应 用 摘 要

　　企业信息化的发展使得各个企业或组织不断的扩大自己的网络和应用系统，随之而来的是主机服务器和其他网络设备也越来越多，一个中型规模的单位或一个大学就会有上百台服务器需要进行管理。而这些主机服务器一般都承载了组织内部的重要的应用系统和业务系统。因此，在骇客活跃的时代，国家，单位对于管理这些业务系统主机的管理员的要求也越来越高。然而，目前对于主机的管理还存在众多的安全问题以及不方便性。针对主机管理存在的问题，UTrust提供了主机防护解决方案。系统主要是针对各企业或组织中主机服务器访问保护和安全管理，对主机管理人员提供方便安全的管理手段。

　　应 用 领 域

　　通用

　　方 案 内 容

　　目前对于主机的管理还存在众多的安全问题以及不方便性。

　　密码设置问题：一个系统管理员需管理大量的网络设备和主机，而每一台设备都要有一个用户名和密码，系统管理员需要记住大量的密码。而现在国家要求，系统管理员主机密码设置要求一定的复杂性，并且要求定期修改，密码这对于系统管理员来说已经是一个鄂梦。管理人员只有将密码写在一个本子上定期查看才能记住，但是这无疑增加了密码容易丢失的安全风险。并且由于系统管理员更换频繁，经常一个管理员离开后，主机找不到密码，不能进入系统而影响业务正常工作。并且静态密码也容易被盗，并不适合主机管理人员作为身份认证手段。

　　账号管理问题：当人员变动时，需要大量的增，删，改账号的工作，使得系统管理员浪费大量的工作时间在这些烦琐的工作上。并且主机管理员经常是一人拥有多个账号或是多人使用一个账号，在发生安全事故，难于确定账号的实际使用者，而且在平时难于对账号的扩散范围进行控制，容易造成安全漏洞。

　　管理登录问题：系统管理员需要管理几十台设备，每次访问主机时都要输入不同的用户名和密码，频繁登录影响工作效率。

　　访问审计问题：主机管理员的账号混用使得一些访问行为无法确认访问者，对于一些非法的访问操作无法进行追究，没有安全的审计机制。而各个主机系统都有一套独立的日志数据库，对于成百台设备来说，很难尽快查到一些非法访问的状况。

　　主机防护解决方案

　　该解决方案在系统管理员客户端安装主机防护安全代理软件，在各主机之前部署UTrust主机认证审计服务器。安全代理与UTrust主机认证审计服务器接管系统管理员的访问请求。解决方案抛弃了原有的静态密码认证方式，采用增强的双因素认证机制，对主机系统管理员账号进行统一管理，访问操作进行统一审计，有效解决了目前主机管理中存在的安全问题。

　　账号管理：为每一个系统管理员分配唯一的账号，并将用户与其拥有的所有主机中账号关联，对主机中的账号密码集中进行管理，包括按照密码策略，密码如何自动更改变化。并且实现UTrust中主机账号信息与各主机系统上存在的账号同步。

　　身份认证：作为信息安全的第一道防线，用以实现系统对操作者身份的合法性检查。对于主机管理来说，身份认证是一个基本的安全考虑。我们采用的身份认证的方式可以有多种，包括静态口令方式，数字证书及USB Key。

　　访问授权：用户对不同主机和设备的访问进行授权控制，制定安全访问策略，限制管理人员访问的方式，时间，手段等。

　　系统登录：能实现主机管理员通过UTrust主机认证审计服务器的第一次认证后，就可以登录到其有权访问的主机上，无需再进行多次登录。

　　主机审计：统一收集、记录用户对主机访问和操作行为，并对这些记录信息进行归类、整理、分析、统计，对于可疑事件进行告警。对选定的事件，系统提供事件发生的整个操作序列，以重现事件的发生过程，帮助管理员进行分析、管理，在出现安全事故时，可以追踪原因，追究相关人员的责任。

　　技 术 路 线

　　其 他

　　方案特点

　　• 摆脱密码困扰，提高工作效率

　　该方案的实施使主机系统管理员完全摆脱记忆大量用户名和密码的困扰，降低工作量，自动按照密码策略管理主机上的密码，大大提高了工作效率。

　　• 增强主机访问的安全性

　　采用了增强的身份认证，降低了密码带来的安全风险，增强了主机认证的安全性。统一的操作行为审计，及时发现非法访问行为，有效避免主机被攻。

　　• 操作行为抗抵赖

　　规范了账号管理，提供了唯一身份标识，审计信息实时回放，杜绝了非法操作无据可查，抵赖行为。