微信咨詢

電話咨詢

4006-288-838

13927455457

在線客服
IT運維堡壘機方案,服務器操作審計,服務器運維審計,IT運維審計系統,堡壘機哪家好
IT運維審計堡壘機方案

中科網威官網 - 青海十一选五预测 - 產品解決方案

中科網威堡壘機審計系統應用方案

一、需求應用分析

       對于網絡設備的運維管理,大部分公司目前還沒有形成一套完整的管理方法,部分公司在網絡設備上建立用戶名密碼,然后運維人員使用網絡設備的本地密碼登錄后進行運維操作,還有一些公司建立有AAA服務器,將用戶名和密碼交AAA服務器統一管理,但這二種模式在運維管理中都存在相應的風險,主要風險如下:

1、密碼外泄:沒有統一的密碼管理機制,存在很多人員共同使用同一個系統帳號的情況 ,造成系統帳號的密碼為多人所知,最終,系統密碼非常容易外泄露給第三方人員;

2、違規惡意操作:對操作人沒有統一的監控、審計系統,操作人員操作的過程無法進行回溯,容易造成操作人員越權刪除、修改數據以及配置系統的情況

3、管理授權混亂:當網絡設備多,運維人員數量多的時候,管理授權容易出現混亂,沒有一個統一的系統為運維人員進行授權,并且對權限進行回收管理,形成一定的運維風險

上述這些問題的原因,都是因為沒有一個統一的運維管理平臺,造成運維管理黑盒化導致,因此建立一個安全、可靠、易用的運維管理平臺,為近期企業IT運維的迫切要求。同時國家及行業也相繼出臺了相關的法律法規及管理規范,如CSOX和等保規定,要求系統運維在訪問控制、操作審計等諸多方面做得更加全面有效的管理。

二、方案建設目標

       本方案主要是通過對人員、設備、操作的管理,實現運維管理的白盒透明化,同時將各項運維管理規章制度,能以可監控的方式進行管理落地。項目建設目標主要是以運維過程的安全、操作管理進行,最終達到運維規章制度可能有效執行,根據這些原則,將系統建設目標明細為如下點:

1500027195288614.png

1、統一的運維管理:建立統一的運維管理平臺(堡壘機系統),用戶由過去直接訪問網絡設備,改為從堡壘機跳轉登錄,堡壘機上實現認證、授權、審計及帳號的管理。

2、認證權限集中管理:堡壘機上啟動AAA服務器,將網絡設備的認證統一放到AAA服務器上,AAA服務器上的密碼系統可以自動按時修改,不需要運維人員知道AAA服務器上的密碼,當用戶想要登錄網絡設備時,由運維平臺自動為運維人員填寫登錄密碼,這樣能保證最終設備密碼的安全性。

3、身份登錄認證管理:用戶登錄堡壘機時,必須使用令牌卡生成的動態口令登錄,這樣可以?;び沒У目諏畎踩?,并且可以做到認證的不可否認

4、運維操作審計分析:運維人員登錄到網絡設備進行操作后,運維平臺對整個操作過程進行錄相、分析,通過平臺可以對任何一個操作過程進行回溯,同時,平臺可以分析整體運行情況,比如運維人員的巡檢、故障排除統計等,審計分析可以使運維管理白盒可視化,達到管理人員可以時刻了解當前運維操作狀態的目的,以使運維管理制度得以落地。

快速定位問題:必須對操作人員原始的操作過程進行完整的記錄,并提供靈活的查詢搜索機制,從而在操作故障發生時,快速的定位故障的原因,還原操作的現??;

兼容操作習慣:盡量不改變運維環境中已有的網絡架構、對操作者原有的操作習慣不造成任何影響;

三、方案設計原則

整體系統以運維安全管理規章制度有效運行、運維管理白盒可視化為設計實施依據,系統整體設計思路如下:

1500025874126444.png

1、實施準則:運維管理,主要是通過規章制度對人的行為進行控制,進行保證系統的穩定運行,因此,運維管理其實其本質就是規則制度的有效實行,整體運維平臺上線,最大的目的就是將運維管理從不可視的黑盒管理改為可視的白盒管理,同時,通過自動巡檢、密碼自動修改、SSO等功能大大減輕運維人的工作強度。

2、身份認證:身份管理解決的是操作者的身份識別和工作角色的問題。因為所有的操作行為都是由操作者發起的,通過操作者的身份管理機制,是后續對操作者操作過程進行控制和審計的基礎。

3、權限控制:通過訪問控制手段確保合法的操作者只能合法的訪問資源,有效降低未授權訪問的安全風險。

4、審計記錄:操作審計的意義在于當發生操作事故時,可以借助審計日志快速定位問題的原因,還原操作的現場,真正完善責任認定的體系。操作分析可以讓管理層得以有效把握目前運維管理的狀態,實現運維管理的合規化。 

四、應用部署方案

1、方案設計

       中科網威運維堡壘機系統采用“旁路統一入口”的模式實現集中管理,這種部署模式的優點是在部署過程中,無需在被管理設備上安裝任何代理程序或插件,也不需要調整設備之間原有的網絡架構,對用戶當前的運維環境幾乎不會造成任何影響。

1500026119188909.png

2、產品部署說明

1)部署方式是旁路部署,或使用雙機熱備部署模式,用戶登錄后的所有操作都會被錄相留存至少半年以上;

2)部署條件是運維管理平臺到被管理設備IP可達,協議可訪問、運維終端到運維管理平臺IP可達、協議可訪問;

3)所有被管理的設備將4A認證指到堡壘機上,在堡壘機上為所有設備建立Radius帳號,登錄這些設備時,認證在堡壘機上進行;

4)為所有的運維人員在堡壘機上建立運維帳號,并且為運維帳號做出權限列表,即為運維帳號指定能登錄到哪些網絡設備;

5)登錄過程:所有用戶登錄網絡設備時必須通過堡壘機跳登錄,用戶用唯一的用戶帳號登錄到中科網威運維堡壘機系統上,然后中科網威運維堡壘機系統會根據配置管理員預先設置好的訪問控制規則,提示用戶選擇可以訪問的目標設備和相應系統帳號,用戶選擇后自動登錄到目標設備,用戶登錄堡壘機時,需要使用動態令牌卡生成動態口令進行登錄,以保證認證的安全性

五、方案實現效果

堡壘機審計系統主要圍繞運維安全性、可管理性而建設,主要需要實現包括統一入口管理、統一授權、統一認證、統一審計、統一分析、及時告警六大項功能,針對這六大項功能,將審計系統部署實現達到如下效果:

1、系統統一接入

統一接入??櫓饕迪秩肟諭騁還芾?,包括運維管理登錄Portal、雙代理???、VPN移動用戶接入三部分。運維管理登錄Portal為用戶提供一個統一的登錄入口地址,將用戶登錄入口統一以后,才能進行針對性管理,統一Portal模式是一個登錄的Web界面,用戶登錄Web界面后,可以看到自身的所有權限,通過占擊相應的權限連接到相應的服務器。

雙向代理??橛糜諤峁┯沒ё云艨突Ф說牡鍬擠絞?,通過雙代理模式,用戶可以點過

SSL VPN??橛糜諤峁┰宋沒г凍探尤?,從管理角度來說,運維業務系統為一個專有系統區別于辦公、財務等系統,因此,一般情況下運維平臺應該具備VPN接入的功能,讓運維人員有一個專門的VPN接入接口與其它部分分離。

2、認證授權管理

認證授權管理主要實現動態口令、單點登錄、權限管理、密碼管理四個功能

動態口令用于解決目前靜態密碼的各種弊端,可以徹底的實現密碼丟失、弱口令、密碼掃描等安全問題,一個標準的運維系統動態口是是必須具備的一個功能???。

單點登錄用于讓用戶登錄到運維平臺后,即可以不需要輸入其它系統的密碼,直接登錄到已經賦權的系統,可以實現密碼屏蔽、登錄方便等功能。

權限管理,用于指定用戶的操作權限,包括用戶可以登錄到的設備、可以使用的設備帳號以及登錄到設備上可以執行的操作命令等。

密碼管理用于幫助用戶執行密碼規章制度中的密碼修改策略,密碼修改策略上線后,密碼管理軟件可以自動按密碼策略對系統密碼進行修改,以使管理制度落地。

3、操作審計預警

審計分析用于對操作人員的操作進行錄相和分析,用戶通過運維管理平臺登錄到業務系統后,所進行的操作都會被運維管理平臺錄相,同時,分析出用戶的明細操作,包括用戶運行的命令、敲擊的鍵盤、上傳下載的文件、數據庫指令、數據庫操作取回的數據等,通過審計分析,可以對操作人員的操作過程進行評判,評判他的操作過程是否有違歸、惡意操作,同時如果發生誤操作,可以及時回溯,恢復到系統原來的正常狀態。

4、日志審計記錄

運維管理中,日志系統的分析和關聯是很重要的一部分,沒有日志關聯,很難將系統發生的事件與運維操作關聯起來,運維關聯??榭梢越沒У鍬?、運行命令、系統日志等一系統事件統一關聯,讓管理者不需要通過分散的日志、網管、堡壘機系統一樣一樣的分析事件原因,大大提高了運維效率和事件分析的準確性。