運維安全堡壘機
運維堡壘機的理念起源于跳闆機。2000年左右,高端行業用戶爲了對運維人員(yuán)的遠程登錄進行集中(zhōng)管理,會在機房裏部署跳闆機。跳闆機就是一(yī)台服務器,維護人員(yuán)在維護過程中(zhōng),首先要統一(yī)登錄到這台服務器上,然後從這台服務器再登錄到目标設備進行維護。
2004年,人們認識到跳闆機的不足,提出了以下(xià)運維操作管理理念:
理念一(yī):唯有控制才能真正解決問題
審計是事後行爲,從來沒有事前審計一(yī)說,審計可以發現問題,但是無法防止問題發生(shēng),隻有在事前嚴格控制,才能從源頭真正解決問題
理念二:系統賬号無法确認用戶身份
系統賬号的作用隻是區分(fēn)工(gōng)作角色,多人共用一(yī)個系統賬号是合理的,運維人員(yuán)的流動不應影響系統賬号
理念三:人爲操作難免會出問題
人有失手,馬有失蹄,不怕出問題,就怕出問題找不到原因,隻要機器能做的,就不要人做
在這些理念的指引下(xià),2005年前後,齊治科技研發出世界第一(yī)台運維堡壘機,自此運維堡壘機以一(yī)個獨立的産品形态被廣泛部署,有效地降低了運維操作風險,使運維操作管理變得更簡單、更安全!
同時,首台運維堡壘機的訪問代理模式,對運維人員(yuán)的身份認證、對運維操作的訪問控制和審計等功能,都被運維堡壘機産品一(yī)直沿用至今。
天融信昆侖系列運維安全管理系統是基于國産硬件平台和國産操作系統自主設計開(kāi)發的網絡安全産品。系統以單點登錄爲核心,運維代理技術爲支撐,通過高可用的部署方式,爲客戶提供跨平台資(zī)産管理、自動化運維和運維分(fēn)析報表等運維管理工(gōng)具。可有效規範運維的操作步驟,避免誤操作和非授權操作帶來的隐患,有效保障組織機構的服務器、虛拟機、網絡設備、安全設備、數據庫、業務系統等資(zī)産的安全運行和數據的安全使用。
産品特性
安全保障設計
在國産處理器和國産操作系統之上,保障設備運行平台的安全性。采用嚴格的三權管理進行權限控制,三員(yuán)間相互制約,保障系統管理的安全性。采用管理接口和業務接口分(fēn)離(lí)的設計,保障運維業務的安全性。采用支持國密算法的數字證書(shū)進行身份認證,保障客戶身份鑒别的安全性。
分(fēn)布式架構
采用分(fēn)布式的存儲系統、協議代理引擎和運維管理子系統,具備良好的動态擴展性能。在組建雙機系統時,老系統不需要中(zhōng)斷業務,新系統可以動态加入現有業務環境,通過負載均衡、業務同步、心跳檢測等技術實現原有單系統的性能提升,同時避免了存儲和業務單點故障,兼顧性能和高可用性兩個系統指标。
HTML5代理
采用了HTML5運維代理,無需安裝Agent和插件,即可實現跨平台、多協議(SSH、RDP、FTP、SFTP、Telnet、VNC、DB等)的運維代理和安全審計功能。
自動化運維
集成了主流組态設定(Infrastructure as Code)工(gōng)具,不需要使用客戶端(Agentless),可通過簡單的方式用于發布、管理和編排計算機系統。
全文審計檢索
支持全文審計檢索的天融信昆侖系列運維安全管理系統,可以對操作行爲中(zhōng)的用戶信息、資(zī)産信息、管理地址信息、管理方式信息、操作命令信息、操作結果信息進行全文檢索、過濾,極大(dà)提高查詢效率,更方便的進行用戶關聯追溯。
圖像識别技術
采用了圖像模式識别技術,通過加載訓練過的運維圖片集合,可以識别圖形操作中(zhōng)的快捷方式标題、窗口内容中(zhōng)的文本信息。
圖示部分(fēn)産品示意圖: