SAG定义

简介

SAG能够在核实运维人员真实身份的基础上，控制其可以访问的目标资源，以及可以使用的应用，防范越权访问，并能够有效地对运维人员操作服务器、网络设备、安全设备、应用系统等资源的行为进行记录和审计，从而实现对运维人员维护操作的“事先授权、事中监控、事后审计”，极大地提高了运维管理的安全性。

SAG简介

Security Access Gateway是索特科技自主研发的安全访问网关，以下简称SAG，  可以帮助用户解决日常安全运维工作中面临的认证授权、访问控制、操作审计方面的问题。

1、维护管理统一入口

SAG采用堡垒主机技术，避免维护人员直接访问目标资源。SAG支持字符、图形、WEB等常用的设备维护方式。维护人员通过统一的入口使用常用协议和应用维护目标资源。管理员通过SAG即可对日常工作中的维护操作进行统一管理，包括身份认证和授权、访问控制和操作审计。

2、单点登录资源尽享

SAG赋予维护人员唯一的登录系统的账号和密码，从而使得操作者身份变得唯一。维护人员通过SAG的资源树和单点登录功能直接访问目标资源，不需要知道目标资源的账号密码，进而使得密码管理变得安全可靠。

3、分工明确权限清晰

管理员可以通过SAG为维护人员设置访问控制规则，规定哪些维护人员可以登陆哪些设备进行哪些操作，定义维护人员“能够做什么”或者“不能做什么”，通过对维护人员和目标资源的严格控制与有效管理，确保他们在其合法权限内进行维护操作。

SAG体系架构

图片

安全访问网关（SAG）：实现接入管理、访问控制、操作审计功能。

虚拟应用服务器（Application Virtualization Server，以下简称AVS）：与SAG结合，可实现Windows应用程序的发布，实现应用SSO，及应用的访问控制，基于数据库客户端应用发布可实现SQL语句级的数据库审计。

SAG的主要功能

1、用户管理

SAG可对维护人员实现基于角色管理，所有维护人员均实现唯一身份登录，支持本地认证和双因素口令认证，管理人员只需通过SAG即可实现对所有维护人员账号权限、生命周期、用户分组、允许登录IP范围的管理。通过SAG，解决了多人共同使用同一系统账号所带来的用户身份唯一性无法确定的问题，大大简化了账号管理复杂度。

2、访问控制

访问控制是保证企业运维管理安全的重要手段，SAG提供两种策略控制：基于资源和基于操作的策略控制，保证对访问请求、访问过程进行安全控制管理。

SAG支持基于网关用户、目标服务器、访问时间段、维护客户端IP等组合的授权功能，并可以设置命令集的黑白名单规则表，实现细粒度的访问控制功能。

3、虚拟应用服务器（AVS）

SAG对于Windows 应用程序可通过虚拟应用服务器（AVS）进行集中发布和审计，实现远端窗口在本地的无缝展现，在AVS上发布常用数据库客户端应用实现SQL语句级的数据库审计，实现常用应用的单点登录以及对应用访问被管资源的控制。

4、操作审计

用户通过SAG对被管资源的操作行为将被记录，用于安全审计和追踪依据，审计记录能够通过各种条件进行查询，可以及时发现非法操作，对非法操作快速定位和响应。记录的内容包括登录的客户端IP地址、SAG账号、目标资源IP地址、账号，登录的起始、结束时间等信息。对于字符应用，记录用户在命令行下的完整过程，包括用户输入、命令输出、操作内容等信息；对于图形应用，对用户的所有操作进行连续视频记录；对于WEB应用，记录用户访问的URL及发布的内容等信息。对于文件传输应用，对所有文件传输过程进行命令记录，并支持对上传/下载文件的可选备份。

SAG的功能优势

索特运维管理解决方案在业界处于领先地位，能够有效帮助用户规范运维人员操作行为，提升对运维操作的监管能力，提高信息安全管理水平。索特运维管理解决方案的主要优势如下：

1、强大的协议支持能力

索特SAG系统在协议层面具备了强大的控制、分析和审计能力，索特SAG支持SSH、Telnet、Rlogin、RDP、 X11、VNC 、FTP、SFTP、HTTP、HTTPS、Oracle、DB2等协议。

2、支持虚拟应用和SSO ：为了保证用户在从自由使用特定维护工具到通过SAG进行维护的迁移过程中使用体验不受影响，索特SAG产品提供了专门的虚拟应用服务器(AVS)，帮助用户可以使用原有的维护工具来完成日常操作，并做到所有操作都可以被审计。

3、单点登录SSO ： SSO可以极大提升用户使用体验,对维护人员可以减少操作步骤,对于复杂的企业IT系统,也可以帮助管理者屏蔽操作人员对系统内口令的了解,提高运维管理的安全性。

4、完美还原再现操作 ： SAG提供审计和操作回放功能，能够对维护人员的操作命令做详细记录，同时可以真实再现、还原当时的用户操作场景，以更直观的方式审计用户的操作行为，从而保证可以及时发现非法登录和非法操作，当出现事故时，能够快速定位责任人员和事故原因。

5、简单的部署方式  ：SAG采用堡垒机部署模式，无需在服务器、网络设备上安装代理程序，不需要改变原有网络架构，只需SAG与被管设备网络可达即可，保证了业务系统原有的安全性和整体架构，不会影响业务系统的性能和稳定。SAG支持双机热备（HA）来保证系统的可靠性，同时支持数据同步保证了数据的完整性和准确性。

• 赫斯特
• 赫斯特，W.R.
• 赫斯，M.
• 赫施巴赫，D.R.
• 赫日
• 赫明
• 赫曦台
• 赫曼·霍列瑞斯
• 赫本，A.
• 赫本，K.
• 赫柏
• 赫梅利尼茨基，Б.М.
• 赫梅斯·阿尔多·德西奥
• 赫梅斯·马丁·帕科
• 赫梯
• 赫梯古王国
• 赫梯宗教
• 赫梯文明
• 赫歇耳
• 赫比埃·海德
• 赫比格－阿罗天体
• 赫氏古堡
• 赫沃宁
• 赫泊特·亚·西蒙
• 赫洛平，Β.Γ.