天玥网络安全审计系统(业务堡垒机MA系列V6.0.1.0)产品白皮书v2.0.doc

资源描述

1、名趋肌阶回堪磅脾步娄唬册批闸节辐溪逸郴坚兴热哺俐砚涝毖继遇久簿贯克诀滨躁族桂垒冉霹忿份踊掀筒扎认给壁有柱诬坪核惫户熏底描屁弟跺窑剁晌取溃椎诱槽袄鞠责聪拒梁察究膝我匆姓苫薯吊锁锁搽贿眩者傀绷众兽嘛显南碾眼芳咎招黔妥爆告人殿募饯锻硫诞乐晃写演槛苍晤咬壤去乍锯辉化刁哀舅贪颊弧喳刀嘻判珐椰躬防缸负脏娜誉肪粹桅臂谍原湛瓣驻磅压耗珍荆撤铃介隙劳届驰值扩鼠涵送俐而蹭庭獭鹏懦邪抨肯檀械护竹餐嘻劈伎瑞丰突川敞说晃轿纬纬辐散王侄怪局彝陪柔稳村荡剧谱导噶翻掂矾诊俭蜒太巾哲应谅乘惺漱脚躇尽炬津氖硒捶于梅梨尚蜡燥扁诣鸣镊硝朵唾莽瓷枷天玥网络安全审计系统（MA 系列）产品白皮书北京启明星辰信息技术股份有限公司 23

2、启明星辰天玥网络安全审计系统（MA 系列 V6.0.1.0）产品白皮书（版本 2.0）北京启明星辰信息技术吼瞥杖秦妥糯骋塑足枕帘慢灵渺褐魁讶谴掂楔诀反菌鹊则衬孟钵孔捅噪奖吩距瘴每镇滦案刃痘优芒昧狙性哲墩恰绊曲荷捐鳞闭伯指陛赠吮玻忌塌烤缩轧闺源疤卞求茧吝青纫瘦碱握绅颓粳原骚员筋墒扎缺桃注夸瘫够饲泵前疼舅直睹纹娟拥搪关血义陛犁恿课蝶雇探钱冈聚糊诀虎瓶飞磐箭卿钡喉坠古湃萌唯考头忙幌卖惜间陵舵舔逮涸牲忘狂沫篇捕苔囊劣团蚌钟骤鸿迢峙俺切冀蹿巨某食搏共乐呼腻俺败辱凛颠敢隆府镰懊篱诣坍囊闷淡蓑矛晃百蛤猖仔煞缀但爷椒焦账滚跺浓奄抹寅慈涤舔伪幕懦孩阂殴希普揪汤瞒衰王脸兹瓣盘苗蛀钧醚芯哺活恐诧衙礼锰戚桅邦

3、盆屠澎绕真寅茨姿荣腥堪瞻草天玥网络安全审计系统(业务堡垒机 MA 系列 V6.0.1.0)产品白皮书 v2.0 合冷啡谬辖您回诌营乃同篓北嘿撩兄呼奴椎粕颅轻诌嫉落火授援翱刷鄂湃铭势别宿屁鬃抨绰窑典雏赃着尺庞赫前浮遵汾避蛔燃雀咐懂雾揭薄儡微储猩奥乾钧已怂柿层橡麓楷虚燕铸迷遥幕尾汗狮殖环掉意帚仰器赦晒捧赌戮兽张球劣纺共阎声泻彪铁秘骚啤烷兆忘俏仗川壕捅耸姚蓉丑距茹妨脱忌星赁埋桩桌儿排附源赶慨甩功倔假藤晤目停住惩卿唐档抿劣碱策膛狼毛雅烧封郁囚钩丽劈斤辕渴侗基橡壤戎狞纱朝杆劫辉棘喇存必睦糖固环豫环晦松豪硬忍须第野能舔虎脖憾鬃育偶讥晦笼译羊抓镍痕全碳记指窍伐炯价找陋酱陀硒比雹士置拌憾主常铲蓄琳泼待炉黄坎

4、排坑缸疡除挥锯圃熬店网猛亦启明星辰天玥网络安全审计系统（MA 系列 V6.0.1.0）产品白皮书（版本 2.0）北京启明星辰信息技术股份有限公司 2010 年 6 月版权声明北京启明星辰信息技术股份有限公司2010 版权所有，保留一切权利。未经北京启明星辰信息技术股份有限公司（以下简称启明星辰）书面同意不得擅自传播、复制、泄露或复写本文档的全部或部分内容。本文档中的信息归启明星辰所有并受中国知识产权法和国际公约的保护。信息更新本文档及与之相关的计算机软件程序（以下称为文档）用于为最终用户提供信息，并且随时可由启明星辰更改或撤回。发布日期：2010 年 6 月适用范

5、围：天玥网络安全审计系统 V6.0 （MA 系列）信息反馈如有任何意见或建议，请按如下联系方式反馈给启明星辰。邮政地址：北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦邮政编码：100094 电话：86-10-82779088 传真：86-10-82779000 E-mail： cpyj 免责条款根据适用法律的许可范围，启明星辰按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，启明星辰都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使启明星辰明确得知这些损失或损坏

6、，这些损失或损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。目录 1 产品概述 3 1.1 产品简介 3 1.2 适用场景 3 1.3 核心价值 4 1.4 能够从天玥 MA 系列获益的用户 .4 2 用户需求（面临的问题） 5 2.1 内部人员操作安全隐患 5 2.2 第三方维护人员安全隐患 5 2.3 系统共享账号安全隐患 5 2.4 最高权限用户安全隐患 5 3 产品原理 6 4 产品主要功能 6 4.1 功能流程图 7 4.2 SOX 合规性解决方案 .8 4.3 集中管理 9 4.3.1 单点登陆（Si

7、ngle Sign-On） .9 4.3.2 用户身份管理 9 4.3.3 部门以及权限管理 9 4.3.4 设备以及资源管理 10 4.3.5 资源账号管理 11 4.4 访问控制以及权限控制 11 4.5 操作审计 12 4.6 日志报表 13 4.7 高级功能 13 4.8 跨平台支持 15 4.9 快速部署 16 4.10 天玥 IV RDP 模块 .17 4.10.1 RDP 代理简介 .17 4.10.2 工作原理 17 4.10.3 体系结构 18 5 客户收益 19 5.1.1 满足合规性要求，顺利通过 IT 审计 19 5.1.2 有效减少核心信息资产的破坏和泄漏 19 5.

8、1.3 有效控制运维操作风险，便于事后追查原因与界定责任 19 5.1.4 有效控制业务运行风险，直观掌握业务系统运行的安全状况 19 5.1.5 实现独立审计与三权分立，完善 IT 内控机制 19 5.1.6 一体化、低成本、可操作的 4A 解决方案 .20 6 部署与使用 21 6.1 单台部署 21 6.2 分布式部署 22 7 典型用户 23 1 产品概述 1.1 产品简介天玥网络安全审计系统（MA 业务堡垒机系列），以下简称天玥（MA），是启明星辰综合内控系列产品之一。天玥网络安全审计系统（MA 系列）是针对业务环境下的网络操作行为进行集中管理（Management ）与

9、细粒度审计（Audit）的合规性管理系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人账号资源资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的业务操作行为进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（数据库、服务器、网络设备等）损失、保障业务系统的正常运营。 1.2 适用场景天玥（MA）的用户通常拥有重要的业务系统或者网络基础设施，相应地具备如下需求中的部分或者全部： 1、需要保证重要/关键服务器、网络设备的安全； 2、希望对运维人员与核心资产进行集

10、中管理，明确每个人员对核心资产的权限； 3、正在或将要开展内控工作，希望有效地控制操作风险； 4、需要记录或审计加密协议 SSH 的操作内容； 5、需要进行事后追查，但缺乏数据记录与追查方法。天玥 MA 系列适用与以下行业：电信运营商金融行业门户网站运营商网络游戏服务提供商有类似需求的企事业单位 1.3 核心价值天玥 MA 的核心价值体现在：完善业务系统的安全防范体系，满足组织机构内外部合规性要求，全面体现管理者对业务系统信息资源的全局把控和调度能力。主要表现在： 1、结合账号管理、资源管理、单点登录、身份认证、访问授权、操作审计等技术于一体，融合为有效实用的一体化 4A

11、解决方案； 2、当出现安全事件后，能根据翔实的审计记录，一步步地追查出攻击者； 3、通过对客户关键信息资产的业务操作行为进行访问控制、避免核心资产损失； 4、核心服务器与网络设备的账号口令定期修改，并通过安全的方式通知安全管理员； 5、核心服务器与网络基础设备的实体内授权，用户登录设备之后的行为细粒度控制； 6、帮助用户加强内外部网络行为监管、满足企业内部控制或者外部政策等合规性要求。 1.4 能够从天玥 MA 系列获益的用户以下几类用户能够从天玥 MA 的使用中获益：安全管理部门或 IT 审计部门：能够凭借天玥 MA 有效地提供符合内控策略的操作风险控制措施，并且能够弥补在操作审计方面

12、的不足；网络与主机的运维部门：能够利用天玥 MA 有效地梳理应用系统账号关系、规避操作风险、使运维操作本身符合组织的信息安全方针。另外，天玥 MA 提供的操作日志以及过程再现（会话回放）可以作为运维部门的免责依据或者安全管理/IT 审计部门的追查证据。 2 用户需求（面临的问题） 2.1 内部人员操作安全隐患随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作却无能为力。根据最新统计资料，对企业造成严重攻击中的 70是来自于组织里的内

13、部人员。 2.2 第三方维护人员安全隐患企业在发展的过程中，因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地监控设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。严格的规章制度只能约束一部分人的行为，只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行。 2.3 系统共享账号安全隐患无论是内部运维人员还是第三方代维人员，基于传统的维护方式，都是直接采用系统账号完成系统级别的认证即可进行维护操作。随着系统的不断庞大，运维人员与系统账号之间的交叉关系越来越复杂，一个账号多个人同时使用，是多对一的关系，账

14、号不具有唯一性，系统账号的密码策略很难执行，密码修改要通知所有知道这个账号的人，如果有人离职或部门调动，密码需要立即修改，如果密码泄露无法追查，如果有误操作或者恶意操作，无法追查到责任人。 2.4 最高权限用户安全隐患一般来说，我们都是从各种系统日志里面去发现是否有入侵后留下来的“蛛丝马迹” 来判断是否发生过安全事件。但是，系统是在经历了大量的操作和变化后，才逐渐变得不安全。从系统变更的角度来看，网络审计日志比系统日志在定位系统安全问题上更可信。系统的超级用户长期以来一直处于不可管理的状态。 3 产品原理天玥 IV 业务堡垒机的产品原理如下图所示： T e l n e t 客户

15、端 S S H 客户端 S f t p 客户端 F t p 客户端 R D P 客户端 T e l n e t 协议代理 S S H 协议代理 S f t p 代理 F T P 协议代理 R D P 协议代理配置管理模块报表查询模块日志存储模块单点登录模块从账号同步模块主账号同步模块 4 A 管理平台外部 L D A P 账号数据库审计回放模块身份认证 / 认证转发模块业务堡垒机管理接口审计接口账号

16、接口账号接口协议数据账号接口授权接口认证接口访问控制模块命令防火墙模块密码代填资源其核心进程为常用协议的代理，目前可以实现的有： telnet ssh ftp sftp/scp RDP（Windows 远程桌面） VNC 代理进程监听相应的端口，捕获通信后，按照授权策略转发到相应的资源，同时对数据包进行命令级别的解析。 4 产品主要功能天玥 MA 系列基于“用户账号目标设备系统账号”的权限管理模式提供各项安全功能，主要体现在以下几个方面： 1、集中管理：对所有的自然人以及所有核心服务器、核心网络基础设施及其

17、上面的账号进行统一集中管理与单点登录； 2、身份管理：有效解决传统 UNIX 模式的共享账号问题，通过自然人账号与系统账号的关联实现网络操作的实名制； 3、访问控制：管理员可自定义访问控制规则，给每个用户分配适当的网络资源； 4、权限控制：通过命令防火墙可进一步把用户的权限控制到命令级别，可有效限制 root 的操作权限； 5、操作审计：对所有自然人的访问信息，包括输入命令与输出结果进行记录并回放，能根据翔实的审计记录，一步步地追查出攻击者。 4.1 功能流程图人的管理：角色划分：不同的用户按照职责分成不同的角色，有超级管理员，账号管理员、审计管理员，配置管理员，密码保管员与普通用

18、户；账号管理：账号采用实名制和用户一一对应；密码策略：密码复杂度设置，密码有效期等严格的密码策略；访问控制：通过严格的访问控制，确保合法用户在其系统权限范围内访问授权设备，降低人为的安全隐患；权限控制：控制用户可以执行和禁止执行的操作命令。操作管理：操作记录：以人为记录依据，真实完整的记录用户的操作行为；操作搜索：根据各种搜索条件对所有操作记录进行高速精确搜索；操作回放：完整回放用户的历史操作；实时监控：实时窗口显示用户当年的操作行为；统计报表：按照时间与事件生成用户操作行为报表；设备管理：密码管理：按照不同级别密码策略定期自动修改设备的系统密码。 4.2 SOX 合

19、规性解决方案 SOX 法案是希望通过严格的内控去解决信任危机的问题。天玥 MA 作为一个完整的 SOX 合规解决方案，实现了：清晰完整的策略：天玥 MA 有集中管理，身份管理，访问控制，权限控制，操作审计一系列的针对人的操作管理策略；天玥 MA 系列通过相应技术手段保证策略在产品上的有效执行；对过程进行真实完整的记录与回放；能够让审计管理员和第三方审计公司验证以上内容的真实可信天玥 MA 通过一系列策略（集中管理、身份管理、访问控制、权限控制）的制定和有效实施以及严格的审计机制，规范用户对 Unix 设备、网络设备以及安全设别的操作行为，控制企业内部以及第三方代维的操作风险，并

20、对全部的操作与结果进行真实完整的记录，为第三方审计提供真实的原始材料，最终实现 SOX 合规要求。 4.3 集中管理当管理一个包含各种各样异构设备的环境时，拥有一个集中管理控制平台以降低成本、合并冗余的操作就变得非常重要，天玥 MA 能够为管理员提供唯一的策略执行点和对所有用户的访问控制点，从而对用户的操作实现集中控制。 4.3.1 单点登陆（Single Sign-On）天玥 MA 作为用户登录的唯一入口，是实现集中化管理的必要条件。鉴于天玥 MA 采用旁路的部署方式，需要在用户的核心路由或防火墙上配置适当的策略保证所有用户的 telnet/SSH 访问都转发到天玥 MA 上面来

21、。 4.3.2 用户身份管理对业务系统中的运维、操作人员进行集中管理：根据工作职责为每个运维人员分配一个唯一标识其身份的用户账号，实现用户账号与人员身份的一一对应；集中管理账号属性，包括账号名称、真实姓名、邮箱地址、账号开始日期、失效日期、账号所属部门、账号状态（活动/禁用）、账号权限以及备注信息；管理员可手工设定用户账号使用规则，确保用户账号可用性：当用户处于休假、换岗、离职等状态，及时对其账号可用性（活动、禁用）进行调整；集中管理与分发账号口令，创建用户账号时即可给用户分配强壮的口令，口令可以通过系统随即生成并发送到用户邮箱或由管理员手工定义，管理员可随之重置用户口令

22、，用户可通过 web 界面修改自己的口令；集中管理用户口令策略，可根据安全级别自定义用户口令策略，口令策略包括密码最短长度（默认为 8）、密码最长使用天数（默认为 13，最长为 90）、失败尝试次数（默认为 5）、必须包含数字位数、必须包含大写字母位数、必须包含小写字母位数、必须包含特殊字符位数。 4.3.3 部门以及权限管理支持分级权限管理，严格按照三权分立的思想对管理员进行授权。部门管理：根据用户实际环境配置业务部门，每个部门下面管理相应的业务系统、用户、资源、资源账号，不同部门之间相对独立；权限管理：支持二级权限管理，系统有一个全局的超级管理员，然后是每个部门内部

23、的账号管理员、配置管理员、审计管理员、密码保管员。超级管理员：能够创建部门与各部门的二级管理员，进行系统的全局策略配置，如双机热备策略、密码策略、邮件服务器配置、系统备份、授权管理以及当前系统健康状态的查看。账号管理员：创建本部门内的用户账号；配置管理员：为本部门添加资源与资源账号，并创建“用户账号资源资源账号”的分组访问控制关系，配置分组与用户账号的命令防火墙策略，管理本部门内 SSH 资源的证书。审计管理员：集中管理本部门账号所产生的会话日志、登录日志、操作日志、审计日志与审计报表，并对本部门内的日志进行查询与检索。密码保管员：集中接收与记录本部门内资源账号密码的修改结

24、果。 4.3.4 设备以及资源管理对用户业务环境中的 UNIX、网络设备、安全设备、Oracle 数据库、话务网元进行集中管理，具体包括：集中管理资源的主机名、IP 地址、登录协议以及端口号、所属部门以及设备类型；资源的认证管理：根据资源的类型模拟资源的自动登录过程，通过密码代填的方式由天玥 MA 完成到资源的认证，避免了用户记录大量资源账号和密码的繁琐工作，提高了工作效率，提高系统的整体安全性。资源的自动登录脚本可根据实际情况由管理员来定义，支持正则表达式与通配符。支持二次跳转设备的管理，某些行业存在一些特殊应用，要访问该类资源，需要先登录到一台堡垒机上，再运行命令跳转到最

25、终资源上。天玥 MA 完全支持这样的维护方式。针对 SSH 设备，可为设备生成 SSH 证书，通过天玥 MA 系统与 SSH 设备交换 SSH 证书创建 MA 与设备之间的 SSH 通道，这样，就可以通过 SSH 证书方式实现 MA 到设备而的二次登录认证，而不使用资源账号来实现，在一定程度上提高了访问认证的安全性。 4.3.5 资源账号管理集中管理业务系统内资源上面的账号与密码，具体包括：资源账号密码策略的管理，按照不同安全级别分为 HighDevPWDPolicy、MiddleDevPWDPolicy、LowDevPWDPolicy 以及 GeneryDevPWDPolicy，

26、分别定义了密码最短长度、密码最长使用天数、失败尝试次数、必须包含数字位数、必须包含大写字母位数、必须包含小写字母位数以及必须包含特殊字符位数；根据密码策略定期修改资源账号的密码，密码结果通过加密邮件的方式发送给密码保管员；配置管理员可手工触发资源账号的密码修改；对于类似的资源或资源账号，可进行资源账号的批量添加或类似添加；对与资源账号口令，管理员可选择由用户手工输入或由天玥 MA 系统代填完成目标资源的二次认证；对于代填密码的资源账号，配置管理员可通过 web 界面进行登录测试，以检测密码的正确性或路由的可达性。 4.4 访问控制以及权限控制有效解决传统 UNIX 模式的

27、共享账号问题；通过分组访问控制规则，给每个用户分配适当的网络资源，建立“用户账号资源资源账号”的对应关系；通过命令防火墙把用户的权限控制到命令级别。确保合法用户在其系统权限范围内访问授权设备，降低人为的安全隐患。根据业务角色与规则设置分组 “组”的概念源自不同业务操作人员的工作任务，它并不一定映射到实际的企业组织结构，而更多的反映“工作团队”性质的虚拟组织结构。通常对相同类型的工作或权限建立一个组进行管理。制定访问控制策略，对用户账号、资源、资源账号进行设置将同类工作的用户账号纳入同一组，以组为单位进行基础权限设定；设置组内用户可访问的资源，对组内可操作的授权设备做进一步规定

28、；设置组内用户可使用的资源账号，确定了用户对被管理资源的实体权限；建立用户账号与资源账号的关联，使“组”内成员可用单个用户账号进行多系统权限的操作管理。为分组创建时间策略与源 IP 控制策略：可以为分组访问控制列表选择时间策略，并定义时间段内能够使用天玥系统的源 IP 地址范围。明确、清晰的访问控制列表，清晰的了解谁（who ）在什么时间（when ）能用何种系统权限（what）访问哪些资源（where），让权限关系一目了然。配置简单，变更灵活，当人员岗位、职责改变时，对用户相关联的组、系统权限、可访问资源等进行调整即可收回已有权限。命令防火墙：当不同用户账号与同一资源账

29、号关联时，就需要以命令为核心建立实体内的细粒度授权策略。根据操作人员的业务属性，在资源账号权限范围内，使不同用户账号获得资源账号的全部命令权限或部分命令权限。建立以命令为基础的权限控制策略；严格限制超级用户 root 的操作权限；针对分组或单个用户用户，设置“允许、拒绝”的规则列表；命令防火墙的策略可跨平台存在。 4.5 操作审计对所有自然人的访问信息，包括输入命令与输出结果进行记录并回放，通过自然人账号与操作日志的关联实现网络操作的实名制。以用户的操作周期为记录单位，清晰、全面了解用户的整个操作过程；真实完整的记录：记录用户输入命令和命令输出结果；记录图形操作（RDP

30、/VNC）的会话内容以及用户在图形回话中输入的文本信息；记录加密协议 SSH 的操作内容；对用户的实时会话进行监控，可实时显示用户的当前操作；通过 web 界面完整回放用户的历史操作，支持从任意命令开始回放；记录文本编辑软件（vi）等的编辑命令和编辑内容；记录各种交互式操作（SQL）的输入命令和输出结果；记录用户执行命令的具体时间（精确到秒）；完整记录各种功能键扩展后的操作命令（TAB 补齐，BACKSPACE 回退、删除、上下箭头等）；记录粘贴命令与组合命令；操作的历史记录加密存储，只能查看与检索，不可更改、删除。根据用户账号、操作时间、系统账号、资源等关键词对所

31、有操作记录进行搜索，在最短时间内实现责任认定。精确的查询方式（开始时间，结束时间，用户/系统账号，资源，自定义关键字）；根据用户操作的命令的具体时间点和时间段（年/月/日/小时/分钟）进行搜索；根据用户输入的命令做检索（支持通配符与正则表达式方式的模糊匹配和精确匹配查询）；根据用户的输入命令和输出结果做全文检索（支持通配符与正则表达式方式的模糊匹配和精确匹配查询）能够检索图形会话内容中的用户输入信息，并定位到具体图形会话。 4.6 日志报表天玥 MA 本身可生成详细丰富的日志，并可按时间与事件展现报表。会话日志，可按照开始时间、结束时间、用户名、源 IP、会话状态显示实

32、时会话与历史会话，可查看会话中的详细命令与命令输出，并进行回放。 SFTP 会话日志，按照时间、用户名、源 IP 显示加密文件传输协议的操作命令与内容。登录日志，记录普通用户与管理员的历史登录情况，可记录登录账号、登录时间、登录 IP、登录类型（web 、ssh、 telnet）以及登录结果（成功、失败）。操作日志，记录天玥 MA 管理员对系统所进行的配置操作，可记录管理员账号名称、操作时间、登录 IP、操作类型以及操作对象（MA 系统后台数据库表）。审计日志，对账号的登录以及操作情况进行集中统计，可显示某一用户的 web 登录次数、ssh 登录次数、sftp 登录次数以及操

33、作命令的数量。审计视图，以柱状图或饼图的方式显示最近十个月的用户操作统计、用户操作类型统计、用户操作对比、用户登录统计与用户登录对比。 4.7 高级功能 HA 双机热备与数据同步作为 Portal 类的访问控制类系统，应充分考虑消除单点故障，保证系统的可用性。天玥 MA 系统可通过 web 配置双机热备策略，对于部署两台 MA 系统的用户，可实时显示当前的 HA 状态（actMAe 或 standby）并配置、启动 HA 状态，可指定当前设备的 HA 类型（主、备），指定心跳口来监控对端 MA 设备的存活，指定浮动 IP，用户通过访问浮动 IP 地址即可访问当前活动的 MA 设备

34、。一旦主 MA 设备出现故障而不能提供服务，备 MA 设备可立即切换到工作状态，接管服务，切换速度在 2 秒之内。可根据心跳口指定对端 MA 设备的 IP 地址进行数据同步，保证备机启动后与原先主机上面的配置完全一样。配置工作方便高效基础数据管理（用户管理、设备管理、系统账号管理、分组管理、部门管理、命令防火墙策略）可按照 excel 格式进行批量导入导出并提供批量导入模板供配置管理员下载，对于大数据量的用户，在很大程度上提高了 MA 系统管理员的工作效率。同时，基础数据管理部分可按照部门进行筛选，可按照关键字段进行排序，方便管理员定位需要管理的用户、设备资源、系统账号等。

35、邮件服务器配置管理员可通过 web 界面配置可用邮件服务器，用来给用户发送密码邮件，给密码保管员发送设备账号的修改结果。可指定用户密码发送对象（不发送、发送给用户或同时发送给用户和密码保管员）。安全文件传输天玥 MA 系统通过 SSH 代理的方式利用 SSH 协议的安全文件传输有效解决 FTP 的高安全风险漏洞问题。用户利用天玥 MA 系统可以实现对后台资源的安全文件上传和下载，上传和下载的文件名和内容可以被 MA 进行审计。认证枢纽服务天玥 MA 本身采用静态口令对用户账号进行认证。针对认证强度需求较高的用户，天玥 MA 系统内部提供认证接口，可提供认证枢纽服务，把用户

36、账号的认证请求转发到第三方的强身份认证服务器上，实现用户账号的强身份认证（软、硬件令牌、数字证书、短信认证等），满足内控要求。 AD 域账号同步天玥 MA 系统作为综合内控系统，本身提供主、从账号管理的功能。同时，天玥 MA 系统提供账号管理接口，可与标准 LDAP 数据库进行主账号同步，目前支持微软 AD 域的账号目录结构以及认证方式。系统备份可通过 web 界面对当前的系统配置以及全部日志进行备份以及恢复。系统健康状态监控天玥 MA 系统提供对自身健康状态进行检查的功能，可通过 web 界面查看当前的 MA 系统的主要信息以及运行状态，包括：系统主要信息：主机名、IP

37、地址、内核版本、开机时间、在线使用者、平均负载等；网络负载：系统所有网络接口的上行数据流量、下行数据流量以及错误/中断的数据流量；内存使用量：显示当前物理内存以及虚拟内存的使用百分比、剩余空间、已用空间以及总容量，显示物理内存的使用分布情况包括内核以及应用程序、缓冲区、缓存等的使用百分比、剩余空间、已用空间以及总容量。硬盘使用情况：显示当前 MA 系统挂载路径、文件类型、挂载物理磁盘、使用量百分比、剩余空间、已用空间以及总容量。集中监控对于跨地域或分布式部署的多台天玥 MA 系统，可提供软件形式的集中监控平台，可实时收集各个 MA 系统的基础数据、会话日志以及健康状态。 4

38、.8 跨平台支持天玥 MA 系列产品支持的设备类型主要有：主流 UNIX/Linux 服务器： IBM AIX HP-UX SUN Solaris SCO UNIX FreeBSD Red Hat Enterprise Linux Fedora SUSE Linux Enterprise Server Mandrake Linux Turbo Linux Debian/Ubuntu Linux 主流网络设备： Cisco Catalyst 系列 Cisco IOS 系列 Huawei 交换机与路由器 Juniper 交换机与路由器安全设备： Cisco PIX 防火墙；华为 Eudem

39、on 防火墙； Juniper Netscreen 防火墙；数据库：本地 SQLPlus 方式的 Oracle 数据库各种版本；交换传输设备： Nokia BSC 网元；华为 MSC/BSC 网元； MOTOROLA MSC/BSC 网元 Windows 服务器的远程桌面 UNIX/LINUX 服务器的远程桌面（VNC） 4.9 快速部署天玥 MA 提供给用户最简洁的操作界面和最人性化的使用方法；用户只很少时间就可以熟练配置天玥 MA；天玥 MA 的全部功能都以 WEB 界面呈现给用户；既不需要修改客户的网络架构也不需要在客户的被管理设备上安装任何程序；所有的部署都是在天玥

40、MA 上完成；大规模部署同样在极短的时间内可以完成； 4.10 天玥 IV RDP 模块 4.10.1 RDP 代理简介针对 Windows 远程桌面的以上一些安全问题，我公司在天玥 IV 堡垒机上开发了 RDP- Proxy 模块，它是一款通过代理方式实现 RDP 访问安全性增强的系统，该模块有如下优点：（1）几乎不需要改变用户的操作习惯（2）对原有服务器的性能不产生任何影响（3）不需要在原有服务器和客户端上安装软件，修改配置（4）能够完整记录用户的整个访问过程并回放 4.10.2 工作原理天玥 IV RDP-Proxy 模块的工作原理如下图所示： R D P 服务器群

41、天玥 I V R D P 代理模块 R D P 客户端内联网互联网通过对企业出入口的防火墙的配置，客户端通过 Internet 不能直接访问 RDP 服务器群，只能先访问 RDP-Proxy，RDP 连接建立之后，再输入目的服务器地址，跳转到目的服务器。这样，用户的所有输入都是通过 RDP-Proxy 服务器转发到目的服务器，目的服务器的所有输出结果也是先发送到 RDP-Proxy，再由 RDP-Proxy 发送到客户端。 RDP-Proxy 根据配置，可以记录用户的所有访问过程数据，写入本地文件，供 RDP-Replayer 程序事后回放。 4.10.3 体

42、系结构 RDP-Proxy 系统的内部结构如下图所示，由以下部分组成： RDP客户端客户端 RDP-roxy审审审 RDP-Config配置、管理 RDP-eplayer写入读取、回放RDP堡垒机RDP协议 RDP协议（1） RDP-Proxy 程序，负责 RDP 协议的代理转发，并将协议数据记录成审计数据文件。（2） RDP-Config 程序，负责配置、管理 RDP-Proxy。（3） RDP-Replayer 程序，负责读取审计数据文件并在回放。 5 客户收益 5.1.1 满足合规性要求，顺利通过 IT 审计目前，越来越多的单位面临一种或者几种合

43、规性要求。比如，在美上市的中国移动集团公司及其下属分子公司就面临 SOx 法案的合规性要求；而商业银行则面临 Basel 协议的合规性要求；政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。天玥 MA 系统提供了一种独立的审计方案，有助于完善组织的 IT 内控与审计体系，从而满足各种合规性要求，并且使组织能够顺利通过 IT 审计。 5.1.2 有效减少核心信息资产的破坏和泄漏对单位的业务系统来说，真正重要的核心信息资产往往存放在少数几个关键系统上，通过使用天玥 MA 系统，能够加强对这些关键系统的访问控制与审计，从而有效地减少核心信息资产的破坏和泄漏。 5.1.3 有效

44、控制运维操作风险，便于事后追查原因与界定责任一个单位里负责运维的部门通常拥有目标系统或者网络设备的最高权限（掌握 root 帐号的口令），因而也承担着很高的风险（误操作或者是个别人员的恶意破坏）。由于目标系统不能区别不同人员使用同一个帐号进行维护操作，所以不能界定维护人员的真实身份。天玥 MA 系统提供基于角色的访问控制与审计，不但能够有效地控制运维操作风险，还能够有效地区分不同维护人员的身份，便于事后追查原因与界定责任。 5.1.4 有效控制业务运行风险，直观掌握业务系统运行的安全状况业务系统的正常运行需要一个安全、稳定的网络环境。对运维部门来说，网络环境的安全状况事关重大

45、。天玥 MA 系统提供业务流量监控与审计事件统计分析功能，能够直观地反映网络环境的安全状况。 5.1.5 实现独立审计与三权分立，完善 IT 内控机制从内控的角度来看，IT 系统的使用权、管理权与监督权必须三权分立。在三权分立的基础上实施内控与审计，有效地控制操作风险（包括业务操作风险与运维操作风险）。天玥 MA 系统实现独立的审计与三权分立，完善 IT 内控机制。 5.1.6 一体化、低成本、可操作的 4A 解决方案对于有内控需求的个别行业，目前正在建设 4A 系统，虽然在业内已经颁布各种 4A 规范与标准，但建设 4A 系统并非易事。要遵循规范，循序渐进，而且实施周期长，实施成

46、本巨大。鉴于 4A 全面建设的困难性，可考虑从离散的点铺开，然后连成面。天玥 MA 系统即是这样一种低成本、易实施的一体化 4A 解决方案，涵盖了账号管理、身份认证、访问授权以及操作审计等几方面的基本功能。 6 部署与使用天玥 MA 的一般部署方式如下： 1、根据不同的管辖范围部署一到多台天玥 MA； 2、部署一台天玥 MA 集中监控平台； 6.1 单台部署在天玥 MA 上，给每一个维护人员建立唯一的自然人账号，配置要管辖的主机资源，建立主机的资源账号，根据业务需要，配置访问控制策略，每个人能以什么身份访问主机，建立自然人与主机账号的对应关系。用户要登录（通过 Telnet 或

47、 SSH）某主机，首先通过 SSH 登录到天玥 MA 系统，天玥 MA 根据登录用户的权限，提供该用户所能访问的主机与网络设备的列表；用户选择要维护的主机，天玥 MA 根据用户在该网元设备上的帐号权限，完成后续的登录过程；用户方可使用该网元设备。用户在目标设备上的所有操作命令以及命令输出均由天玥 MA 来进行记录。同时，天玥 MA 可实时监视网络系统的运行状态，记录网络事件，发现安全隐患，并对网络活动的相关信息进行存储、分析和审计回放。天玥 MA 以旁路的方式接入网络，通过路由策略来限制天玥 MA 成为用户访问网络资源的唯一入口。天玥 MA 在网络中的部署示意图如下：图 1.

48、天玥 MA 单台部署示意图 6.2 分布式部署适用于省级规模的骨干网，在单台部署的基础上，可以在中心部署一套集中监控平台，用来采集各实施点的安全策略与操作日志，并监控各个实施点产品的健康状态，部署图如下：图 2. 天玥 MA 分布式部署示意图 7 典型用户目前天玥 MA 系统已经在电信运营商行业有大规模部署经验，目前主要客户有：客户系统时间数量应用场景广东移动 BOSS 2007 年 11 月 2 独立部署佛山移动网管网、IDC 2007 年 10 月 1 堡垒机+平台珠海移动网管网、IDC 2008 年 1 月 1 独立部署新疆移动网管网、IDC 2007

49、年 8 月 4 堡垒机+平台新疆移动 CMNet 2008 年 4 月 2 堡垒机+平台福建移动网管网、OA 2006 年 10 月 8 独立部署南平移动网管网 2009 年 1 独立部署贵州移动经分系统 2009 年 3 月 2 堡垒机+平台河北移动三大支撑中心 2008 年 6 月 6 堡垒机+平台辽宁移动业务支撑/新业务 2009 年 3 月 4 堡垒机+平台陕西移动 BOSS 2008 年 12 月 2 堡垒机+平台陕西移动 OA 2009 年 4 月 2 独立部署上海电信 IDC/IPTV 2008 年 7 月 2 独立部署广东电信智能网 2007 年 12 月 1 独立部署广东电信 DCN 2

展开阅读全文