需求分析


随着企业信息化进程不断深入,企业的IT系统变得日益复杂,不同背景的运维人员违规操作导致的安全问题变得日益突出起来,主要表现在:内部人员操作的安全隐患、第三方维护人员安全隐患、高权限账号滥用风险、系统共享账号安全隐患、违规行为无法控制的风险。


运维操作过程是导致安全事件频发的主要环节,所以对运维操作过程的安全管控就显得极为重要。而防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题,但对于运维人员的违规操作却无能为力。如何转换运维安全管控模式,降低人为安全风险,满足企业要求,是当下所面临的迫切需求。

 

产品简介

产品简介


天玥运维安全网关V6.0(以下简称天玥OSM系统)是一种管控和审计运维人员操作的网络安全设备。

管理员可以使用天玥OSM系统控制运维人员能运维哪些设备,执行哪些操作命令,避免运维人员非法或无意执行高危操作,并对运维人员的操作进行实时监控和事后审计。

运维人员通过天玥OSM系统做运维,不必记录设备的ip地址、用户名、口令等信息,也避免这些敏感信息的泄露,极大地方便了运维工作,提升运维效率。

天玥OSM系统对整个运维过程从事前预防、事中控制和事后审计进行全程参与。

事前预防:建立“自然人-资源-资源账号”关系,实现统一认证和授权。

事中控制:建立“自然人-操作-资源”关系,实现操作审计和控制。

事后审计:建立“自然人-资源-审计日志”关系,实现事后溯源和责任界定。

 

功能特点

  • ​部署方式灵活性:

    天玥运维安全网关支持单机、双机、分布式部署多种部署方式,并支持NAT和网口聚合方式,适应多变业务场景。

  • ​操作使用便捷性:

    天玥运维安全网关提供多种运维方式、C/S运维客户端、资源批量登录、命令批量执行、设备自动改密等多种功能以保证运维过程的自动和快捷性。

  • ​管控方式严格性:

    天玥运维安全网关提供命令限制与复核、应用发布防跳转、运维账号IP、MAC限制等。严格的管控方式以保证运维过程的规范性。

  • ​审计效果精细化:

    数据库协议深度解析、数据库返回行数记录、Oracle数据库变量绑定解析。

  • ​认证方式多样性:

    天玥运维安全网关包括多样认证方式,支持对不同用户设置不同认证方式组合的双因素认证,更具灵活性。

  • ​运维协议全面性:

    天玥运维安全网关支持多种运维访问协议,能够充分满足日常运维需要。

 

技术优势

  • 堡垒机分身

    虚化出多台堡垒机,适用于分权分域的用户管理场景。

  • 虚拟化部署

    支持VMware、VirtualBox、KVM和Xen(HVM)虚拟化环境部署。

  • 运维操作防跳转

    防止通过应用发布服务器进行跳转登录未授权资源。web页面防跳转功能,进行http/https访问过程时运维人员仅允许访问授权地址。

  • 双重审计

    实现数据库协议、字符协议、文件传输协议命令和录像的双重审计。实现命令审计和录像审计的关联检索和回放。

  • 命令限制与复核

    对于高危命令实现实时告警或阻断。对于特别重要的命令实现多人审核。

  • 数据库深度解析

    数据库协议级审计。数据库返回行数记录。Oracle数据库变量绑定解析。

  • 敏感数据管控

    运维人员拥有高权限系统账号,会接触到重要敏感数据。对运维人员上传、下载、流转重要敏感数据进行控制和记录。

 

典型应用


单双机部署:
天玥运维安全网关旁路方式部署于网络中,无需对网络结构进行任何调整。
运维人员直接访问天玥运维安全网关的对应端口,建立安全加密的数据通道,然后发起到服务器对应服务的访问,无需直接访问服务器,从而进一步加强内部服务器的安全性。
支持HA双机热备部署,以避免单点故障隐患,最大程度满足运维的可靠性和连续性。

 


分布式部署:

支持添加多台堡垒机作为协议代理服务器,分担主堡垒机性能压力,扩展运维能力。
多协议代理服务器节点可访问相同资源时实现自动负载均衡。
主堡垒机集中管理配置和日志信息。


大规模应用

某省电信网管中心部署堡垒机集群32台,接入资源7000多个,发布运维工具60多个、编辑工具6个、专用工具9个。

运维用户同时在线5520人,并发7800多个会话的压力下,用户体验依然良好。


云合作模式

与某电子政务云服务商合作,由云服务商以增值服务的方式向他们的租户推广我们的云堡垒机。
我们为云服务商提供云堡垒机软件和授权,并且按照授权中云资产管理数量每年向云服务商收取相应的授权费用。


产品组成


天玥OSM系统由管理模块、协议代理审计模块(应用发布模块扩展协议支持)组成。


1.png


■ 管理模块


管理模块为所有用户提供统一的身份认证登录入口。管理员用户可进行运维用户管理、设备及帐号管理、用户授权管理和运维审计管理等管理功能;运维用户通过管理模块进行资源单点登录等操作。


■ 协议代理审计模块


实现对主机、数据库、网络设备等资产维护过程中的协议数据包代理转发、操作行为记录及还原、高危/违规行为阻断等功能。


■ 应用发布模块(可选)


部署于Windows server 2008或Windows server 2012服务器上,用于发布非标准协议或应用客户端,如HTTP/HTTPS、Radmin、VMware client等。可实现对应用客户端工具的调用、密码代填和操作审计功能。


产品优势


● 运维协议全面性


启明星辰OSM支持多种运维访问协议,能够充分满足日常运维需要。

- 字符协议:SSH、TELNET。

- 图形协议:RDP、VNC。

- 文件传输协议:FTP、SFTP。

- 数据库访问:Oracle、SQL Server、DB2、Sybase、Informix、Teradata、MySQL、PostgreSQL。

- 通过应用发布进行协议和运维工具扩展,支持HTTP/HTTPS、X11、Radmin、VMvare client客户端等。


● 认证方式多样性


启明星辰OSM系统包括多样认证方式,其中内置动态口令认证系统,从而使用户实现无需额外购置动态口令牌认证系统即可完成用户口令动态认证模式。


启明星辰OSM系统支持对不同用户设置不同认证方式组合的双因素认证,更具灵活性。


认证方式包括:静态口令认证、USB-key认证、动态口令卡、短信认证(支持短信中间表和短信网关标准,短信网关包括中国移动CMPP2.0、中国联通SGIP1.2标准和中国电信SMGP3.0)、数字证书认证(包括吉大正元证书认证、北京数字证书认证、格尔证书认证)、Radius认证、LDAP认证、AD域认证。


● 审计效果精细化


- 支持字符协议和文件传输协议的协议审计,审计详细的操作语句和操作语句的执行结果。

- 支持RDP、VNC图形操作过程中键盘输入操作记录、鼠标点击行为记录和窗口标题审计。

- 数据库协议深度解析、数据库返回行数记录。

- 支持通过应用发布实现数据库、字符协议、文件传输协议命令和录像的双重审计效果。


● 管控方式严格性


启明星辰OSM系统提供严格的管控方式以保证运维过程的规范性。

- 命令限制与复核:对于高危命令实现实时告警或阻断,对于特别重要的命令实现多人审核。

- 应用发布防跳转:防止通过应用发布服务器进行跳转登录未授权资源,进行http/https访问过程时运维人员仅允许访问授权地址,保证运维的规范性。

- 运维帐号IP、MAC限制:通过绑定用户IP/MAC地址,防止用户在网络上未授权的终端进行运维操作。


● 操作使用便捷性


启明星辰OSM系统提供多种功能以保证运维过程的自动和快捷性,本地客户端无需安装Java控件,即可实现单点登录。

- B/S运维模式:支持IE、谷歌浏览器、Firefox浏览器,无需安装Java控件。

- C/S运维客户端模式:用于运维人员通过运维客户端登录进行运维操作,整个运维过程不依赖任何Active或Java控件。

- SSH/RDP直连菜单模式:为运维用户提供 SSH/RDP CLI工具直连模式,通过认证后进行资源的访问。支持SecureCRT,Mstsc工具。

- 支持以普通管理模式登录网络设备或主机并自动切换到特权模式。

- 支持从AD域抽取组织机构和用户帐号,方便快速建立组织机构和用户帐号。

- 支持资源自动发现和添加,便于快速添加资源。

- 资源批量登录:支持TELNET、SSH协议使用SecureCRT工具批量登录目标资源,避免进行多次连接的重复工作量。

- 设备自动改密:支持对目标设备自动定期修改密码,特别是数据库协议(包括Oracle、SQL Server、DB2、Sybase、Informix、MySQL、PostgreSQL)。


● 自动运维高效性


启明星辰OSM系统支持面向运维人员实现批量化周期自动备份网络设备配置,提高网络管理人员的工作效率。

启明星辰OSM系统支持面向运维人员实现批量登录Linux类资源,并可自动执行命令,得到反馈信息,提高运维人员的工作效率,实现高效运维。


● 部署方式灵活性


启明星辰OSM系统支持单机、双机、分布式部署多种部署方式,并支持NAT和网口聚合方式,适应多变业务场景。

- 分布式部署:支持添加一台或多台协议代理服务器,分担审计中心性能压力,便于提高整体性能;并支持限定不同的协议代理服务器节点访问不同的资源;多协议代理服务器节点可访问相同资源时实现自动负载均衡;审计中心集中管理配置和日志信息。

- 网口聚合功能:主备模式,防止链路单点故障;负载均衡模式,提高链路带宽;

- 支持NAT地址映射部署:通过映射后的IP地址访问堡垒机进行管理和运维操作,支持从多个映射地址访问,适用于内外网隔离的复杂网络环境。


● 多语言支持


启明星辰OSM系统管理员、运维WEB界面支持中文、英文语言,并可一键切换。


产品功能列表


功能项

产品功能详细描述


IPV4/IPV6

支持在IPV4、IPV6、IPV4与IPV6网络环境下部署

部署方式

支持物理旁路、逻辑串联模式,无需镜像、无需改造现有网络结构

支持单机部署、双机热备(HA)部署、分布式部署

支持NAT地址映射部署,通过映射后的IP地址访问启明星辰OSM系统进行管理和运维操作,支持从多个映射地址访问,适用于内外网隔离的复杂网络环境

管理

分权分域

系统内置系统管理员、审计管理员、安全管理员三种角色,系统管理员可针对不同用户指定不同的管理权限,可设定用户(组)和资源(组)的管理范围

用户管理

支持用户管理,包括添加、删除、启用、禁用、移动、修改功能;

支持用户组管理,包括添加、删除、修改功能;

用户密码策略包括:最小密码长度(强制最小8位)、密码复杂度(小写字母,大写字母,数字,特殊字符)、不允许密码与用户一致设置,不允许密码与用户逆序,密码周期(过期前提醒)、历史密码对比;

支持用户帐号有效期配置;

支持用户客户端IP和MAC限制

资源管理与授权

支持资源管理功能,包括添加、删除、启用、禁用、移动、修改功能;

支持资源组管理功能,包括添加、删除、修改功能;

支持以资源为视角进行用户访问授权;

支持资源(包括服务和资源帐号)批量导入导出功能;

内置常见资源分类和资源系统类型;

RBAC授权

管理员可根据目标资源设置不同角色;
1、支持时间、命令、审批规则与资源角色关联,实现不同运维用户访问资源遵从不同的控制策略;
2、支持超过资源角色中时间策略中的时间范围,系统将阻断运维会话;
3、支持用户、资源帐号与资源角色关联,形成访问策略;
4、支持限制RDP访问使用剪贴板上、下行控制、磁盘映射功能;
5、支持限定配置中可指定用户通过指定的应用发布服务器或协议代理服务器对资源进行访问。

规则管理

1、支持字符、传输、数据库协议的命令规则定义

2、支持时间规则定义

3、支持审批规则定义

帐号托管

支持资源制定不同改密分组,执行周期性、手动改密操作

改密类型支持:

1、Linux类;

2、中标麒麟,银河麒麟等国产操作系统;

3、网络设备(华为、华三、思科、中兴等);

4、Windows类;

支持数据库协议自动改密,改密类型支持:Oracle、PostgreSQL、MySql、DB2、Informix 、SYBASE,Mssql(2005,2008,2012)。

自动改密密码策略支持随机生成不同密码 、随机生成相同密码 、手工指定相同密码,随机密码支持自定义密码强度

支持改密结果自动发送到指定改密计划的管理员邮箱或发送到FTP服务器;密码文件加密保存,需要专用查看工具查看,以保证安全性

支持WEB方式自定义脚本实现新增改密类型

帐号稽核

支持僵尸、幽灵、孤儿帐号稽核功能
僵尸帐号:周期内登录次数低于3次的用户帐号和资源帐号。
幽灵帐户:堡垒机中未托管但又真实存在的的资源帐号。
孤儿帐户:没有建立授权关系的用户帐号和资源帐号。

系统管理

支持通过WEB更新系统许可,升级系统版本、上传用户手册,重启系统、关机

支持页面空闲超时退出,支持启用验证码,支持多次登录锁定帐号

支持WEB页面配置时区、时间

支持NTP时间同步功能

支持自定义系统标题、logo图片,无需定制开发

审计

数据库审计

可实现数据库命令级审计,支持的数据库类型包括:Oracle(支持ORACLE RAC)、SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL、Teradata,不需采用数据镜像方式实现,以免增加部署的复杂性和网络负担;

支持Oracle、Postgresql、Sybase、MySQL、SQL server数据库下行返回行数记录;支持在Oracle数据库运维,运维人员对变量进行绑定,执行SQL后,堡垒机系统可审计对应SQL中唯一标识符的具体值,协助审计员分析安全事件。

支持通过应用发布实现数据库操作的命令级审计和图形审计的双重审计效果,命令级审计便于重现真实的完整操作命令,图形审计便于直观的查看到真实的操作行为,并支持通过搜索操作语句关键字定位审计回放

字符、文件传输协议审计

支持SSH协议服务端启用强加密算法hmac-sha2-256,hmac-sha2-512,提升SSH协议安全性

支持字符协议SSH、TELNET和文件传输协议FTP、SFTP的协议审计,审计详细的操作语句和操作语句的执行结果

支持通过应用发布实现字符协议和文件传输协议的命令级审计和图形审计的双重审计效果,命令级审计便于重现真实的完整操作命令,图形审计便于直观的查看到真实的操作行为,并支持通过搜索操作语句或执行结果中关键字定位审计回放

图形协议审计

支持RDP、VNC图形操作行为的审计,图形回放形式还原真实操作过程

支持RDP、VNC图形操作过程中键盘输入操作记录和鼠标点击行为记录,并支持开启或关闭键盘输入审计功能

支持RDP窗口标题审计,并支持通过窗口标题内容检索定位回放

支持RDP剪切板上、下行控制

支持对剪贴板拷贝文件记录文件名、拷贝文本进行字符记录,并支持通过搜索字符信息关键字定位审计回放

RDP协议支持windows服务端开启安全层SSL加密,加密级别符合FIPS标准,允许运行使用网络级别身份验证的远程桌面的计算机连接,以满足运维过程安全性的更高要求

协议扩展

支持通过应用发布进行协议扩展,支持http/https协议、X11协议、VMware vSphere Client、Radmin等第三方客户端工具,并支持模拟帐号密码代填登录;应用发布调用只能推送应用工具窗口,不得推送windows桌面,以提升用户体验

会话回放

WEB在线视频回放方式重现维护人员对服务器的所有操作过程

离线回放重现维护人员对服务器的所有操作过程(回放文件下载到本地播放)

倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作

支持通过搜索操作关键字定位回放

审计查询和报表

自定义审计查询条件,包括:时间范围、用户与用户IP、资源IP、资源服务、命令关键字条件

审计查询关键字和结果显示支持多种编码(UTF-8、Big5、EUC-JP、EUC-KR、GB2312、GB18030、ISO-8859-2、KOI8-R,KS_C_5601_1987、Shift_JIS、Window-874),由审计管理员自主选择;

提供用户统计报表和系统运行报表,支持Word,Excel,PDF,HTML方式导出;

运维

身份认证

1、支持多种身份认证方式:

基本认证:本地帐号+密码认证

支持USB-KEY认证

支持内置动态口令认证,支持手机令牌otp,无须额外增加认证服务器

数字证书认证:北京数字证书认证,吉大正元证书认证

2、可集成其它外部认证协议: Windows AD、RADIUS、LDAP。

支持用户以手机号码或邮箱地址作为用户身份登录

运维用户多次登录失败自动锁定登录帐号或登录IP,到期自动解锁

限制用户同一时间只能从一个IP登录

密码找回:支持用户忘记登录密码时,可通过邮件方式获取验证码,验证通过后重置登录密码

单点登陆SSO

本地运维工具单点登录,支持字符、文件传输、图形协议类型如下:
1、字符协议类型:SSH、TELNET

2、文件传输协议类型:FTP、SFTP、SCP

3、图形协议类型:RDP、VNC

本地运维工具单点登录,支持数据库协议类型如下:
1、数据库协议类型:Oracle、SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL、Teradata

本地运维工具支持如下:Putty,SecureCRT、XSHELL、SSH Secure Shell Client、WinSCP、FFFTP、FlashFxp、FileZilla、SQLPlus、PLSQLDev、Toad for Oracle、Db2cmd(DB2)、Quest Central for DB2、Teradata SQL Assistant、SqlDbx Personal、SqlDbx Professional、pgAdmin3、SqlAdvantage、Mysql Command、SSMS、Dbvisualizer、Navicat

登录方式支持如下: 1、自动登录:从帐号密码自动代填,运维人员不必知道服务器帐号及密码;2、半自动、手动登录:运维人员也可以选择自行输入资源帐号密码登录,也可选择保存帐号密码,下次不再输入帐号密码

运维工具自动发现

支持扫描本地运维工具并进行配置保存

安全性

通讯安全性

管理模式 B/S,采用HTTPS方式远程安全管理

系统自身HTTPS 证书签名支持高强度SHA256算法

支持网口聚合功能

数据管理

自监控与告警

1、实时监控系统CPU、内存、磁盘的使用情况,支持CPU、内存、磁盘使用超过阈值邮件告警
2、支持对系统关机、重启操作进行邮件告警

空间管理

空间自管理功能,存储空间不足时能够自动清理历史数据,并支持设置触发清理的存储空间阈值

数据外发

支持系统配置与审计日志通过FTP或SFTP方式异地备份

自动备份

支持系统配置自动备份、审计日志自动、手动备份

对外接口

SNMP

支持SNMP Agent方式对外提供设备基础信息

日志外发

支持以Syslog对外发送运维审计日志


产品规格


2.png


参数列表


项目

OSM

处理能力

700字符或200图形

默认接口

支持4个千兆电口4个千兆光口

硬盘容量

1T

尺寸

1U机架式硬件设备

部署方式

旁路部署,不改变现有网络结构

支持双机热备(HA)、分布式部署

协议审计

字符协议、图形协议、文件传输协议、数据库协议等进行审计

兼容能力

可通过安全管理平台对SNMP或Syslog等方式采集来的数据进行统一管理

电源

冗余220V交流电源


用户价值

天玥运维安全网关(堡垒机):

完善内控内审,满足合规要求:目前,越来越多的单位面临一种或者几种合规性要求。堡垒机提供的完备审计方案,可以完善组织的IT内控与审计体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。

简化运维管理,提高运维效率:堡垒机对账号和资产进行统一管理,规范简化运维流程。提供多种运维操作方式以满足各种不同使用习惯。自动便捷的使用体验提供整体运维效率。
控制运维风险,防止数据泄露:堡垒机基于统一认证、集中管理、规范运维操作行为,对运维操作和数据流转过程做到严格的控制和记录,最大程度控制运维风险。                    

服务热线

400-624-3900

客服电话:400-624-3900

周一至周五 9:00-17:30