堡垒机方式方案

当前位置:首页 > 解决方案 >  操作行为审计方案 >  堡垒机方式方案

  新一代“堡垒机”解决方案应用管控、数据管控、行为审计系统                  
1方案综述
  传统的堡垒机是一种用于单点登陆的专用硬件主机系统,所有远程访问内部资源的用户都通过这台堡垒机,通过记录通过的操作信息,实现操作行为审计。
  根据市场需要我们推出了新一代的堡垒机系统,利用普通服务器,采用Citrix XenApp(或Microsoft Terminal Service)实现数据管控和应用管控,采用AuditSys进行操作行为审计。
  新一代的堡垒机系统克服了传统堡垒机的很多不足,如专用硬件不易维修,容易形成单点故障和网络瓶颈,不能实现应用和数据管控,不能对图像操作进行检索等。
  新一代的堡垒机系统可用于电信、移动、联通三个运营商实现网维4A审计和萨班斯法案的审计要求。也可用于在银行、证券等金融业机构完成对财务、会计、敏感信息操作的审计。 还可以用在电力行业的双网改造项目后,采用堡垒机来完成双网隔离之后跨网访问的问题,能够很好的解决双网之间的访问问题。
  在企业IT系统的日常运营中,企业业务人员、IT工作人员、外包服务公司的IT人员都是企业信息安全的重点对象。如何审计这些人员的操作行为,防止敏感数据的外汇,就成为管理过程中面临的一个非常复杂的困扰。
  因此,跟踪记录本公司用户的访问,记录IT使用者的访问录像,对于事后追究责任,安全审计及技术问题的解决是非常重要和有帮忙的。
  同时各种的法规要求,一些重要数据和系统的读写、更改、查询都是需要可以被审计的,这对于企业的IT经理而言,也是一个非常大的压力。

新一代保垒机方案目标
实现的目标
1)应用管控
不同人员获得使用不同程序的权限。
2)数据管控
无论局域网操作者还是广域网远程操作者,可以看到数据,可以使用数据,但拿不走数据。
3)高安全性
以客户端/服务器方式运行,将用户行为变为可视、可跟踪、可鉴定,保护重要数据的安全;
4)集中审计,审计无盲点
实现集中审计、集中访问控制,对于企业重要系统和数据的管理,有非常重要的价值;
5)操作行为可快速查找
2 整体方案设计
  实现安全访问以及对用户的行为审计,方案建议采用Citrix+智能审计解决方案。推荐采用行业中技术领先的Citrix公司Citrix Xenapp 高级版+AuditSys审计解决方案。
  采用Citrix Xenapp将构建一个安全的集中访问平台,由于采用专利技术ICA协议,将远程服务器上的应用虚拟到客户端本地,服务器与客户端之间的数据传输只是屏幕变化和鼠标键盘的指令信息,而不传输任何实际操作数据,从安全性角度分析,这种安全性接近于物理环境隔离。
  采用AuditSys智能审计解决方案,可以审计任何通过Citrix Xenapp平台访问的用户会话,也可以审计任何通过远程桌面、终端服务、PCANYWHERE、VNC等等的远程协议访问过来的会话,也可以审计通过KVM或者通过本地登录的用户会话,可审计用户的7X24小时的操作。通过过与Citrix Xenapp的无缝集成,不仅可以构建一个安全的远程集中访问平台,还可以对所有的用户会话,管理员维护操作等等的用户行为进行审计。
  方案的架构示意图,如下:
 
 
3 Citrix堡垒机解决方案实现应用管控、数据管控
  客户端软件安装在Citrix服务器(XenApp)上,而所有访问用户使用终端设备均无需事先安装应用客户端软件。客户端设备只需通过IE就可以运行应用系统(第一次访问时会自动提示下载安装一个几兆大小的Citrix ICA插件),多用户同时访问时,由XenApp管理和运行应用客户端软件的多进程访问,并控制向不同用户发布的权限。
通过Citrix XenApp平台实现:
• 在数据中心的Citrix服务器上进行软件应用安装和管理,而需要在终端用户自己的电脑上安装应用软件。
• 用户可通过网络连接集中化应用,并实时运行和操作,如同本地运行一样。
• 集中化服务将所有应用处理过程和数据都集中在服务器上, 并把数据的管理严格控制在数据中心。
• 该解决方案是以安全为出发点设计的,只有用户界面、键盘敲击和鼠标操作等小量交互信息通过网络传输,但都是经过加密处理的。
• 应用程序授权才能使用,保证了应用的管控。
• 虽然在终端计算机上可以看到所使用的数据,但可以设置权限为禁止本地保存,而且本地也不会做数据驻留,保证数据安全。
 
4 AuditSys专业操作行为审计方案
4.1方案概述
  AuditSys是专业的用户操作行为审计的软件,可以对任何用户的行为进行7*24小时的监控和审计。通过AuditSys软件能很好地解决用户操作审计问题,它通过对服务器或客户端的实时采集分析、监控来自网络内部和外部人员的对服务器或客户端的访问,进行实时的录像,并提供集中的存储管理。AuditSys审计系统让IT人员能够很轻松的完成以往没有办法全部管理的审计问题。AuditSys的存储数据库信息能帮助管理员对服务器的安全策略进行分析,提升系统的安全性,并为管理员调整服务器的安全策略、收集证据及事后追踪起诉提供用力的帮助。该产品通过客户端及服务器方式运行,可提供实时和离线的方式进行录像,管理员可以设定对特定用户,设备或程序进行录像。协助网管人员掌握用户的访问情况,及时发现和制止非法访问行为。
系统架构图,如下:

 

 4.2
功能简介
  AuditSys操作行为审计系统能够对Windows服务器访问进行审计,能够有选择地记录各种通过网络对系统进行的操作,无论系统采用的是远程桌面或远程控制模式还是直接访问模式。具体功能如下:
(1)实时检测并智能地记录用户的操作,任何对安装了Agent机器的操作都可以被记录下来。
(2)支持对登录用户、服务器名、进程,机器名等方式进行筛选或记录。形成灵活的查询和记录规则。
(3)生成专业报表,强大的查询统计功能,并对大量纷繁复杂的事件进行进一步统计分析,以饼图、柱形图等形象的显示结果。
(4)记录查询,管理员可以通过任何已知条件进行用户活动的查询,如进程名,应用名,应用标题名,用户名等。
(5)管理员可以通过设定规则,对目标设备设定实时或离线的录像,即使网络中断的情况下。用户的操作都可以被记录,刚网络恢复时,Agent会自动将用户的操作发送到服务器上进行集中汇总。
(6)即时访问,管理员经过授权后就可以对用户的操作进行实时或历史的记录进行访问。
4.3
产品特色
  AuditSys审计系统安装简单、管理方便、性能优秀、可用性强,其核心技术和外在功能都拥有其他产品不可取代的独特优势。
系统的核心技术对于提升系统性能,确保系统的稳定工作发挥着关键作用,具体包括:
(1)操作审计无盲点:
可以审计本地直接操作和各种接入方式,包括Citrix XenApp/XenDesktop, Microsoft Terminal Service, VDI, VMWare View, Remote Desktop,Symantec Workspace。
(2) 操作可检索:
能够按照用户、服务器、应用、文件名、目录名等检索,迅速找到审计录像。
(3)低存储要求:
中等操作频度的客户,对1000台服务器的管理进行操作审计,通常一年需要250GB。
(4)操作者身份确认机制,保证被审计者身份的准确性。
(5)录像数据不可改写,保证被审计数据的权威性。
(6)支持多平台,支持各种云计算、虚拟化平台操作审计
包括传统架构以及虚拟化、云计算平台如Citrix,Microsoft Terminal Service,VMWare。