bring-封顶
仅供个人参考
明御
?
运维审计与风险控制系统
国内领先的统一运维安全管理与审计系统
支持多种部署方式
支持统一账户管理
For
personal use only in study and research; not for
commercial use
全方位的运维风险控制
丰富的审计功能
For personal use only in study and
research; not for commercial use
产品概述
明御?运维审计与风险控制
系统
(简称:
DAS-USM
)
是安恒信息结合多年运维统一安全管
理的理论和实践经验积累的基础上
,结合各类法令法规(如
SOX
、
PC
I
、企业内控管理、等
级保护等)
对运
维审计的要求,
自主研发完成的业内首创支持灵活部署方式,
集
统一账户管
理与单点登录,
支持多种字符协议与图形协议的实时
监控与历史查询,
全方位风险控制的统
一运维安全管理与审计产
品。
明御?运维审计与风险控制系统是一种符合
4A(
认证
Authentication
、
账号
Account
、
授权
Authorization
、
审计
Audit)
统一安全管理平台方案并且被加固的高性能抗
网络攻击设备,具
备很强安全防范能力,
作为进入内部网络的一
个检查点,
能够拦截非法访问和恶意攻击,
对
< br>不合法命令进行阻断,过滤掉所有对目标设备的非法访问行为。
For personal use only in study and
research; not for commercial use
系统具备强大的输入输出审计功能,
为企事业内部提供完全的审计信息,<
/p>
通过账号管理、
身份认证、资源授权、实时监控、操作还原、自定
义策略、日志服务等操作增强审计信息的
安全性,广泛适用于需要统一运维安全管理与审
计的“政府、金融、运营商、公安、能源、
税务、工商、社保、交通、卫生、教育、电子
商务及企业”等各个行业。
部署明御?运维审计与风险控制系
统,能够极大的保护政府机关和企事业单位内部网络
设备及服务器资源的安全性,使得企
事业内部网络管理合理化,专业化,信息化。
典型部署
1
、
For
personal use only in study and research; not for
commercial use
不得用于商业用途
仅供个人参考
2
、
3
、
旁路模式
Internet
Public IP:
220.202.18.16
Private IP: 172.16.1.1
明御
?
运维审计与风
险
控制系统
172.16.1.2
172.16.1.10
172.16.1.11
172.16.1.12
172.16.1.13
NAT: Port
21(FTP)
NAT: Port 22(SSH)
to
220.202.18.16
To
220.202.18.16
4
、
桥接模式
For personal
use only in study and research; not for commercial
use
不得用于商业用途
远程运维人员
仅供个人参考
Internet
Public IP:
220.202.18.16
Private IP: 172.16.1.1
远程运维人员
明御
?
运
维审计与风
险控制系统
172.16.1.2
< br>172.16.1.10
172.16.1.11
172
.16.1.12
172.16.1.13
NAT: Port
21(FTP)
NAT: Port 22(SSH)
to
220.202.18.16
To
220.202.18.16
主要功能
1.
For personal
use only in study and research; not for commercial
use
2.
3.
单点登录
?
用户只需一次登录系统,就可以无需认证的安全访问被授权的多种应用系统
?
用户无需记忆多种系统的登录用户
ID
和口令
?
For personal use only in study and
research; not for commercial use
?
?
增强认证的系统,从而提高了用户认证环节的安全性
?
实现与用户授权管理的无缝连接,
这样可以通过对用户、
角色、
行为和资
源的授权,
增加对资源的保护和对用户行为的监控及审计
4.
账号管理
?
集中管理所有服务器、网络设备账号,从而可以集中授权、认证和审计
< br>
不得用于商业用途
仅供个人参考
?
通过对账号整个生命周期的监控和
管理,降低管理大量用户账号的难度和工作量
?
通过统一的管理能够发现账号中存
在的安全隐患,
制定统一的、
标准的、
符合安全
账号管理要求的账号安全策略
?
通过建立集中账号管理,
企业可以实现将账号与具体的自然人相关联,
实现多级用
户管理和细粒度的用户授权,还可以实现针对自然人的行为审计,以满足审计需
要
5.
身份认证
?
系统为用户提供统一的认证接口,
不但便于对用户认证的管理,
而且能够采用更加
安全的认证模式,提高认证的安全性和可靠性
?
提供多种认证方式可供用户选择
?
具有灵活的定制接口,方便与第三方认证服务器结合
6.
资源授权
?
系统提供统一的界面对用户、
角色及行为和资源进行授权,
达到对权限的细粒度控
制,最大限度保护用户资源的安全
?
集中访问授权和访
问控制可以对用户对服务器主机、
网络设备的访问进行审计和阻
断
?
授权的对象包括用户、用户角色、资源和用户行为
?
系统不但能够授权用户可以通过什
么角色访问资源这样基于应用边界的粗粒度授
权,对某些应用还可以限制用户的操作,以
及在什么时间进行操作这样应用内部
的细粒度授权
7.
访问控制
?
系统提供细粒度的访问控制,最大限度保护用户资源的安全。
?
提供自定义控制策略配置,
管理员根据用户的角色为其指定相应的控制策略来限制
其系统行为,控
制策略是命令的集合,可以是一组可执行命令,也可以是一组非
可执行的命令
?
提供自定义访问策
略配置,
访问策略是保护系统安全性的重要环节,
制定访问策略
能更好的提高系统的安全性
8.
操作审计
?
审计账号使用(登录、资源访问)情况、资源使用情况等
?
各服务器主机、
< br>网络设备的访问日志记录都采用统一的账号、
资源进行标识,
操作
审计能更好地对账号的完整使用过程进行追踪
?
实时监控和管理服务器上正在发生
的行为,
可以实时察看用户执行的命令和执行结
果
?
友好真实的操作过程
还原,对用户关心的操作可以回放整个相关过程
不得用于商业用途