随着企事业单位IT系统的不断发展,网络规模和设备数量迅速扩大,日趋复杂的IT系统与不同背景的运维人员的行为给信息系统安全带来较大风险,主要表现在:
1、缺少统一的权限管理平台,权限管理日趋繁重和无序;而且维护人员的权限大多是粗放管理,无法基于最小权限分配原则的用户权限管理,难以实现更细粒度的命令级权限控制,系统安全性无法充分保证。
2、无法制定统一的访问审计策略,审计粒度粗。各网络设备、主机系统、数据库是分别单独审计记录访问行为,由于没有统一审计策略,并且各系统自身审计日志内容深浅不一,难以及时通过系统自身审计发现违规操作行为和追查取证。
网域数据安全IT运维审计系统(堡垒机)通过三个方面将有可能的发生的IT运维事件苗头给坚决的掐掉。
一、完整的身份管理和认证
为了确保合法用户才能访问其拥有权限的后台资源,解决IT系统中普遍存在的交叉运维而无法定位到具体人的问题。满足“谁能做”的授权需求和“谁做的”审计系统要求,系统提供一套完整的身份管理和认证功能。
支持用户分组管理;
支持运维用户静态密码、动态密码、Raduis、LADP、AD域、POP3认证方式;
支持密码强度、密码有效期、密码尝试死锁、用户激活等安全管理功能;
支持用户信息导入导出,方便批量处理。
二、灵活、细粒度的授权
系统提供基于运维用户、运维协议、目标主机、运维时间段、运维会话时长、运维客户端IP等组合的授权功能,实现细粒度授权功能,满足用户实际授权的需求。
提供基于运维用户到资源的授权;
提供基于运维用户组到资源的授权;
提供基于运维用户到资源组的授权;
提供基于运维用户组到资源组的授权;
从而可以实现以下安全目标:
运维用户只能看见和执行已授权的应用软件;
防止拷贝文档与本地打印;
无法传播任何病毒、恶意软件等;
非授权的用户无法跳转至其他 IT 设备。
封锁技术人员通过CLI 执行程序 (Telnet、SSH等指令)。
三、设备以托管方式实现自动登录
运维用户通过网域堡垒机认证和授权后,网域堡垒机根据配置策略实现后台资源的自动登录,运维用户无需知道后台资源的账户密码。此功能提供了运维用户到后台资源账户的一种可控对应,同时实现了对后台资源账户的口令统一保护。
1、网域堡垒机自动获取后台资源账户信息;
2、根据口令安全策略,网域堡垒机定期自动修改后台资源账户口令;
3、根据管理员配置,实现运维用户与后台资源账户对应,限制账户的越权使用;
最终的效果:
运维用户通过网域堡垒机认证和授权后,网域堡垒机根据分配的账户实现自动登录后台资源。支持对IBM AIX、Digital UNIX、HP UNIX、SUN Solaris、SCO UNIX、LINUX、WINDOWS等多种操作系统数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改,简化密码管
理,让使用者无需记忆众多系统密码,即可实现自动登录目标设备,既便捷又安全
