PDF《网神 SecFox 运维安全管理与审计系统》

10 5682

2000 北京市 朝阳区酒仙桥路

6 号院

2 号楼

100015 逻辑上将用户与目标设备分离,建立 用户->

主账户(堡垒机用户账户)->

访问控 制策略->

从账户(目标设备账户)->

目标设备 的管理模式.在此模式下,通过基 于唯一身份标识的用户账户管理与访问控制策略, 精细化的角色权限控制, 与各 服务器、网络设备、安全设备、数据库等无缝连接,实现集中精细化运维操作管 理与审计. 图1核心理念

三、 解决之道 3.1 目标 网神 SecFox 运维安全管理与审计系统是

360 企业安全在多年运维安全管理 的理论和实践经验积累的基础上,结合各类法律法规对运维审计的要求,采用 B/S 架构,集 身份认证(Authentication)、 账户管理(Account)、权限控制 (Authorization)、运维审计(Audit) 于一体,支持多种字符协议、图形协议、文件 传输协议、 远程应用协议的运维与审计, 具备全方位运维风险控制能力的统一运 维管理与审计产品. 网神 SecFox 运维安全管理与审计系统提供一套先进的运维安全管控与审计 解决方案, 目标是帮助企业转变传统安全运维被动响应的模式, 建立面向用户的 官网: b.360.cn 传真: +86

10 5682

2000 北京市 朝阳区酒仙桥路

6 号院

2 号楼

100015 智能化运维安全管控模式,降低人为安全风险,满足合规要求,同时提高人员利 用率加快创造价值. 3.2 应用场景 3.2.1管理员定制访问策略 定制访问控制策略的流程如图所示: 图2定制访问控制策略 1. 添加资源 管理员添加需要管理的资源.资源包括服务器、网络设备、数据库等对象, 支持编辑相关设备信息包括系统类型、所属部门、资源名称、资源地址、协议类 型、应用程序等. 2. 添加从账户 管理员添加与资源对应的从账户(资源账户) ,包括账户名、密码等,从账 户支持自动、手动、半自动登录方式,并且能够由普通账户切换到特权账户,同 时密码可由网神 SecFox 运维安全管理与审计系统定期自动更新. 3. 添加主账户 管理员添加主账户(用户账户) ,主账户是登录网神 SecFox 运维安全管理与 审计系统,获取目标设备访问权的唯一账户,与实际用户身份一一对应,每个用 官网: b.360.cn 传真: +86

10 5682

2000 北京市 朝阳区酒仙桥路

6 号院

2 号楼

100015 户一个主账户,每个主账号只属于一个用户. 4. 创建访问控制策略 管理员建立基于 时间+主账户+资源+从账户+权限 等要素的关联策略. 5. 行为全程审计 网神 SecFox 运维安全管理与审计系统自动记录管理员的资源管理、用户管 理和策略管理等所有行为日志,以便审计员监控和审计. 3.2.2运维员访问目标资源 用户访问资源的流程如图所示: 图3访问目标资源 1. 登录请求 用户在终端通过 HTTPS 或第三方客户端工具登录网神 SecFox 运维安全管 理与审计系统,输入主账号和密码,发起访问请求. 2. 登录认证 网神 SecFox 运维安全管理与审计系统的认证模块对用户的认证请求进行鉴 别. 3. 检查主账号访问权限 认证成功之后,网神 SecFox 运维安全管理与审计系统的权限管理模块通过 分析主账号属性(包括可访问的目标设备、访问权限、从账号、协议类型、应用 等),确定主账号可访问的所有资源. 官网: b.360.cn 传真: +86

10 5682

2000 北京市 朝阳区酒仙桥路