产品简介
360安全运维安全管理系统,俗称“堡垒机”,主要用途是让合法的人员管理具备权限的服务器、网络安全设备、数据库及其他远程应用的运维操作,并为此提供统一的登录界面、帐号管理、访问控制、权限控制、操作审计等功能。通常采用软硬一体的方式进行部署,可支持双机热备、集群部署、分布式部署等。
目的:让合法的人进行合法的操作,并进行过程控制、监督和事后审计回溯
产品功能
1、 账号管理功能
资产账号统一管理:所有资产账号进行统一托管,实现SSO单点登录,无需再记忆众多复杂的设备密码。
资产账号定期改密:托管的资产账号通过脚本进行周期性自动改密操作,保证资产账号安全性。
登陆堡垒机账号权限分离:采用“三权分立”原则,定义配置管理员、密码管理员、审计管理员和普通用户。
登录堡垒机账号授权定制:可以对登录堡垒机账号进行授权定制,绑定只能通过特定协议访问特定资产,确保权限最小化。
2、 认证管理功能
3、 运维管理权限功能
账号授权:登录堡垒机主账号采用树状模式进行自定义灵活授权。
工单下发/申请:管理员可以创建工单下发,指定人员进行运维。普通运维用户也可以运维时进行申请运维工单。
访问策略:可以根据源IP,源端口,目标IP,目标端口,账号进行自定义创建访问控制策略。
命令控制:针对重要资产,可以对一些高危操作命令进行限制管控及告警处理。
4、 监控审计功能
对运维人员的操作进行录像审计操作:
◆ 数据流回放技术,空闲操作日志无增长;
◆ OCR标题识别技术,图形操作快速定位;
◆ 数据库细粒度审计,SQL操作语句全记录;
◆ 虚拟应用RemoteAPP审计,细粒度完全审计;
产品优势
1、 全面单点登录
支持各类运维协议和工具的账号密码代填,实现单点登录。除了支持常规的图形终端协议、字符终端协议、文件传输协议、WEB应用、KVM类以外,还能支持各类数据库运维工具以及各类其他应用工具。
2、 多因素身份鉴别
除了常规的认证接口外(Radius认证、AD域、LDAP认证、数字证书认证、指纹认证、动态令牌认证),系统内置动态令牌认证、USBKEY认证、手机动态口令认证,短信认证等认证模块,并支持多种认证方式任意组合。
3、 可靠的数据同步
系统支持双机热备、集群和分布式部署模式,同时通过专利技术确保在双机热备、集群、分布式部署模式下数据同步的可靠性和及时性,实现配置信息和审计日志实时同步,有效解决大数据同步的问题。
4、 无缝应用发布技术
全面支持RemoteAPP无缝应用发布功能,将所有应用发布进行本地化展示,在大幅度提升用户体验的同时提高应用发布的并发能力。
5、 HTML 5运维
采用轻量交互式的HTML 5的运维方式,可在多平台上通过浏览器点击即可运维,在保障安全性的基础上增加了便捷性,同时操作审计日志中保留有操作员的帐号水印。
部署方式
部署策略
◆ 通过配置交换机ACL访问控制策略,只允许运维安全网关的IP访问需要管理的设备
◆ 通过运维安全网关的密码集中管理,屏蔽管理设备的登录密码信息
部署原则
◆不安装任何客户端代理
◆不安装任何服务端引擎
◆不影响现网拓扑结构
◆不影响现网业务数据流
运维安全网关部署在运维层和资产应用中间,基于代理和转发的机制对协议和应用进行传输和控制,并在此基础上增加审计功能,最终实现统一认证、统一账号 、统一授权 、统一审计(运维小4A)。
