详细介绍
产品介绍
科博单向运维栅栏系统(CopOWB,简称单向运维系统)是由中铁信安自主研发的一种基于光单向传输和虚拟化技术的安全运维管控系统。CopOWB在基于单向传输的安全通道基础上,将运维主机与操作主机分离,形成可控的运维环境,结合身份认证、资源管理、运维控制、全程审计等技术实现对运维全过程的可视化管控,确保运维安全,保障被运维信息系统免受运维攻击。
CopOWB分为千兆和万兆两种型号,适用于对性能要求不同的应用场景。
CopOWB可广泛应用于政府、军队军工、企事业单位及其它对关键应用、服务器进行安全运维的场景,实现外部人员及内部人员对关键设施运维全过程的可视、可控、可管。
系统结构
单向运维系统是支持多人同时在线运维的安全运维系统,系统由客户端、单向运维栅栏设备、虚拟运维桌面系统等三部分组成,系统架构如下:
客户端以插件形式部署在操作主机中,由实际运维人员使用。单向运维栅栏设备部署在被运维信息系统前端。虚拟运维桌面系统是采用桌面虚拟化技术实现的一套运维桌面管理系统,通过创建及部署多个虚拟桌面,同时为多个运维人员服务。运维人员通过访问单向运维栅栏,并配合虚拟桌面系统,可以实现远程对信息系统进行在线运维,运维过程中运维人员操作主机与信息系统之间不存在协议连接,有效保证运维安全。
产品部署
单向运维系统的典型部署模式如下:
依据网络用户数量的多少,单向运维系统支持集群部署,并配置不同性能及数量的虚拟桌面发布服务器。
性能指标
产品型号 \ 参数 |
千兆 |
万兆 |
网络接口 |
8个千兆电口 |
8个千兆电口,4个万兆光口 |
访问延时 |
20ms |
10ms |
吞吐量 |
600Mbps |
6Gbps |
支持同时运维用户数 |
50个 |
100个 |
技术指标
单向运维系统的技术特性如下:
指标类 |
指标项 |
指标说明 |
系统结构 |
双单向运维通道 |
采用两个单向通道实现运维中键盘鼠标信息及屏幕信息的分离传输,确保运维通道的隔离,实现操作主机与运维主机的分离。 |
管理功能 |
安全管理 |
提供B/S模式安全管理(HTTPS) |
用户管理 |
提供完整的用户生成、修改、注销全生命周期管理功能,可与第三方用户管理系统联动。 |
|
运维资源管理 |
实现对运维资源的管理,支持Windows资源、网络资源、Linux资源、C/S资源、B/S资源等。 |
|
虚拟桌面管理 |
支持虚拟桌面的创建、启用、停用、删除等管理功能。 |
|
身份认证 |
身份鉴别 |
支持用户名/口令、证书等用户身份鉴别。 |
访问控制 |
支持细粒度的用户访问控制功能,支持用户与可访问运维资源、可使用运维协议、可使用运维虚拟机等的授权控制。 |
|
安全运维通道控制 |
鼠键数据捕获 |
实现对运维人员操作终端鼠键数据的自动捕获。 |
屏幕自动展示及渲染 |
实现运维人员操作终端运维桌面屏幕信息的自动、实时展示及渲染。 |
|
鼠键数据单向传输 |
支持鼠标、键盘输入数据的单向传输。 |
|
屏幕数据单向传输 |
支持虚拟桌面屏幕数据的单向传输。 |
|
文件数据单向传输 |
支持虚拟桌面文件数据的单向传输。 |
|
运维过程控制及审计 |
数据安全检查 |
支持传输文件数据的安全检查,对非法数据进行拦截告警,阻断非法数据的传输。 |
运维录屏审计 |
支持录屏审计,支持运维操作审计功能。 |
|
运维命令审计 |
支持运维命令按时间轴记录功能,可按指定时间段回放运维命令及结果。 |
|
运维协议控制 |
实现对FTP、SSH、TELNET、RDP等运维协议的代理及命令控制。 |
|
病毒防护 |
选配的防病毒模块能对来往数据进行病毒查杀。 |
|
日志审计 |
提供详尽的日志功能;提供对日志数据丰富的审计功能;提供日志信息的加密存储功能。 |
|
高可用 |
双机热备 |
实现两套系统之间的主从热备切换。 |
集群多活 |
支持多套系统之间集群多活,实现多路集群功能。 |
|
系统监控 |
实现对系统的状态监控,统计状态信息,及时上报异常状态。 |
系统特色
⑴ 对运维终端安全性不敏感:即使运维人员使用的计算机终端不安全(具有木马或病毒),也因为该终端与运维目标系统之间没有网络连接而不会将风险传递给目标系统;
⑵ 对本地或远程运维不敏感:即使运维人员以VPN等方式远程接入运维,其连接也被单向运维栅栏所终止,进入的依然只有鼠键信息,输出的依然只有显示信息,其安全性等同于本地运维。
⑶ 对运维协议私有与否不敏感:即使私有的运维协议,也可布署于虚拟桌面平滑运维,运维过程可确保可控且被全程屏幕审计,实现可用性和安全性的平衡。