返回
堡垒机技术运维安全管控系统设计与应用

堡垒机技术运维安全管控系统设计与应用

ID:21410833

大小:24.50 KB

页数:5页

时间:2018-10-21

堡垒机技术运维安全管控系统设计与应用_第1页
堡垒机技术运维安全管控系统设计与应用_第2页
堡垒机技术运维安全管控系统设计与应用_第3页
堡垒机技术运维安全管控系统设计与应用_第4页
堡垒机技术运维安全管控系统设计与应用_第5页
资源描述:

《堡垒机技术运维安全管控系统设计与应用》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、堡垒机技术运维安全管控系统设计与应用  摘要堡垒机技术即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。  【关键词】堡垒机技术运维模式堡垒机技术  在当前的计算机运维安全管理中,堡垒机技术的应用很好的提高了系统的安全性。因此技术人员根据传统运维中存在的安全管控问题,利用堡垒机安全性能特点,结合运维安全管控实践方法开展了堡垒机技术支持下的安全管控系统设计与

2、应用研究。这一研究的开展,对于运维系统安全可靠性提供了  1传统运维模式风险分析  传统运维模式下,大量的运维人员通过KVM或直连信息设备开展变更、配置、备份与维护等操作,面临的风险主要有以下几个方面。  (1)账号及授权管理不清晰;  (2)缺乏身份认证;  (3)运维操作无全过程审计。  2运维安全管控系统架构设计与应用  2.1堡?净?技术的介绍  堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,通过访问控制、账号管理、身份认证、行为审计、单点登录与协议代理等多种信息安全

3、技术,实现运维人员对信息系统的安全访问,同时对运维人员的操作过程形成完整的审计记录。  2.2设计依据  国家公安部《信息安全等级保护基本要求》中对二级(含)以上的信息系统提出明确的安全审计要求:“审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用、账号的分配、创建与变更、审计策略的调整及审计系统功能的关闭与启动等系统内重要的安全相关事件等”。本次运维安全管控系统设计严格按照等级保护要求,范围覆盖DMZ区、等级保护二级及以上信息系统。

4、  2.3系统架构设计  2.3.1风险控制流程  为确保运维安全管控系统满足电力企业运维实际需求,要制定完善的风险控制流程,实现事前实行统一的账号管理、权限访问策略、审计策略,事中身份认证、授权及监控,事后统一综合审计的风险控制流程,如图1所示。  2.3.2架构设计  运维安全管控系统架构设计由展示层、功能层、存储层与资源层4层组成。  展示层面向用户,采用静态口令、动态口令、数字证书等多种身份认证方式,具备密码强度、密码有效期、口令尝试死锁、用户激活等安全管理功能,实现用户分组管理,分别对系统管理员、审计员、运

5、维人员提供不同的访问页面。  功能层实现账号管理、认证管理、授权管理、综合审计与系统管理等功能,采用协议分析、基于数据包还原技术,实现操作界面模拟,将所有的操作转换为图形化界面,实现审计信息不丢失。除了实现运维操作图形化审计功能的展现外,还能对字符进行分析,包括命令行操作的命令及回显信息和非字符型操作时键盘、鼠标的敲击信息。  存储层实现对运维安全管控系统账号及各信息系统账号的存储及审计信息的存储,实现账号及审计信息的灵活调用。  资源层面向各信息系统,用于实现账号同步、认证结合、审计结合等方面的数据接口工作,支持字

6、符串操作SSH/Telnet、图形操作RDP/VNC/X11/pcAnywhere/DameWare等。  2.4系统部署与应用  在等级保护二级区域和DMZ区域各部署两台堡垒机,堡垒机做双机主备,实现对等保二级区域和DMZ区域的网络设备及服务器的运维审计,由于堡垒机采用旁路部署,实施过程中对现有网络业务不会造成任何影响。双机热备与主备之间通过业务管理端口线进行主备状态监测和配置同步,主机节点一旦断开,备机节点会立刻启动,无需人工干预,从而实现运维安全管控业务的不间断运行。系统部署后实现了以下应用。  2.4.1通过

7、集中化管理,实现单点登录  通过系统的部署,对资源账号的统一管理,把复杂问题简单化。  2.4.2通过账号管理,实现用户实名制及统一身份认证  为每个用户分配了独一无二的用户账号,设备上的系统账号不变,通过把多个用户账号和单个系统账号做关联,让用户的身份和具体的操作一一对应起来,从而实现用户实名制管理。  2.4.3有效地执行访问控制,防止非授权访问  通过系统设置详细的访问控制规则,用户只能按照规则设置来访问相应资源,彻底杜绝了非授权访问所带来的问题。  2.4.4精准溯源操作审计  基于安全运维审计系统的实时监控

8、及字符会话审计技术,完整地记录用户的所有操作行为,使运维操作透明化。  2.4.5实现独立审计与三权分立,完善IT内控机制  通过应用实现独立的审计与三权分立,在三权分立的基础上实施内控与审计,有效地控制操作风险,完善IT内控机制。  3结语  在电力企业信息化水平快速发展的今天,技术发展与管理模式相辅相成,信息安全不仅需要先进的技术,更需要完

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。