文档介绍:第一章第一章系统简介系统简介内控堡垒主机系统是安全内控解决方案的重要组成部分,部署在企业的内部网络中,用于保护企业内部核心资源的访问安全。内控堡垒主机是一种被加固的可以防御进攻的计算机, 具备很强安全防范能力。内控堡垒主机扮演着看门者的工作, 所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问, 和恶意攻击, 对不合法命令进行命令阻断, 过滤掉所有对目标设备的非法访问行为。内控堡垒主机具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令, 而且能够将所有的输出信息全部记录下来, 也具备图形终端操作的审计功能, 能够对多平台的多种图形终端操作做审计, 并且内控堡垒主机具备审计回放的功能, 能够模拟用户在线操作过程。总之, 内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性, 使得企业内部网络管理合理化,专业化,信息化。 1 1 关键字关键字自然人: 也叫主帐号,使用内控堡垒主机的用户统称为自然人。资源: 被内控堡垒主机管理的主机系统,数据库,网络设备等统称为资源。例如 AI X 系统、 Windows2000 系统、 DB2 数据库、 CISCO3560 等。从账号: 从账号是资源中的账号,例如 AIX 中的 root 账号, Windows2000 中的 Administrator 账号。 SSO 单点登录: SSO ( SingleSign-On ) 中文为单点登录, 就是说在同一个地点完成对不同资源的访问。双人共管账号: 双人保管口令的账号。共管账号: 账号被很多应用系统使用, 或内置了口令, 如果修改口令可能影响到其他应用系统的使用,对于这类账号, 内控堡垒主机称之为共管账号。 2 2 部署结构部署结构内控堡垒主机部署逻辑图: 内控堡垒主机部署物理图: 如图, 内控堡垒主机部署在被管服务器区的访问路径上, 通过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接访问服务器的远程维护端口。维护人员维护被管服务器或者网络设备时, 首先以 WEB 方式登录堡垒主机, 然后通过堡垒主机上展现的访问资源列表直接访问授权资源。 3 3 系统登录系统登录登录页面对管理员及主帐号进行身份认证,以及策略校验,从而完成用户登录。在地址栏上输入系统 URL 。例如: https:// ip ,如图所示,进入系统登录页面。系统默认的超级管理员的帐号: simper ,密码: 123 。堡垒主机启用后,应及时修改口令,以免被非法登录。根据管理员和主帐号的认证方式, 管理员和主帐号可以用简单的静态用户名, 口令进行认证,也可以持证书、令牌等强认证方式进行认证。系统根据主帐号相关登录策略, 例如: 访问时间策略、访问地址策略、访问锁定策略等进行校验。如果通过校验,主帐号可进入系统,否则禁止主帐号登录系统并给出相应提示。第二章第二章单点登录( 单点登录( SSO SSO ) ) 1 1 单点登录( 单点登录( SSO SSO ) ) 界面界面 功能说明功能说明单点登录功能是主帐号访问授权资源的统一入口。通过此功能, 主帐号访问资源时只需要在堡垒主机上做一次登录,之后就可以在不输入用户名和密码的情况下使用各种授权资源。 操作描述操作描述当主帐号点击授权帐号列表时,授权从帐号列表中会显示所有授权给此主帐号的资源。当主帐号点击授权列表中的帐号访问方式按钮时, 会自动进入目标资源, 完成单点登录。注意:要使用单点登录功能,必须安装单点登录控件,可到“元目录-> 帮助-> 单点登录控件”中下载单点登录控件程序;使用 RDP 访问资源时,被管资源上要开启远程桌面服务;使用 SSH 或 方式访问资源时,本地要安装 SecureCRT 软件。 2 2 单点登录控件及工具安装单点登录控件及工具安装 界面界面 功能说明功能说明主帐号通过授权列表单点登录到授权资源时需要安装单点登录控件。第三章第三章流程流程 1 1 概述概述为了完善业务需要, 提高内控堡垒主机系统的管理规范性, 添加了流程这个模块。流程主要是由普通用户想要申请资源而发起申请至指定审批人, 审批人根据实际情况予以审批或拒绝, 或转发上级领导继续审批, 审批环节可以根据需要分为一级至多级, 直至有领导同意后, 选择执行人去将此申请落实。注意: 流程管理一般在堡垒主机的账户数量比较多的情况下使用。流程包括以下两类: ?管理流程?自然人入职流程?自然人变更流程?自然人离职流程?资源接入流程?自然人与从账号关联(授权)流程?登录流程?双人共管账号使用流程?主副岗交接流程对于每种流程而言,都包含填写申请单,处理待办事宜,归档管理三个部分。?填写申请单?自然人入职申请单:自然人的入职申