随着企业信息化的发展,电子办公系统逐渐成熟,企业IT系统正在从软硬件建设发展至深化各方应用、提高工作效率、提高应对安全风险的防御水平上来。以企事业单位为例,随着各种重要应用的深入,有关企业私密的数据越来越多地被应用起来,也导致企业私密数据外泄的风险迅速加大。
在传统运维模式下,事前、事中、事后三个阶段均存在较大风险,在传统运维模式占据主流地位的情况下,各类企业、单位、机构的核心数据库都处于危险之中。就以当前的政府、银行、保险、通讯等企业来说,此类企业的资料库中储存着大量的公民私密信息,同时管理相对混乱,企业内部的安全运维能力也不足,这也成为威胁公民隐私安全的重要原因。这不仅仅是中国各大企业与机构所面临的问题,同时也是全世界范围内的严重安全问题。正因如此,内控堡垒主机(简称堡垒机)应运而生,并且已经成为企业运维安全中不可或缺的一部分。
迫切的用户需求,促进了内控堡垒主机技术高速的更新换与完善升级,缔造了堡垒机市场的蓬勃,也由此催生出国内一大批极具业界口碑的优秀主流堡垒机品牌产品,例如圣博润自主研发的LanSecS(堡垒主机)内控管理平台便是其中的佼佼者,代表了目前国内最高水平,并且在某些技术参数上已经达到国际领先标准。那么,下面以LanSecS(堡垒主机)为例,归纳出当前业界内控堡垒主机所具备的主流功能。
LanSecS(堡垒主机)内控管理平台是北京圣博润公司基于多年的内网管理产品推广和安全运维服务经验积累,总结IT运维过程中遇到的实际问题,并结合国内先进的4A管理理念而研发的一款统一入口、集中运维管理的硬件产品。
主流功能一:单点登录功能
LanSecS(堡垒主机)提供了基于B/S的单点登录系统,用户通过一次登录系统后,就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多账号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高生产效率。同时,由于系统自身是采用强认证的系统,从而提高了用户认证环节的安全性。单点登录可以实现与用户授权管理的无缝连接,这样可以通过对用户、角色、行为和资源的授权,增加对资源的保护,和对用户行为的监控及审计。
主流功能二:账号管理功能
集中账号管理包含对所有服务器、网络设备账号的集中管理。账号和资源的集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对账号整个生命周期的监控和管理,而且还降低了企业管理大量用户账号的难度和工作量。同时,通过统一的管理还能够发现账号中存在的安全隐患,并且制定统一的、标准的用户账号安全策略。通过建立集中账号管理,企业可以实现将账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足审计的需要。
主流功能三:身份认证功能
LanSecS(堡垒主机)为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。
集中身份认证提供静态密码、Windows NT域、Windows Kerberos、双因素、一次性口令和生物特征等多种认证方式,而且系统具有灵活的定制接口,可以方便的与其它第三方认证服务器之间结合。
主流功能四:资源授权功能
LanSecS(堡垒主机)系统提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。在集中访问授权里强调的"集中"是逻辑上的集中,而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能,管理员也由各自的归口管理部门委派,但是这些管理员在极地银河内控堡垒主机系统上,可以对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以限制用户的操作,以及在什么时间进行操作这样应用内部的细粒度授权。
主流功能五:访问控制功能
LanSecS(堡垒主机)系统能够提供细粒度的访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其系统行为,管理员会根据其自身的角色为其指定相应的控制策略来限定用户。访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。
主流功能六:操作审计功能
操作审计管理主要审计人员的账号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后,操作审计能更好地对账号的完整使用过程进行追踪。LanSecS(堡垒主机)系统通过系统自身的用户认证系统、用户授权系统,以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方产品。
在有以上强大功能支持的安全体系下,内控堡垒主机彻底实现了对企业系统用户管理、内网操作审计、网络设备管理、电子文件泄露、黑客等行为的防御功能,完美诠释了"堡垒"的定义,成为各企事业单位运维安全的坚实壁垒。