中国主机安全第一品牌 浪潮 ssc 运维安全管控系统...
TRANSCRIPT
www.inspur.com
浪潮运维安全管控系统(简称“浪潮SSC”)是浪潮面向行业数
据中心主机安全解决方案的重要组成部分,可广泛应用于政府、军工
军队、能源、交通、教育科研、金融、医疗卫生、电信运营商、大中
型企业等行业。它通过对数据中心内、外运维人员进行统一账号管
理、统一授权、身份认证、单点登录、访问控制和统一审计等安全管
理,提高数据中心内部的运维效率、规范流程,并有效解决内部安全
风险与管理难题,如弱口令、授权颗粒粗、合法用户的非授权操作和
误操作、非法用户的访问、账号繁多密码管理难、安全事故追查难、
运维事件统计难等。
浪潮SSC —浪潮运维安全管控系统
中国主机安全第一品牌
北京市海淀区上地信息路2号C座6层东区 邮编:100085电话:010-82581172
山东省济南市浪潮路1036号S05号楼北3层 邮编:250101电话:0531-88932888 85106000邮箱:[email protected]
网址:http: //www.inspur.com
文中有关产品图片及文字仅供参考,详细产品规格及价格,请向浪潮咨询。
同时浪潮公司保留随时对以上信息进行调整的权利。
印刷日期:2013年11月
浪潮 SSC 运维安全管控系统
典型部署 >> >
浪潮SSC产品采用单臂接入模式,部署在被管理设备的访问路径上,通过路由器或者交换机的访问控制策略限定只能由浪潮SSC直接访
问设备的远程维护端口。访问人员访问目标保护资源时,首先以WEB方式登录浪潮SSC,然后通过登录页面展现的目标访问资源列表,可单
点登录访问授权保护资源。
浪潮SSC数据中心应用部署图:
客户价值 >> >
从根本上降低数据中心的内部运维安全风险
◎ 所有访问用户访问目标保护资源必须通过浪潮SSC
◎ 浪潮SSC提供访问的全程管控,实现事前精准授权,事中严格访问控制,事后全面审计
◎ 丰富的审计报表让安全管理人员全面掌控数据中心的安全态势
数据中心的安全管理工作简单、高效
◎ 通过建立用户与账号的唯一对应,确保访问用户拥有的权限是完成任务所需的最小权限
◎ 直观方便的监控各种访问行为,能够及时发现违规操作、权限滥用
◎ 运维访问用户只需记忆一个账号和口令,一次登录,便可实现对其所维护的多台设备的访问,无须记忆多个账号和口令
满足数据中心的合规性需求
◎ 通过部署浪潮SSC,提升数据中心的信息安全防护能力,符合国家信息系统安全等级保护、分级保护和行业/企业内部控制、萨班斯
法案等法律和规章制度的要求。
浪潮 SSC 运维安全管控系统
市场定位 >> >
浪潮SSC产品可广泛应用于政府、军工军队、能源、交通、教育科研、金融、医疗卫生、电信运营商、大中型企业等行业数据中心。
产品定位 >> >
浪潮SSC是浪潮数据中心主机安全解决方案的重要组成部分。
今天的行业数据中心,存在不同品牌、不同类型、不同版本的服务器、操作系统、数据库、网络设备、安全设备、中间件、业务
应用系统等,运维庞大的数据中心需要众多的内、外系统开发人员、软硬件系统维护人员等,甚至数据库、核心主机与网络系统都
外包给第三方人员维护,这使得数据中心的安全管理工作千头万绪,存在多种安全风险,如:弱口令、非法授权、合法授权过期未
消、离职第三方运维人员能继续访问、合法用户的非法访问等。而当前的安全管理主要采用被动式防御,存在天然的缺陷:登录途
径多样,无法主动阻止内、外运维人员非法和越权行为,事件发生后难以准确定位具体操作人员等。
工作原理 >> >
浪潮SSC采取协议代理模式,所有对数据中心的服务
器、网络和安全设备、数据库、应用系统等的访问,必须通
过浪潮SSC这个唯一通道。因此,当所有的内、外人员访问
数据中心的目标资源时,首先登录浪潮SSC,然后浪潮SSC
通过协议代理的方式转发会话请求给目标资源,目标资源返
回会话结果后,浪潮SSC再转发给访问人员。浪潮SSC通过相
关的安全管控技术提升数据中心的运维安全:
◎ 账号管理技术确保身份唯一
◎ 认证管理技术确认“你是谁?”
◎ 授权管理技术解决“你能做什么?”
◎ 安全审计技术解决“你做了什么?”
四块基本功能相互协同,共同完成集中管控。如右上图:
功能特性 >> >
浪潮SSC具体功能结构图如右:
[统一账号]
统一账号的前提是对目标资源的统一管理。数据中心内
的所有服务器、数据库、网络设备、安全设备、中间件、业
务系统都是受浪潮SSC系统保护的目标资源:
◎ 主从账号的模式:数据中心内所有各种服务器、数据
库、网络设备、中间件、业务系统的账号作为从账号。浪潮
SSC的账号作为主账号。进入数据中心的每个运维人员对应
一个主账号,主账号用来做强身份认证,从账号用来单点登录并访问目标资源
◎ 账号管理支持用户名和用户组管理
◎ 可随时设置运维人员账号的密码策略,防止重试登录策略
◎ 支持自动获取数据中心的服务器账号,可手动也可自动、批量修改服务器账号密码
[统一授权]
在浪潮SSC平台上对访问用户和目标保护资源重新进行统一的、细颗粒授权,对目标保护资源自身的授权不足之处进行补充,实
现:
◎ 以协议代理方式全面支持SSH、TELNET、FTP、SFTP、RDP、VNC、XWINDOW、HTTP、HTTPS等协议类型的设备资源,并
对这些目标保护资源进行授权管理
◎ 采用RBAC授权技术,对目标保护资源的授权进行细粒度授权和灵活授权,该技术特别适用于人员众多、设备众多、授权关
系复杂的数据中心应用环境
◎ 支持二次授权管理、双人运维管理和紧急运维管理模式,使业务授权模式更多方位贴近实际授权场景
◎ 支持白名单、黑名单模式,对字符命令建立黑白名单,灵活授权
[集中认证]
访问用户只有通过浪潮SSC的身份认证,才能通过从账号访问目标保护资源。浪潮SSC采用多因素、强身份认证,有效弥补了现
有目标保护资源本身的单因素认证不足:
◎ 提供统一的安全管理入口,系统管理员和运维用户通过该入口登录系统,完成管理、运维工作
◎ 提供基于HTTPS的安全访问方式,通过浏览器登录系统,全面支持IE内核浏览器
◎ 支持静态口令认证、动态口令认证、USBKey证书认证、POP3认证、Radius认证、AD域认证、LDAP认证等
[单点登录]
访问用户使用主账号登录浪潮SSC后即可快速访问被授权的目标资源,不需要再次输入用户名和密码,可以大大提升运维的效
率。浪潮SSC单点登录能支持访问的资源如下:
◎ Unix/类Unix主机,包括Redhat、Solaris、HP Unix、SCO Unix、AIX、AS400等
◎ Windows 主机,包括Windows Server 2003、2008、2012、Windows XP、Win 7、Win 8等
◎ 主流数据库,包括MySQL、Oracle、MS SQL、DB2等
◎ 网络设备、安全设备、中间件,包括思科、华为、H3C系列路由器、交换机等
◎ B/S 结构的软件、C/S结构的软件。包括多种行业应用系统,并支持用户特有应用系统的定制
[访问控制]
浪潮SSC根据安全访问策略阻止非法的、越权的访问:
◎ 访问目标保护资源的会话只能来自浪潮SSC平台,其他来源的会话一律阻止
◎ 能根据访问目标保护资源的时间段进行控制,只允许在该时间段内访问目标保护资源
◎ 能根据访问用户所在的IP地址和IP网段进行控制,只允许该用户用该IP(网段)访问目标保护资源
◎ 能实时监控访问用户的字符、图形访问连接。监控过程中,如果发现高危、错误操作,可以及时阻断该连接
[统一审计]
全面的审计分析
◎ 浪潮SSC可捕获访问用户对服务器、网络和安全设备、数据库、操作系统等各种目标保护资源的操作行为,并进行关联审
计、统计分析、关键字分析等综合分析,统一审计访问用户在目标保护资源的操作行为,发掘访问风险
结果完整呈现
◎ 对于字符终端的访问,提供访问用户完整的访问操作回放和命令记录
◎ 对于图形终端的访问,提供用户完整的访问操作回放、键盘操作记录
◎ 能对数据库审计,能够记录用户执行的SQL语句,能够以录像形式还原操作过程
◎ 对FTP/SFTP方式的资源访问,能够记录用户上传/下载的文件名,能够录像还原操作过程
审计查询
◎ 审计查询模块支持运维账号、资源(组)、协议类型、时间段、命令关键字等细粒度的查询条件,帮助数据中心安全审计管
理员准确定位审计日志
审计报表
◎ 预设统计报表模板,并能自定义统计模块,包括全局统计模块、会话统计模块和管理统计模块
◎ 支持下载报表、将报表发送到安全审计管理员的邮箱,支持手动、自动生成PDF格式报表
技术优势 >> >
完善的密码管理策略
◎ 浪潮SSC提供了多种密码安全策略,如提高访问用户密码的复杂度、重试登录失败策略可以防止恶意用户暴力破解密码等
◎ 账号自动改密计划可以周期性地修改IT资源的账号密码
先进的命令识别技术,精确地识别用户命令
浪潮SSC采用先进的协议解码技术和逻辑命令自动识别技术,对字符终端的输入输出进行控制,自动、高效识别逻辑语义命令;
全面审计,全程监控
◎ 可审计非加密协议,如:TELNET、FTP、XWINDOW、HTTP,也可审计加密协议,比如SSH、RDP、SFTP、HTTPS等
◎ 可审计字符命令操作、图形应用(RDP、VNC、XWINDOW)等
◎ 事中和事后两种审计模式:事中审计能实时监控访问用户的访问操作,并及时阻断高危操作;事后审计提供访问用户完整的
访问操作回放和命令记录
强大的硬件性能
浪潮SSC采用浪潮自主研发的定制化服务器平台,其先进的多核多线程处理、冗余存储、数据恢复等特性,能满足数据中心运维
安全的高性能、高可靠性要求。
账号管理身份唯一
你是谁你能做什么
你做了什么
认证管理
授权管理
安全审计 集中管控
·支持多种身份认证机制·支持多因子身份鉴别·独有的POP3身份认证机制
·用户、设备账号集中管理·高级密码安全策略·一对多账号管理
·数据库审计·命令审计·图形审计·操作回放·FTP、SFTP文件审计
·基于组策略的IT资产授权·基于命令、时间、地址授权·支持双人共管、二次授权