堡垒机部署培训..

帕拉迪统一安全管理与综合审计系统 产品培训
追溯运维安全事件源头 降低核心操作系统风险
培训内容介绍
用户环境问题分析 堡垒机部署架构和体系 堡垒机部署收益
核心功能和模块介绍
使用和实施流程
用户环境问题分析
用户环境问题分析
IT运维现状1
☞多点登录、分散管理
服务器资源
中心运维管理
代维厂商
各网点
各地市分支机构
IT运维现状2
☞交叉异构、帐号共享
管理人员
开发人员
系统帐号
第三方厂家
IT运维现状3
☞人为操作风险，责任无法追溯
来自企业内部的非法威胁
高权限操作风险不透明 违规操作导致敏感信息泄露 误操作导致服务异常甚至宕机
来自企业外部的非法威胁
操作风险不可控 黑客盗用帐号实施恶意攻击 无法有效监管操作、无法有效取证/举证
本地静态口令认证 Radius认证接口 动态令牌认证接口 AD域认证接口 PKI认证接口
设备管理
设备管理 设备添加、删除 添加、删除设备资产 支持设备分组管理，简化授权。 添加、删除设备账号 支持设备账号远程推送修改，支持一下 修改策略及其组合 1、单次修改 2、定期修改 3、指定新密码 4、自动生成新密码 支持设备账号以证书加密方式导出 支持以规定格式文件的设备批量导入 设备组管理 设备分组管理 账号管理 设备账号添加删除 设备账号密码推送 （linux/unix/Windows）
文件传输 操作审计
FTP SFTP RDP磁盘通 道、剪贴板 等文件传输
应用终端 操作审计
基于WEB操 作,如：HTTP、 HTTPS 基于C/S应用 终端操作，如： AS400
KVM终端 操作审计
Avocent 管理 终端DSR、 DSVIEW 力登管理终端： RARITAN、 RARITAN_C C
设备账号密码导出 批量导入 设备批量导入
帕拉迪统一安全管理与综合审计系统总结多年安全审计项目经验，实 现了一套创新的账号管理模式（帕拉迪统一账号管理），其具有如下特点： 支持账号集中管理模式。 支持账号分散管理模式。 统一了集中管理模式与分散管理模式。对任意资产，可以使用任意一种管 理模式，或两种模式的组合。提供了极大的管理灵活性。
报表展现
根据用户行业的要求，提供完善的 报表展现，满足用户所在行业对合 规性的需求。
核心功能和模块介绍
核心功能和模块介绍
核心模块说明
用户管理 认证管理 设备管理 授权管理与访问控制 审计管理

用户管理
子模块
用户权限分级
功能点
用户权限分级
功能说明
自然人用户账号根据权限不同，分为“超级用户”、“资 产管理员”、“权限管理员”、“密码管理员”、“审计 管理员”、“普通用户”六大类。
超级用户 权限管理员 资产管理员 审计管理员 密码管理员 普通用户
拥有访问被授权管理设备权限和自身信息修改及自身密码 修改权限。 用户账号状态分为“未激活”、“激活”、“锁定”、 “禁用”； 支持设置用户账号有效期限 支持设置用户信息：真实姓名、邮件地址、邮件附件密码、 所属部门、直属领导、联系电话 支持用户分组管理，简化授权 支持以规定格式文件的用户账号批量导入
Linux UNIX
H3C
命令分 析及回 放
命令分析： 区分指令的输入和输 出； 并支持从特定的命令 进行定位播放； 帮助用户快速定位到 关注的事件
2018/9/27
图形管理模式
图形终端运 维管理审计
RDP X11 VNC
用户操作界面
主机系统
Linux UNIXWindows
实时监控界面
1.完整支持原有客 户端，用户可直接 使用MSTSC工具进 行连接，不改变其 使用习惯； 2.支持磁盘映射和 智能卡远程调用， 并提供开关控制， 实现数据不落地， 有效保障数据安全
• 无法对支撑系统进行综合分析，不能及时发现入侵行为进行安全 预警和数据责任追踪，增加操作风险
堡垒机部署架构和体系
堡垒机部署架构和体系
操作管理统一化
☞统一操作管理平台理念构建
代维人员 开发人员 管理人员
网络设备
操作
服务器 数据库
统一认证 统一授权 统一审计
管理流程规范化
☞规范管理流程的实行
人的管理wk.baidu.com
访问控制
字符终端访问控制
控制策略条件:用户 控制策略条件:设备IP 控制策略条件:登录IP 控制策略条件:设备账号 控制策略条件:日期 控制策略条件:星期 控制策略条件:时间 控制策略条件:空闲时间 控制策略条件:命令集
命令控制支持多平台 字符终端扩展命令 扩展命令
图形传输控制
图形传输控制

权限分配列表
授权管理
功能模块
授权管理
子模块
授权管理 组授权
功能点
授权管理 组授权 字符终端ACL
功能说明
以[设备IP、协议类型、账号密码]三 元组为单位，对用户授权 支持以设备组、用户组方式进行批 量授权 支持基于[用户][设备IP][登录IP][设 备账号][日期][时间][命令集][空闲时 间]任意逻辑组合的访问控制策略 支持以[用户]作为控制策略条件 支持以[设备IP]作为控制策略条件 支持以[登录IP]作为控制策略条件 支持以[设备账号]作为控制策略条件 支持以[日期]作为控制策略条件 支持以[星期]作为控制策略条件 支持以[用户]作为控制策略条件 支持以[空闲时间]作为控制策略条件 支持以[命令集]作为控制策略条件 命令集可包含多条命令, 每条命令可 使用命令模式或参数模式 对FTP命令，SQL命令等命令能够做 到准确识别并且可控 扩展命令是用户登录目标设备后, 自 动执行的一系列命令 基于扩展命令功能可实现命令自动 执行功能, 自动跳转功能, 自动enable 等 针对图形终端系统, 支持[文件传输, 剪贴板]功能的开启或关闭
可用帐号？
资产帐号管理
你是谁？
统一身份管理
集中管理模式
运维审计方案支持体系
字符终端运 维管理审计
命令行： Telnet、SSH 文本菜单： HP的SAM、 IBM的SMIT， LINUX的 SETUP等
图形终端运 数据库运 维管理审计 维管理审计
RDP X11 VNC Oracle Informix DB2 Sybase SQL Server 等
2018/9/27
数据库管理模式
数据库运 维管理审计
Oracle Informix DB2 Sybase SQL Server等 数据库系统
DB2
ORACLE Sybase informix
数据 库操 作 审计 回放
SQL 操作 语句 展现
SQL操作语句展现： 可捕获底层SQL操 作语句，用户行 为无法逃避，提 供数据检索，快 速定位事故现场
规范运 维管理
降低资 源风险
有效防止了误操作、滥操作以 及越权访问对核心业务系统造 成的破坏。
满足合 规要求
完善责 任认定
快速的故障定位，提高故障处理 效率；提供精准的责任鉴定和事 件追溯。
共享帐号的责任认定
Micke 移动办公 安全监控、审计
Hz_yang 合作伙伴 Internet Root帐号 核心业务服务器 Dw_wang 运维外包 Echo 内部运维人员
覆盖了所有的运维方式，满足数据中心运维管理的需求
主机系统 网络设备
数据库系统
应用系统
Linux UNIXWindows
H3C
ORACLE
SAP ECM 内部门户 Lotus Notes MES
2018/9/27
字符管理模式
主机系统
字符终端运 维管理审计
命令行： Telnet、SSH 文本菜单： HP的SAM、 IBM的SMIT， LINUX的 SETUP等 网络设备
内网用户
PLDSEC SMS UTM
Windows
AIX
Solaris
HP_Unix
Linux
安全设备 网络设备 存储设备
堡垒机部署收益
堡垒机部署收益
价值总结
统一访问入口，集中权限控 制，实现运维操作的规范化 管理。 完善组织的内控与审计体系，从 而满足合规性要求，使组织能够 顺利通过IT审计。
用户账号生命周 用户状态管理 期管理 用户账号有效期 用户信息管理 用户信息管理 用户组 批量导入 用户分组管理 用户账号批量导入

建立网关用户
单击 “安全策略管理” 》“网关用户管理”

网关用户举例
认证管理
功能点
开放可扩展认证体系
功能说明
采用开放灵活、可扩展的认证体系结构，支持本地静态 口令认证，及外部第三方认证机制：Radius、动态令牌 卡、PKI、AD域。 支持本地认证和第三方认证体系混合使用。 默认使用本地静态口令认证。 支持第三方Radius认证 支持第三方动态令牌认证接口 支持第三方AD域认证（双域） 支持第三方CA服务器与PKI认证
第三方运维管理
安全监控、审计 Hz_yang 合作伙伴
Dw_wang 运维外包
Internet
Root帐号 核心业务服务器
业务系统运维需求
业务系统的维护、更新 升级、故障处理需要合 作伙伴或是运维外包人 员登录系统进行各种操 作。
创建帐号，授权控制
内部管理人员为其创建临时 帐号，授予完成维护需要的 最小化权限，对高危操作命 令进行控制和告警。
资源设备
内部用户
权限滥用 权力限用 外部用户
系统管理员 网管员 安全管理员 软件系统开发人员
误操作
恶意访问
黑客 代维厂商 合作伙伴 企业临时用户
问题分析
独立的用户数据库 身份信息孤岛 缺乏集中统一的资 源授权管理平台
• 用户身份信息分散于各个系统，形成身份信息的孤岛 • 维护人员同时对多个系统进行维护，工作复杂度会成倍增加
操作管理
设备管理
1.角色划分 2.帐号管理 3.密码管理 4.权限管理 5.访问控制
1.实时监控 2.操作记录 3.操作回放 4.操作搜索 5.统计报表
1.帐号管理 2.密码定期 自动修改
操作风险最小化
☞最小化操作风险来源于管理模式
你做了什么？
安全审计管理
你能做什么？
访问控制管理
你去哪？
帐号授权管理
保留所有运维操作过程
对该阶段的运维操作进行全部 记录并保存，作为审计的依据， 内部人员还可以实时对其进行 监控，发现有违规操作，可以 立即进行阻断。
满足第三方审计机构对运维操作的审计
第三方审计机构
操作原始日志
保存了全年的包括内部人 员、合作伙伴、外包代维 人员对核心业务服务器运 维的原始操作日志。
最高权限用户角色，可进行所有系统配置、用户管理、权限授权以 及操作审计等 拥有用户管理、授权管理权限，能够添加删除用户，能完成用户/用 户组、设备/设备组关联授权。 拥有资产添加编辑权限，包括添加、编辑、删除权限。 拥有审计权限，能够审计所有用户运维操作结果。 拥有账号密码管理权限，只有密码管理员才能管理账号密码。
部署前：
所有人员包括移动办公人员、合作伙伴、运维外包人 员、内部运维人员共同使用root帐号直接登录核心业 务服务器进行各种操作，当核心业务数据被非法修改， 或是执行了其他非法命令等，在现有环境上很难定位 到人，无法进行责任的认定和故障分析。
部署后：
每个自然人都对应一个主帐号（审计平台帐号），登 录到核心业务服务器的从帐号root（目标主机帐号）， 两个帐号存在唯一对应关系，审计人员可以很方便的 从平台中查出是谁在什么时间登录哪台服务器做了什 么操作，产生什么样的结果，很方便的实现责任认定 和故障分析。
• 用户权限无法集中管理，越权事件时有发生
自然人身份和业务 系统帐号重叠
自然人对多系统的 访问频繁切换 独立的审计，缺乏 关联分析
• 身份的混乱，帐号多人共用，难于确定帐号的实际使用者，
难于对帐号的扩散范围进行控制，容易造成安全漏洞
•
切换系统登录时，都需要输入用户名和口令进行登录。 给工作带来不便，影响了工作效率
审计管理
子模块
审计管理
功能点
审计日志回放
功能说明
所有审计日志以连接 会话为单位，支持完 整回放 任何类型终端交互或 应用交付连接会话， 支持实时监控，实时 切断 支持以Syslog方式将 审计日志输出至第三 方日志中心 命令，录像，分析， 监控 录像，键盘命令，监 控 录像，文件传输备份 录像，SQL捕获，监 控
2018/9/27
应用系统管理模式
应用终端运 维管理审计
基于WEB操 作,如：HTTP、 HTTPS 基于C/S应用 终端操作，如： AS400
SAP
应用系统
ECM
内部门户
MES Lotus Notes 录像回 放
支持应用系统账户密码代填， 实现单点登录
2018/9/27
部署方式
UTM 安全审计管理 外网用户 防火墙 运维登录流程: 1.不加装任何客户端程序 2.不加装任何服务器端引擎 3.不影响任何网络拓扑 4.不影响任何业务数据流 5.支持双机热备 6.支持集中管理分级部署