安全管理与运维审计系统,俗称保垒机。它主要包含设备运维和安全审计两大功能,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的运维访问。安全管理与运维审计系统能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。
帕拉迪统一安全管理和运维审计系统,通过规范运维权限管理、严密运维过程控制、透明化运维操作过程等手段,对运维工作中的人为风险进行防范、规避,可以做到事前预防、事中预警和控制,事后回溯查询。
从管理角度来看,帕拉迪统一安全管理和运维审计平台是企业内部运维管理制度和规范的技术化落实平台。通过统一运维入口、统一身份认证、统一资源管理、统一权限管理和统一过程审计等一系列手段,将制度落于实处;通过技术手段硬性规范了运维操作的流程,控制人为风险,提高IT系统整体可用性。
帕拉迪统一安全管理和运维审计系统以集中监控、SSO 单点登录和身份认证为基础,实现对以SSH,TELNET,FTP,SCP、SFTP、RDP、VNC、X11、HTTP、HTTPS等工具对服务器资源进行操作管理行为的统一入口、统一认证、统一授权、统一审计;实现对ORACLE,SYBASE,MS SQL,DB2,INFORMIX,MYSQL等商业数据库操作的集中审计和控制;实现企业环境业务应用运维、IP KVM控制台运维的集中审计和控制。
SMS能帮助客户解决哪些问题?
随着企事业单位IT系统的不断发展,网络规模和设备数量迅速扩大,日趋复杂的IT系统与不同背景的运维人员的行为给信息系统安全带来较大风险。安全管理与运维审计系统主要可以帮助客户解决以下问题:
1.多个用户使用同一个账号。这种情况主要出现在同一工作组中,由于工作需要,同时系统管理账号唯一,因此只能多用户共享同一账号。如果发生安全事故,不仅难以定位账号的实际使用者和责任人,而且无法对账号的使用范围进行有效控制,存在较大安全风险和隐患。
2.一个用户使用多个账号。目前,一个维护人员使用多个账号是较为普遍的情况,用户需要记忆多套口令同时在多套主机系统、网络设备之间切换,降低工作效率,增加工作复杂度。
3. 缺少统一的权限管理平台,权限管理日趋繁重和无序;而且维护人员的权限大多是粗放管理,无法基于最小权限分配原则的用户权限管理,难以实现更细粒度的命令级权限控制,系统安全性无法充分保证。
4. 无法制定统一的访问审计策略,审计粒度粗。各网络设备、主机系统、数据库是分别单独审计记录访问行为,由于没有统一审计策略,并且各系统自身审计日志内容深浅不一,难以及时通过系统自身审计发现违规操作行为和追查取证。
5. 传统的网络安全审计系统无法对维护人员经常使用的SSH、RDP等加密、图形操作协议进行内容审计。
SMS支持什么类型的设备运维?
SMS作为统一的“人机”交互界面和“人机”运维平台,全面接管企业运维人员、外包服务商等对业务系统服务器的运维操作过程。审计系统全面覆盖如下六大类“人机”交互和企业“应用”交付运维数据流:
-
IP KVM 带外运维:Avocent、Raritan和ATEN等主流IP KVM带外控制台运维。
-
字符终端远程运维:TELNET、SSH、AS400等字符类协议操作运维。
-
文件传输远程运维:FTP、SFTP文件传输协议操作运维。
-
图形终端远程运维:RDP、VNC、X11、VNC4.X、pcAnywhere、Radmin等图形终端运维。
-
数据库客户端运维:ORACLE、SYBASE、INFORMIX、DB2、SQL SERVER、MYSQ运维。
WEB应用网页运维:HTTP、HTTPS协议运维。
SMS和KVM比有什么区别?
SMS和KVM的区别,我们总结了一下,主要有下面三点:
-
产品定位不同:KVM定位在远程机房设备层集中管理,我们定位在操作层,通过操作控制和审计去降低运维操作带来的风险。
-
实现方式不同:KVM通过鼠标和键盘的外延来实现远程管理,即带外管理;我们是利用系统自身的远程访问协议(Telnet/SSH/RDP/FTP/SFTP)实现远程管理,即带内管理。
-
应用场合不同:KVM在操作系统没有启动过程中能够准确的帮助用户去解决期间问题,一旦操作系统系统成功启动后,用户更倾向采用远程访问协议(Telnet/SSH/RDP)实现远程管理。
所以,我们认为,我们和KVM是两个不同层面的东西,两者可以互相弥补。
SMS是如何部署的?
SMS采用的是操作网关模式,采用物理旁路、逻辑串接的方式部署。只要把SMS以旁路的方式接入到内网,确保SMS和要管理的设备之间IP互通即可。部署之后,用户到后台设备的运维必须先登录到SMS上,再通过SMS自动登录到后台设备。SMS成为运维操作中的单一入口,实现了对用户运维操作的集中管理。目前已经成为国内高端行业用户运维操作管理的主流模式。
如何保证用户只通过SMS登录,运维操作无法进行规避?
为了保证用户无法绕开SMS,我们一般可以采用两种方式:
审计的数据量有多大?
-
字符终端:由于我们的字符终端操作审计的结果都是以文本的方式存储,因此存储的数据量非常精简。根据在用户中的实际使用数据,当操作的命令条数达到100w时,总共的数据量约为30G左右,平均操作为4M/小时/连接。
-
图形终端:图形会话因为是图形界面的操作,占用的空间相对大一些,一般一个会话,每小时的审计日志在20M左右,并且由于系统采用数据流回放的技术,当图形不产生变化时(用户无操作)将不会增加图形日志的存储。
使用了SMS之后,文件传输如何实现?
对于WINDOWS的设备,可以通过我们的磁盘映射功能,方便、安全的把文件传输到远程设备上,整个过程是加密的,并且可以审计;当然,目前您这边如果喜欢使用FTP或文件共享的方式去传输文件,也是可以的。但处于安全考虑,建议尽量不要使用文件共享的方式。对于字符操作的设备,可以使用FTP、SFTP、SCP协议进行文件传输,所有的文件传输操作也是可以审计的。
图形终端操作支持模式和工具?
图形终端操作支持RDP、X11、VNC协议,支持C/S,B/S两种登录模式。
C/S,即采用客户端(微软远程桌面MSTSC)直接登录SMS进行运维操作。
B/S,即采用WEB统一登录页面登录,并点击其授权的设备调用本地客户端完成会话连接进行运维操作。
字符终端操作支持模式和工具?
字符终端操作支持SSH、Telnet协议,支持C/S,B/S两种登录模式。
C/S,即采用客户端(secureCRT、Xterm、PUTTY等)直接登录SMS进行运维操作。
B/S,即采用WEB统一登录页面登录,并点击其授权的设备调用本地客户端完成会话连接进行运维操作。