神州泰岳

产品介绍

集中接入维护平台(Unite Maintain Access Platform,简称UMAP)是一种功能高度集合化的堡垒主机产品,帮助企业在人员和IT资产之间搭建高效、可控的访问接入通道,为企业各类IT维护管理人员和第三方代维管理人员提供统一的接入维护入口,并对各类接入维护行为进行安全认证、授权、控制和审计功能。 Ultra-UMAP是神州泰岳于2010年面向企业用户发布的集中维护接入类的安全管理产品。解决企业信息化建设中面临的人员管理和系统运维管理等问题,结合企业内部规范管理及部署要求,是一套合理化、安全化、专业化、规范化的集中接入维护方案,帮助企业支撑IT运维内部网络的信息化运维工作。

优势特点

产品功能

适用场景

经典案例

神州泰岳

高度安全性和成熟性

Ultra-UMAP 集中接入维护平台的开发研制中,我们采用成熟的先进技术,对系统的关键技术在前期的工作中进行了大量实验和攻关及原型建立,在已开发并经广泛测试的产品中,上述的关键技术问题已解决。而且, Ultra-UMAP 集中接入维护平台所选取的硬件平台和软件平台,是具有良好的技术支持和发展前途的成熟产品。系统运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安全手段,建立健全的系统安全机制,保证了用户的合法性和数据不被非法盗取,从而保证产品的安全性。

部署和使用简单

需要在被管理设备上安装代理程序;不需要改变网络的物理拓扑结构;不影响被管理设备的运行;管理员和操作员都使用 WEB 方式操作,操作简单。

强大的审计功能

Ultra-UMAP 通过远程日志服务器保存所有用户操作行为和运行结果,可以通过对用户操作行为及其结果进行回放,跟踪用户操作过程,查看用户的所有操作行为,准确无误的了解用户的行为意图。Ultra-UMAP 日志服务器提供日志动态查询功能,支持特色化报表生成功能,可以根据用户需求进行报表定制,及时直观的报告用户所关心的资源使用情况。

集中化的访问控制

系统能集中接入各类通过 ssh、telnet、ftp、sftp、数据库访问的终端,限制违规的接入。 系统在操作命令提交前即可识别敏感操作,可以立即采取应对措施,进行审计与控制,并对 于违规的操作和行为可以进行及时的阻断和控制。
Ultra-UMAP 动态实时的捕获系统操作人员的行为,并可以对其进行策略审计,所有违反下发的安全策略的用户命令,将被禁止执行,进而保护关键资源和重要服务。
Ultra-UMAP可以根据需要对指定用户或所有用户展开监控,可以限制和管理可疑用户行为,监控和管理用户的操作行为。

可视化功能

Ultra-UMAP 能够动态实时的捕获用户使用的操作命令,真正做到让操作行为可视。系统管理员可以直观的了解服务器上发生过的操作命令及其运行结果,结束操作管理的黑匣子时代。Ultra-UMAP 可以实时监控系统管理员操作过程,提供实时监控中心和值班中心,可以集中实时的监控所有用户的操作行为和过程。

访问控制

审计管理

用户使用分配的唯一帐号登录资源,通过Ultra-UMAP集中接入维护平台访问被授权资源,所有登录和操作行为以及访问控制等详细会话记录能够被审计模块完整的进行记录,还可以将审计日志传送给第三方。

指令通道

面对大批量重复性频繁发生的日常运维操作,维护人员为方便运维,通常采用自行编写脚本程序并自动执行来代替人工操作行为,此过程需要在编写脚本时注入相应资产的帐号及口令等信息以便脚本程序模拟人工登录资产,管控平台为避免大量资产帐号及口令信息外露,专门打造出一条用于接收并转发指令化脚本程序的通道,提供便捷运维、保障资产信息保密性的同时也实现了访问过程的安全审计工作。
基于集中授权和集中认证服务,统一管理脚本程序登录资产所用帐号及口令,在平台中为每一类自行编写的脚本程序都模拟出用户身份,分配唯一主帐号,设置帐号口令,并授权脚本程序可访问的资产,认证方式包含静态口令结合IP方式、组合密码串方式等。指令通道负责接收脚本程序发送的访问请求,并将帐号信息及资产访问信息转发至平台进行认证和鉴权,核实通过即为脚本程序打开访问资产的通道,脚本程序自动运行,开展实施维护工作。目前指令通道访问资产所支持的协议包含telnet、 ssh、 oracle、db2、informix等,同时也支持访问已安装了agent的windows系统。

金库模式

“金库模式”也称为“双人操作”或“多人操作”;主要指对于涉及到公司高价值信息的高风险操作,强制要求必须由两人或以上有相应权限的员工共同协作完成操作,通过相互监督、利益制约确保关键操作的安全性。根据业务需要归纳出高价值风险操作场景作为启用金库模式的触发场景,即金库场景,触发方式可以是帐号登录触发或业务操作触发,预先梳理每类金库场景涉及的高权限帐号、敏感操作指令或高风险操作标识,通过策略配置建立操作人员、金库场景、协同操作人员的绑定关系。根据操作人员实际操作行为关联查询策略,如若满足触发金库模式的条件,则要求操作人员提交操作申请,协同操作人给予批示,协助操作人完成操作,其中审批方式包含协同操作人在操作现场输入个人帐号口令认证授权、协同操作人短信回复审批结果远程授权或接口调用工单系统审核功能自动完成授权三种。平台对纳入金库模式的各种操作行为及操作结果应予以完整记录,确保操作行为的可追溯。

集中资产接入

管控平台支持对企业资产的集中接管,资产类型包括C/S 应用服务器、网络设备、主机、数据库、B/S应用服务器等,在平台侧统一实现资产帐号的创建、编辑、删除等功能,通过同步驱动机制保证平台与资产之间的双向通讯。管控平台首次接入资产时,同步驱动机制将资产侧帐号同步至平台侧,后续在平台侧实现对资产帐号的全生命周期管理,对于新增或变更的帐号通过同步驱动机制实时或增量的同步至资产侧,使得管控平台侧与资产侧帐号保持一致,保障日常资产访问及运维工作正常进行。

集中认证管理

平台对用户帐号和资产帐号提供了多种认证方式,包括静态密码认证、令牌认证、手机短信认证、证书认证、IC准入认证、指纹识别等,支持多种认证方式相结合,通过部署相应服务器、提供服务接口实现上述强有力的认证,部署服务器包括令牌认证服务器、短信网关、CA认证服务器、Radius认证服务器、VPN认证服务器,认证服务接口包括软硬令牌认证接口、CMPP短信派发接口、CMPPServer短信派发接口、CA证书认证接口、IC认证接口、Radius协议、VPN信任票据、指纹分析引擎等。

集中账号管理

提供对企业用户帐号从入职到离职的全生命周期管理功能,包括帐号创建、授权、个人信息更改、帐号删除等。将帐号以地域和组织机构的形式进行划分,树状目录结构存储于LDAP中,清晰的目录结构,便于管理员进行管理。

企业需要实现对人员访问系统的集中化审计管理

不仅能够对人员的登录过程、登录后进行的操作进行精确记录,而且能够综合关联分析,追溯违规行为。审计结果支持查询和多种方式展现,录像播放完整还原操作行为

企业需要将IT维护操作工作标准化

Ultra-UMAP灵活的访问控制策略可以限定和控制运维人员的操作内容、步骤,有效减少误操作,促进IT维护操作的标准化

企业需要建立集中维护区

Ultra-UMAP逻辑上将企业IT资产与运维人员进行了分隔,所有运维过程均通过Ultra-UMAP进行代理转发,实现了维护区与资源区的隔离

企业需要对资产访问进行集中化访问控制

针对不同类型的资产操作提供不同类型的访问控制网关,通过丰富的访问控制策略,识别用户的敏感操作并对其进行阻断和控制,保证人员访问及操作权限管控到人和资产,提高访问安全。

企业需要实现统一门户访问和单点登录

方便管理员和普通用户只需要登录管控系统一次就可以通往不同的系统,无需认证多次,简化操作流程。

企业用户需要规范业内人员的帐号、权限

通过Ultra-UMAP将资产帐号授权给指定的运维人员,从而理清权限与责任,充分贯彻“岗位匹配、职责分离、最小权限”的安全管理原则。

经典案例

中国联通基础网络4A管理平台项目

合作背景

中国联合网络通信有限公司为了提高运维操作效率,规范网络安全操作,提升基础网络安全运维水平,制定了企业4A管理技术规范体系并在2016年开始进行全国范围的4A平台建设。

本次项目中,神州泰岳等多家国内知名厂商和研发机构参与激烈竞争。最终,通过多轮技术能力评估及专家评审,神州泰岳公司的UMAP集中维护接入平台凭借优异的测试成绩与全面的技术优势成功中标。

技术方案

本次项目采用了总部+省份的二层管理架构,由神州泰岳公司为联通总部建设“集团一级4A管理平台”,并在部分省分公司部署Ultra-UMAP作为“省分二级平台” 。
在联通集团总部和全国29个省分节点,建设中国联通集团基础网络“4A管理平台”,对基础网络侧三级以上定级单元及全国短信中心和行业网关,约600个网络单元进行4A纳管。
实现对全国基础网络范围内,三级以上定级单元及全国短信中心和行业网关,约600个网络单元,含8500余个系统资源,以及700余个网管应用资源(约22000个专业应用资源点)的管理覆盖。
平台支持约6600个并发运维帐号对资源的日常运维管理,支持全国320个并发管理员用户的集中运维帐号管理、资源授权管理操作。
形成联通全国各省加总部运维帐号权限的一级管理体系,集中所有省分节点的运维人员主帐号信息、运维资源信息、运维资源从帐号信息以及运维人员主帐号与从帐号对应关系信息,按照各省、各系统、各设备来进行划分,形成全国运维帐号、资源、权限的全量库。
实现集中化、基于角色的主从帐号管理,所有省分的主从帐号、资源、授权维护行为须通过集团一级系统来完成,而各省分对资源的维护任务依然由各省运维人员完成。
实现集中的针对全国运维帐号权限使用情况安全审计管理,收集、记录用户对关键系统的操作内容和使用情况。便于统计自然人对维护资源的访问和操作情况,在出现安全事故时,可以进行责任追踪,对人员的登录过程、操作行为进行审计和处理,最终建立完善的针对自然人到资源访问过程的完整审计流程。
收集全国数据安全相关设备审计日志,进行集中标准化存储,统一策略分析等,发现疑似违规行为。
落实国家和企业安全策略的需求:落实国家、行业相关安全保障要求,提升企业形象和基础网络安全运维能力方面的竞争力。
及时、准确并可控的实现各类安全检查与考核的需求:通过基础网络4A管理平台的系统建设,实现到帐号、权限、审计、认证方面的精准控制;减少业务和管理的违规操作、漏洞利用及客户信息的泄露;确保网络单元稳定安全运行,补齐网络单元维护运作工作中的安全短板;落实岗位匹配、最小权限、职责分离等安全管理要素。
降低日常安全管理与运营工作压力,提升安全支撑服务能力:落实最小化授权;统一帐号权限管理流程,减少运维帐号权限管理的成本;集中审计各类访问日志,及时发现并追踪定位;减少用户帐号盗用、冒用、滥用、共享等操作行为。
安全、高效的使用各类资源,降低操作复杂度需求:优化提升的运维帐号申请、审批与创建周期;实现一次认证,全网通行,不需多次输入帐号和口令;降低维护人员直接记忆资源URL、IP地址与密码配置的工作量;优化全网统一的强认证介质、登录、认证与访问体验。

  

客户价值

Ultra-UMAP帮助企业管理和维护好数据中心各类服务器、网络设备、数据库以及应用系统,保证数据中心的安全。
Ultra-UMAP按照行业标准对资产及帐号进行精确管理、事后追溯审计、实时监控和警报,提高了系统运维管理水平,满足相关标准要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,给用户提供控制和审计依据。

应用场景

1. 信息孤岛
各应用系统自行维护帐号,用户身份信息缺乏集中管理
每个用户往往有多个系统的维护工作,复杂程度高
用户通过不同入口直接访问资产,操作信息隔离存储
2. 身份混乱
帐号多人共享,无法定位实际操作者
自然人身份往往与业务系统帐号重复,容易造成安全漏洞
3. 权限分散
各应用系统自行维护权限分配,缺乏集中管理
没有有效的权限控制,容易出现越权操作
授权粒度太粗,基本只能到设备
授权关系工作量大
4. 效率低下
各应用系统独立认证,认证强度和口令复杂度都较低
用户切换不同系统登录时均需输入帐号口令,极大影响工作效率
5. 审计独立
各应用系统独立审计,无法对操作行为进行关联分析
不能及时发现入侵行为并进行预警和追踪
无法快速定位违规操作和误操作的事故原因