UMA V200R001 方案介紹培訓膠片

修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHUAWEI

UMA運維行為審計V200R001C00SPC100及以后版本V2.0開發(fā)/優(yōu)化者時間審核人開發(fā)類型（新開發(fā)/優(yōu)化）李強2012-11-30王欽騫、吳俊杰新開發(fā)劉秀鋒2013-06-08優(yōu)化UMA運維行為審計

方案介紹目標學完本課程后，您將能夠:描述UMA運維行為審計的定位和價值熟悉UMA運維行為審計的主要功能特性、應用場景熟悉UMA運維行為審計的系統(tǒng)架構(gòu)、軟硬件組成了解UMA運維行為審計的組網(wǎng)應用目錄方案概述運維現(xiàn)狀解決思路方案介紹應用場景組網(wǎng)應用企業(yè)運維現(xiàn)狀多點接入，分散管理共享賬號訪問控制不嚴操作無法審計數(shù)據(jù)丟失、服務異常、責任失控多樣的運維接入方式：RDP、VNC、Telnet、SSH、plsqlsqlplus、FTP、SFTP、Http、Https分散的多點登錄方式，無法進行身份認證和授權(quán)控制。操作不規(guī)范，濫操作、誤操作對系統(tǒng)破壞較大。

缺乏統(tǒng)一資源授權(quán)平臺

缺乏統(tǒng)一運維接入管理資源和權(quán)限無法集中管理，越權(quán)事件時有發(fā)生；對高危操作無法監(jiān)控和控制。缺乏集中統(tǒng)一的訪問控制策略，各個系統(tǒng)訪問控制自成一體。

共享帳號使用問題

無法進行操作行為的審計對用戶操作行為無法記錄。難于對故障進行精確定位和故障恢復出現(xiàn)了安全事故很難進行責任鑒定和事件追溯。企業(yè)IT運維問題分析海外上市企業(yè)國內(nèi)主板上市企業(yè)VisaNet網(wǎng)絡交易金融保險政府薩班斯法案ISO27001:2005信息系統(tǒng)

安全等級保護企業(yè)內(nèi)部控制基本規(guī)范深市公司內(nèi)部控制指引上市公司內(nèi)部控制指引商業(yè)銀行內(nèi)部控制指引保險公司風險管理指引（試行）PCIDSS審計合規(guī)性需求解決思路---最低的運維操作風險明確身份清晰授權(quán)事前控制記錄日志實時監(jiān)控日志審計責任認定事中監(jiān)控事后審計多維度運維審計流程權(quán)限管理是核心資產(chǎn)管理是手段賬號管理是基礎(chǔ)操作審計是保障集中管理是前提解決思路---綜合的運維審計方案你做了什么？操作審計你能做什么？權(quán)限管理你能去哪？資產(chǎn)管理你是誰？賬號管理解決思路---全面的運維協(xié)議支持圖形終端運維審計字符終端運維審計數(shù)據(jù)庫運維審計文件傳輸操作審計應用終端操作審計KVM終端操作審計可擴展的應用運維協(xié)議支持RDPX11VNCTelnetSSHFTPSFTPHTTPHTTPSOracleDB2SybaseSQLServerAvocentDSRHP’SAMIBM’SMITLinux’SetupRDP磁盤通道剪貼板AS400中間件InformixDSVIEWRARITAN安全設(shè)備|網(wǎng)絡設(shè)備

|主機設(shè)備

|數(shù)據(jù)庫服務器|應用系統(tǒng)覆蓋了所有主流廠商的設(shè)備和系統(tǒng)解決思路---最小的用戶結(jié)構(gòu)影響HuaweiUMA外網(wǎng)運維人員合作伙伴代維廠商出差員工核心業(yè)務應用服務器網(wǎng)路設(shè)備內(nèi)網(wǎng)運維人員旁路部署邏輯串聯(lián)數(shù)據(jù)庫部署策略通過配置交換機ACL訪問控制策略，只允許HuaweiUMA的IP訪問需要管理的設(shè)備通過HuaweiUMA的密碼集中管理，屏蔽管理設(shè)備的登錄密碼信息部署原則

不安裝任何客戶端代理

不安裝任何服務端引擎不影響現(xiàn)網(wǎng)拓撲結(jié)構(gòu)不影響現(xiàn)網(wǎng)業(yè)務數(shù)據(jù)流華為統(tǒng)一運維審計支持單機部署、雙機熱備部署、集群部署、分級部署。目錄方案概述方案介紹統(tǒng)一接入統(tǒng)一認證統(tǒng)一授權(quán)統(tǒng)一審計應用場景組網(wǎng)應用你做了什么你是誰？集中接入，實現(xiàn)單點登錄密碼托管，定期自動改密身份管理訪問控制權(quán)限分配操作審計華為統(tǒng)一運維審計系統(tǒng)–方案總覽UMA統(tǒng)一接入統(tǒng)一認證賬號管理，實現(xiàn)用戶實名多樣認證，提供擴展接口三層授權(quán)，控制非法訪問權(quán)限管理，實現(xiàn)主動防御統(tǒng)一授權(quán)操作記錄，提供全面審計搜索定位，實現(xiàn)精確認定統(tǒng)一審計你能去哪？你能做什么？集中接入，實現(xiàn)單點登錄統(tǒng)一接入統(tǒng)一認證統(tǒng)一授權(quán)統(tǒng)一審計運維審計系統(tǒng)-UMA通過訪問控制，不同的運維人員擁有不同的資源訪問列表Portal運維外包外網(wǎng)運維內(nèi)網(wǎng)運維DataBaseServerNetwork功能---B/S運維平臺統(tǒng)一接入統(tǒng)一認證統(tǒng)一授權(quán)統(tǒng)一審計提供統(tǒng)一的B/S運維操作平臺，運維用戶可以通過IE內(nèi)核瀏覽器登錄UMA統(tǒng)一運維平臺，集中管理字符終端、圖形終端、圖形應用、文件傳輸?shù)人幸咽跈?quán)資源。功能---C/S運維平臺統(tǒng)一接入統(tǒng)一認證統(tǒng)一授權(quán)統(tǒng)一審計提供統(tǒng)一的C/S運維操作平臺，用戶可以通過SecureCRT、Putty等字符終端類遠程管理客戶端軟件，直接登錄字符終端運維平臺，集中管理TELNET、SSH等字符終端；用戶可以使用任何現(xiàn)有微軟遠程桌面客戶端軟件，直接登錄圖形終端、圖形應用、KVM運維平臺，集中管理VNC、RDP、X11、HTTPS、數(shù)據(jù)庫、KVM等圖形資源；用戶可以使用任何現(xiàn)有FTP、SFTP客戶端軟件，直接登錄文件傳輸平臺，進行FTP，SFTP文件傳輸。密碼托管，定期自動改密統(tǒng)一接入統(tǒng)一認證統(tǒng)一授權(quán)統(tǒng)一審計根據(jù)可自定義靈活的密碼修改策略，實現(xiàn)密碼的批量定期自動修改，修改后的結(jié)果可以以加密郵件方式發(fā)送給密碼保管員，從而實現(xiàn)密碼的集中管理，同時密碼保管員也可以隨時在系統(tǒng)的WEB界面打包備份設(shè)備的密碼到本地，提高改密功能可用性?？伸`活配置目標設(shè)備密碼的修改策略功能---目標主機、帳號、密碼管理統(tǒng)一接入統(tǒng)一認證統(tǒng)一授權(quán)統(tǒng)一審計賬號管理，實現(xiàn)用戶實名統(tǒng)一認證統(tǒng)一接入統(tǒng)一授權(quán)統(tǒng)一審計誰用了root？張三

zhangsanroot李四

lisiroot孫九

sunjiuroot王二

wangeradmin功能---網(wǎng)關(guān)用戶、密碼管理統(tǒng)一認證統(tǒng)一接入統(tǒng)一授權(quán)統(tǒng)一審計多樣認證，提供擴展接口統(tǒng)一認證統(tǒng)一接入統(tǒng)一授權(quán)統(tǒng)一審計默認支持本地認證、Radius認證以及證書認證提供可擴展的認證方式Radius證書認證本地認證可擴展認證方式賬戶認證管理運維權(quán)限管理設(shè)備資源管理根據(jù)用戶認證需求，提供快速認證接口開發(fā)三層授權(quán)，控制非法訪問統(tǒng)一授權(quán)統(tǒng)一接入統(tǒng)一認證統(tǒng)一審計賬號登錄授權(quán)管理資源訪問授權(quán)管理運維操作授權(quán)管理運維賬號生命周期管理運維賬號統(tǒng)一認證、授權(quán)、審計資源賬號生命周期管理運維賬號與資源賬號的授權(quán)關(guān)聯(lián)受控資源賬號權(quán)限受控運維賬號的命令集主動權(quán)限管理層層授權(quán)功能---資源權(quán)限分配統(tǒng)一授權(quán)統(tǒng)一接入統(tǒng)一認證統(tǒng)一審計可以在【設(shè)備組|設(shè)備|設(shè)備賬號】和【用戶|用戶組】之間靈活授權(quán)功能---用戶訪問策略控制統(tǒng)一授權(quán)統(tǒng)一接入統(tǒng)一認證統(tǒng)一審計命令管理，控制高危操作統(tǒng)一授權(quán)統(tǒng)一接入統(tǒng)一認證統(tǒng)一審計UserAUserBUserC資源

A資源

B資源

C運維審計系統(tǒng)-UMA通過權(quán)限疊加方式實現(xiàn)授權(quán)最小化原則，對高危操作進行控制和告警Backupreboot權(quán)限策略表rootUserA功能---高危操作命令控制策略管理統(tǒng)一授權(quán)統(tǒng)一接入統(tǒng)一認證統(tǒng)一審計功能---高危操作主動攔截和告警統(tǒng)一授權(quán)統(tǒng)一接入統(tǒng)一認證統(tǒng)一審計操作記錄，提供全面審計統(tǒng)一審計統(tǒng)一接入統(tǒng)一認證統(tǒng)一授權(quán)運維操作命令記錄運維過程錄像運維命令返回值實時運維操作記錄Syslog上報記錄機密存儲運維實時監(jiān)控運維命令分析靜態(tài)命令、動態(tài)過程、返回值關(guān)聯(lián)全方面的運維記錄資料過程監(jiān)控、永久保存、實時上報多維度的運維記錄方式功能---精確、完整的安全審計統(tǒng)一審計統(tǒng)一接入統(tǒng)一認證統(tǒng)一授權(quán)功能---SYSLOG輸出、日志轉(zhuǎn)儲統(tǒng)一審計統(tǒng)一接入統(tǒng)一認證統(tǒng)一授權(quán)功能---報表管理統(tǒng)一審計統(tǒng)一接入統(tǒng)一認證統(tǒng)一授權(quán)操作搜索，實現(xiàn)快速定位統(tǒng)一審計統(tǒng)一接入統(tǒng)一認證統(tǒng)一授權(quán)運維賬號運維命令登錄地址主機地址主機賬號運維時間段海量運維日志快速定位多維度搜索，最短的時間內(nèi)找到相關(guān)日志內(nèi)容，實現(xiàn)快速定位4W目錄方案概述方案介紹應用場景組網(wǎng)應用應用場景總覽高效運維技術(shù)培訓責任認定運維監(jiān)控合規(guī)審計網(wǎng)管人員維護人員運維外包合作廠商技服人員…….運維用戶業(yè)務服務器交換機防火墻安全網(wǎng)管數(shù)據(jù)庫服務器………設(shè)備資源專對運維領(lǐng)域提供全生命周期的安全解決方案應用場景---高效的運維管理運維記錄審計運維過程監(jiān)控運維會同申請賬號權(quán)限分配部署前：所有人員使用root賬戶運維分散接入，運維不可控通過定期修改密碼來增強服務器安全性登錄所有資產(chǎn)修改密碼密碼定期修改后必須知會所有人部署后：自然人對應分配權(quán)限的運維賬號統(tǒng)一接入，有憑有據(jù)運維系統(tǒng)修改密碼，郵件通知指定策略，運維系統(tǒng)定期修改符合規(guī)則密碼密碼集中管理，不影響運維工作運維操作實施應用場景---單點登錄內(nèi)網(wǎng)運維人員OA系統(tǒng)運維人員通過主身份ID登錄后，可直接登錄各目標系統(tǒng)，無需輸入用戶名和密碼，運維人員也不再需要記住多個系統(tǒng)的帳號和口令，提高用戶使用的便利性；運維人員不再會把各個系統(tǒng)設(shè)置相同的口令或簡單口令，而是由單點登錄系統(tǒng)給各個系統(tǒng)設(shè)置復雜的口令，提高帳號口令安全性；靈活定制帳號管理、權(quán)限分配的審批流程，提高管理規(guī)范性、高效性，有效避免權(quán)限濫用。郵件系統(tǒng)報銷系統(tǒng)HR系統(tǒng)ERP系統(tǒng)UMA統(tǒng)一運維審計②①禁止直接訪問！！應用場景---嚴格訪問授權(quán)業(yè)務承載網(wǎng)網(wǎng)絡管理員WindowsHP-UXAIXSolaris業(yè)務系統(tǒng)業(yè)務系統(tǒng)主機管理員認證授權(quán)服務器實現(xiàn)基于角色的授權(quán)，實現(xiàn)權(quán)限最小化，確保合法的人做合法的事安全網(wǎng)關(guān)實現(xiàn)網(wǎng)絡層鑒權(quán)和訪問控制，禁止內(nèi)部幽靈帳號的訪問，拒絕越權(quán)訪問，有效避免安全事故安全網(wǎng)關(guān)實現(xiàn)基于網(wǎng)絡層的訪問控制，使用戶不能繞過對應用系統(tǒng)進行操作①②③允許拒絕④UMA統(tǒng)一運維審計應用場景---降低高危操作風險部署前：使用root最高權(quán)限運維運維過程不可控運維質(zhì)量無法衡量系統(tǒng)后門通過修改密碼防止后續(xù)登錄部署后：分配運維人員單獨的運維賬號（時間、會同）登錄運維服務器需要會同批準運維服務器密碼集中管理運維過程記留日志實時監(jiān)控，高危阻斷

操作界面發(fā)現(xiàn)異常操作行為，立即阻斷應用場景---賬號責任認定移動辦公合作伙伴運維外包核心業(yè)務服務器Root帳號MickeHz_yangDw_wangEchoInternet內(nèi)部人員監(jiān)控審計部署前：所有人員使用root賬戶運維分散接入，運維不可控通過定期修改密碼來增強服務器安全性登錄所有資產(chǎn)修改密碼密碼定期修改后必須知會所有人部署后：自然人對應分配權(quán)限的運維賬號統(tǒng)一接入，有憑有據(jù)運維系統(tǒng)修改密碼，郵件通知指定策略，運維系統(tǒng)定期修改符合規(guī)則密碼密碼集中管理，不影響運維工作應用場景---滿足合規(guī)審計要求第三方審計機構(gòu)實時的運維日志Syslog上報防篡改的運維操作日志全流程的運維屏幕錄像豐富的定制化報表導出應用場景---實時技術(shù)培訓目錄方案概述方案介紹應用場景組網(wǎng)應用產(chǎn)品介紹典型組網(wǎng)產(chǎn)品介紹HUAWEIUMA運維行為審計提供統(tǒng)一的運維操作入口，控制并記錄用戶進行的運維操作，支持以命令查看、視頻回放等方式進行審計。UMA為軟硬件一體銷售，硬件分為只安裝UMA的硬件、只安裝Appbox的硬件、同時安裝UMA和Appbox的硬件，硬件型號均為T3200G3V1R3（2U）。注：APPBOX，即應用發(fā)布中心，如需運維數(shù)據(jù)庫、HTTP、HTTPS、第三方客戶端等圖形應用，則需要選配產(chǎn)品介紹-硬件組成UMAUMA標準版（UMA堡壘主機）CPU：1*4核內(nèi)存：1*8G系統(tǒng)盤RAID1，數(shù)據(jù)RAID1或者R盤AID10