网神SecFox-LAS-BH运维审计系统产品介绍-请使用此版本

网神SecFox-LAS-BH运维审计系统介绍刘大地liudd@legendsec.com13718589493目录 一、需求背景 二、现状分析 三、产品理念 四、功能介绍 五、特色优势 六、部署案例1、IT资产膨胀用户的IT资产越来越多，多到管理不过来的地步了。*2、IT资产类型 从运维角度看 服务器主机 数据库主机 路由设备 交换设备 安全设备 专用系统 从应用途径看 业务系统（BSS/证券等） 支撑系统（如网管） OA系统 财务系统 人力资源系统 客户服务系统CRM资产的种类也很多。*3、IT资产使用者 管理员 运维主管 常驻维护人员 外包服务人员 外聘运维人员 临时授权 一般用户 普通用户 领导 财务、行政 业务人员 外来临时用户使用资产的人员也是林林总总*4、资产访问方式 使用远程终端服务：例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口（CLI）。 使用文件传输协议：例如FTP等。 使用远程窗口和桌面：例如Windows的远程桌面（RDP），和Unix的Xwindow。 使用各种数据库客户端：例如各种数据库的client程序、ODBC、JDBC，以及多种其它数据库工具。*5、资产的安全控制DB管理员系统管理员网络管理员业务操作员Windows服务器Unix服务器安全设备网络设备IT资产中心分支机构外聘人员代维厂商多人使用多点登录�����������员工��员工��员工��员工��负责的管理网络。*目录 一、需求背景 二、现状分析 三、产品理念 四、功能介绍 五、特色优势 六、部署案例1、用户不堪重负多机分散操作多台设备，操作时来回切换。密码记忆用户需要记忆许多用户名和密码用于登录各个系统，经常出现忘记密码的情况，有些管理直接使用相同的密码，缺乏统一的用户管理。频繁登录和注销管理不同的网络设备需要分别登录，操作烦琐。内控安全企业生产数据面临被内部人员篡改、删除、窃取、主机被关机、设备配置被修改，导致企业生产停顿、商业资料泄露，给企业造成巨大的损失。2、KVM管理方式 Keyboard+Video+Mouse 账号口令依然难记 登录切换烦琐 没有控制和审计3、集中式管理 方式： 先登录管理作业服务器，然后转换身份再对相关服务器进行维护。属于多用户单帐号管理。 问题： 1.多用户共享root帐号，权限划分不明，所有人员都具有最高的ROOT权限。 2.无法跟踪某个管理员的确切操作。 3.依靠各自服务器的日志信息，审计信息不可读。4、旁路审计的局限 1.密文协议（SSH/RDP等） 2.细粒度授权和访问控制 3.审计信息不可读（非实名、信息量大）分析仪/审计仪镜像监听5、政策要求 萨班斯.奥克斯利法案（Sarbanes-Oxley） 《企业内部控制规范》 《证券公司内部控制指引》 《信息系统安全等级化保护基本要求》二级以上 目录 一、需求背景 二、现状分析 三、产品理念 四、功能介绍 五、特色优势 六、部署案例1、什么是4A2、4A的 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 帐号管理认证管理A1A2操作审计A4授权管理A3定义帐号密码定期变更密码密码强度控制……..日志收集日志分析故障排查事故追踪……..建立帐号修改帐号删除帐号……..定义帐号权限分配帐号修改帐号权限防止越权访问……..设备及服务器管理3、身份和授权相分离4、1A-Account统一帐号管理空闲帐号弱口令帐号僵尸帐号共享帐号相同帐号设备及服务器群��5、2A-Authentication集中认证原先：各系统独立认证单一的静态口令认证口令强度基本无限制目标集中一处认证双因子认证，可以兼容各种认证方式口令强度监测、定期密码变更 6、3A–Authorization统一授权原先：授权工作量大、繁琐没有有效的访问控制手段授权粒度粗，基本只到设备目标：统一授权管理，以主、从账号的关联实现授权命令级别的细粒度授权实时监控、命令拦截7、4A-Audit综合审计关键业务系统数据被修改了，系统记录是admin改的，到底是谁用这个帐号改的？这么多系统，查看命令这么复杂，我怎么去使用这些命令去查看？业务数据被修改，从日志中查，一天的日志量有几百万，我该从什么地方开始看，他到底在什么时间修改业务数据的？每个系统的日志都这么多，不知道他们之间有什么关系？8、4A-Audit综合审计没有跨系统的综合审计：缺乏帐号分配审计缺乏用户使用相应帐号的授权审计缺乏用户登录登出系统的审计缺乏用户对系统访问行为审计综合审计：实名制堡垒机审计、数据库审计、日志审计可以统一展现账号分配的审计9、解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 目录 一、需求背景 二、现状分析 三、产品理念 四、功能介绍 五、特色优势 六、部署案例1、统一账号 降低了记忆账号的负担2、统一认证 增强了认证的安全性3.1、授权和控制策略中配置禁止该操作员使用kill等危险命令，显示禁用提示信息策略中配置禁止命令中不包含more命令，放行通过，得到正确执行结果操作人员moreabc.filekillallapache运维审计目标服务器����3.2、禁止指令列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 4、常用协议审计支持指令终端的常见协议SSH、TELNET、RLOGIN、FTP5、图形审计支持图形终端的常见协议RDP、VNC、XWINDOWS6、单点登录统一的WEB单点登录方式避免了频繁切换和登录登出的麻烦7.1、综合审计 详细的审计列表，实名制 查询方式、回放方式7.2、详细审计列表7.3、审计记录回放 操作过程回放目录 一、需求背景 二、现状分析 三、产品理念 四、功能介绍 五、特色优势 六、部署案例1.1、内控堡垒机 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 特色 物理旁路快速部署，不改变拓扑结构。（相比串行审计而言） 实现账号、密码的统一管理。（相比传统集中管理而言） 实现运维命令的实时审计和拦截控制。（相比传统的并行网络侦听审计而言） 实现包括加密协议SSH、SFTP，图形协议RDP等在内的更全面的审计。（相比并行审计）1.2运营商的最佳实践 严格按照中国移动通信企业标准QB-W-002-2005《中国移动支撑系统集中账号管理、认证、授权与审计（4A）技术要求》的要求开发完成。 对于运营的实际需求满足充分，最多可管理省级运维网络达3000多台设备，性能卓越。2、五大特色（独门秘技） 1、智能运维脚本： 让运维自动化。 2、管理终端安全检查： 杜绝信息泄露。 3、文件共享管理： 把管理从操作拓展到内容 4、组态报表，用户自定义报表： 几百个常用报表 模板 个人简介word模板免费下载关于员工迟到处罚通告模板康奈尔office模板下载康奈尔 笔记本 模板 下载软件方案模板免费下载 5、智能负载均衡运维： 网络资源占用进行智能化分配调度。2.1智能运维脚本 对运维指令集，可以编写成脚本的形式，由堡垒机定时自动执行。 代维人员或者厂家人员，如果需要授权他们操作设备，可以改为让他们提交操作脚本，由业主单位的管理人员审核后付诸实施。 对于基层操作人员和实习人员，也可以改为提交脚本，由领导审核后提交运行。2.2控制终端安全检查 单点登录系统保存着系统帐号并具有访问重要资源的网络权限，在使用单点登录前对使用者的终端做安全合规检查是排查安全隐患、降低安全风险的重要手段。 支持使用单点登录前做安全合规检查，包括防病毒、补丁，并提供修复功能。 通过禁止剪贴板功能、禁止本地磁盘映射增加单点登录的保密性，可以有效地防止信息泄露。2.3共享文件管理 不仅能对资源进行运维，还可以管理服务器上的共享文件，可以通过堡垒主机向服务器上传下载文件，并能审计及备份文件。支持上传下载文件支持断点续传。2.4组态报表，用户自定义的报表 预置了几百个常用报表模板。 用户可以自定义XML报表模板，不需编程，不会影响系统稳定性。*2.5智能负载均衡技术 支持分布部署，支持在运维管理过程中，实现对运维管理的负载均衡。对当前的运维管理所需的网络资源占用进行智能化分配调度。*3、产品优势 统一的web管理方式。 内含认证组件（radius）。 可以集成各种强认证方式。 访问方式控制采用策略形式，方便易用。 大4A系统的核心部件，易于拓展到4A项目。1、管理员WEB方式管理；用户WEB方式访问资源，用户登录堡垒主机后可以看到所有授权资源列表，访问资源时不用再输入帐号和密码，做到真正的单点登录。2、内部提供认证服务器组件，所有对资源的访问都是认证服务器提供的临时会话号，即使会话号被截获，也无法通过此会话号再次访问资源，提高资源访问的安全性。3、证书认证、智能卡认证、短信认证、人体特征认证（指纹、视网膜等）、动态口令认证……..4、主机命令策略、访问时间策略、客户端地址策略、访问锁定策略5、可以灵活的按照各种查询条件进行查询统计，查询用户的行为，对于主机命令查询时，一次可以配置多条主机命令。查询统计的结果方便形成报表。6、在4A项目中，放弃帐号、认证、授权的集中管理，可以只提供执行单元，完成基础访问控制和操作审计功能。在非4A项目中除提供基础的访问控制和操作审计功能外，还提供精简的帐号、认证、授权集中管理功能。目录 一、需求背景 二、现状分析 三、产品理念 四、功能介绍 五、特色优势 六、部署案例1.部署优势*2.1、旁路部署管理员内网区域服务器群������������������������������������部署时是物理旁路、逻辑串行，不用改变原有网络拓扑。只要被控资源对堡垒机是IP可达，就能纳入堡垒机的管理。2.2、少量试用管理员内网区域运维审计服务器群��������������������������������������1、试用初期，只把个别测试设备的访问改为先登录堡垒机后再由堡垒机转发访问。2.3、全部控制管理员内网区域运维审计服务器群��������������������������������������逐步把全部资源都纳入堡垒机的管理，但是保留了直接访问资源的途径2.4、取消后门管理员内网区域运维审计服务器群��������������������������������������用防火墙或者路由策略，杜绝非经过堡垒机的访问，就能实现更高的安全性。2.5、双机热备管理员内网区域运维审计服务器群��������������������������������������此时为了防止堡垒机形成单点故障，应该建议用户购买第二台形成双机热备。3、向大4A的拓展*堡垒主机也叫小4A，当：1、以上功能的管理对象从运维设备拓展到应用系统2、操作用户从网管员拓展到全员时。就成为完整4A（集中身份和访问管理）系统了！6、用户类型 交换机+路由器+服务器+DB+…>50台 正准备购买KVM的 正准备购买并行网络审计的 还在用PCAnywhere、DameWare的 已经购买终端内控产品，忽视服务器内控的SecFox安全审计综合解决方案SecFox-NBA（上网审计型）SecFox-EPS终端审计信息可视化、关联分析SecFox-NBA（业务审计型）SecFox-LAS日志审计SecFox-LAS-BH运维审计*具体到安全审计而言，SecFox为客户提供了一套完整的安全审计解决方案。首先，SecFox-LAS为用户提供了安全审计基础平台和日志审计功能，SecFox-LAS能够针对核心基础设施的日志进行统一的收集和审计，并通过基于浏览器的审计界面展示给客户（动画1）。后续，用户可以逐渐部署上网行为审计（动画2）、终端审计（动画3）、业务审计（动画4）。特别的，网神SecFox区别与其它审计产品的最大特点就是所有审计模块都是融合在一个审计平台之下（动画5），并且通过一个统一的web控制台展现出来（动画6），用户随着时间推移逐步上马的审计系统不会造成一个个审计孤岛，而是在SecFox审计平台之下不断扩展。可以看出来，SecFox-LAS是整个审计方案的核心和基础。而日志审计也是等级保护的基本要求。立志成为国家信息安全的中坚力量谢谢！用户的IT资产越来越多，多到管理不过来的地步了。*资产的种类也很多。*使用资产的人员也是林林总总**负责的管理网络。***1、管理员WEB方式管理；用户WEB方式访问资源，用户登录堡垒主机后可以看到所有授权资源列表，访问资源时不用再输入帐号和密码，做到真正的单点登录。2、内部提供认证服务器组件，所有对资源的访问都是认证服务器提供的临时会话号，即使会话号被截获，也无法通过此会话号再次访问资源，提高资源访问的安全性。3、证书认证、智能卡认证、短信认证、人体特征认证（指纹、视网膜等）、动态口令认证……..4、主机命令策略、访问时间策略、客户端地址策略、访问锁定策略5、可以灵活的按照各种查询条件进行查询统计，查询用户的行为，对于主机命令查询时，一次可以配置多条主机命令。查询统计的结果方便形成报表。6、在4A项目中，放弃帐号、认证、授权的集中管理，可以只提供执行单元，完成基础访问控制和操作审计功能。在非4A项目中除提供基础的访问控制和操作审计功能外，还提供精简的帐号、认证、授权集中管理功能。部署时是物理旁路、逻辑串行，不用改变原有网络拓扑。只要被控资源对堡垒机是IP可达，就能纳入堡垒机的管理。1、试用初期，只把个别测试设备的访问改为先登录堡垒机后再由堡垒机转发访问。逐步把全部资源都纳入堡垒机的管理，但是保留了直接访问资源的途径用防火墙或者路由策略，杜绝非经过堡垒机的访问，就能实现更高的安全性。此时为了防止堡垒机形成单点故障，应该建议用户购买第二台形成双机热备。*具体到安全审计而言，SecFox为客户提供了一套完整的安全审计解决方案。首先，SecFox-LAS为用户提供了安全审计基础平台和日志审计功能，SecFox-LAS能够针对核心基础设施的日志进行统一的收集和审计，并通过基于浏览器的审计界面展示给客户（动画1）。后续，用户可以逐渐部署上网行为审计（动画2）、终端审计（动画3）、业务审计（动画4）。特别的，网神SecFox区别与其它审计产品的最大特点就是所有审计模块都是融合在一个审计平台之下（动画5），并且通过一个统一的web控制台展现出来（动画6），用户随着时间推移逐步上马的审计系统不会造成一个个审计孤岛，而是在SecFox审计平台之下不断扩展。可以看出来，SecFox-LAS是整个审计方案的核心和基础。而日志审计也是等级保护的基本要求。