PDF《深圳竹云科技有限公司》

既能满足企业内 部定期更换密码的制度要求,还可以通过独有的多重加密技术大大提高目标设备密码的安 全性. 密码同步不仅支持同步修改目标设备内置的账号密码,还支持使用目标设备外部账号 的密码(例如纳入 AD 域管理、使用域账号访问登录的服务器主机的设备账号密码存储在 被管里设备外部) . 2.3 特点和优势 2.3.1灵活扩展的强认证 竹云安全内控管理平台(NSCG)自身支持多种认证方式,既包括普通的用户名密码方 式,同时内置了多家厂商的动态令牌认证,还可以实现用户名密码+动态口令的组合认证 等多种多因素认证,具有极大地认证安全性、灵活性及扩展性. 2.3.2传输通信加密技术 由于平台管理的目标设备都是企业其机房核心设备,运行着企业核心业务,因此不管 是对目标设备还是对平台的访问管理,其要保证数据传输过程中的安全.竹云安全内控管 理平台(NSCG)对数据传输层的安全极为重视,基于 LINUX/UNIX 安全内核自身的安全服务 基础上,融合了安全协议、加密算法,可以保障客户端――平台设备――目标设备之间传 输数据的绝对安全. 2.3.3数据多重加密技术 竹云安全内控管理平台(NSCG)不仅使用加密通信协议对传输层的数据进行加密进行传 输,还对存储在平台内部的目标被管理设备相关信息作了多重加密处理,大大提高了存储 数据的安全性,为目标设备的账号密码存放和使用提供了安装保证. 2.3.4历史密码保存 竹云安全内控管理平台(NSCG)有多种对目标设备特权账号密码的安全保存和快速恢复 机制,但为了避免因不可抗因素导致的密码丢失或特殊原因下需要追溯密码同步轨迹,因 此平台对自动同步的设备密码有完整的历史记录. 2.3.5防暴力破解及超时机制 为了防止对平台自身的暴力破解,在默认使用用户名+密码认证的情况下,尝试登录 超过指定次数的客户端将被锁定,同时也满足某些特殊领域企业的安全保密要求. 为了防止某些情况下的隐患和风险,例如操作用户登入目标设备后暂时离开或忘记关 闭操作窗口,竹云安全内控管理平台(NSCG)加入了相应的超时处理机制,超过指定时间没 有操作相应的操作窗口将自动退出关闭. 2.3.6热备及高可用性 作为管理企业所有计算机与网络安全设备的平台设备,如何提供稳定的、不间断的服 务至关重要.竹云安全内控管理平台(NSCG)支持双机热备,一旦主机因某些原因无法提供 服务,从机将自动接管成为主机,从而提供高可用性和高可靠性的服务. 2.4 系统架构 2.4.1整体架构 通常,安全内控管理平台服务器与内部业务系统部署在同一个物理区域内. 运维人 员通过 pc 等终端设备通过身份认证后,根据安全内控管理平台管理员给其分配的资源权 限,通过列表选择登录远程资源主机. 安全内控管理平台架构如下图所示: 图1安全内控管理平台架构图 图2安全内控管理平台逻辑架构 安全内控管理平台由以下服务层组成: ? 接管设备层 提供对服务器、网络设备、安全设备、数据库、应用系统等资源的接入 ? 服务层协议适配器 支持 telnet,ssh,ftp,rdp,x11,http(s),5250,3270 等协议,通过该层的相应 协议适配器与接管设备层的具体资源设备进行对接管理. ? 支撑层中间件 本层提供了丰富的管理服务组件,包括管理库、柔性规则引擎、监控模块、通讯服务 组件、数据服务组件、安全管理模块等. ? 运维管理层 该层为对外服务层,通过该层为用户提供相应的管理服务和运维服务. 2.4.2兼容性 操作系统兼容性:支持在 General Unix(IBM AIX、HP-UNIX、Solaris、SCO UNIX 等)、General Linux(Redhat、CentOS、SUSE、Debian 等)上部署. 数据库兼容性:支持 MySQL、Oracle、DB2 等主流数据库作为数据存储. 中间件兼容性:支持 Weblogic、Websphere、JBoss 等主流中间件产品作为应用服务 器. 协议兼容性:支持对 Telnet、SSH、Rlogin、FTP/SFTP、SCP、RDP、X-Windows、 5250/5250SSL、3270/3270SSL、HTTP/HTTPS、SqlPlus、dbaccess 等协议运维控制及操作 审计. 资源兼容性:支持各版本 Windows、General Unix(IBM AIX、HP-UNIX、Solaris、 SCO UNIX 等)、General Linux(Redhat、SUSE、Debian、FreeBSD 等)、AS