国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

一、什么是運(yùn)維安全管理與審計(jì)系統(tǒng)

運(yùn)維安全管理與審計(jì)系統(tǒng)（俗稱 “堡壘機(jī)”）：是采用新一代智能運(yùn)維技術(shù)框架，基于認(rèn)證、授權(quán)、訪問、審計(jì)的管理流程設(shè)計(jì)理念，實(shí)現(xiàn)對企事業(yè)IT中心的網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備、主機(jī)系統(tǒng)、中間件等資源統(tǒng)一運(yùn)維管理和審計(jì)；通過集中化運(yùn)維管控、運(yùn)維過程實(shí)時(shí)監(jiān)管、運(yùn)維訪問合規(guī)性控制、運(yùn)維過程圖形化審計(jì)等功能，為企事業(yè)IT中心運(yùn)維構(gòu)建一套事前預(yù)防、事中監(jiān)控、事后審計(jì)完善的安全管理體系。

簡單的說，運(yùn)維安全管理與審計(jì)系統(tǒng)（堡壘機(jī)）就是用來控制哪些人可以登錄哪些資產(chǎn)（事先防范和控制），以及錄像記錄登錄資產(chǎn)后做了什么事情（事中監(jiān)控和事后溯源）的系統(tǒng)。其核心是可控及審計(jì)?？煽厥侵笝?quán)限可控、行為可控。權(quán)限可控指可以方便的設(shè)置、回收運(yùn)維操作人員的權(quán)限；行為可控，比如需要集中禁用某個(gè)危險(xiǎn)命令；可審計(jì)，指有權(quán)限操作的人員對資產(chǎn)的所有操作都有記錄，能夠被監(jiān)控和審計(jì)。

二、為什么需要運(yùn)維安全管理與審計(jì)系統(tǒng)

當(dāng)企業(yè)的IT資產(chǎn)越來越多，當(dāng)參與運(yùn)維的崗位越來越多樣性，運(yùn)維團(tuán)隊(duì)達(dá)到一定的規(guī)模，不同的人員如運(yùn)維人員、開發(fā)人員、第三方代維、廠商支撐人員需要控制訪問不同的資產(chǎn)及權(quán)限，如果沒有一套好的機(jī)制，就會產(chǎn)生混亂。無法有效的做到“哪些人允許以什么樣的身份訪問哪些設(shè)備”，更加沒有辦法知道“哪些人登錄設(shè)備后做了哪些事情”，出了問題以后無法回溯。

運(yùn)維安全管理與審計(jì)系統(tǒng)（堡壘機(jī)）是從跳板機(jī)（也叫前置機(jī)）的概念演變過來的。早在2000年左右，一些中大型企業(yè)為了能對運(yùn)維人員的遠(yuǎn)程登錄進(jìn)行集中管理，會在機(jī)房部署一臺跳板機(jī)。跳板機(jī)其實(shí)就是一臺unix/linux/windows操作系統(tǒng)的服務(wù)器，所有運(yùn)維人員都需要先遠(yuǎn)程登錄跳板機(jī)，然后再從跳板機(jī)登錄其他服務(wù)器中進(jìn)行運(yùn)維操作。

跳板機(jī)解決了遠(yuǎn)程登錄集中管理訪問的問題，但跳板機(jī)并沒有實(shí)現(xiàn)對運(yùn)維人員操作行為的控制和審計(jì)，使用跳板機(jī)過程中還是會有誤操作、違規(guī)操作導(dǎo)致的操作事故，一旦出現(xiàn)操作事故很難快速定位原因和責(zé)任人。此外，跳板機(jī)存在嚴(yán)重的安全風(fēng)險(xiǎn)，一旦跳板機(jī)系統(tǒng)被攻入，則將后端資源風(fēng)險(xiǎn)完全暴露無遺。同時(shí)，對于個(gè)別資源（如telnet）可以通過跳板機(jī)來完成一定的內(nèi)控，但是對于更多更特殊的資源（ftp、rdp等）來講就顯得力不從心了。

人們逐漸認(rèn)識到跳板機(jī)的不足，進(jìn)而需要更新、更好的安全技術(shù)理念來實(shí)現(xiàn)運(yùn)維操作管理。需要一種能滿足角色管理與授權(quán)審批、信息資源訪問控制、操作記錄和審計(jì)、系統(tǒng)變更和維護(hù)控制要求，并生成一些統(tǒng)計(jì)報(bào)表配合管理規(guī)范來不斷提升IT內(nèi)控的合規(guī)性的產(chǎn)品。在這些理念的指導(dǎo)下，2005年前后，運(yùn)維安全管理與審計(jì)系統(tǒng)（堡壘機(jī)）開始以一個(gè)獨(dú)立的產(chǎn)品形態(tài)被廣泛部署，有效地降低了運(yùn)維操作風(fēng)險(xiǎn)，使得運(yùn)維操作管理變得更簡單、更安全。

運(yùn)維安全管理與審計(jì)系統(tǒng)（堡壘機(jī)）承擔(dān)了運(yùn)維人員在運(yùn)維過程中唯一的入口，通過精細(xì)化授權(quán)以明確“哪些人以什么身份訪問了哪些設(shè)備”，從而讓運(yùn)維混亂變得有序起來，堡壘機(jī)不僅可以明確每一個(gè)運(yùn)維人員的訪問路徑，還可以將每一次訪問及操作過程變得可以“審計(jì)”，就像飛機(jī)中的黑匣子，汽車上的行車記錄儀，能夠做到針對運(yùn)維人員的每次一操作均可以錄像、全程審計(jì)，一但出了問題，可以追蹤溯源。

運(yùn)維安全管理與審計(jì)系統(tǒng)的目標(biāo)可以概括為5W，主要是為了降低運(yùn)維風(fēng)險(xiǎn)。具體如下：

• 審計(jì)：你做了什么？（What）

• 授權(quán)：你能做哪些？（Which）

• 賬號：你要去哪？（Where）

• 認(rèn)證：你是誰？（Who）

• 來源：訪問時(shí)間？（When）

運(yùn)維安全管理與審計(jì)系統(tǒng)實(shí)現(xiàn)：

• 事前預(yù)防：建立“自然人-資源-資源賬號”關(guān)系，實(shí)現(xiàn)統(tǒng)一認(rèn)證和授權(quán)

• 事中控制：建立“自然人-操作-資源”關(guān)系，實(shí)現(xiàn)操作審計(jì)和控制

• 事后審計(jì)：建立“自然人-資源-審計(jì)日志”關(guān)系，實(shí)現(xiàn)事后溯源和責(zé)任界定

三、運(yùn)維安全管理與審計(jì)系統(tǒng)原理

原理

運(yùn)維安全管理與審計(jì)系統(tǒng)（堡壘機(jī)），主要采用4A管理模型，對IT運(yùn)維操作進(jìn)行訪問控制和行為審計(jì)的合規(guī)性管控系統(tǒng)，主要用來解決企業(yè)IT運(yùn)維部門賬號管理混亂，身份冒用、濫用，授權(quán)控制不明確，操作行為不規(guī)范，事件責(zé)任無法定位等問題。
4A 是指認(rèn)證 Authentication、授權(quán) Authorization、賬號 Account、審計(jì) Audit，中文名稱為統(tǒng)一安全管理平臺解決方案。即將身份認(rèn)證、授權(quán)、記賬和審計(jì)定義為網(wǎng)絡(luò)安全的四大組成部分，從而確立了身份認(rèn)證在整個(gè)網(wǎng)絡(luò)安全系統(tǒng)中的地位與作用。
具體來說：

• 集中認(rèn)證 (authentication) 管理
  可以根據(jù)用戶應(yīng)用的實(shí)際需要，為用戶提供不同強(qiáng)度的認(rèn)證方式，既可以保持原有的靜態(tài)口令方式，又可以提供具有雙因子認(rèn)證方式的高強(qiáng)度認(rèn)證（一次性口令、數(shù)字證書、動態(tài)口令），而且還能夠集成現(xiàn)有其它如生物特征等新型的認(rèn)證方式。不僅可以實(shí)現(xiàn)用戶認(rèn)證的統(tǒng)一管理，并且能夠?yàn)橛脩籼峁┙y(tǒng)一的認(rèn)證門戶，實(shí)現(xiàn)企業(yè)信息資源訪問的單點(diǎn)登錄。

• 集中權(quán)限 (authorization) 管理
  可以對用戶的資源訪問權(quán)限進(jìn)行集中控制。它既可以實(shí)現(xiàn)對 B/S、C/S 應(yīng)用系統(tǒng)資源的訪問權(quán)限控制，也可以實(shí)現(xiàn)對數(shù)據(jù)庫、主機(jī)及網(wǎng)絡(luò)設(shè)備的操作的權(quán)限控制，資源控制類型既包括 B/S 的 URL、C/S 的功能模塊，也包括數(shù)據(jù)庫的數(shù)據(jù)、記錄及主機(jī)、網(wǎng)絡(luò)設(shè)備的操作命令、IP 地址及端口。

• 集中帳號（account）管理
  為用戶提供統(tǒng)一集中的帳號管理，支持管理的資源包括主流的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)；不僅能夠?qū)崿F(xiàn)被管理資源帳號的創(chuàng)建、刪除及同步等帳號管理生命周期所包含的基本功能，而且也可以通過平臺進(jìn)行帳號密碼策略，密碼強(qiáng)度、生存周期的設(shè)定。

• 集中審計(jì) (audit) 管理
  將用戶所有的操作日志集中記錄管理和分析，不僅可以對用戶行為進(jìn)行監(jiān)控，并且可以通過集中的審計(jì)數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，以便于事后的安全事故責(zé)任的認(rèn)定。

技術(shù)架構(gòu)

實(shí)現(xiàn)的技術(shù)架構(gòu)如下：

核心功能

主要核心功能包括：
1、訪問控制
通過對訪問資源的嚴(yán)格控制，堡壘機(jī)可以確保運(yùn)維人員在其賬號有效權(quán)限、期限內(nèi)合法訪問操作資源，降低操作風(fēng)險(xiǎn)，以實(shí)現(xiàn)安全監(jiān)管目的，保障運(yùn)維操作人員的安全、合法合規(guī)、可控制性。
2、賬號管理
當(dāng)運(yùn)維人員在使用堡壘機(jī)時(shí)，無論是使用云主機(jī)還是局域網(wǎng)的主機(jī)，都可以同步導(dǎo)入堡壘機(jī)進(jìn)行賬號集中管理與密碼的批量修改，并可一鍵批量設(shè)置SSH秘鑰對等。
3、資源授權(quán)
支持云主機(jī)、局域網(wǎng)主機(jī)等多種形式的主機(jī)資源授權(quán)，并且堡壘機(jī)采用基于角色的訪問控制模型，能夠?qū)τ脩?、資源、功能作用進(jìn)行細(xì)致化的授權(quán)管理，解決人員眾多、權(quán)限交叉、資產(chǎn)繁瑣、各類權(quán)限復(fù)制等眾多運(yùn)維人員遇到的運(yùn)維難題。
4、指令審核
對運(yùn)維人員的賬號使用情況，包括登錄、資源訪問、資源使用等。針對敏感指令，堡壘機(jī)可以對非法操作進(jìn)行阻斷響應(yīng)或觸發(fā)審核的操作情況，審核未通過的敏感指令，堡壘機(jī)將進(jìn)行攔截。
5、審計(jì)錄像
除了可以提供安全層面外，還可以利用堡壘機(jī)的事前權(quán)限授權(quán)、事中敏感指令攔截外，以及堡壘機(jī)事后運(yùn)維審計(jì)的特性。運(yùn)維人員在堡壘機(jī)中所進(jìn)行的運(yùn)維操作均會以日志的形式記錄，管理者即通過日志對微云人員的操作進(jìn)行安全審計(jì)錄像。
6、身份認(rèn)證
為運(yùn)維人員提供不同強(qiáng)度的認(rèn)證方式，既可以保持原有的靜態(tài)口令方式，還可以提供微信、短信等認(rèn)證方式。堡壘機(jī)不僅可以實(shí)現(xiàn)用戶認(rèn)證的統(tǒng)一管理，還能為運(yùn)維人員提供統(tǒng)一一致的認(rèn)證門戶，實(shí)現(xiàn)企業(yè)的信息資源訪問的單點(diǎn)登錄。
7、操作審計(jì)
將運(yùn)維人員所有操作日志集中管理與分析，不僅可以對用戶行為進(jìn)行監(jiān)控與攔截，還可以通過集中的安全審計(jì)數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，以便于運(yùn)維人員對安全事故的操作審計(jì)認(rèn)定。

四、運(yùn)維安全管理與審計(jì)系統(tǒng)部署方式

1、單機(jī)部署

堡壘機(jī)主要都是旁路部署，旁掛在交換機(jī)旁邊，只要能訪問所有設(shè)備即可。
部署特點(diǎn)：
旁路部署，邏輯串聯(lián)。
不影響現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)。

2、HA高可靠部署

旁路部署兩臺堡壘機(jī)，中間有心跳線連接，同步數(shù)據(jù)。對外提供一個(gè)虛擬IP。用戶通過堡壘機(jī)虛擬IP進(jìn)行訪問，堡壘機(jī)自動進(jìn)行會話負(fù)載分配和數(shù)據(jù)同步、冗余存儲。
部署特點(diǎn)：
兩臺硬件堡壘機(jī)，一主一備/提供VIP。
當(dāng)主機(jī)出現(xiàn)故障時(shí)，備機(jī)自動接管服務(wù)。

五、常見運(yùn)維安全管理與審計(jì)系統(tǒng)產(chǎn)品

商用

奇安信[運(yùn)維安全管理與審計(jì)系統(tǒng)]：

https://www.qianxin.com/product/detail/pid/385

亞信安全[信磐堡壘機(jī)]：

https://www.asiainfo-sec.com/product/detail-27.html

綠盟[綠盟運(yùn)維安全管理系統(tǒng)]：

https://www.nsfocus.com.cn/html/2019/212_0926/20.html

啟明星辰[堡壘機(jī)]：

https://www.venustech.com.cn/new_type/blj/

開源

麒麟堡壘機(jī)：

http://www.secvpn.com.cn/

飛致JumpServer堡壘機(jī)：

https://fit2cloud.com/jumpserver/index.html