GLAT天玑安全运维审计系统产品技术白皮书.docVIP

GLA天玑 安全运维审计系统 技术白皮书 TIME \@ EEEE年O月 二〇一三年六月 北京市国路安信息技术有限公司 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别声明，版权均属北京市国路安信息技术有限公司所有，受到有关产权及版权法保护。任何个人、机构未经北京市国路安信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文的任何片段。 目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc324346190 1 前言 PAGEREF _Toc324346190 \h 1 HYPERLINK \l _Toc324346191 2 解决方案 PAGEREF _Toc324346191 \h 2 HYPERLINK \l _Toc324346192 2.1 设计目标 PAGEREF _Toc324346192 \h 2 HYPERLINK \l _Toc324346193 2.2 设计原则 PAGEREF _Toc324346193 \h 3 HYPERLINK \l _Toc324346194 3 产品功能 PAGEREF _Toc324346194 \h 3 HYPERLINK \l _Toc324346195 3.1 面向用户组的运维人员管理 PAGEREF _Toc324346195 \h 3 HYPERLINK \l _Toc324346196 3.2 面向资源的运维方式管理 PAGEREF _Toc324346196 \h 3 HYPERLINK \l _Toc324346197 3.3 基于角色的运维权限控制 PAGEREF _Toc324346197 \h 3 HYPERLINK \l _Toc324346198 3.4 基于WEB的单点登录 PAGEREF _Toc324346198 \h 4 HYPERLINK \l _Toc324346199 3.5 全方位操作回放审计 PAGEREF _Toc324346199 \h 4 HYPERLINK \l _Toc324346200 4 产品原理 PAGEREF _Toc324346200 \h 4 HYPERLINK \l _Toc324346201 5 产品特点 PAGEREF _Toc324346201 \h 5 HYPERLINK \l _Toc324346202 5.1 运维环境定制 PAGEREF _Toc324346202 \h 5 HYPERLINK \l _Toc324346203 5.2 运维协议无关 PAGEREF _Toc324346203 \h 5 HYPERLINK \l _Toc324346204 5.3 全面审计 PAGEREF _Toc324346204 \h 5 HYPERLINK \l _Toc324346205 5.4 数据安全 PAGEREF _Toc324346205 \h 6 HYPERLINK \l _Toc324346206 5.5 终端无需受控 PAGEREF _Toc324346206 \h 6 HYPERLINK \l _Toc324346207 6 产品部署方式 PAGEREF _Toc324346207 \h 6 前言 随着信息技术的不断发展和各行业信息化建设的不断完善，信息系统在各行业单位运营中的作用不断深化，信息系统已成为各行业单位的重要资产，信息系统的构成，包括服务器、网络设备和应用系统等，在数量和种类上都不断增多，对于各行业的IT运维部门来说，不仅意味着授权管理的复杂化和自身工作量的成倍增长，也意味着信息系统安全风险的大幅提高，设备运维人员可以轻松获取信息系统的信息，从而危急信息资产安全。 目前，信息系统的关键核心业务大都部署于Unix或Windows服务器上，主机或设备运维人员更多的依赖Telnet、SSH、FTP/SFTP、RDP等进行远程管理，并且运维人员身份多样，大都是主机或设备厂商的第三方人员，这样的现状导致在运维管理中存在很多突出的问题： 1、帐号管理混乱。各行业信息系统内主机、网络设备、安全设备等由于机器和账号数量太多，导致帐号管理工作复杂。某些情况下由于系统帐号数量限制，很多人员都采用共享同一帐号进行维护。 各系统分别管理所属的系统资源，为本系统的用户分配权限，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加，安全性无法得到充分保证。 2、权限分配不够细致。目前的管理中，没有一个清晰的访问控制列表，无法一目了然的看到什么用户能够以何种身份访问哪些关