启明星辰天玥运维安全网关_天钥堡垒机_运维审计系统-云巴巴 -云巴巴

启明星辰天玥运维安全网关

天玥运维安全网关，俗称堡垒机，能够对运维人员维护过程进行全面跟踪、控制、记录、回放；支持细粒度配置运维人员的访问权限，实时阻断违规、越权的访问行为，同时提供维护人员操作的全过程的记录与报告；系统支持对加密与图形协议进行审计，消除了传统行为审计系统中的审计盲点，是IT系统内部控制最有力的支撑平台。

立即咨询

安全事件分析

员工疏忽导致的误操作

2018年顺丰运维工程师误删数据库，导致OMCS运营监控管控系统发生故障，系统无法正常使用持续了590 分钟

第三方人员越权窃取数据

2017年某房管部门外包运维人员利用职务之便将2000万条业主信息私自导出贩卖，获利100余万

离职人员的恶意窃取数据

2018年北京市一科技公司的原运维主管，在职期间非法提高自身权限获取大量核心代码，离职后将代码倒卖，获利800万

风险来源

来源复杂

有大量第三方人员参与用户的系统运维，包括外包运维人员、设备厂商人员等

权力很大

运维人员掌握系统高权限账号、系统维护账号，数据库维护账号，可自由操作核心系统、数据

风险极高

运维人员对数据操作过程存在安全隐患，高权账号滥用风险，违规行为无法控制和追查

运维风险分析

运维前——身份难确认

身份不明，授权不清——账号管理混乱，账号共用；用户权限滥用，缺少统一授权

运维中——过程难控制

操作不透明，过程不可控——用户操作不可知，缺少实时监控；高危操作不可控，违规行为难控制

运维后——结果难追踪

结果难审计，责任不明确——日志存储分散，审计内容深浅不一；无法定位责任人，数据泄漏难追责

产品简介

天玥运维安全网关，俗称堡垒机，能够对运维人员维护过程进行全面跟踪、控制、记录、回放；支持细粒度配置运维人员的访问权限，实时阻断违规、越权的访问行为，同时提供维护人员操作的全过程的记录与报告；系统支持对加密与图形协议进行审计，消除了传统行为审计系统中的审计盲点，是IT系统内部控制最有力的支撑平台。运维过程三个阶段进行严格管控：事前预防：建立“自然人-资源-资源账号”关系，实现统一认证和授权。事中控制：建立“自然人-操作-资源”关系，实现操作审计和控制。事后审计：建立“自然人-资源-审计日志”关系，实现事后溯源和责任界定。

技术优势

堡垒机分身
虚化出多台堡垒机，适用于分权分域的用户管理场景。

虚拟化部署
支持VMware、VirtualBox、KVM和Xen（HVM）虚拟化环境部署。

运维操作防跳转
防止通过应用发布服务器进行跳转登录未授权资源。web页面防跳转功能，进行http/https访问过程时运维人员仅允许访问授权地址。

双重审计
实现数据库协议、字符协议、文件传输协议命令和录像的双重审计。实现命令审计和录像审计的关联检索和回放。

命令限制与复核
对于高危命令实现实时告警或阻断。对于特别重要的命令实现多人审核。

数据库深度解析
数据库协议级审计。数据库返回行数记录。Oracle数据库变量绑定解析。

敏感数据管控
运维人员拥有高权限系统账号，会接触到重要敏感数据。对运维人员上传、下载、流转重要敏感数据进行控制和记录。

工作原理

天玥运维安全网关V6.0是新一代运维安全管控产品，集成了特权帐号管理、身份认证、协议代理、单点登录与会话记录。

旁路部署，无需更改网络结构，只需目标网络可达。

支持字符、图形、传输、数据库协议代理。

对于 HTTP(S) 等扩展运维协议支持外置应用发布服务器进行运维和审计。

基础功能

身份认证

用户统一身份认证，支持外部AD域、LDAP、Radius等，支持动态口令卡、USBkey、吉大正元、北京CA等认证方式

角色授权

支持基于资源角色授权，授权用户：特权账号临时权限，授权时间规则、登陆规则、命令规则等

监控审计

实时监控所有用户的运维操作，随时阻断高危会话。运维操作完整审计、集中存储、异地备份

部署使用

旁路部署

采用物理旁路、逻辑串联的部署方式，不改变用户网络结构，无需在服务器上安装插件

操作简单

支持IE、Firefox、Chrome浏览器登陆，且无需安装Java等控件支持专用客户端登陆堡垒机进行运维支持Windows、MacOS、Android等终端使用直连模式运维

扩展灵活

对非标准运维协议或第三方运维工具(如WEB)，支持应用发布扩展，将其推送到用户终端进行运维，使用体验和保持一致

部署 - 双机热备

主备自动切换

设备状态实时监测，主机宕机后运维业务实时切换到备机，保障业务的连续性

配置数据同步

配置数据同步更新，确保主备机配置信息保持一致，避免主备机切换时配置数据丢失

审计数据备份

运维日志定期同步，主备机审计数据互为备份，避免主机宕机后无法查询历史日志

部署 – 负载均衡

代理通道

支持扩展协议代理服务器，部署在各个合适的网络节点提供协议代理运维通道

运维负载

运维用户登陆堡垒机后，智能分配运维代理通道，实现运维业务的负载均衡

统一管理

多台负载均衡堡垒机实现界面统一管理，权限集中管控、审计数据集中存储和展示

部署 – 虚拟化

云安全

为云租户提供安全可靠的运维通道，确保存放在云服务提供商的数据不被非法利用

云适配

支持云环境一键部署，快速分发

支持Vmware、KVM、Xen、Hyper-V等虚拟化技术

适配亚马逊云、天翼云、腾讯云、华为云、浪潮云、阿里云

部署 – IPv4与IPv6 icon

IPv4环境

支持在部署在IPv4网络环境中，对IPv4网络环境提供安全运维管控服务

lPv6环境

支持在部署在IPv6网络环境中，对IPv6网络环境提供安全运维管控服务

双协议栈

支持同时启用IPv4、IPv6协议栈，能够同时部署在IPv4和IPv6网络环境中，同时提供安全运维管控服务

认证与单点登录

多因子认证

支持自定义多因子认证，实现动态口令卡、手机短信、手机令牌、USB-Key、吉大正元、北京CA等认证方式自由组合

用户单点登陆

运维用户只需经过堡垒机系统一次认证，通过返回的授权列表，直接访问目标资源，无须二次输入帐号和密码

用户安全管控

严格控制用户账号密码策略（复杂度和改密周期)，有效登陆时间和有效登陆地点(真实IP、MAC地址)

账号托管

账号托管

堡垒机托管的资源账号实现加密存储、自动改密，确保账号安全

加密存储——特权账号采用了AES-256位高强度加密算法，有效保证了账号的安全

账号不落地——特权账号使用时(SSO)不会传递到用户终端，避免了账号泄露风险

账号自动改密——按照密码策略定期自动改密，异地加密备份，避免密码泄露导致的安全风险

账号稽核

账号安全稽核

通过对堡垒机的运维用户、系统资源进行账号稽核，实现账号的统一安全管理、风险预警

僵尸账号——没有使用或者使用频率较低的运维用户、资源账号

孤儿账号——没有建立授权关系的运维用户、资源账号

幽灵账号——通过资源账号智能采集，自动发现资源上没有被堡垒机托管的账号

细粒度授权

基于角色授权

基于角色的权限访问控制，实现细粒度授权与策略控制。支持时间、命令、审批规则制定，并可与资源角色关联，实现不同运维用户访问资源遵从不同的控制策略。

角色管理——系统资源通过角色管理，创建具备不同权限的资源角色，包括服务、账号、时间、命令等不同权限

角色授权——为用户进行资源角色授权，支持一对一、一对多、多对多的用户与角色授权方式

权限控制——对用户权限细粒度控制，访问核心资源能够二次审批，进行高危操作能够命令阻断、会话阻断、二次审批控制

资源发现

资源自动发现

自动梳理网络环境，帮助管理员快速发现、添加网络中系统资源的IP地址、端口号、服务扫描指定网络范围，快速发现网络中的运维设备，添加到堡垒机被管资源列表。

网络环境自动梳理，不仅避免同一物理资源的重复录入，同时避免了资源管理上的遗漏。

数据库协议审计

实现数据库命令级审计，支持的数据库类型包括：Oracle、SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL、Teradata，不需采用数据镜像方式实现，不增加部署的复杂性和网络负担。

SQL语句解析——准确解析、识别SQL语句，支持使用本地数据库工具进行运维

下行返回行数——统计数据库下行返回行数，分析操作影响范围

绑定变量解析——解析SQL语句变量，还原用户真实操作

字符、传输、图形协议审计 icon

字符、传输审计——ssh、telnet、ftp、sftp协议支持命令解析，完整审计操作命令和结果，以及关键字定位审计回放

图形审计——RDP、VNC协议支持图形回放审计，支持鼠标键盘、窗口标题，以及剪切板拷贝内容记录和定位审计回放

录像审计——对应用发布的工具支持操作录像审计。

如果发布标准协议（SSH、Oracle等），不仅可以视频录像，同时进行协议解析，实现运维操作的双重审计！

监控和阻断

审计员可以实时监控任意运维会话，查看运维人员每一步操作，并可以手动阻断不安全的运维会话

配置备份与命令自动执行 icon

通过自动运维模块实现网络设备配置自动备份、命令自动执行、资源批量登陆，提高运维效率，降低运维成本

配置自动备份——运维用户可以设置自动运维任务定时/周期执行，实现网络设备配置的自动备份、下载和删除

命令自动执行——运维用户设置运维命令，在Linux类主机自动执行并返回结果，供用户查看和下载

资源批量登陆——运维用户能够批量登陆系统资源，避免逐次登陆，提高运维效率

多样化运维

支持多种方式登陆堡垒机进行运维操作，最大限度满足用户使用习惯和场景

Web登陆——支持运维人员通过IE（9-11版本）、谷歌浏览器、Firefox浏览器单点登录资源，无需安装Java控件

直连菜单——通过运维工具SecureCRT、Mstsc等工具登陆堡垒机进行SSH/TELENT、RDP/VNC协议的运维

C/S客户端——通过堡垒机专用C/S客户端进行运维，环境适应性强，无需在本地安装任何控件，包括Java、ActiveX

安全运维

账号安全稽核

通过对堡垒机的运维用户、系统资源进行账号稽核，实现账号的统一安全管理、风险预警

应用发布防跳转

禁止运维人员使用应用发布工具访问未授权资源，避免越权访问

更安全的RDP运维

支持更高安全级别的RDP运维，对采用了FIPS标准加密和网络级身份认证的Windows资源，运维操作也能实现安全管控

防跳转

应用发布防跳转

禁止运维人员使用应用发布的运维工具直接访问未授权资源，避免用户越权访问行为

WEB防跳转——运维用户使用发布的web浏览器进行运维时，禁止访问未经授权的资源

数据库防跳转——运维用户使用发布的数据库工具进行运维时，禁止访问未经授权的资源

Linux应用发布服务器 icon

运维人员在国产化终端上安装专用运维客户端，可调用Linux应用发布服务器上的工具进行运维。

国产化运维客户端——支持在国产化终端上安装专用运维客户端

调用Linux工具——运维用户调用Linux工具进行运维

Linux环境——满足Linux运维环境要求，无需部署Windows应用发布，支持运维应用资源（HTTP/HTTPS）

政府案例

金融案例

电信案例

媒体案例

能源案例

企业案例

产品推荐

深绘数字化商品全生命周期治理平台PIM

深绘数字化商品全生命周期治理平台PIM基于低代码开发平台，快速搭建商品营销信息管理平台。拥有行业内领先的自研低代码配置平台，支持用户自定义商品主数据系统的界面字段和交互组件，同时支持可视化配置字段映射到第三方渠道字段可从产品上货信息，扩展到产品知识库，产品档案等应用场景，灵活方便。每个商品类目，可以定义多种场景下的商品数据表单，并支持嵌入BPM流程审批和自定义检索条件。

免费试用

查看详情

Visual components数字化工厂仿真软件

Visual Components是国际领先的全方位数字化工厂虚拟仿真系统。系统为自动化设备制造商、系统整合商、制造型公司提供一种简单、快速和高效的设计方式。系统对数字化工厂涉及的元素和工具进行了汇总和集成，其中包括：离散物流仿真拟、机器人编程仿真、人机工程、PLC虚拟调试等数字化工厂主要元素。

免费试用

查看详情

网御星云数据防泄露系统DLP

网御数据防泄露系统（DLP），是一款敏感数据防泄露产品，它从敏感信息内容、敏感信息的拥有者、对敏感信息的操作行为三个角度对数据进行分析，通过清晰直观的视图，让管理者及时了解企业内部的敏感信息使用情况。帮助管理者发现组织内部潜在的泄密风险，监管组织内部重要数据的合规合理使用，保障组织知识产权与核心竞争力。

免费试用

查看详情