帕拉迪堡垒机.ppt

1、帕拉迪统一安全管理与综合审计系统帕拉迪统一安全管理与综合审计系统产品培训产品培训追溯运维安全事件源头 降低核心操作系统风险培训内容介绍用户环境问题分析用户环境问题分析堡垒机部署架构和体系堡垒机部署架构和体系堡垒机部署收益堡垒机部署收益 核心功能和模块介绍核心功能和模块介绍使用和实施流程使用和实施流程用户环境问题分析用户环境问题分析用户环境问题分析IT运维现状1多点登录、分散管理服务器资源IT运维现状2交叉异构、帐号共享第三方厂家开发人员管理人员系统帐号IT运维现状3人为操作风险，责任无法追溯来自企业内部内部的非法威胁高权限操作风险不透明违规操作导致敏感信息泄露误操作导致服务异常甚至宕机来自企业

2、外部外部的非法威胁操作风险不可控黑客盗用帐号实施恶意攻击无法有效监管操作、无法有效取证/举证内部用内部用户外部用外部用户资源源设备权限滥用恶意访问误操作权力限用系统管理员网管员安全管理员软件系统开发人员黑客代维厂商合作伙伴企业临时用户 用户身份信息分散于各个系统，形成身份信息的孤岛 维护人员同时对多个系统进行维护，工作复杂度会成倍增加 独立的用户数据库独立的用户数据库身份信息孤岛身份信息孤岛 用户权限无法集中管理，越权事件时有发生缺乏集中统一的资缺乏集中统一的资源授权管理平台源授权管理平台 身份的混乱，帐号多人共用，难于确定帐号的实际使用者，难于对帐号的扩散范围进行控制，容易造成安全漏洞自然人

3、身份和业务自然人身份和业务系统帐号重叠系统帐号重叠 切换系统登录时，都需要输入用户名和口令进行登录。给工作带来不便，影响了工作效率自然人对多系统的自然人对多系统的访问频繁切换访问频繁切换 无法对支撑系统进行综合分析，不能及时发现入侵行为进行安全 预警和数据责任追踪，增加操作风险独立的审计，缺乏独立的审计，缺乏关联分析关联分析问题分析堡垒机部署架构和体系堡垒机部署架构和体系堡垒机部署架构和体系操作管理统一化 统一操作管理平台理念构建数据库 管理人员开发人员 操作 代维人员服务器 统一认证统一授权统一审计网络设备 管理流程规范化规范管理流程的实行1.实时监控2.操作记录3.操作回放4.操作搜索5.

4、统计报表1.角色划分2.帐号管理3.密码管理4.权限管理5.访问控制1.帐号管理2.密码定期 自动修改人的管理操作管理设备管理操作风险最小化最小化操作风险来源于管理模式你做了什么？你能做什么？你去哪？你是谁？访问控制管理帐号授权管理 资产帐号管理 统一身份管理 安全审计管理安全审计管理可用帐号？运维审计方案支持体系2024/5/1 周三字符终端运字符终端运维管理审计维管理审计图形终端运图形终端运维管理审计维管理审计数据库运数据库运维管理审计维管理审计文件传输文件传输操作审计操作审计应用终端应用终端操作审计操作审计KVMKVM终端终端操作审计操作审计命令行：Telnet、SSH文本菜单：HP的S

5、AM、IBM的SMIT，LINUX的SETUP等 OracleInformixDB2SybaseSQL Server等基于WEB操作,如：HTTP、HTTPS基于C/S应用终端操作，如：AS400RDPX11VNCFTPSFTPRDP磁盘通道、剪贴板等文件传输Avocent管理终端DSR、DSVIEW力登管理终端：RARITAN、RARITAN_CC覆盖了所有的运维方式，满足数据中心运维管理的需求网络设备数据库系统应用系统主机系统SAPECM内部门户LotusNotesMESORACLEH3CLinux UNIXWindows字符管理模式2024/5/1 周三命令分析及回放字符终端运字符终端运

6、维管理审计维管理审计命令行：Telnet、SSH文本菜单：HP的SAM、IBM的SMIT，LINUX的SETUP等 网络设备主机系统H3CLinux UNIX命令分析：区分指令的输入和输出；并支持从特定的命令进行定位播放；帮助用户快速定位到关注的事件图形管理模式图形终端运图形终端运维管理审计维管理审计RDPX11VNC主机系统Linux UNIXWindows实时监控界面用户操作界面1.完整支持原有客户端，用户可直接使用MSTSC工具进行连接，不改变其使用习惯；2.支持磁盘映射和智能卡远程调用，并提供开关控制，实现数据不落地，有效保障数据安全2024/5/1 周三数据库管理模式2024/5/1

7、 周三数据库运数据库运维管理审计维管理审计OracleInformixDB2SybaseSQL Server等SQL操作语句展现：可捕获底层SQL操作语句，用户行为无法逃避，提供数据检索，快速定位事故现场数据库系统ORACLE数据库操作审计回放SQL操作语句展现DB2Sybaseinformix应用系统管理模式2024/5/1 周三录像回放应用终端运应用终端运维管理审计维管理审计基于WEB操作,如：HTTP、HTTPS基于C/S应用终端操作，如：AS400应用系统SAPECM内部门户LotusNotesMES支持应用系统账户密码代填，实现单点登录部署方式外网用户外网用户内网用户内网用户UTM安

8、全审计管理安全审计管理WindowsHP_UnixHP_UnixAIXAIXLinuxLinuxSolaris安全设备网络设备存储设备运维登录流程运维登录流程:1.不加装任何客户端程序2.不加装任何服务器端引擎3.不影响任何网络拓扑4.不影响任何业务数据流5.支持双机热备6.支持集中管理分级部署PLDSEC SMS UTM防火墙防火墙堡垒机部署收益堡垒机部署收益堡垒机部署收益价值总结统一访问入口，集中权限控制，实现运维操作的规范化管理。规范运规范运规范运规范运维管理维管理维管理维管理满足合满足合满足合满足合规要求规要求规要求规要求完善责完善责完善责完善责任认定任认定任认定任认定降低资降低资降低

9、资降低资源风险源风险源风险源风险有效防止了误操作、滥操作以及越权访问对核心业务系统造成的破坏。快速的故障定位，提高故障处理效率；提供精准的责任鉴定和事件追溯。完善组织的内控与审计体系，从而满足合规性要求，使组织能够顺利通过IT审计。共享帐号的责任认定移动办公移动办公合作伙伴合作伙伴运维外包运维外包Internet内部运维人员内部运维人员核心业务服务器核心业务服务器RootRoot帐号帐号MickeMickeHz_yangHz_yangDw_wangDw_wangEchoEcho部署前：所有人员包括移动办公人员、合作伙伴、运维外包人员、内部运维人员共同使用root帐号直接登录核心业务服务器进行各

10、种操作，当核心业务数据被非法修改，或是执行了其他非法命令等，在现有环境上很难定位到人，无法进行责任的认定和故障分析。安全监控、审计安全监控、审计部署后：每个自然人都对应一个主帐号（审计平台帐号），登录到核心业务服务器的从帐号root（目标主机帐号），两个帐号存在唯一对应关系，审计人员可以很方便的从平台中查出是谁在什么时间登录哪台服务器做了什么操作，产生什么样的结果，很方便的实现责任认定和故障分析。第三方运维管理合作伙伴合作伙伴运维外包运维外包核心业务服务器核心业务服务器RootRoot帐号帐号Hz_yangHz_yangDw_wangDw_wang创建帐号，授权控制内部管理人员为其创建临时帐号

11、授予完成维护需要的最小化权限最小化权限，对高危操作高危操作命令进行控制和告警控制和告警。安全监控、审计安全监控、审计保留所有运维操作过程对该阶段的运维操作进行全部记录并保存记录并保存，作为审计的依据，内部人员还可以实时对其进行监控监控，发现有违规操作，可以立即进行阻断阻断。Internet业务系统运维需求业务系统的维护、更新升级、故障处理需要合作伙伴或是运维外包人员登录系统进行各种操作。满足第三方审计机构对运维操作的审计报表展现报表展现根据用户行业的要求，提供完善的报表展现，满足用户所在行业对合规性的需求。操作原始日志操作原始日志保存了全年的包括内部人员、合作伙伴、外包代维人员对核心业务服务

12、器运维的原始操作日志。第三方审计机构第三方审计机构核心功能和模块介绍核心功能和模块介绍核心功能和模块介绍核心模块说明用户管理认证管理设备管理授权管理与访问控制审计管理用户管理子模子模块块功能点功能点功能功能说说明明用户权限分级用户权限分级自然人用户账号根据权限不同，分为“超级用户”、“资产管理员”、“权限管理员”、“密码管理员”、“审计管理员”、“普通用户”六大类。超级用户最高权限用户角色，可进行所有系统配置、用户管理、权限授权以及操作审计等权限管理员拥有用户管理、授权管理权限，能够添加删除用户，能完成用户/用户组、设备/设备组关联授权。资产管理员拥有资产添加编辑权限，包括添加、编辑、删除权限

13、审计管理员拥有审计权限，能够审计所有用户运维操作结果。密码管理员拥有账号密码管理权限，只有密码管理员才能管理账号密码。普通用户拥有访问被授权管理设备权限和自身信息修改及自身密码修改权限。用户账号生命周期管理用户状态管理用户账号状态分为“未激活”、“激活”、“锁定”、“禁用”；用户账号有效期支持设置用户账号有效期限用户信息管理用户信息管理支持设置用户信息：真实姓名、邮件地址、邮件附件密码、所属部门、直属领导、联系电话用户组用户分组管理支持用户分组管理，简化授权批量导入用户账号批量导入支持以规定格式文件的用户账号批量导入建立网关用户 单击“安全策略管理”“网关用户管理”网关用户举例认证管理功能点

14、功能点功能功能说说明明开放可扩展认证体系采用开放灵活、可扩展的认证体系结构，支持本地静态口令认证，及外部第三方认证机制：Radius、动态令牌卡、PKI、AD域。支持本地认证和第三方认证体系混合使用。本地静态口令认证默认使用本地静态口令认证。Radius认证接口支持第三方Radius认证动态令牌认证接口支持第三方动态令牌认证接口AD域认证接口支持第三方AD域认证（双域）PKI认证接口支持第三方CA服务器与PKI认证设备管理设备管理设备添加、删除添加、删除设备资产设备组管理设备分组管理支持设备分组管理，简化授权。账号管理设备账号添加删除添加、删除设备账号设备账号密码推送（linux/unix/W

15、indows）支持设备账号远程推送修改，支持一下修改策略及其组合1、单次修改2、定期修改3、指定新密码4、自动生成新密码设备账号密码导出支持设备账号以证书加密方式导出批量导入设备批量导入支持以规定格式文件的设备批量导入 帕拉迪统一安全管理与综合审计系统总结多年安全审计项目经验，实现了一套创新的账号管理模式（帕拉迪统一账号管理），其具有如下特点：u支持账号集中管理模式。u支持账号分散管理模式。u统一了集中管理模式与分散管理模式。对任意资产，可以使用任意一种管理模式，或两种模式的组合。提供了极大的管理灵活性。授权管理功能模块功能模块子模块子模块功能点功能点功能说明功能说明授权管理授权管理授权管理以

16、设备IP、协议类型、账号密码三元组为单位，对用户授权组授权组授权支持以设备组、用户组方式进行批量授权访问控制字符终端访问控制字符终端ACL支持基于用户设备IP登录IP设备账号日期时间命令集空闲时间任意逻辑组合的访问控制策略控制策略条件:用户支持以用户作为控制策略条件控制策略条件:设备IP支持以设备IP作为控制策略条件控制策略条件:登录IP支持以登录IP作为控制策略条件控制策略条件:设备账号支持以设备账号作为控制策略条件控制策略条件:日期支持以日期作为控制策略条件控制策略条件:星期支持以星期作为控制策略条件控制策略条件:时间支持以用户作为控制策略条件控制策略条件:空闲时间支持以空闲时间作为控制策

17、略条件控制策略条件:命令集支持以命令集作为控制策略条件命令集可包含多条命令,每条命令可使用命令模式或参数模式命令控制支持多平台对FTP命令，SQL命令等命令能够做到准确识别并且可控字符终端扩展命令扩展命令扩展命令是用户登录目标设备后,自动执行的一系列命令基于扩展命令功能可实现命令自动执行功能,自动跳转功能,自动enable等 图形传输控制图形传输控制针对图形终端系统,支持文件传输,剪贴板功能的开启或关闭权限分配列表审计管理1.实时监控2.操作记录3.操作回放4.操作搜索5.统计报表操作管理子模块子模块功能点功能点功能说明功能说明审计管理审计日志回放所有审计日志以连接会话为单位，支持完整回放连接

18、会话实时监控，实时切断任何类型终端交互或应用交付连接会话，支持实时监控，实时切断审计日志搜索定位Syslog输出支持以Syslog方式将审计日志输出至第三方日志中心全面覆盖字符终端审计命令，录像，分析，监控图形终端审计录像，键盘命令，监控文件传输审计录像，文件传输备份应用发布审计录像，SQL捕获，监控实施和使用流程实施和使用流程实施和使用流程用户环境的调研1、主要管理设备的分类和管理数量2、用户网络拓扑的了解3、产品部署的位置和分配的IP地址前期准备工作实施流程系统的组网拓扑图如下（插入用户实际网络拓扑图及产品部署位置）实施流程地址规划系统安装调试系统安装系统安装PLD SMS系统由杭州帕拉迪

19、网络科技有限公司预装，无需现场安装。系统配置系统配置配置系统地址。配置系统其他基本设置。添加用户添加用户（批量导入用户统计表格）添加设备资产添加设备资产（批量导入资产统计表格）设定授权设定授权（按照授权表格进行授权）系统试运行1，系统部署后，进入系统试运行阶段，通过管理手段要求用户登录统一安全管理和综合审计平台进行运维操作，熟悉运维平台的操作。2，在该阶段，对用户出现的各类问题进行解决，如个别资产无法运维，或授权不完整等遗留问题。3，由于在该阶段并未进行访问控制部署，故用户能够使用原有方式进行目标资产访问，可在堡垒机无法正常运维时切换为原有方式进行运维，保障系统安全平稳的过渡。网络访问控制配置

20、网络访问控制，目的在于控制用户无法直接访问被管理设备资源，只能通过PLD SMS访问被管理设备资源。具体配置过程根据用户实际网络设备拟定。应急预案当发生突发意外情况，造成无法通过PLDSMS系统进行运维时，为了使组织整体IT系统正常运转，帕拉迪统一安全管理和综合审计系统提供了完整的应急预案，具体内容查看应急预案手册。登录管理目标资产方式使用WEB运维平台管理登录激活账号登录管理目标资产方式（B/S）使用WEB运维平台管理可管理资产列表登录管理目标资产方式使用WEB运维平台管理IE设置1、系统根证书下载安装2、受信任地址添加3、安装堡垒机ActiveX控件登录管理目标资产方式(c/s)手工运行SSH登录工具管理主机资产登录管理目标资产方式(c/s)手工运行mstsc.exe登录工具管理主机资产日志查看http:/杭州帕拉迪杭州帕拉迪