1、网御安全管理系统网御安全管理系统V3.0V3.0(4A4A统一安全管控平台)统一安全管控平台)产品介绍产品介绍电信产品事业部电信产品事业部目录目录4A4A系统建设需求系统建设需求4A4A建设方案建设方案4A4A亮点功能介绍亮点功能介绍规范、案例、资质规范、案例、资质安全隐患和风险q 缺少统一的用户身份标识规范,各系统数据滞后,带来安全风险。q用户信息管理分散,存在多个数据源,数据更新困难,管理成本高;用户数据发生变化时,数据更新不及时,造成安全隐患。q系统存在僵尸帐号、共享帐号,需要定期对超级管理员帐号、普通帐号进行审查;带来安全风险。q公司人员维护的设备和使用的应用系统数量众多,需要记住不同
2、设备的帐号密码,容易遗忘。认证问题Authenticationq静态口令规则复杂,用户记忆困难,容易遗忘,带来很多安全隐患和管理成本。q许多系统和业务资源认证方式单一,并且缺少统一接入控制,缺少双因认证等强认证方式。q公司人员维护的设备和使用的系统数量众多,导致需要多次独立的认证,带来使用和管理的复杂。 授权问题 Authorizationq维护人员对资源拥有过大权限,并可以直接访问系统资源设备,缺乏对其进行访问控制和行为审计的手段,存在极大的安全隐患。q没有统一的授权管理,很难对用户权限进行定期审核。 审计问题 Auditq用户操作日志记录不完整,数据库日志信息量太大,没有技术手段分离用户操
3、作日志,日志分散存储,日志审核员工作量巨大。q没有用户身份和从帐号的关联信息,审计数据难以定位。q没有技术手段情况下,很难通过日志审计发现异常或违规行为。帐号问题Account 数据问题 Accessq忽视操作过程中生成的文件,缺乏对其进行上传下载的控制,存在极大的安全隐患。q没有对文件内容进行审计控制,很难对敏感数据泄露事件进行控制和审核。建立面向系统资源和业务应用的统一文件管理系统,通过对操作过程中生成的文件进行集中管理,保障数据安全a)通过统一入口进行统一登录控制b)集中控制内部和外部维护人员访问it资源c)通过文本或视频方式对维护人员的访问操作行为进行记录,为日志审计提供依据d)按照管
4、理要求和业务审计需要输出报表,可按照具体需求定制a)实现IT资源账号集中管理、自动采集、创建、分配、同步b)实现公司统一用户目录中用户身份信息的规范化,与公司人力资源等实现数据同步c)将资源账号和使用人员真实身份对应的主账号进行组从关联,建立主从账号关联关系视图d)强制口令修改。输出需要的报表,可根据需求自动化定制a)实现系统资源和应用资源实体级别的权限控制和管理,基于集中安全管控策略的实体级访问控制和授权b)实现系统资源和应用资源权限的自动采集或手动管理c)对所有系统资源、应用资源,支持角色定义,支持基于角色的授权a)支持多种系统、访问日志收集和统一格式标准化b)将系统侧采集的日志和在同一用
5、户接入点的文本或视频进行日志关联c)实现将日志关联到用户主账号且对应到自然人的登录过程、关键操作进行审计d)快速检索日志,支持安全事件责任调查e)能够审计发现绕开4A系统直接登录资源的行为f)根据预先定义规则发现高危操作,及时告警。可根据需要定制报表解决问题目录目录4A4A系统建设需求系统建设需求4A4A建设方案建设方案4A4A亮点功能介绍亮点功能介绍规范、案例、资质规范、案例、资质4A安全管控平台被管系统1(主机、网络设备)被管系统2(数据库)被管系统3(业务系统如CRM)终端4A体系建设思路4A体系建设总体框架图4A系统逻辑架构管控平台VPN远程人员本地人员统一接入门户应用资源系统资源数据
6、库应用服务器WEB服务器网络设备安全设备堡垒机PL/SQL Telnet Ftp等应用SSH SFTP RDP VNC等应用B/S单点登录PL/SQL Telnet FtpSSH SFTP RDP VNC数据管控文件上下载审批、内容扫描权限控制认证SAN存储集中审计审计数据库认证请求认证反馈从账号管理帐号口令采集帐号密码管理单点认证接口,从账号管理认证服务器n认证:短信动态密码认证CA数字证书认证n授权关系-管控平台将授权关系同步到堡垒机n审计数据-接收来自三个方向的审计信息,一个是登入登出日志;第二个是堡垒机审计数据;第三个是收集资源日志信息4A系统平台组件模块及数据流向图帐号开通用户维护帐
7、号生命周期用户离职l删除用户l删除权利l证书吊销l同步删除用户维护l口令重设l权限新增l新建资源用户变更l升职、调动l组织变更l权限变更新建主帐号l 身份创建、证书颁发、权限赋予帐号变更用户离职 主帐号创建,需关注相关组织机构、岗位、角色、人员标准化信息来源、所管理资源及从帐号等信息 帐号变更,主要关注权限的变化,去除冗余的授权信息、以防系统中留下安全隐患,同时需要对权限变更进行记录。 用户自身维护,4A系统管控平台主要提供用户对证书PIN码的修改,授权委托或临时授权申请、以及升级工程预约等服务。 用户离职或外部人员离场,重点关注用户信息的逻辑删除、登录及操作信息的保留已备后续审核,管控平台还
8、可进行主帐号证书的吊销工作。账号生命周期管理采集修改创建删除分配回收Xxx xx Xxx xx Xxx xx 设备主机数据库应用系统从帐号管理用户用户管理员适配驱动器n系统资源账号:p堡垒主机使用特权账号采集系统资源的从账号,并且通过该特权账号可以实现对系统资源上的从账号的增删改等管理;n应用资源账号:p应用系统为4A安全管控平台开放数据库接口,通过应用系统的数据库采集资源上的从账号;p通过webservice,4A安全管控平台将增删改等命令推送到应用系统上,实现对应用资源从账号的管理;Switch/RouteDBUnix各类资源适配器从账号管理4A系统平台网络设备主机用户SSO应用系统n系统
9、资源单点登录实现方案:o对于设备(主机、数据库、网络安全设备)使用本地客户端登录,先通过强认证方式登录管控平台门户,然后采用单点登录控件以密码代填方式登录设备。o使用发布型客户端登录,需要4A平台与应用发布平台整合实现SSO。n应用系统单点登录实现方案:pSSO票据方式: 从4A平台到应用系统采用安全加密的Token票据方式实现单点登录认证,此种方式安全、高效,需要应用系统配合调整。o密码代填方式:4A平台通过模拟表单提交等方式代填应用系统帐号密码,从而实现应用的单点登录,此种方式实现简单、便利。o应用发布代填:通过堡垒机上发布的浏览器打开应用地址,然后采用模拟代填的方式登录应用资源。(有优点
10、,有缺点)数据库12单点登录-SSOl身份认证审计:l强身份认证统计l失败身份认证统计管控平台主从帐号增删改查策略配置认证及密码管理网络设备主机管理员用户授权审计:主从帐号授权角色及细粒度授权登录过程审计:l什么人用什么帐号登录l从什么地方登录l什么时间登录什么系统l什么时间退出l登录了多少次l登录后行为审计:l用户访问了哪些资源l对资源做了什么操作l收集系统日志记录授权管理帐号管理审计用户登录用户操作q本地型审计日志:自身产生的用户操作,什么人用什么帐号登录登出,访问了哪些资源,做了哪些操作;q堡垒主机型审计日志:通过堡垒机登录资源的详细操作记录;q日志采集型审计日志:通过日志采集方式获取主
11、机、数据库、应用系统自身生成的操作记录q4A平台自身日志:管控平台进行帐号、授权类、参数配置类操作的审计记录;数据库等4A系统审计管理目录目录4A4A系统建设需求系统建设需求4A4A建设方案建设方案4A4A亮点功能介绍亮点功能介绍规范、案例、资质规范、案例、资质针对维护人员需要使用敏感操作命令的情况,将启动金库式指令管理模式,实现事中双人控制。4A平台将纳入管理的资源从帐号密码进行统一管理绕行阻断:基于4A平台的建设原则,未按照规定绕开堡垒主机,对系统资源进行直接操作的情况进行阻断重定向:未按照规定绕开4A平台,对直接登录系统资源的操作情况直接重定向到4A登录平台运维人员登录Portal、选择
12、需要批量登录的资源,由4A平台实现批量的一次性登录统一登出:为了保障业务安全性,可以选择当4A平台实现一旦拔出Ukey,或关闭4A登录界面等非正常注销时,所有登录的资源将全部自动退出会话保持:为了保证业务持续性,可以选择当4A平台实现一旦拔出Ukey,或关闭4A登录界面等非正常注销时,所有登录的资源将保持连接产品亮点介绍l 支持本地授权l 支持远程授权l 支持实时授权l 支持预授权特性lsrmlsrm高危命令,rm指令被告警、忽略、阻断,或是需要审批员进行二次审批金库模式 通过堡垒主机对系统资源进行操作时,为了加强安全审计,杜绝人员绕行4A平台,达到集中使用4A平台的目的,采用具备流量采集与阻
13、断功能的防绕行设备,辅助并引导维护人员统一登录4A平台进行日常运维操作防绕行-绕行阻断 通过票据等方式单点登录业务资源时,为了加强安全审计,杜绝人员绕行4A平台,实现集中使用4A平台的目的,采用重定向技术将绕开4A平台直连业务系统的链接重新定向到4A平台上,辅助并引导维护人员统一登录4A平台进行日常运维操作4A系统平台123123业务系统防绕行-重定向 4A平台实现将密码代管功能纳入统一帐号管理范畴,其允许管控平台统一管理接入设备的帐号密码,实现灵活的密码策略定期修改口令,极大提高系统的安全性。n 账号管理 系统资源:堡垒主机使用特权账号采集系统资源的从账号,并且通过该 特权账号可以实现对系统
14、资源上的从账号的增删改等管理; 应用资源:应用系统为4A安全管控平台开放数据库接口,通过应用系统的数据库采集资源上的从账号,然后通过webservice,4A安全管控平台将增删改等命令推送到应用系统上,实现对应用资源从账号的管理;n 账号改密 4A平台通过创建全局口令策略、资源口令策略、从帐号口令策略方式实现对所管资源密码进行管理,系统初始化时会创建全局密码口令策略。密码托管 为了满足运维人员定期维护多个资源的需求,管控平台支持同时选择多台设备进行单点登录的功能,极大的提高了人员的工作效率。 维护人员只需进入管控平台运维Portal,采用勾选的形式选中需要批量登录的资源,再点击批量登录,管控平
15、台将迅速的成功登录上资源。4A平台每个维护人员少则管理五、六个资源,多则维护上百个资源,如右图所示,如果在进行问题处理时,一个一个点击登录,即浪费时间也延误问题处理时机,因此管控平台在此需求上提供了资源的批量登录功能。主帐号授权数量抽样资源同时批量登录批量登录 4A平台采用Ukey数字证书的强身份认证方式,为了防止运维人员登录管控平台以及单点登录资源之后,临时有事或者运维工作结束,未点击退按钮作而是直接拔出Ukey。在此类情况下,根据用户实际业务需求,当资源还处于连接的情况,管控平台可识别Ukey已拔出状态,用户可以选择将已登录的资源自动统一退出,保障业务的安全性;或者选择保持现有会话,而退出
16、用户终端运维管理软件,使其在保障业务安全的前提下实现了业务的持续性。检测到已拔出Ukey维护人员拔出Ukey离开办公终端管控平台以及已登录资源同时退出管控平台同时退出 已登录资源全部退出登出管理对于应用系统分阶段实施的划分原则为:按不同厂家分类细化的统一接入方式按业务风险性由高到低分类统一接入方式按用户数多少分类接入统一接入方式改造功能步骤:统一认证帐号管理审计管理授权管理从资源类型角度实施步骤:系统资源应用资源4A项目建设演进路线目录目录4A4A系统建设需求系统建设需求4A4A建设方案建设方案4A4A亮点功能介绍亮点功能介绍规范、案例、资质规范、案例、资质 在全国各运营商具有良好的合作关系在
17、全国各运营商具有良好的合作关系,4A4A安全管理安全管理平台案例平台案例序号项目名称客户名称相关内容序号项目名称客户名称相关内容12013网管、业支、管信全网4A三期扩容河北移动4A112013网运4A四期扩容项目广东电信4A22012业支二期扩容工程软件开发集成辽宁移动4A12广东电信云平台4A项目广东电信4A32012管理信息系统4A扩容贵州移动4A13广州电信4A项目广州电信4A42012业务支撑系统4A三期扩容贵州移动4A142013企信4A三期综合安全管控和审计平台扩容项目云南电信4A52013信息安全集中管理系统工程4A认证鉴权系统扩容工程四川移动4A152013网运4A项目安徽电信4A6中国移动(深圳)敏感数据管控项目4A系统三期软件开发技术服务深圳移动4A162012企信4A堡垒机项目重庆电信4A72010年管理信息4A系统二期扩容改造工程甘肃移动4A172012企信审计贵州电信审计82011管理信息系统4A改造工程陕西移动4A182013年 运维部日志审计系统吉林电信4A92103企信二期安全管控平台(4A)扩容项目陕西电信4A192012产创部4A一、二期扩容广东联通4A10业务支撑网信息安全六期4A日志审计系统技术开发浙江移动4A202011BSS综合安全管理系统扩容广东联通4A部分运营商行业案例谢谢
