English日本語
 

需求分析


随着企业信息化进程不断深入,企业的IT系统变得日益复杂,不同背景的运维人员违规操作导致的安全问题变得日益突出起来,主要表现在:内部人员操作的安全隐患、第三方维护人员安全隐患、高权限账号滥用风险、系统共享账号安全隐患、违规行为无法控制的风险。


运维操作过程是导致安全事件频发的主要环节,所以对运维操作过程的安全管控就显得极为重要。而防火墙、防病毒、入侵检测系统等常规的炫酷财神软件网址可以解决一部分安全问题,但对于运维人员的违规操作却无能为力。如何转换运维安全管控模式,降低人为安全风险,满足企业要求,是当下所面临的迫切需求。

 

产品简介

产品简介


天玥运维安全网关,俗称堡垒机,能够对运维人员维护过程进行全面跟踪、控制、记录、回放;支持细粒度配置运维人员的访问权限,实时阻断违规、越权的访问行为,同时提供维护人员操作的全过程的记录与报告;系统支持对加密与图形协议进行审计,消除了传统行为审计系统中的审计盲点,是IT系统内部控制最有力的支撑平台。运维过程三个阶段进行严格管控:

事前预防:建立“自然人-资源-资源账号”关系,实现统一认证和授权

事中控制:建立“自然人-操作-资源”关系,实现操作审计和控制

事后审计:建立“自然人-资源-审计日志”关系,实现事后溯源和责任界定



 

功能特点

  • 部署方式灵活性:

    天玥运维安全网关支持单机、双机、分布式部署多种部署方式,并支持NAT和网口聚合方式,适应多变业务场景。

  • 操作使用便捷性:

    天玥运维安全网关提供多种运维方式、C/S运维客户端、资源批量登录、命令批量执行、设备自动改密等多种功能以保证运维过程的自动和快捷性。

  • 管控方式严格性:

    天玥运维安全网关提供命令限制与复核、应用发布防跳转、运维账号IP、MAC限制等。严格的管控方式以保证运维过程的规范性。

  • 审计效果精细化:

    数据库协议深度解析、数据库返回行数记录、Oracle数据库变量绑定解析。

  • 认证方式多样性:

    天玥运维安全网关包括多样认证方式,支持对不同用户设置不同认证方式组合的双因素认证,更具灵活性。

  • 运维协议全面性:

    天玥运维安全网关支持多种运维访问协议,能够充分满足日常运维需要。

 

技术优势

  • 堡垒机分身

    虚化出多台堡垒机,适用于分权分域的用户管理场景。

  • 虚拟化部署

    支持VMware、VirtualBox、KVM和Xen(HVM)虚拟化环境部署。

  • 运维操作防跳转

    防止通过应用发布服务器进行跳转登录未授权资源。web页面防跳转功能,进行http/https访问过程时运维人员仅允许访问授权地址。

  • 双重审计

    实现数据库协议、字符协议、文件传输协议命令和录像的双重审计。实现命令审计和录像审计的关联检索和回放。

  • 命令限制与复核

    对于高危命令实现实时告警或阻断。对于特别重要的命令实现多人审核。

  • 数据库深度解析

    数据库协议级审计。数据库返回行数记录。Oracle数据库变量绑定解析。

  • 敏感数据管控

    运维人员拥有高权限系统账号,会接触到重要敏感数据。对运维人员上传、下载、流转重要敏感数据进行控制和记录。

 

典型应用


单双机部署:
天玥运维安全网关旁路方式部署于网络中,无需对网络结构进行任何调整。
运维人员直接访问天玥运维安全网关的对应端口,建立安全加密的数据通道,然后发起到服务器对应服务的访问,无需直接访问服务器,从而进一步加强内部服务器的安全性。
支持HA双机热备部署,以避免单点故障隐患,最大程度满足运维的可靠性和连续性。

 


分布式部署:

支持添加多台堡垒机作为协议代理服务器,分担主堡垒机性能压力,扩展运维能力。
多协议代理服务器节点可访问相同资源时实现自动负载均衡。
主堡垒机集中管理配置和日志信息。


大规模应用

某省电信网管中心部署堡垒机集群32台,接入资源7000多个,发布运维工具60多个、编辑工具6个、专用工具9个。

运维用户同时在线5520人,并发7800多个会话的压力下,用户体验依然良好。


云合作模式

与某电子政务云服务商合作,由云服务商以增值服务的方式向他们的租户推广我们的云堡垒机。
我们为云服务商提供云堡垒机软件和授权,并且按照授权中云资产管理数量每年向云服务商收取相应的授权费用。


3.jpg


参数列表:


指标项

OSM-6000系列

设备形态

1U机架式软硬一体设备,内置液晶面板;专用硬件平台和安全操作系统

性能规格

冗余双电源

提供6个千兆电口、4个SFP插槽,1个RJ45 Console口、2个USB接口

2个接口扩展槽位

最大字符并发会话数:1200个,最大图形并发会话数:400个,

硬盘容量2T

授权点数

可授权资源管理数50/100/200/500

部署方式

物理旁路,逻辑串联模式,不影响现有网络结构

单机部署、双机热备部署

协议审计

支持字符协议SSHv1、SSHv2、TELNET、RLOGIN和文件传输协议FTP、SFTP的协议审计,审计详细的操作语句和操作语句的执行结果

支持RDP、VNC图形操作过程中键盘输入操作记录和鼠标点击行为记录,并支持开启或关闭键盘输入审计功能

支持Oracle、Postgresql、Sybase、MySQL、SQL server等数据库协议审计

支持通过应用发布实现数据库操作的命令级审计和图形审计的双重审计效果,命令级审计便于重现真实的完整操作命令,图形审计便于直观的查看到真实的操作行为,并支持通过搜索操作语句关键字定位审计回放

支持通过应用发布进行协议扩展,支持http/https协议、X11协议、VMware vSphere Client、Radmin等第三方客户端工具,并支持账号密码代填登录;应用发布调用只能推送应用工具窗口,不得推送windows桌面,以提升用户体验

身份认证

业务管理组:分属不同业务管理组的业务管理员只能管理所在业务管理组内的用户、资源、策略和审计管理,适用于不同的管理部门有独立的管理员,运维人员,资源和审计管理要求的场景

用户账号命名字母区分大小写、账号支持中文,账号长度最大支持256位字节

用户密码策略包括:最小密码长度、密码复杂度、密码周期、历史比对和登录锁定,用户多次登录失败自动锁定帐号或IP

访问控制

访问策略基于用户、用户组、资源、资源组、系统帐号、协议类型、生效时间范围、IP地址限制等进行设置

支持基于时间集合、IP集合、命令集合设置访问策略或命令策略

支持管理员下发工单,授权运维人员有权限在指定时间内访问指定的资源

命令策略中对违规或高危指令支持正则表达式设置匹配规则,命令策略对TELNET、SSH、FTP、SFTP和数据库的违规或高危操作的指令(黑白名单)进行日志提醒、忽略命令、阻断会话或二次审批

管理功能

支持WEB在线视频回放方式对数据库、字符、文件、图形等协议的操作进行回放

支持通过搜索操作关键字定位回放

会话协议回放空闲时间过滤,应用发布图像操作回放支持操作空闲过滤(可设置无操作多长时间开始过滤)

支持周期性改密计划功能,支持改密结果自动发送到制定改密计划的管理员邮箱;密码文件加密保存,需要专用查看工具查看,以保证安全性

支持改密的资源包括:Linux、Unix、Windows(采用RPC方式)、AIX以及数据库Oracle、SqlServer、PostgreSQL、MySql、DB2、Informix 、SYBASE


用户价值

天玥运维安全网关(堡垒机):

完善内控内审,满足合规要求:目前,越来越多的单位面临一种或者几种合规性要求。堡垒机提供的完备审计方案,可以完善组织的IT内控与审计体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。

简化运维管理,提高运维效率:堡垒机对账号和资产进行统一管理,规范简化运维流程。提供多种运维操作方式以满足各种不同使用习惯。自动便捷的使用体验提供整体运维效率。
控制运维风险,防止数据泄露:堡垒机基于统一认证、集中管理、规范运维操作行为,对运维操作和数据流转过程做到严格的控制和记录,最大程度控制运维风险。                    

服务热线

400-624-3900

客服电话:400-624-3900

周一至周五 9:00-17:30