趋势内控堡垒主机技术白皮书_final_v01

趋势内控堡垒主机 技术白皮书 趋势内控堡垒主机技术白皮书 - 2 - 目 录 趋势内控堡垒主机............................................................................................................ 1 技术白皮书.......................................................................................................................1 1 背景...................................................................................................................... - 4 - 1.1 概述........................................................................................................ - 4 - 1.2 现状分析................................................................................................. - 5 - 1.2.1 使用共享账号的安全隐患................................................................. - 5 - 1.2.2 密码策略无法有效执行..................................................................... - 5 - 1.2.3 授权不清晰...................................................................................... - 5 - 1.2.4 访问控制策略不严格........................................................................ - 6 - 1.2.5 用户操作无法有效审计..................................................................... - 6 - 2 产品功能............................................................................................................... - 7 - 2.1 综述........................................................................................................ - 7 - 2.2 单点登录................................................................................................. - 7 - 2.3 账号管理................................................................................................. - 8 - 2.4 身份认证................................................................................................. - 8 - 2.5 资源授权................................................................................................. - 8 - 2.6 访问控制................................................................................................. - 9 - 2.7 操作审计................................................................................................. - 9 - 3 主要应用............................................................................................................. - 10 - 3.1 内部网络行为管理................................................................................. - 10 - 3.2 对网络设备的管理................................................................................. - 10 - 3.3 对黑客行为的防范................................................................................. - 11 - 4 关键技术............................................................................................................. - 11 - 4.1 逻辑命令自动识别技术.......................................................................... - 11 - 4.2 分布式处理技术..................................................................................... - 12 - 4.3 正则表达式匹配技术.............................................................................. - 12 - 4.4 图形协议代理........................................................................................ - 12 - 4.5 多进程/线程与同步技术......................................................................... - 12 - 4.6 数据加密功能........................................................................................ - 12 - 4.7 审计查询检索功能................................................................................. - 13 - 4.8 操作还原技术........................................................................................ - 13 - 5 产品优势............................................................................................................. - 13 - 5.1 良好的扩展性........................................................................................ - 13 - 5.2 强大的审计功能..................................................................................... - 14 - 5.3 部署和使用简单..................................................................................... - 14 - 5.4 高成熟性和安全性................................................................................. - 14 - 6 产品部署............................................................................................................. - 14 - 趋势内控堡垒主机技术白皮书 - 3 - 6.1 逻辑部署示意图..................................................................................... - 14 - 6.2 物理部署示意图..................................................................................... - 15 - 6.3 部署说明............................................................................................... - 16 - 7 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf .................................................................................................................... - 16 - 趋势内控堡垒主机技术白皮书 - 4 - 1 背景 1.1 概述 随着信息技术的不断发展和信息化建设的不断进步，业务应用、办公系统、 商务平台的不断推出和投入运行，信息系统在企业的运营中全面渗透。电信行 业、财政、税务、公安、金融、电力、石油、大中企业和门户网站，更是使用 数量较多的服务器主机来运行关键业务，提供电子商务、数据库应用、运维管 理、ERP和协同工作群件等服务。由于服务器众多，系统管理员压力太大等因 素，人为误操作的可能性时有发生，这会对部门或者企业声誉造成重大影响， 并严重影响其经济运行效能。黑客/恶意访问也有可能获取系统权限，闯入部门 或企业内部网络，造成不可估量的损失。如何提高系统运维管理水平，满足相 关 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维 成本，提供控制和审计依据，越来越成为企业关心的问题。 2002年由美国总统布什签发的萨班斯法案(Sarbanes-Oxley Act)开始生效。其 中要求企业的经营活动，企业管理、项目和投资等，都要有控制和审计手段。因 此，管理人员需要有效的技术手段和专业的技术工具和安全产品按照行业的标准 来做的细粒度的管理，真正做到对于内部网络严格控制。可以控制用户的行为， 限制用户的行为，追踪用户的行为，判定用户的行为是否构成企业内部网络的安 全性带来威胁。 趋势内控堡垒主机应用了目前先进的技术作为支持，针对企业内部网络设备 和服务器进行保护，对此类资产的常用访问方式进行监控和审计，例如对字符终 端、图形终端等访问方式进行监控和审计，实现对用户行为进行控制、追踪、判 定，满足企业内部网络对安全性的要求。 总之，企业内部网络设备和服务器需要更安全的环境，以保障企业的正常运 作，趋势内控堡垒主机能够为企业内部网络保驾护航。 趋势内控堡垒主机技术白皮书 - 5 - 1.2 现状分析 目前，企业和组织的运维管理有以下三个特点： � 关键的核心业务都部署于 Unix 和Windows 服务器上。 � 应用的复杂度决定了多种角色交叉管理。 � 运维人员更多的依赖 Telnet、SSH、FTP、RDP 等进行远程管理。 基于这些现状，在管理中存在以下突出问题： 1.2.1 使用共享账号的安全隐患 企业的支撑系统中有大量的网络设备、主机系统和应用系统，分别属于不同 的部门和不同的业务系统。各应用系统都有一套独立的账号体系，用户为了方便 登陆，经常出现多人共用账号的情况。 多人同时使用一个系统账号在带来管理方便性的同时，导致用户身份唯一性 无法确定。如果其中任何一个人离职或者将账号告诉其他无关人员，会让这个账 号的安全无法保证。 由于共享账号是多人共同使用，发生问题后，无法准确定位恶意操作或误操 作的具体责任人。更改密码需要通知到每一个需要使用此账号的人员，带来了密 码管理的复杂化。 1.2.2 密码策略无法有效执行 为了保证密码的安全性，安全管理员制定了严格的密码策略，比如密码要定 期修改，密码要保证足够的长度和复杂度等，但是由于管理的机器数量和账号数 量太多，往往导致密码策略的实施流于形式。 1.2.3 授权不清晰 各系统分别管理所属的系统资源，为本系统的用户分配权限，无法严格按照 最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重， 当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加。安全性无法得 到充分保证。 趋势内控堡垒主机技术白皮书 - 6 - 1.2.4 访问控制策略不严格 目前的管理中，没有一个清晰的访问控制列表，无法一目了然的看到什么用 户能够以何种身份访问哪些关键设备，同时缺少有效的技术手段来保证访问控制 策略有效地执行。 1.2.5 用户操作无法有效审计 各系统独立运行、维护和管理，所以各系统的审计也是相互独立的。每个网 络设备，每个主机系统分别进行审计，安全事故发生后需要排查各系统的日志， 但是往往日志找到了，也不能最终定位到行为人。 另外各系统的日志记录能力各不相同，例如对于 Unix 系统来说，日志记录 就存在以下问题： � Unix 系统中，用户在服务器上的操作有一个历史命令记录的文件，但是 用户可以随意更改和删除自己的记录 � root 用户不仅仅可以修改自己的历史记录，还可以修改他人的历史记 录，系统本身的的历史命令文件已经变的不可信任 � 记录的命令数量有限制 � 无法记录操作人员、操作时间、操作结果等 趋势内控堡垒主机技术白皮书 - 7 - 2 产品功能 2.1 综述 趋势内控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强安全防 范能力。趋势内控堡垒主机扮演着看保安的工作，所有对网络设备和服务器的请 求都要从这扇大门经过。因此趋势内控堡垒主机能够拦截非法访问，和恶意攻击， 对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。 趋势内控堡垒主机具备强大的输入输出审计功能，不仅能够详细记录用户操 作的每一条指令，而且能够将所有的输出信息全部记录下来，并且趋势内控堡垒 主机具备审计回放的功能，能够模拟用户在线操作过程，大大丰富了内控审计的 功能。趋势内控堡垒主机能够在自身记录审计信息的同时在外部某台计算机上做 存储备份，可以极大增强审计信息的安全性，保证审计人员有据可查。 趋势内控堡垒主机还具备图形终端操作的审计功能，能够对多平台的多种图 形终端操作做审计，例如Windows 平台的终端服务的图形终端操作，Linux/Unix 平台的 X-Window 方式图形终端操作。 为了给系统管理员查看审计信息提供方便性，趋势内控堡垒主机提供了审计 查看检索功能。系统管理员可以通过多种查询条件进行查看审计信息。总之，趋 势内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性，使得 企业内部网络管理合理化，专业化，信息化。 2.2 单点登录 趋势内控堡垒主机提供了基于 B/S 的单点登录系统，用户通过一次登录系统 后，就可以无需认证的访问包括被授权的多种基于 B/S 和 C/S 的应用系统。单点 登录为具有多账号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录 用户 ID 和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高生产 效率。同时，由于系统自身是采用增强认证的系统，从而提高了用户认证环节的 安全性。 单点登录可以实现与用户授权管理的无缝连接，这样可以通过对用户、角色、 趋势内控堡垒主机技术白皮书 - 8 - 行为和资源的授权，增加对资源的保护，和对用户行为的监控及审计。 2.3 账号管理 集中账号管理包含对所有服务器、网络设备帐户的集中管理。账号和资源的 集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对账号整个生 命周期的监控和管理，而且还降低了企业管理大量用户账号的难度和工作量。同 时，通过统一的管理还能够发现账号中存在的安全隐患，并且制定统一的、标准 的、符合安全账号管理要求的账号安全策略。 通过建立集中账号管理，企业可以实现将账号与具体的自然人相关联。通过 这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针 对自然人的行为审计，以满足审计的需要。 2.4 身份认证 趋势内控堡垒主机为用户提供统一的认证接口。采用统一的认证接口不但便 于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和 可靠性。 集中身份认证提供静态密码、Windows NT域、Windows Kerberos、双因素、 一次性口令和生物特征等多种认证方式，而且系统具有灵活的定制接口，可以方 便的与其它第三方认证服务器之间结合。 2.5 资源授权 趋势内控堡垒主机系统提供统一的界面，对用户、角色及行为和资源进行授 权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问 授权和访问控制可以对用户通过 B/S、C/S对服务器主机、网络设备的访问进行 审计和阻断。 在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。 即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能，管理员也由 各自的归口管理部门委派，但是这些管理员在趋势内控堡垒主机系统上，可以对 各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对 象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么 趋势内控堡垒主机技术白皮书 - 9 - 角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操 作，以及在什么时间进行操作这样应用内部的细粒度授权。 2.6 访问控制 趋势内控堡垒主机系统能够提供细粒度的访问控制，最大限度保护用户资源 的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一 组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管 理员会根据其自身的角色为其指定相应的控制策略来限定用户。 访问控制策略是保护系统安全性的重要环节，制定良好的访问策略能够更好 的提高系统的安全性。 2.7 操作审计 操作审计管理主要审计人员的账号使用（登录、资源访问）情况、资源使用 情况等。在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进 行标识后，操作审计能更好地对账号的完整使用过程进行追踪。 支持对如下协议进行审计：Telnet、FTP、SSH、RDP（Windows Terminal）、 X-Windows、VNC等。 趋势内控堡垒主机系统通过系统自身的用户认证系统、用户授权系统，以及 访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志 传送给第三方产品。 对于生成的日志支持丰富的查询和操作。 � 支持按服务器方式进行查询 通过对特定服务器地址进行查询，可以发现该服务器上发生的命令和行为。 � 支持按用户名方式进行查询 通过对用户名进行查询，可以发现该用户的所有行为。 � 支持按登陆地址方式进行查询 通过对特定 IP地址进行查询，可以发现该地址对应主机及其用户在服务器 上进行的所有操作。 � 支持按照登陆时间进行查询 通过对登录时间进行查询，可以发现特定时间内登录服务器的用户及其进行 趋势内控堡垒主机技术白皮书 - 10 - 过的所有操作。 � 支持对命令发生时间进行查询 可以通过对命令发生的时间进行查询，可以查询到特定时间段服务器上发生 过的所有行为。 � 支持对命令名称进行查询 通过查询特定命令如 ls，可以查询到使用过该命令的所有用户及其使用的时 间，生成的结果等。 � 支持上述六个查询条件的任意组合查询 如，可以查询“谁（用户名）”“什么时间登录（登录时间）”服务器并在“什 么时间（命令发生时间）”在“服务器（目标服务器）”上执行过“什么操作（命 令）”。 � 支持对日志的备份操作处理 � 支持对日志的删除处理 3 主要应用 3.1 内部网络行为管理 严重的攻击来自系统内部（80%来自内部攻击），趋势内控堡垒主机主要应 用于内部用户行为管理，对各种途径的网络设备及服务器的访问方式进行监控， 支持 Telnet、FTP、SSH、RDP，X-Windows 等，保证内部用户的操作和行为可 控、可视、可管理、可跟踪、可审计，防止内部人员对机密材料的非法获取和使 用，保护企事业单位的核心机密。 3.2 对网络设备的管理 网络边界安全设备是企事业网络安全防护系统的重要组成部分，网络边界安 全设备的安全策略，对企事业内部网络安全，起着非常重要的作用。目前关键网 络边界安全设备，主要来自于国外巨头和国内领先公司，这些公司一般都提供先 进的 CLI 功能，管理员可以通过 SSH和串口，对网络边界安全设备（如交换机、 趋势内控堡垒主机技术白皮书 - 11 - 防护墙、VPN 等）进行安全策略配置。但是，目前没有可靠办法保证系统管理 员安全策略配置行为的有效性，合法性以及一致性，一般都通过行政手段，让系 统管理员记录安全策略配置过程，这有严重的安全隐患。趋势内控堡垒主机提供 网关部署方式，可以记录系统管理员对网络边界安全设备的配置过程，保证安全 策略的一致性，其生成的日志系统，可以比较方便的集成到企事业现有安全策略 管理架构中。 3.3 对黑客行为的防范 黑客常常通过手段（如：社会工程、恶意程序、系统设置漏洞、缓冲区溢出 程序等）获取用户权限，然后使用该权限登陆系统。趋势内控堡垒主机可以记录 该黑客的操作过程，对于事后查证和数据恢复，有非常好的适用价值。趋势内控 堡垒主机还可以通过地址绑定功能对黑客行为进行限制，即使黑客取得系统权 限，也不能对系统做任何操作。 4 关键技术 趋势内控堡垒主机采用系列先进技术，成功实现命令及图形的捕获与控制， 为服务器安全运行，提供强有力的武器。 4.1 逻辑命令自动识别技术 趋势内控堡垒主机自动识别当前操作终端，对当前终端的输入输出进行控 制，组合输入输出流，自动识别逻辑语义命令。系统会根据输入输出上下文，确 定逻辑命令编辑过程，进而自动捕获出用户使用的逻辑命令。该项技术解决了逻 辑命令自动捕获功能，在传统键盘捕获与控制领域取得新的突破，可以更加准确 的控制用户意图。 该技术能自动识别命令状态和编辑状态以及私有工作状态，准确捕获逻辑命 令。 4.2 分布式处理技术 趋势内控堡垒主机采用分布式处理架构进行处理，启用命令捕获引擎机制， 趋势内控堡垒主机技术白皮书 - 12 - 通过策略服务器完成策略审计，通过日志服务器存储操作审计日志，并通过实时 监视中心，实时察看用户在服务器上行为。 这种分体式设计有利于策略的正确执行和操作记录日志的安全。同时，各组 件之间采用安全连接进行通信，防止策略和日志被篡改。各组件可以独立工作， 可以分布于不同的服务器上，亦可所有组件安装于一台服务器。 4.3 正则表达式匹配技术 趋势内控堡垒主机采用正则表达式匹配技术，将正则表达式组合入树型可遗 传策略结构，实现控制命令的自动匹配与控制。树型可遗传策略适合现代企业事 业架构，对于服务器的分层分级管理与控制，相当有用。 4.4 图形协议代理 为了对图形终端操作行为进行审计和监控，趋势内控堡垒主机对图形终端使 用的协议进行代理，实现多平台的多种图形终端操作的审计，例如 Windows 平 台的 RDP 终端方式图形终端操作，Linux/Unix 平台的 X-Window 方式图形终端 操作。 4.5 多进程/线程与同步技术 趋势内控堡垒主机主体采用多进程/线程技术实现，利用独特的通信和数据同 步技术，准确控制程序行为。多进程/线程方式逻辑处理准确，事务处理不会发 生干扰，这有利于保证系统的稳定性、健壮性。 4.6 数据加密功能 趋势内控堡垒主机在处理用户数据时都采用相应的数据加密技术来保护用 户通信的安全性和数据的完整性。防止恶意用户截获和篡改数据。充分保护用户 在操作过程中不被恶意破坏。 4.7 审计查询检索功能 自从<<萨班斯法案>>的推出，企业内控得到了严格的审查，企业的内部审计 趋势内控堡垒主机技术白皮书 - 13 - 显得非常重要。 趋势内控堡垒主机能够为企业内部网络提供完全的审计信息，这些审计信息 能够为企业追踪用户行为，判定用户行为等，能够还原出用户的一些操作性为。 传统审计关联到 IP，这本身是一个不确定的和不负责任的审计结果，因为 IP 信息不能够真实反应出真实的操作者是谁，从而企业内部网络出现问题不能追踪 用户。趋势内控堡垒主机能够对这些用户关联审计行为，就是说真正能够把每一 次审计出的用户操作性为绑定到自然人身上，便于企业内部网络管理追踪到个 人。 4.8 操作还原技术 操作还原技术是指将用户在系统中的操作行为以真实的环境模拟显现出来， 审计管理员可以根据操作还原技术还原出真实的操作，以判定问题出在哪里。 趋势内控堡垒主机采用操作还原技术能够将用户的操作 流程 快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计 自动地展现出 来，能够监控用户的每一次行为，判定用户的行为是否对企业内部网络安全性造 成危害。 5 产品优势 5.1 良好的扩展性 趋势内控堡垒主机产品从 4A 解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 中抽象出来，提供最便捷的 4A 项目 集成方案。在程序结构上充分考虑到 4A 项目和非 4A 项目的使用场景，以先进 的体系结构，清晰合理的模块划分实现多种用户场景的适用性。在 4A 项目中， 趋势内控堡垒主机放弃账号、认证、授权的集中管理，只提供执行单元，完成访 问控制和操作审计功能；在非 4A 项目中趋势将 4A 的一些理念融合到内控堡垒 主机产品中，除提供基础的访问控制和操作审计功能外，还提供精简的账号、认 证、授权集中管理功能。 5.2 强大的审计功能 � 精确记录用户操作时间。 趋势内控堡垒主机技术白皮书 - 14 - � 审计结果支持多种展现方式，让操作得以完整还原。 � 审计结果可以录像回放，支持调节播放速度，并且回放过程中支持前后 拖拽，方便快速定位问题。 � 方便的审计查询功能，能够一次查询多条指令。 5.3 部署和使用简单 � 不需要在被管设备上安装代理程序。 � 不需要改变网络的物理拓扑结构。 � 不影响被管设备运行。 � 管理员和操作员都使用WEB 方式操作，操作简单。 5.4 高成熟性和安全性 趋势内控堡垒主机系统的开发研制中，我们尽量采用了成熟的先进技术，对 系统的关键技术在前期的工作中进行了大量实验和攻关及原型建立，在已开发并 经广泛测试的产品中，上述的关键技术问题已解决。而且，趋势内控堡垒主机系 统所选取的硬件平台和软件平台，是具有良好的技术支持和发展前途的成熟产 品。 系统运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安 全手段，建立健全的系统安全机制，保证了用户的合法性和数据不被非法盗取， 从而保证产品的安全性。 6 产品部署 6.1 逻辑部署示意图 趋势内控堡垒主机部署逻辑图： 趋势内控堡垒主机技术白皮书 - 15 - 6.2 物理部署示意图 趋势内控堡垒主机部署物理图： 趋势内控堡垒主机技术白皮书 - 16 - 6.3 部署说明 如图，趋势内控堡垒主机部署在被管服务器区的访问路径上，通过防火墙或 者交换机的访问控制策略限定只能由内控堡垒主机直接访问服务器的远程维护 端口。 维护人员维护被管服务器或者网络设备时，首先以WEB 方式登录堡垒主机， 然后通过堡垒主机上展现的访问资源列表直接访问授权资源。 7 总结 企业内部网络安全性存在诸多的问题，每种问题都不可小视，对于这些问题， 企业内部应该规范管理，应该使用更为先进的 IT 技术手段，技术工具来帮助管 理员进行规范化管理，这样才能够保证企业内部网络的安全性。趋势内控堡垒主 机能够帮助企业内部网络合理化，安全化，专业化， 规范化，充分保障企业的 资源。 背景 概述 现状分析 使用共享账号的安全隐患 密码策略无法有效执行 授权不清晰 访问控制策略不严格 用户操作无法有效审计 产品功能 综述 单点登录 账号管理 身份认证 资源授权 访问控制 操作审计 主要应用 内部网络行为管理 对网络设备的管理 对黑客行为的防范 关键技术 逻辑命令自动识别技术 分布式处理技术 正则表达式匹配技术 图形协议代理 多进程/线程与同步技术 数据加密功能 审计查询检索功能 操作还原技术 产品优势 良好的扩展性 强大的审计功能 部署和使用简单 高成熟性和安全性 产品部署 逻辑部署示意图 物理部署示意图 部署说明 总结