堡垒机方案.docx

1、堡垒机方案平安医院解决方案建议书天玥网络安全审计系统运维安全管控系统精细控制合规审计项目概述随着平安医院信息化应用的迅速发展，企业内部的各种业务和经营支撑系统不断增加，网络规模也迅速扩大。由于信息系统运维人员和业务系统的管理人员掌握着系统资源管理的最高权限，一旦操作出现安全问题将会给企业带来巨大的损失，加强对运维管理人员操作行为的监管与审计成为信息安全发展的必然趋势。在此背景之下，平安医院计划针对运维操作和业务管理与审计进行堡垒机项目建设。堡垒机提供了一套多维度的运维操作管控与审计解决方案，使得管理人员可以对网络设备、服务器、安全设备、数据库等资源进行集中账号管理、细粒度的权限管理和访问审计，

2、帮助企业提升内部风险控制水平。1 安全现状分析1.1 内部人员操作的安全隐患随着平安医院信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作却无能为力。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示：超过70%的安全威胁来自公司内部，在损失金额上，由于内部人员泄密导致了万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。另据中国国家信息安全测评中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起1.

3、2 第三方维护人员安全隐患平安医院在发展的过程中，因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地监控设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。严格的规章制度只能约束一部分人的行为，只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行。1.3 高权限账号滥用风险因为种种历史遗留问题，并不是所有的信息系统都有严格的身份认证和权限划分，权限划分混乱，高权限账号（比如root账号）共用等问题一直困扰着网络管理人员，高权限账号往往掌握着数据库和业务系统的命脉，任何一个操作都可能导致数据的修改和泄露，最高权限的滥用

4、，让运维安全变得更加脆弱，也让责任划分和威胁追踪变得更加困难。1.4 系统共享账号安全隐患无论是内部运维人员还是第三方代维人员，基于传统的维护方式，都是直接采用系统账号完成系统级别的认证即可进行维护操作。随着系统的不断庞大，运维人员与系统账号之间的交叉关系越来越复杂，一个账号多个人同时使用，是多对一的关系，账号不具有唯一性，系统账号的密码策略很难执行，密码修改要通知所有知道这个账号的人，如果有人离职或部门调动，密码需要立即修改，如果密码泄露无法追查，如果有误操作或者恶意操作，无法追查到责任人。1.5 违规行为无法控制的风险网络管理员总是试图定义各种操作条例，来规范内部员工的网络访问行为，但是除

5、了在造成恶性后果后追查责任人，没有更好的方式来限制员工的合规操作。而事后追查，只能是亡羊补牢，损失已经造成。2 运维安全管控系统方案设计2.1 建设原则随着信息技术的发展，平安医院已经建立了比较完善的信息系统，具有网络规模大、用户数多、系统全而复杂等特点。IT建设的核心任务是运用现代信息技术为企业整体发展战略的实现提供支撑平台并起到推动作用。信息安全作为IT建设的组成部分，核心任务是综合运用技术、管理等手段，保障企业IT系统的信息安全，保证业务的连续性。信息安全是平安医院正常业务运营与发展的基础；是保证网络品质的基础；是保障客户利益的基础。根据集团的相关规范的指导意见，我们根据对平安医院信息系

6、统具体需求的分析，结合等级保护安全评估的要求，在对平安医院系统进行安全建设时，我们所遵循的根本原则是：1、业务保障原则：安全建设的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。2、结构简化原则：安全建设的直接目的和效果是要将整个网络变得更加安全，简单的网络结构便于整个安全防护体系的管理、执行和维护。3、生命周期原则：安全建设不仅仅要考虑静态设计，还要考虑不断的变化；系统应具备适度的灵活性和扩展性。2.2 总体目标本次在平安医院业务系统建立运维安全管理系统，实现全局的策略管理、统一访问Portal页面、集中身份认证、统一授权及认证请求转发等功能，对

7、平安医院业务系统的系统资源账号、维护操作实施集中管理、访问认证、集中授权和操作审计。通过本次安全运维管控系统的建设，最终达到以下目标：1. 通过运维安全管控系统的建设为平安医院的系统资源运维人员提供统一的入口，支持统一身份认证手段。在完成统一认证后，根据账号所具有访问权限发布、管理、登录各个主机、网络设备、数据库。2. 系统应根据“网络实名制”原则记录用户从登录系统直至退出的全程访问、操作日志，并以方便、友好的界面方式提供对这些记录的操作审计功能。3. 系统应具备灵活的管理和扩展能力，系统扩容时不会对系统结构产生较大影响。4. 系统应具备灵活的授权管理功能，可实现一对一、一对多、多对多的用户授

8、权。2.3 建设思路为实现平安医院公司构建针对人员帐户管理层面全面完善的安全运维管控系统需要，在本项目的实施过程中，启明星辰将根据“以用户身份集中管理的思路为核心，建立全局唯一的权威身份信息源，可在一点集中管理用户身份和权限，从而降低管理成本”的思路，在统一用户身份的基础上，实现各个系统资源的单点登录、统一认证、统一授权、审计等信息的集中统一管理，并提供与用户现有的数字证书系统进行系统集成的解决方案，规划合理、高效的用户身份管理流程。本项目建成后，对于用户来说，将实现只需进行一次登录，就可以维护不同的主机、网络设备、数据库等，并能方便的来回切换访问；对于管理员来说，将实现对用户信息、设备信息、

9、访问控制信息等统一定义和描述，能确保信息的一致性；只需在运维安全管控系统进行统一配置管理和维护，降低工作量和复杂度。3 运维管控系统解决方案3.1 系统总体设计3.1.1 系统概述启明星辰天玥网络安全审计系统运维安全管控系统（以下简称天玥-OSM），是启明星辰综合内控系列产品之一。天玥-OSM是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人账号资源资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放

10、，加强内部业务操作行为监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的正常运营。3.1.2 系统组成天玥-OSM由WEB模块、协议代理模块、行为审计模块和应用发布模块和存储模块组成。 WEB模块为用户提供web方式访问系统的界面。管理员用户在界面中进行运维用户管理、设备及帐号管理、用户授权管理和运维审计管理等管理功能；运维用户在界面中进行资源单点登录等操作。 协议代理模块实现对主机、数据库、网络设备维护过程中的协议数据包代理转发、行为还原及记录、高危/违规行为阻断等功能。 行为审计模块实现对行为操作的审计功能，包括实时高危/违规行为的告警、实时监控、历史数据检索及报表统计

11、等功能。 应用发布模块（可选）安装在Windows服务器上，用于发布非标准协议或应用客户端，如IE、plsql、sqlplus等。可实现对应用客户端工具的自动调出、密码代填和操作审计功能。3.1.3 技术架构3.1.3.1. 协议代理模块3.1.3.2. 应用发布模块3.2 系统主要功能3.2.1 用户认证与SSO在信息系统的运维操作过程中，经常会出现多名维护人员共用设备（系统）账号进行远程访问的情况，从而导致出现安全事件无法清晰地定位责任人。天玥OSM为每一个运维人员创建唯一的运维账号（主账号），运维账号是获取目标设备访问权利的唯一账号，进行运维操作时，所有设备账号（从账号）均与主账号进行关

12、联，确保所有运维行为审计记录的一致性，从而准确定位事故责任人，弥补传统网络安全审计产品无法准确定位用户身份的缺陷，有效解决账号共用问题。天玥OSM支持多种身份认证方式： 本地认证 Radius认证 LDAP认证 AD域认证等天玥OSM系统还支持SSO功能，运维人员一次登陆，即可访问所有目标资源，无需二次输入用户名、口令信息。天玥OSM部署后，运维人员可以通过不同的方式对目标对象进行访问、维护： WEB控件方式访问，所有协议均可通过WEB控件方式从WEB直接发起访问，访问过程支持IE（8-11版本）浏览器； 支持通过WEB直接调用本地客户端方式进行访问； 支持客户端菜单模式访问：支持通过常用客户

13、端软件，如SecreCRT、Putty、Xshell等，用户可通过字符菜单方式选择目标服务器并进行访问；运维人员登录天玥OSM系统时，系统会根据访问授权列表自动展示授权范围的主机，避免用户访问XX主机。3.2.2 自动改密天玥-OSM支持主机系统账号的密码维护托管功能，系统支持自动定期修改Linux、Unix、Windows、AIX以及Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL的内置账号密码。自动密码管理支持以下功能： 设定密码复杂度策略； 针对不同设备制定不同改密计划； 设定

14、改密计划的自动改密周期； 支持随机不同密码、随机相同密码、手工指定密码等新密码设定策略； 改密结果自动发送至指定密码管理员邮箱； 设定指定的改密对象，支持AD域账号改密； 手工下载部分或全部密码列表； 改密结果高强度加密保护功能。3.2.3 访问授权管理天玥-OSM系统通过集中统一的访问控制和细粒度的命令级授权策略，确保每个运维用户拥有的权限是完成任务所需的最合理权限。 基于向导式的配置过程； 支持基于用户角色的访问控制（RBAC ,Role-Based Access Control）。管理员可根据用户、访问主机、目标系统账号、访问方式设置细粒度访问策略； 支持基于时间的访问控制； 支持基于访

15、问者IP的访问控制； 基于指令（黑白名单）的访问控制； 同一时刻不允许相同帐号在不同的位置登录；除访问授权之外，天玥-OSM还支持针对访问协议进行深层控制，比如： 限制RDP访问使用剪贴板功能 限制RDP访问使用磁盘映射功能3.2.4 二次审批天玥-OSM支持根据需求对特殊访问与操作进行二次审批功能，该功能可以进一步加强对第三方人员访问或关键设备访问操作的控制力度，确保所有访问操作都在实时监控过程中进行。二次审批功能支持对特殊指令执行进行审批。运维人员操作过程中触发命令策略，需要得到管理员的审批后才能继续执行后续操作。3.2.5 告警与阻断天玥-OSM系统支持根据已设定的访问控制策略，自动检测

16、日常运维过程中发生的越权访问、违规操作等安全事件，系统能够根据安全事件的类型、等级等条件进行自动的告警或阻断处理。 禁止XX用户访问主机； 阻断从异常客户端、异常时间段发起的访问行为； 阻断指令黑名单的操作行为； 阻断方式支持：断开会话、忽略指令； 告警方式支持：以SYSLOG、邮件、SNMP、短信方式实时发送告警信息。3.2.6 实时操作过程监控对于所有远程访问目标主机的会话连接，天玥-OSM均可实现操作过程同步监视，运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中。 实时同步显示操作画面； 支持vi、smit、setup等字符菜单操作同步显示；3.2.7 历史回放天玥-O

17、SM能够以视频回放方式，可根据操作记录定位回放或完整重现维护人员对远程主机的整个操作过程，从而真正实现对操作内容的完全审计。 以WEB在线视频回放方式重现维护人员对服务器的所有操作过程，无须在客户端安装播放客户端软件； 支持从特定操作指令开始进行定位回放； 支持倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作； RDP回放界面中显示键盘输入和鼠标点击行为； 支持空闲时间过滤； 下载回放文件到本地保存(提供专用播放器）。3.2.8 审计报表天玥OSM系统拥有强大的报表功能，内置能够满足不用客户审计需求的安全审计报表模板，支持自动或手工方式生成运维审计报告，便于管理员全面分析运维的合规性。

18、 系统内置多种运行维护报表模板； 支持以html、CSV方式生成并导出报表； 支持管理员自定义审计报表； 支持以日报、周报、月报的方式自动生成周期性报表。3.2.9 审计存储天玥OSM系统支持自动化审计数据存储管理，管理员可以对审计数据进行手工备份、导出，也可以设定自动归档策略进行自动归档。 手工归档、到处审计数据； 存储空间不足时自动归档并删除最早数据； 支持通过FTP方式自动备份到外部FTP服务器； 周期性自动归档功能；3.3 系统功能特点3.3.1 运维协议支持广天玥OSM支持多种运维访问协议，能够充分满足日常运维需要。 字符协议：SSHv1、SSHv2、TELNET、RLOGIN 图形

19、协议：RDP、VNC 文件传输协议：FTP、SFTP 数据库访问：Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL通过应用发布进行协议扩展，支持Radmin、Pcanywhere、 HTTP/HTTPS，支持定制开发其他访问协议及第三方客户端。通过应用发布使用运维工具访问目标资源，同样也有命令详情的审计，审计回放可支持协议回放和图形回放两种方式。3.3.2 对用户网络影响最小物理旁路、逻辑串联方式部署，不必更改现有的网络拓扑结构，同时不需要在被管理设备上安装任何代理程序，对用户业务和

20、网络结构影响最小。3.3.3 友好的用户交互体验系统的用户界面具备友好的用户交互体验。系统采用多窗口操作模式，各个功能界面之间可以快速切换，无需重复加载。同时系统支持多种目标资源访问方式，包括页面WEB访问、页面调用本地客户端访问，系统使用界面友好，能够最大程度适应不同用户的使用习惯。3.4 系统部署天玥-OSM采用物理旁路方式部署，不需改变现有网络结构，同时不需要在被管理设备上安装任何代理程序，只需确保天玥OSM和被管资源以及用户终端维护区域网络可达即可。终端维护区域用户使用WEB浏览器通过https协议登录系统，经过用户身份认证后，通过资源列表单点登录至被管目标资源。根据平安医院环境，部署方式可分为单机和双机部署方式以及分布式部署。3.4.1 单台部署如图所示，天玥OSM在部署时只需要为其分配一个独立IP地址即可，无需对网络拓扑结构进行任何调整。一般而言，天玥OSM部署在服务器所在网段，同时天玥OSM的IP地址通过网络设备发布到外部网络中供运维人员访问。部署天玥OSM后，内部服务器的维护端口只需开放给运维审计系统，无需再让运维人员直接访问。对运维人员，只需开放天玥OSM的访问端口，从而进一步加强内部服务器的安全性。