安全管理

电信行业、财政、税务、公安、金融、电力、石油、政府、门户网站等各大行业,使用数量众多的服务器、路由器、交换机、安全设备等来运行关键业务。由于设备众多、系统操作人员复杂等因素,导致越权访问、误操作、资源滥用、疏忽泄密等时有发生。黑客的恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。终端的账号和口令的安全性,也是安全管理中难以解决的问题。如何提高系统运维管理水平,满足相关法规的要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,越来越成为内部网络控制中的核心安全问题。

《信息安全等级保护管理办法》、《涉及国家秘密的信息系统分级保护管理规范》、《企业内部控制基本规范》、《萨班斯法案》等安全法规,也要求信息系统采用强制访问控制手段,做到能够控制、限制和追踪用户的行为,判定用户的行为是否对企业内部网络的安全运行带来威胁。
 
网神SecFox-LAS-BH运维审计系统针对企业内部网络设备和服务器进行保护,对此类资产的常用访问方式进行监控和审计,实现对用户行为的控制、追踪、判定,满足企业内部网络对安全性的要求。
        SSO单点登录
        网神SecFox-LAS-BH运维审计系统提供了基于B/S的单点登录系统,用户通过访问WEB页面一次登录系统后,就可以无需认证的访问被授权的多种基于B/S和C/S的应用系统。单点登录为具有多账号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高工作效率。同时,由于系统自身是采用强认证的系统,从而提高了用户认证环节的安全性。
单点登录可以实现与用户授权管理的无缝链接,可以通过对用户、角色、行为和资源的授权,增加对资源的保护和对用户行为的监控及审计。

  集中账号管理
        网神SecFox-LAS-BH运维审计系统的集中账号管理包含对所有服务器、网络设备账号的集中管理。账号和资源的集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对账号整个生命周期的监控和管理,而且还降低了管理大量用户账号的难度和工作量。同时,通过统一的管理还能够发现账号中存在的安全隐患,并且制定统一的、标准的用户账号安全策略。
        通过建立集中账号管理,单位可以实现将账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足审计的需要。
       集中身份认证
        网神SecFox-LAS-BH运维审计系统为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。
        集中身份认证支持电子证书、Windows AD域、Windows Kerberos、双因素、动态口令和生物特征识别等多种认证方式,而且系统具有灵活的定制接口,可以方便的与第三方LDAP认证服务器对接。
       统一资源授权
        网神SecFox-LAS-BH运维审计系统提提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。
        在集中访问授权里强调的“集中”是逻辑上的集中,而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能,运维人员也由各自的归口管理部门委派,这些运维人员可以通过网神SecFox-LAS-BH运维审计系统对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够实现授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以实现限制用户的操作,以及在什么时间、什么地点进行操作等的细粒度授权。
        细粒度访问控制
        能够提供细粒度的访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其系统行为,管理员会根据其自身的角色为其指定相应的控制策略来限定用户。
访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。
        运维操作审计
        操作审计管理主要审计操作人员的账号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后,操作审计能更好地对账号的完整使用过程进行追踪。

 

      网神SecFox运维安全管理与审计系统-技术白皮书(堡垒机)

 

 智能运维脚本
        管理员可以事先制定运维管理工作的脚本,由网神SecFox-LAS-BH运维审计系统自动运行,从事实现运维工作的智能化。
        管理终端的安全检查
         支持使用单点登录前做安全合规检查,包括防病毒、补丁,并提供修复功能。单点登录系统保存着系统帐号并具有访问重要资源的网络权限,因此单点登录系统自身的安全性显得非常重要,在使用单点登录前对使用者的终端做安全合规检查是排查安全隐患、降低安全风险的重要手段。
       文件共享管理
         不仅能对资源进行运维,还可以管理服务器上的共享文件,可以通过网神SecFox-LAS-BH运维审计系统向服务器上传下载文件,并能审计及备份文件。支持上传下载文件支持断点续传。
        树形无限级分组
         支持主账号、被管资源、角色的分组管理,分组可以树形方式展现,不限制分组层级数量。
        4A系统无缝拓展
         网神SecFox-LAS-BH运维审计系统,是从4A解决方案中抽象出来的产品,提供最便捷的4A项目集成方案。以先进的软件系结构、清晰合理的模块划分实现对多种4A项目和非4A项目用户场景的适用性
         密码自动变更计划
         支持所有被管设备的密码自动变更,密码变更可以根据密码策略的要求进行变更,变更的密码符合密码策略中关于密码强度的要求。
        账号自动搜集
        支持丰富的被管资源类型,包括:Linux/Unix主机、Windows主机、网元、交换机、路由器、防火墙、安全设备、数据库等。能够自动收集被管资源的账号,并进行资源账号的统一管理。

智能脚本
        客户价值:可自动运行操作,避免了操作的繁琐和遗忘。
        帐号的证书认证
        客户价值:提高账户的安全性与认证的多样性。
       丰富的被管资源类型
        客户价值:通过单点登录方式提高运维人员的工作效率,降低运维成本。
        多协议审计
        客户价值:全面覆盖了客户环境中各种IT资产。
        可扩展4A
       客户价值:方便于向4A的扩展。
       强大的查询体系
       文件共享管理
 
       客户价值:提高了客户网络环境中共享文件的安全性,并且提高运维人员工作效率。
       控制终端安全检查
       客户价值:保护客户登录的安全性与保密性,同时保障网神SecFox-LAS-BH运维审计系统运维的安全性。
       旁路部署
       客户价值:无需要改变客户的拓扑。
       负载均衡
       客户价值:保证客户的网络资源能够智能化的分配调动,提高人机交互时的响应时间,并且减少企业成本。