编辑: 枪械砖家 | 2019-07-16 |
国际上有萨班斯法案要求企业对自身的经营、管理活动要有控制和审计手段,国内也 有相关行业的 4A 规范及相应的企业内控管理要求,在机房设备日常管理维护过程中,怎 样满足这些合规性的内控要求,也管理层急迫需要考虑的问题. 为了解决这些新形势下的管理和安全问题,竹云安全内控管理平台(NSCG)应运而生. 它有效改善优化了机房设备管理过程,并通过集中认证、统一授权、资源账号生命周期管 理、单点登录、密码同步、操作审计等技术手段大大加强了设备的安全性及管理过程的安 全性;
既实现了对机房设备的集中安全管理,也实现了对使用机房设备人员的身份、权限、操作的集中安全管理.
2 产品介绍 2.1 概念和术语 NSCG: 竹云安全内控管理平台. 用户:竹云安全内控管理平台用户. 资源:竹云安全内控管理平台接管的设备及应用. 账号:竹云安全内控管理平台接管的设备及应用的用户. 2.2 产品描述 2.2.1简介 竹云安全内控管理平台(NSCG)是一套实现了对机房设备、资源账号及使用设备人员的 集中管理平台,具有极高的安全防护能力和预防风险能力. 竹云公司以自身对应用系统领域身份管理思想的深刻理解和国际领先的技术实力,构 建了对人员、设备、管控的整体解决方案,包括: 解决了对机房硬件设备无法实现统一的强认证难题,而且支持灵活扩展多种认证方 式;
实现了对机房硬件设备的单点登录,设备管理员只需要记忆一套账户密码即可直接访 问和使用有权管理的目标设备;
加强了设备密码的安全性,可按照企业机房密码管理制度及安全策略自动定期更换密 码,同时避免了设备使用初始密码、单一密码、低强度密码、密码遗忘、密码记忆介质泄 密、密码无序传播等问题;
优化和安全了设备管理过程,同时减少了设备管理员频繁的登录、密码验证操作,使 设备管理员专致于设备自身的事务处理;
能够为每一个设备管理员或外部使用人员分配实名制账号,解决了单一虚拟的账号无 法对应到实体自然人身份的问题;
实现了资源账号的生命周期管理,通过平台来创建,删除,修改资源账号,并可根据 不同维度对所辖范围内的资源账号的健康情况进行审计. 基于具体的访问协议,详细记录设备管理员对设备的每一步操作,支持实时监控,支 持审计回放,可供事后审查追溯或内部培训提供依据. 2.2.2集中的设备管理平台 竹云安全内控管理平台(NSCG)不仅实现了对目标被管理设备基本信息的集中管理, 如:IP 地址、端口、位置信息、账号密码、访问方式等;
还实现了对目标设备访问过程 的集中管理,降低了设备管理员工作复杂度,提高了工作效率,增强了目标设备的安全 型. 2.2.3身份认证 机房设备由于自身的物理特性,使得在应用软件领域中得到广泛使用的集中认证、强 认证措施难以实施,也使得企业无法实现其整体的 IT 目标. 竹云安全内控管理平台(NSCG)作为所有被管理目标设备的访问门户,不仅支持普通的 用户名/密码认证,内置了多家厂商的动态令牌认证,经平台认证通过后访问相关目标设 备无需再次认证,即实现了通过网络安全管控平台统一了所有被管理目标设备的认证并支 持强认证. 2.2.4单点登录 机房设备数量众多,对账号密码强度要求又比较高,使得设备管理员难以记忆和使用 众多设备账号密码,竹云安全内控管理平台(NSCG)首次提出并实现了机房计算机、网络安 全设备的单点登录,使得设备管理员仅需记忆一套账号密码、仅需登录一次即可访问到有 权访问的目标设备,既减少了设备管理员的工作复杂度、提高效率,还保证了目标设备账 号密码的安全、满足强度要求,同时减少了目标设备特权账号密码无序扩散及泄露的风 险. 2.2.5授权及访问控制 通过竹云安全内控管理平台(NSCG)中的用户管理、设备资源管理、账号管理及策略管 理,可以精确控制谁――在什么时间――使用什么设备账号――访问什么设备,真正实现 了将虚拟的设备特权账号对应到实体的自然人身份上,还可以提高被访问的目标设备的安 全防护级别. 2.2.6操作审计 由于众多机房被管理目标物理设备的独有特性,之前对设备的访问、操作日志都是以 文字方式存放在各个目标设备自身,很难集中管理和用于审计.竹云安全内控管理平台 (NSCG)可以将所有通过平台管理和访问的目标设备日志以基于协议记录的视频方式存放在 平台设备内,既集中管理、方便查看,又宜于审计、满足合规性要求,还可以作为培训和 追溯教材. 由于采用了特有的基于协议的记录方式和压缩算法,不仅实现了不操作不录制,还使 得录制的日志远远小于普通的视频文件、大大减少了对磁盘空间的占用. 2.2.7账号生命周期管理 竹云安全内控管理平台(NSCG)提供了集中的账号管理功能,用户可以通过管理平台对 某个目标资源或一组资源进行创建账号,删除账号,修改账号等操作.并且通过相应策略 及规则配置,平台将会对所辖范围内资源中的账号定期进行健康检查,避免私建账号、孤 儿账号、密码变更等潜在风险. 2.2.8密码同步 竹云安全内控管理平台(NSCG)内置的特权账号密码同步模块,可以通过策略设置,自 动定期完成对提供外部接口的目标设备特权账号密码的同步修改.这样既可以达到对目标 设备访问无法旁路、只能通过平台完成的目的,还能让设备管理员真正的不再关心记忆、 保存、防护设备特权账号密码从而专注于纯粹的目标设备内部业务处理;