運(yùn)維堡壘機(jī)產(chǎn)品白皮書

1、 運(yùn)維堡壘機(jī)產(chǎn)品白皮書啟明星辰 目錄堡壘機(jī)需求分析產(chǎn)品簡介功能特點(diǎn)技術(shù)優(yōu)勢典型應(yīng)用用戶價(jià)值需求分析隨著企業(yè)信息化進(jìn)程不斷深入，企業(yè)的IT系統(tǒng)變得日益復(fù)雜，不同背景的運(yùn)維人員違規(guī)操作導(dǎo)致的安全問題變得日益突出起來，主要表現(xiàn)在：內(nèi)部人員操作的安全隱患、第三方維護(hù)人員安全隱患、高權(quán)限賬號濫用風(fēng)險(xiǎn)、系統(tǒng)共享賬號安全隱患、違規(guī)行為無法控制的風(fēng)險(xiǎn)。運(yùn)維操作過程是導(dǎo)致安全事件頻發(fā)的主要環(huán)節(jié)，所以對運(yùn)維操作過程的安全管控就顯得極為重要。而防火墻、防病毒、入侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題，但對于運(yùn)維人員的違規(guī)操作卻無能為力。如何轉(zhuǎn)換運(yùn)維安全管控模式，降低人為安全風(fēng)險(xiǎn)，滿足企業(yè)要求，是當(dāng)下所面臨

2、的迫切需求。產(chǎn)品簡介產(chǎn)品簡介天玥運(yùn)維安全網(wǎng)關(guān)，俗稱堡壘機(jī)，能夠?qū)\(yùn)維人員維護(hù)過程進(jìn)行全面跟蹤、控制、記錄、回放；支持細(xì)粒度配置運(yùn)維人員的訪問權(quán)限，實(shí)時(shí)阻斷違規(guī)、越權(quán)的訪問行為，同時(shí)提供維護(hù)人員操作的全過程的記錄與報(bào)告；系統(tǒng)支持對加密與圖形協(xié)議進(jìn)行審計(jì)，消除了傳統(tǒng)行為審計(jì)系統(tǒng)中的審計(jì)盲點(diǎn)，是IT系統(tǒng)內(nèi)部控制最有力的支撐平臺。運(yùn)維過程三個(gè)階段進(jìn)行嚴(yán)格管控：事前預(yù)防：建立“自然人-資源-資源賬號”關(guān)系，實(shí)現(xiàn)統(tǒng)一認(rèn)證和授權(quán)事中控制：建立“自然人-操作-資源”關(guān)系，實(shí)現(xiàn)操作審計(jì)和控制事后審計(jì)：建立“自然人-資源-審計(jì)日志”關(guān)系，實(shí)現(xiàn)事后溯源和責(zé)任界定功能特點(diǎn)部署方式靈活性：天玥運(yùn)維安全網(wǎng)關(guān)支持單機(jī)、雙機(jī)

3、、分布式部署多種部署方式，并支持NAT和網(wǎng)口聚合方式，適應(yīng)多變業(yè)務(wù)場景。操作使用便捷性：天玥運(yùn)維安全網(wǎng)關(guān)提供多種運(yùn)維方式、C/S運(yùn)維客戶端、資源批量登錄、命令批量執(zhí)行、設(shè)備自動(dòng)改密等多種功能以保證運(yùn)維過程的自動(dòng)和快捷性。管控方式嚴(yán)格性：天玥運(yùn)維安全網(wǎng)關(guān)提供命令限制與復(fù)核、應(yīng)用發(fā)布防跳轉(zhuǎn)、運(yùn)維賬號IP、MAC限制等。嚴(yán)格的管控方式以保證運(yùn)維過程的規(guī)范性。審計(jì)效果精細(xì)化：數(shù)據(jù)庫協(xié)議深度解析、數(shù)據(jù)庫返回行數(shù)記錄、Oracle數(shù)據(jù)庫變量綁定解析。認(rèn)證方式多樣性：天玥運(yùn)維安全網(wǎng)關(guān)包括多樣認(rèn)證方式，支持對不同用戶設(shè)置不同認(rèn)證方式組合的雙因素認(rèn)證，更具靈活性。運(yùn)維協(xié)議全面性：天玥運(yùn)維安全網(wǎng)關(guān)支持多種運(yùn)維訪問

4、協(xié)議，能夠充分滿足日常運(yùn)維需要。技術(shù)優(yōu)勢堡壘機(jī)分身虛化出多臺堡壘機(jī)，適用于分權(quán)分域的用戶管理場景。虛擬化部署支持VMware、VirtualBox、KVM和Xen（HVM）虛擬化環(huán)境部署。運(yùn)維操作防跳轉(zhuǎn)防止通過應(yīng)用發(fā)布服務(wù)器進(jìn)行跳轉(zhuǎn)登錄未授權(quán)資源。web頁面防跳轉(zhuǎn)功能，進(jìn)行http/https訪問過程時(shí)運(yùn)維人員僅允許訪問授權(quán)地址。雙重審計(jì)實(shí)現(xiàn)數(shù)據(jù)庫協(xié)議、字符協(xié)議、文件傳輸協(xié)議命令和錄像的雙重審計(jì)。實(shí)現(xiàn)命令審計(jì)和錄像審計(jì)的關(guān)聯(lián)檢索和回放。命令限制與復(fù)核對于高危命令實(shí)現(xiàn)實(shí)時(shí)告警或阻斷。對于特別重要的命令實(shí)現(xiàn)多人審核。數(shù)據(jù)庫深度解析數(shù)據(jù)庫協(xié)議級審計(jì)。數(shù)據(jù)庫返回行數(shù)記錄。Oracle數(shù)據(jù)庫變量綁定解析

5、。敏感數(shù)據(jù)管控運(yùn)維人員擁有高權(quán)限系統(tǒng)賬號，會接觸到重要敏感數(shù)據(jù)。對運(yùn)維人員上傳、下載、流轉(zhuǎn)重要敏感數(shù)據(jù)進(jìn)行控制和記錄。典型應(yīng)用單雙機(jī)部署：天玥運(yùn)維安全網(wǎng)關(guān)旁路方式部署于網(wǎng)絡(luò)中，無需對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行任何調(diào)整。運(yùn)維人員直接訪問天玥運(yùn)維安全網(wǎng)關(guān)的對應(yīng)端口，建立安全加密的數(shù)據(jù)通道，然后發(fā)起到服務(wù)器對應(yīng)服務(wù)的訪問，無需直接訪問服務(wù)器，從而進(jìn)一步加強(qiáng)內(nèi)部服務(wù)器的安全性。支持HA雙機(jī)熱備部署，以避免單點(diǎn)故障隱患，最大程度滿足運(yùn)維的可靠性和連續(xù)性。分布式部署：支持添加多臺堡壘機(jī)作為協(xié)議代理服務(wù)器，分擔(dān)主堡壘機(jī)性能壓力，擴(kuò)展運(yùn)維能力。多協(xié)議代理服務(wù)器節(jié)點(diǎn)可訪問相同資源時(shí)實(shí)現(xiàn)自動(dòng)負(fù)載均衡。主堡壘機(jī)集中管理配置和日志

6、信息。大規(guī)模應(yīng)用某省電信網(wǎng)管中心部署堡壘機(jī)集群32臺，接入資源7000多個(gè)，發(fā)布運(yùn)維工具60多個(gè)、編輯工具6個(gè)、專用工具9個(gè)。運(yùn)維用戶同時(shí)在線5520人，并發(fā)7800多個(gè)會話的壓力下，用戶體驗(yàn)依然良好。云合作模式與某電子政務(wù)云服務(wù)商合作，由云服務(wù)商以增值服務(wù)的方式向他們的租戶推廣我們的云堡壘機(jī)。我們?yōu)樵品?wù)商提供云堡壘機(jī)軟件和授權(quán)，并且按照授權(quán)中云資產(chǎn)管理數(shù)量每年向云服務(wù)商收取相應(yīng)的授權(quán)費(fèi)用。用戶價(jià)值天玥運(yùn)維安全網(wǎng)關(guān)（堡壘機(jī)）：完善內(nèi)控內(nèi)審，滿足合規(guī)要求：目前，越來越多的單位面臨一種或者幾種合規(guī)性要求。堡壘機(jī)提供的完備審計(jì)方案，可以完善組織的IT內(nèi)控與審計(jì)體系，從而滿足各種合規(guī)性要求，并且使組織能夠順利通過IT審計(jì)。簡化運(yùn)維管理，提高運(yùn)維效率：堡壘機(jī)對賬號和資產(chǎn)進(jìn)行統(tǒng)一管理，規(guī)范簡化運(yùn)維流程。提供多種運(yùn)維操作方式以滿足各