、失败尝试次数(默认为5)、必须包含数字位数、必须包含大写字母位数、必须包含小写字母位数、必须包含特殊字符位数。
部门以及权限管理
支持分级权限管理,严格按照三权分立的思想对管理员进行授权。
部门管理:
根据用户实际环境配置业务部门,每个部门下面管理相应的业务系统、用户、资源、资源账号,不同部门之间相对独立;
权限管理:
支持二级权限管理,系统有一个全局的超级管理员,然后是每个部门内部的账号管理员、配置管理员、审计管理员、密码保管员。
超级管理员:
能够创建部门与各部门的二级管理员,进行系统的全局策略配置,如双机热备策略、密码策略、邮件服务器配置、系统备份、授权管理以及当前系统健康状态的查看。
账号管理员:
创建本部门内的用户账号;
配置管理员:
为本部门添加资源与资源账号,并创建“用户账号——资源——资源账号”的分组访问控制关系,配置分组与用户账号的命令防火墙策略,管理本部门内SSH资源的证书。
审计管理员:
集中管理本部门账号所产生的会话日志、登录日志、操作日志、审计日志与审计报表,并对本部门内的日志进行查询与检索。
密码保管员:
集中接收与记录本部门内资源账号密码的修改结果。
设备以及资源管理
对用户业务环境中的UNIX、网络设备、安全设备、Oracle数据库、话务网元进行集中管理,具体包括:
集中管理资源的主机名、IP地址、登录协议以及端口号、所属部门以及设备类型;
资源的认证管理:
根据资源的类型模拟资源的自动登录过程,通过密码代填的方式由天玥MA完成到资源的认证,避免了用户记录大量资源账号和密码的繁琐工作,提高了工作效率,提高系统的整体安全性。
资源的自动登录脚本可根据实际情况由管理员来定义,支持正则表达式与通配符。
支持二次跳转设备的管理,某些行业存在一些特殊应用,要访问该类资源,需要先登录到一台堡垒机上,再运行命令跳转到最终资源上。
天玥MA完全支持这样的维护方式。
针对SSH设备,可为设备生成SSH证书,通过天玥MA系统与SSH设备交换SSH证书创建MA与设备之间的SSH通道,这样,就可以通过SSH证书方式实现MA到设备而的二次登录认证,而不使用资源账号来实现,在一定程度上提高了访问认证的安全性。
资源账号管理
集中管理业务系统内资源上面的账号与密码,具体包括:
资源账号密码策略的管理,按照不同安全级别分为HighDevPWDPolicy、MiddleDevPWDPolicy、LowDevPWDPolicy以及GeneryDevPWDPolicy,分别定义了密码最短长度、密码最长使用天数、失败尝试次数、必须包含数字位数、必须包含大写字母位数、必须包含小写字母位数以及必须包含特殊字符位数;
根据密码策略定期修改资源账号的密码,密码结果通过加密邮件的方式发送给密码保管员;
配置管理员可手工触发资源账号的密码修改;
对于类似的资源或资源账号,可进行资源账号的批量添加或类似添加;
对与资源账号口令,管理员可选择由用户手工输入或由天玥MA系统代填完成目标资源的二次认证;
对于代填密码的资源账号,配置管理员可通过web界面进行登录测试,以检测密码的正确性或路由的可达性。
访问控制以及权限控制
有效解决传统UNIX模式的共享账号问题;
通过分组访问控制规则,给每个用户分配适当的网络资源,建立“用户账号——资源——资源账号”的对应关系;
通过命令防火墙把用户的权限控制到命令级别。
确保合法用户在其系统权限范围内访问授权设备,降低人为的安全隐患。
根据业务角色与规则设置分组
“组”的概念源自不同业务操作人员的工作任务,它并不一定映射到实际的企业组织结构,而更多的反映“工作团队”性质的虚拟组织结构。
通常对相同类型的工作或权限建立一个组进行管理。
制定访问控制策略,对用户账号、资源、资源账号进行设置
⏹将同类工作的用户账号纳入同一组,以组为单位进行基础权限设定;
⏹设置组内用户可访问的资源,对组内可操作的授权设备做进一步规定;
⏹设置组内用户可使用的资源账号,确定了用户对被管理资源的实体权限;
⏹建立用户账号与资源账号的关联,使“组”内成员可用单个用户账号进行多系统权限的操作管理。
⏹为分组创建时间策略与源IP控制策略:
可以为分组访问控制列表选择时间策略,并定义时间段内能够使用天玥系统的源IP地址范围。
明确、清晰的访问控制列表,清晰的了解谁(who)在什么时间(when)能用何种系统权限(what)访问哪些资源(where),让权限关系一目了然。
配置简单,变更灵活,当人员岗位、职责改变时,对用户相关联的组、系统权限、可访问资源等进行调整即可收回已有权限。
命令防火墙:
当不同用户账号与同一资源账号关联时,就需要以命令为核心建立实体内的细粒度授权策略。
根据操作人员的业务属性,在资源账号权限范围内,使不同用户账号获得资源账号的全部命令权限或部分命令权限。
⏹建立以命令为基础的权限控制策略;
⏹严格限制超级用户root的操作权限;
⏹针对分组或单个用户用户,设置“允许、拒绝”的规则列表;
⏹命令防火墙的策略可跨平台存在。
操作审计
对所有自然人的访问信息,包括输入命令与输出结果进行记录并回放,通过自然人账号与操作日志的关联实现网络操作的实名制。
以用户的操作周期为记录单位,清晰、全面了解用户的整个操作过程;
真实完整的记录:
⏹记录用户输入命令和命令输出结果;
⏹记录图形操作(RDP/VNC)的会话内容以及用户在图形回话中输入的文本信息;
⏹记录加密协议SSH的操作内容;
⏹对用户的实时会话进行监控,可实时显示用户的当前操作;
⏹通过web界面完整回放用户的历史操作,支持从任意命令开始回放;
⏹记录文本编辑软件(vi)等的编辑命令和编辑内容;
⏹记录各种交互式操作(SQL)的输入命令和输出结果;
⏹记录用户执行命令的具体时间(精确到秒);
⏹完整记录各种功能键扩展后的操作命令(TAB补齐,BACKSPACE回退、删除、上下箭头等);
⏹记录粘贴命令与组合命令;
⏹操作的历史记录加密存储,只能查看与检索,不可更改、删除。
根据用户账号、操作时间、系统账号、资源等关键词对所有操作记录进行搜索,在最短时间内实现责任认定。
精确的查询方式(开始时间,结束时间,用户/系统账号,资源,自定义关键字);
根据用户操作的命令的具体时间点和时间段(年/月/日/小时/分钟)进行搜索;
根据用户输入的命令做检索(支持通配符与正则表达式方式的模糊匹配和精确匹配查询);
根据用户的输入命令和输出结果做全文检索(支持通配符与正则表达式方式的模糊匹配和精确匹配查询)
能够检索图形会话内容中的用户输入信息,并定位到具体图形会话。
日志报表
天玥MA本身可生成详细丰富的日志,并可按时间与事件展现报表。
会话日志,可按照开始时间、结束时间、用户名、源IP、会话状态显示实时会话与历史会话,可查看会话中的详细命令与命令输出,并进行回放。
SFTP会话日志,按照时间、用户名、源IP显示加密文件传输协议的操作命令与内容。
登录日志,记录普通用户与管理员的历史登录情况,可记录登录账号、登录时间、登录IP、登录类型(web、ssh、telnet)以及登录结果(成功、失败)。
操作日志,记录天玥MA管理员对系统所进行的配置操作,可记录管理员账号名称、操作时间、登录IP、操作类型以及操作对象(MA系统后台数据库表)。
审计日志,对账号的登录以及操作情况进行集中统计,可显示某一用户的web登录次数、ssh登录次数、sftp登录次数以及操作命令的数量。
审计视图,以柱状图或饼图的方式显示最近十个月的用户操作统计、用户操作类型统计、用户操作对比、用户登录统计与用户登录对比。
高级功能
HA双机热备与数据同步
作为Portal类的访问控制类系统,应充分考虑消除单点故障,保证系统的可用性。
天玥MA系统可通过web配置双机热备策略,对于部署两台MA系统的用户,可实时显示当前的HA状态(actMAe或standby)并配置、启动HA状态,可指定当前设备的HA类型(主、备),指定心跳口来监控对端MA设备的存活,指定浮动IP,用户通过访问浮动IP地址即可访问当前活动的MA设备。
一旦主MA设备出现故障而不能提供服务,备MA设备可立即切换到工作状态,接管服务,切换速度在2秒之内。
可根据心跳口指定对端MA设备的IP地址进行数据同步,保证备机启动后与原先主机上面的配置完全一样。
配置工作方便高效
基础数据管理(用户管理、设备管理、系统账号管理、分组管理、部门管理、命令防火墙策略)可按照excel格式进行批量导入导出并提供批量导入模板供配置管理员下载,对于大数据量的用户,在很大程度上提高了MA系统管理员的工作效率。
同时,基础数据管理部分可按照部门进行筛选,可按照关键字段进行排序,方便管理员定位需要管理的用户、设备资源、系统账号等。
邮件服务器配置
管理员可通过web界面配置可用邮件服务器,用来给用户发送密码邮件,给密码保管员发送设备账号的修改结果。
可指定用户密码发送对象(不发送、发送给用户或同时发送给用户和密码保管员)。
安全文件传输
天玥MA系统通过SSH代理的方式利用SSH协议的安全文件传输有效解决FTP的高安全风险漏洞问题。
用户利用天玥MA系统可以实现对后台资源的安全文件上传和下载,上传和下载的文件名和内容可以被MA进行审计。
认证枢纽服务
天玥MA本身采用静态口令对用户账号进行认证。
针对认证强度需求较高的用户,天玥MA系统内部提供认证接口,可提供认证枢纽服务,把用户账号的认证请求转发到第三方的强身份认证服务器上,实现用户账号的强身份认证(软、硬件令牌、数字证书、短信认证等),满足内控要求。
AD域账号同步
天玥MA系统作为综合内控系统,本身提供主、从账号管理的功能。
同时,天玥MA系统提供账号管理接口,可与标准LDAP数据库进行主账号同步,目前支持微软AD域的账号目录结构以及认证方式。
系统备份
可通过web界面对当前的系统配置以及全部日志进行备份以及恢复。
系统健康状态监控
天玥MA系统提供对自身健康状态进行检查的功能,可通过web界面查看当前的MA系统的主要信息以及运行状态,包括:
系统主要信息:
主机名、IP地址、内核版本、开机时间、在线使用者、平均负载等;
网络负载:
系统所有网络接口的上行数据流量、下行数据流量以及错误/中断的数据流量;
内存使用量:
显示当前物理内存以及虚拟内存的使用百分比、剩余空间、已用空间以及总容量,显示物理内存的使用分布情况包括内核以及应用程序、缓冲区、缓存等的使用百分比、剩余空间、已用空间以及总容量。
硬盘使用情况:
显示当前MA系统挂载路径、文件类型、挂载物理磁盘、使用量百分比、剩余空间、已用空间以及总容量。
集中监控
对于跨地域或分布式部署的多台天玥MA系统,可提供软件形式的集中监控平台,可实时收集各个MA系统的基础数据、会话日志以及健康状态。
跨平台支持
天玥MA系列产品支持的设备类型主要有:
主流UNIX/Linux服务器:
⏹IBMAIX
⏹HP-UX
⏹SUNSolaris
⏹SCOUNIX
⏹FreeBSD
⏹RedHatEnterpriseLinux
⏹Fedora
⏹SUSELinuxEnterpriseServer
⏹MandrakeLinux
⏹TurboLinux
⏹Debian/UbuntuLinux
主流网络设备:
⏹CiscoCatalyst系列
⏹CiscoIOS系列
⏹Huawei交换机与路由器
⏹Juniper交换机与路由器
安全设备:
⏹CiscoPIX防火墙;
⏹华为Eudemon防火墙;
⏹JuniperNetscreen防火墙;
数据库:
⏹本地SQLPlus方式的Oracle数据库各种版本;
交换传输设备:
⏹NokiaBSC网元;
⏹华为MSC/BSC网元;
⏹MOTOROLAMSC/BSC网元
Windows服务器的远程桌面
UNIX/LINUX服务器的远程桌面(VNC)
快速部署
天玥MA提供给用户最简洁的操作界面和最人性化的使用方法;
用户只很少时间就可以熟练配置天玥MA;
天玥MA的全部功能都以WEB界面呈现给用户;
既不需要修改客户的网络架构也不需要在客户的被管理设备上安装任何程序;
所有的部署都是在天玥MA上完成;
大规模部署同样在极短的时间内可以完成;
天玥IVRDP模块
RDP代理简介
针对Windows远程桌面的以上一些安全问题,我公司在天玥IV堡垒机上开发了RDP-Proxy模块,它是一款通过代理方式实现RDP访问安全性增强的系统,该模块有如下优点:
(1)几乎不需要改变用户的操作习惯
(2)对原有服务器的性能不产生任何影响
(3)不需要在原有服务器和客户端上安装软件,修改配置
(4)能够完整记录用户的整个访问过程并回放
工作原理
天玥IVRDP-Proxy模块的工作原理如下图所示:
通过对企业出入口的防火墙的配置,客户端通过Internet不能直接访问RDP服务器群,只能先访问RDP-Proxy,RDP连接建立之后,再输入目的服务器地址,跳转到目的服务器。
这样,用户
升级会员 