- 1、本文档共24页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
第PAGE页
LanSecS(堡垒主机)内控管理平台
技
术
白
皮
书
北京圣博润高新技术股份有限公司
2019年11月
目录
TOC\o1-3\h\z\u1 背景 3
1.1 概述 3
1.2 管理现状 3
1.2.1 使用共享帐号的安全隐患 3
1.2.2 密码策略无法有效执行 4
1.2.3 授权不清晰 4
1.2.4 访问控制策略不严格 4
1.2.5 用户操作无法有效审计 4
1.3 问题分析 4
2 设计理念 5
2.1 集中管理模式 5
2.2 协议代理 6
2.3 身份授权分离 6
3 产品概述 7
3.1 产品综述 7
3.2 产品组成 7
3.3 产品功能 8
3.3.1 单点登录 8
3.3.2 账户管理 8
3.3.3 身份认证 8
3.3.4 资源授权 8
3.3.5 访问控制 9
3.3.6 操作审计 9
4 关键技术 10
4.1 逻辑命令自动识别技术 10
4.2 分布式处理技术 11
4.3 正则表达式匹配技术 11
4.4 RDP协议代理 11
4.5 多进程/线程及同步技术 11
4.6 数据加密功能 11
4.7 审计查询检索功能 12
4.8 操作还原技术 12
5 产品优势 12
5.1 良好的扩展性 12
5.2 强大的审计功能 12
5.3 部署和使用简单 13
5.4 高度的安全性和成熟性 13
6 主要应用 13
6.1 运维管理 13
6.2 安全管理 13
7 技术参数 14
8 产品部署 16
8.1 逻辑部署示意图 16
8.2 物理部署示意图 16
8.3 部署说明 18
9 客户收益 18
9.1 实现集中帐号管理,降低管理费用 18
9.2 实现集中身份认证和访问控制,避免冒名访问,提高访问安全性 18
9.3 实现集中授权管理,简化授权流程,减轻管理压力 19
9.4 实现单点登录,规范操作过程,简化操作流程 19
9.5 实现实名运维审计,满足安全规范要求 20
10 产品服务 21
10.1 售后服务 21
10.2 技术支持 21
背景
概述
随着信息技术的发展和信息化建设的进步,办公系统、商务平台的不断推出和投入运行,信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中企业和门户网站,更是使用数量较多的服务器主机来运行关键业务。
2019年由美国总统布什签发的萨班斯法案(Sarbanes-OxleyAct)开始生效。其中要求企业的经营活动,企业管理、项目和投资等,都要有控制和审计手段。因此,管理人员需要有有效的技术手段和专业的技术工具和安全产品按照行业的标准来做细粒度的管理,真正做到对于内部网络的严格管理,可以控制、限制和追踪用户的行为,判定用户的行为是否对企业内部网络的安全运行带来威胁。
管理现状
目前机构的运维管理有以下三个特点:
关键的核心业务都部署于Unix和Windows服务器上。
应用的复杂度决定了多种角色交叉管理。
运行维护人员更多的依赖Telnet、SSH、等进行远程管理。
基于这些现状,在管理中存在以下突出问题:
使用共享帐号的安全隐患
企业的支撑系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系,用户为了方便登陆,经常出现多人共用帐号的情况。
多人同时使用一个系统帐号在带来方便性的同时,导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员,会使这个帐号的安全无法保证。
由于共享帐号是多人共同使用,发生问题后,无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员,带来了密码管理的复杂化。
密码策略无法有效执行
为了保证密码的安全性,安全管理员制定了严格的密码策略,比如密码要定期修改,密码要保证足够的长度和复杂度等,但是由于管理的机器数量和帐号数量太多,往往导致密码策略的实施流于形式。
授权不清晰
各系统分别管理所属的系统资源,为本系统的用户分配权限,无法严格按照最小权限原则分配权限。另外,随着用户数量的增加,权限管理任务越来越重,当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加,安全性无法得到充分保证。
访问控制策略不严格
目前的管理中,没有一个清晰的访问控制列表,无法一目了然的看到什么用户能够以何种身份访问哪些关键设备,同时缺少有效的技术手段来保证访问控制策略被有效执行。
用户操作无法有效审计
各系统独立运行、维护和管理,所以各系统的审计也是相互独立的。每个网络设备,每个主机系统分别进行审计,安全事故发生后需要排查各系统的日志,但是往往日志找到了,也不能
您可能关注的文档
最近下载
- 100MW光伏项目工程量清单(例).xlsx VIP
- 初中数学人教版八年级上册第十一章三角形单元复习全国公开课.docx VIP
- 触电事故应急处置.pptx VIP
- 纳米材料国内外研究进展纳米材料的应用与制备方法.docx VIP
- 浙教版(2023)劳动技术一年级上册教学设计(附教材目录).docx VIP
- 努南综合征-临床及分子诊断.pptx
- 幼儿园小班社会课件《我会排排队》.pptx
- 2024年秋新沪科版九年级上册化学全册教学课件(新教材).pptx
- 2021高三一模浦东作文:生活中处处有墙……解析及范文.pdf VIP
- (新人教版)数学六年级上册第2单元《位置与方向(二)》大单元教学课件.pptx
文档评论(0)