原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
天玥网络安全审计系统
一、产品概述
1、产品简介
天玥网络安全审计系统(MA业务堡垒机系列),以下简称天玥(MA),是启明星辰综合内控系列产品之一。
天玥网络安全审计系统(MA系列)是针对业务环境下的网络操作行为进行集中管理(Management)与细粒度审计(Audit)的合规性管理系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人账号—资源—资源账号”对应关系,实现自然人对资源的统一授权,同时,对授权人员的业务操作行为进行记录、分析、展现,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强内部业务操作行为监管、避免核心资产(数据库、服务器、网络设备等)损失、保障业务系统的正常运营。
2、适用场景
天玥(MA)的用户通常拥有重要的业务系统或者网络基础设施,相应地具备如下需求中的部分或者全部:
1、需要保证重要/关键服务器、网络设备的安全;
2、希望对运维人员与核心资产进行集中管理,明确每个人员对核心资产的权限;
3、正在或将要开展内控工作,希望有效地控制操作风险;
4、需要记录或审计加密协议SSH的操作内容;
5、需要进行事后追查,但缺乏数据记录与追查方法。
天玥MA系列适用与以下行业:
电信运营商;金融行业;门户网站运营商;网络游戏服务提供商;有类似需求的企事业单位。
3、核心价值
天玥MA的核心价值体现在:完善业务系统的安全防范体系,满足组织机构内外部合规性要求,全面体现管理者对业务系统信息资源的全局把控和调度能力。
图1 天玥IV业务堡垒机的产品原理
其核心进程为常用协议的代理,目前可以实现的有:
telnet、ssh、ftp、sftp/scp、RDP(Windows远程桌面)、VNC。
代理进程监听相应的端口,捕获通信后,按照授权策略转发到相应的资源,同时对数据包进行命令级别的解析。
四、产品主要功能
天玥MA系列基于“用户账号→目标设备→系统账号”的权限管理模式提供各项安全功能,主要体现在以下几个方面:
(1)集中管理:对所有的自然人以及所有核心服务器、核心网络基础设施及其上面的账号进行统一集中管理与单点登录;
(2)身份管理:有效解决传统UNIX模式的共享账号问题,通过自然人账号与系统账号的关联实现网络操作的实名制;
(3)访问控制:管理员可自定义访问控制规则,给每个用户分配适当的网络资源;
(4)权限控制:通过命令防火墙可进一步把用户的权限控制到命令级别,可有效限制root的操作权限;
(5)操作审计:对所有自然人的访问信息,包括输入命令与输出结果进行记录并回放,能根据翔实的审计记录,一步步地追查出攻击者。
1、功能流程
图2天玥IV业务堡垒机的功能流程图
人的管理:
角色划分:不同的用户按照职责分成不同的角色,有超级管理员,账号管理员、审计管理员,配置管理员,密码保管员与普通用户;
账号管理:账号采用实名制和用户一一对应;
密码策略:密码复杂度设置,密码有效期等严格的密码策略;
访问控制:通过严格的访问控制,确保合法用户在其系统权限范围内访问授权设备,降低人为的安全隐患;
权限控制:控制用户可以执行和禁止执行的操作命令。
操作管理:
操作记录:以人为记录依据,真实完整的记录用户的操作行为;
操作搜索:根据各种搜索条件对所有操作记录进行高速精确搜索;
操作回放:完整回放用户的历史操作天玥MA有集中管理,身份管理,访问控制,权限控制,操作审计一系列的针对人的操作管理策略;;密码最短长度HighDevPWDPolicy、MiddleDevPWDPolicy、LowDevPWDPolicy以及GeneryDevPWDPolicy,分别定义了密码最短长度
有效解决传统UNIX模式的共享账号问题;通过分组访问控制规则,给每个用户分配适当的网络资源,建立“用户账号—资源—资源账号”的对应关系;通过命令防火墙把用户的权限控制到命令级别。确保合法用户在其系统权限范围内访问授权设备,降低人为的安全隐患。
根据业务角色与规则设置分组
“组”的概念源自不同业务操作人员的工作任务,它并不一定映射到实际的企业组织结构,而更多的反映“工作团队”性质的虚拟组织结构。通常对相同类型的工作或权限建立一个组进行管理。
制定访问控制策略,对用户账号、资源、资源账号进行设置
将同类工作的用户账号纳入同一组,以组为单位进行基础权限设定;
设置组内用户可访问的资源,对组内可操作的授权设备做进一步规定;
设置组内用户可使用的资源账号,确定了用户对被管理资源的实体权限;
建立用户账号与资源账号的关联,使“组”内成员可用单个用户账号进行多系统权限的操作管理。
为分组创建时间策略与源IP控制策略:可以为分组访问控制列表选择时间策略,并定义时间段内能够使用天玥系统的源IP地址范围。
明确、清晰的访问控制列表,清晰
您可能关注的文档
- 网络工程规划与设计案例教程项目二_任务四_项目招投标流程.doc
- 网络工程规划与设计案例教程项目二_任务四_箫坤公司网络设备招标书.doc
- 网络工程规划与设计案例教程项目二_任务四_新星职业技术学院校信息化建设项目招标文件.doc
- 网络工程规划与设计案例教程项目二_任务一_电子教案1.doc
- 网络工程规划与设计案例教程项目二_任务一_电子教案2.doc
- 网络工程规划与设计案例教程项目二_任务一_公司部门设置及岗位职责.doc
- 网络工程规划与设计案例教程项目二_任务一_计算机软、硬件及网络管理制度.doc
- 网络工程规划与设计案例教程项目二_任务一_欧宇公司办公网建设项目需求分析说明书.doc
- 网络工程规划与设计案例教程项目二_任务一_网络功能需求调查表.doc
- 网络工程规划与设计案例教程项目二_任务一_网络需求调查表.doc
- 网络工程规划与设计案例教程项目三_任务四_图书馆认证计费系统方案.doc
- 网络工程规划与设计案例教程项目三_任务四_网络设备选型基本原则与测试方法.doc
- 网络工程规划与设计案例教程项目三_任务四_网御WEB应用安全防护系统.doc
- 网络工程规划与设计案例教程项目三_任务四_校园网安全产品选型技能训练任务考核.doc
- 网络工程规划与设计案例教程项目三_任务四_校园网安全产品选型技能训练任务书.doc
- 网络工程规划与设计案例教程项目三_任务四_校园网交换机选型技能训练任务检查.doc
- 网络工程规划与设计案例教程项目三_任务四_校园网交换机选型技能训练任务考核.doc
- 网络工程规划与设计案例教程项目三_任务四_校园网交换机选型技能训练任务书.doc
- 网络工程规划与设计案例教程项目三_任务四_星湘省国税金税三期工程网络项目网络设备选型方案.doc
- 网络工程规划与设计案例教程项目三_任务四_中兴zxr1029.doc
文档评论(0)