一、简介
天融信运维安全审计系统(以下简称“堡垒机”)是面向政府、企事业单位等组织机构推出的兼具运维管理和合规审计的解决方案。
在合规审计方面,堡垒机通过集中化账号管理、高强度认证加固、细粒度授权控制和多形式审计记录,使内部人员、第三方人员的操作处于可管、可控、可见、可审的状态下,规范运维的操作步骤,避免误操作和非授权操作带来的隐患,有效保障组织机构的服务器、虚拟机、网络设备、安全设备、数据库、业务系统等资产的安全运行和数据的安全使用。
在运维管理方面,堡垒机以单点登录为核心,运维代理技术为支撑,通过高可用的部署方式,对用户提供跨平台资产管理、自动化运维和运维分析报表等运维管理工具。
1、分布式架构
天融信堡垒机采用分布式的存储系统、协议代理引擎和运维管理子系统,具备良好的动态扩展性能。在组建双机系统时,老系统不需要中断业务,可新系统可以动态加入现有业务环境,通过负载均衡、业务同步、心跳检测等技术实现原有单系统的性能提升,同时避免了存储和业务单点故障,兼顾性能和高可用性两个系统指标。
5、HTML5
天融信堡垒机单点登录采用HTML5运维代理,无需安装Agent和插件,即可实现跨平台、多协议(SSH、RDP、FTP、SFTP、Telnet、VNC、DB等)的运维代理和安全审计功能。
3、数据加密
天融信堡垒机对配置数据和用户数据都进行了加密处理,避免了信息泄露的风险。在管理页面的前台、后台通信中,除了通信链路本身的加密,还对用户密码等关键信息进行了二次加密,防止恶意用户监听、截获和篡改数据,充分保障用户在操作全过程中的安全性。
4、自动化运维
天融信堡垒机集成了主流组态设定(Infrastructure as Code)工具,不需要使用客户端(Agentless),可通过简单的方式用于发布、管理和编排计算机系统。
5、图像识别技术
天融信堡垒机采用了图像识别技术(OCR),通过加载训练过的运维图片集合,可以识别图形操作中的程序标题、快捷方式标题、窗口内容中的文本信息。与以往只能识别Windows窗口标题的技术不同,图像识别的方式具有更广泛的通用性,将识别出来的操作记录以文字指令方式存储,通过指令审计可以直接定位到相应的审计视频,极大提高了审计效率。
二、客户价值
1、实现集中帐号管理,降低管理费用
天融信堡垒机可实现对用户帐号的统一管理和维护,解决了用户账号共享的问题和账号暴力破解的问题。
2、实现集中身份认证和访问控制,避免冒名访问,提高访问安全性
天融信堡垒机可提供集中身份认证服务,并提供多因素认证,有效提高了运维人员访问系统和资源的安全性,同时提供访问控制功能,有效解决人员的操作风险问题,降低相关IT系统的安全风险。
3、实现集中授权管理,简化授权流程,减轻管理压力
天融信堡垒机可实现统一的授权管理,对所有被管系统的授权信息进行标准化的管理,减轻管理员的管理工作,提升系统安全性。
4、实现单点登录,规范操作过程,简化操作流程
天融信堡垒机提供了基于B/S的单点登录系统,用户通过一次登录,就可以无需认证的访问包括被授权的多种基于B/S和C/S的资源。同时,单点登录可以实现与用户授权管理的无缝连接,这样可以通过对用户、角色、行为和资源的授权,增加对资源的保护,和对用户行为的监控及审计,有效提高了运维人员的操作规范性和运维效率。
5、实现实名运维审计,满足安全规范要求
日志审计功能可以收集用户访问资源的操作记录,并对日志记录定期审查,满足相关法律法规要求,真正实现关联到自然人的日志审计。
三、应用场景
天融信运维安全审计系统应用场景
天融信运维安全审计系统TopSAG部署在被管服务器区的访问路径上,通过防火墙或者交换机的访问控制策略限定只能由天融信运维安全审计系统TopSAG直接访问服务器的远程维护端口。
运维人员维护被管服务器或者网络设备时,首先以WEB方式登录天融信运维安全审计系统TopSAG,然后通过天融信运维安全审计系统TopSAG上展现的访问资源列表直接访问授权资源。