《网镜功能介绍》PPT课件.ppt

神州数码系统集成服务有限公司网镜系统新功能介绍,功能回顾,网镜系统基于旁路检测模式，实现了以下功能引入CA证书技术进行络层身份认证，实现了用户真实身份和IP地址的绑定实现Unix主机操作协议Telnet、FTP、rLogin、RPC操作审计，并可通过预设规则对命令进行控制实现数据库操作审计，支持Oracle、Informix、Sybase、DB2、SQL Server等主流数据库对WEB页面访问进行审计提供了符合内控、内审要求的审计报表在上述功能的基础上，赛贝卡根据大型IT系统运维和管理的需要，开发了更多的功能模块,新的功能,网镜-proxy堡垒机基于命令行的代理登录模式网镜-portal堡垒机用户账号的集中管理和内容控制新的web报表模块,网镜-proxy堡垒机（1）,基于代理（堡垒机）模式，提供对SSH、RDP协议的审计和访问控制网镜-Proxy/Windows：回放，跟踪到原始IP和账号，解决RDP图形操作审计问题网镜-Proxy/UnixTerm：回放，跟踪到原始IP和账号，命令审计和查询等，并解决SSH加密协议审计问题，提供基于ssh的匹配规则的审计以软件模块形式实现各项功能，与网镜系统无缝集成，包括共用网镜-Server认证审计服务器、管理控制界面、报表系统等，并可灵活配置在性能要求低的场合，可以直接部署在网镜-Sensor网络嗅探器上在性能要求高的场合，部署在单独的网镜-Sensor网络嗅探器上，并可选配是否加载网络审计模块,网镜-proxy堡垒机（2）,集中管理账号管理，实现SSO（一次登录全网有效）用户凭一个账号登录后，可访问所有授权的服务引入主从账号机制，实现用户身份的统一管理和一次登录全网有效；对账号和口令质量进行统一管理、控制与网镜原功能结合，同时实现网络设备、主机、数据库、业务系统的访问控制和操作审计,SSH堡垒机登录方式一（1）,通过putty工具输入主账号和口令进行登录后，选择要访问的主机列表,SSH堡垒机登录方式一（2）,SSH堡垒机登录方式二（1）,用户使用agent登录成功后，根据用户的安全策略权限在agent界面的左侧列出可以访问的保护主机列表,SSH堡垒机登录方式二（2）,访问ssh保护主机，双击ssh保护服务,SSH堡垒机登录方式二（3）,输入要访问的保护主机的帐号和密码,SSH堡垒机登录方式二（4）,登录成功后执行运维操作,网镜-portal堡垒机（1）,解决RDP图形操作审计问题解决其他的访问审计，尤其是数据库直接访问审计系统账号集中管理，统一授权集中管理和发布运维软件对所有的操作过程进行命令级的审计记录和控制,网镜-portal堡垒机（2）,内容控制严格控制（或禁止）拷贝、粘贴全面监控脚本编辑和执行对数据的传递引入审批机制服务生成的数据脚本生成的数据运维客户端生成的数据,Portal产生的背景,工信部组织的信息安全检查制定了明确的目标严格控制用户数据的外泄和不正常使用严格控制各种不健康内容的发布和下载运营商也从自身的业务安全深切地体会到必须对那些因业务、维护需要进行的各种数据传递进行严格的审批和控制在经历了“塞班斯内控、内审建设”、“4A系统建设”后，目前已进入攻坚阶段：,基于数据和内容的控制,场景（一）,内容供应商（SP）的信息发布和获取需要在运营商系统中获取敏感信息；或在上传各种业务内容问题：SP的业务软件在获取敏感信息后，是否存在外泄情况？SP上传的业务内容是否符合相关规范要求？业务系统的数据获取和传递在经营分析系统中，需要前台服务器产生大量的核心数据文件，进行人工分析或二次智能分析问题这些核心数据的下载、传递是否可控？,场景（二）,后台脚本的执行BOSS、经分等系统，需要执行大量的临时脚本，以生成前台业务系统暂时不能提供的数据问题：这些脚本都做了些什么、生成了哪些文件？这些脚本所产生的数据或文件，其下载和传递是否可控？维护人员对数据库的直接访问使用运维工具登录到数据库系统进行各种操作问题：维护人员在运维工具（如PL/SQL）中获取的信息，是否存在拷贝、粘贴的可能？,场景（三）,作为核心业务系统，BOSS（BSS/OSS）、经营分析系统中承载着大量的企业核心信息；为了切实加强核心的信息的安全控制需要对这些核心业务系统的数据访问实行严格的访问控制、访问审批、访问审计机制，主要包括以下三个方面：通过业务系统的WEB页面产生核心数据，并通过某种方式（如FTP）进行的文件或信息下载；通过登录核心服务器或数据库，运行后台脚本产生的文件或信息下载；通过运维工具（如Telnet、FTP、PL/SQL）等登录核心服务器或数据库，上传脚本文件，或直接获取核心信息造成的信息泄露。,核心需求,对各种脚本的编写、提交、执行进行严格的审批和控制对脚本所产生的数据的传递和使用，进行严格的审批和控制对运维工具进行统一管理和发布，禁止进行拷贝、粘贴等操作对由服务器产生的数据的传递、使用情况引入严格的审批控制机制前台营业厅人员生成数据后的审批下载,对数据的“生成”、“传递”、“使用”全程引入审批和控制机制！,赛贝卡解决方案,基于多年内控内审、4A系统建设的经验，提出了相对完善的内容控制解决方案系统帐号集中管理，统一授权集中系统管理用户集中管理和SSO全面支持运维管理协议多种认证方式系统密码策略管理运维工具的统一管理、发布拷贝、粘贴及文件传输审批机制对数据的传递引入审批机制服务生成的数据脚本生成的数据运维客户端生成的数据对所有操作过程进行命令级的审计记录和控制,集中用户管理和授权,对所有涉及系统维护的人员进行集中管理，设置其认证方式、后台可访问服务权限、访问时间、可使用的运维工具类型、操作审计策略等。运维人员通过网镜运维管理系统向后台系统发起运维操作时，必须遵守网镜系统设置的策略，否则，网镜系统将采取相应的动作，包括：禁止登录、禁止操作、实时告警、审计记录等。,集中系统管理,将IT设备、系统纳入统一的管理，包括以下类型：网络设备：路由器、交换机、负载均衡设备等；主机设备：基于Linux、Unix、Windows操作系统的主机；数据库系统：Oracle、SQL Server、DB2、Informix、Sybase等；,用户集中管理和SSO,网镜运维管理系统基于“主从帐号”机制实现用户的集中管理和SSO（Single Sign-On）“主帐号”是指分配给运维人员的帐号，这个帐号将用于运维人员登录网镜系统的堡垒端口时进行身份认证。网镜系统的各项安全策略的设置，操作审计的记录、查询等，也将基于这个帐号进行。“从帐号”是指后台系统或服务的登录帐号，这个帐号仅设置于网镜系统中，不为运维操作人员所知晓。当运维操作人员完成主帐号认证并选择需要登录的后台系统后，网镜系统将使用该帐号实现自动登录。运维操作用户持主帐号登录网镜系统并完成身份认证后，就可以在无需知晓、输入后台帐号和口令的前提下，通过点击相应的后台服务实现自动登录。,全面支持运维管理协议,网镜运维管理系统支持以下常用的运维管理协议，并实现了对这些协议的细粒度审计和控制：Telnet/SSH：通常用于网络设备、Unix/Linux操作系统及其业务系统的运维管理。FTP/SFTP：通常用于网络设备、Unix/Linux操作系统及其业务系统的运维管理。SQL：用于数据库系统的运维管理，网镜系统支持Oracle、SQL Server、Informix、Sybase、DB2、NCR等主流数据库。RDP：用于Windows操作系统及其业务系统的运维管理。,多种认证方式,针对用户的主帐号，网镜运维管理系统支持多种方式的用户认证，包括：CA证书认证：CA数字证书的存储介质可选择使用“软件令牌”，也可选用“硬件令牌”。帐号口令认证：在选用“帐号口令”认证方式时，其口令将受“系统密码策略”的控制，以保证口令的质量并强制规范口令的使用、更换。手机短信口令认证：在用户提供短信接口的前提下，网镜系统支持通过手机短信传递一次性动态口令，从而进一步提升口令认证的安全性。IP地址/IP网段认证：可以为用户绑定一个IP地址或IP网段来实现用户认证，即：用户从绑定的IP或IP网段登录，无需再进行身份认证。这种情况一般用于用户已经采用了诸如MAC/IP绑定、终端控制等安全技术的情况。,系统密码策略管理,为了保证系统的安全性，网镜运维管理系统提供了专门的密码策略管理机制，允许运维管理根据需要制定多个不同的密码策略，并将这些密码策略赋予不同的管理对象，包括网镜系统管理员、运维人员等。密码策略的内容包括：口令的长度以及数字、字符的组合要求；口令联系字符控制和与相似性检查；第一次登录时强制修改缺省口令；口令强制更改周期；帐号错误输入次数超过阈值锁死；帐号空闲时间超期锁死；禁用口令字符集设置。,运维工具的统一发布管理,在传统的运维管理中，管理对象主要集中在用户帐号及其认证的管理，而没有考虑运维工具的统一管理。即：操作人员在自己的PC上安装使用不同类型、版本的运维客户端工具，如Putty、PL/SQL等。随着信息安全建设的深入，很多用户对运维工具的统一管理、发布提出了刚性的要求，即：堡垒机系统必须提供一个运维工具的发布平台，在这个平台上集中发布被用户许可的运维工具；所有的运维人员只能使用在这个发布平台上安装、发布的运维工具。,拷贝、粘贴及文件审批机制,在各种运维工具中，均提供有“拷贝、粘贴”等功能，这样，维护人员就可以将这些内容制作成诸如WORD、EXCEL等格式的文件存在在自己的PC中。用户可以通过FTP等运维工具向后台目标服务器直接上传各种信息，包括可执行的脚本软件等，这也给信息系统留下了很大的隐患。网镜堡垒机系统实现以下功能：禁止在各种运维工具中使用拷贝、粘贴到本地PC的功能；提供信息上传/下载审批机制：上传或下载的文件必须得到系统管理员的查看、审批后方可执行。,热备及流量分担,网镜运维管理系统设计了完备的热备和动态流量分担机制，基于这个机制，网镜运维管理服务器可以组成一个集群，同时向用户提供服务，这使得网镜系统可以提供高稳定性、高性能、不间断的运维管理服务。针对用户广泛使用的基于四层交换的热备与流量分担机制，网镜系统也提供了相应的支持。,脚本控制功能,对脚本的上传/下载、编辑、执行进行全程审计，形成相应的审计日志，并备份执行的脚本文件；网镜系统对脚本执行形成的结果，包括调试结果和生产数据进行严格的控制；并对这些结果进行统一的管理和备份；向业务服务器提供数据存储机制，以获取来自业务系统的数据，并对这些数据的存储、传递、使用进行严格控制，对过程和数据形成审计日志。,细粒度的运维操作审计和控制,网镜运维管理系统将对所有的运维操作进行细粒度的审计记录，包括：对在线操作进行实时监控；对操作命令、响应结果等进行查询，并对操作过程进行回放；对违规登录或操作可以阻断或告警，并提供对违规操作的查询和跟踪。,4A介绍,4A：包括统一用户账号（Account）管理、统一认证（Authentication）管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素 主要围绕用户管理提出了完整的技术解决思路对于用户管理之后的细粒度访问控制、审计等，没有强制性要求,与4A系统的关系,4A系统涉及面广，主要强调综合管理和集中展现，一般需要较长时间的定制开发网镜解决方案基于成熟产品构建，简单的“部署”“实施”即可实现目前最急迫的核心需求运维工具统一管理、发布；运维操作审计拷贝粘贴、控制脚本控制和审计信息传递审批、控制与4A系统接口主从帐号同步，用户管理交由4A系统统一管理审计日志共享，交由4A系统统一展现,网镜：技术简捷，高性价比,多数厂商采用“CitrixWindows堡垒”的方式实现运维工具发布、图形操作回放、拷贝粘贴控制Citrix系统成本高昂无法实现运维工具的操作命令审计操作命令审计需要针对软件类型、版本定制开发网镜解决方案突破Citrix限制实现各项功能除了提供图形回放外，同时提供操作命令审计，并且无需定制开发，“部署就使用”同时提供命令行堡垒，最大程度地降低使用图形界面带来的带宽消耗、性能消耗,用最简捷的技术，解决最核心的问题！,技术成熟，功能贴切,已经在多个运营商核心系统成功使用，得到集团及外审组的高度评价主要功能均围绕运营商需求进行开发业务服务器数据流控制脚本内容审批、控制，脚本数据流控制文件传递分级审批文件生成权与文件使用权限的分离赛贝卡丰富的行业经验，可以共享行业内的成功经验,案例,网镜-Portal服务器,提供以下核心功能运维工具的统一发布：Telnet/Toad/FTP/PL-SQL等常用运维工具，NotePad、Word、Excel等编辑工具禁止从运维工具和编辑工具内拷贝、粘贴到操作PC用户集中认证，依据用户权限，自动登录后台服务用户提交文件传递审批申请、传递审批文件脚本编辑、执行管理网镜-Portal服务器基于集群技术构建支持热备工作模式，提供高可靠性服务支持流量分担，提供高性能服务集中数据存储，实现数据的一致性,网络存储服务器,面向全系统提供高可靠存储服务面向业务服务器提供存储服务面向脚本服务器提供存储服务面向网镜系统提供存储服务不是简单的“存储”，而是内嵌安全控制机制，保证数据的合理流动与业务服务器之间单向接收与脚本服务器之间单向接收与网镜-Portal之间基于审批机制的双向流动,网镜-Server&Sensor,提供集中的系统管理用户及策略管理策略解释、存储、执行审计日志的查询，审计报表输出命令操作审计与网镜-Portal互动，实现操作命令的细粒度审计实现操作命令权限分配、实时审计实现操作过程的回放存储备份内置的存储器可作为“网络存储服务器”的备份，进一步提高系统审计信息存储的高可靠性,网镜-Agent运维客户端套件,提供了集成的运维工具Telet/SSH、FTP/SFTPWindows RDP客户端TOAD、PL/SQL等数据库客户端基于该套件，可完成所有运维工作自动登录后台服务，进行各种操作脚本编辑、提交执行提交文件传递的审批对已审批文件进行上传或下载,结束语,赛贝卡提供给您的不仅仅是产品和方案还可以提供基于多年行业经验所形成的专业、贴切的咨询服务以及与运营商要求相匹配的技术支持、实时响应、定制开发,谢谢！神州数码系统集成服务有限公司,