安恒明御运维审计与风险控制系统_安恒明御堡垒机

安恒明御运维审计与风险控制系统

业务要求 - 运维“零信任”、数据更安全 icon

传统网络环境将企业内部网络定义为“可信区域”，这个区域内部的所有计算资源可以互相通信，没有做到权限最小化原则。运维人员更被赋予了无上的最高权限。零信任的本质其实就是基于身份的访问控制，即确保正确的用户可以被分配到正确的访问权限，可以在正确的情境下对正确的IT资源进行访问，并且用户的访问权限会被持续进行评估，最终确保访问授权的正确性和安全性。

政策要求 - 全行业统一标准 icon

等级保护

1，安全审计 2，身份鉴别 3，系统管理 4，审计管理 5，安全管理

商业银行信息科技风险管理指引

1，访问授权以“必须知道”和“最小授权”为原则 3，审批和授权 4，建立内部审计、外部审计和监管发现问题的整改处理机制。

全国基层医疗卫生机构信息化建设标准与规范

1，安全运维：运维审计 2，身份认证：电子信息鉴别，用户身份鉴别。

国家电子政务外网标准

除了对传统的行为、数据库、运维人员等审计外，还需要根据云计算的特点，对远程操作管理、资源调度和弹性扩展等进行审计

运维审计与风险控制系统 icon

明御运维审计与风险控制系统（简称：堡垒机或跳板机）是安恒信息结合多年运维安全管理理论和实际运维经验的基础上，结合各类法令法规(如等级保护、分级保护、银监、证监、PCI、企业内控管理、SOX塞班斯、ISO27001等) 对运维管理的要求，并提供4A(认证Authentication、账号Account、授权Authorization、审计Audit)的统一安全管理方案。IAM（简称“大4A”）是一套全面的建立和维护数字身份，并提供有效地、安全地IT资源访问的业务流程和管理手段，从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。堡垒机专门针对运维人员设计可以称为“小4A”。

产品功能

用户分权管理

支持多种用户角色:超级管理员、部门管理员、配置管理员、审计管理员、运维员、审计员、系统管理员、密码管理员，每种用户角色的权限都不同，为用户设立不同的角色提供了选择，满足合规对三权分立的要求，并提供灵活的角色自定义能力。

集中运维授权

通过堡垒机的集中授权，帮助客户梳理用户与主机之间的关系，并且提供一对一、一对多、多对一、多对多的灵活授权模式。

资产单点登录

支持托管主机的账户和密码，运维人员登录堡垒机后选择相应资产即可成功自动登录到目标主机中进行运维操作，无需输入主机的账户和密码。

精细命令控制

提供集中的命令控制策略功能，支持字符协议及数据库协议的命令级策略控制，支持通配符和正则表达式两种方式，实现阻断会话、阻断命令审批、直接放行4种动作。

统一操作审计

对所有的操作进行详细记录，并提供综合查询功能; 审计日志可以在线播放也可以离线播放，所有的审计日志支持自动备份和自动归档。

堡垒机 vs 特权账号 vs 账号集中管理（如LDAP） icon

堡垒机

关注运维层面，主要关注的是运维人员到资产之间的运维控制与审计。

特权账号（PAM）

关注账号管理，在堡垒机基础之上增加了密码开放API接口，加强了对第三方系统的控制。

账号集中管理（如LDAP）

关注个人账户，主要记录与控制的是用户的信息，可以和堡垒机、特权账号配合使用。

方案优势

远程运维安全接入

内置SSL VPN功能，实现远程运维的安全接入，保证数据传输安全。

统一认证高效运维

提供本地认证，AD/LDAP/Radius远程认证、动态口令、usbkey、手机APP口令等双因子认证。

灵活的权限控制

用户只能运维堡垒机中已授权的服务器，降低越权操作和高危操作的风险。

运维审计满足合规

所有远程运维操作，均可进行审计录像，方便事后追踪溯源，满足合规建设要求。

文件传输双向控制

支持灵活的文件传输双向控制，支持传输文件留存，有效防止数据泄漏风险。

快速部署成本低

旁路部署，快速上线；公有云市场堡垒机可店铺下单，支持按月付费。

丰富的资产运维支持

支持最全面的协议

图形协议：RDP、VNC；字符协议：SSH、TELNET、Rlogin；文件传输协议：SFTP、FTP、RZSZ、SCP；数据库协议：Oracle、SQL Server、MySQL、DB2、PostgreSQL、达梦、金仓。

支持最丰富的资产类型

主机、交换机、防火墙、路由器、存储系统、安全设备、数据库、Web 应用，所有数据中心的设备均支持运维。

支持应用中心协议扩展

搭配应用中心，支持http/https、特殊化运维工具，密码代填，参数代填。

最齐全的运维方式

运维方式是堡垒机最为关键的功能，其是否方便易用、符合原来运维习惯、灵活而适合各种场景很大程度决定了堡垒机能否推广成功，得到运维人员的认可。

全面的文件传输审计

细粒度控制策略、降低违规、越权、误操作的风险 icon

混合云集中管理运维

混合云管理功能，通过代理服务器转发技术，实现单一堡垒机管理多云，多网络，多区域主机资源统一管理，降低建设成本

HA+集群，实现高可用，高负载 icon

内置VPN

内置SSL VPN功能，实现远程运维的安全接入，堡垒机与VPN合二为一，有效降低用户建设成本

资产全生命周期管理

资产巡检
资源自动发现

资源快速添加

资产状态检查

账号巡检
账号自动发现

账号快速添加

账号状态检查

混合云管理
多网络管理

无感知连接

五大公有云资产同步

密码管理
国密算法加密存储

Windows/Linux/网络设备/数据库/Web应用自动改密

应用中心能力增强

用户/数据隔离
通过创建独立账户的方式，将运维人员进行隔离

集群部署
部署多台应用发布，保证应用发布高可用

Web应用代填/改密
独创的代填/改密方案，普适性更强

数据库完整审计

SQL语句双向审计（上行+下行）

记录执行时间、操作类型，完整的执行语句、相关表、影响行数、返回结果信息

数据库图形+字符协同审计

利用图形化与字符相结合，立体化进行审计分析

SQL语句人机智能分离

智能分析此条语句为客户端自动发起行为还是人为行为

安恒堡垒机其他核心能力 icon

用户管理
内置多种角色&自定义用户角色

用户密码自助找回

按“部门”进行用户/资产隔离 AD/LDAP周期检查

运维管理
会话协同 H5文件传输

（支持RDP网盘）

批量运维登录

运维全程加水印

资产管理
资产密码分段导出

资产信息自动收集

资产自动运维

应用发布批量导入导出

其他能力
运维工单&密码工单

去Flash

NAS外置存储对接

内置SSL VPN

资质实力

安恒堡垒机已经获得国内产品的所有资质，拥有CNNVD、IPV6金牌、EAL3+（国测）、保密、3C、销售许可证等资质，行业内资质最全，见证产品最强实力

应用场景

本地运维访问控制

核心价值：

物理旁路，逻辑串联，轻松部署上线集中管理主机数据库资源，统一运维入口严格的访问权限控制，降低运维安全风险字符+图形多样化记录，审计溯源更省心 HA+集群能力，支持大规模数据中心管理。

适用场景：

安恒堡垒机适用于所有存在等级保护，运维审计合规性要求的客户，例如政府、金融、教育、医疗等行业安恒堡垒机适用于存在内网运维访问控制管理诉求的客户，例如企业、互联网等行业。

混合云运维管理

核心价值：

极速交付，快速部署：在阿里云、腾讯云、AWS等公有云市场搜索“安恒堡垒机”，镜像交付，一键部署。配置简单，急速上线：仅需要提供一台windows或linux服务器作为代理服务器，实现云上云下运维统一管理。使用简单，无需插件：只要您电脑上有浏览器，就可使用H5运维，无需安装任何软件。精细控制，全程审计：权限精细划分，操作全程录像审计，安全加倍。

适用场景：

安恒堡垒机适用于云上有主机资源的中小企业、单位，允许审计数据云上存储，可按月付费。安恒堡垒机适用于存在本地数据中心+云上主机资源统一运维管理需求的客户。

单机部署

部署特点

（1）旁路部署，逻辑串联

（2）不影响现有的网络结构

HA部署

部署特点

（1）两台硬件堡垒机，一主一备、提供VIP

（2）当主机出现故障时，备机自动接管服务

异地同步部署

部署特点

（1）多地部署，异地自动同步配置

（2）运维员访问当地的堡垒机进行运维工作

（3）不受网络/带宽影响，同时起到灾备目的

集群部署

部署特点

（1）两台硬件堡垒机，一主一备、提供VIP

（2）当集群中心主机出现故障时，备机自动接管服务

（3）集群节点可横向扩展，适应业务增量变化

选型关键点

资产数目

确认客户总资产数目，包含了服务器、交换机、防火墙、数据库等，同时确认客户运维人员大致数量以及图形运维并发数。

硬盘存储

通常情况下堡垒机自带硬盘已满足客户等保三级要求，所有的审计录像及操作日志满足存储180天，如客户有特殊需求需要存储超过180天，需要计算存储是否需要增添硬盘（注： RDP协议运维审计视频大小1分钟2M，一天24小时大概在3G左右，ssh协议运维审计视频大小1分钟60KB，一天24小时大概在84M）

并发数

图形并发数与字符并发数的比例大致是2:3。比如有100个运维人员，平均每个人同时连5个会话（其中2个图形、3个字符），那么图形并发量是200个+字符并发量是300个=500个并发量；因此合理推荐是800型号。

典型案例：金融企业

某大型金融客户
面临监管部门审查压力；三方外包运维窃取数据无法定责；内部运维管理混乱；

审计风险
发生运维安全事故，则无法确定责任人并且无法追溯事故源由

权限模糊
数据库失泄密、误操作、越权等行为越来越严重，缺乏集中的管控和审计

账号风险
依赖于口令认证，存在传递，被窥探，遗忘风险

法律法规要求
证监会、银监会检查要求，企业内控管理规范，自身安全运维需求

典型案例：金融企业

项目收益：

规范运维管理

统一运维入口，集中权限控制。

满足合规性要求

满足IT内控、银监会《商业银行信息科技风险管理指引》等法案法规合规性审计要求；为监管部门提供运维管理的审计报表和原始准确的运维操作日志。

降低资产运维管理风险

采用堡垒主机的技术，避免了非法终端、不安全终端直接连接核心资源；规范三方运维管理，防范外来风险；通过回放操作记录可快速、准确的进行责任鉴定和安全事件追踪。

典型案例：互联网企业 icon

某大型互联网客户
运维人员超过2000；服务器数量超过30000；全球机房运维需要负载均衡；堡垒机之间配置数据同步

CMDB系统对接
公司已经拥有了CMDB固资管理系统，堡垒机怎么和CMDB进行同步更新、删除

自动化运维
puppet等自动化运维工具通过堡垒机连接服务器运维

业务扩展
服务器数量和运维人员逐年增加，堡垒机能否满足业务增长？

负载均衡
全球超过10个数据中心，需要访问到各地的服务器

典型案例：互联网企业 icon

项目收益

配置数据同步

全球数据中心堡垒机配置自动同步，所有堡垒机均可访问全球服务器资源。

负载均衡

DNS智能选路。

实现自动化运维

SSH网关运维，兼容自动化运维脚本。

API接口

对接CMDB，自动同步资产、授权信息。

产品推荐查看更多>>

昂楷大数据安全审计

大数据安全审计系统，是一款对大数据平台的数据库进行安全审计的系统，能够全面实现对数据库（如Hadoop架构下HBase数据库）的各类操作行为进行安全监控。

高效稳定

安全可靠

立即咨询查看详情

京东云AIDC数据中心

京东云AIDC数据中心基于京东IDC资源，围绕数字基础设施，结合产品、网络、硬件、DC技术及智能运维服务，对外提供智能数字基础设施服务。为京东集团及各业务板块、合作伙伴、京东生态企业提供强大的数据中心建设、运维及运营服务业务的同时，在新基建背景下，围绕数字基础设施，结合技术、产品、网络、硬件、DC技术及智能运维形成全套的智能数字基础设施服务，通过赋能输出，不断拓展外部商业客户，创造可持续价值，提升业务发展新动能。

云托管

裸金属服务

自研服务器硬件

智能运维

立即咨询查看详情

昂楷科技医疗行业数据安全治理解决方案

昂楷科技医疗行业数据安全治理解决方案，内置近30种+自定义类型，提升数据发现效率，高效的数据脱敏处理方式。多维度查看，定时、周期方式任务执行，不受时间限制，支持同类型库、异类型库脱敏。自动生成详细脱敏报告，进行脱敏结果查看。

多维度查看

高效数据脱敏

异类型库脱敏

支持同类型库

立即咨询查看详情

数字化社区查看更多>>