神州泰岳

产品介绍

Ultra-SecFort是神州泰岳公司结合企业对于信息安全管理“低成本、高效运营”的总体需求,推出的一款轻量级、标准化的综合运维审计堡垒机。

优势分析

产品功能

适用场景

经典案例

神州泰岳

全面支撑国产化运行环境

运行环境支持主流国产操作系统,如bclinux、麒麟、统信等。并支持基于linux系统的应用发布服务,可将国产操作系统上的C/S、B/S类应用交付到远端。

个人网盘保障重要数据不落地

支持挂载存储服务器,为具有频繁文档交互或涉及敏感数据文档的用户分配一个专属于其个人的文件空间,并提供文档上传、下载、分发等使用过程中的涉敏管控。数据文档保存在企业数据中心,公私数据分离,信息安全更有保障。

多人制衡的增强管控手段

针对运维过程的高危操作或关键业务进行场景定义,提供了指令级和场景级金库模式的二次认证授权,有效防范越权、高危操作。

WebTerminal无插件式资产运维

基于协议代理技术提供无插件化的资产运维访问,避免对客户端的依赖。用户无需安装客户端软件,即可实现跨终端、跨操作系统、跨浏览器的资产运维访问。提供ssh、sftp、rdp、telnet、vnc等协议设备及常用数据库的代理访问。

可扩展的部署架构

支持单节点、分级或集群部署,企业可以根据并发用户数量、资源接入数量对系统灵活的进行扩展部署,满足实际业务需要。

运维屏幕水印

支持明文水印、图片、二维码等水印配置,通过运维界面上添加水印信息,有效防止恶意用户截屏操作,降低数据泄漏风险

全程运维审计

基于唯一身份标识对用户运维行为进行全程记录,并提供“字符+录像”关联审计,根据操作字符指令快速定位录像,增强审计效率

用户行为实时监控、分析

提供运维会话的实时监控能力,管理人员可对运维用户实时会话情况进行监管,对违规操作会话可立即执行阻断。

帐号、资产集中管理授权

提供“自然人帐号-资产账号-资产”的集中维护管理。支持资产账号自动同步,自动改密。并基于最小权限原则提供基于“自然人账号-访问时间-登录IP-资产账号-目标资产-操作指令”的细粒度权限控制。

多因素融合认证

提供短信认证、RADIUS认证、LDAP认证、AD域认证、CA证书认证、企业微信、动态口令认证等多种认证方式,支持OAuth2.0互联网开放认证协议,实现应用标准化对接和单点登录。

责任的定位与追溯

对于所有通过其系统的访问行为进行记录。产品安全审计模块通过“人”、“事”、“物”的关联分析,实现对安全问题责任的定位和追溯。

高危IT维护操作行为审批管控

能够通过金库模式管控,实现针对高危IT维护操作和关键目标资源的二次审批认证,防止部分拥有高权限帐号的操作人员滥用权限违规获取、篡改相关信息,通过相互监督、利益制约确保高风险操作和高价值信息的安全性。

IT维护外包人员管理

能够提高人员的身份认证强度,通过绑定认证方式来验证人员身份;细化和强化人员的授权管理,梳理原有IT系统中的帐号和权限关系,实现外包人员的权限最小化;实现人员行为全程准确的监控审计,将企业IT系统内的访问行为对应到自然人身上,并从自然人登录的开始到退出以及两者之间的全部人员行为进行记录和审计

IT维护操作工作标准化

从企业整体IT系统的层面上进行角色授权和访问控制,企业无须再为每个人员在每个IT资源上进行授权,大大降低了管理员的工作强度以及由此造成的安全隐患,并且最重要的是确保人员只能访问其应该的、被准许的企业IT资源,同时根据运维人员的组织机构、人员角色、业务范围等信息,制定针对性的访问控制策略,实现IT运维操作工作的标准化。

建立和隔离IT维护操作集中区

通过内置的堡垒主机,为用户建立了“维护终端->堡垒主机->目标资源”的安全访问通道,实现了集中操作维护区与核心服务区的网络隔离。

简化帐号管理工作复杂度

神州泰岳Ultra-SecFort全生命周期帐号管理能够快速适应人员变化,缩短管理时间,从人员的上岗、职权变更到离岗,只需在一个管理界面下就可以完成其访问系统所需的一切配置,并快速的实现可访问性,这是以一种集中的、统一的方式来管理企业IT系统下的全部人员。

经典案例

某大型企业运维4A平台项目

合作背景

面对系统和网络安全性、IT运维管理和 IT 内控外审的挑战,管理人员需要有效的技术手段,按照行业标准进行精确管理、事后追溯审计、实时监控和警报。如何提高系统运维管理水平,满足相关标准要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,已经成为越来越困扰航信公司的问题。

客户价值

产品以先进的体系架构、清晰合理的模块划分面向各类用户场景,可实现针对来源、人员、时段、行为、操作对象等多种细粒度访问控制,并对操作过程全程审计,形成审计记录、审计告警。解决企业信息化建设中面临的人员管理和系统运维管理等问题。

  

技术方案

为解决面临的人员管理和系统运维管理等问题,结合企业内部规范管理及部署要求,设计出一套合理化、安全化、专业化、规范化的集中接入维护方案,帮助企业支撑IT运维内部网络的信息化运维工作。

调研企业IT资产数据信息,包括配置信息、权限信息、帐号信息以及资产数据源信息等,分析并设计帐号管理策略、密码管理策略、资产同步驱动机制以及帐号同步方案,采用LDAP轻量级目录访问结构和关系型数据存储结构实现对企业IT人员帐号及IT资产帐号的统一管理;

结合多种强身份认证技术,包括但不限于PKI/CA证书、令牌认证、短信认证及生物认证等,面向资源访问提供统一强认证入口,通过认证枢纽转发强认证请求至强身份认证组件,从而实现资源的认证集中控制,保障资源的访问安全性;

通过统一角色授权和实体授权实现对企业人员管理权限和资产操作权限的统一管理,有效控制每一个人(包括内部员工和外部人员)对企业的哪些IT资源执行哪些操作,从而实现精细化的用户管理与IT资源管理;

对企业人员访问敏感数据、执行关键操作及其结果进行真实、全面的记录,将业务操作行为、系统操作行为、平台自管理行为以及数据运营状态进行融合,遵循金字塔审计模型,从下至上按照审计信息采集、标准化、筛选、分析等处理过程,明确各环节策略配置,提供关键字、统计、关联等分析功能,并实现对异常行为的深度分析,提供可用于责任追踪的相关证据及审计管理支撑手段;

根据企业资产类型及管控需求部署相应类型的堡垒主机,采用字符堡垒主机监控和记录通过字符终端工具远程登录到资源进行操作的行为;采用数据库堡垒主机监控和记录通过数据库客户端远程登录到数据库进行操作的行为;采用图形堡垒主机监控和记录通过集中发布的图形软件远程登录到资源进行操作的行为;采用文件堡垒主机监控和记录通过文件服务器上传下载文的件时操作行为;

采用字符门户实现企业资产的快捷单点登录模式,提高用户的工作效率;采用指令通道功能解决企业中自动化程序通过接入平台访问资源的问题;

采用模块化设计,不但可以根据用户需要和环境特点进行选择、组合,而且可以提供定制化的开发,能够方便地实现与用户应用的有机结合。

应用场景

应用于面临人员管理和系统运维管理问题的企业。