浪潮云御堡垒机

产品需求

在网络安全建设过程中,云安全愈发被重视和普及,然而由于云环境的特殊性,为企业内部的安全管控增加了困难。

据《2022全球网络安全态势报告》显示,全球网络安全事件中50%以上来自内部威胁攻击,而在这些内部威胁中,由于权限控制的不利导致人为越权访问资源致使敏感资源泄露的情况居多。由此可见,云租户大大低估了内部威胁对其信息系统造成的风险。

越来越多的企业、单位希望借助 IT 技术这一关键的战略资源提升竞争优势、提高办公效率,进而实现战略目标。然而,随着网络建设和系统部署越来越深入,大多数企业和单位面临着如何确保业务系统稳定运行的难题。复杂的网络结构、人员结构和管理结构使得 IT 运维管理和企业生产运作间的矛盾日益凸显。日益发展变化的生产业务结构对基础 IT 运维操作的管理、审计等诸多方面提出了严峻的挑战。

合规需求

随着信息系统和网络结构的复杂程度增加,运维过程中的风险越来越难控制。运维安全的重要性也逐渐引起国内外各安全管理组织的重视,如《中华人民共和国网络安全法》 、《信息安全技术—网络安全等级保护基本要求》《信息安全管理要求ISO/IEC27001 》等网络安全法规和要求均在访问控制、操作审计等诸多运维管理方面提出要求,作为国内企业必须履行符合等保要求的职责。

GB/T 22239—2019《信息安全技术—网络安全等级保护基本要求》于2019年5月10日正式发布,等保2.0新增安全管理中心需求,对运维安全管理提出新的要求。要求对系统管理员、审计管理人员和安全管理人员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。

运维安全生命周期管理

面对企业海量的运维需求,需要满足对运维生命周期全过程的安全管理,包括:事前的预防、事中的监控,事后的审计。

在执行运维动作前能够根据实际的运维需求进行资源授权,并分配对应的运维方式;运维过程中能够针对运维人员的行为进行监控,做好访问控制;同时能够对已经完成的运维动作提供审计数据,面对出现的如访问越权、敏感资源访问等场景提供有力的数据支撑,通过运维全过程的情形复现等手段快速精准的追踪溯源。

最小粒度授权

支持细粒度的资源访问授权,能够针对不同场景、不同人员、不同需求对资源进行细粒度授权,在最小范围内恰好满足运维人员的权限需求;对于敏感资源的访问和敏感动作的执行能够支持多人授权,即经多人审批后才能得以执行。

运维过程简化

针对纳管资源,能够向运维人员提供便捷的运维工具和自动运维服务,提高运维人员的工作效率,如资源账号密码的自动代填功能、资源自动改密功能、Web运维工具、putty运维工具、SecureCRT运维工具、mstsc运维工具。

产品介绍

浪潮云御堡垒机ICB V2.0产品是针对信息系统运维管理人员的运维操作进行控制和审计的合规性管控系统。云御堡垒机ICB V2.0作为统一管理入口,能够满足租户对运维人员、目标资源、运维权限、审计数据的集中管理;实现运维人员的身份管理、运维资源的统一授权、操作行为的权限控制、操作行为的结果审计;提供事前规划、事中监控、事后审计等全方位的安全管控。

产品规格:

x86架构:

名称 规格 单位 描述
云御堡垒机 基础版 产品规格:产品为虚拟化实例形态,计算资源 ≥2C4G,存储空间 ≥500G,支撑管控节点数:20;集统一账户管理、角色授权、实时监控、审计记录于一体的运维安全管理与审计产品。
云御堡垒机 标准版 产品规格:产品为虚拟化实例形态,计算资源 ≥4C8G,存储空间 ≥500G,支撑管控节点数:50;集统一账户管理、角色授权、实时监控、审计记录于一体的运维安全管理与审计产品。
云御堡垒机 高级版 产品规格:产品为虚拟化实例形态,计算资源 ≥8C16G,存储空间 ≥500G,支撑管控节点数:100;集统一账户管理、角色授权、实时监控、审计记录于一体的运维安全管理与审计产品。

ARM64架构:

名称 规格 单位 描述
云御堡垒机 基础版 产品规格:产品为虚拟化实例形态,计算资源≥4C8G,存储空间≥500G,支撑管控节点数:20;集统一账户管理、角色授权、实时监控、审计记录于一体的运维安全管理与审计产品。
云御堡垒机 标准版 产品规格:产品为虚拟化实例形态,计算资源≥8C16G,存储空间≥500G,支撑管控节点数:50;集统一账户管理、角色授权、实时监控、审计记录于一体的运维安全管理与审计产品。
云御堡垒机 高级版 产品规格:产品为虚拟化实例形态,计算资源≥8C16G,存储空间≥500G,支撑管控节点数:100;集统一账户管理、角色授权、实时监控、审计记录于一体的运维安全管理与审计产品。

功能详解

浪潮云御堡垒机ICB V2.0主要功能包括:统一用户管理、统一身份认证、统一资源管理、统一授权管理、统一资源运维、统一运维审计,详细功能介绍如下:

统一用户管理

支持针对云御堡垒机用户进行统一管理,可维护用户组、登录方式、用户角色、失效日期等;同时支持维护用户登录规则,即允许或拒绝用户在某个IP上登录,以及登录优先级等。

统一身份认证

支持通过多种认证因素实现对于用户登录云御堡垒机ICB V2.0的身份认证,认证方式包括:账号密码、USB Key、AD域、动态令牌,另有增强因素包括:登录失败锁定、密码强度校验、密码有效期校验、IP/MAC地址黑名单限制、登录时间限制等。

统一资源管理

支持对于主机、应用、数据库资源的统一管理,包括资源接入、资源监测、应用发布、资源分组及类型管理;支持对较多种类资源的纳管,包括Windows、Linux、Unix等类型的主机资源,以及诸如oracle、MySQL、达梦等多种类型的国内外数据库。

统一授权管理

功能授权

针对平台功能,支持通过账号、角色、菜单/功能三方面的配置关系实现对于不同身份、不同业务需求的用户的功能授权,实现对于用户平台功能维度的细粒度授权。

资源授权

针对纳管资源,支持通过时间、IP、用户/用户组、资源用户、运维权限、操作命令、执行动作等多种元素的组合,实现对用户资源访问授权的细粒度控制;结合多人授权模式实现对敏感动作的执行、敏感资源的访问等过程的深层访问控制。

统一资源管理

云御堡垒机ICB V2.0为运维人员提供实用且方便的运维方案用以提高运维效率,包括可选运维工具、多种协议解析、批量运维。

l 提供可选的便捷运维工具,包括H5、putty、securityCRT、mstsc;

l 通过支持ssh、rdp、telnet、vnc等多种协议的解析,用以实现在不同场景下对于各类纳管资源的远程连接;

l 通过支持资源的批量运维以及命令的批量执行,有效的节省了运维工作量,提高了运维效率。

统一运维审计

审计类型分为会话审计、字符审计、图形审计、日志审计。

l 会话审计:分为实时会话和历史会话,实时会话强调谁、什么时间,正在以什么方式访问什么资源,执行了什么命令;历史会话强调谁、什么时间、以什么方式访问了什么资源、执行了什么命令、什么时间结束。

l 字符审计:谁、什么时间,对哪台主机执行了什么命令;支持对于ssh、telnet等协议的命令解析,记录键盘录入命令并做详情展示。

l 图形审计:RDP、VNC协议支持图形回放审计,支持鼠标键盘、窗口标题,以及剪切板拷贝内容记录和定位审计回放。

日志审计:以报表形式呈现各类审计日志信息,支持按条件检索及报表导出;审计日志类型包括:登录日志、文件管理日志、操作日志、密码更改日志、系统状态日志。

产品部署