LanSecS堡壘主機(jī)內(nèi)控管理平臺(tái)技術(shù)白皮書1

第堡壘主機(jī)對(duì)各種字符終端和圖形終端使用的協(xié)議進(jìn)行代理，實(shí)現(xiàn)多平臺(tái)的操作支持和審計(jì)，例如Telnet、SSH、平臺(tái)的RDP遠(yuǎn)程桌面協(xié)議，Linux/Unix平臺(tái)的XWindow圖形終端訪問協(xié)議等。當(dāng)運(yùn)維機(jī)通過堡壘主機(jī)訪問服務(wù)器時(shí)，首先由堡壘主機(jī)模擬成遠(yuǎn)程訪問的服務(wù)端，接受運(yùn)維機(jī)的連接和通訊，并對(duì)其進(jìn)行協(xié)議的還原、解析、記錄，最終獲得運(yùn)維機(jī)的操作行為，之后堡壘主機(jī)模擬運(yùn)維機(jī)及真正的目標(biāo)服務(wù)器建立通訊并轉(zhuǎn)發(fā)運(yùn)維機(jī)發(fā)送的指令信息，從而實(shí)現(xiàn)對(duì)各種維護(hù)協(xié)議的代理轉(zhuǎn)發(fā)過程。在通訊過程中，堡壘主機(jī)會(huì)記錄各種指令信息，并根據(jù)策略對(duì)通信過程進(jìn)行控制，如發(fā)現(xiàn)違規(guī)操作，則不進(jìn)行代理轉(zhuǎn)發(fā)，并由堡壘主機(jī)反饋禁止執(zhí)行的回顯提示。身份授權(quán)分離以前管理員依賴各IT系統(tǒng)上的系統(tǒng)帳號(hào)實(shí)線兩部分功能：身份認(rèn)證和系統(tǒng)授權(quán)，但是因?yàn)楣蚕韼ぬ?hào)、弱口令帳號(hào)等問題存在，這兩方面實(shí)現(xiàn)都存在漏洞，達(dá)不到預(yù)期的效果。解決的思路是將身份和授權(quán)分離。在堡壘主機(jī)上建立主帳號(hào)體系，用于身份認(rèn)證，原各IT系統(tǒng)上的系統(tǒng)帳號(hào)僅用于系統(tǒng)授權(quán)，這樣可以有效增強(qiáng)身份認(rèn)證和系統(tǒng)授權(quán)的可靠性，從本質(zhì)上解決帳號(hào)管理混亂問題，為認(rèn)證、授權(quán)、審計(jì)提供可靠的保障。產(chǎn)品概述產(chǎn)品綜述內(nèi)控堡壘主機(jī)是一種被加固的可以防御進(jìn)攻的計(jì)算機(jī)，具備堅(jiān)強(qiáng)的安全防護(hù)能力。內(nèi)控堡壘主機(jī)扮演著看門者的職責(zé)，所有對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的請(qǐng)求都要從這扇大門經(jīng)過。因此內(nèi)控堡壘主機(jī)能夠攔截非法訪問和惡意攻擊，對(duì)不合法命令進(jìn)行阻斷、過濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問行為。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)具體有強(qiáng)大的輸入輸出審計(jì)功能，不僅能詳細(xì)記錄用戶操作的每一條指令，而且能夠通過回放的功能，將其動(dòng)態(tài)的展現(xiàn)出來，大大豐富了內(nèi)控審計(jì)的功能。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)自身審計(jì)日志，可以極大增強(qiáng)審計(jì)信息的安全性，保證審計(jì)人員有據(jù)可查。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)還具備圖形終端審計(jì)功能，能夠?qū)Χ嗥脚_(tái)的多種終端操作審計(jì)，例如windows平臺(tái)的RDP形式圖形終端操作。為了給系統(tǒng)管理員查看審計(jì)信息提供方便性，LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)提供了審計(jì)查看檢索功能。系統(tǒng)管理員可以通過多種查詢條件查看審計(jì)信息?？傊?，LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)能夠極大的保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性，使得企業(yè)內(nèi)部網(wǎng)絡(luò)管理合理化和專業(yè)化。產(chǎn)品組成產(chǎn)品功能單點(diǎn)登錄LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)提供了基于B/S的單點(diǎn)登錄系統(tǒng)，用戶通過一次登錄系統(tǒng)后，就可以無需認(rèn)證的訪問包括被授權(quán)的多種基于B/S的應(yīng)用系統(tǒng)。單點(diǎn)登錄為具有多帳號(hào)的用戶提供了方便快捷的訪問途經(jīng)，使用戶無需記憶多種登錄用戶ID和口令。它通過向用戶和客戶提供對(duì)其個(gè)性化資源的快捷訪問提高生產(chǎn)效率。同時(shí)，由于系統(tǒng)自身是采用強(qiáng)認(rèn)證的系統(tǒng)，從而提高了用戶認(rèn)證環(huán)節(jié)的安全性。單點(diǎn)登錄可以實(shí)現(xiàn)和用戶管理授權(quán)的無縫隙鏈接，通過對(duì)用戶、角色、資源和行為的授權(quán)，增加對(duì)資源的保護(hù)，和對(duì)用戶行為的監(jiān)控及審計(jì)。賬戶管理集中帳號(hào)管理包含對(duì)所有服務(wù)器、網(wǎng)絡(luò)設(shè)備帳號(hào)的集中管理。帳號(hào)和資源的集中管理是集中授權(quán)、認(rèn)證和審計(jì)的基礎(chǔ)。集中帳號(hào)管理可以完成對(duì)帳號(hào)整個(gè)生命周期的監(jiān)控和管理，而且還降低了企業(yè)管理大量用戶帳號(hào)的難度和工作量。同時(shí)，通過統(tǒng)一的管理還能夠發(fā)現(xiàn)帳號(hào)中存在的安全隱患，并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶帳號(hào)安全策略。通過建立集中帳號(hào)管理，企業(yè)可以實(shí)現(xiàn)將帳號(hào)及具體的自然人相關(guān)聯(lián)。通過這種關(guān)聯(lián)，可以實(shí)現(xiàn)多級(jí)的用戶管理和細(xì)粒度的用戶授權(quán)。而且，還可以實(shí)現(xiàn)針對(duì)自然人的行為審計(jì)，以滿足審計(jì)的需要。身份認(rèn)證LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)為用戶提供統(tǒng)一的認(rèn)證接口。采用統(tǒng)一的認(rèn)證接口不但便于對(duì)用戶認(rèn)證的管理，而且能夠采用更加安全的認(rèn)證模式，提高認(rèn)證的安全性和可靠性。集中身份認(rèn)證提供靜態(tài)密碼、WindowsNT域、WindowsKerberos、雙因素、一次性口令和生物特征等多種認(rèn)證方式，而且系統(tǒng)具有靈活的定制接口。資源授權(quán)LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)提供統(tǒng)一的界面，對(duì)用戶、角色及行為和資源進(jìn)行授權(quán)，以達(dá)到對(duì)權(quán)限的細(xì)粒度控制，最大限度保護(hù)用戶資源的安全。通過集中訪問授權(quán)和訪問控制可以對(duì)用戶通過B/S對(duì)服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問進(jìn)行審計(jì)。在集中訪問授權(quán)里強(qiáng)調(diào)的“集中”是邏輯上的集中，而不是物理上的集中。即在各網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)系統(tǒng)中可能擁有各自的權(quán)限管理功能，管理員也由各自的歸口管理部門委派，但是這些管理員在LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)上，可以對(duì)各自的管理對(duì)象進(jìn)行授權(quán)，而不需要進(jìn)入每一個(gè)被管理對(duì)象才能授權(quán)。授權(quán)的對(duì)象包括用戶、用戶角色、資源和用戶行為。系統(tǒng)不但能夠授權(quán)用戶可以通過什么角色訪問資源這樣基于應(yīng)用邊界的粗粒度授權(quán)，對(duì)某些應(yīng)用還可以限制用戶的操作，以及在什么時(shí)間進(jìn)行操作等的細(xì)粒度授權(quán)。訪問控制LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)能夠提供細(xì)粒度的訪問控制，最大限度保護(hù)用戶資源的安全。細(xì)粒度的命令策略是命令的集合，可以是一組可執(zhí)行命令，也可以是一組非可執(zhí)行的命令，該命令集合用來分配給具體的用戶，來限制其系統(tǒng)行為，管理員會(huì)根據(jù)其自身的角色為其指定相應(yīng)的控制策略來限定用戶。訪問控制策略是保護(hù)系統(tǒng)安全性的重要環(huán)節(jié)，制定良好的訪問策略能夠更好的提高系統(tǒng)的安全性。操作審計(jì)操作審計(jì)管理主要審計(jì)操作人員的帳號(hào)使用（登錄、資源訪問）情況、資源使用情況等。在各服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問日志記錄都采用統(tǒng)一的帳號(hào)、資源進(jìn)行標(biāo)識(shí)后，操作審計(jì)能更好地對(duì)帳號(hào)的完整使用過程進(jìn)行追蹤。系統(tǒng)支持對(duì)如下協(xié)議進(jìn)行審計(jì)：Telnet、、RDP（WindowsTerminal）、Xwindows、VNC等。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)通過系統(tǒng)自身的用戶認(rèn)證系統(tǒng)、用戶授權(quán)系統(tǒng)，以及訪問控制等詳細(xì)記錄整個(gè)會(huì)話過程中用戶的全部行為日志。還可以將產(chǎn)生的日志傳送給第三方。對(duì)于生成的日志支持豐富的查詢和操作。支持按服務(wù)器方式進(jìn)行查詢：通過對(duì)特定服務(wù)器地址進(jìn)行查詢，可以發(fā)現(xiàn)該服務(wù)器上發(fā)生的命令和行為。支持按用戶名方式進(jìn)行查詢通過對(duì)用戶名進(jìn)行查詢，可以發(fā)現(xiàn)該用戶的所有行為。支持按登陸地址方式進(jìn)行查詢通過對(duì)特定IP地址進(jìn)行查詢，可以發(fā)現(xiàn)該地址對(duì)應(yīng)主機(jī)及其用戶在服務(wù)器上進(jìn)行的所有操作。支持按照登陸時(shí)間進(jìn)行查詢通過對(duì)登錄時(shí)間進(jìn)行查詢，可以發(fā)現(xiàn)特定時(shí)間內(nèi)登錄服務(wù)器的用戶及其進(jìn)行過的所有操作。支持對(duì)命令發(fā)生時(shí)間進(jìn)行查詢可以通過對(duì)命令發(fā)生的時(shí)間進(jìn)行查詢，可以查詢到特定時(shí)間段服務(wù)器上發(fā)生過的所有行為。支持對(duì)命令名稱進(jìn)行查詢通過查詢特定命令如LS，可以查詢到使用過該命令的所有用戶及其使用的時(shí)間等。支持上述六個(gè)查詢條件的任意組合查詢?nèi)纾嚎梢圆樵?誰（用戶名）""什么時(shí)間登錄（登錄時(shí)間）"服務(wù)器并在"什么時(shí)間（命令發(fā)生時(shí)間）"在"服務(wù)器（目標(biāo)服務(wù)器）"上執(zhí)行過"什么操作（命令）"。支持對(duì)日志的備份操作處理支持對(duì)日志的刪除處理關(guān)鍵技術(shù)LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)采用系列先進(jìn)技術(shù)，成功實(shí)現(xiàn)命令及圖形的捕獲及控制，為服務(wù)器的安全運(yùn)行提供了強(qiáng)有力的系統(tǒng)工具。邏輯命令自動(dòng)識(shí)別技術(shù)LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)自動(dòng)識(shí)別當(dāng)前操作終端，對(duì)當(dāng)前終端的輸入輸出進(jìn)行控制，組合輸入輸出流，自動(dòng)識(shí)別邏輯語義命令。系統(tǒng)會(huì)根據(jù)輸入輸出上下文，確定邏輯命令編輯過程，進(jìn)而自動(dòng)捕獲出用戶使用的邏輯命令。該項(xiàng)技術(shù)解決了邏輯命令自動(dòng)捕獲功能，在傳統(tǒng)鍵盤捕獲及控制領(lǐng)域取得新的突破，可以更加準(zhǔn)確的控制用戶意圖。該技術(shù)能自動(dòng)識(shí)別命令狀態(tài)和編輯狀態(tài)以及私有工作狀態(tài)，準(zhǔn)確捕獲邏輯命令。分布式處理技術(shù)LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)采用分布式處理架構(gòu)進(jìn)行處理，啟用命令捕獲引擎機(jī)制，通過策略服務(wù)器完成策略審計(jì)，通過日志服務(wù)器存儲(chǔ)操作審計(jì)日志，并通過實(shí)時(shí)監(jiān)視中心，實(shí)時(shí)察看用戶在服務(wù)器上行為。這種分體式設(shè)計(jì)有利于策略的正確執(zhí)行和操作記錄日志的安全。同時(shí)，各組件之間采用安全連接進(jìn)行通信，防止策略和日志被篡改。各組件可以獨(dú)立工作，可以分布于不同的服務(wù)器上，亦可所有組件安裝于一臺(tái)服務(wù)器。正則表達(dá)式匹配技術(shù)LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)采用正則表達(dá)式匹配技術(shù)，將正則表達(dá)式組合入樹型可遺傳策略結(jié)構(gòu)，實(shí)現(xiàn)控制命令的自動(dòng)匹配及控制。樹型可遺傳策略適合現(xiàn)代企業(yè)事業(yè)架構(gòu)，對(duì)于服務(wù)器的分層分級(jí)管理及控制提供了強(qiáng)大的工具。RDP協(xié)議代理為了對(duì)圖形終端操作行為進(jìn)行審計(jì)和監(jiān)控，LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)對(duì)圖形終端使用的協(xié)議進(jìn)行代理，實(shí)現(xiàn)多平臺(tái)的多種圖形終端操作的審計(jì)，例如Windows平臺(tái)的RDP方式圖形終端操作，Linux/Unix平臺(tái)的XWindow方式圖形終端操作。多進(jìn)程/線程及同步技術(shù)LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)主體采用多進(jìn)程/線程技術(shù)實(shí)現(xiàn)，利用獨(dú)特的通信和數(shù)據(jù)同步技術(shù)，準(zhǔn)確控制程序行為。多進(jìn)程/線程方式邏輯處理準(zhǔn)確，事務(wù)處理不會(huì)發(fā)生干擾，這有利于保證系統(tǒng)的穩(wěn)定性、健壯性。數(shù)據(jù)加密功能LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)在處理用戶數(shù)據(jù)時(shí)都采用相應(yīng)的數(shù)據(jù)加密技術(shù)來保護(hù)用戶通信的安全性和數(shù)據(jù)的完整性。防止惡意用戶截獲和篡改數(shù)據(jù)。充分保護(hù)用戶在操作過程中不被惡意破壞。審計(jì)查詢檢索功能自從《薩班斯法案》的推出，企業(yè)內(nèi)控得到了嚴(yán)格的審查，企業(yè)的內(nèi)部審計(jì)顯得非常重要。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)能夠?yàn)槠髽I(yè)內(nèi)部網(wǎng)絡(luò)提供完全的審計(jì)信息，這些審計(jì)信息能夠?yàn)槠髽I(yè)追蹤用戶行為，判定用戶行為等，能夠還原出用戶的一些操作性為。傳統(tǒng)審計(jì)關(guān)聯(lián)到IP，這本身是一個(gè)不確定的和不負(fù)責(zé)任的審計(jì)結(jié)果，因?yàn)镮P信息不能夠真實(shí)反應(yīng)出真實(shí)的操作者是誰，從而企業(yè)內(nèi)部網(wǎng)絡(luò)出現(xiàn)問題不能追蹤用戶。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)能夠?qū)@些用戶關(guān)聯(lián)審計(jì)行為，就是說真正能夠把每一次審計(jì)出的用戶操作性為綁定到自然人身上，便于企業(yè)內(nèi)部網(wǎng)絡(luò)管理追蹤到個(gè)人。操作還原技術(shù)操作還原技術(shù)是指將用戶在系統(tǒng)中的操作行為以真實(shí)的環(huán)境模擬顯現(xiàn)出來，審計(jì)管理員可以根據(jù)操作還原技術(shù)還原出真實(shí)的操作，以判定問題出在哪里。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)采用操作還原技術(shù)能夠?qū)⒂脩舻牟僮髁鞒套詣?dòng)地展現(xiàn)出來，能夠監(jiān)控用戶的每一次行為，判定用戶的行為是否對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)安全性造成危害。產(chǎn)品優(yōu)勢(shì)良好的擴(kuò)展性LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)產(chǎn)品從4A解決方案中抽象出來，提供最便捷的4A項(xiàng)目集成方案。在程序結(jié)構(gòu)上充分考慮到4A項(xiàng)目和非4A項(xiàng)目的使用場(chǎng)景，以先進(jìn)的體系結(jié)構(gòu)，清晰合理的模塊劃分實(shí)現(xiàn)多種用戶場(chǎng)景的適用性。在4A項(xiàng)目中，LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)放棄帳號(hào)、認(rèn)證、授權(quán)的集中管理，只提供執(zhí)行單元，完成訪問控制和操作審計(jì)功能；在非4A項(xiàng)目中將4A的一些理念融合到LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)產(chǎn)品中，除提供基礎(chǔ)的訪問控制和操作審計(jì)功能外，還提供精簡(jiǎn)的帳號(hào)、認(rèn)證、授權(quán)集中管理功能。強(qiáng)大的審計(jì)功能精確記錄用戶操作時(shí)間。審計(jì)結(jié)果支持多種展現(xiàn)方式，讓操作得以完整還原。審計(jì)結(jié)果可以錄像回放，支持調(diào)節(jié)播放速度，并且回放過程中支持前后拖拽，方便快速定位問題操作。方便的審計(jì)查詢功能，能夠一次查詢多條指令。部署和使用簡(jiǎn)單不需要在被管理設(shè)備上安裝代理程序。不需要改變網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)。不影響被管理設(shè)備的運(yùn)行。管理員和操作員都使用WEB方式操作，操作簡(jiǎn)單。高度的安全性和成熟性LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)的開發(fā)研制中，我們采用成熟的先進(jìn)技術(shù)，對(duì)系統(tǒng)的關(guān)鍵技術(shù)在前期的工作中進(jìn)行了大量實(shí)驗(yàn)和攻關(guān)及原型建立，在已開發(fā)并經(jīng)廣泛測(cè)試的產(chǎn)品中，上述的關(guān)鍵技術(shù)問題已解決。而且，LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)所選取的硬件平臺(tái)和軟件平臺(tái)，是具有良好的技術(shù)支持和發(fā)展前途的成熟產(chǎn)品。系統(tǒng)運(yùn)用了先進(jìn)的加密、過濾、備份、數(shù)字簽名及身份認(rèn)證、權(quán)限管理等安全手段，建立健全的系統(tǒng)安全機(jī)制，保證了用戶的合法性和數(shù)據(jù)不被非法盜取，從而保證產(chǎn)品的安全性。主要應(yīng)用運(yùn)維管理LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)通過單點(diǎn)登陸進(jìn)行集中的運(yùn)維管理，將全部設(shè)備集中管控，統(tǒng)一進(jìn)行維護(hù)管理；通過集中賬戶管理解決運(yùn)維管理人員密碼安全存儲(chǔ)問題，統(tǒng)一管理維護(hù)人員密碼口令，避免密碼遺忘和泄露；通過提供運(yùn)維管理工具幫助管理員日常維護(hù)管理，快捷方便提供日常管理工具；通過訪問控制避免管理員誤操作的發(fā)生，禁止使用危險(xiǎn)命令，防止破壞性事件發(fā)生；通過操作審計(jì)進(jìn)行全稱記錄，并進(jìn)行回放瀏覽。安全管理嚴(yán)重的攻擊來自系統(tǒng)內(nèi)部（80%來自內(nèi)部攻擊），LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)針對(duì)各種途徑服務(wù)器的訪問方式進(jìn)行監(jiān)控，支持telnet，，rdp，xwindow等，通過將服務(wù)器的常用端口關(guān)閉，阻止了其他主機(jī)訪問服務(wù)器。通過堡壘主機(jī)代理連接的方式，可以訪問指定服務(wù)器，即加強(qiáng)了服務(wù)器的安全，又不影響功能使用。但是，目前沒有可靠辦法保證系統(tǒng)管理員安全策略配置行為的有效性，合法性以及一致性，一般都通過行政手段，讓系統(tǒng)管理員記錄安全策略配置過程，這有嚴(yán)重的安全隱患。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)可以記錄系統(tǒng)管理員對(duì)網(wǎng)絡(luò)邊界安全設(shè)備的配置過程，保證安全策略的一致性，其生成的日志系統(tǒng)，可以比較方便的集成到企事業(yè)現(xiàn)有安全策略管理架構(gòu)中。技術(shù)參數(shù)LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)單點(diǎn)登錄客戶端支持Windows全系列產(chǎn)品；支持常見數(shù)據(jù)庫；支持常用連接工具；具體參數(shù)如下列表：名稱說明windows

7

（mstsc）windows7遠(yuǎn)程桌面連接windowsXPSP3

（mstsc）WindowsXPSp3遠(yuǎn)程桌面連接windowsXPSP2（mstsc）WindowsXPSp2遠(yuǎn)程桌面連接CMD窗口windows運(yùn)行中的CMD窗口securityCRT常用的字符連接工具支持telnet\ssh連接winscp()常用的FTP連接工具支持連接mstsc常用的主機(jī)圖形訪問工具支持linux\unix圖形連接neterm常用的字符連接工具支持telnet\ssh連接ToadOracle客戶端管理工具Golden32Oracle客戶端管理工具SybasecontralSybase客戶端管理工具WeblogicconsoleWeblogic管理工具PLsqlORACLE常用客戶端winsql常用數(shù)據(jù)庫連接客戶端支持：DB2\sysbase\informix等多種數(shù)據(jù)庫連接dbaccess(informix)informix自有數(shù)據(jù)庫客戶端sqlserver2000sqlserver2000查詢分析器sqlserver2019sqlserver2019查詢分析器MysqlMysql數(shù)據(jù)庫管理器LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)支持如下系列系統(tǒng)資源從賬戶同步類別名稱Windows（支持域模式）windowsserver2019windowsserver2019windowsserver2000windowsxpwindows2000unix/linuxlinuxHPunixAIX(IBM)SCOUnixsuse10suse9數(shù)據(jù)庫Oracle9iOracle10gmysqlsqlserver2000sqlserver2019informixdb2sysbase網(wǎng)絡(luò)設(shè)備（支持radius）Cisco、華為、華三、juniper安全設(shè)備Firewall、SSLVPN、IDSLanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)包括多種協(xié)議代理，常用協(xié)議如下表：協(xié)議代理類型telnetssh1ssh2RDPX11VNCftpSftp產(chǎn)品部署邏輯部署示意圖LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)部署邏輯圖：物理部署示意圖LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)支持多種部署方式，部署簡(jiǎn)單方便，實(shí)用，能夠很好的滿足用戶的要求。并根據(jù)用戶實(shí)際規(guī)模、安全級(jí)別采用以下兩種部署方式：1、LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)典型部署示意圖：2、LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)支持雙機(jī)熱備示意圖：部署說明如圖，LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)部署在被管服務(wù)器區(qū)的訪問路徑上，通過防火墻或者交換機(jī)的訪問控制策略限定只能由LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)直接訪問服務(wù)器的遠(yuǎn)程維護(hù)端口。維護(hù)人員維護(hù)被管服務(wù)器或者網(wǎng)絡(luò)設(shè)備時(shí)，首先以WEB方式登錄堡壘主機(jī)，然后通過堡壘主機(jī)上展現(xiàn)的訪問資源列表直接訪問授權(quán)資源?？蛻羰找鎸?shí)現(xiàn)集中帳號(hào)管理，降低管理費(fèi)用實(shí)現(xiàn)對(duì)用戶帳號(hào)的統(tǒng)一管理和維護(hù)在實(shí)現(xiàn)集中帳號(hào)管理前，每一個(gè)新上線應(yīng)用系統(tǒng)均需要建立一套新的用戶帳號(hào)管理系統(tǒng)，并且分別由各自的管理員負(fù)責(zé)維護(hù)和管理。這種相對(duì)獨(dú)立的帳號(hào)管理系統(tǒng)不僅建設(shè)前期投入成本較高，而且后期管理維護(hù)成本也會(huì)成倍增加。而通過堡壘主機(jī)的集中帳號(hào)管理，可實(shí)現(xiàn)對(duì)IT系統(tǒng)所需的帳號(hào)基礎(chǔ)信息（包括用戶身份信息、機(jī)構(gòu)部門信息、其他公司相關(guān)信息，以及生命周期信息等）進(jìn)行標(biāo)準(zhǔn)化的管理，能夠?yàn)楦鱅T系統(tǒng)提供基礎(chǔ)的用戶信息源。通過統(tǒng)一用戶信息維護(hù)入口，保證各系統(tǒng)的用戶帳號(hào)信息的唯一性和同步更新。解決用戶帳號(hào)共享問題主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備中存在大量的共享帳號(hào)，當(dāng)發(fā)生安全事故時(shí)，難于確定帳號(hào)的實(shí)際使用者，通過部署LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)，可以解決共享帳號(hào)問題。解決帳號(hào)鎖定問題用戶登錄失敗五次，應(yīng)對(duì)帳號(hào)進(jìn)行鎖定。網(wǎng)絡(luò)設(shè)備、主機(jī)、應(yīng)用系統(tǒng)等大都不支持帳號(hào)鎖定功能。通過部署LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)，可以實(shí)現(xiàn)用戶帳號(hào)鎖定、一鍵刪除等功能。實(shí)現(xiàn)集中身份認(rèn)證和訪問控制，避免冒名訪問，提高訪問安全性提供集中身份認(rèn)證服務(wù)實(shí)現(xiàn)用戶訪問IT系統(tǒng)的認(rèn)證入口集中化和統(tǒng)一化，并實(shí)現(xiàn)高強(qiáng)度的認(rèn)證方式，使整個(gè)IT系統(tǒng)的登錄和認(rèn)證行為可控制及可管理，從而提升業(yè)務(wù)連續(xù)性和系統(tǒng)安全性。實(shí)現(xiàn)用戶密碼管理，滿足SOX法案內(nèi)控管理的要求多數(shù)企業(yè)對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫的訪問都是基于“用戶名+靜態(tài)密碼”訪問，密碼長(zhǎng)期不更換，密碼重復(fù)嘗試的次數(shù)也沒有限制，這些都不能滿足SOX法案內(nèi)控管理的需求。僅通過制度要求用戶在密碼更換、密碼設(shè)定等方面滿足SOX相關(guān)要求，無法在具體執(zhí)行過程中對(duì)用戶進(jìn)行有效監(jiān)督和檢查。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)通過建設(shè)集中的認(rèn)證系統(tǒng)，并結(jié)合集中帳號(hào)管理的相關(guān)功能，實(shí)現(xiàn)用戶密碼管理，密碼自動(dòng)變更，提高系統(tǒng)認(rèn)證的安全性。實(shí)現(xiàn)對(duì)用戶的統(tǒng)一接入訪問控制功能部署堡壘主機(jī)前，維護(hù)人員接入IT系統(tǒng)進(jìn)行維護(hù)操作具有接入方式多樣、接入點(diǎn)分散的特點(diǎn)。而維護(hù)人員中很多是代維人員，這些代維人員來自于各集成商或設(shè)備供應(yīng)商，人員參差不齊，流動(dòng)性大。由于維護(hù)人員對(duì)系統(tǒng)擁有過大權(quán)限，缺乏對(duì)其進(jìn)行訪問控制和行為審計(jì)的手段，存在極大的安全隱患。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)統(tǒng)一維護(hù)人員訪問系統(tǒng)和設(shè)備的入口，提供訪問控制功能，有效的解決運(yùn)維人員的操作問題，降低相關(guān)IT系統(tǒng)的安全風(fēng)險(xiǎn)。實(shí)現(xiàn)集中授權(quán)管理，簡(jiǎn)化授權(quán)流程，減輕管理壓力實(shí)現(xiàn)統(tǒng)一的授權(quán)管理各應(yīng)用系統(tǒng)分別管理所屬的資源，并為本系統(tǒng)的用戶分配權(quán)限，若沒有集中統(tǒng)一的資源授權(quán)管理平臺(tái)，授權(quán)管理任務(wù)隨著用戶數(shù)量及應(yīng)用系統(tǒng)數(shù)量的增加越來越重，系統(tǒng)的安全性也無法得到充分保證。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)實(shí)現(xiàn)統(tǒng)一的授權(quán)管理，對(duì)所有被管應(yīng)用系統(tǒng)的授權(quán)信息進(jìn)行標(biāo)準(zhǔn)化的管理，減輕管理員的管理工作，提升系統(tǒng)安全性。授權(quán)流程化管理通過LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)，管理層可容易地對(duì)用戶權(quán)限進(jìn)行審查，并確保用戶的權(quán)限中不能有不兼容職責(zé)，用戶只能擁有及身份相符的權(quán)限，授權(quán)也有相應(yīng)的工作流審批。實(shí)現(xiàn)單點(diǎn)登錄，規(guī)范操作過程，簡(jiǎn)化操作流程單點(diǎn)登錄LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)提供了基于B/S的單點(diǎn)登錄系統(tǒng)，用戶通過一次登錄系統(tǒng)后，就可以無需認(rèn)證的訪問包括被授權(quán)的多種基于B/S和C/S的應(yīng)用系統(tǒng)。單點(diǎn)登錄為具有多帳號(hào)的用戶提供了方便快捷的訪問途經(jīng)，使用戶無需記憶多種登錄用戶ID和口令。它通過向用戶和客戶提供對(duì)其個(gè)性化資源的快捷訪問來提高生產(chǎn)效率。同時(shí)，單點(diǎn)登錄可以實(shí)現(xiàn)及用戶授權(quán)管理的無縫連接，這樣可以通過對(duì)用戶、角色、行為和資源的授權(quán)，增加對(duì)資源的保護(hù)，和對(duì)用戶行為的監(jiān)控及審計(jì)。規(guī)范操作流程規(guī)范操作人員和第三方代維廠商的操作行為。通過LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)的部署，所有系統(tǒng)管理人員，第三方系統(tǒng)維護(hù)人員，都必須通過LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)來實(shí)施網(wǎng)絡(luò)管理和服務(wù)器維護(hù)。對(duì)所有操作行為做到可控制、可審計(jì)、可追蹤。審計(jì)