原创 产品与解决方案部 威努特工控安全 2022-12-09 08:00 发表于北京
堡垒机的由来
堡垒机(全称:运维安全管理产品)是从跳板机的概念演变过来的。早在2000年左右的时候,一些中、大型企业为了能对运维人员的远程登录进行集中管理,会在机房部署一台linux/windows操作系统的跳板机,所有人员都需要先远程登录跳板机,然后从跳板机登录其他服务器中进行操作。随着技术和需求的发展,越来越多的客户需要对运维人员的操作进行审计。因此,堡垒机应运而生。
图片
跳板机示意图
堡垒机定义
运维安全管理产品为运维用户提供统一的身份认证接口、多种远程运维管理方式,对资产及其账号等进行集中管理和授权,监控和审计运维操作过程,并对违规操作行为进行报警、阻断。该类产品保护的对象是服务器、网络设备、安全产品、数据库、应用系统等信息系统重要资产。此外,运维安全管理产品本身及其内部的重要数据也是受保护的对象。
——《GA/T 1394-2017信息安全技术 运维安全管理产品安全技术要求》
堡垒机发展历史
堡垒机的发展历程大致可分为以下三个阶段:
***代堡垒机:堡垒机最初的理念起源于跳板机,但跳板机无法实现对运维人员操作行为进行控制和审计,一旦出现违规操作导致操作事故,很难快速定位原因和责任人。
第二代堡垒机:通过在跳板机的基础上进行改进,第二代堡垒机能实现对内网资源的安全访问,满足用户对常用的文本类和图形类运维协议进行控制和审计。
第三代堡垒机:随着用户对运维审计的需求越来越多,对堡垒机支持的协议种类需求也越来越多。第三代堡垒机接管了终端计算机对网络和服务器的访问,支持的协议相应增加了数据库协议、Web应用协议等。并且随着云计算的发展,部分企业已将众多的计算资源迁入“云端”,为了满足这些企业需求,云堡垒机也应运而生。
堡垒机发展历程
堡垒机产品分类
现如今,随着业务系统的迅速发展,各行业企业的网络规模迅速扩大,不同行业的需求、相关政策要求各不相同,针对不同行业的需求和应用场景衍生出不同类别的堡垒机产品,主要分为硬件堡垒机、软件堡垒机、云堡垒机、便携式堡垒机等。
堡垒机产品主要类别
1
硬件堡垒机
应用场景
随着信息技术的飞速发展,网络信息应用无处不在,金融、运营商、政府、能源、制造业、电力等行业企业在面对日趋复杂的网络信息化系统,由于运维人员对安全认知的程度不同,导致在运维过程中存在着较大的安全风险,如何提高系统运维管理水平,满足相关标准要求,跟踪服务器上用户行为,提供控制和审计依据,已经成为越来越困扰企业的问题。
此时,堡垒机应运而生。硬件堡垒机本地部署在企业内网,安全性强,不占用企业其他资源,对网络设备、主机、应用系统的运维进行访问控制、身份认证、行为审计等精细化管理,帮助企业在运维过程中建立全面的事前规划、事中控制,以及事后审计的安全管理体系。
典型部署
硬件堡垒机典型部署图
核心功能
用户身份认证
1、用户身份认证:堡垒机为企业每个运维人员创建唯一的账号(即主账号),此账号如同个人的身份证一样,与个人绑定。在运维过程中,主账号与其权限内的设备账号(从账号)进行关联,做到企业资源信息的实名制访问,并且为用户提供本地认证、Radius认证、CA认证、Ukey认证等多种认证方式。
2、访问授权管理:堡垒机通过授权管理功能对资源账号访问权限进行细粒度控制,来确保每个运维人员拥有最小访问权限,杜绝用户非法访问和越权访问资源,保障了系统中服务器、主机系统等资源的安全。
3、集中审计管理:堡垒机支持用户对各种资产的访问操作行为进行审计,支持图形审计的监控和回放,在出现安全事故时,可以故障定位责任追踪。
2
软件堡垒机
应用场景
随着企业的不断发展,企业内部资产爆炸式增长,庞大且快速增长的资产需要堡垒机在资产纳管方面更具可扩展性。硬件堡垒机由于自身硬件限制已无法满足扩展性需求。
此时,软件堡垒机成为客户的***。软件堡垒机(也称私有部署堡垒机)不仅易于部署、维护、升级,还在扩容上更具灵活的优势,也省去了前期的布线、上架等操作,在需要扩容时,不需要考虑硬件的交付周期,客户只需要提供一台高性能虚拟机,即可实现分钟级的扩容。
典型部署
软件堡垒机部署
核心功能
1、身份认证:可对用户灵活的身份认证,包括本地账号密码认证、双因子认证、第三方认证系统,防止运维人员身份被盗用冒充,造成数据泄露。
2、权限管控:可设置内网不同资产账号管理权限,通过有序的权限管理降低内网资产运维安全风险。
3、行为审计:对所有内网资源操作提供实时的监控、记录和回放功能,一旦发生运维事故,将依靠审计记录来进行回溯,明确事故责任人以及找出事故原因。
3
云堡垒机
应用场景
随着数字化产业迅速迭代,越来越多用户选择将IT信息化建设逐步云化,多云战略也被广泛采纳,企业资产经常分布在不同云供应商的不同网络内,往往会呈现为多云架构,这就要求堡垒机能够适配多种云平台的API接口,降低平台资源管理的难度。同时企业需要堡垒机提供持续可用、快速容灾切换的能力,保障企业内部不间断的统一安全运维能力。软件堡垒机很少适配多种云平台的接口,且自身故障后无法提供快速切换的能力,所以软件堡垒机已无法适用云场景,此时云堡垒机应运而生。
云堡垒机是一个云资源集中管理平台,通过SAAS部署在云上能实现企业对多种品牌的云上资源(包括:公有云主机、私有云主机、云数据库等资源)运维过程的事前规划、事中控制和事后审计,提供持续可用、快速容灾切换的能力,有效支撑业务的持续运营,广泛应用于金融、教育、政府、医疗、传媒、互联网等众多领域,满足各行业监管要求,减少安全事故,帮助各行业企业长久稳定发展。
典型部署
云堡垒机部署
核心功能
1、支持多云资产运维:可同时运维管理分散在不同品牌云环境的主机资产,如阿里云、腾讯云、华为云、Azure等,提升运维效率。
2、身份认证:可对云上用户灵活的身份认证,包括本地账号密码认证、双因子认证(动态令牌、短信网关)、第三方认证系统,防止运维人员身份被盗用冒充,造成数据泄露。
3、权限管控:可设置不同云账号管理权限,通过有序的权限管理降低云上资产运维安全风险。
4、行为审计:对所有的云上资源操作提供实时的监控、记录和回放功能,一旦发生运维事故,将依靠审计记录来进行回溯,明确事故责任人以及找出事故原因。
4
便携式堡垒机
应用场景
工业控制系统作为国家最重要的关键基础设施,一旦遭受攻击就可能会造成社会生产瘫痪、人员伤亡等重大危害,因此加强工控系统内部网络安全防护显得尤为重要。在大多数工业控制系统的运维中,通常需要接入便携式电脑等运维终端,由于外接的运维终端来源复杂,因此安全管控十分困难,容易发生病毒传播及网络外联等高风险行为,而且,工业控制系统承载着大量重要信息,如果被运维人员非法带出会导致核心数据泄密。此外,由于无人值守场站众多且分布广泛,需要同一运维人员经常去不同的场站进行现场运维操作,针对以上困境,传统的运维堡垒机已无法适用,便携式堡垒机应运而生。
便携式堡垒机通过串接在运维终端与被运维对象之间,将运维成员、运维工具等外部要素与被运维对象等内部要素进行隔离,并对运维成员的敏感操作、违规行为进行实时监督管控,防止外部网络攻击、违规操作等行为等破坏系统;对运维工作全过程进行日志、屏幕录像等多维度记录,实现运维事前有防范、事中有监督、事后有审计的安全管理目标,可以广泛应用于电力、军工、交通、涉密等行业。
电力行业便携式堡垒机
典型部署
便携式堡垒机部署图
核心功能
1、高危指令拦截:便携式堡垒机具备运维行为的检测和过滤,拦截高危运维指令,确保整个运维过程中安全可控。
2、恶意代码查杀:便携式堡垒机支持FTP、移动存储介质等文件传输过程中的恶意代码查杀,可自动对恶意代码文件进行自动隔离、告警,防止恶意代码扩散到核心系统。
3、恶意攻击检测阻断:便携式堡垒机支持对端口扫描行为、ARP攻击、SYN Flood等恶意行为的检测和阻断,可确保运维过程中被运维设备免遭恶意攻击破坏。
堡垒机国密改造新要求
应用场景
密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。国家密码主管部门及密码相关标准,对于密码应用的合规性、正确性、有效性,提出了明确要求。其中,合规性,是密码应用需解决的首要问题;同时,密码应用合规性,亦是密评实施过程中需关注的首要问题。
密评(全称:商用密码应用安全性评估)是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估的活动,“密评”的对象涉及国计民生和基础信息资源的重要信息系统:能源、教育、公安、交通、卫生、金融等信息系统。
相关政策要求
《密码法》指出:关键信息基础设施的运营者未按照要求使用商用密码,或者未按照要求开展密评,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,将处十万元以上一百万元以下罚款。
《网络数据安全管理条例》要求:第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。
《关键信息基础设施安全保护条例》中指出“关键信息基础设施中的密码使用和管理应符合相关法律法规”。
GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》中明确阐明了密码应用的技术要求及管理要求。
GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》
从法律法规,到相关政策出台,再到标准落地,一系列举措加速了推动国密改造的步伐,也进一步凸显了商用密码算法是网络安全建设过程中不可忽略的一部分。
如何对堡垒机进行国密改造?
堡垒机在关键信息基础设施和重要信息系统中有着广泛的应用,在对信息系统实施密评时,它是设备和计算安全层面中身份鉴别、远程管理通道安全等测评项的重要测评对象。在密评实施过程中,会针对堡垒机自身及其关联设备的密码应用进行安全性评估。主要测评内容包括:
堡垒机国密改造项
结语
上文简要分析了堡垒机的概念、发展历史、产品分类、国密改造新要求,帮助大家更加清楚的了解堡垒机。随着信息安全的快速发展,来自内部的安全威胁日益增多,综合防护、内部威胁防护等思想越来越受到重视,堡垒机将成为信息系统安全的最后一道防线,其作用也将越来越重要,应用范围势必会快速扩展到各个行业的信息系统,堡垒机功能、特性、应用场景也会根据不同行业需求得到进一步的发展。
1、《中华人民共和国数据安全法》的发布促进了数据安全重要性的迅速提升,未来堡垒机应融合数据库审计、数据防火墙等产品的功能,做到对数据库等资产进行应用级审计。
2、堡垒机应将企业资产、控制策略、运维数据、风险告警等信息可视化的清晰展现出来,对展示的数据进行智能多维分析,实现快速准确的运维问题诊断、根因定位,实现一体化协作运维,显著高企业运维的安全性、合规性、效率、灵活性和响应速度。
3、堡垒机还应从芯片、操作系统、应用组件等各方面实现全国产化的自主设计和采取零信任的访问模式,保障堡垒机自身绝对安全、自主可控。
威努特目前在运维安全领域有多年积累,具备***的创新能力和丰富的技术储备,产品广泛应用于电力、轨交、智能制造等行业。未来,威努特将继续深耕运维安全领域,从芯片、操作系统、应用组件、密码等方面对堡垒机产品进行全国产化的改造,实现运维自主可控;并且将堡垒机、数据库安全产品、态势感知等产品进行功能融合,打造一款可视化的智能安全运维平台,将运维数据进行统一采控、集中管理、统一展示与分析,将分析得出的结论通过不同的运维决策场景展现给运维管理人员,便于对问题进行处理,主动预测运维问题并快速处理问题,最终实现运维成本的全面优化、业务价值的***化输出以及客户满意度的大幅提升。
威努特简介
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借***的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批***专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积***推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施网络空间安全为己任,致力成为建设网络强国的中坚力量!
渠道合作咨询 陈女士 15611262709
稿件合作 微信:shushu12121
一、NAS品类:
存储服务器,NAS网络存储服务器,群晖NAS网络存储,synology nas ,网络附加存储, nas存储器, nas服务器,晖nas网络存储 群晖存储服务器 群晖服务器代理,企业级网络存储器,网络存储器,NAS云存储,网络存储池,私有云存储 存储nas成都
雷电存储:非编存储、、AI存储、GPU存储、ZFS存储
二 场景:
备份一体机
企业云盘,企业网盘
文件服务器
ISCS挂载
三、群晖常见售后客服:
不建议群晖维修。建议新购替代机型更有保障,群晖保修需知:
免费提供以下群晖技术支持服务:
查询群晖质保期,查询是否为水货,查询是否为国行,查询还有多久过保,群晖保修多久
群晖保外免费检测 系列号查询是否过保,系列号查询是否在保,
不建议群晖维修、不建议群晖维修、不建议群晖维修,群晖技术支持电话400,群晖售后电话400,群晖官网客服电话,群晖手机app官方下载,synology群晖科技官网,群晖nas外网访问,群晖下载中心,黑群晖白群晖区别
建议新购替代机型更够保障
黑群晖不提供技术服务 黑群晖无技术服务 不支持黑群晖洗白 , 黑群晖无法升级,易丢失数据,
建议用白群晖,ds1515无法开机,ds1515+ 点不亮,群晖数据迁移,群晖1515+ 无法点亮
四、数据恢复服务
服务器数据恢复、raid数据恢复、nas数据恢复、希捷数据恢复、西数硬盘恢复、Seagate数据恢复、WD数据恢复、群晖硬盘数据恢复、群晖数据恢复,开盘,服务器raid阵列恢复, 勒索病素解密,数据库修复,群晖数据恢复
四、群晖机型及配件型号
4.1-2022年群晖在售机型及配件:
配件:VMMPRO-3NODE-S1Y ,VMMPRO-7NODE-S1Y ,VMMPRO-3NODE-S3Y ,VMMPRO-7NODE-S3Y,SYNOLOGY/网络存储扩展柜RX1217SAS,2022系列:hd6500 ,RX6022sas
4.2-群晖配件:
群晖钥匙、群晖硬盘钥匙、群晖硬盘托架钥匙、群晖网卡、群晖万兆网卡、群晖内存、群晖电源、群晖电源线,群晖电源适配器100W EA11011D-120、群晖主板 M2D17 ,synology 群晖监控许可证,群晖16TB硬盘,hat5300-8T, rks1317,SVN3400—400G, E10G1-F2. X520DA1
4.2-群晖历史机型
21系列:RS3621RPxs、RS4021xs+、RS4017xs+、RS3621xs+、RS3618s,rs2821rp+,rx1217,RS1221+,RS2821RP+,RS2818RP,
20-系列:DS1520+
2019出品-19系列:ds1019+、 DS1219+ 、UC300 RackStation、FS3400、FS3600、FS6400、HD6400、SA3200D、SA3400、SA3600、UC3200、DVA3219 UC3200/RXD1219sas、DS420j、 DS120j、SA3600/SA3200D/FS3600、DS220j
18-系列:FS1018、RS3618xs、DS3018xs、RS2818RP+、RS2418(RP)+、RS818(RP)+、DS918+、DS718+、DS418、RS1619XS+,DS418play、DS218+、DS218play、DS418j、DS218、DS218j、DS118、NVR1218;DS918
17-系列:FS3017、FS2017、RS18017xs+、RS4017xs+、RS3617xs+、RS3617RPxs、RS3617xs、RS217、DS3617xs、nas ds3617,DS1817+、DS1517+、DS1817、DS1517;扩展柜:417sas、RX1217sas、RX1217、DX517
16-系列:
RS18016xs+、RS2416RP+、RS2416+、DS916+、DS716+II、DS716+、RS816、DS416、DS416play、DS416slim、DS416j、DS216+II、DS216+、DS216play、DS216、DS216j、DS216se、DS116、NVR216、群晖扩展柜 RX1216sas;
15-系列:
RC18015xs+、DS3615xs、DS2015xs、RS815(RP)+、DS2415+、DS1515+、DS415+、RS815、DS1515、DS715、DS415play、DS215+、DS215j、DS115、DS115j、DS1815+;
14-系列:
RS3614xs+、RS2414(RP)+、RS814(RP)+、RS814、DS414、DS214+、DS214play、RS214、DS414j、DS414slim、DS214、DS214se、DS114、EDS14;
13-系列:
RS10613xs+、RS3413xs+、DS2413+、DS1813+、DS1513+、DS713+、DS413、DS213+、DS413j、DS413j、DS213、DS213j、DS213air;
12-系列:
DS112、DS112j、DS112+、DS212、DS212j、DS212+、DS412+、DS712+、DS1512+、DS1812+、DS3612xs、RS212、RS812、RS812+、RS812RP+、RS2212+、RS2212RP+、RS3412RPxs、RS412xs、RS412RPxs;群晖212
11-系列:
DS1511+、ds2411+, RS3411xs、RS3411RPxs、DS3611xs,扩展箱 DX1211、rx1211rp+, rs411
RS2211(RP)+,RS3411(RP)xs,RX1211(RP);
10-系列:DS1010+,DS710+,RS810(RP)+ ,rx410,DS110j;
09-系列:
ds509+ ,rs409,rs409RP+,rx4;
早期系列:ds-101 ;
五、群晖代理体系:
synology群晖全国***、synology群晖国代,synology群晖分销***,synology群晖***,synology群晖总分销商、synology群晖授权经销商、synology群晖官方代理商,群晖增值值代理商,群晖企业方案商 )
NAS网络存储友商:
buffalo, 巴法络 维修,色卡司维修,色卡司 ,thecus,威联通 qnap ,铁威马 terra-master,
群晖服务区域
省级:四川群晖 西藏群晖 重庆群晖 贵州群晖 云南群晖
四川synology: 成都群晖 德阳群晖 绵阳群晖,攀枝花群晖,西昌群晖,雅安群晖,内江群晖,资阳群晖,南充群晖,眉山群晖,乐山群晖,自贡群晖 泸州群晖 广元群晖 遂宁群晖 宜宾群晖 广安群晖 达州群晖 雅安群晖 巴中群晖 资阳群晖 攀枝花群晖 凉山彝族自治州群晖 甘孜藏族自治州群晖 阿坝藏族羌族自治州群晖,成都群晖nas 群晖成都技术中心群晖,成都群晖nas 成都群晖体验中心,成都群晖synology体验中心,成都群晖体验中心,成都群晖售后,成都群晖 ***,成都群晖技术,成都群晖nas成都群晖有实体店,群晖官方网站,晖成都代理,群晖nas 成都群晖技术QQ群 四川群晖群晖体验中心 群晖成都技术中心 群晖成都体验店 synology成都,群晖技术支持 群晖存储盘
群晖服务区域
省级:四川群晖 西藏群晖 重庆群晖 贵州群晖 云南群晖
四川synology: 成都群晖 德阳群晖 绵阳群晖,攀枝花群晖,西昌群晖,雅安群晖,内江群晖,资阳群晖,南充群晖,眉山群晖,乐山群晖,自贡群晖 泸州群晖 广元群晖 遂宁群晖 宜宾群晖 广安群晖 达州群晖 雅安群晖 巴中群晖 资阳群晖 攀枝花群晖 凉山彝族自治州群晖 甘孜藏族自治州群晖 阿坝藏族羌族自治州群晖,成都群晖nas 群晖成都技术中心群晖,成都群晖nas 成都群晖体验中心,成都群晖synology体验中心,成都群晖体验中心,成都群晖售后,成都群晖 ***,成都群晖技术,成都群晖nas成都群晖有实体店,群晖官方网站,晖成都代理,群晖nas 成都群晖技术QQ群 四川群晖群晖体验中心 群晖成都技术中心 群晖成都体验店 synology成都,群晖技术支持 群晖存储盘
群晖保内免费维修支持,
四川群晖NAS存储代理商,成都群晖NAS分销
贵州群晖:贵阳群晖 、六盘水群晖、遵义群晖、安顺群晖、铜仁群晖、毕节群晖。 黔南群晖 、黔西南群晖、贵州黔东南群晖
重庆群晖 合川群晖 南川群晖 潼南群晖 铜梁群晖 长寿群晖 璧山群晖 荣昌群晖 綦江群晖 大足群晖 武隆群晖 垫江群晖 奉节群晖 丰都群晖 城口群晖 巫溪群晖 云阳群晖 酉阳群晖 巫山群晖 梁平群晖 彭水群晖 秀山群晖 石柱群晖 开县群晖
云明群晖: 昆明群晖、曲靖群晖、玉溪群晖、 保山群晖 、昭通群晖 、丽江群晖 、普洱群晖、 临沧群晖。文山壮族苗族自治州(文山群晖) 、红河哈尼族彝族自治州(红河群晖) 、西双版纳傣族自治州、(西双版纳群晖) 楚雄彝族自治州(楚雄群晖)、 大理白族自治州(大理群晖)、 德宏傣族景颇族自治州(德宏群晖)、 怒江傈僳族自治州(怒江群晖)、 迪庆藏族自治州(迪庆群晖)
成都科汇科技有限公司 — 专业数据备份服务商
无论您的IT架构是 本地化、云端、还是混和云 都能提供一站式数据备份方案。
京东群晖synology 天猫群晖 线下代理技术咨询服务
四川成都群晖官方授权核心代理商(企业级服务商)
四川成都群晖synology解决方案中心
四川成都群晖synology体验中心
四川成都synology群晖线下实体店
四川成都群晖synology售后技术中心
四川成都群晖synology官方授权专卖店
[图片]
[图片]
成都科汇科技有限公司
地址:成都市人民南路四段1号时代数码大厦18FA5
电话:400-028-1235
QQ:2231749852
手机:138 8074 7621(微信同号)