內控堡壘主機:企業運維安全的堅實壁壘
隨著企業信息化的發展,電子辦公系統逐漸成熟,企業IT系統正在從軟硬件建設發展至深化各方應用、提高工作效率、提高應對安全風險的防御水平上來。以企事業單位為例,隨著各種重要應用的深入,有關企業私密的數據越來越多地被應用起來,也導致企業私密數據外泄的風險迅速加大。
在傳統運維模式下,事前、事中、事后三個階段均存在較大風險,在傳統運維模式占據主流地位的情況下,各類企業、單位、機構的核心數據庫都處于危險之中。就以當前的政府、銀行、保險、通訊等企業來說,此類企業的資料庫中儲存著大量的公民私密信息,同時管理相對混亂,企業內部的安全運維能力也不足,這也成為威脅公民隱私安全的重要原因。這不僅僅是中國各大企業與機構所面臨的問題,同時也是全世界范圍內的嚴重安全問題。正因如此,內控堡壘主機(簡稱堡壘機)應運而生,并且已經成為企業運維安全中不可或缺的一部分。
迫切的用戶需求,促進了內控堡壘主機技術高速的更新換與完善升級,締造了堡壘機市場的蓬勃,也由此催生出國內一大批***業界口碑的優秀主流堡壘機品牌產品,例如圣博潤自主研發的LanSecS(堡壘主機)內控管理平臺便是其中的佼佼者,代表了目前國內***水平,并且在某些技術參數上已經達到國際領先標準。那么,下面以LanSecS(堡壘主機)為例,歸納出當前業界內控堡壘主機所具備的主流功能。
LanSecS(堡壘主機)內控管理平臺是北京圣博潤公司基于多年的內網管理產品推廣和安全運維服務經驗積累,總結IT運維過程中遇到的實際問題,并結合國內先進的4A管理理念而研發的一款統一入口、集中運維管理的硬件產品。
主流功能一:單點登錄功能
LanSecS(堡壘主機)提供了基于B/S的單點登錄系統,用戶通過一次登錄系統后,就可以無需認證的訪問包括被授權的多種基于B/S和C/S的應用系統。單點登錄為具有多賬號的用戶提供了方便快捷的訪問途經,使用戶無需記憶多種登錄用戶ID和口令。它通過向用戶和客戶提供對其個性化資源的快捷訪問提高生產效率。同時,由于系統自身是采用強認證的系統,從而提高了用戶認證環節的安全性。單點登錄可以實現與用戶授權管理的無縫連接,這樣可以通過對用戶、角色、行為和資源的授權,增加對資源的保護,和對用戶行為的監控及審計。
主流功能二:賬號管理功能
集中賬號管理包含對所有服務器、網絡設備賬號的集中管理。賬號和資源的集中管理是集中授權、認證和審計的基礎。集中賬號管理可以完成對賬號整個生命周期的監控和管理,而且還降低了企業管理大量用戶賬號的難度和工作量。同時,通過統一的管理還能夠發現賬號中存在的安全隱患,并且制定統一的、標準的用戶賬號安全策略。通過建立集中賬號管理,企業可以實現將賬號與具體的自然人相關聯。通過這種關聯,可以實現多級的用戶管理和細粒度的用戶授權。而且,還可以實現針對自然人的行為審計,以滿足審計的需要。
主流功能三:身份認證功能
LanSecS(堡壘主機)為用戶提供統一的認證接口。采用統一的認證接口不但便于對用戶認證的管理,而且能夠采用更加安全的認證模式,提高認證的安全性和可靠性。
集中身份認證提供靜態密碼、Windows NT域、Windows Kerberos、雙因素、一次性口令和生物特征等多種認證方式,而且系統具有靈活的定制接口,可以方便的與其它第三方認證服務器之間結合。
主流功能四:資源授權功能
LanSecS(堡壘主機)系統提供統一的界面,對用戶、角色及行為和資源進行授權,以達到對權限的細粒度控制,***限度保護用戶資源的安全。通過集中訪問授權和訪問控制可以對用戶通過B/S、C/S對服務器主機、網絡設備的訪問進行審計和阻斷。在集中訪問授權里強調的"集中"是邏輯上的集中,而不是物理上的集中。即在各網絡設備、服務器主機系統中可能擁有各自的權限管理功能,管理員也由各自的歸口管理部門委派,但是這些管理員在極地銀河內控堡壘主機系統上,可以對各自的管理對象進行授權,而不需要進入每一個被管理對象才能授權。授權的對象包括用戶、用戶角色、資源和用戶行為。系統不但能夠授權用戶可以通過什么角色訪問資源這樣基于應用邊界的粗粒度授權,對某些應用還可以限制用戶的操作,以及在什么時間進行操作這樣應用內部的細粒度授權。
主流功能五:訪問控制功能
LanSecS(堡壘主機)系統能夠提供細粒度的訪問控制,***限度保護用戶資源的安全。細粒度的命令策略是命令的集合,可以是一組可執行命令,也可以是一組非可執行的命令,該命令集合用來分配給具體的用戶,來限制其系統行為,管理員會根據其自身的角色為其指定相應的控制策略來限定用戶。訪問控制策略是保護系統安全性的重要環節,制定良好的訪問策略能夠更好的提高系統的安全性。
主流功能六:操作審計功能
操作審計管理主要審計人員的賬號使用(登錄、資源訪問)情況、資源使用情況等。在各服務器主機、網絡設備的訪問日志記錄都采用統一的賬號、資源進行標識后,操作審計能更好地對賬號的完整使用過程進行追蹤。LanSecS(堡壘主機)系統通過系統自身的用戶認證系統、用戶授權系統,以及訪問控制等詳細記錄整個會話過程中用戶的全部行為日志。還可以將產生的日志傳送給第三方產品。
在有以上強大功能支持的安全體系下,內控堡壘主機徹底實現了對企業系統用戶管理、內網操作審計、網絡設備管理、電子文件泄露、黑客等行為的防御功能,***詮釋了"堡壘"的定義,成為各企事業單位運維安全的堅實壁壘。
