点击图片查看原图
Internal Control Fort Gateway
简介
电信、财政、税务、公安、金融、电力、石油、政府、门户网站等各大行业,使用数量众多的服务器、路由器、交换机、安全设备等来运行关键业务。由于设备众多、系统操作人员复杂等因素,导致越权访问、误操作、资源滥用、疏忽泄密等时有发生。黑客的恶意访问也有可能获取系统权限,闯入用户的内部网络,造成不可估量的损失。终端的账号和口令的安全性,也是安全管理中难以解决的问题。如何提高系统运维管理水平,满足相关法规的要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,越来越成为内部网络控制中的核心安全问题。
《信息安全等级保护管理办法》、《涉及国家秘密的信息系统分级保护管理规范》、《企业内部控制基本规范》、《萨班斯法案》等安全法规,也要求信息系统采用强制访问控制手段,做到能够控制、限制和追踪用户的行为,判定用户的行为是否对用户内部网络的安全运行带来威胁。
内控堡垒主机应用了目前先进的技术作为支持,针对用户内部网络设备和服务器进行保护,对此类资产的常用访问方式进行监控和审计,实现对用户行为的控制、追踪、判定,满足用户内部网络对安全性的要求。
系统功能
单点登录:用户登录堡垒主机后,能直观展现所有授权资源,并且访问资源时不用再次认证,避免频繁的登录和退出操作。单点登录可以实现与用户授权管理的无缝链接,可以通过对用户、角色、行为和资源的授权,增加对资源的保护和对用户行为的监控及审计。
集中账号管理:通过建立集中账号管理,可以实现账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足实名审计的需要。
身份认证:内控堡垒主机为用户提供统一的认证接口,能够采用更加安全的认证模式,包括静态密码、双因素、一次性口令和生物特征等多种认证方式。而且可以方便地与第三方认证服务对接。
资源授权:内控堡垒主机可以对用户、角色、行为和资源进行授权,系统不但能够授权用户可以访问什么资源这样基于应用边界的粗粒度授权,还可以限制用户的在系统内的操作行为,以及在什么时间进行操作等的细粒度授权。
访问控制:细粒度的命令策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其操作行为。
操作审计:系统支持对如下协议进行审计:Telnet、FTP、SSH、RDP(Windows Terminal)、X windows、VNC等。
简介
电信、财政、税务、公安、金融、电力、石油、政府、门户网站等各大行业,使用数量众多的服务器、路由器、交换机、安全设备等来运行关键业务。由于设备众多、系统操作人员复杂等因素,导致越权访问、误操作、资源滥用、疏忽泄密等时有发生。黑客的恶意访问也有可能获取系统权限,闯入用户的内部网络,造成不可估量的损失。终端的账号和口令的安全性,也是安全管理中难以解决的问题。如何提高系统运维管理水平,满足相关法规的要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,越来越成为内部网络控制中的核心安全问题。
《信息安全等级保护管理办法》、《涉及国家秘密的信息系统分级保护管理规范》、《企业内部控制基本规范》、《萨班斯法案》等安全法规,也要求信息系统采用强制访问控制手段,做到能够控制、限制和追踪用户的行为,判定用户的行为是否对用户内部网络的安全运行带来威胁。
内控堡垒主机应用了目前先进的技术作为支持,针对用户内部网络设备和服务器进行保护,对此类资产的常用访问方式进行监控和审计,实现对用户行为的控制、追踪、判定,满足用户内部网络对安全性的要求。
系统功能
单点登录:用户登录堡垒主机后,能直观展现所有授权资源,并且访问资源时不用再次认证,避免频繁的登录和退出操作。单点登录可以实现与用户授权管理的无缝链接,可以通过对用户、角色、行为和资源的授权,增加对资源的保护和对用户行为的监控及审计。
集中账号管理:通过建立集中账号管理,可以实现账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足实名审计的需要。
身份认证:内控堡垒主机为用户提供统一的认证接口,能够采用更加安全的认证模式,包括静态密码、双因素、一次性口令和生物特征等多种认证方式。而且可以方便地与第三方认证服务对接。
资源授权:内控堡垒主机可以对用户、角色、行为和资源进行授权,系统不但能够授权用户可以访问什么资源这样基于应用边界的粗粒度授权,还可以限制用户的在系统内的操作行为,以及在什么时间进行操作等的细粒度授权。
访问控制:细粒度的命令策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其操作行为。
操作审计:系统支持对如下协议进行审计:Telnet、FTP、SSH、RDP(Windows Terminal)、X windows、VNC等。
l产品特色
l 树形无限级分组:支持主账号、被管资源、角色的分组管理,分组可以树形方式展现,不限制分组层级数量。
l 支持证书:主账号支持证书认证,也可以和其他认证方式结合,做组合认证,提高访问的安全性。例如,静态口令、证书、智能卡、各种人体特征(指纹、视网膜等)、动态令牌等等。
l 账号自动搜集:支持丰富的被管资源类型,包括:Linux/Unix主机、Windows主机、网元、交换机、路由器、防火墙、安全设备、数据库等。能够自动收集被管资源的账号,并进行资源账号的统一管理。
l 内含Radius服务器:网络设备可以将堡垒主机作为3A认证服务器,并通过密码策略来控制设备的密码强度,还可以设置密码变更计划,便于网络设备的账号、认证、授权管理,满足SOX法案的要求。
l 4A系统无缝拓展:内控堡垒主机,是从4A解决方案中抽象出来的产品,提供最便捷的4A项目集成方案。以先进的软件体系结构、清晰合理的模块划分实现对各种4A项目和非4A项目用户场景的适用性。
l 访问控制策略:将访问控制配置抽象成四个策略:主机命令策略、访问时间策略、客户端地址策略、访问锁定策略,简化用户的配置和使用。
l 密码自动变更计划:支持所有被管设备的密码自动变更,密码变更可以根据密码策略的要求进行变更,变更的密码符合密码策略中关于密码强度的要求。
产品部署
