该集团设备资产数量众多,管理员维护难度大,日常管理存在共用账号、单一弱口令、权限滥用、出现人为事故无法定责等问题,给运维管理层面上的工作带来了很大的困扰,既不能集中管控,又不能对其运维操作的行为记录进行审计。现在为满足相关的4A管理规范,需要实现对账号的集中管理,多种认证方式相结合,审计信息收集与标准化等多项要求。
该企业担负着日常管理和运维的重要工作,一旦出现故障会对业务带来很大影响,因此推荐部署堡垒机双机机制,提高可靠性、稳定性,避免单点故障。
天融信运维安全审计系统部署在被管服务器区的访问路径上,通过防火墙或者交换机的访问控制策略限定只能由内控堡垒机直接访问服务器的远程维护端口。
维护人员维护被管服务器或者网络设备时,首先以WEB方式登录堡垒机,然后通过堡垒机上展现的访问资源列表直接访问授权资源。
该企业担负着日常管理和运维的重要工作,一旦出现故障会对业务带来很大影响,因此推荐部署堡垒机双机机制,提高可靠性、稳定性,避免单点故障。
如图所示,天融信运维安全审计系统部署在被管服务器区的访问路径上,通过防火墙或者交换机的访问控制策略限定只能由内控堡垒机直接访问服务器的远程维护端口。维护人员维护被管服务器或者网络设备时,首先以WEB方式登录堡垒机,然后通过堡垒机上展现的访问资源列表直接访问授权资源。
双机架构中采用浮动IP地址的方法来实现双机,通过访问浮动IP地址登录天融信运维安全审计。主机正常的情况下浮动IP地址指向主机的实IP地址,当主机出现问题时,浮动IP地址解析到备机的实IP地址上,但对使用者来说,访问的仍然是浮动IP地址。在任何一台堡垒机上添加,修改,删除用户、组织结构、资源等时,两台设备建立心跳连接自动同步配置数据,配置同步是通过心跳口不占用业务口的资源,即提高数据安全性又保证了业务的高可用。
实现对用户帐号和资产账号的集中统一管理和维护,统一用户信息维护入口,保证各系统的用户帐号信息的唯一性和同步更新,解决共用账号、临时账号、一人多号等账号问题。
提供集中身份认证服务,避免冒名访问,提高访问安全性,实现用户访问IT系统的认证入口集中化和统一化,并提供高强度的认证方式,使整个IT系统的登录和认证行为可控制及可管理,并满足等保三级身份鉴别的要求。
实现统一的授权管理,简化授权流程,降低运维风险,对被管资产的授权进行标准化的管理,减轻管理员的管理工作,提升系统安全性,管理层可对用户权限进行审查,用户只能拥有与身份相符的权限。
实现了实名审计,对事后的责任定位提供了可分析、追溯的依据。关联用户的操作行为,对非法登录和非法操作快速发现、分析、定位和响应,为安全审计和追踪提供依据,并满足相关政策的实名审计要求。