产品介绍

专业信息系统等保审计保障

 中科网威IT运维堡垒机系统通过B/S方式(https)对主机、服务器、网络设备、安全设备、数据库、应用等实施统一认证、授权、审计、分析；具有与身份认证系统无缝结合的接口,支持用户密码、手机令牌动态口令双因子认证；实现对操作过程的全程监控与审计录像回放，以及对违规操作行为的实时阻断。支持对多种远程维护方式，如字符终端方式(SSH、Telnet)、图形方式（RDP）、文件传输（FTP、SFTP）协议, 应用发布系统支持BS/CS等应用的单点登录及审计。

1、身份认证和鉴别（等保三级安全合规性要求）

为满足“谁能做”的授权需求和“谁做的”审计系统要求，堡垒机系统必须具备一套完整的身份鉴别和认证功能。一般需要采用两种或两种以上双因子方式进行身份验证，如支持静态密码和手机动态口令，手机短信、证书Key等认证方式访问，支持本地认证、Radius、LADP、AD域和POP3认证方式；支持密码强度、密码有效期、密码尝试死锁、用户激活等安全管理功能多种认证方式，满足等保三级系统合规性设计要求。

身份认证鉴别从等级保护三级开始必须要进行双因子认证，如将双因子(比如动态口令)部署到内部服务器成本高且易出风险事故，中科网威堡垒机上内置了CA、动态口令、手机短信、证书UKEY等强认证，在不动生产系统的情况下即完成运维审计合规身份鉴别。

2、授权与访问控制

对IT运维管理人员进行授权与访问管理，严格限制登录和操作行为。提供细粒度的访问控制策略，通过控制访问时间、允许访问的IP段和证书来制定详细的访问策略，对IT运维用户、登录地址、运维协议、目标主机及账户、运维会话时长、运维时间段进行组合授权。

3、单点登录与帐号管理

单点登录是运维管理用户通过堡垒机集中认证和授权后，堡垒机作为唯一的登录入口，让非法用户无机可趁，杜绝了非法人员的入侵。同时堡垒机根据配置策略对网络中服务器，网络设备，安全设备的账号进行集中管理并实现帐号密码托管实现后台资源自动登录，运维用户无需知道后台资源的账户密码。提供了运维用户到后台资源账户的一种可控对应，同时实现了对后台资源账户的口令统一保护。

4、监控违规操作告警

根据安全策略对运维管理过程中的违规操作进行检测，对违规操作提供实时告警和阻断。提供在线运维管理操作的实时监控功能，制定相应的阻断告警策略，当运维人员在使用策略中的敏感命令时，进行阻断告警，将运维人员和服务器断开或者禁止命令的执行中断运维会话。从而达到降低操作风险及提高安全管理与控制的能力。

5、运维审计管理

审计管理主要审计操作人员的账号登录、资源访问使用情况，在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后，系统对所有登录和操作过程进行全程录像记录，作为日后分析和取证的依据。提供对 Telnet、FTP、SSH、SFTP、RDP、XWindows、VNC、AS400、HTTP、HTTPS等协议的运维会话进行完整记录，对于图形化管理方式，系统可以记录用户键盘动作，对于字符管理方式，系统可以记录用户操作的命令满足百分百的内容审计记录要求。以会话为单位，提供图像形式的回放，真实、直观地重现当时的操作过程，支持快放、慢放、拖拉等回放方式。

6、审计报表功能

堡垒机提供日常报表、会话报表、告警报表、综合统计报表等多种审计报表，系统通过认证、授权、审计、密码的集中管理，可以达到对整体运维系统的分析，输出各种运维报表，将当前运维情况整体展示出来，为管理层提供运维管理的依据。支持PDF、Excel等格式。

7、自身安全保护

通过分权管理机制、管理员身份认证、HTTPS加密管理、内部组件加密通信、数据文件加密存储、关闭可能带来扫描风险的服务端口，保障自身安全性。此外，可通过双机热备（HA）、数据冗余存储（Raid1）等技术，保障系统可靠运行。

8、产品部署方式

中科网威堡垒机系统采用单臂模式旁路部署，不改变网络拓扑。完成部署后，内部服务器的维护端口只向堡垒机开放，避免运维人员直接访问服务器导致逃避监控的风险。

ANYSEC-堡垒机系统应用

       中科网威IT运维堡垒机系统是针对管理“IT管理员”的设备，可对企业IT运维人员在运维操作过程中进行统一身份认证、统一授权、统一审计、统一监控，消除了传统运维过程中的盲区，实现了运维简单化、操作可控化、过程可视化，它通过Web方式对主机、服务器、网络设备、安全设备、数据库、应用等实施统一认证、授权、审计、分析；具有与身份认证系统无缝结合接口,支持用户密码、手机动态口令双因子认证。实现对操作过程的全程监控与审计录像回放，以及对违规操作行为的实时阻断,保证只有合法用户才能使用其拥有运维权限的关键资源。为组织在操作风险控制、内控安全及规范性等提供一套完善、有效的审计手段。

产品选型（等保三级评审-医院、金融、税务、政府、企业运维审计堡垒机系统） 

一、需求应用分析

       对于网络设备的运维管理，大部分公司目前还没有形成一套完整的管理方法，部分公司在网络设备上建立用户名密码，然后运维人员使用网络设备的本地密码登录后进行运维操作，还有一些公司建立有AAA服务器，将用户名和密码交AAA服务器统一管理，但这二种模式在运维管理中都存在相应的风险，主要风险如下：

1、密码外泄：没有统一的密码管理机制，存在很多人员共同使用同一个系统帐号的情况 ，造成系统帐号的密码为多人所知，最终，系统密码非常容易外泄露给第三方人员；

2、违规恶意操作：对操作人没没有统一的监控、审计系统，操作人员操作的过程无法进行回溯，容易造成操作人员越权删除、修改数据以及配置系统的情况

3、管理授权混乱：当网络设备多，运维人员数量多的时候，管理授权容易出现混乱，没有一个统一的系统为运维人员进行授权，并且对权限进行回收管理，形成一定的运维风险

上述这些问题的原因，都是因为没有一个统一的运维管理平台，造成运维管理黑盒化导致，因此建立一个安全、可靠、易用的运维管理平台，为近期企业IT运维的迫切要求。同时国家及行业也相继出台了相关的法律法规及管理规范，如CSOX和等保规定，要求系统运维在访问控制、操作审计等诸多方面做得更加全面有效的管理。

二、方案建设目标

       本方案主要是通过对人员、设备、操作的管理，实现运维管理的白盒透明化，同时将各项运维管理规章制度，能以可监控的方式进行管理落地。项目建设目标主要是以运维过程的安全、操作管理进行，最终达到运维规章制度可能有效执行，根据这些原则，将系统建设目标明细为如下点：

1、统一的运维管理：建立统一的运维管理平台（堡垒机系统），用户由过去直接访问网络设备，改为从堡垒机跳转登录，堡垒机上实现认证、授权、审计及帐号的管理。

2、认证权限集中管理：堡垒机上启动AAA服务器，将网络设备的认证统一放到AAA服务器上，AAA服务器上的密码系统可以自动按时修改，不需要运维人员知道AAA服务器上的密码，当用户想要登录网络设备时，由运维平台自动为运维人员填写登录密码，这样能保证最终设备密码的安全性。

3、身份登录认证管理：用户登录堡垒机时，必须使用令牌卡生成的动态口令登录，这样可以保护用户的口令安全性，并且可以做到认证的不可否认

4、运维操作审计分析：运维人员登录到网络设备进行操作后，运维平台对整个操作过程进行录相、分析，通过平台可以对任何一个操作过程进行回溯，同时，平台可以分析整体运行情况，比如运维人员的巡检、故障排除统计等，审计分析可以使运维管理白盒可视化，达到管理人员可以时刻了解当前运维操作状态的目的，以使运维管理制度得以落地。

快速定位问题：必须对操作人员原始的操作过程进行完整的记录，并提供灵活的查询搜索机制，从而在操作故障发生时，快速的定位故障的原因，还原操作的现场；

兼容操作习惯：尽量不改变运维环境中已有的网络架构、对操作者原有的操作习惯不造成任何影响；

三、方案设计原则

整体系统以运维安全管理规章制度有效运行、运维管理白盒可视化为设计实施依据，系统整体设计思路如下：

1、实施准则：运维管理，主要是通过规章制度对人的行为进行控制，进行保证系统的稳定运行，因此，运维管理其实其本质就是规则制度的有效实行，整体运维平台上线，最大的目的就是将运维管理从不可视的黑盒管理改为可视的白盒管理，同时，通过自动巡检、密码自动修改、SSO等功能大大减轻运维人的工作强度。

2、身份认证：身份管理解决的是操作者的身份识别和工作角色的问题。因为所有的操作行为都是由操作者发起的，通过操作者的身份管理机制，是后续对操作者操作过程进行控制和审计的基础。

3、权限控制：通过访问控制手段确保合法的操作者只能合法的访问资源，有效降低未授权访问的安全风险。

4、审计记录：操作审计的意义在于当发生操作事故时，可以借助审计日志快速定位问题的原因，还原操作的现场，真正完善责任认定的体系。操作分析可以让管理层得以有效把握目前运维管理的状态，实现运维管理的合规化。 

四、应用部署方案

1、方案设计

       中科网威运维堡垒机系统采用“旁路统一入口”的模式实现集中管理，这种部署模式的优点是在部署过程中，无需在被管理设备上安装任何代理程序或插件，也不需要调整设备之间原有的网络架构，对用户当前的运维环境几乎不会造成任何影响。

2、产品部署说明

1）部署方式是旁路部署，或使用双机热备部署模式，用户登录后的所有操作都会被录相留存至少半年以上；

2）部署条件是运维管理平台到被管理设备IP可达，协议可访问、运维终端到运维管理平台IP可达、协议可访问；

3）所有被管理的设备将4A认证指到堡垒机上，在堡垒机上为所有设备建立Radius帐号，登录这些设备时，认证在堡垒机上进行；

4）为所有的运维人员在堡垒机上建立运维帐号，并且为运维帐号做出权限列表，即为运维帐号指定能登录到哪些网络设备；

5）登录过程：所有用户登录网络设备时必须通过堡垒机跳登录，用户用唯一的用户帐号登录到中科网威运维堡垒机系统上，然后中科网威运维堡垒机系统会根据配置管理员预先设置好的访问控制规则，提示用户选择可以访问的目标设备和相应系统帐号，用户选择后自动登录到目标设备，用户登录堡垒机时，需要使用动态令牌卡生成动态口令进行登录，以保证认证的安全性

五、方案实现效果

堡垒机审计系统主要围绕运维安全性、可管理性而建设，主要需要实现包括统一入口管理、统一授权、统一认证、统一审计、统一分析、及时告警六大项功能，针对这六大项功能，将审计系统部署实现达到如下效果：

1、系统统一接入

统一接入模块主要实现入口统一管理，包括运维管理登录Portal、双代理模块、VPN移动用户接入三部分。运维管理登录Portal为用户提供一个统一的登录入口地址，将用户登录入口统一以后，才能进行针对性管理，统一Portal模式是一个登录的Web界面，用户登录Web界面后，可以看到自身的所有权限，通过占击相应的权限连接到相应的服务器。

SSL VPN模块用于提供运维用户远程接入，从管理角度来说，运维业务系统为一个专有系统区别于办公、财务等系统，因此，一般情况下运维平台应该具备VPN接入的功能，让运维人员有一个专门的VPN接入接口与其它部分分离。

2、认证授权管理

认证授权管理主要实现动态口令、单点登录、权限管理、密码管理四个方面如下：

动态口令：用于解决目前静态密码的各种弊端，可以彻底的实现密码丢失、弱口令、密码扫描等安全问题，一个标准的运维系统动态口是是必须具备的一个功能模块。

单点登录：用于让用户登录到运维平台后，即可以不需要输入其它系统的密码，直接登录到已经赋权的系统，可以实现密码屏蔽、登录方便等功能。

权限管理：用于指定用户的操作权限，包括用户可以登录到的设备、可以使用的设备帐号以及登录到设备上可以执行的操作命令等。

密码管理：用于帮助用户执行密码规章制度中的密码修改策略，密码修改策略上线后，密码管理软件可以自动按密码策略对系统密码进行修改，以使管理制度落地。

3、操作审计预警

审计分析用于对操作人员的操作进行录相和分析，用户通过运维管理平台登录到业务系统后，所进行的操作都会被运维管理平台录相，同时，分析出用户的明细操作，包括用户运行的命令、敲击的键盘、上传下载的文件、数据库指令、数据库操作取回的数据等，通过审计分析，可以对操作人员的操作过程进行评判，评判他的操作过程是否有违归、恶意操作，同时如果发生误操作，可以及时回溯，恢复到系统原来的正常状态。

4、日志审计记录

运维管理中，日志系统的分析和关联是很重要的一部分，没有日志关联，很难将系统发生的事件与运维操作关联起来，运维关联模块可以将用户登录、运行命令、系统日志等一系统事件统一关联，让管理者不需要通过分散的日志、网管、堡垒机系统一样一样的分析事件原因，大大提高了运维效率和事件分析的准确性。