随着企业信息化建设的不断加强,各类业务系统承载的企业核心数据也越来越多,业务系统的稳定性和安全性变得愈发重要。除了来自于外部的安全威胁外,内部运维人员的操作行为将更为直接的影响业务系统能否正常运行。因此只有依靠严格的用户身份认证、精细化的访问权限控制、细粒度的操作行为审计等运维管理能力,才能降低企业内部运维操作风险,提高运维效率。同时在数字化转型浪潮下,新兴的信息化技术发展迅速,网络安全相关的法律法规也更加严格,对企业安全运维的管理能力提出了新的要求。
除此以外,在政务云、医保云等行业云或私有云中,租户开始关注自身虚拟网络的运维安全性问题,因此新华三技术有限公司推出了H3C SecPath A2000-Cloud系列 云运维审计系统,每个租户可按照自己的业务上云模式来订阅相应的云运维审计系统授权函,用于应对严苛的政策合规要求,日益复杂的运维环境变化,以及不断革新的技术挑战。
一年订阅授权函支持接续更新订阅或即刻覆盖订阅
永久订阅授权函支持购买多个授权函进行规格累加,实现灵活扩容,适应业务发展需求
支持在安全云管理平台上以自助方式完成申请、激活和扩容操作
支持从CloudOS云管理平台自动同步所在租户VPC网络内的主机资产信息(名称、IP、类型、)和用户账号信息(用户名、信息、邮箱),通过勾选实现自动导入,从而提高配置效率
支持通过IE、Firefox、Chrome、Safrai、Edge等浏览器进行系统管理及资产访问,同时不依赖JRE、Flash环境
操作终端兼容windows及Mac操作系统,不改变用户原有使用环境
支持中/英文界面切换
支持主流IT资产,包括主机、网络设备、安全设备、应用、中间件、数据库等
支持基于HTML 5的会话访问技术,全面兼容 Windows、Linux、国产麒麟系统、Android、IOS、MacOS 等客户端仅需通过浏览器即可访问SSH、Telnet、VNC、Xdmcp、Xfwd、RDP、应用发布等协议
支持按不同属性对资产进行多级分类并自动生成动态的树状结构视图,清晰的展示各资产的层级关系
借助数据状态标签,自动的统计敏感、异常的用户及资产数据,帮助管理员在海量用户及资产信息应用场景中洞察异常数据
通过权限自动化关联分析,直观的展示出用户/资产的权限划分情况,落实权限最小化管理
借助属性建模的方式创建动态的访问控制策略,与动态权限规则相匹配的用户、资产及系统账号会自动赋予相应的访问权限,以此简化权限管理复杂度
采用变更单模式实现权限的一键维护,变更单无需审批,但可以自动生成具有时效性的访问权限,使得权限管理变得更加灵活
领先的会话复核技术,在传统双人授权的模式上,提供深层次的会话管控手段,复核人可对用户的操作权限进行回收、下放及命令实时批复,进一步提升运维管控能力
支持自动化密码管理功能,实现资产账号定期改密,同时具备密码自动拨测、多人分段保管、改密前后异地备份、改密触发校验等多种改密冗余机制确保密码变更的可靠性
提供密码动态管理模式,通过密码工单实现资产系统账号密码的动态申请、下放,工单具有时效性,过期后交由系统自动回收变更密码,降低密码管理风险
支持资产密码版本库,可同时记录资产系统账号的历史维护密码,并可根据用户需求进行密码备份及回退
完整记录各类运维操作行为,包括图形会话、字符会话、数据库会话及文件传输会话
独特的图形审计存储机制,采用协议分析记录、高压缩比、空闲操作审计记录无变化,减少审计日志的大小,提高空间利用率
精准的指令识别技术,确保各种非常规操作指令的准确识别,同时支持指令分层展示,敏感操作智能标记及命令分级播放功能
采用三层存储架构,将配置信息、审计数据、审计索引分离存储,有效解决了在大数据应用场景下,数据响应慢的问题
基于专业的大数据检索引擎ES,通过全量、全索引的检索模式,缩短TB级审计数据的检索时间,进一步提高审计检索效率
具备丰富的、多维度的检索方式,提升问题定位效率,包括会话热点排序、敏感会话统计局、多关键字检索、审计会话合并、图形切片等
具备运维账号自动化同步功能,可自动同步AD/LADP域认证服务器中账号的变更信息,降低管理复杂度
支持会话批量启动及基于网盘的文件批量分发功能,简化运维操作
通过脚本一键批量执行帮助管理员提高运维管理效率
全面兼容各类IPv6环境,满足数据中心的未来发展规划
支持基于IPv6环境的系统管理、集中认证、权限管控及行为审计,实现IPv6资产的全面集中管控
借助IPv4/IPv6双栈及隧道技术,帮助用户实现数据中心IPv4到IPv6的迁移过渡
组网采用旁路部署模式,不需要调整用户网络架构,不需要在服务器上安装插件
支持双机HA热备,实现运维审计系统冗余化部署
支持与PAM(特权账号系统)联动应用,解决客户所有资产账号管控需求(账号梳理需求、解决账号风险需求、账号维护需求、账号更高安全存储需求)
表1-1 H3C SecPath A2000-Cloud系列 云运维审计系统 产品规格
属性 | A2000-Cloud系列 |
兼容性 | 支持IE、Firefox、Chrome、Safari、Edge等多种浏览器 |
支持Windows及Mac操作终端 | |
支持中/英文界面切换 | |
支持基于HTML 5的会话访问技术,全面兼容 Windows、Linux、国产麒麟系统、Android、IOS、MacOS 等客户端 | |
支持从CloudOS云管理平台自动同步所在租户VPC网络内的主机资产信息(名称、IP、类型、)和用户账号信息(用户名、信息、邮箱),通过勾选实现自动导入,从而提高配置效率 | |
支持IPv4及IPv6应用环境 | |
部门管理 | 支持部门分级管理 |
支持部门分权管理,不同部门管理员仅能管理审计各自部门的用户及资产 | |
用户管理 | 支持通过内置的用户角色实现系统分权管理 |
支持自定义用户角色,并可依据角色灵活配置相应系统模块的管理访问权限 | |
支持本地静态密码认证 | |
支持与AD、LDAP、RADIUS、短信平台等第三方认证平台对接 | |
支持动态令牌、国密动态令牌、手机令牌、USBKEY等双因素认证 | |
支持用户组管理 | |
支持通过EXCEL表格批量导入、导出用户信息 | |
支持通过LDAP用户批量同步 | |
支持通过WEB页面批量修改用户属性 | |
资产管理 | 支持主机资产管理,包括Windows、Linux/Unix等 |
支持大型机资产管理,包括IBM AS 400等 | |
支持网络设备资产管理,包括Cisco、Huawei、Juniper、H3C等 | |
支持管理各种C/S和B/S应用 | |
支持数据库资产管理,包括Oracle、MS SQL Server、MySQL、DB2等 | |
支持中间件资产管理,包括WebLOgic等 | |
支持自定义资产类型 | |
支持按资产不同属性对资产进行多级分类,并以树状结构进行图形化展示 | |
支持资产组管理 | |
支持通过EXCEL批量导入、导出资产信息 | |
支持通过WEB页面批量修改、删除资产信息 | |
密码管理 | 支持资产账号密码托管,实现资产单点登录功能 |
支持系统账号密码触发式校验功能,对托管的口令进行验证 | |
支持基于资产、系统账号、改密时间等因素创建改密计划 | |
支持自定义密码规则,包括密码策略、是否分段保管、密码备份方式等 | |
权限管理 | 支持配置基于用户(组)、资产(组)、系统账号、协议的静态访问权限 |
支持按用户、资产和系统账号属性设定动态访问规则 | |
支持通过变更单导入方式动态管理用户访问权限 | |
支持工单授权审批管理,工单具有时效性,过期后自动回收 | |
支持自定义高危命令列表,并可灵活设置不同命令的响应策略(允许、拒绝、告警、复核等)及优先级 | |
支持会话审批模式,审批复核人可实时控制用户的操作权限,包括操作权限的下放、回收等 | |
支持以用户、资产维度统计相应访问权限 | |
资产访问 | 支持WEB、MSTSC、SSH Client等多种访问方式 |
支持会话批量启动功能 | |
支持会话共享功能 | |
审计管理 | 支持RDP、X11、VNC等图形协议的行为审计 |
针对图形会话支持键盘、剪切板、窗口标题等事件审计 | |
支持通过图形会话会话缩略图定位用户操作 | |
支持TELNET、SSH等字符协议的行为审计 | |
针对字符会话支持命令输入、输出分级展示 | |
支持指令级操作回放 | |
支持文件传输审计及附件留痕功能 | |
支持ORACLE、MYSQL、MSSQL等数据库的行为审计,包括图像及SQL语句审计 | |
支持在线会话实时管控 | |
支持多关键字、多条件的审计检索,支持多条审计结果合并查看 | |
部署管理 | 支持HA部署管理 |
账号管控能力 | 支持与PAM(特权账号系统)系统联动应用,解决客户所有资产账号管控需求 |
脚本任务 | 支持脚本任务功能,可将用户自定义的脚本文件批量下发至目标资产执行 |
统计报表 | 支持统计用户、资产、账号和会话的基本及变更信息 |
支持以日、周、月、季度、年等周期自动生成相应报表数据 |
H3C SecPath A2000-Cloud系列 云运维审计系统部署租户VPC内,通过安全组策略保证成为运维的唯一入口,租户管理员可通过云网络访问至云运维审计系统,从而对管理员进行身份认证,运维操作的权限管控,并实现操作行为的审计回溯。
H3C SecPath A2000-Cloud系列 云运维审计系统 示意图
H3C SecPath A2000-Cloud系列 云运维审计系统是新华三技术有限公司自主研发的产品,用户可以根据实际需求按照型号进行选购。
(1)主机选购一览表
主机 | 描述 | 备注 |
LIS-A2000-Cloud-10-1Y | 云运维审计系统一年订阅授权函(10个可管理资产,10个字符并发,5个图形并发) | 必配 |
LIS-A2000-Cloud-20-1Y | 云运维审计系统一年订阅授权函(20个可管理资产,20个字符并发,10个图形并发) | |
LIS-A2000-Cloud-50-1Y | 云运维审计系统一年订阅授权函(50个可管理资产,50个字符并发,25个图形并发) | |
LIS-A2000-Cloud-100-1Y | 云运维审计系统一年订阅授权函(100个可管理资产,100个字符并发,50个图形并发) | |
LIS-A2000-Cloud-200-1Y | 云运维审计系统一年订阅授权函(200个可管理资产,200个字符并发,100个图形并发) | |
LIS-A2000-Cloud-500-1Y | 云运维审计系统一年订阅授权函(500个可管理资产,500个字符并发,250个图形并发) | |
LIS-A2000-Cloud-10-UL | 云运维审计系统永久订阅授权函(10个可管理资产,10个字符并发,5个图形并发) | 必配 |
LIS-A2000-Cloud-20-UL | 云运维审计系统永久订阅授权函(20个可管理资产,20个字符并发,10个图形并发) | |
LIS-A2000-Cloud-50-UL | 云运维审计系统永久订阅授权函(50个可管理资产,50个字符并发,25个图形并发) | |
LIS-A2000-Cloud-100-UL | 云运维审计系统永久订阅授权函(100个可管理资产,100个字符并发,50个图形并发) | |
LIS-A2000-Cloud-200-UL | 云运维审计系统永久订阅授权函(200个可管理资产,200个字符并发,100个图形并发) | |
LIS-A2000-Cloud-500-UL | 云运维审计系统永久订阅授权函(500个可管理资产,500个字符并发,250个图形并发) |
(2)配件选购一览表
配件 | 描述 | 备注 |
应用发布中心RDS授权函 | 应用发布中心RDS授权函 | 选配 |
双因素认证 动态口令卡 | 双因素认证 动态口令卡 | |
双因素认证 国密动态口令卡 | 双因素认证 国密动态口令卡 | |
双因素认证USBKey | 双因素认证USBKey |