1、绿盟安全审计系统 -堡垒机 产品白皮书 2013 绿盟科技 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属 绿盟科技 所有,受到有关产权及版权法保护。任何个人、机构未经 绿盟科技 的书面授权许可,不得以任何方式复制或引用本文的任何片断。 - II - 目录 一 . IT 安全运维管理的变革刻不容缓 1 二 . 解决之道 . 3 2.1 目标 . 3 2.2 应用场景 . 3 2.2.2 管理员制定运维管理策略 . 6 2.2.3 普通用户访问目标设备 . 7 2.3 系统价值 . 8 三 . 系统介绍 . 9 3.1 系统功能 . 9 3.
2、2 系统架构 . 10 四 . 产品特性 . 11 4.1 集中的运维操作管控平台 . 11 4.2 跨平台无缝管理 . 11 4.3 多维度、细粒度的访问控制与授权 . 11 4.4 一站式管理 . 12 4.5 强大的应用扩展能力 . 13 4.6 灵活多样的登录方式 . 13 4.7 基于唯一身份标识的审计 . 14 4.8 全程运维行为审计 . 14 4.9 审计信息“零管理 ” . 15 4.10 强大丰富的管理能力 . 15 4.11 高可靠性保障 . 16 4.12 自身安全性保障 . 16 4.13 部署简单方便 . 16 五 . 结论 . 16 - III - 插图索引 图
3、1.1 用户与账号的关系现状 . 1 图 2.1 核心思路 . 3 图 2.2 典型应用场景 . 4 图 2.3 管理员制定策略 . 6 图 2.4 普通用户访问目标设备 . 7 图 3.1 系统功能 . 9 图 3.2 系统架构 . 10 图 4.1 设备关联信息查询 . 12 图 4.2 主帐号关联查询 . 12 图 4.3 前置机架构示意图 . 13 绿盟安全审计系统 -堡垒机产品白皮书 2013 绿盟科技 密级: 完全公开 - 1 - 一 . IT 安全运维管理的变革刻不容缓 随着信息化的发展,企事业单位 IT 系统不断发展,网络规模迅速扩大 、 设备数量激增,建设重点逐步从网络平台
4、建设, 转向 以 深化应用、提升效益为特征的运行维护阶段 , IT 系统运维与安全管理正逐渐走向融合。信息系统的安全运行直接关系企业效益,构建一个强健的IT 运维安全管理体系对企业信息化的发展至关重要,对运维的安全性提出 了 更高要求。 目前,面对 日趋复杂的 IT 系统 , 不同背景 的运维人员已 给 企业信息系统安全运行带 来 较大潜在风险,主要表现在: 1. 账号管理无序,暗藏巨大风险 多个用户混用同一个账号 这种情况主要出现在同一工作组中,由于工作需要,同时系统管理账号唯一,因此只能多用户共享同一账号。 不仅在发生安全事故时 难以定位账号的实际使用者和责任人,而且无法对账号的使用范围进
5、行有效控制,存在较大安全隐患。 一个用户使用多个账号 目前,一个维护人员使用多个账号是较为普遍的情况,用户需要记忆多套口令同时在多套主机系统、网络设备之间切换。如果 设备数量 达到几十甚至上百 台 时,维护人员进行一项简单的配置需要分别逐一登录相关设备,其工作量和复杂度成倍增加,直接导致的后果是工作效率低下、管理繁琐甚至出现误操作,影响系统正常运行。 图 1.1 用户与账号的关系现状 绿盟安全审计系统 -堡垒机产品白皮书 2013 绿盟科技 密级: 完全公开 - 2 - 2. 粗放式权限管理 , 安全性难以保证 大多数企事业单位的 IT 运维均 采用设备、操作系统自身的授权系统,授权功能分散在
6、各设备和系统中。管理人员的权限大多是粗放式管理,由于缺少统一的运维操作授权策略,授权粒度粗,无法基于最小权限分配原则管理用户权限,难以与业务管理要求相协调 。 因此 ,出现 运维人员权限过大 、 内部操作权限滥用等诸多问题,如果不及时解决,信息系统的安全性难以充分保证。 3. 设备自身日志粒度粗,难以有效定位安全事件 在运维工作中 , 大多是通过各网络设备、操作系统的系统日志进行监控审计 , 但是由于各系统自身审计日志分散、内容深浅不一 , 且无法根据业务要求制定统一审计策略;因此 ,难以 通过系统自身审计 及时 发现违规操作行为和追查取证。 4. 第三方代维人员带来安全隐患 目前,越来越多的
7、企业选择将非核心业务外包给设备商或代维公司,在享受便利的同时,由于代维人员流动性大、对操作行为缺少监控带来的风险日益 凸显 。 因此,需要通过严格的权限控制和操作行为审计,加强对代维人员的行为管理,从而达到消隐患、避风险的目的。 5. 传统网络安全审计系统已无法满足运维审计和管理的要求 无法审计运维加密协议、远程桌面内容 为了加强信息系统风险内控管理,一些企业已部署网络安全审计系统,希望达到对运维人员操作行为监控的目的。由于传 统网络安全审计的技术实现方式和系统架构(主要通过旁路镜像或分光方式,分析网络数据包进行审计) , 导致该系统只能对一些非加密的运维操作协议进行审计 , 如 Telnet
8、; 而 无法对维护人员经常使用的 SSH、 RDP 等加密协议、远程桌面等进行内容审计, 无法有效解决对运维人员操作行为的监管问题。 基于 IP 的审计,难以准确定位责任人 大多数网络安全审计系统,只能审计到 IP地址,难以将 IP地址 与具体人员身份准确关联,导致发生安全事故后,追查责任人成为新的难题。 6. 面临法规遵从的压力 为加强信息系统风险管理,政府、金融、运营商等陆续发布信息系统管理规范和要求,如“信息系统等级保护”、“商业银行信息科技风险管理指引”、“企业内部控制基本规范 ”等均要求采取信息系统风险内控与审计,但其自身确没有有效的技术手段。 上述风险带来的运维安全风险和审计监管问
9、题,已经成为企业信息系统安全运行的严重隐患,制约业务发展,影响企业效益。企业 IT 运维安全管理的变革已刻不容缓 ! 绿盟安全审计系统 -堡垒机产品白皮书 2013 绿盟科技 密级: 完全公开 - 3 - 二 . 解决之道 2.1 目标 绿盟安全审计系统 -堡垒机系列( NSFOCUS SAS-H Series, 以下简称堡垒机或 SAS-H)提供一套先进的运维安 全管控与审计解决方案,目标是帮助企业转变传统 IT 安全运维被动响应的模式,建立面向用户的集中、主动的运维安全管控模式,降低人为安全风险,满足合规要求,保障企业效益。 绿盟堡垒机产品通过逻辑上将人与目标设备分离,建立“人 -主账号(
10、堡垒机用户账号)-授权 -从账号(目标设备账号) -目标设备 ” 的管理模式;在此模式下,通过基于唯一身份标识的集中账号与访问控制策略 ,与各服务器、网络设备 、安全设备、数据库服务器 等无缝连接,实现集中精细化运维操作管控与审计。 图 2.1 核心思路 2.2 应用场景 堡垒机 的典型应用场景如下图所示 : 绿盟安全审计系统 -堡垒机产品白皮书 2013 绿盟科技 密级: 完全公开 - 4 - 图 2.2 典型应用场景 管理对象 用户对象:管理员、运维人员、第三方代维人员等。 设备对象:服务器 (Windows/Linux/UNIX)、网络设备、安全设备、数据库等。 管理范围 集中监控各种运
11、维操作行为。 绿盟安全审计系统 -堡垒机产品白皮书 2013 绿盟科技 密级: 完全公开 - 5 - 协议类型 SSH、 Telnet、 RDP、 VNC、 FTP、 SFTP、 HTTP、 HTTPS 等。 应用类型 各类数据库客户端、浏览器、专有客户端工具等。 部署方式 堡垒机采用“物理旁路,逻辑串联”的部署思路,主要通过两步实现: 1) 通过配置交换机或 目标 设备的访问控制策略,只允许堡垒机的 IP 访问 目标 设备 的运维、管理服务 。 2) 将堡垒机连接到对应交换机,确保所有维护人员到堡垒机 IP 可达。 达成效果 建立集中的运维操作监控平台,建立基于唯一身份标识的实名制管理,统一
12、账号管理策略,实现跨平台管理,消灭管理孤岛。 通过集中访问控制与授权,实现单点登录 (SSO)和细粒度的命令级访问授权。 基于用户的审计,审计到人,实现从登录到退出的全程操作行为审计,满足合规管理和审计要求。 下面分别从堡垒机的管理员和普通用户的角度,介绍实现流程与效果: 绿盟安全审计系统 -堡垒机产品白皮书 2013 绿盟科技 密级: 完全公开 - 6 - 2.2.2 管理员制定运维管理策略 图 2.3 管理员制定策略 1. 添加设备 管理员添加需要管理的设备。设备包括服务器、网络设备、安全设备 、前置机、数据库服务器 等维护对象,支持编辑相关设备信息包括设备类型、所属部门、设备名称、 IP
13、 地址、协议类型 、应用程序 等。 2. 添加从账号 管理员添加与设备对应的从账号(即设备的系统账号、数据库 账号 或 WEB 登录 账号 ),包括账号名、口令等;其中口令可由堡垒机定期自动更新。 3. 添加主账号 管理员添加主账号(即普通用户账号)。主账号是登录堡垒机,获取目标设备访问 权 的唯一账号,与实际用户身份一一对应, 每个用户一个主账号,每个主账号只属于 一个用户。 4. 建立主账号到设备的访问控制与审计策略 基于访问权限策略,管理员建立基于“时间 +主账号 +目标设备 +从账号 +权限 +审计”等要素的关联管理策略。 5. 管理员配置行为全 程 审计 绿盟安全审计系统 -堡垒机产
14、品白皮书 2013 绿盟科技 密级: 完全公开 - 7 - 堡垒机自动记录管理员的设备管理、账号管理和权限管理 等 所有行为日志,以便审计员监控。 2.2.3 普通用户访问目标设备 普通用户登录堡垒机后,可以实现下述功能: 可修改 堡垒机登录 密码; 可集中访问各类已授权设备; 用户点击设备名称,无须再次输入密码,即可实现对各种设备的登录。 具体实现流程如下: 图 2.4 普通用户访问目标设备 1. 登录请求 用户在终端通 过 HTTPS 或第三方客户端工具 登录堡垒机,输入主账号和口令,发起访问请求。 2. 登录认证 堡垒机的认证模块对用户的认证请求进行鉴别。 3. 检查主账号访问权限 绿盟
15、安全审计系统 -堡垒机产品白皮书 2013 绿盟科技 密级: 完全公开 - 8 - 认证成功之后,堡垒机的权限管理模块通过分析主账号属性(包括可访问的目标设备、访问权限、 从 账号 、 协议类型 、应用程序 等) ,确定 主账号可访问的所有设备。 4. 显示可访问设备 直观 地 呈现 出 主 账号 可访问的所有目标设备。 5. 访问目标设备 用户选择需要访问的目标设备,进行操作维护。如果有违反访问控制策略的行为,堡垒机基于策略将自动记录、阻断及电邮通知管理员 。 6. 返回访问结果 堡垒机将用户访问目标设备的所有操作执行结果,返回到用户终端。 7. 用户访问行为全程审计 堡垒机全程审计用户“登
16、录堡垒机 -目标设备访问操作 -退出系统”的所有行为。 2.3 系统价值 绿盟安全审计系统 -堡垒机为企业带来的价值主要体现在: 管理效益 所有运维账号在一个平台上进行管理,账号管理更加简单有序; 通过建立用户与账号的唯一对应关系,确保用户拥有的权限是完成任务所需的最小权限; 可视化运维行为监控,及时预警发现违规操作。 用户效益 运维人员只需记忆一个账号和口令,一次登录,便可实现对其所维护的多台设备的访问,提高工作效率,降低工作复杂度。 企业效益 降低人为安全风险,避免安全损失,满足合规要求,保障企业效益。 绿盟安全审计系统 -堡垒机产品白皮书 2013 绿盟科技 密级: 完全公开 - 9 -
17、 三 . 系统介绍 3.1 系统功能 绿盟 安全审计系统 -堡垒机产品主要有三大功能: 图 3.1 系统功能 集中账号管理 建立基于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备 、安全设备、数据库服务器 等无缝连接。 集中访问控制 通过集中访问控制和细粒度的命令级授权策略,基于最小权限原则,实现集中有序的运维操作管理,让正确的人做正确的事。 集中安全审计 基于唯一身份标识,通过对用户从登录到退出的全程操作行为进行审计,监控用户对目标设备的所有敏感操作,聚焦关键事件,实现对安全事件 的 实时 发现 与 预警。 绿盟安全审计系统 -堡垒机产品白皮书 2013 绿盟科
18、技 密级: 完全公开 - 10 - 3.2 系统架构 绿盟安全审计系统 -堡垒机系列由平台管理模块、功能管理模块和平台接口构成。总体架构如下图所示: 图 3.2 系统架构 1. 功能管理模块 提供账号管理功能、认证管理功能、权限管理功能和审计管理功能。 账号管理:提供账号生命周期管理,包括账号创建、账号修改、状态调整、账号删除、账号查询等功能。 认证管理:支持多种认证方式,包括本地认证、 LDAP/RADIUS 认证。 权限管理:提供基于时间、用户 /用户组、设备 /设备组、 设备 账号 、 命令关键字、危险级别等组合策略,授权用户可访问的目标设备及可使用的命令。 审计管理:提供对用户通过堡垒
19、机对目标设备的所有操作行为审计、事件查询分析和报表管理。 2. 平台管理 提供对堡垒机平台自身的管理,包括系统配置管理、系统监控及审计日志管理。 3. 平台接口 绿盟安全审计系统 -堡垒机产品白皮书 2013 绿盟科技 密级: 完全公开 - 11 - 提供对用户(包括管理员、运维人员、代维人员等)、设备 (包括服务器、网络设备 、安全设备、数据库服务器 等 )的各种管理接口,包括 设备导入接口、 账号的同步和导入接口、认证接口、访问接口 等 。 四 . 产品特性 4.1 集中的运维操作管控平台 绿盟堡垒机产品通过集中管控平台整合企业的运维行为管理,将运维操作集中可视化管控,通过基于唯一身份标识
20、的集中账号与访问控制策略,实现与各服务器、网络设备 、安全设备、数据库服务器 等无缝连接,一站直达,降低多种设备类型带来的管理复杂度问题,快速发现和处置违规事件。 4.2 跨平台无缝管理 绿盟堡垒机产品具有跨平台的运维行为管控能力,可覆盖多种主流主机操作系统、网络设备 、数据库和 运维协议。 协议类型: SSH、 RDP、 VNC、 SFTP、 Telnet、 FTP、 HTTP、 HTTPS 等; 数据库类型: Oracle、 MS SQL Server、 IBM DB2、 Sybase、 IBM Informix Dynamic Server、 MySQL、 PostgreSQL 等; 操
21、作系统类型: FreeBSD、 Solaris、 RedHat Linux、 Windows 等; 网络设备类型: Cisco、 HUAWEI 等厂商的网 络设备。 4.3 多维度 、细粒度的 访问控制与授权 绿盟堡垒机产品支持基于角色的访问控制( RBAC ,Role-Based Access Control)。管理员可按照时间、部门、职责和安全策略等维度 , 设置细粒度权限策略,让正确的人做正确的事,简化授权管理。 绿盟堡垒机产品 通过集中统一的访问控制和细粒度的命令级授权策略,确保用户拥有的权限是完成任务所需的最小权限。系统支持创建基于时间、 IP/IP 段、用户 /用户组、设备 /设备
22、组、 设备 账号 、 命令关键字、危险级别(分为高、中、低)等元素的组合条件,授权用绿盟安全审计系统 -堡垒机产品白皮书 2013 绿盟科技 密级: 完全公开 - 12 - 户可访问的目标设备、 定义高危操作监控策略。当用户越权执行特定命令的时候,实时进行告警、阻断,确保信息系统安全运行。 4.4 一站式管理 绿盟堡垒机界面展示方式丰富而多样, 智能关联相关信息, 充分体现了人性化用户界面设计的原则和思路。 门户式管理 绿盟堡垒机智能关联设备、主账号、访问控制策略和审计信息 。 在 【 首页 -访问设备】 中以设备为基准,可直接查询 、编辑与该设备相关的访问控制策略,查询 有权限访问该设备的主
23、账号以及该设备的审计信息 。 图 4.1 设备关联信息查询 在【首页 -主帐号】中 以主账号为基准,直接查询 、编辑 与该主账号相关的访问控制策略 ,查询 该主账号有权访问的设备以及该主账号的审计信息。 图 4.2 主帐号关联查询 绿盟安全审计系统 -堡垒机产品白皮书 2013 绿盟科技 密级: 完全公开 - 13 - 门户式管理 极大地简化了管理员对设备、主帐号、策略等的维护操作, 优化管理员 体验、提高 管理员 工作效率。 灵活的设备分组展示 绿盟堡垒机支持按照部门、设备类型、业务类型等不同的分组方式展示目标设备 ; 不同的用户完全可以根据 管理要求及使用习惯, 选择不同的展示方式。 4.
24、5 强大的应用扩展能力 绿盟堡垒机 能够审计基于 Windows 平台 下 所有 应用程序 的运维操作 。 基于 前置机 架构,当需要支持一款新的专有 运维客户端程序时,只需管理员在前置机上安装、发布该客户端程序,而 无须任何定制开发,堡垒机即可对通过该应用程序的运维操作进行审计。用户的投入产出比实现最大化, 在零附加成本的基础之上,轻松支持 所有 通用及专有的运维客户端程序 。 图 4.3 前置机架构示意图 运维设备时 , 运维人员 只需 登录堡垒机、选择目标设备以及应用程序,堡垒机将根据管理员事先配置好的参数自动启动前置机上相应的应用程序,并连接目标设备, 前置机对运维人员完全透明 。 4
25、.6 灵活多样的登录方式 绿盟堡垒机支持以多种方式登录堡垒机 及 目标设备,灵活适应各种需求下的使用场景。 登录堡垒机 绿盟安全审计系统 -堡垒机产品白皮书 2013 绿盟科技 密级: 完全公开 - 14 - 绿盟堡垒机支持运维人员通过浏览器或第三方客户端工具登录堡垒机,最大程度上保证运维人员的操作习惯不被改变。 登录目标设备 绿盟堡垒机支持运维人员以 三 种 方式登录需要运维的目标设备: 自动登录 :管理员事先将设备 账号 及其密码保存在堡垒机,运维人员 登录堡垒机并经过认证授权后就可以直接访问目标设备 ,无须 再次手工 输入 设备 账号 和密码信息 ,无须记忆多个设备账号和密码, 实现 真
26、正意义上的 单点登录 ( SSO) ,提高 运维人员 工作效率、改善用户体验 ; 半自动登录 :运维人员首次登录目标设备 ,输入账号和密码信息时,选择“记忆登录信息”, 在后续登录该目标设备时,就无须再输入账号和密码信息, 在降低由于管理员集中管理、维护设备帐号而带来的安全风险的同时,极大简化运维人员的登录操作,在安全性与便利性之间达到最优平衡点; 手动登录 : 设备帐号及密码信息只 由 相关的运维人员 掌握,无需管理员参与。 运维人员通过堡垒机访问目标设备时, 每次都手工 输入 设备 账号 和密码,认证成功后方可登录设备 ,设备帐号及密码信息的安全性得到最大保障。 4.7 基于唯一身份标识的
27、审计 绿盟堡垒机产品主账号是获取目标设备访问权利的唯一账号, 通过 本地认证、 LDAP 认证、RADIUS 认证 、 USBkey 认证 等 多种认证方式,将主帐号 与实际用户身份一一对应,确保不同设备、系统间行为审计的一致性,从而准确定位事故责任人,弥补传统网络安全审计产品无法准确定位用户身份的缺陷。 4.8 全程运维行为审计 绿盟堡垒机可完整审计运维人员通过账号“在什么时间登录什么设备、做什么操作、返回什么结果、什么时间登出”等行为,全面记录“运维人员从登录到退出”的整个过程,帮助管理人员及时发现权限滥用、违规操作,准确定位身份,以便追查取证。 字符会话审计 系统支持审计通过 SSH、
28、Telnet 等协议的操作行为,审计内容包括访问起始和 终止时间、用户名、用户 IP、设备名称、设备 IP、协议类型、危险等级、操作命令等。可提供操作内容倍速回放功能。 图形操作审计 绿盟安全审计系统 -堡垒机产品白皮书 2013 绿盟科技 密级: 完全公开 - 15 - 系统支持审计通过 RDP、 VNC 等远程桌面 以及 HTTP/HTTPS 协议 的 图形 操作行为,审计内容包括访问起始和终止时间、用户名、用户 IP、设备名称、设备 IP、协议类型、危险等级、操作内容等。支持通过视频录像方式记录操作内容,可提供倍速回放、进度拖拉等功能。 数据库运维审计 系统支持审计 Oracle、 MS
29、 SQL Server、 IBM DB2、 MySQL、 PostgreSQL 等各主流数据库的操作行为,审计内容包括 访问起始和终止时间、用户名、用户 IP、设备名称、设备 IP、协议类型、危险等级、操作内容等 。支持通过视频录像方式记录操作内容,可提供倍速回放、进度拖拉等功能。 文件传输审计 系统支持审计通过 SFTP、 FTP 等协议的操作行为,审计内容包括访问起始和终止时间、用户名、用户 IP、设备名称、目标设备 IP、协议类型、文件名称、危险等级、操作命令等。可提供操作内容倍速回放功能。 4.9 审计信息“零管理 ” 绿盟堡垒机产品 支持 “日志 零管理 ” 技术 日志自动维护:根据
30、日志自动维护计划的设置,系统在指定时间自动进行相应的日志数据备份。 日志查询:系统提供多种审计日志查询条件,包括时间、 IP 地址、用户名、设备名、关键字、危险等级(高、中、低)等; 审计报表: 系统提供详细 的多种 类别的报表模板 ,可提供基于操作时长、高危操作、阻断操作等类别的用户操作 TOP10。系统 支持生成:日、周、月、年度综合报表 ,报表支持 MS Word、 Html 等 格式导出 , 降低维护费用与管理员的工作强度 。 4.10 强大丰富的管理能力 支持 B/S 管理方式, Web 管理灵活方便,适合在任何 IP 可达地点远程 管理 ; 支持批量导入设备信息和主账号信息,灵活适
31、用于设备数量大 、 运维人员数量多的用户环境,大大节约管理员的运维成本; 提供带外管理( OOB)功能,解决远程应急管理的需求,减少用户运营成本、提高运营效率、减少宕机时间、提高服务质量 ; 支持多个硬件 管理 口, 管理 口即插即用,提供对多 个区域 网段的同时 管理 能力; 绿盟安全审计系统 -堡垒机产品白皮书 2013 绿盟科技 密级: 完全公开 - 16 - 支持通过发送邮件、日志数据库记录、打印机输出、运行自定义命令等响应方式及时报警 。 4.11 高可靠 性保障 绿盟堡垒机支持 HA 双机热备功能 , 以 规避单点故障 隐患 ,最大程度上保障用户运维管理工作的 可靠 性和连续性 。
32、主、备机通过 同一 虚拟 IP 地址提供服务 ,使运维人员通过虚拟 IP 地址访问到的堡垒机始终是处于工作状态的主机。 备机通过心跳线实时监测主机存活状况,一旦发现主机服务异常则自动切换为主机 ,无须人工干预 。 主、备机的关键数据通过手动或定期自动方式完成同步,在保障运维管理服务连续性的同时,最大程度上降低管理人员的工作复杂度。 4.12 自身安全性 保障 绿盟 堡垒机 产品采用 专门设计 的 安全、可靠、高效的硬件平台。 该 硬件平台采用严格的设计和工艺标准,保证高可靠性; 独特的硬件体系结构 大大 提升处理能力; 操作系统经过优化和安全性处理,保证系统的安全性; 绿盟 堡垒机 产品 支持
33、热插拔的冗余双电源,避免电源硬件故障时设备宕机,具有更强的高可用性 ; 绿盟 堡垒机 产品 采用强加密的 SSL 传输控制命令,完全避免可能存在的嗅探行为 ,确保 数据传输安全 。 4.13 部署简单方便 绿盟 堡垒机 产品采用“物理旁路,逻辑串联”的模式,不改变网络拓扑结构,不需要在终端安装客户端软件,不改变管理员、运维人员的操作习惯,不影响正常业务运行。 五 . 结论 通过部署 绿盟堡垒机产品 , 可 帮助企业建立面向用户的集中、有序、主动的运维安全管控平台, 通过 基于唯一身份标识的集中账号与访问控制策略,与各服务器、网络设备等无缝绿盟安全审计系统 -堡垒机产品白皮书 2013 绿盟科技 密级: 完全公开 - 17 - 连接,实现集中精细化运维操作管控与审计 , 降低人为安全风险,避免安全损失,满足合规要求,保障企业效益。
