首页 >> 产品中心 >>安全 >> 金盾安全管理与运维审计系统
详细说明

金盾安全管理与运维审计系统

收藏
  • 产品说明
  • 产品参数

产品定位


金盾安全管理与运维审计系统 ZX-OAS是一种被加固的可以防御进攻的计算机,具备坚强的安全防护能力。中新金盾安全管理与运维审计系统 ZX-OAS扮演着看门者的职责,所有对网络设备和服务器的请求都要从这扇大门经过。因此中新金盾安全管理与运维审计系统 ZX-OAS能够拦截非法访问和恶意攻击,对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。中新金盾安全管理与运维审计系统 ZX-OAS具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来;具备审计回放功能,能够模拟用户的在线操作过程,丰富和完善了网络的内控审计功能。中新金盾安全管理与运维审计系统 ZX-OAS能够在自身记录审计信息的同时在外部某台计算机上做存储备份,可以极大增强审计信息的安全性,保证审计人员有据可查。

 

金盾安全管理与运维审计系统 ZX-OAS还具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix平台的X11方式图形终端操作。为了给系统管理员查看审计信息提供方便性,中新金盾安全管理与运维审计系统 ZX-OAS提供了审计查看检索功能。系统管理员可以通过多种查询条件查看审计信息。极大的保护单位内部网络设备及服务器资源的安全性,使得单位内部网络管理合理化和专业化。



功能特点

管理多种运维操作方式

金盾安全管理与运维审计系统 ZX-OAS在不改变用户使用习惯的前提下,可管理以下多种运维操作方式:

l  字符终端运维操作:

终端命令行操作:Telnet、SSH。

文本菜单终端HP的SAM,IBM的SMIT,LINUX的SETUP等。

l  图形终端操作:RDP、X11、VNC。

l  文件传输操作:FTP、SFTP、SCP、RDP磁盘通道、剪贴板等文件传输。

l  应用终端操作:

基于WEB操作:http、https。

基于C/S应用终端操作:AS400。

l  KVM Over IP操作:Avocent、Raritan。

Avocent 管理终端DSR、DSVIEW。

力登管理终端:RARITAN、RARITAN_CC。

l  数据库运维操作:Oracle、DB2、Informix、Sybase、MS SQL等。

l  具备高度扩展性,可支持各种已知和未知的B/S、C/S管理终端的操作。

 

良好的扩展性

金盾安全管理与运维审计系统 ZX-OAS产品从4A解决方案中抽象出来,提供最便捷的4A项目集成方案。在程序结构上充分考虑到4A项目和非4A项目的使用场景,以先进的体系结构,清晰合理的模块划分实现多种用户场景的适用性。在4A项目中,中新金盾安全管理与运维审计系统 ZX-OAS放弃账号、认证、授权的集中管理,只提供执行单元,完成访问控制和操作审计功能;在非4A项目中中新网安将4A的一些理念融合到的中新金盾安全管理与运维审计系统 ZX-OAS产品中,除提供基础的访问控制和操作审计功能外,还提供精简的账号、认证、授权集中管理功能。

 

强大的审计功能

精确记录用户操作时间。

审计结果支持多种展现方式,让操作得以完整还原。

审计结果可以录像回放,支持调节播放速度,并且回放过程中支持前后拖拽,方便快速定位问题操作。

方便的审计查询功能,能够一次查询多条指令。

 

使用简单,适应各种应用

不增加操作和维护的复杂度,不改变用户的使用习惯,不影响被管理设备的运行。

统一操作入口,统一登录界面,管理员和操作员都使用WEB方式操作,操作简单。可对所有UNIX类服务器、LINUX类服务器、Windows类服务器、网络\安全等重要设备的进行统一操作管理。

统一运维工具,不需要用户安装SSHClient、Neteam、SecureCRT等运维工具,即可采用RDP、Telnet、FTP、SSH等常用运维方式对被管资源进行操作。

 

绿色部署、迅速上线

物理旁路部署,不需要在被管理设备上安装代理程序,不改变原有的网络拓扑结构,不更改用户网络设备上的配置,不影响任何业务数据流,几分钟就可以部署完毕。(相比传统集中管理而言)

 

实现运维命令的实时审计和拦截控制

对于普通用户登录到目标设备上正在进行的操作,审计管理员可以通过金盾安全管理与运维审计系统 ZX-OAS的WEB界面做到实时监控,做到边操作边审计,真正实现操作透明。同时对于用户的违规操作,审计管理员还可以做到实时切断。(相比传统的并行网络侦听审计而言)

 

加密协议审计

金盾安全管理与运维审计系统 ZX-OAS支持对SSH、SFTP等加密类协议,以及RDP、VNC、X11等图形协议进行全面审计。可以记录操作命令、操作过程中的键盘事件,同时可以对操作过程进行实时监控、录像、回放。(相比并行审计)

 

逻辑命令自动识别技术

金盾安全管理与运维审计系统 ZX-OAS自动识别当前操作终端,对当前终端的输入输出进行控制,组合输入输出流,自动识别逻辑语义命令。系统会根据输入输出上下文,确定逻辑命令编辑过程,进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能,在传统键盘捕获与控制领域取得新的突破,可以更加准确的控制用户意图。

该技术能自动识别命令状态和编辑状态以及私有工作状态,准确捕获逻辑命令。

 

智能负载均衡技术

金盾安全管理与运维审计系统 ZX-OAS采用智能负载均衡技术为运维管理提供了三级全面冗余机制:

l  当多台运维审计系统同时提供访问时,每台运维审计系统可以设为正常工作状态或备份状态,或者同时设定为正常工作状态。系统根据管理员事先设定的负载算法和当前网络的实际的动态的负载情况决定下一个用户的请求将被重定向到的运维审计系统。而这一切对于用户来说是完全透明的,用户完成了对运维服务的请求,并不用关心具体是哪台服务器完成的。

 

l  对于整个运维审计系统系统,资源得到充分的利用和冗余。一般情况下不同应用服务的用户数目是不尽相同的,对于被管服务器资源的消耗也有所不同。如果对每一种应用只采取单独的机器提供服务,不但存在单点故障问题,同时每台运维审计系统的利用也是不均匀的,可能存在大量的运维请求,使单一的运维审计系统负荷超重;而同时其它临近的运维审计系统却处在基本空闲状态。这也是一种系统资源的浪费,同时用户得到的服务也不够快捷。在引入了智能负载均衡技术的的金盾安全管理与运维审计系统 ZX-OAS群中,每台运维审计系统的资源得到了充分利用,并减少了单点故障的问题。

 

l  智能负载均衡也可以引入冗余备份机制。的金盾安全管理与运维审计系统 ZX-OAS负载均衡在网络层次上起到类似"路由器"的作用,并利用专用的数据通信转发技术完成智能的负载分配的工作。它的单点故障问题可以通过在系统中引入另外一台运维审计系统设备来完成。的中新金盾安全管理与运维审计系统 ZX-OAS冗余备份通过网络互相监测,一旦其中一台不能正常工作,另一台将接管其所有的任务。

 

正则表达式匹配技术

金盾安全管理与运维审计系统 ZX-OAS采用正则表达式匹配技术,将正则表达式组合纳入树型可遗传策略结构,实现控制命令的自动匹配与控制。树型可遗传策略适合现代企业单位的管理架构,为服务器的分层分级管理与控制提供了强大的工具。

 

图形协议代理

为了对图形终端操作行为进行审计和监控,金盾安全管理与运维审计系统 ZX-OAS对图形终端使用的协议进行代理,实现多平台的多种图形终端操作的审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix平台的X11方式图形终端操作。

 

多进程/线程与同步技术

金盾安全管理与运维审计系统 ZX-OAS主体采用多进程/线程技术实现,利用独特的通信和数据同步技术,准确控制程序行为。多进程/线程方式逻辑处理准确,事务处理不会发生干扰,这有利于保证系统的稳定性、健壮性。

 

通信数据加密技术

金盾安全管理与运维审计系统 ZX-OAS在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性,防止恶意用户截获和篡改数据,充分保护用户在操作过程中不被恶意破坏。

 

审计查询检索功能

在《萨班斯法案》、《ISO27001/BS7799》、《企业内部控制规范》等标准中,均明确要求企业内控必须有严格的审查,由此企业的内部审计显得格外重要。中新金盾安全管理与运维审计系统 ZX-OAS能够为企事业单位的内部网络提供完全的审计信息,这些审计信息能够为单位追踪用户行为,判定用户行为等,能够还原出用户的操作行为。传统审计关联到IP、MAC、公用账号等,这本身是一个不确定的和不负责任的审计结果,因为IP、MAC、公用账号信息并不能够真实反应出真实的操作者是谁,同时,各IT应用系统的审计是相互独立,没有关联,导致企业单位内部网络出现问题不能有效追踪到操作者。中新金盾安全管理与运维审计系统 ZX-OAS能够对这些用户行为进行关联审计,就是说真正能够把每一次审计出的用户操作行为绑定到自然人身上,便于单位内部网络管理追踪到个人,无法抵赖,真正做到实名制管理。

 

操作还原技术

操作还原技术是指将用户在系统中的操作行为在真实的环境中模拟显现出来,审计管理员可以根据操作还原技术还原出真实的操作,以判定问题根源所在。中新金盾安全管理与运维审计系统 ZX-OAS采用操作还原技术能够将用户的操作流程自动地展现出来,能够监控用户的每一次行为,判定用户的行为是否对单位内部网络安全造成危害。

 

客户价值 

 

统一平台管理

金盾安全管理与运维审计系统 ZX-OAS为用户提供了横跨所有UNIX类服务器、LINUX类服务器、Windows类服务器、网络\安全等重要设备的统一操作管理平台,统一操作管理入口,并对用户操作管理等网络访问行为进行控制,避免用户直接接触目标服务器重要资源,构建安全规范的服务器操作管理唯一通道。金盾安全管理与运维审计系统 ZX-OAS不改变用户原有使用习惯,提供了字符终端平台、图形终端平台、文件传输平台、应用中心操作等多种平台,实现虚拟应用集中发布操作统一管理。

 

全面操作审计

金盾安全管理与运维审计系统 ZX-OAS支持Unix/Linux/Windows等主机及网络设备的运维操作审计,支持主流数据库(DB2、Oracle、MSSQL、Mysql等)客户端的运维操作审计,还支持各种B/S、C/S多业务应用操作审计,金盾安全管理与运维审计系统 ZX-OAS完整记录会话的整个过程,并形成会话日志和事件回放文件。消除安全审计盲点,全面审计网络操作行为。

 

提高设备可用性,网络安全性

通过部署金盾安全管理与运维审计系统 ZX-OAS,可以减轻设备的运维强度,降低IT运维管理的复杂度,帮助企业提高IT设备的可用性;减少网络中原来所有服务器都需要对外开放维护端口的暴露,做到由单一的运维审计系统提供对外维护端口,提高网络安全性。

 

完善责任认定体系

通过部署中新金盾安全管理与运维审计系统 ZX-OAS,所有系统管理人员、第三方系统维护人员,都将通过运维审计系统来实施网络管理和服务器维护,对所有的操作行为,都做到可记录、可控制,审计人员通过定期对维护人员的操作审计,可以规范运维人员的操作,真正做到“事前可知,事中可控,事后可查”。

 

规范操作管理

通过金盾安全管理与运维审计系统 ZX-OAS,可以实现操作透明化,对于用户的任意操作,可以通过web界面实时监控,无论是内部运维人员以及外包运维商所做的所有操作都会被真实完整地记录下来。对于操作实现可控,对于存在风险的操作可以实现事前以及事中的控制。通过权限控制,可以主动切断用户的高危操作,也可以对于用户的违规操作,可以实时切断。

金盾安全管理与运维审计系统 ZX-OAS将用户从繁琐的密码管理工作中解放出来,投入到其他工作上,对第三方代维厂商的维护操作也不再需要专门陪同,从而有效提高了操作管理效率。

 

规避操作风险

金盾安全管理与运维审计系统 ZX-OAS强大的权限控制和安全审计功能,可以用户充分符合《萨班斯法案》、《ISO27001/BS7799》、《企业内部控制规范》等信息安全标准,符合等级保护要求。规范本行操作人员和第三方代维厂商的操作行为。通过部署中新金盾安全管理与运维审计系统 ZX-OAS,所有系统管理人员,第三方系统维护人员,都将通过运维审计系统来实施网络管理和服务器维护,对所有的操作行为,都做到可记录、可控制,审计人员通过定期对维护人员的操作审计,可以提高维护人员的操作规范性。对于第三方代维厂商,通过中新金盾安全管理与运维审计系统 ZX-OAS保证让他们所有的操作行为变得可视,可控,可管,可追踪,实现对第三方代维厂商的有效监管。所有网络设备和服务器上的所有终端命令行以及图形界面的操作,都会被真实完整地记录在中新金盾安全管理与运维审计系统 ZX-OAS内,当发生任何安全问题或对代维方的操作产生争议时,都可通过录像的回放再现真实场景,帮助快速反应定位故障点和责任人。审计过程可根据命令、时间、账号等多种关键字快速检索,并可直接生成报表输出。


产品详细介绍

1 系统架构

 

 

2 引入4A管理理念

中新金盾安全管理与运维审计系统 ZX-OAS采用4A的管理理念,圆满地解决用户现在面临的种种运维问题。

 

如图,IT运维管理由账号管理、认证管理、授权管理、操作管理组成:

帐号管理,需要在各系统上为新用户建立帐号、为已有用户修改帐号、为离职用户删除帐号。

认证管理,要保证各系统不被越权访问,那么就必须做好认证管理,为系统帐号定义密码、定期要求帐号密码修改、控制密码强度等等。

授权管理,授权过程其实就是把各系统上建立的帐号分配给操作人员的过程,管理员要定义帐号的权限,然后做帐号分配,根据用户置位调整做相应的帐号权限修改。

操作审计,管理员要定期做服务器的巡检,分析各系统上的日志,查看是否有越权访问,查看是否有误操作,如果有事故还需要根据日志进行故障排查和事故追踪。

以上也就是4A管理,中新金盾安全管理与运维审计系统 ZX-OAS融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素,并且涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表 

3 SSO单点登录

中新金盾安全管理与运维审计系统 ZX-OAS提供了基于B/S的单点登录系统,用户通过访问WEB页面一次登录系统后,就可以无需认证的访问被授权的多种基于B/S和C/S的应用系统。单点登录为具有多账号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高工作效率。同时,由于系统自身是采用强认证的系统,从而提高了用户认证环节的安全性。

单点登录可以实现与用户授权管理的无缝链接,可以通过对用户、角色、行为和资源的授权,增加对资源的保护和对用户行为的监控及审计。

 

4 集中账号管理

中新金盾安全管理与运维审计系统 ZX-OAS的集中账号管理包含对所有服务器、网络设备账号的集中管理。账号和资源的集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对账号整个生命周期的监控和管理,而且还降低了管理大量用户账号的难度和工作量。同时,通过统一的管理还能够发现账号中存在的安全隐患,并且制定统一的、标准的用户账号安全策略。

通过建立集中账号管理,单位可以实现将账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足审计的需要。

 

5 集中身份认证

中新金盾安全管理与运维审计系统 ZX-OAS主机为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。

集中身份认证支持电子证书、Windows AD域、Windows Kerberos、双因素、动态口令和生物特征识别等多种认证方式,而且系统具有灵活的定制接口,可以方便的与第三方LDAP认证服务器对接。

6 统一资源授权

中新金盾安全管理与运维审计系统 ZX-OAS提提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断

在集中访问授权里强调的“集中”是逻辑上的集中,而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能,运维人员也由各自的归口管理部门委派,这些运维人员可以通过的中新金盾安全管理与运维审计系统 ZX-OAS对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够实现授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以实现限制用户的操作,以及在什么时间、什么地点进行操作等的细粒度授权。

7 细粒度访问控制

能够提供细粒度的访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其系统行为,管理员会根据其自身的角色为其指定相应的控制策略来限定用户。

访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。

基于细粒度的访问控制下,中新金盾安全管理与运维审计系统 ZX-OAS真正做到了:

Who(谁): 控制什么用户允许操作。

Where(什么地点):控制来源于什么地址的用户允许访问什么资源。

When(什么时间): 控制在什么时间允许用户操作。

What(做了什么): 控制用户执行的操作。

8 运维操作审计

操作审计管理主要审计操作人员的账号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后,操作审计能更好地对账号的完整使用过程进行追踪。

系统支持对如下协议进行审计:Telnet、FTP、SSH、RDP(Windows Terminal)、X windows、VNC等

通过系统自身的用户认证系统、用户授权系统,以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方。

对于生成的日志支持丰富的查询和操作:

支持按服务器方式进行查询。

通过对特定服务器地址进行查询,可以发现该服务器上发生的命令和行为。

支持按用户名方式进行查询。

通过对用户名进行查询,可以发现该用户的所有行为。

支持按登录地址方式进行查询。

通过对特定IP地址进行查询,可以发现该地址对应主机及其用户在服务器上进行的所有操作。

支持按照登录时间进行查询。

通过对登录时间进行查询,可以发现特定时间内登录服务器的用户及其进行过的所有操作。

支持对命令发生时间进行查询。

可以通过对命令发生的时间进行查询,可以查询到特定时间段服务器上发生过的所有行为。

支持对命令名称进行查询。

通过查询特定命令如ls,可以查询到使用过该命令的所有用户及其使用的时间等。

支持上述六个查询条件的任意组合查询。

如,可以查询“谁(用户名)”“什么时间登录(登录时间)”服务器并在“什么时间(命令发生时间)”在“服务器(目标服务器)”上执行过“什么操作(命令)”。

支持对日志的备份操作处理。

支持对日志的删除处理。在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后,操作审计能更好地对账号的完整使用过程进行追踪。

系统支持对如下协议进行审计:Telnet、FTP、SSH、RDP(Windows Terminal)、X windows、VNC等

通过系统自身的用户认证系统、用户授权系统,以及访问控制等详细记录整个操作过程。


底部导航
友情链接
联系方式
公司二维码
扫一扫,添加二维码!

联系电话:029-87308261

联系邮箱:jianglong@jianglongtec.com

联系地址:陕西省西安市雁塔区科创路南侧168号

                 西电科技园C座617

微信公众号:jianglong_598

×