抗击疫情,携手共行

圣博润助力远程安全运维日期:2020.
02北京圣博润高新技术股份有限公司王霄圣博润基本情况专业工业互联网安全专家等级保护咨询专家创新工业互联网安全云计算安全大数据安全价值网络安全50强企业新三板创新层企业新三板十大最具投资价值企业责任"十九大"网络安保G20杭州峰会安保"一带一路"安保2008北京奥运安保关于我们2000年成立于中关村科技园区,20年专注网络安全;在全国29个重要城市设有办事机构;约500名员工,其中研发和技术人员300+;产品涉及安全防护、安全监测与审计、安全管理、工业互联网安全、云计算安全、大数据安全;最专业的安全服务团队;用户数超10000家.
抱圣贤之思怀博学之志尽润泽之力圣博润-发展历程200020082009201520162008年推出等级保护咨询服务业务,并圆满完成2008年奥运政务专网网络安全保卫工作.
2000年公司成立,同年通过高新技术企业认证,2003年建立LanSecS自有产品品牌并推出终端安全相关产品.
2009年新三板挂牌,企业规模迅速扩大,业务覆盖全国二十多个省市范围.
2015年首批获信息安全等级保护安全建设服务机构能力评估合格证书,启动做市交易,累计融资8600万元.
2016年快速发展,推出工业互联网安全、大数据安全、云计算安全产品,开启新一轮的高增长.
20172017年入选新三板创新层,累计融资2亿元;发布工业互联网安全系列产品;获三项最高等级安全服务资质.
2018工业互联网安全业务大突破,获工业信息安全十大用户信赖品牌奖,成为工信部工业互联网安全技术试验与测评重点实验室首家技术支持单位;为2018年首届工业互联网安全防护演练和2018年首届工信部护网杯安全大赛提供技术支撑.
疫情期间远程运维方式1:VPN+堡垒机+终端安全②接入内网VPN堡垒机①远程安全接入单位机构服务器③堡垒机实时保证运维安全权限最小化策略,运维人员只能访问权限内服务器安全运维策略,敏感命令直接阻断或审批后才可执行完善运维手段,提供友好、全面的运维工具方便运维工作实时监控和记录运维操作,责任精准定位可搭配内网/准入/EDR等产品,增强访问内网的客户端安全性禁止接入U盘、移动硬盘、智能手机等外接设备操作系统、补丁、防病毒软件安装、可疑文件、注册表检查运维流程设计:1)在网关设备上对外映射相关端口,供运维人员、第三方运维人员通过客户端登陆SSLVPN,与部署于企业或单位数据中心的的SSLVPN建立远程VPN接隧道2)登录成功后,VPN向终端推送准入规则3)运维操作过程中堡垒机实时保证运维安全4)断开连接疫情期间远程运维方式2:DMZ+堡垒机+终端安全堡垒机②认证成功接入DMZ堡垒机控制台单位机构服务器③堡垒机实时保证运维安全权限最小化策略,运维人员只能访问权限内服务器安全运维策略,敏感命令直接阻断或审批后才可执行完善运维手段,提供友好、全面的运维工具方便运维工作实时监控和记录运维操作,责任精准定位可搭配内网/准入/EDR等产品,增强访问内网的客户端安全性禁止接入U盘、移动硬盘、智能手机等外接设备操作系统、补丁、防病毒软件安装、可疑文件、注册表检查DMZ内网①强身份认证运维流程设计:1)在DMZ映射堡垒机web访问与固定协议代理端口;2)堡垒机挑战用户强身份认证(短信、LDAP、AD、数字证书、动态令牌等)3)设定端口访问规则,只允许堡垒机访问内网服务的特定运维端口4)运维操作过程中堡垒机实时保证运维安全5)断开连接疫情期间远程运维-案例特殊时期远程设备运维需求第三方厂商人员运维需求同时存在内外网访问路径1、提供双路保障:一路是通过VPN至DMZ区并通过堡垒机访问设备,另一路是对于部分现场人员仍需提供内网堡垒机访问路径2、DMZ及内网均部署统一身份认证系统(IAM)要求堡垒机访问必须通过统一身份认证,并启用强身份认证F2A(基于动态口令手机APP)3、所有设备访问所产生的命令、操作痕迹录像均需保留3个月4、支持审计的协议包括SSH、TELNET、RDP、X11、VNC、FTP、SFTP以及数据库访问行为5、堡垒机上每位运维人员所能运维的资产列表均以最小化原则授予.
该机构其他工作要求强身份认证-公私钥-1次1密堡垒机圣博润堡垒主机发展历程2007201420162019201020152017圣博润堡垒机起步100,000点在设备超过100,000台的环境中成功部署,国内最大部署案例8000并发在超过8000个字符并发的环境中成功部署云堡垒步入市场市场占有率第一连续5年市场占有率第一30分支在全国范围超过30个分支节点的环境中成功部署市场化圣博润堡垒主机逐步进入市场,开启市场化脚步优势分析-全面应对疫情期远程运维更安全的操作系统及应用完善的加密措施(国密SM3存储密码)命令过滤及审批多级流程审批交叉授权能力组授权能力充分考虑产品自身安全多样化的访问控制管理能力前端高可用配置支持从AD域同步用户信息灵活自定义应用运维接入更加便捷的易用性支持云端快速部署客户端高兼容全面国产化的支持自由选择Web/客户端运维全面支持IPV6更强的用户生产环境适应性趋势1-零信任的初衷思想边界防御边界模糊传统的边界防御模型,构建一个由私有地址构成的企业"内网",在内网边界架设防火墙、入侵防护等各种防护设备,配合VPN接入、网络准入、内部路由策略、对外上网行为管理等构成一个内外有别的环境边界不再清晰.
如果企业所有员工都只在办公楼内工作,传统模型仍然简单有效.
但随着移动办公的出现,有很多需要在物理边界之外办公的需求,加上访客、供应商等需要进入企业并访问网络,包括内部员工可能携带个人设备(尤其是手机)进入企业内部内网隐患一方面,由于前述原因,内网必然存在一些无法完全信任的危险设备另外一方面,传统模型带来的可靠性错觉使得很多企业忽视了内网的安全防护,包括基本的补丁更新、安全配置等.
过度依赖于边界的防护,一旦这个边界被突破,内网存在严重隐患趋势1-基于零信任的堡垒机模型用户信息、受管设备非对称信息资产关联发动机-数据库变速箱-策略引擎网络访问控制(802.
1X,radius)HTTP/S应用由访问代理AP加密服务器(TUN设备)底盘-执行网关信任等级评估用户生命周期动态策略变更信任证书管理堡垒机用户、资源管理堡垒机策略访问授权堡垒机协议代理趋势1-堡垒机在零信任体系中的作用趋势2-云堡垒(私有云或公有云)1、顺应数据集中的趋势,在资源及访问用户进行逻辑切割,每个云租户拥有自己独立的资源范围以及自我管理的运维人员2、将堡垒作为平台允许租户对服务的开通、续租、扩容进行3、为支撑高访问量需支持可水平扩展的集群结构4、为云计算运营机构提供所有租户及租户资源的全面视角(访问量、运行状态、高危操作统计)云堡垒关键点趋势2-云堡垒(私有云或公有云)云堡垒续租云堡垒开通云堡垒管理扩容租约到期-租约到期前提醒-云平台停用租户云堡垒-保留租户云堡垒数据半年-云平台清除租户云堡垒及云堡垒内数据-申请开通云堡垒-创建并分配云堡垒管理员-云平台推送租户及租户设备信息-申请续租云堡垒-更新云堡垒租约时间-申请增加云端设备-云平台自动推送租户设备信息疫情期间快速部署-全格式镜像疫情期间安全保障服务-互联网网站远程安全监测预警服务需要具备的条件服务方式服务内容服务介绍本项服务针对于互联网网站.
仅需要提供网站域名、IP地址、授权文件和紧急联系方式,可对重点网站开展安全检测.
本项服务采用莱恩赛克网站安全监测平台,对互联网网站实现7*24小时的实时性监测.
本项目服务可对互联网网站的可用性、安全漏洞、挂马暗链、网页篡改、关键字、域名劫持、后门进行7*24小时实时监测,发现安全风险,及时通过邮件、短信或电话等方式发出告警.
实现网站安全"体温监测".
疫情期间安全保障服务-远程安全评估服务需要具备的条件服务方式服务内容服务介绍本项服务针对于系统运行所涉及的网络设备、安全设备、主机系统及中间件.