堡垒主机应用
时间:2023-02-21 21:36:01 | 来源:营销百科
时间:2023-02-21 21:36:01 来源:营销百科
堡垒主机应用:
1 政府行业的信息化现状政务电子化是信息社会政府管理发展的一种新趋势,已成为世界各国政府关注的焦点。
随着政务信息化的不断推进,业务应用、办公系统、商务平台的推出和投入运行,信息系统在企业的运营中全面渗透。使用数量较多的服务器主机来运行关键业务,提供电子政务、数据库应用、运维管理、ERP和协同工作群件等服务。由于服务器众多,系统管理员压力太大等因素,人为误操作的可能性时有发生,这会对部门或者企业声誉造成重大影响,并严重影响其经济运行效能。黑客和恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。如何提高系统运维管理水平,满足相关标准要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,成为企业越来越关心的问题。
2 政府行业的运维管理需求2.1 满足国家等级保护的政策性审核
1、用户账号权限需要得到严格管理控制,用户账号口令安全与登录安全需要得到加强监管;
2、信息系统的各种访问操作日志需要全面审计,包括网络、系统、数据、应用等几个方面;
3、进行远程信息系统操作时,能够保障通信链路可信、及通讯数据加密。
2.2 符合企业内部控制基本规范的要求
2010年,财政部、证监会、审计署、银监会、保监会印发的《企业内部控制应用指引第18号――信息系统》中第十二条明确要求'企业应当建立用户管理制度,加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作'。
2.3 管理复杂,工作效率不高
1、支撑企业业务运行的IT系统主要由大量的网络设备、主机系统和应用系统组成,这些设备和系统从应用角度来分又分别属于不同的业务系统和部门,网络设备、主机系统等分别具备独立的用户管理、认证授权和审计系统。
2、各种系统由不同的系统管理员负责维护和管理,维护人员面对这些系统时,工作复杂程度成倍增加,并且需要频繁的登录注销,影响了工作效率。
2.4 账号共享、密码简单等网络安全隐患不可避免
1、 为了降低管理复杂度和难度,有些帐号被多人共用,这些帐号的扩散不容易控制,账号和密码信息容易外泄,安全事故也多由于这种帐号共用发生;
2、 对于维护人员来讲,频繁的切换系统,需要输入不同系统的用户名和口令进行登录,为了便于记忆,常有维护人员会采用比较简单的口令或多个系统使用同样的口令,紧急情况下还可能将自己的用户名和口令共享给他人使用,这些都对整个系统的安全性产生极大威胁。
2.5 对系统和网络设备的审计不集中、不全面
1、由于各个系统独立运行,对于系统运行日志、维护人员操作审计也只能分系统独立进行,系统发生故障时,必须逐个系统去排查问题,无法进行统一集中的问题排查,极大的降低工作效率,也造成了损失扩大的可能性;
2、并且不能做到实名审计,只能审计到账号,不能关联到自然人。
3 政府行业堡垒主机产品技术解决方案基于天融信堡垒主机(TA-SAG)政府行业技术解决方案是出于4A统一网络安全管理平台的理念,通过账号的集中管理、认证机制、授权机制、以及用户的操作行为审计等策略来对企业中的服务器、数据库、交换机、路由器(防火墙)等网络设备进行有效的控制和统一的管理以及全程的操作审计。
根据政府行业的现状和需求,天融信公司使用TA-SAG平台提出针对性的解决方案。该方案主要从以下六点着重考虑。
3.1 遵循与参考的标准和规范
1、国家保密标准BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》
2、国家保密标准BMZ1-2000,《涉及国家秘密的计算机信息系统保密技术要求
3、国家保密标准《计算机信息系统保密管理暂行规定》(国保发{1998}1号)
4、国家标准GB17859-1999,《计算机信息系统安全保护等级划分准则》
5、国家标准GB/T18336.2-2001,《信息技术 安全技术 信息技术安全性 评估准则 第2部分: 安全功能要求》
6、ISO27001/ISO17799:2005/BS7799,《信息安全管理技术规范》。
3.2 统一的帐号管理
1、管理员通过主帐号信息管理界面维护主帐号的整个生命周期,对主帐号进行增加、修改、删除及锁定、解锁等操作,同时设置主帐号的密码使用策略及用户的级别定义。
2、主帐号用户可以通过自服务功能管理自身帐号信息,对手机、邮件及密码等个人信息进行修改。
3、通过主账号与资源账号进行关联,同时也满足了实名审计的需要。
3.3 多种认证方式进行统一部署
1、用户通过用户名密码方式登录到天融信TA-SAG(堡垒主机)管理平台,选择资产从帐号,直接登录目标资产。
2、用户通过数字证书、动态令牌等方式登录到管理单元,由管理单元向执行单元发放一次性口令登录目标资产。
3.4 SSO单点登录
1、用户登录到天融信TA-SAG(堡垒主机)管理平台后,能够看到已授权的资源列表,直接选择目标资产及从帐号,由堡垒主机完成帐号及密码的代填,实现自动登录。
2、 同时减少了对服务器频繁登录注销的繁琐性,提高了工作效率。
3.5 更全面、更集中的日志审计
1、堡垒主机将每个自然人账号对其资源的操作进行全面的日志审计。
2、 日志审计支持通过服务器查询、自然人查询、登录地址等自定义条件的查询。
3.6 支持双机热备、可安全稳定的运行
堡垒主机支持双机热备,拥有完善的高可用性,可以保证系统长期、可靠的运行。