产品目标
针对企业内部的网络设备和服务器,对字符终端、图形终端等访问方式进行监控和审计,实现对用户运维过程的标准化管理,满足企业内部网络对核心资源的访问安全的要求,为企业内部网络的安全运行保驾护航。
设计理念
- 集中管理模式:集中的资源访问入口、集中帐号管理、集中授权管理、集中认证管理、集中审计管理等等。
- 协议代理:通过协议代理方式,实现集中管理和审计。
- 身份授权分离:在堡垒主机上建立主帐号体系,用于身份认证,原各IT系统上的系统帐号仅用于系统授权,这样可以有效增强身份认证和系统授权的可靠性,从本质上解决帐号管理混乱问题,为认证、授权、审计提供可靠保障。
主要功能
- 单点登录:用户通过一次登录系统后,就可以无需认证的访问被授权的多种基于B/S、C/S的应用系统。
- 集中帐号管理:对所有服务器、网络设备帐号的集中管理。
- 身份认证:为用户提供统一的认证接口,包括静态密码、Windows NT 域、Windows Kerberos、双因素、一次性口令和生物特征等多种认证方式。
- 资源授权:通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。
- 访问控制:提供细粒度的访问控制,最大限度保护用户资源的安全。
- 操作审计:审计操作人员的帐号使用(登录、资源访问)情况、资源使用情况等。
产品优势
- 良好的扩展性:从4A解决方案中抽象出来,提供最便捷的4A项目集成方案。
- 强大的审计功能:精确记录用户操作时间,审计结果支持多种展现方式,让操作得以完整还原。
- 部署和使用简单:不需要在被管理设备上安装代理程序;不需要改变网络的物理拓扑结构;不影响被管理设备的运行;管理员和操作员都使用WEB方式操作,操作简单。
- 高成熟性和安全性:采用成熟的先进技术开发研制。系统运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安全手段,保证产品的安全性。
部署方案
堡垒主机部署在被管理服务器的访问路径上,通过防火墙或者交换机的访问控制策略限定只能由堡垒主机直接访问服务器的远程维护端口。维护人员维护被管理服务器或者网络设备时,首先以WEB方式登录堡垒主机,然后通过堡垒主机上展现的访问资源列表直接访问授权资源。
客户收益
- 实现集中帐号管理,降低管理费用
- 实现集中身份认证和访问控制,避免冒名访问,提高访问安全性
- 实现集中授权管理,简化授权流程,减轻管理压力
- 实现单点登录,规范操作过程,简化操作流程实现实名运维审计,满足安全规范要求