堡壘機部署培訓技巧

1、帕拉迪統(tǒng)一安全管理與綜合審計系統(tǒng)帕拉迪統(tǒng)一安全管理與綜合審計系統(tǒng)產(chǎn)品培訓產(chǎn)品培訓追溯運維安全事件源頭 降低核心操作系統(tǒng)風險培訓內(nèi)容介紹用戶環(huán)境問題分析用戶環(huán)境問題分析堡壘機部署架構和體系堡壘機部署架構和體系堡壘機部署收益堡壘機部署收益 核心功能和模塊介紹核心功能和模塊介紹使用和實施流程使用和實施流程用戶環(huán)境問題分析用戶環(huán)境問題分析用戶環(huán)境問題分析IT運維現(xiàn)狀1多點登錄、分散管理服務器資源IT運維現(xiàn)狀2交叉異構、帳號共享第三方廠家開發(fā)人員管理人員系統(tǒng)帳號IT運維現(xiàn)狀3人為操作風險，責任無法追溯來自企業(yè)內(nèi)部內(nèi)部的非法威脅高權限操作風險不透明違規(guī)操作導致敏感信息泄露誤操作導致服務異常甚至宕機來自企業(yè)

2、外部外部的非法威脅操作風險不可控黑客盜用帳號實施惡意攻擊無法有效監(jiān)管操作、無法有效取證/舉證內(nèi)部用戶內(nèi)部用戶外部用戶外部用戶資源資源設備設備權限濫用惡意訪問誤操作權力限用系統(tǒng)管理員網(wǎng)管員安全管理員軟件系統(tǒng)開發(fā)人員黑客代維廠商合作伙伴企業(yè)臨時用戶 用戶身份信息分散于各個系統(tǒng)，形成身份信息的孤島 維護人員同時對多個系統(tǒng)進行維護，工作復雜度會成倍增加 獨立的用戶數(shù)據(jù)庫獨立的用戶數(shù)據(jù)庫身份信息孤島身份信息孤島 用戶權限無法集中管理，越權事件時有發(fā)生缺乏集中統(tǒng)一的資缺乏集中統(tǒng)一的資源授權管理平臺源授權管理平臺 身份的混亂，帳號多人共用，難于確定帳號的實際使用者， 難于對帳號的擴散范圍進行控制，容易造成安

3、全漏洞自然人身份和業(yè)務自然人身份和業(yè)務系統(tǒng)帳號重疊系統(tǒng)帳號重疊 切換系統(tǒng)登錄時，都需要輸入用戶名和口令進行登錄。 給工作帶來不便，影響了工作效率自然人對多系統(tǒng)的自然人對多系統(tǒng)的訪問頻繁切換訪問頻繁切換 無法對支撐系統(tǒng)進行綜合分析，不能及時發(fā)現(xiàn)入侵行為進行安全 預警和數(shù)據(jù)責任追蹤，增加操作風險獨立的審計，缺乏獨立的審計，缺乏關聯(lián)分析關聯(lián)分析問題分析堡壘機部署架構和體系堡壘機部署架構和體系堡壘機部署架構和體系操作管理統(tǒng)一化 統(tǒng)一操作管理平臺理念構建數(shù)據(jù)庫 管理人員開發(fā)人員 操作 代維人員服務器 統(tǒng)一認證統(tǒng)一授權統(tǒng)一審計網(wǎng)絡設備 管理流程規(guī)范化規(guī)范管理流程的實行1.實時監(jiān)控2.操作記錄3.操作回放4

4、.操作搜索5.統(tǒng)計報表1.角色劃分2.帳號管理3.密碼管理4.權限管理5.訪問控制1.帳號管理2.密碼定期 自動修改人的管理操作管理設備管理操作風險最小化最小化操作風險來源于管理模式集 中 管 理 模 式你做了什么？你能做什么？你去哪？你是誰？訪問控制管理帳號授權管理 資產(chǎn)帳號管理 統(tǒng)一身份管理 安全審計管理安全審計管理可用帳號？運維審計方案支持體系2022-1-13命令行：Telnet、SSH文本菜單：HP的SAM、IBM的SMIT，LINUX的SETUP等 OracleInformixDB2SybaseSQL Server等基于WEB操作,如：HTTP、HTTPS基于C/S應用終端操作，如

5、：AS400RDPX11VNCFTPSFTPRDP磁盤通道、剪貼板等文件傳輸Avocent 管理終端DSR、DSVIEW力登管理終端：RARITAN、RARITAN_CC覆蓋了所有的運維方式，滿足數(shù)據(jù)中心運維管理的需求網(wǎng)絡設備數(shù)據(jù)庫系統(tǒng)應用系統(tǒng)主機系統(tǒng)SAPECM內(nèi)部門戶LotusNotesMESORACLEH3CLinux UNIXWindows字符管理模式2022-1-13命令分析及回放命令行：Telnet、SSH文本菜單：HP的SAM、IBM的SMIT，LINUX的SETUP等 網(wǎng)絡設備主機系統(tǒng)H3CLinux UNIX命令分析：區(qū)分指令的輸入和輸出；并支持從特定的命令進行定位播放；幫助

6、用戶快速定位到關注的事件圖形管理模式RDPX11VNC主機系統(tǒng)Linux UNIXWindows實時監(jiān)控界面用戶操作界面1.完整支持原有客戶端，用戶可直接使用MSTSC工具進行連接，不改變其使用習慣；2.支持磁盤映射和智能卡遠程調用，并提供開關控制，實現(xiàn)數(shù)據(jù)不落地，有效保障數(shù)據(jù)安全2022-1-13數(shù)據(jù)庫管理模式2022-1-13OracleInformixDB2SybaseSQL Server等SQL操作語句展現(xiàn)：可捕獲底層SQL操作語句，用戶行為無法逃避，提供數(shù)據(jù)檢索，快速定位事故現(xiàn)場數(shù)據(jù)庫系統(tǒng)ORACLE數(shù)據(jù)庫操作審計回放SQL操作語句展現(xiàn)DB2Sybaseinformix應用系統(tǒng)管理模

7、式2022-1-13錄像回放基于WEB操作,如：HTTP、HTTPS基于C/S應用終端操作，如：AS400應用系統(tǒng)SAPECM內(nèi)部門戶LotusNotesMES支持應用系統(tǒng)賬戶密碼代填，實現(xiàn)單點登錄部署方式外網(wǎng)用戶外網(wǎng)用戶內(nèi)網(wǎng)用戶內(nèi)網(wǎng)用戶UTM安全審計管理安全審計管理WindowsHP_UnixHP_UnixAIXAIXLinuxLinuxSolaris安全設備網(wǎng)絡設備存儲設備運維登錄流程運維登錄流程: :1.不加裝任何客戶端程序2.不加裝任何服務器端引擎3.不影響任何網(wǎng)絡拓撲4.不影響任何業(yè)務數(shù)據(jù)流5.支持雙機熱備6.支持集中管理分級部署PLDSEC SMS UTM防火墻防火墻堡壘機部署收益

8、堡壘機部署收益堡壘機部署收益價值總結統(tǒng)一訪問入口，集中權限控制，實現(xiàn)運維操作的規(guī)范化管理。有效防止了誤操作、濫操作以及越權訪問對核心業(yè)務系統(tǒng)造成的破壞?？焖俚墓收隙ㄎ?，提高故障處理效率；提供精準的責任鑒定和事件追溯。完善組織的內(nèi)控與審計體系，從而滿足合規(guī)性要求，使組織能夠順利通過IT審計。共享帳號的責任認定移動辦公移動辦公合作伙伴合作伙伴運維外包運維外包Internet內(nèi)部運維人員內(nèi)部運維人員核心業(yè)務服務器核心業(yè)務服務器RootRoot帳號帳號MickeMickeHz_yangHz_yangDw_wangDw_wangEchoEcho部署前：所有人員包括移動辦公人員、合作伙伴、運維外包人員、內(nèi)

9、部運維人員共同使用root帳號直接登錄核心業(yè)務服務器進行各種操作，當核心業(yè)務數(shù)據(jù)被非法修改，或是執(zhí)行了其他非法命令等，在現(xiàn)有環(huán)境上很難定位到人，無法進行責任的認定和故障分析。安全監(jiān)控、審計安全監(jiān)控、審計部署后：每個自然人都對應一個主帳號（審計平臺帳號），登錄到核心業(yè)務服務器的從帳號root（目標主機帳號），兩個帳號存在唯一對應關系，審計人員可以很方便的從平臺中查出是誰在什么時間登錄哪臺服務器做了什么操作，產(chǎn)生什么樣的結果，很方便的實現(xiàn)責任認定和故障分析。第三方運維管理合作伙伴合作伙伴運維外包運維外包核心業(yè)務服務器核心業(yè)務服務器RootRoot帳號帳號Hz_yangHz_yangDw_wangD

10、w_wang創(chuàng)建帳號，授權控制內(nèi)部管理人員為其創(chuàng)建臨時帳號，授予完成維護需要的最小化權限最小化權限，對高危操作高危操作命令進行控制和告警控制和告警。安全監(jiān)控、審計安全監(jiān)控、審計保留所有運維操作過程對該階段的運維操作進行全部記錄并保存記錄并保存，作為審計的依據(jù)，內(nèi)部人員還可以實時對其進行監(jiān)控監(jiān)控，發(fā)現(xiàn)有違規(guī)操作，可以立即進行阻斷阻斷。Internet業(yè)務系統(tǒng)運維需求業(yè)務系統(tǒng)的維護、更新升級、故障處理需要合作伙伴或是運維外包人員登錄系統(tǒng)進行各種操作。滿足第三方審計機構對運維操作的審計報表展現(xiàn)報表展現(xiàn)根據(jù)用戶行業(yè)的要求，提供完善的報表展現(xiàn)，滿足用戶所在行業(yè)對合規(guī)性的需求。操作原始日志操作原始日志保存

11、了全年的包括內(nèi)部人員、合作伙伴、外包代維人員對核心業(yè)務服務器運維的原始操作日志。第三方審計機構第三方審計機構核心功能和模塊介紹核心功能和模塊介紹核心功能和模塊介紹核心模塊說明用戶管理認證管理設備管理授權管理與訪問控制審計管理用戶管理子模塊子模塊功能點功能點功能說明功能說明用戶權限分級用戶權限分級自然人用戶賬號根據(jù)權限不同，分為“超級用戶”、“資產(chǎn)管理員”、“權限管理員”、“密碼管理員”、“審計管理員”、“普通用戶”六大類。超級用戶最高權限用戶角色，可進行所有系統(tǒng)配置、用戶管理、權限授權以及操作審計等權限管理員擁有用戶管理、授權管理權限，能夠添加刪除用戶，能完成用戶/用戶組、設備/設備組關聯(lián)授權

12、。資產(chǎn)管理員擁有資產(chǎn)添加編輯權限，包括添加、編輯、刪除權限。審計管理員擁有審計權限，能夠審計所有用戶運維操作結果。密碼管理員擁有賬號密碼管理權限，只有密碼管理員才能管理賬號密碼。普通用戶擁有訪問被授權管理設備權限和自身信息修改及自身密碼修改權限。用戶賬號生命周期管理用戶狀態(tài)管理用戶賬號狀態(tài)分為“未激活”、“激活”、“鎖定”、“禁用”；用戶賬號有效期支持設置用戶賬號有效期限用戶信息管理用戶信息管理支持設置用戶信息：真實姓名、郵件地址、郵件附件密碼、所屬部門、直屬領導、聯(lián)系電話用戶組用戶分組管理支持用戶分組管理，簡化授權批量導入用戶賬號批量導入支持以規(guī)定格式文件的用戶賬號批量導入建立網(wǎng)關用戶 單擊

13、 “安全策略管理” “網(wǎng)關用戶管理”網(wǎng)關用戶舉例認證管理功能點功能點功能說明功能說明開放可擴展認證體系采用開放靈活、可擴展的認證體系結構，支持本地靜態(tài)口令認證，及外部第三方認證機制：Radius、動態(tài)令牌卡、PKI、AD域。支持本地認證和第三方認證體系混合使用。本地靜態(tài)口令認證默認使用本地靜態(tài)口令認證。Radius認證接口支持第三方Radius認證動態(tài)令牌認證接口支持第三方動態(tài)令牌認證接口AD域認證接口支持第三方AD域認證（雙域）PKI認證接口支持第三方CA服務器與PKI認證設備管理設備管理設備添加、刪除添加、刪除設備資產(chǎn)設備組管理設備分組管理支持設備分組管理，簡化授權。賬號管理設備賬號添加刪

14、除添加、刪除設備賬號設備賬號密碼推送（linux/unix/Windows）支持設備賬號遠程推送修改，支持一下修改策略及其組合1、單次修改2、定期修改3、指定新密碼4、自動生成新密碼設備賬號密碼導出支持設備賬號以證書加密方式導出批量導入設備批量導入支持以規(guī)定格式文件的設備批量導入 帕拉迪統(tǒng)一安全管理與綜合審計系統(tǒng)總結多年安全審計項目經(jīng)驗，實現(xiàn)了一套創(chuàng)新的賬號管理模式（帕拉迪統(tǒng)一賬號管理），其具有如下特點：u支持賬號集中管理模式。u支持賬號分散管理模式。u統(tǒng)一了集中管理模式與分散管理模式。對任意資產(chǎn)，可以使用任意一種管理模式，或兩種模式的組合。提供了極大的管理靈活性。授權管理功能模塊功能模塊子模

15、塊子模塊功能點功能點功能說明功能說明授權管理授權管理授權管理以設備IP、協(xié)議類型、賬號密碼三元組為單位，對用戶授權組授權組授權支持以設備組、用戶組方式進行批量授權訪問控制字符終端訪問控制字符終端ACL支持基于用戶設備IP登錄IP設備賬號日期時間命令集空閑時間任意邏輯組合的訪問控制策略控制策略條件:用戶支持以用戶作為控制策略條件控制策略條件:設備IP支持以設備IP作為控制策略條件控制策略條件:登錄IP支持以登錄IP作為控制策略條件控制策略條件:設備賬號支持以設備賬號作為控制策略條件控制策略條件:日期支持以日期作為控制策略條件控制策略條件:星期支持以星期作為控制策略條件控制策略條件:時間支持以用戶

16、作為控制策略條件控制策略條件:空閑時間支持以空閑時間作為控制策略條件控制策略條件:命令集支持以命令集作為控制策略條件命令集可包含多條命令, 每條命令可使用命令模式或參數(shù)模式命令控制支持多平臺對FTP命令，SQL命令等命令能夠做到準確識別并且可控字符終端擴展命令擴展命令擴展命令是用戶登錄目標設備后, 自動執(zhí)行的一系列命令基于擴展命令功能可實現(xiàn)命令自動執(zhí)行功能, 自動跳轉功能, 自動enable等 圖形傳輸控制圖形傳輸控制針對圖形終端系統(tǒng), 支持文件傳輸,剪貼板功能的開啟或關閉權限分配列表審計管理1.實時監(jiān)控2.操作記錄3.操作回放4.操作搜索5.統(tǒng)計報表操作管理子模塊子模塊功能點功能點功能說明功

17、能說明審計管理審計日志回放所有審計日志以連接會話為單位，支持完整回放連接會話實時監(jiān)控，實時切斷任何類型終端交互或應用交付連接會話，支持實時監(jiān)控，實時切斷審計日志搜索定位Syslog輸出支持以Syslog方式將審計日志輸出至第三方日志中心全面覆蓋字符終端審計命令，錄像，分析，監(jiān)控圖形終端審計錄像，鍵盤命令，監(jiān)控文件傳輸審計錄像，文件傳輸備份應用發(fā)布審計錄像，SQL捕獲，監(jiān)控實施和使用流程實施和使用流程實施和使用流程用戶環(huán)境的調研1、主要管理設備的分類和管理數(shù)量2、用戶網(wǎng)絡拓撲的了解3、產(chǎn)品部署的位置和分配的IP地址前期準備工作實施流程系統(tǒng)的組網(wǎng)拓撲圖如下（插入用戶實際網(wǎng)絡拓撲圖及產(chǎn)品部署位置）實

18、施流程地址規(guī)劃系統(tǒng)安裝調試系統(tǒng)安裝系統(tǒng)安裝PLD SMS系統(tǒng)由杭州帕拉迪網(wǎng)絡科技有限公司預裝，無需現(xiàn)場安裝。系統(tǒng)配置系統(tǒng)配置配置系統(tǒng)地址。配置系統(tǒng)其他基本設置。添加用戶添加用戶（批量導入用戶統(tǒng)計表格）添加設備資產(chǎn)添加設備資產(chǎn)（批量導入資產(chǎn)統(tǒng)計表格）設定授權設定授權（按照授權表格進行授權）系統(tǒng)試運行1，系統(tǒng)部署后，進入系統(tǒng)試運行階段，通過管理手段要求用戶登錄統(tǒng)一安全管理和綜合審計平臺進行運維操作，熟悉運維平臺的操作。2，在該階段 ，對用戶出現(xiàn)的各類問題進行解決，如個別資產(chǎn)無法運維，或授權不完整等遺留問題。3，由于在該階段并未進行訪問控制部署，故用戶能夠使用原有方式進行目標資產(chǎn)訪問，可在堡壘機無法正常運維時切換為原有方式進行運維，保障系統(tǒng)安全平穩(wěn)的過渡。網(wǎng)絡訪問控制配置網(wǎng)絡訪問控制，目的在于控制用戶無法直接訪問被管理設備資源，只能通過PLD SMS訪問被管理設備資源。具體配置過程根據(jù)用戶實際網(wǎng)絡設備擬定。應急預案當發(fā)生突發(fā)意外