安全運維管理系統(SOMS)
產品概述
威努特安全運維管理系統(SOMS)是對運維行為進行賬號統一管理、資源和權限統一分配、操作全程審計的軟硬件一體化設備,采用層次化、模塊化的設計,資源層、接口管理層、核心服務層和統一展示層構成了產品的整體架構,產品支持集群部署,擴展性強;單個堡壘服務器、應用發布服務器節點故障不影響訪問,可靠性高,能極大的滿足現場需求,產品集用戶管理、授權管理、認證管理和綜合審計于一體,通過嚴格的權限控制和操作行為審計,加強對運維人員的行為管理,從而達到消隱患、避風險的目的。
產品特點
全面的工業現場業務支持
全面支持工業現場上位機、服務器、應用系統、工業網絡設備、工業安全設備的運維管理。
多元化的認證授權體系
支持本地認證、LDAP認證、RADIUS認證、USB key 認證等多種認證方式,也可與第三方CA、動態令牌、生物識別等方式進行結合,并可根據用戶實際需求,設置混合認證方式,不同主賬號采取不同的認證方式,實現按需認證。
靈活多樣的登錄方式
支持運維人員通過瀏覽器或第三方客戶端工具(SecureCRT、Mstsc等)登錄到運維設備或系統,保證運維人員的操作習慣不被改變。
強大的應用擴展能力
支持審計基于Windows平臺下所有應用程序的運維操作?;谇爸脵C架構,只需在前置機上安裝、發布運維操作需要使用的客戶端程序,而無須任何定制開發即可對該應用程序的運維操作進行審計。
全過程的運維行為審計
產品可以完整審計運維人員從登陸到退出的全過程,出差用戶、第三方運維用戶或第三方供應商可通過安全運維管理系統的VPN功能直接對被管理設備進行安全運維,保障用戶的運維管理工作。
產品功能
組織結構
-
不限級數的進行分層分級管理;
-
AD域同步:支持從AD域抽取OU,方便快速建立組織結構。
資源管理
-
支持unix資源、網絡資源、windows資源、數據庫資源、C/S資源、B/S資源、中間件資源、大型機資源;
-
支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等協議。
授權管理
-
支持自定義角色;
-
資源授權模式基于崗位授權,崗位上綁定資源賬號,這樣授權可遷移、授權粒度更細;
-
并可針對崗位設置相關安全策略。
單點登錄
-
多個不同類型的資源批量單點登錄;
-
支持將登錄配置保存為默認后,可以一鍵快速登錄目標資源;
-
支持網絡設備enable和unix主機su等身份切換的單點登錄功能;
-
訪問授權資源時不必再輸入從帳號和密碼。
認證管理
-
自身提供證書認證服務,也可與第三方CA、動態令牌、生物識別等方式進行結合;
-
支持組合認證,提高訪問的安全性。
安全管理
-
內置VPN功能,無需專用VPN硬件支持,即可方便安全地通過遠程接入堡壘機
-
IEC104協議解析
-
支持IEC104協議白名單;
-
支持IEC104傳輸原因長度、公共地址長度、信息體地址長度等的配置。
系統配置
-
支持日志數據的外置存儲備份,支持NFS和windows文件共享協議,遠程審計存儲和本地存儲對審計員透明;
-
支持應用備份、管理數據備份、審計數據備份、配置文件備份。
用戶管理
-
完整的用戶帳號生命周期管理,實現帳號的創建、維護、修改、刪除的集中管理;
-
自定義用戶類型,基于針對用戶類型進行用戶地址策略;
-
主帳號支持從AD域內抽取,方便快速建立主賬號;
-
分組可以樹形方式展現,不限制分組層級數量;
-
支持配置口令策略、訪問鎖定策略,可指定密碼有效期和限制主帳號密碼強度,限制主帳號密碼輸入錯誤次數和鎖定時間。
從賬號管理
-
支持對unix資源、網絡資源、windows資源、數據庫資源、中間件資源進行密碼變更;
-
密碼變更可以根據密碼策略的要求進行變更,變更的密碼符合密碼策略中關于密碼強度的要求;
-
定期檢查平臺存儲的設備賬號密碼與設備實際密碼是否匹配,以便進校驗密碼一致性,提高設備的安全性避免密碼混亂無法登陸現象發生;
-
支持資源從賬號的管理,系統具有各種資源類型驅動器能夠將資源上的賬號進行自動抽取、推送及屬性的變更等;
-
從賬號按時間計劃導出賬號口令,支持手動下載或指定FTP服務器;
-
導出的賬號口令需要解密器解密后查看。
審計管理
支持圖形審計,圖形資源訪問時,支持鍵盤、剪切板、文件傳輸記錄,并且對圖形資源的審計回放時,可以從某個鍵盤、剪切板、文件傳輸記錄的指定位置開始回放;
支持字符審計,對字符命令方式的訪問可以審計到所有交互內容,可以還原操作過程的命令輸入和結果輸出,并且可以展現各命令的執行時間和允許執行情況;
支持實時審計和阻斷,操作人員對于資源的訪問,審計員可以實施查看,發現高危操作時,支持實時切斷當前會話。
高可用性
-
支持以Active-Standby方式部署
-
支持服務及應用層面的檢測;
-
支持雙網卡冗余;
-
支持分布式部署。
應用場景
對資產的安全運維管理
以單臂方式部署在運維區域
對第三方運維人員運維行為進行賬號統一管理、資源和權限統一分配、操作全過程審計
解決其他系統對安全中心的越權訪問,非法連接等行為
統一的運維管理接口,不需要記住所有設備或系統的帳號、密碼,便于審計和管理
實現對生產網內所有上位機、服務器、應用系統、工業網絡設備、工業安全設備的運維管理
支持對運維過程的日志和視頻回放,發生誤操作等事件后可及時追溯
輔助運維管理,提高運維權限管理,避免因運維人員權限過大導致的違規操作