精細訪控事件追蹤

LanSecS（堡壘主機）內控管理平臺技術交流技術顧問朱家衛2010年8月交流提綱54堡壘主機解決方案3現有解決方案2問題分析1IT運維現狀堡壘主機產品介紹6為何選擇LanSecS

IT資產IT運維角度主機系統數據庫系統網絡設備安全設備專用系統應用角度OA系統財務系統人力系統業務應用系統客戶服務系統資產用戶資產的管理者內部維護人員常駐維護人員臨時維護人員資產的使用者行政人員財務人員業務人員管理人員外部用戶訪問方式各類人員可以通過下面各種途徑訪問IT資產：使用遠程終端服務：例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口（CLI）使用文件傳輸協議：例如FTP等使用遠程窗口和桌面：例如Windows的遠程桌面（RDP），和Unix的Xwindow。使用各種數據庫客戶端：例如各種數據庫的client程序、ODBC、JDBC，以及多種其它數據庫工具。IT運維現狀？用戶管理復雜性不可避免？？資產安全性又如何保證？管理工作帳號管理認證管理AB操作審計D授權管理C定義帳號密碼定期變更密碼密碼強度控制……..日志收集日志分析故障排查事故追蹤……..

建立帳號修改帳號刪除帳號……..定義帳號權限分配帳號修改帳號權限防止越權訪問……..設備及服務器管理管理問題—帳號管理空閑帳號弱口令帳號僵尸帳號共享帳號相同帳號設備及服務器群管理問題—認證管理各系統獨立認證單一的靜態口令認證口令強度基本無限制管理問題—授權管理授權工作量大、繁瑣沒有有效的訪問控制手段授權粒度粗，基本只到設備管理問題—審計一缺乏資源帳號管理的審計缺乏資源帳號分配給自然人的授權審計缺乏用戶登錄登出系統的審計缺乏用戶對系統操作行為的審計管理問題—審計二關鍵業務系統數據被修改了，系統記錄是admin改的，到底是誰用這個帳號改的？這么多系統，查看命令這么復雜，我怎么去使用這些命令去查看？業務數據被修改，從日志中查，一天的日志量有幾百萬，我該從什么地方開始看，他到底在什么時間修改業務數據的？每個系統的日志都這么多，不知道他們之間有什么關系？……當出現事故或安全問題時，無法對事故責任進行追蹤定責。無法對維護人員的作業行為進行監控。多人共用系統帳號，進行維護作業由于維護人員維護多個系統資源，常常為了方便將口令信息存放于文件之中維護人員通常使用高權限的帳號進行維護操作，對于某些用戶來說該權限過于寬松企業關鍵設備的登陸缺乏強認證手段。傳統強認證手段實施困難管理員誤操作重現恢復困難。管理問題小結資產安全問題多人共用系統帳號，帳號信息容易外泄，資產安全受到威脅邊界安全建設日趨完善，內部威脅未受重視，80%的問題與威脅來自于網絡內部，終端防護類只解決了病毒、木馬等，人為呢？或者操作失誤呢？企業生產數據面臨被內部人員篡改、刪除、竊取，主機被關機、設備配置被修改，導致企業生產停頓、商業資料泄露，給企業造成巨大的損失。運維人員使用問題密碼記憶用戶需要記憶許多用戶名和密碼用于登錄各個系統，經常出現忘記密碼的情況，有些管理直接使用相同的密碼，缺乏統一的用戶管理。頻繁登錄和注銷管理不同的網絡設備需要分別登錄，操作繁瑣。合規性問題薩班斯.奧克斯利法案（Sarbanes-Oxley）公安部：《信息系統安全等級保護基本要求（試用稿）》對數據安全的保護是安全等級保護關注的對象。財政部、審計署、證監會、銀監會、保監會《企業內部控制基本規范》是內部控制審計的重要依據。據外電報道，已有多個消息來源證實，在美國東部時間6日下午，一名交易員在賣出股票時敲錯了一個字母，將百萬誤打成十億（million-billion），導致道瓊斯指數突然出現近千點暴跌，誤操作和技術問題可能是導致6日紐約股市暴跌的主要原因之一。針對出現多處異常波動現象，紐約證券交易所和納斯達克股票市場已展開調查。——2010.5.7新聞一個實例集中登錄集中式網絡管理（先登錄管理作業服務器，然后轉換身份再對相關服務器進行維護。屬于多用戶單帳號管理方式）問題：

1.多用戶共享root帳號，權限劃分不明，所有人員都具有最高的ROOT權限。

2.無法跟蹤某個管理員的確切操作。

3.依靠各自服務器的日志信息，審計信息不可集中審計管理。旁路審計針對協議：明文協議（TELNET/FTP/HTTP等）問題：

1.密文協議（SSH/RDP等）

2.細粒度授權

3.審計信息不可讀（實名、信息量）xvz@b銐>e決;`耂決塠hQ軴芠€b/g纇錱密文，無法審計SSH分析儀/審計儀鏡像監聽解決問題思路現有解決方案集中登錄旁路審計堡壘主機解決方案帳戶管理認證管理授權管理操作審計集中管理帳戶多系統統一帳戶集中認證統一登錄安全認證集中管理授權細化變更容易集中審計過程審計易存儲，易查詢可結構化輸出21集中訪問入口、操作審計堡壘主機內控平臺建設目標集中管理帳號管理唯一身份認證管理你是誰授權管理你能干什么操作審計你干了什么身份授權分離系統帳號=身份認證系統授權+主帳號身份認證+從帳號系統授權+操作審計集中審計全程記錄，操作過程審計統一存儲，統一查詢真實還原操作過程多協議審計支持產品架構集中管理平臺集中帳號管理集中認證集中授權集中訪問控制集中安全審計字符終端代理支持指令終端的常見協議SSH、TELNET、RLOGIN、FTP

策略中配置禁止該操作員使用kill等危險命令，顯示禁用提示信息策略中配置禁止命令中不包含more命令，放行通過，得到正確執行結果操作人員moreabc.filekillallapache堡壘主機目標服務器字符權限控制一字符權限控制二圖形終端代理支持圖形終端的常見協議RDP、VNC、XWINDOWS統一的WEB單點登錄方式單點登錄—UNIX統一的WEB單點登錄方式單點登錄—WINDOWS主機操作審計一操作審計二操作審計三操作審計——操作過程回放產品特色流程管理提供用戶申請、權限申請、資源申請等管理流程4a擴展在4A項目中，帳號、認證、授權管理轉移到4A，提供執行單元，完成基礎訪問控制和操作審計功能。在非4A項目中除提供基礎的訪問控制和操作審計功能外，還提供精簡的帳號、認證、授權集中管理功能。內部權限控制靈活策略配置靈活時間、源設備、命令安全會話一次性會話密鑰與連接會話加密高可用性與可靠性支持外接存儲支持雙機分散審計->綜合安全審計直接訪問管理-〉集中訪問控制網關逐個系統的設置帳號策略-〉集中賬號管理逐個系統的認證登陸-〉單點登陸逐個系統的認證安全建設-〉集中IAM方案符合安全規范提高訪問安全減輕管理壓力簡化操作流程降低管理成本用戶收益堡壘主機基本部署DMZ或設備中心工作區IT運維人員IT運維人員Internet堡壘主機產品規格產品名稱型號產品描述LanSecS－NK－501U硬件設備、最大能夠管理50個資源數LanSecS－NK－1001U硬件設備、最大能夠管理100個資源數LanSecS－NK－2002U硬件設備、最大能夠管理200個資源數LanSecS－NK－5002U硬件設備、最大能夠管理500個資源數典型案例中國人保30多臺類Unix主機（包括SCOUnix、RedHatLinux、Solaris、AIX等）20多臺Windows主機（操作系統為windows2003/2000和少數XP）60多臺核心交換和路由器北師大航天長城100多個被管資源公司簡介-圣博潤2000年成立與中關村科技園區10年專業致力與信息安全軟件產品開發、研究和服務國內領先的信息安全產品和服務提供商自主知識產權總公司設在北京，在中國29個重要城市設有辦事機構，擁有以北京和南京地區為支點的研發體系，在華東、華南、東北地區設有分公司目前公司總人數為300人，研發和技術人員人數占員工總數近40%近萬家的成功案例國內內網安全產品和服務綜合廠商中唯一上市公司公司人員增長示意圖2000200320062010335902102008150公司簡介-圣博潤公司于2009年2月18日在深交所新三板市場正式掛牌，股票代碼為430046是國內安全運維防護產品企業中唯一一家上市公司公司技術具備創新性，管理規范公司具備可持續發展能力，售后服務值得用戶/合作伙伴信賴圣博潤公司成功上市研發和技術人員金融風險事業部安全服務咨詢售后服務和800電話行政、財務和后勤銷售團隊和市場創新能力突出組織架構合理高層管理團隊團隊建設高新技術企業證書ISO9001:2000質量管理體系認證軟件產品認定軟件企業認定軟件著作權交流提綱54堡壘主機解決方案3現有解決方案2問題分析1IT運維現狀堡壘主機產品介紹6為何選擇LanSecS

謝謝！！！9、春去春又回，新桃換舊符。在那桃花盛開的地方，在這醉人芬芳的季節，愿你生活像春天一樣陽光，心情像桃花一樣美麗，日子像桃子一樣甜蜜。2月-252月-25Sunday,February16,202510、人的志向通常和他們的能力成正比例。17:14:0917:14:0917:142/16/20255:14:09PM11、夫學須志也，才須學也，非學無以廣才，非志無以成學。2月-2517:14:0917:14Feb-2516-Feb-2512、越是無能的人，越喜歡挑剔別人的錯兒。17:14:0917:14:0917:14Sunday,February16,202513、志不立，天下無可成之事。2月-252月-2517:14:0917:14:09February16,202514、ThankyouverymuchfortakingmewithyouonthatsplendidoutingtoLondon.ItwasthefirsttimethatIhadseentheToweroranyoftheotherfamoussights.IfI'dgonealone,Icouldn'thaveseennearlyasmuch,becauseIwouldn'thaveknownmywayabout.。16二月2