随着企业信息化建设的不断加强,各类业务系统承载的企业核心数据也越来越多,业务系统的稳定性和安全性变得愈发重要。除了来自于外部的安全威胁外,内部运维人员的操作行为将更为直接的影响业务系统能否正常运行。因此只有依靠严格的用户身份认证、精细化的访问权限控制、细粒度的操作行为审计等运维管理能力,才能降低企业内部运维操作风险,提高运维效率。同时在数字化转型浪潮下,新兴的信息化技术发展迅速,网络安全相关的法律法规也更加严格,对企业安全运维的管理能力提出了新的要求。因此,新华三技术有限公司对H3C SecPath A2000-G系列 运维审计系统进行了特性升级,以应对严苛的政策合规要求,日益复杂的运维环境变化,以及不断革新的技术挑战。
支持通过IE、Firefox、Chrome、Safrai等浏览器进行系统管理及资产访问,同时不依赖JRE、Flash环境
操作终端兼容windows及Mac操作系统,不改变用户原有使用环境
支持主流IT资产,包括主机、网络设备、安全设备、应用、中间件、数据库等
支持按不同属性对资产进行多级分类并自动生成动态的树状结构视图,清晰的展示各资产的层级关系
借助数据状态标签,自动的统计敏感、异常的用户及资产数据,帮助管理员在海量用户及资产信息应用场景中洞察异常数据
通过权限自动化关联分析,直观的展示出用户/资产的权限划分情况,落实权限最小化管理
借助属性建模的方式创建动态的访问控制策略,与动态权限规则相匹配的用户、资产及系统账号会自动赋予相应的访问权限,以此简化权限管理复杂度
采用变更单模式实现权限的一键维护,变更单无需审批,但可以自动生成具有时效性的访问权限,使得权限管理变得更加灵活
会话复盘技术,在传统双人授权的模式上,提供深层次的会话管控手段,复核人可对用户的操作权限进行回收、下放及命令实时批复,进一步提升运维管控能力
支持自动化密码管理功能,实现资产账号定期改密,同时具备密码自动拨测、多人分段保管、改密前后异地备份、改密触发校验等多种改密冗余机制确保密码变更的可靠性
提供密码动态管理模式,通过密码工单实现资产系统账号密码的动态申请、下放,工单具有时效性,过期后交由系统自动回收变更密码,降低密码管理风险
支持资产密码版本库,可同时记录资产系统账号的历史维护密码,并可根据用户需求进行密码备份及回退
完整记录各类运维操作行为,包括图形会话、字符会话、数据库会话及文件传输会话
独特的图形审计存储机制,采用协议分析记录、高压缩比、空闲操作审计记录无变化,减少审计日志的大小,提高空间利用率
精准的指令识别技术,确保各种非常规操作指令的准确识别,同时支持指令分层展示,敏感操作智能标记及命令分级播放功能
采用三层存储架构,将配置信息、审计数据、审计索引分离存储,有效解决了在大数据应用场景下,数据响应慢的问题
基于专业的大数据检索引擎ES,通过全量、全索引的检索模式,缩短TB级审计数据的检索时间,进一步提高审计检索效率
具备丰富的、多维度的检索方式,提升问题定位效率,包括会话热点排序、敏感会话统计局、多关键字检索、审计会话合并、图形切片等
具备运维账号自动化同步功能,可自动同步AD/LADP域认证服务器中账号的变更信息,降低管理复杂度
支持会话批量启动及基于网盘的文件批量分发功能,简化运维操作
通过脚本一键批量执行帮助管理员提高运维管理效率
全面兼容各类IPv6环境,满足数据中心的未来发展规划
支持基于IPv6环境的系统管理、集中认证、权限管控及行为审计,实现IPv6资产的全面集中管控
借助IPv4/IPv6双栈及隧道技术,帮助用户实现数据中心IPv4到IPv6的迁移过渡
采用旁路部署模式,不需要调整用户网络架构,不需要在服务器上安装插件
支持双机HA热备,实现运维审计系统冗余化部署
支持自身多机集群部署,无需第三方负载均衡设备或共享存储,即可满足用户高并发、高可用的应用需求
支持多站点部署模式,满足多个数据中心高冗余的应用需求,实现异地运维管理
支持总分部署模式,满足总部集中管控、分支分散运维的运维安全管理需求
表1-1 H3C SecPath A2000-G系列 运维审计系统 产品规格
属性 | A2025-G | A2100-G | A2105-G | A2200-G | A2210-G |
兼容性 | 支持IE、Firefox、Chrome、Safari、Edge等多种浏览器 | ||||
支持Windows及Mac操作终端 | |||||
支持中/英文界面切换 | |||||
支持基于HTML 5的会话访问技术,全面兼容 Windows、Linux、国产麒麟系统、Android、IOS、MacOS 等客户端 | |||||
支持IPv4及IPv6应用环境 | |||||
部门管理 | 支持部门分级管理 | ||||
支持部门分权管理,不同部门管理员仅能管理审计各自部门的用户及资产 | |||||
用户管理 | 支持通过内置的用户角色实现系统分权管理 | ||||
支持自定义用户角色,并可依据角色灵活配置相应系统模块的管理访问权限 | |||||
支持本地静态密码认证 | |||||
支持与AD、LDAP、RADIUS、短信平台等第三方认证平台对接 | |||||
支持动态令牌、国密算法动态令牌、手机令牌、USBKEY等双因素认证 | |||||
支持用户组管理 | |||||
支持通过EXCEL表格批量导入、导出用户信息 | |||||
支持通过LDAP用户批量同步 | |||||
支持通过WEB页面批量修改用户属性 | |||||
资产管理 | 支持主机资产管理,包括Windows、Linux/Unix等 | ||||
支持大型机资产管理,包括IBM AS 400等 | |||||
支持网络设备资产管理,包括Cisco、Huawei、Juniper、H3C等 | |||||
支持管理各种C/S和B/S应用 | |||||
支持数据库资产管理,包括Oracle、MS SQL Server、MySQL、DB2等 | |||||
支持中间件资产管理,包括WebLogic等 | |||||
支持自定义资产类型 | |||||
支持按资产不同属性对资产进行多级分类,并以树状结构进行图形化展示 | |||||
支持资产组管理 | |||||
支持通过EXCEL批量导入、导出资产信息 | |||||
支持通过WEB页面批量修改、删除资产信息 | |||||
密码管理 | 支持资产账号密码托管,实现资产单点登录功能 | ||||
支持系统账号密码触发式校验功能,对托管的口令进行验证 | |||||
支持基于资产、系统账号、改密时间等因素创建改密计划 | |||||
支持自定义密码规则,包括密码策略、是否分段保管、密码备份方式等 | |||||
权限管理 | 支持配置基于用户(组)、资产(组)、系统账号、协议的静态访问权限 | ||||
支持按用户、资产和系统账号属性设定动态访问规则 | |||||
支持通过变更单导入方式动态管理用户访问权限 | |||||
支持工单授权审批管理,工单具有时效性,过期后自动回收 | |||||
支持自定义高危命令列表,并可灵活设置不同命令的响应策略(允许、拒绝、告警、复核等)及优先级 | |||||
支持会话审批模式,审批复核人可实时控制用户的操作权限,包括操作权限的下放、回收等 | |||||
支持以用户、资产维度统计相应访问权限 | |||||
资产访问 | 支持WEB、MSTSC、SSH Client等多种访问方式 | ||||
支持会话批量启动功能 | |||||
支持会话共享功能 | |||||
审计管理 | 支持RDP、X11、VNC等图形协议的行为审计 | ||||
针对图形会话支持键盘、剪切板、窗口标题等事件审计 | |||||
支持通过图形会话缩略图定位用户操作 | |||||
支持TELNET、SSH等字符协议的行为审计 | |||||
针对字符会话支持命令输入、输出分级展示 | |||||
支持指令级操作回放 | |||||
支持文件传输审计及附件留痕功能 | |||||
支持ORACLE、MYSQL、MSSQL等数据库的行为审计,包括图像及SQL语句审计 | |||||
支持在线会话实时管控 | |||||
支持多关键字、多条件的审计检索,支持多条审计结果合并查看 | |||||
脚本任务 | 支持脚本任务功能,可将用户自定义的脚本文件批量下发至目标资产执行 | ||||
密评/国密改造 | 支持国密身份鉴别、国密https数据通道加密及资源访问控制信息与日志记录进行签名和验签,满足密评改造要求 | ||||
账号管控能力 | 支持与PAM(特权账号系统)系统联动应用,解决客户所有资产账号管控需求 | ||||
统计报表 | 支持统计用户、资产、账号和会话的基本及变更信息 | ||||
支持以日、周、月、季度、年等周期自动生成相应报表数据 | |||||
部署管理 | 支持HA部署管理 | ||||
支持多站点部署管理 | |||||
支持总分部署管理 | |||||
支持集群部署管理 |
运维审计系统单机采用物理旁路、逻辑串联的部署模式,不需要改变用户网络架构。系统上线后,运维审计系统成为唯一的运维入口,运维人员通过访问运维审计系统,实现对后端托管资源的集中管理。
双机HA部署
运维审计系统支持双机HA(一主一备)部署模式,系统部署后通过VIP向用户提供服务,主备设备之间定期自动同步配置数据和审计日志,当主设备异常时,由备设备自动接管相应服务,通过HA的部署方式提高系统的可靠性。
支持三台或以上的运维审计系统组建集群部署模式,通过VIP对外提供服务,集群之间定期自动同步配置数据、审计日志。当集群中任何一台设备出现故障时,由其他节点自动接管服务,以满足高并发、高冗余的应用需求。系统不依赖第三方负载均衡或存储设备及可完成自身集群的搭建。
多站点部署
支持三台或以上的运维审计系统组建多站点部署模式,主站点的配置数据定期自动同步至备站点,当主站点的运维审计出现故障时,由其他站点的运维审计按顺序自动接管服务,以满足多个数据中心高冗余的应用需求,实现异地运维管理。
支持三台或以上的运维审计系统组建总分部署模式,通过总部的运维审计对外提供统一服务。总部运维审计可以部署为HA或集群模式,分支运维审计可以为单机或HA。总部管理节点的配置数据定期自动同步至分支访问节点中。总分部署模式可以实现总部集中管理,分支分散运维的效果。
H3C SecPath A2000-G系列运维审计系统是新华三技术有限公司自主研发的产品,用户可以根据实际需求按照型号进行选购。
(1)主机选购一览表
主机 | 描述 | 备注 |
NS-SecPath A2025-G+LIS | H3C SecPath A2025-G 运维审计系统 | 必配 |
NS-SecPath A2100-G+LIS | H3C SecPath A2100-G 运维审计系统 | |
NS-SecPath A2105-G+LIS | H3C SecPath A2105-G 运维审计系统 | |
NS-SecPath A2200-G+LIS | H3C SecPath A2200-G 运维审计系统 | |
NS-SecPath A2210-G+LIS | H3C SecPath A2210-G 运维审计系统 |
(2)资产数扩展授权函选购一览表
资产数扩展类型 | 描述 | 备注 |
LIS-A2000-EXT-100 | 100资产数量扩容授权函 | 选配 |
LIS-A2000-EXT-500 | 500资产数量扩容授权函 | |
LIS-A2000-EXT-UL | 无限资产数量扩容授权函 |
(3)配件选购一览表
配件 | 描述 | 备注 |
NSQM1IPCGT4GP4A | 4端口千兆以太网电接口+4端口千兆以太网光接口模块 | 选配 |
NSQM1IPCGT8A | 8端口千兆以太网电接口模块 | |
NSQM1IPCGP8A | 8端口千兆以太网光接口模块 | |
NSQM1IPCTG4A | 4端口万兆以太网光接口模块 | |
NSQM1SCXGT4A | 4端口千兆以太网电接口模块 | |
NSQM1SCXTG2A | 2端口万兆以太网光接口模块 | |
R2A-BV0350 | H3C 350W 交流电源模块 | |
PSR-60-12A | H3C 60W 交流电源模块 | |
应用发布中心RDS授权函 | 应用发布中心RDS授权函 | |
双因素认证 动态口令卡 | 双因素认证 动态口令卡 | |
双因素认证 国密动态口令卡 | 双因素认证 国密动态口令卡 | |
双因素认证USBKey | 双因素认证USBKey |