深信服运维安全管理系统(堡垒主机)OSM
1、产品概述
深信服运维安全管理系统侧重于运维安全管理,是一款集账号管理、身份认证、单点登录、资源授权、访问控制和操作审计为一体的新一代运维安全审计产品,它能够对政府和企业IT资产(如服务器、网络设备、安全设备、数据库等)的操作过程进行有效的运维操作审计,使运维审计由事件审计提升为操作内容审计,通过内控管理平台的事前预防、事中控制和事后审计来全面解决政府和企业的运维安全问题,进而提高政府和企业的IT运维管理水平。
2、产品功能
- 账号管理
帐号管理包含对所有服务器、网络设备帐号以及所有使用堡垒主机自然人的账号实行集中管理。账号的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理,而且降低了设备管理员管理大量用户帐号的难度和工作量。同时,通过统一的管理还能够发现帐号中存在的安全隐患,并且制定统一的、标准的用户帐号安全策略。
通过建立集中帐号管理,可实现帐号与实际自然人相关联。通过这种关联,可实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的实名行为审计,真正满足审计的需要。
- 授权管理
深信服堡垒主机通过灵活的授权管理和细粒度的访问控制管理可以对用户对各种资源的访问进行控制和审计。
- 认证管理
深信服堡垒主机为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。
深信服堡垒主机自身是经过加固的可防御进攻的安全设备,支持静态口令、动态口令、 USB-KEY、数字证书、动态令牌、生物特征等多种组合认证方式,并且传输过程加密。
- 访问控制
(1)实时监控与阻断
深信服堡垒主机能够实现对运维人员在线操作的实时监控功能,审计员可以以图像方式实时的监视运维人员的运维操作,如果发现运维人员存在不合规的操作,审计员有权限实现对当前会话的实时阻断。
(2)访问控制策略
深信服堡垒主机能够制定基于黑白名单的访问控制策略,用以限制用户访问目标设备的访问命令,该策略支持正则表达式。
- 审计管理
深信服堡垒主机提供详尽的操作审计功能,主要审计操作人员的帐号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后,操作审计能更好地对帐号的完整使用过程进行追踪审计。
3、产品特点
- 完善的加密措施
深信服堡垒主机对访问会话代理全程提供通信加密防护。堡垒主机业务数据及审计录像文件均密文保存。
- 口令信封
深信服堡垒主机提供口令信封打印功能,用户可定期通过口令信封对主/从账号信息打印纸质存档。
- 命令审批
深信服堡垒主机支持通过命令审批的方式对资源进行保护。即当在控制名单内的命令被请求执行时,需要进行审批,审批通过后,该命令才可以被执行,否则命令请求将被阻断。
- 命令过滤
对关键设备的操作,关键指令执行时可设置黑名单功能,自动阻断违规或高位操作的指令。
- 交叉授权
访问关键设备时需要双人操作,在双方都同意时才能访问关键设备,通过定义双人授权审批人和被审批人来实现双人操作,双人授权是一组相互关联的访问审批关系,可以定义多个审批人和被审批人,如果一个用户既是审批人又是被审批人,根据权限最小化原则,此人在访问设备时以被审批人的身份登陆,需要此授权中的其他审批人审批。
- 组授权
资源组由部门管理员创建,隶属于创建资源组的部门,是部门内资源的集合,同资源可以存在于同一部门下的多个资源组中,便于进行基于资源组的访问授权。实现了用户/用户组对资源、用户/用户组对资源指定账号、用户/用户组对资源组的灵活的访问授权方式。
- AD抽取
支持将Windows AD域账号信息周期或一次性同步抽取至本系统,更新堡垒主机主账号信息。
- 抗DOS攻击
堡垒主机支持一定程度的抗DOS攻击能力,内置抗DOS引擎,可识别内网的恶意攻击数据包。
- 动作流
对于市面上主流的堡垒设备,均可支持对B/S系统的单点登录支持。支持手段包括配置表格字段及提交方法,而对于C/S系统的单点登录功能则需要研发人员介入编写相应代码。深信服堡垒主机可通过配置“动作流”功能完美支持所有C/S系统的单点登录功能,用户仅通过在堡垒主机前端页面配置“动作流”即可。
- 多级流程审批
资源被访问时需要通过定义的审批链中的审批人逐级审批通过后才能访问资源,逐级审批可以定义通过投票数,只有达到最低通过投票数要求,才能算本级审批通过。
- 分级部署
深信服堡垒主机支持分级部署模式,可支持多级子系统。
- 前端高可用配置
堡垒主机提供前端配置主/备模式双机热备部署功能,主备机切换时长小于3秒。
- 支持云端快速部署
深信服堡垒主机支持云端快速部署,实现远程运维管理的规范化;可按照运维人员数量,调整云端服务器配置,即可实现性能优化。
- 客户端高兼容
深信服堡垒主机可完美适配Windows、linux、国产麒麟系统、Android、IOS、Mac OS等客户端。