專利名稱:一種內(nèi)控堡壘主機(jī)及安全訪問(wèn)內(nèi)網(wǎng)資源的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種內(nèi)控堡壘主機(jī)及相應(yīng)的安全訪問(wèn)內(nèi)網(wǎng)資源的方法。
背景技術(shù):
隨著信息技術(shù)的不斷發(fā)展和信息化建設(shè)的不斷進(jìn)步,業(yè)務(wù)應(yīng)用、辦公系統(tǒng)、商務(wù)平臺(tái)的不斷推出和投入運(yùn)行,信息系統(tǒng)在企業(yè)的運(yùn)營(yíng)中全面滲透。電信行業(yè)、財(cái)政、稅務(wù)、公安、金融、電力、石油、大中企業(yè)和門(mén)戶網(wǎng)站,更是使用數(shù)量較多的服務(wù)器主機(jī)來(lái)運(yùn)行關(guān)鍵業(yè)務(wù),提供電子商務(wù)、數(shù)據(jù)庫(kù)應(yīng)用、運(yùn)維管理、ERP和協(xié)同工作群件等服務(wù)。由于服務(wù)器眾多, 系統(tǒng)管理員壓力太大等因素,人為誤操作的可能性時(shí)有發(fā)生,這會(huì)對(duì)部門(mén)或者企業(yè)聲譽(yù)造成重大影響,并嚴(yán)重影響其經(jīng)濟(jì)運(yùn)行效能。黑客/惡意訪問(wèn)也有可能獲取系統(tǒng)權(quán)限,闖入部門(mén)或企業(yè)內(nèi)部網(wǎng)絡(luò),造成不可估量的損失。企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備和服務(wù)器需要更安全的環(huán)境, 以保障企業(yè)的正常運(yùn)作,如何提高系統(tǒng)運(yùn)維管理水平,滿足相關(guān)標(biāo)準(zhǔn)要求,防止黑客的入侵和惡意訪問(wèn),跟蹤服務(wù)器上用戶行為,降低運(yùn)維成本,提供控制和審計(jì)依據(jù),越來(lái)越成為企業(yè)關(guān)心的問(wèn)題。堡壘主機(jī)應(yīng)運(yùn)而生,堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī),作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn),可以把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在堡壘主機(jī)上解決,從而省時(shí)省力。內(nèi)控堡壘主機(jī)扮演著看門(mén)者的職責(zé),所有對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的請(qǐng)求都要從這扇大門(mén)經(jīng)過(guò),因此內(nèi)控堡壘主機(jī)能夠攔截非法訪問(wèn)和惡意攻擊,對(duì)不合法命令進(jìn)行阻斷、過(guò)濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問(wèn)行為。但是在對(duì)現(xiàn)有技術(shù)的研究和實(shí)踐過(guò)程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)存在以下問(wèn)題不同內(nèi)網(wǎng)資源通常需要不同的帳號(hào)才能訪問(wèn),通過(guò)堡壘主機(jī)訪問(wèn)內(nèi)網(wǎng)資源的用戶需要記憶許多用戶名和密碼用于登錄各個(gè)系統(tǒng),非常不方便且可能出現(xiàn)忘記密碼的情況;堡壘主機(jī)的訪問(wèn)控制策略,以及對(duì)資源訪問(wèn)的監(jiān)控、審計(jì)也不夠完善。
發(fā)明內(nèi)容
現(xiàn)實(shí)中一些公司的數(shù)據(jù)中心機(jī)房有數(shù)百臺(tái)運(yùn)行各類(lèi)業(yè)務(wù)的服務(wù)器,由眾多系統(tǒng)管理員負(fù)責(zé)管理。由于缺乏相應(yīng)的先進(jìn)工具和手段,無(wú)法保證系統(tǒng)管理員嚴(yán)格按照規(guī)范來(lái)進(jìn)行操作,也無(wú)法保證系統(tǒng)管理員的操作行為和管理報(bào)告一致。另外,由于服務(wù)器眾多,系統(tǒng)管理員壓力太大等因素,人為誤操作的可能性時(shí)有發(fā)生,這會(huì)對(duì)部門(mén)或者企業(yè)聲譽(yù)造成重大影響,并嚴(yán)重影響其經(jīng)濟(jì)運(yùn)行效能。黑客/惡意訪問(wèn)也有可能獲取系統(tǒng)權(quán)限,闖入部門(mén)或企業(yè)內(nèi)部網(wǎng)絡(luò),造成不可估量的損失。如何提高系統(tǒng)運(yùn)維管理水平,滿足相關(guān)標(biāo)準(zhǔn)要求,防止黑客的入侵和惡意訪問(wèn),跟蹤服務(wù)器上用戶行為,降低運(yùn)維成本,提供控制和審計(jì)依據(jù), 越來(lái)越成為企業(yè)關(guān)心的問(wèn)題。針對(duì)這些問(wèn)題,通過(guò)本發(fā)明的內(nèi)控堡壘主機(jī),可以實(shí)現(xiàn)對(duì)主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備訪問(wèn)的控制和操作審計(jì);系統(tǒng)界面友好,操作簡(jiǎn)便;安裝部署可以分步驟推進(jìn),不影響用戶的網(wǎng)絡(luò)拓?fù)浜驼I(yè)務(wù);可以很好的實(shí)現(xiàn)字符遠(yuǎn)程終端訪問(wèn)方式的控制,能夠設(shè) 置黑白名單,提供管理員有效的訪問(wèn)控制手段;實(shí)現(xiàn)了圖形遠(yuǎn)程終端訪問(wèn)方式的代理,方便管理員對(duì)圖形訪問(wèn)方式的授權(quán)和控制;管理員和資源訪問(wèn)人員都通過(guò)TOB方式訪問(wèn)堡壘主機(jī),為資源使用人提供了真正的單點(diǎn)登錄功能,只要登錄堡壘主機(jī)就能直觀的展現(xiàn)所有授權(quán)資源,并且訪問(wèn)資源時(shí)不用再次登錄認(rèn)證,避免頻繁登錄的繁瑣; 系統(tǒng)審計(jì)資源使用的全過(guò)程,提供三種展現(xiàn)方式內(nèi)容、命令、播放,方便管理員對(duì)審計(jì)信息的查看;不管是字符還是圖形的審計(jì)結(jié)果都支持播放方式,播放過(guò)程可以隨時(shí)調(diào)整播放速度、任意拖拽播放進(jìn)度,方便管理員查找和定位關(guān)鍵操作;產(chǎn)品達(dá)到了對(duì)資源使用者訪問(wèn)控制和操作審計(jì)的目的,大大提高了網(wǎng)絡(luò)的安全性,有效的控制了網(wǎng)絡(luò)內(nèi)可能發(fā)生的違規(guī)行為??傊?,為解決現(xiàn)有技術(shù)的缺陷,本發(fā)明提供一種內(nèi)控堡壘主機(jī)系統(tǒng)及相應(yīng)方法,能對(duì)資源訪問(wèn)進(jìn)行完善的審計(jì)、監(jiān)控,并提供完善的訪問(wèn)控制策略和單點(diǎn)集中登錄,不僅可提高對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備和服務(wù)器訪問(wèn)的安全性,還可方便用戶通過(guò)內(nèi)控堡壘主機(jī)對(duì)內(nèi)網(wǎng)資源的訪問(wèn)。本發(fā)明提供的內(nèi)控堡壘主機(jī)系統(tǒng)安裝在服務(wù)器上。通過(guò)將授權(quán)給用戶訪問(wèn)的所有內(nèi)網(wǎng)資源的帳號(hào)與用戶帳號(hào)關(guān)聯(lián),用戶在登錄內(nèi)控堡壘主機(jī)系統(tǒng)后可以看到所有授權(quán)訪問(wèn)的資源列表,在用戶訪問(wèn)相應(yīng)資源時(shí)內(nèi)控堡壘主機(jī)系統(tǒng)可自動(dòng)輸入關(guān)聯(lián)的資源的帳號(hào)及密碼,如此便實(shí)現(xiàn)了單點(diǎn)的集中登錄。通過(guò)對(duì)用戶訪問(wèn)內(nèi)控堡壘主機(jī)系統(tǒng)或內(nèi)網(wǎng)資源的時(shí)間、 地址、可用命令等策略,可進(jìn)一步實(shí)現(xiàn)對(duì)用戶對(duì)內(nèi)控堡壘主機(jī)系統(tǒng)或內(nèi)網(wǎng)資源的訪問(wèn)控制。 通過(guò)實(shí)時(shí)監(jiān)視服務(wù)器上正在發(fā)生的行為,可以實(shí)時(shí)察看用戶執(zhí)行的命令、執(zhí)行結(jié)果等,通過(guò)實(shí)時(shí)審計(jì)進(jìn)一步提高了系統(tǒng)的安全性。本發(fā)明的內(nèi)控堡壘主機(jī)系統(tǒng)包括管理單元和執(zhí)行單元,其中管理單元包括對(duì)自然人帳號(hào)進(jìn)行管理的用戶管理模塊,對(duì)資源帳號(hào)進(jìn)行管理的資源管理模塊,對(duì)用戶授權(quán)可訪問(wèn)資源以及將自然人帳號(hào)和資源帳號(hào)進(jìn)行帳號(hào)關(guān)聯(lián)的授權(quán)關(guān)聯(lián)模塊,以及對(duì)控制用戶訪問(wèn)內(nèi)控堡壘主機(jī)和內(nèi)部網(wǎng)絡(luò)資源的策略進(jìn)行設(shè)置的策略設(shè)置模塊,和日志查詢管理模塊;執(zhí)行單元包括對(duì)訪問(wèn)內(nèi)控堡壘主機(jī)的用戶進(jìn)行認(rèn)證并在認(rèn)證通過(guò)后為登錄的用戶提供可訪問(wèn)資源入口的認(rèn)證登錄模塊,用于實(shí)時(shí)監(jiān)視服務(wù)器上正在發(fā)生行為的實(shí)時(shí)監(jiān)控模塊,用于記錄服務(wù)器上發(fā)生過(guò)的命令的日志服務(wù)模塊,用于捕獲用戶命令行輸入的命令捕獲引擎模塊,以及用于執(zhí)行通過(guò)管理單元的策略設(shè)置模塊所設(shè)置策略的策略控制模塊。進(jìn)一步的,所述執(zhí)行單元還包括訪問(wèn)模塊,所述認(rèn)證登錄模塊為登錄的用戶提供可訪問(wèn)資源的訪問(wèn)入口,用戶激活相應(yīng)訪問(wèn)入口時(shí),訪問(wèn)模塊自動(dòng)獲取關(guān)聯(lián)的資源賬號(hào)并作為參數(shù)添加到用戶的訪問(wèn)資源請(qǐng)求中,以使得用戶不需手動(dòng)輸入?yún)?shù)即可實(shí)現(xiàn)對(duì)資源的訪問(wèn)ο進(jìn)一步的,用戶賬號(hào)管理模塊可維護(hù)用戶帳號(hào)的整個(gè)生命周期,對(duì)帳號(hào)進(jìn)行增加、 修改、刪除及鎖定、解鎖等操作,同時(shí)設(shè)置帳號(hào)的密碼使用策略及用戶的級(jí)別定義。用戶也可以在登錄內(nèi)控堡壘主機(jī)系統(tǒng)后對(duì)自身帳號(hào)信息,如密碼、聯(lián)系方式等個(gè)人信息進(jìn)行編輯。進(jìn)一步的,策略設(shè)置模塊支持主機(jī)命令控制策略、訪問(wèn)時(shí)間控制策略、客戶端地址控制策略、訪問(wèn)鎖定策略、密碼策略等的設(shè)置。主機(jī)命令策略可以設(shè)置訪問(wèn)主機(jī)時(shí)能夠使用的命令,配置此策略達(dá)到限制主帳號(hào)對(duì)資源的訪問(wèn)。此策略有兩種類(lèi)型黑名單、白名單。類(lèi)型設(shè)置為黑名單,則命令列表是禁止執(zhí)行的集合,類(lèi)型配置為白名單,則命令列表是只允許執(zhí)行的集合。此策略應(yīng)用于資源的從帳號(hào),這樣授權(quán)使用此從帳號(hào)訪問(wèn)資源的主帳號(hào)就只能按照策略的要求執(zhí)行指令了。訪問(wèn)時(shí)間控制策略,用于限制主帳號(hào)訪問(wèn)系統(tǒng)及訪問(wèn)資源的時(shí)間。訪問(wèn)類(lèi)型有可訪問(wèn)時(shí)間段、不可訪問(wèn)時(shí)間段兩種。訪問(wèn)時(shí)間控制策略可以應(yīng)用于主帳號(hào),此時(shí)主帳號(hào)只能在策略指定時(shí)間段內(nèi)登錄內(nèi)控堡壘主機(jī);訪問(wèn)時(shí)間控制策略也可以應(yīng)用于資源的從帳號(hào), 此時(shí)授權(quán)使用此從帳號(hào)訪問(wèn)資源的主帳號(hào)就只能在策略指定的時(shí)間段內(nèi)訪問(wèn)相應(yīng)資源了
客戶端地址控制策略,用于限制主帳號(hào)訪問(wèn)系統(tǒng)及訪問(wèn)資源時(shí)使用的客戶端地址。訪問(wèn)類(lèi)型有可訪問(wèn)IP段、不可訪問(wèn)IP段兩種??蛻舳说刂房刂撇呗钥梢詰?yīng)用于主帳號(hào),此時(shí)主帳號(hào)只能在策略指定的地址段內(nèi)登錄內(nèi)控堡壘主機(jī);客戶端地址控制策略也可以應(yīng)用于資源的從帳號(hào),此時(shí)授權(quán)使用此從帳號(hào)訪問(wèn)資源的主帳號(hào)就只能在策略指定的地址段內(nèi)訪問(wèn)相應(yīng)資源了。訪問(wèn)鎖定策略,用于在主帳號(hào)口令輸入錯(cuò)誤時(shí)鎖定主帳號(hào),避免主帳號(hào)的密碼被暴力破解??梢耘渲幂斎胧〉拇螖?shù)和鎖定時(shí)間。訪問(wèn)鎖定策略應(yīng)用于主帳號(hào),在主帳號(hào)添加和修改時(shí)可以指定此策略。密碼策略,用于限制主帳號(hào)口令強(qiáng)度,避免主帳號(hào)配置的密碼過(guò)于簡(jiǎn)單,被暴力破解。可以配置密碼長(zhǎng)度,包含字母長(zhǎng)度及位置、數(shù)字長(zhǎng)度及位置、符號(hào)長(zhǎng)度及位置等。密碼策略應(yīng)用于主帳號(hào),在主帳號(hào)添加和修改時(shí)可以指定此策略。進(jìn)一步的,日志查詢管理模塊支持對(duì)日志的刪除、備份操作,還能支持按服務(wù)器、 按用戶名、按登陸地址、按登陸時(shí)間、按命令發(fā)生時(shí)間、按命令名稱的六種方式之一或任意組合進(jìn)行查詢。通過(guò)對(duì)特定服務(wù)器地址進(jìn)行查詢,可以發(fā)現(xiàn)該服務(wù)器上發(fā)生的命令和行為; 通過(guò)對(duì)用戶名進(jìn)行查詢,可以發(fā)現(xiàn)該用戶的所有行為;通過(guò)對(duì)特定IP地址進(jìn)行查詢,可以發(fā)現(xiàn)該地址對(duì)應(yīng)主機(jī)及其用戶在服務(wù)器上進(jìn)行的所有操作;通過(guò)對(duì)登錄時(shí)間進(jìn)行查詢,可以發(fā)現(xiàn)特定時(shí)間內(nèi)登錄服務(wù)器的用戶及其進(jìn)行過(guò)的所有操作;通過(guò)對(duì)命令發(fā)生的時(shí)間進(jìn)行查詢,可以查詢到特定時(shí)間段服務(wù)器上發(fā)生過(guò)的所有行為;通過(guò)查詢特定命令如ls,可以查詢到使用過(guò)該命令的所有用戶及其使用的時(shí)間等。還可以通過(guò)不同方式的組合進(jìn)行諸如查詢“誰(shuí)(用戶名)” “什么時(shí)間登錄(登錄時(shí)間)”服務(wù)器并在“什么時(shí)間(命令發(fā)生時(shí)間)”在“服務(wù)器(目標(biāo)服務(wù)器)”上執(zhí)行過(guò)“什么操作(命令)”的查詢。進(jìn)一步的,在日志服務(wù)模塊提供的日志記錄基礎(chǔ)上,除了日志查詢管理模塊,內(nèi)控堡壘主機(jī)在管理模塊還可包括審計(jì)管理模塊,并支持內(nèi)容、命令和回放三種審計(jì)展現(xiàn)形式。 內(nèi)容是資源操作的所有指令和對(duì)應(yīng)結(jié)果的一次性展現(xiàn);命令是資源操作的所有指令執(zhí)行情況;回放是資源操作過(guò)程的錄像回放,這是針對(duì)圖形資源訪問(wèn)方式的一種特殊展現(xiàn)方式。進(jìn)一步的,認(rèn)證登錄模塊提供證書(shū)認(rèn)證、智能卡認(rèn)證、短信認(rèn)證、人體特征認(rèn)證、動(dòng)態(tài)口令認(rèn)證等強(qiáng)認(rèn)證方式。進(jìn)一步的,日志服務(wù)模塊記錄每個(gè)用戶登錄內(nèi)控堡壘主機(jī)系統(tǒng)的用戶名,登陸IP 地址,登陸時(shí)間。進(jìn)一步的,日志服務(wù)模塊負(fù)責(zé)記錄用戶登陸內(nèi)控堡壘主機(jī)系統(tǒng)后發(fā)生過(guò)的所有命令,輸出屏幕和原始硬拷貝流,以供事后分析和調(diào)查取證。進(jìn)一步的,日志服務(wù)模塊可將日志記錄為文本文件,或向其他日志服務(wù)器發(fā)送 SYSLOG 日志。
進(jìn)一步的,命令捕獲引擎模塊支持多行長(zhǎng)命令的捕獲,捕獲結(jié)果不受諸如回退、 DEL、光標(biāo)移位等多行命令的編輯操作的影響。進(jìn)一步的,命令捕獲引擎模塊支持對(duì)歷史操作命令的抓取,支持用戶通過(guò)UP,D0WN 功能鍵對(duì)歷史操作命令的抓取,支持對(duì)以“ ! ”方式執(zhí)行歷史命令的控制和相關(guān)命令抓取。 進(jìn)一步的,命令捕獲引擎模塊可智能識(shí)別編輯狀態(tài)和命令狀態(tài),支持命令的TAB 補(bǔ)全等Readline功能,支持回退鍵,刪除鍵,方向鍵等功能鍵;支持對(duì)所有shell下命令的抓取,支持mysql,telnet, ssh等客戶端程序內(nèi)部呈現(xiàn)命令的捕獲功能。進(jìn)一步的,命令捕獲引擎模塊支持命令的組合使用,支持管道“| ”,支持邏輯或 “I I”和與“&&”操作,支持分號(hào)命令“;”。本發(fā)明還涉及與前述內(nèi)控堡壘主機(jī)相應(yīng)的一種安全訪問(wèn)內(nèi)網(wǎng)資源的方法,所述方法具體應(yīng)用于內(nèi)控堡壘主機(jī),其特征在于管理員通過(guò)內(nèi)控堡壘主機(jī)對(duì)自然人帳號(hào)、資源帳號(hào)進(jìn)行管理;管理員通過(guò)內(nèi)控堡壘主機(jī)對(duì)用戶授權(quán)可訪問(wèn)資源以及將自然人帳號(hào)和資源帳號(hào)進(jìn)行帳號(hào)關(guān)聯(lián);管理員通過(guò)內(nèi)控堡壘主機(jī)對(duì)用戶訪問(wèn)內(nèi)控堡壘主機(jī)和內(nèi)部網(wǎng)絡(luò)資源的策略進(jìn)行設(shè)置;用戶通過(guò)登錄內(nèi)控堡壘主機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源;在用戶通過(guò)內(nèi)控堡壘主機(jī)的認(rèn)證后,內(nèi)控堡壘主機(jī)為當(dāng)前用戶提供可訪問(wèn)資源的入口 ;內(nèi)控堡壘主機(jī)捕獲用戶命令行輸入的命令,并根據(jù)預(yù)先設(shè)置的策略進(jìn)行相應(yīng)控制;內(nèi)控堡壘主機(jī)對(duì)所在服務(wù)器上發(fā)生過(guò)的命令進(jìn)行日志記錄,以供查詢管理。進(jìn)一步的,上述方法中的內(nèi)控堡壘主機(jī),當(dāng)用戶激活相應(yīng)訪問(wèn)資源入口時(shí),自動(dòng)為用戶獲取關(guān)聯(lián)的資源賬號(hào)并作為參數(shù)添加到用戶的訪問(wèn)資源請(qǐng)求中,以使得用戶不需手動(dòng)輸入?yún)?shù)即可實(shí)現(xiàn)對(duì)資源的訪問(wèn)。進(jìn)一步的,上述方法中的內(nèi)控堡壘主機(jī)還可實(shí)時(shí)監(jiān)視內(nèi)控堡壘主機(jī)所在服務(wù)器上正在發(fā)生行為的實(shí)時(shí)監(jiān)控模塊。進(jìn)一步的,通過(guò)上述方法中的內(nèi)控堡壘主機(jī),可設(shè)置主機(jī)命令控制策略、訪問(wèn)時(shí)間控制策略、客戶端地址控制策略、訪問(wèn)鎖定策略、密碼策略。進(jìn)一步的,上述方法中的內(nèi)控堡壘主機(jī)提供證書(shū)認(rèn)證、智能卡認(rèn)證、短信認(rèn)證、人體特征認(rèn)證、動(dòng)態(tài)口令認(rèn)證等強(qiáng)認(rèn)證方式。進(jìn)一步的,上述方法中的內(nèi)控堡壘主機(jī)負(fù)責(zé)記錄用戶登陸內(nèi)控堡壘主機(jī)系統(tǒng)后發(fā)生過(guò)的所有命令,輸出屏幕和原始硬拷貝流,以供事后分析和調(diào)查取證。嚴(yán)重的攻擊通常來(lái)自系統(tǒng)內(nèi)部(80%來(lái)自內(nèi)部攻擊),本發(fā)明的內(nèi)控堡壘主機(jī)主要應(yīng)用于內(nèi)部用戶行為管理,對(duì)各種途徑的網(wǎng)絡(luò)設(shè)備及服務(wù)器的訪問(wèn)方式進(jìn)行監(jiān)控,支持 telnet,ftp,ssh,rdp,xwindow等,保證內(nèi)部用戶的操作和行為可控、可視、可管理、可跟蹤、 可鑒定,防止內(nèi)部人員對(duì)機(jī)密材料的非法獲取和使用,保護(hù)企事業(yè)核心機(jī)密。網(wǎng)絡(luò)邊界安全設(shè)備是企事業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的重要組成部分,網(wǎng)絡(luò)邊界安全設(shè)備的安全策略,對(duì)企事業(yè)內(nèi)部網(wǎng)絡(luò)安全,起著非常重要的作用。目前關(guān)鍵網(wǎng)絡(luò)邊界安全設(shè)備,主要來(lái)自于國(guó)外巨頭和國(guó)內(nèi)領(lǐng)先公司,這些公司一般都提供先進(jìn)的CLI功能,管理員可以通過(guò)SSH和串口,對(duì)網(wǎng)絡(luò)邊界安全設(shè)備(如交換機(jī)、防護(hù)墻、VPN等)進(jìn)行安全策略配置。但是,目前沒(méi)有可靠辦法保證系統(tǒng)管理員安全策略配置行為的有效性,合法性以及一致性,一般都通過(guò)行政手段,讓系統(tǒng)管理員記錄安全策略配置過(guò)程,這有嚴(yán)重的安全隱患本發(fā)明的內(nèi)控堡壘主機(jī)提供網(wǎng)關(guān)部署方式,可以記錄系統(tǒng)管理員對(duì)網(wǎng)絡(luò)邊界安全設(shè)備的配置過(guò)程,保證安全策略的一致性,其生成的日志系統(tǒng),可以比較方便的集成到企事業(yè)現(xiàn)有安全策略管理架構(gòu)中。黑客常常通過(guò)手段(如社會(huì)工程、惡意程序、系統(tǒng)設(shè)置漏洞、緩沖區(qū)溢出程序等) 獲取用戶權(quán)限,然后使用該權(quán)限登陸系統(tǒng)。本發(fā)明的內(nèi)控堡壘主機(jī)可以記錄該黑客的操作過(guò)程,對(duì)于事后查證和數(shù)據(jù)恢復(fù),有非常好的適用價(jià)值。本發(fā)明的內(nèi)控堡壘主機(jī)還可以通過(guò)地址綁定功能對(duì)黑客行為進(jìn)行限制,即使黑客取得系統(tǒng)權(quán)限,也不能對(duì)系統(tǒng)做任何操作。
本發(fā)明中涉及到的主賬號(hào)是與人相關(guān),也即自然人賬號(hào)、用戶賬號(hào);而從賬號(hào)是與資源相關(guān),也即資源賬號(hào)。特定資源均有訪問(wèn)所需的賬號(hào)及密碼,內(nèi)控堡壘主機(jī)系統(tǒng)在將許可用戶訪問(wèn)的資源賬號(hào)與用戶賬號(hào)關(guān)聯(lián)后,在用戶通過(guò)內(nèi)控堡壘主機(jī)系統(tǒng)訪問(wèn)資源時(shí),會(huì)自動(dòng)代為填寫(xiě)與資管源的賬號(hào)及密碼。
圖1為本發(fā)明的內(nèi)控堡壘主機(jī)部署示意圖;圖2為本發(fā)明的訪問(wèn)內(nèi)控堡壘主機(jī)示意圖;圖3、4為本發(fā)明的主帳號(hào)管理示意圖;圖5、6為本發(fā)明的資源管理示意圖;圖7a、7b為本發(fā)明的角色管理示意圖;圖8為本發(fā)明的內(nèi)部審計(jì)示意圖;圖9為本發(fā)明的行為審計(jì)示意圖;圖10為本發(fā)明的內(nèi)控堡壘主機(jī)行為審計(jì)示意圖;圖11為本發(fā)明的內(nèi)容審計(jì)示意圖;圖12為本發(fā)明的命令審計(jì)示意圖;圖13為本發(fā)明的操作播放審計(jì)示意圖;圖14為本發(fā)明的訪問(wèn)命令控制示意圖;圖15為本發(fā)明的訪問(wèn)命令控制策略示意圖;圖16a、16b為本發(fā)明的單點(diǎn)登錄入口示意圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。本發(fā)明實(shí)施例中的內(nèi)控堡壘主機(jī)采用了一系列的先進(jìn)技術(shù),針對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行保護(hù),對(duì)此類(lèi)資產(chǎn)的常用訪問(wèn)方式進(jìn)行監(jiān)控和審計(jì),例如對(duì)字符終端、圖形終端等訪問(wèn)方式進(jìn)行監(jiān)控和審計(jì),實(shí)現(xiàn)對(duì)用戶行為進(jìn)行控制、追蹤、判定,滿足企業(yè)內(nèi)部網(wǎng)絡(luò)對(duì)安全性的要求1)邏輯命令自動(dòng)識(shí)別技術(shù)本發(fā)明的內(nèi)控堡壘主機(jī)自動(dòng)識(shí)別當(dāng)前操作終端,對(duì)當(dāng)前終端的輸入輸出進(jìn)行控制,組合輸入輸出流,自動(dòng)識(shí)別邏輯語(yǔ)義命令。系統(tǒng)會(huì)根據(jù)輸入輸出上下文,確定邏輯命令編輯過(guò)程,進(jìn)而自動(dòng)捕獲出用戶使 用的邏輯命令。該項(xiàng)技術(shù)解決了邏輯命令自動(dòng)捕獲功能, 在傳統(tǒng)鍵盤(pán)捕獲與控制領(lǐng)域取得新的突破,可以更加準(zhǔn)確的控制用戶意圖。該技術(shù)能自動(dòng)識(shí)別命令狀態(tài)和編輯狀態(tài)以及私有工作狀態(tài),準(zhǔn)確捕獲邏輯命令。2)分布式處理技術(shù)本發(fā)明的內(nèi)控堡壘主機(jī)采用分布式處理架構(gòu)進(jìn)行處理,啟用命令捕獲引擎機(jī)制, 通過(guò)策略服務(wù)器完成策略審計(jì),通過(guò)日志服務(wù)器存儲(chǔ)操作審計(jì)日志,并通過(guò)實(shí)時(shí)監(jiān)視中心, 實(shí)時(shí)察看用戶在服務(wù)器上行為。這種分體式設(shè)計(jì)有利于策略的正確執(zhí)行和操作記錄日志的安全。同時(shí),各組件之間采用安全連接進(jìn)行通信,防止策略和日志被篡改。各組件可以獨(dú)立工作,可以分布于不同的服務(wù)器上,亦可所有組件安裝于一臺(tái)服務(wù)器。3)正則表達(dá)式匹配技術(shù)本發(fā)明的內(nèi)控堡壘主機(jī)采用正則表達(dá)式匹配技術(shù),將正則表達(dá)式組合入樹(shù)型可遺傳策略結(jié)構(gòu),實(shí)現(xiàn)控制命令的自動(dòng)匹配與控制。樹(shù)型可遺傳策略適合現(xiàn)代企業(yè)事業(yè)架構(gòu),對(duì)于服務(wù)器的分層分級(jí)管理與控制,相當(dāng)有用。4) RDP協(xié)議代理為了對(duì)圖形終端操作行為進(jìn)行審計(jì)和監(jiān)控,本發(fā)明的內(nèi)控堡壘主機(jī)對(duì)圖形終端使用的協(xié)議進(jìn)行代理,實(shí)現(xiàn)多平臺(tái)的多種圖形終端操作的審計(jì),例如Windows平臺(tái)的RDP方式圖形終端操作,Linux/Unix平臺(tái)的XWindow方式圖形終端操作。5)多進(jìn)程/線程與同步技術(shù)本發(fā)明的內(nèi)控堡壘主機(jī)主體采用多進(jìn)程/線程技術(shù)實(shí)現(xiàn),利用獨(dú)特的通信和數(shù)據(jù)同步技術(shù),準(zhǔn)確控制程序行為。多進(jìn)程/線程方式邏輯處理準(zhǔn)確,事務(wù)處理不會(huì)發(fā)生干擾, 這有利于保證系統(tǒng)的穩(wěn)定性、健壯性。6)數(shù)據(jù)加密功能本發(fā)明的內(nèi)控堡壘主機(jī)在處理用戶數(shù)據(jù)時(shí)都采用相應(yīng)的數(shù)據(jù)加密技術(shù)來(lái)保護(hù)用戶通信的安全性和數(shù)據(jù)的完整性。防止惡意用戶截獲和篡改數(shù)據(jù)。充分保護(hù)用戶在操作過(guò)程中不被惡意破壞。7)審計(jì)查詢檢索功能自從《薩班斯法案》的推出,企業(yè)內(nèi)控得到了嚴(yán)格的審查,企業(yè)的內(nèi)部審計(jì)顯得非常重要。本發(fā)明的內(nèi)控堡壘主機(jī)能夠?yàn)槠髽I(yè)內(nèi)部網(wǎng)絡(luò)提供完全的審計(jì)信息,這些審計(jì)信息能夠?yàn)槠髽I(yè)追蹤用戶行為,判定用戶行為等,能夠還原出用戶的一些操作性為。傳統(tǒng)審計(jì)關(guān)聯(lián)到IP,這本身是一個(gè)不確定的和不負(fù)責(zé)任的審計(jì)結(jié)果,因?yàn)镮P信息不能夠真實(shí)反應(yīng)出真實(shí)的操作者是誰(shuí),從而企業(yè)內(nèi)部網(wǎng)絡(luò)出現(xiàn)問(wèn)題不能追蹤用戶。本發(fā)明的內(nèi)控堡壘主機(jī)能夠?qū)@些用戶關(guān)聯(lián)審計(jì)行為,就是說(shuō)真正能夠把每一次審計(jì)出的用戶操作性為綁定到自然人身上,便于企業(yè)內(nèi)部網(wǎng)絡(luò)管理追蹤到個(gè)人。8)操作還原技術(shù)操作還原技術(shù)是指將用戶在系統(tǒng)中的操作行為以真實(shí)的環(huán)境模擬顯現(xiàn)出來(lái),審計(jì)管理員可以根據(jù)操作還原技術(shù)還原出真實(shí)的操作,以判定問(wèn)題出在哪里。本發(fā)明的內(nèi)控堡壘主機(jī)采用操作還原技術(shù)能夠?qū)⒂脩舻牟僮髁鞒套詣?dòng)地展現(xiàn)出來(lái),能夠監(jiān)控用戶的每一次行為,判定用戶的行為是否對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)安全性造成危害。內(nèi)控堡壘主機(jī)的部署,如附圖1所示。內(nèi)控堡壘主機(jī)部署在被管服務(wù)器或網(wǎng)絡(luò)設(shè)備的訪問(wèn)路徑上,通過(guò)防火墻或者交換機(jī)的訪問(wèn)控制策略限定只能由內(nèi)控堡壘主機(jī)直接訪問(wèn)服務(wù)器或者網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程維護(hù)端口。維護(hù)區(qū)內(nèi)的用戶可能是扮演著各種角色,如內(nèi)控堡壘主機(jī)系統(tǒng)管理員、某些設(shè)備的維護(hù)人員或者普通使用用戶等。舉例來(lái)說(shuō),維護(hù)人員維護(hù)被管服務(wù)器或者網(wǎng)絡(luò)設(shè)備時(shí),首先以WEB方式登錄內(nèi)控堡壘主機(jī),然后通過(guò)內(nèi)控堡壘主機(jī)上展現(xiàn)的訪問(wèn)資源列表直接訪問(wèn)授權(quán)資源。如附圖2所示,只有通過(guò)內(nèi)控堡壘主機(jī)驗(yàn)證的合法用戶才能獲得一定權(quán)限訪問(wèn)相應(yīng)內(nèi)網(wǎng)資源。內(nèi)控堡壘主機(jī)的帳號(hào)管理體系涉及與用戶相關(guān)的主帳號(hào)和與資源相關(guān)的從帳號(hào), 管理員登錄內(nèi)控堡壘主機(jī)后,將授權(quán)給主帳號(hào)訪問(wèn)的從帳號(hào)進(jìn)行關(guān)聯(lián)(即系統(tǒng)授權(quán)),用戶使用主帳號(hào)登錄內(nèi)控堡壘主機(jī)(即身份認(rèn)證),認(rèn)證通過(guò)則可通過(guò)單點(diǎn)登錄(SSO)的方式選取相應(yīng)資源進(jìn)行訪問(wèn)。單點(diǎn)登錄(SSO)功能是主帳號(hào)訪問(wèn)授權(quán)資源的統(tǒng)一入口。通過(guò)此功能,主帳號(hào)訪問(wèn)資源時(shí)只需要在內(nèi)控堡壘主機(jī)上做一次登錄,之后就可以在不輸入用戶名和密碼的情況下使用各種授權(quán)資源。如附圖16a、16b所示,當(dāng)主帳號(hào)點(diǎn)擊授權(quán)帳號(hào)列表時(shí), 授權(quán)從帳號(hào)列表中會(huì)顯示所有授權(quán)給此主帳號(hào)的資源。當(dāng)主帳號(hào)點(diǎn)擊授權(quán)列表中的帳號(hào)訪問(wèn)方式按鈕時(shí),會(huì)在后臺(tái)替主帳號(hào)輸入從帳號(hào)訪問(wèn)信息以自動(dòng)接入目標(biāo)資源,完成單點(diǎn)登錄。主帳號(hào)的管理如附圖3、5b所示。主帳號(hào)是內(nèi)控堡壘主機(jī)管理員在內(nèi)控堡壘主機(jī)上建立的 資源使用帳戶,必須由管理員在內(nèi)控堡壘主機(jī)上添加并且授權(quán)相應(yīng)的資源后主帳號(hào)才能使用。主帳號(hào)管理,實(shí)現(xiàn)主帳號(hào)生命周期管理的全部過(guò)程,包括主帳號(hào)創(chuàng)建,主帳號(hào)授權(quán),主帳號(hào)變更,主帳號(hào)鎖定,主帳號(hào)注銷(xiāo)。主帳號(hào)管理模塊當(dāng)管理員點(diǎn)擊導(dǎo)航樹(shù)中的主帳號(hào)管理時(shí),導(dǎo)航樹(shù)右側(cè)顯示區(qū)域會(huì)顯示主帳號(hào)列表。主帳號(hào)創(chuàng)建模塊管理員點(diǎn)擊主帳號(hào)列表中的添加按鈕,會(huì)進(jìn)入主帳號(hào)基本信息頁(yè)面,管理員在此添加新主帳號(hào)信息。主帳號(hào)授權(quán)模塊主帳號(hào)授權(quán)用于授予主帳號(hào)訪問(wèn)被管資源和內(nèi)控堡壘主機(jī)管理的權(quán)限。主帳號(hào)變更模塊管理員在主帳號(hào)列表中點(diǎn)擊修改按鈕,會(huì)進(jìn)入主帳號(hào)變更頁(yè)面, 用以變更主帳號(hào)信息。主帳號(hào)鎖定模塊管理員可以在主帳號(hào)變更頁(yè)面中點(diǎn)擊鎖定按鈕用以鎖定主帳號(hào),同時(shí)會(huì)鎖定授權(quán)資源的訪問(wèn)權(quán)限。主帳號(hào)注銷(xiāo)模塊管理員可以在主帳號(hào)列表中選擇所要注銷(xiāo)的主帳號(hào)選項(xiàng),單擊刪除按鈕用于注銷(xiāo)選擇的主帳號(hào)。登錄系統(tǒng)后,點(diǎn)擊元目錄導(dǎo)航欄,進(jìn)入元目錄頁(yè)面,選擇需要添加自然人的組,進(jìn)入自然人的列表頁(yè)面。在附圖3中單擊右下角的添加按鈕,進(jìn)入自然人的編輯頁(yè)面(參見(jiàn)附圖4)填寫(xiě)自然人的ID、名稱等信息,在這里可以選擇密碼策略,用戶訪問(wèn)系統(tǒng)的時(shí)間策略。信息填寫(xiě)完畢后,點(diǎn)擊提交,完成自然人的添加。初始化口令選中此復(fù)選框,則不用配置新建立帳號(hào)的口令。新建立帳號(hào)的密碼為 123456,首次登錄時(shí)會(huì)要求修改密碼。
資源的管理如附圖5、6所示。資源就是要通過(guò)內(nèi)控堡壘主機(jī)管理的各種設(shè)備資源,內(nèi)控堡壘主機(jī)上將資源類(lèi)型劃分為=Windows主機(jī)、Windows域控、Windows域內(nèi)主機(jī)、 Unix主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等。資源管理實(shí)現(xiàn)被管資源的管理和被管資源的帳號(hào)管理。給主帳號(hào)授予操作某資源的權(quán)限,實(shí)際是將資源上的帳號(hào)(也叫從帳號(hào))授權(quán)給主帳號(hào)使用, 因此管理員給主帳號(hào)授權(quán),要做如下三個(gè)步驟建立資源,為資源添加可管理帳號(hào),將資源的從帳號(hào)增加到主帳號(hào)的授權(quán)列表。資源管理模塊,當(dāng)管理員點(diǎn)擊導(dǎo)航樹(shù)中的資源管理按鈕時(shí),資源列表會(huì)顯示所有被管資源列表。資源創(chuàng)建模塊管理員點(diǎn)擊資源列表中的添加按鈕,進(jìn)入資源添加頁(yè)面,管理員輸入資源基本信息,完成資源的創(chuàng)建。資源刪除模塊管理員 在資源列表中選擇需要?jiǎng)h除的資源,點(diǎn)擊刪除按鈕,刪除資源。注意如果資源有從帳號(hào),那么必須首先從內(nèi)控堡壘主機(jī)的內(nèi)部數(shù)據(jù)庫(kù)中刪除資源的所有從帳號(hào),之后才能刪除資源(刪除時(shí)選中“僅刪除存儲(chǔ)”復(fù)選框,不選則會(huì)將從帳號(hào)在資源上也刪除)。從帳號(hào)收集模塊資源添加時(shí)配置的管理員和管理員密碼是用來(lái)同步資源帳號(hào)的,此資源的管理員要有帳號(hào)的管理權(quán)限。注意如果要從內(nèi)控堡壘主機(jī)直接管理資源上的帳號(hào),例如帳號(hào)收集、同步、修改等功能,則必須配置此管理員。帳號(hào)收集只能收集到帳號(hào)的名稱,不能收集從帳號(hào)的密碼。收集到的從帳號(hào)要想授權(quán)必須設(shè)置密碼后才能授權(quán)。從帳號(hào)管理模塊當(dāng)管理員點(diǎn)擊資源列表中具體資源的可管帳號(hào)按鈕時(shí),進(jìn)入資源從帳號(hào)列表,在此管理員可以做從帳號(hào)的創(chuàng)建,修改,刪除。帳號(hào)有兩種類(lèi)型共管帳號(hào)、 接管帳號(hào)。自動(dòng)收集的帳號(hào)默認(rèn)是共管帳號(hào),共管帳號(hào)只能配置密碼,不能修改。共管帳號(hào)只有配置密碼后才能授權(quán)。從帳號(hào)的修改界面上有“寫(xiě)入帳號(hào)”按鍵,含義是將新的帳號(hào)屬性寫(xiě)入資源,例如修改了帳號(hào)的密碼或者變更了帳號(hào)的所屬組,要將這些修改直接應(yīng)用與資源時(shí)可以點(diǎn)擊此按鍵。共管帳號(hào)不能使用“寫(xiě)入帳號(hào)”,接管帳號(hào)才能使用“寫(xiě)入帳號(hào)”。 注意一般不把資源的超級(jí)管理員設(shè)置為接管帳號(hào),避免因?yàn)檎`操作引起的超級(jí)管理員密碼或者屬性修改。從帳號(hào)刪除時(shí)默認(rèn)也會(huì)刪除資源上的帳號(hào),所以操作時(shí)請(qǐng)小心,如果不想刪除資源上的從帳號(hào),只想刪除內(nèi)控堡壘主機(jī)數(shù)據(jù)庫(kù)中的從帳號(hào),要選中“僅刪除存儲(chǔ)”。各種資源類(lèi)型配置特別說(shuō)明Unix 主機(jī),代表所有類(lèi) Unix 系統(tǒng),例如Linux、HP Unix、AIX、Sun Solaris、 FreeBSD等?!疤崾痉币渲贸蓭ぬ?hào)登錄后的提示符,常見(jiàn)的有“$”、“#”等。Windows主機(jī),此資源有兩種連接方式,分別是Telnet和代理程序。Windows的 Telnet不穩(wěn)定,所以建議使用代理程序連接。如果采用Telnet連接,需要將Windows操作系統(tǒng)的Telnet服務(wù)打開(kāi)。如果使用代理程序連接,則不必配置管理員和管理員密碼即可做帳號(hào)收集和同步。Windows主機(jī)(域控制器),此資源有兩種連接方式,分別是Telnet和代理程序。 建議采用代理程序連接。Windows域控服務(wù)器的帳號(hào)收集會(huì)收集所有域帳號(hào)。Windows主機(jī)(域內(nèi)),此資源沒(méi)有依賴于Windows域控服務(wù)器中的帳號(hào),添加時(shí)除了名稱和IP,要配置所屬域控服務(wù)器。數(shù)據(jù)庫(kù)(獨(dú)立),此處的獨(dú)立數(shù)據(jù)庫(kù)指帳號(hào)和操作系統(tǒng)不共用的數(shù)據(jù)庫(kù),例如Oracle、Sql Server、MysqK Sybase 等。數(shù)據(jù)庫(kù)(系統(tǒng)),此處的系統(tǒng)數(shù)據(jù)庫(kù)指帳號(hào)和操作系統(tǒng)共用的數(shù)據(jù)庫(kù),例如DB2、 Informix 等。網(wǎng)絡(luò)設(shè)備(Radius),指3A指向內(nèi)控堡壘主機(jī)的網(wǎng)絡(luò)設(shè)備(內(nèi)控堡壘主機(jī)內(nèi)含 Radius服務(wù)器,可以作為網(wǎng)絡(luò)設(shè)備的認(rèn)證服務(wù)器)。此種資源不用定義從帳號(hào)即可授權(quán)。網(wǎng)絡(luò)設(shè)備(Local),沒(méi)有配置3A或者3A沒(méi)有指向內(nèi)控堡壘主機(jī)的網(wǎng)絡(luò)設(shè)備。此種資源需要定義從帳號(hào)才能做授權(quán)。登錄系統(tǒng)后,點(diǎn)擊元目錄導(dǎo)航欄,進(jìn)入元目錄頁(yè)面,選擇需要添加資源的組,進(jìn)入資源的列表頁(yè)面。在圖5中右下角選擇要添加的資源類(lèi)型(以Unix主機(jī)為例),然后點(diǎn)擊添加按鈕,進(jìn)入資源的編輯頁(yè)面(參見(jiàn)附圖6),配置項(xiàng)含義如下名稱資源的名稱。 IP:資源的IP地址。連接器資源屬于什么類(lèi)型的系統(tǒng)。協(xié)議連接資源進(jìn)行資源收集管理使用的協(xié)議。連接IP 用于收集資源賬號(hào)的IP地址。端口 協(xié)議使用的端口。延時(shí)連接資源時(shí)使用的延時(shí)通訊時(shí)間,使用默認(rèn)值即可。超時(shí)當(dāng)連接資源時(shí)如果超出此時(shí)間就提示連接超時(shí)。管理員用于收集資源賬號(hào)的管理員賬號(hào)。要求擁有添加刪除賬號(hào)權(quán)限。提示符管理員擁有的提示符,作用是幫助分析。密碼策略指定資源賬號(hào)的密碼限制策略。如果資源有密碼策略,則密碼修改計(jì)劃會(huì)按照此密碼策略中的要求生成隨機(jī)密碼。管理員密碼管理員賬號(hào)的密碼描述資源的描述信息。如果要進(jìn)行資源帳號(hào)的收集和管理,則協(xié)議、管理員、密碼、提示符這幾項(xiàng)是必須配置項(xiàng)。這幾項(xiàng)配置完畢后可以點(diǎn)擊下面的收集帳號(hào)按鍵進(jìn)行帳號(hào)收集,點(diǎn)擊收集帳號(hào)后會(huì)有成功失敗的提示。帳號(hào)收集功能只能收集到帳號(hào)名稱,需要配置密碼后才能用于授權(quán)。 如果不進(jìn)行資源從帳號(hào)的收集,也可以手工定義。點(diǎn)擊資源后面的帳號(hào)按鍵進(jìn)入資源從帳號(hào)列表界面,然后點(diǎn)擊添加按鍵進(jìn)行從帳號(hào)的添加。角色管理如附圖7a、7b所示。角色管理是系統(tǒng)管理員定制系統(tǒng)角色的模塊,可以對(duì)不同角色分配相應(yīng)權(quán)限,如可以定義資源管理角色,該角色擁有資源管理的權(quán)限,則把此角色授權(quán)給自然人后,該自然人就可以進(jìn)行資源管理了。主帳號(hào)認(rèn)證成功登錄系統(tǒng)后,點(diǎn)擊“元目錄”,再點(diǎn)擊“角色”,進(jìn)入角色管理頁(yè)面。 角色隸屬于目錄樹(shù)中的分組,例如目錄樹(shù)中研發(fā)分組下定義的資源管理角色,只具有管理研發(fā)分組中資源的權(quán)限。角色定義中的“特權(quán)”選項(xiàng)的含義不勾選特權(quán),則自然人添加,資源添加等操作必須通過(guò)流程才能完成。如果不想通過(guò)流程即能進(jìn)行管理動(dòng)作可以勾選此選項(xiàng)。內(nèi)部審計(jì)如附圖8所示。內(nèi)部審計(jì)實(shí)現(xiàn)內(nèi)控堡壘主機(jī)自身日志的審計(jì),可以點(diǎn)擊查詢查找符合條件的審計(jì)記錄。審計(jì)內(nèi)容包括,帳號(hào)登入登出情況,資源變更,自然人變更等情況。內(nèi)控堡壘主機(jī)內(nèi)部審計(jì)模塊當(dāng)管理員點(diǎn)擊內(nèi)部審計(jì)時(shí),內(nèi)部審計(jì)列表會(huì)顯示審計(jì)結(jié)果列表。管理員在內(nèi)部審計(jì)列表中點(diǎn)擊查詢按鈕進(jìn)入查詢條件選擇頁(yè)面,輸入查詢條件點(diǎn)擊查詢按鈕,可以查找滿足條件的日志信息。行為審計(jì)如附圖9所示。行為審計(jì)實(shí)現(xiàn)操作日志的審計(jì),可以點(diǎn)擊查詢查找符合條件的審計(jì)記錄。對(duì)于字符型的資源,有三種審計(jì)展現(xiàn)形式內(nèi)容、命令、回放。內(nèi)容是資源操作的所有指令和對(duì)應(yīng)結(jié)果的一次性展現(xiàn)(參見(jiàn)附圖11);命令是資源操作的所有指令執(zhí)行情況(參見(jiàn)附圖12);回放是資源操作過(guò)程的錄像回放,也即操作播放(參見(jiàn)附圖13)。 對(duì)于圖形的資源訪問(wèn)方式通常提供回放的展現(xiàn)方式,即對(duì)圖形方式的資源操作過(guò)程的錄像回放。
審計(jì)分為兩種,一種是事后審計(jì),一種是實(shí)時(shí)審計(jì)。上面說(shuō)的基本上是事后審計(jì), 如果操作人員對(duì)資源的操作還沒(méi)有結(jié)束,則審計(jì)記錄上會(huì)多出一種監(jiān)視的展現(xiàn)方式,點(diǎn)擊監(jiān)視可以實(shí)時(shí)查看資源使用者對(duì)資源的操作過(guò)程。具體的,對(duì)內(nèi)控堡壘主機(jī)行為審計(jì)可如附圖10所示。內(nèi)控堡壘主機(jī)行為審計(jì)模塊當(dāng)管理員點(diǎn)擊行為審計(jì)時(shí),行為審計(jì)列表會(huì)顯示審計(jì)結(jié)果列表。點(diǎn)擊會(huì)話中的“內(nèi)容”、 “命令”、“回放”、“監(jiān)視”可以相應(yīng)的顯示審計(jì)到的內(nèi)容。對(duì)于錄像的回放,可以通過(guò)播放工具條調(diào)整播放狀態(tài)、速度、進(jìn)度等。管理員在行為審計(jì)列表中點(diǎn)擊查詢按鈕進(jìn)入查詢條件選擇頁(yè)面,輸入查詢條件點(diǎn)擊查詢按鈕,可以查找滿足條件的日志信息。此外,還可設(shè)置審計(jì)報(bào)表模塊提供報(bào)表管理員審計(jì)訪問(wèn)資源的命令、用戶、協(xié)議、 行為等,提供Unix主機(jī)訪問(wèn)命令統(tǒng)計(jì)報(bào)表、Unix主機(jī)訪問(wèn)協(xié)議統(tǒng)計(jì)報(bào)表、Unix主機(jī)訪問(wèn)用戶統(tǒng)計(jì)報(bào)表、Unix主機(jī)用戶行為統(tǒng)計(jì)報(bào)表、Unix主機(jī)綜合審計(jì)報(bào)表、windows主機(jī)訪問(wèn)用戶統(tǒng)計(jì)報(bào)表等報(bào)表功能??梢圆樵冎付ㄙ~號(hào)、指定客戶端IP地址、指定資源IP、關(guān)鍵字范圍等查詢條件的報(bào)表功能。以Unix主機(jī)用戶行為統(tǒng)計(jì)報(bào)表為例,認(rèn)證成功登錄系統(tǒng)后,點(diǎn)擊“元目錄”,再點(diǎn)擊“審計(jì)報(bào)表”,進(jìn)入報(bào)表查詢頁(yè)面。選擇Unix主機(jī)用戶行為統(tǒng)計(jì)報(bào)表,輸入查詢條件,之后點(diǎn)擊查詢報(bào)表按鍵,就可以生成符合要求的報(bào)表了。本發(fā)明的內(nèi)控堡壘主機(jī)可針對(duì)主帳號(hào)、從帳號(hào)設(shè)置豐富的策略。以訪問(wèn)命令控制策略為例,如附圖14、15所示,若設(shè)置kill、passwd、shutd0wn命令為禁用,則操作員使用相應(yīng)命令時(shí)會(huì)被攔截和禁止。
權(quán)利要求
1.一種內(nèi)控堡壘主機(jī),所述內(nèi)控堡壘主機(jī)包括管理單元和執(zhí)行單元,其特征在于管理單元包括對(duì)自然人帳號(hào)進(jìn)行管理的用戶管理模塊,對(duì)資源帳號(hào)進(jìn)行管理的資源管理模塊,對(duì)用戶授權(quán)可訪問(wèn)資源以及將自然人帳號(hào)和資源帳號(hào)進(jìn)行帳號(hào)關(guān)聯(lián)的授權(quán)關(guān)聯(lián)模塊,以及對(duì)控制用戶訪問(wèn)內(nèi)控堡壘主機(jī)和內(nèi)部網(wǎng)絡(luò)資源的策略進(jìn)行設(shè)置的策略設(shè)置模塊, 和日志查詢管理模塊;執(zhí)行單元包括對(duì)訪問(wèn)內(nèi)控堡壘主機(jī)的用戶進(jìn)行認(rèn)證并在認(rèn)證通過(guò)后為登錄的用戶提供可訪問(wèn)資源入口的認(rèn)證登錄模塊,用于記錄內(nèi)控堡壘主機(jī)所在服務(wù)器上發(fā)生過(guò)的命令的日志服務(wù)模塊,用于捕獲用戶命令行輸入的命令捕獲引擎模塊,以及用于執(zhí)行通過(guò)管理單元的策略設(shè)置模塊所設(shè)置策略的策略控制模塊。
2.如權(quán)利要求1所述的內(nèi)控堡壘主機(jī),其特征在于所述執(zhí)行單元還包括訪問(wèn)模塊和實(shí)時(shí)監(jiān)控模塊,所述訪問(wèn)模塊為登錄的用戶提供可訪問(wèn)資源的訪問(wèn)入口,用戶激活相應(yīng)訪問(wèn)入口時(shí),訪問(wèn)模塊自動(dòng)獲取關(guān)聯(lián)的資源賬號(hào)并作為參數(shù)添加到用戶的訪問(wèn)資源請(qǐng)求中, 以使得用戶不需手動(dòng)輸入?yún)?shù)即可實(shí)現(xiàn)對(duì)資源的訪問(wèn);實(shí)時(shí)監(jiān)控模塊用于實(shí)時(shí)監(jiān)視內(nèi)控堡壘主機(jī)所在服務(wù)器上正在發(fā)生行為。
3.如權(quán)利要求1所述的內(nèi)控堡壘主機(jī),其特征在于通過(guò)策略設(shè)置模塊可設(shè)置主機(jī)命令控制策略、訪問(wèn)時(shí)間控制策略、客戶端地址控制策略、訪問(wèn)鎖定策略、密碼策略。
4.如權(quán)利要求1所述的內(nèi)控堡壘主機(jī),其特征在于認(rèn)證登錄模塊提供證書(shū)認(rèn)證、智能卡認(rèn)證、短信認(rèn)證、人體特征認(rèn)證、動(dòng)態(tài)口令認(rèn)證等強(qiáng)認(rèn)證方式。
5.如權(quán)利要求1所述的內(nèi)控堡壘主機(jī),其特征在于日志服務(wù)模塊負(fù)責(zé)記錄用戶登陸堡壘主機(jī)系統(tǒng)后發(fā)生過(guò)的所有命令,輸出屏幕和原始硬拷貝流,以供事后分析和調(diào)查取證; 在日志服務(wù)模塊提供的日志記錄基礎(chǔ)上,內(nèi)控堡壘主機(jī)在管理模塊還可包括審計(jì)管理模塊,并支持內(nèi)容、命令和回放三種審計(jì)展現(xiàn)形式。
6.一種安全訪問(wèn)內(nèi)網(wǎng)資源的方法,所述方法具體應(yīng)用于內(nèi)控堡壘主機(jī),其特征在于管理員通過(guò)內(nèi)控堡壘主機(jī)對(duì)自然人帳號(hào)、資源帳號(hào)進(jìn)行管理;管理員通過(guò)內(nèi)控堡壘主機(jī)對(duì)用戶授權(quán)可訪問(wèn)資源以及將自然人帳號(hào)和資源帳號(hào)進(jìn)行帳號(hào)關(guān)聯(lián);管理員通過(guò)內(nèi)控堡壘主機(jī)對(duì)用戶訪問(wèn)內(nèi)控堡壘主機(jī)和內(nèi)部網(wǎng)絡(luò)資源的策略進(jìn)行設(shè)置;用戶通過(guò)登錄內(nèi)控堡壘主機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源;在用戶通過(guò)內(nèi)控堡壘主機(jī)的認(rèn)證后, 內(nèi)控堡壘主機(jī)為當(dāng)前用戶提供可訪問(wèn)資源的入口;內(nèi)控堡壘主機(jī)捕獲用戶命令行輸入的命令,并根據(jù)預(yù)先設(shè)置的策略進(jìn)行相應(yīng)控制;內(nèi)控堡壘主機(jī)對(duì)所在服務(wù)器上發(fā)生過(guò)的命令進(jìn)行日志記錄,以供查詢管理。
7.如權(quán)利要求6所述的方法,其特征在于當(dāng)用戶激活相應(yīng)訪問(wèn)資源入口時(shí),自動(dòng)為用戶獲取關(guān)聯(lián)的資源賬號(hào)并作為參數(shù)添加到用戶的訪問(wèn)資源請(qǐng)求中,以使得用戶不需手動(dòng)輸入?yún)?shù)即可實(shí)現(xiàn)對(duì)資源的訪問(wèn)。
8.如權(quán)利要求6所述的方法,其特征在于通過(guò)內(nèi)控堡壘主機(jī)可設(shè)置主機(jī)命令控制策略、訪問(wèn)時(shí)間控制策略、客戶端地址控制策略、訪問(wèn)鎖定策略、密碼策略。
9.如權(quán)利要求6所述的方法,其特征在于內(nèi)控堡壘主機(jī)負(fù)責(zé)記錄用戶登陸堡壘主機(jī)系統(tǒng)后發(fā)生過(guò)的所有命令,輸出屏幕和原始硬拷貝流,以供事后分析和調(diào)查取證。
全文摘要
本發(fā)明涉及一種內(nèi)控堡壘主機(jī)及相應(yīng)的安全訪問(wèn)內(nèi)網(wǎng)資源的方法,管理員通過(guò)內(nèi)控堡壘主機(jī)對(duì)自然人帳號(hào)、資源帳號(hào)進(jìn)行關(guān)聯(lián)管理;管理員通過(guò)內(nèi)控堡壘主機(jī)對(duì)用戶授權(quán)可訪問(wèn)資源并對(duì)用戶訪問(wèn)內(nèi)控堡壘主機(jī)和內(nèi)部網(wǎng)絡(luò)資源的策略進(jìn)行設(shè)置;用戶通過(guò)登錄內(nèi)控堡壘主機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源;內(nèi)控堡壘主機(jī)捕獲用戶命令行輸入的命令,并根據(jù)預(yù)先設(shè)置的策略進(jìn)行相應(yīng)控制;內(nèi)控堡壘主機(jī)對(duì)所在服務(wù)器上發(fā)生過(guò)的命令進(jìn)行日志記錄,以供查詢管理。此方法可對(duì)資源訪問(wèn)進(jìn)行完善的審計(jì)、監(jiān)控,并提供完善的訪問(wèn)控制策略和單點(diǎn)集中登錄,不僅可提高對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備和服務(wù)器訪問(wèn)的安全性,還可方便用戶通過(guò)堡壘主機(jī)對(duì)內(nèi)網(wǎng)資源的訪問(wèn)。
文檔編號(hào)H04L29/06GK102333090SQ201110290130
公開(kāi)日2012年1月25日 申請(qǐng)日期2011年9月28日 優(yōu)先權(quán)日2011年9月28日
發(fā)明者劉賽, 崇英哲, 焦利, 鄭治國(guó) 申請(qǐng)人:遼寧國(guó)興科技有限公司