奇安信网神运维安全管理系统(堡垒机)
奇安信网神运维安全管理系统(俗称“堡垒机”)采用新一代智能运维技术框架,基于认证、授权、
访问、审计的管理流程设计理念,实现对企事业 IT 中心的服务器、网络设备、数据库、安全产品、
应用程序、云主机等资产的统一管理和审计,并通过集中化的运维管控、运维过程实时监管、运维访
问合规性控制、运维过程图形化审计功能,为企事业 IT 中心运维构建一套事前防御、事中监控、事
后审计的完善的安全体系。广泛满足政府、金融、医疗、电力、能源、央企等行业客户的运维审计规
范要求。
应用场景
(1)• 问题背景:
客户有多个分支机构,各分支机构的运维需要受总部的约束,需要总部进行统一的运维策略管理和审
计。
(2)多分支机构运维集中管控场景
• 问题背景:
等保中有对用户进行身份鉴别、访问控制、运维审计的要求。
• 解决方案:
堡垒机是三级等保必备的产品之一,可以满足等保中对用户进行身份鉴别、访问控制、运维审计的要
求,客户过等保三级需要购买堡垒机才能满足等保测评。
(3)等保合规场景
• 解决方案:
针对上述情况,堡垒机支持对资源账号和密码代填的功能,可将资源账号密码托管在堡垒机上,通过
堡垒机单点登录功能,对纳管的 IT 资源实现不需要输入密码就可登录运维。
(4)运维访问控制
• 针对问题:
在运维过程中,因个人疏忽会在运维过程中有误操作的现象,运维误操作可能带来非常严重的后果;
同时第三方运维人员在非工作时间内访问企业资产,但非工作时段企业无人值守确保访问安全。
• 解决方案:
堡垒机可通过用户访问控制、命令访问控制、资产访问控制、数据库访问控制策略的组合配置,做到
基于用户、运维命令、时间、IP、文件上传下载等的细粒度控制,最大程度减少权限滥用以及运维过
程中误操作现象,对于用户本不支持运维的资源,还可通过工单系统申请获取相应的临时权限进行运
维。
• 解决方案:
堡垒机支持总分部署的模式,通过堡垒机的统一管理平台与多台堡垒机进行联动,统一管理平台对各
堡垒机节点进行统一管控与审计,既可以满足分支机构独立运营的要求,也可以满足总部统一运维管
控的要求。同时堡垒机节点支持动态增加数量,满足客户后续分支机构扩展的要求。
• 问题背景:
云厂商需要在云平台上增加云堡垒机提供给租户,帮助租户进行安全运维,满足等保合规要求。
(5)云平台多租户场景
云安全管理平台
LCC 授权服务器
拉起 拉起
云租户 A
云堡垒
VPC1
云租户 B
云堡垒
VPC2penStack
垒镜像
云平台管理域 云平台业务域
堡垒机 A 堡垒机 B 堡垒机 C
统一管理平台
统一用户 Portal
集中用户管理 集中认证管理 集中授权管理 集中审计
服务器 云主机
网络设备
数据库
应用系统
服务器 云主机
网络设备
数据库
应用系统
服务器 云主机
网络设备
数据库
应用系统
• 解决方案:
云堡垒机与授权服务器与云管平台对接,当租户需要堡垒机时,云管平台自动按需分配堡垒机资源给
租户,满足租户的需求,同时降低云平台管理和售后的成本。
• 解决方案:
我司堡垒机成功入围电力行业的“调度自动化系统运维堡垒机” 采购名录,将传统堡垒机与电力运维
场景深度结合,通过将堡垒机与运维调度系统做对接,实现工单申请、工单审批、工单派发、运维管
控、运维审计追溯一体化,同时堡垒机与电网安管平台对接,实现了运维日志可视化呈现,实时监测
运维动态。
• 问题背景:
工控行业场景下,运维对象较多,除了服务器、网络设备、数据库之外,还需要对生产设备进行登录
运维,现有的运维模式需要对每台运维对象逐个登录运维,运维成本高,工作量较大,效率低。
• 解决方案:
堡垒机支持对纳管的资源进行批量运维、自动化运维等,大幅度提高运维人员工作效率,并且通过密
码托管功能,快速高效的管理多台设备。
参数:采用专用千兆多核硬件平台和安全操作系统;外观:标准1U机架式;6个千兆电口;支持2个接口扩展槽位;内置4TB硬盘;单电源;支持液晶屏;最大支持150路图形会话或400路字符会话并发;最大可选300授权许可。(说明:默认资源数为空;选主机时必须购买资源授权许可。)含三年标准售后服务