中国联通互联网增值业务安全措施方案.doc

一、业务维护堡垒机:1、堡垒机架构示意图2、,实现单点登录所有用户对后台设备的操作,都要先登录堡垒机的WEB管理界面(堡垒机作为后台设备访问的唯一入口,实现单点登录),然后再根据堡垒机管理员预先设置好的访问控制规则,自动登录到后台目标设备上去。具体方式如下:普通用户按照登录流程,首先登录到堡垒机的WEB页面,然后可以在“设备访问”项里面,看到可访问的设备列表。选择好系统账号,并点击相应设备后面的“图形”服务,即可自动登录到图形管理界面上去进行任何操作,同理,点击“字符”服务,即可自动登录到字符管理界面上去进行任何操作。,实现用户实名制堡垒机为每个用户分配了独一无二的用户账号,设备上的系统账号不变,通过把多个用户账号和单个系统账号做关联(用户账号完成身份认证,系统账号完成系统授权),可以在不同的用户使用相同的系统帐号访问目标设备的时候,堡垒机依然可以准确识别用户的身份,让用户的身份和具体的操作一一对应起来,从而实现用户实名制管理。,防止非授权访问堡垒机可以根据用户/用户组、设备/设备组、系统帐号和时间来设置详细的访问控制规则,设置完成后,用户只能按照规则设置来访问相应资源,彻底杜绝了非授权访问所带来的问题。,实现主动预防对于Unix设备来说,权限的多少取决于用户可以执行的命令。所以,针对操作指令的控制才是核心。堡垒机可以针对超级用户(root)做操作权限的控制,当多人同时使用一个系统账号时,堡垒机可以对同一个系统账号进行权限再分配,保证使用同一个系统账号的不同用户拥有不同的权限,这就彻底解决了共享账号和root用户权限的问题,真正实现细粒度的操作权限控制。对于操作权限的控制意味着我们从被动接受用户输入到了主动控制。对于用户的操作可以有3种状态:允许,拒绝,禁止。对于高危命令(删除,重起,关机等)可以实时告警,一旦高危操作触发,会立即给相关人员发送告警邮件,保证用户在第一时间内知道高危操作是否对系统有影响。,实现自动登录对于目标设备的访问账号密码,可以由堡垒机进行集中托管,只要配置管理员在相应设备的密码管理中将目标设备的账号密码添加上去即可;使用了密码托管功能后,用户以后访问目标设备时,只需要记住自己的堡垒机上的账号和密码,即可通过堡垒机自动登录目标设备。,实现密码集中管理堡垒机可以灵活配置目标设备密码的修改策略,实现密码的批量定期自动修改,修改后的结果可以以加密邮件方式发送给密码保管员,从而实现密码的集中管理,同时密码保管员也可以随时在系统的WEB界面打包备份设备的密码到本地,提高改密功能可用性。,实现操作透明对于普通用户登录到目标设备上正在进行的操作,审计管理员可以再Shterm的WEB界面做到实时监控,做到边操作边审计,真正实现实现操作透明;同时对于用户的违规操作,审计管理员还可以做到实时切断。,实现完整记录Shterm可以完整记录用户的所有操作行为,具体体现在:所见即所得:记录用户真实、原始的操作,而不是处理过的操作;以人为本:基于用户身份和工作角色的双审计,保证操作审计到人;关联分析:完整记录用户多次联系跳转的操作会话,准确分析关联操作;支持基于Http/Https协议的操作审计;深度审计为了进一步增加运维操作的完善性,Shterm可以记录图形操作的鼠标点击情况和键盘输入情况,从而实现深度审计。快速定位:对历史字符操作会话,可以实现从任一命令点回放下面的操作。对历史图形操作会话,还可以做到完整得在线回放和下载到本地回放,回放方式支持拖拉定位、倍速回放和自动过滤静止会话。,实现快速定位对于历史操作记录,都可以按照时间、用户账号、目标设备、系统账号、命令关键字进行搜索,在最短的时间内找到相关日志内容,实现快速定位。二、业务安全:软件WAF—安全狗网络中服务器均配置安装安全狗安全套件,用软件的形势达到硬件waf功能的需求。所有web业务服务器均部署网站安全狗+服务器安全狗双重防护模式,从web及系统层对业务及服务器系统进行安全保护,从而实现整体业务高安全性的要求。1、网站安全狗网站安全狗其主要功能涵盖网马查杀、主动防御、.Net设置、流量保护、资源保护、网站监控、IP黑白名单管理以及防护日志查询等模块,能够为用户提供实时的网站安全防护,避免各类针对网站的攻击所带来的危害。:(1)全站扫描:对IIS服务器上的所有站点,包括运行中和未运行的站点进行扫描。目前支持第一级的虚拟目录。(2)自定义网站扫描:扫描选择的本地网站。需选择扫描的网站域名。(3)自定义路径扫描:扫描选择的文件路径。需选择扫描的路径。(1)网站漏洞防护根据攻击特征库,对用户输入进