堡壘機在等保2.0中的控制點及核心功能
對運維人員的細粒度訪問控制、運維過程的步步管控、全方位的操作審計,實現(xiàn)運維過程的“事前預防、事中控制、事后審計”,契合等保2.0中安全管理中心和安全計算環(huán)境的相關(guān)要求。
1、集中認證:托管主機的賬戶和密碼,運維人員直接點擊<登錄>即可成功自動登錄到目標主機中進行運維操作,無需輸入主機的賬戶和密碼,支持雙因素認證。
2、集中賬號:支持多種用戶角色,每種用戶角色的權(quán)限都不同,為用設(shè)立不同的角色提供了選擇,并且滿足合規(guī)對三權(quán)分立的要求。
3、集中權(quán)限:通過集中授權(quán),幫助客戶梳理用戶與主機直接的關(guān)系,并且提供一對一、一對多、多對一、多對多的靈活授權(quán)模式。
4、集中審計:對所有的操作進行詳細記錄,并提供綜合查詢功能;審計日志可以在線播放也可以離線播放,所有的審計日志支持自動備份和自動歸檔。
安全通信網(wǎng)絡(luò)層面要求與相關(guān)功能
控制點1:網(wǎng)絡(luò)架構(gòu)
測評項:應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余,保證系統(tǒng)的可用性。
控制點2:通信傳輸
測評項:應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性。
相關(guān)功能
1、支持HA主備模式,管理口和心跳口須支持多鏈路端口綁定功能,防止單網(wǎng)卡或單線故障。2、支持多臺堡壘機異地備份部署,每臺設(shè)備都能提供運維和審計服務(wù),配置數(shù)據(jù)自動同步。3、支持集群部署模式,中心采用HA,節(jié)點可以橫向擴展,實現(xiàn)統(tǒng)一登錄入口、統(tǒng)一配置同步、審計日志集中存儲、實時會話集中監(jiān)控,以滿足業(yè)務(wù)增長需求。
4、內(nèi)置VPN模塊,無需與其他VPN設(shè)備聯(lián)動,實現(xiàn)運維入口安全接入。
安全計算環(huán)境層面要求與相關(guān)功能
控制點1:身份鑒別
測評項:
1、應(yīng)對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換;
2、當進行遠程管理時,應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;
控制點2:訪問控制
測評項:
1、應(yīng)對登錄的用戶分配賬戶和權(quán)限;
2、應(yīng)重命名或刪除默認賬戶,修改默認賬戶的默認口令;
3、應(yīng)授予管理用戶所需的最小權(quán)限,實現(xiàn)管理用戶的權(quán)限分離;
4、應(yīng)由授權(quán)主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則;
控制點3:安全審計
測評項:
1、應(yīng)啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計
2、審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息;
3、應(yīng)對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;
相關(guān)功能:
1、內(nèi)置手機APP 認證(谷歌動態(tài)口令驗證)、OTP 動態(tài)令牌、USBkey 雙因素認證引擎。提供短信認證、AD、LDAP、RADIUS 認證接口。
2、內(nèi)置VPN模塊,無需與其他VPN設(shè)備聯(lián)動,實現(xiàn)運維入口安全接入。
3、支持用戶多角色劃分功能,如系統(tǒng)管理員、部門管理員、運維員、審計管理員、密碼管理員等,對各類角色需要進行細粒度的權(quán)限管理。
4、支持定期自動修改windows服務(wù)器、網(wǎng)絡(luò)設(shè)備、linux/unix等目標設(shè)備密碼功能。
5、支持通過基于時間、IP/IP段、用戶/用戶組、設(shè)備/設(shè)備組、設(shè)備賬號、命令關(guān)鍵字、控制動作、黑白名單等組合訪問控制策略,授權(quán)用戶可訪問的目標設(shè)備。
6、支持對運維操作會話的起止時間、來源用戶、來源IP、目標設(shè)備、協(xié)議/應(yīng)用類型、命令記錄、操作內(nèi)容(如對文件的上傳、下載、刪除、修改等操作等)的詳細行為日志。
7、支持對會話的錄像進行定期歸檔。
安全管理中心層面要求與相關(guān)功能
控制點1:系統(tǒng)管理
測評項:應(yīng)對系統(tǒng)管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作,并對這些操作進行審計;
相關(guān)功能:
1、支持C/S、B/S、H5等方式進行代理運維
2、支持管理Linux/Unix 服務(wù)器、Windows 服務(wù)器、網(wǎng)絡(luò)設(shè)備、文件服務(wù)器、Web 系統(tǒng)、數(shù)據(jù)庫服務(wù)器、虛擬服務(wù)器、遠程管理服務(wù)器等。
3、兼容Xshell 、XFTP 、SecureCRT 、MSTSC 、VNC Viewer 、Putty 、WinSCP、FlashFXP、SecureFX、OpenSSH 等多種客戶端工具。
4、支持通過基于時間、IP/IP段、用戶/用戶組、設(shè)備/設(shè)備組、設(shè)備賬號、命令關(guān)鍵字、控制動作、黑白名單等組合訪問控制策略,授權(quán)用戶可訪問的目標設(shè)備。
