资源管理 - OSA运维安全审计系统
我要咨询
我要试用
我要合作
联系我们
帐号管理
帐号创建及维护
主帐号创建
主帐号创建可以理解为主帐号的入职。由超级管理员负责为新增用户创建主帐号,这些主帐号具有不同资源的访问权限。
主帐号的基本信息包括:主帐号ID,名称,密码,密码策略,访问时间策略,访问锁定策略,客户端地址策略,状态,手机,电话,邮件,通信地址等。
基本信息维护
基本信息维护同样分为两个方面:第一个方面是主帐号自维护基本信息,包括,用户的名称,口令,手机,电话,通信地址等, 第二个方面是管理员负责维护主帐号基本信息,内容囊括了所有第一方面的内容外,还包括:密码策略的分配,访问时间策略的分配,访问锁定策略的分配,客户端地址策略的分配等。
主帐号资源访问授权
主帐号资源访问授权是主帐号访问资源的必要环节,只有经过此项授权的主帐号, 才能够访问资源。针对每个授权都可以指定它的访问时间策略,客户端地址策略,主机命令策略等。
主帐号锁定
锁定状态是主帐号状态的一种,主帐号锁定可以有两种情况发生。第一种是由于主帐号分配了锁定策略,并且登录时连续输入错误口令次数超出了访问锁定策略规定的范围,导致主帐号处于锁定状态;另一种是由管理员维护主帐号信息时,点击了该主帐号的锁定按钮,致使该主帐号处于锁定状态。
主帐号删除
主帐号删除功能是将主帐号基本资料彻底从金盾运维安全审计系统中删除。删除的主帐号应该是无用处的帐号。及时删除僵尸帐号,这样保证了整个业务的完整性,也可防止其他人员使用僵尸帐号进行破坏行为。
资源管理
资源创建及维护
资源创建
资源创建是对设备的基本信息进行录入,内容包括:资源名称、IP地址、描述等。
基本信息维护
基本信息维护主要针对设备的常见配置信息,例如IP地址,密码策略,资源名称等。
资源类型分类
资源分类大体分为以下几种:
Unix主机(Aix,UNIXWARE,SCO Unix,Linux)
Windows主机(WindowsXp,Windows2000,Windows2003、server、2008等)
网络设备(路由器、交换机、安全设备等)
数据库(oracle、sql server、Mysql、DB2、Sybase
应用系统(vsphere clinet、weblogic
资源从帐号管理
资源从帐号是资源访问的工具。资源从帐号管理主要依附于资源管理,每一个资源都包含从帐号管理功能。管理员可以对资源的从帐号进行添加和删除。
资源删除
资源在不使用的时候可能会要求删除,这里提供删除资源的功能。资源删除需要一个条件,就是该资源不能有任何从帐号。 如果包含从资源帐号,需要首先删除从帐号。
授权管理
集中授权
在集中授权里强调的“集中”是逻辑上的集中,而不是物理上的集中。即在各网络设备、主机系统、应用系统中可能还拥有各自的权限管理功能,管理员也由各自的归口管理部门委派,但是这些管理员从统一的授权系统进去以后,可以对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。
授权的对象包括主帐号、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以限制用户的操作,以及在什么时间进行操作这样基于应用内部的细粒度授权。
资源授权
资源授权的范围主要包括主机、网络设备、应用系统等。对资源授权分为实体授权和资源级授权。
实体级集中授权,授权粒度只精确到设备、主机,就是用户是否有权连接某个IP地址+端口。
实体内部资源级集中授权,授权粒度精确到设备、主机内的指令。例如能执行哪些指令,不能执行哪些指令。
金盾运维安全审计系统通过对用户授权,可以定义用户可以访问哪些设备,以及以什么样的方式在什么时间访问,可以防止未被授权的用户对资源的访问。
认证管理
集中认证
金盾运维安全审计系统通过集中认证的方式,为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式, 提高认证的安全性和可靠性。
外部认证
金盾运维安全审计系统支持双因素等外部认证方式,而且系统具有灵活的定制接口,可以方便的与其它第三方认证服务器进行结合。
策略管理
主机命令策略
主机命令策略是对类Unix系统的命令的管理要求。它包含三种类型:允许使用的命令、需审批的指令和不允许使用的命令。主机命令策略能够定义一组命令, 这些命令能够匹配不同用户在资源中输入的命令,可以限制或允许用户执行该策略中定义的命令。
客户端地址策略
客户端地址策略是对资源帐号访问资源的地址管理要求。它包含两种类型:允许访问的客户端和不允许访问的客户端。客户端地址策略能够基于网段的管理, 例如一条客户端地址策略能够限制仅能从一个网段发起对一个资源的访问权限,限制其它网段发起的资源访问,能够有效防止来自未经授权的IP地址的恶意攻击。
访问时间策略
访问时间策略是对主帐号访问金盾运维安全审计系统和资源的时间管理要求。它包含两种类型:允许访问的时间段和不允许访问的时间段。访问时间策略能够定义一段日期范围内的具体某一个或多个时辰,该策略可以限制一个主帐号允许在这个时间范围内访问金盾运维安全审计系统资源或不能访问金盾运维安全审计系统资源,有效的限制在繁忙期或特殊期主帐号对资源的访问。
访问锁定策略
访问锁定策略是对主帐号访问金盾运维安全审计系统的管理要求。该策略可以制定主帐号用户在错误输入口令多次后,对该主帐号进行锁定的策略。 该功能能够有效限制恶意破解口令行为。
自动改密策略
密码策略是对帐号和主帐号口令的管理要求,它要求对以上两种口令做口令长度,有效期,密码强度的控制,规范用户设定密码的强度,防止口令因为过于简单易于猜测而被破解的隐患,从而提高企业内部管理的安全性,降低资源损失风险。
单点登陆策略
金盾运维安全审计系统提供了基于B/S的单点登录平台,该平台包含了当前用户能够访问的资源列表。每条记录表示可以访问的一个帐号,而且提供这个帐号的访问方式。用户可以根据自己的需要使用不同的访问方式访问,例如主机系统,网络设备等资源。
由于进入单点登录的用户都是合法用户,用户通过金盾运维安全审计系统的单点登录模块访问资源时无需输入资源帐号的口令,因此,单点登录环节应提供更加安全的措施以保证访问资源会话的完整性。金盾运维安全审计系统的单点登录部分采用基于一次性会话号的方式,即在用户访问资源时,金盾运维安全审计系统提供一个临时使用的动态会话号,用户使用该一次性会话号访问资源,整个过程是自动完成的,从而即保证了会话的完整性,又提高了这个会话的安全性。
审计管理
内部审计
金盾运维安全审计系统会将所有人员的操作记录为日志。用户可以在金盾运维安全审计系统中查看相关审计日志,以及产生各种审计报表。
集中审计管理主要审计人员的帐号管理、认证、帐号分配情况、权限分配情况、帐号使用(登录、资源访问、操作行为)情况等。
对帐号分配情况的审计:包括主帐号与从帐号的对应关系,主帐号、从帐号的创建时间、创建人等。
对登录过程和用户身份的审计。按照IP、时间、主从帐号、资源、关键操作和关键数据进行规则过滤。
审计内容
能够对本系统运行的全部行为,包括任何人(含系统管理员)的任何操作进行记录。
系统通过单点登录,统一认证方式,将某个帐号的操作行为与主帐号关联,实现对主帐号行为审计的目的。
能够对主机,网络设备,安全设备等的所有用户指令操作的记录。
系统能够实现对特定信息进行统计关联(某时间段内发生次数)审计。
审计查询条件
审计查询支持交互式查询。主帐号、信息类型(非法登录、非法操作、重大操作、敏感数据访问)、内容、时间进行查询,查询可以通过与、或方式进行多级查询条件组合,提高查询准确性。例如查询2009-2-20 23:00:00至2009-2-21 04:00:00期间内,配置过10.34.56.78交换机的全部日志。
提供对查询条件的自定义设置,将查询条件进行保存,减少查询的操作复杂。
丰富报表
系统可以按照用户定义条件,以及系统自定义的报表模板制定综合报表;系统可按照访问者、被保护对象、行为方式、操作内容等自动生成统计报表, 并能按照用户的要求添加、修改报表数量、格式及内容,以满足审计的要求。
还原审计
审计管理以集中的资源管理为基础,实现用户资源访问会话的还原审计。
对于字符访问,可以还原完整的用户会话内容。金盾运维安全审计系统在会话层记录各种操作命令,形成会话日志,进行审计。
对于RDP类访问,可以对用户的会话进行录像,完整记录用户的图形操作。
Copyright © 2017 goldencis Inc. All rights reserved.   山东华软金盾软件股份有限公司  鲁ICP备09047076号