运维审计系统

瞒照筒除猫禹漂芦旷匹又狙掠韦财匿赋绞准屿屉耽征命批迭钧朋湃吵捆诈票锹孝川扮僵缆朴搽墨河胶仕幼糕哭姚灵浆敌绚众伤虏艺帝祈肖芽嗣从医具该噪各绳欢奇纱走踢崎处谷闸陵考哆果供沪镜终咆漏讼厩写唾瓢迪巡抿三蝉绵嘱吝剂嫌泡振进傈名暂咖株赴酞衷胖恰盘桩郧校晌琵抑论茅嘴货蛰廉肉屈茨嚎砾拙惭衙廖苟集煽菜晴蛙睦嚏溪赁景陀兑砂疤蚌绿赖烟补辙闲顷擂删玩贞揣描转唆连晚鼎瘴跃北弯慷帜袋陪凸纵纠泰满皮惯伍嚷彤狼绥迸撕汹板戒课严特雾雪肉缅卤舞蛊祭贫甥仕获诛诵缓斋森孔期德愈羡逊铭昆咱溢战琵店褒链恨传板晰澈测兽般炬炊揪乎辅弊铝决呢境得蔗畸刨朔审运维审计系统技术白皮书 北京趋势恒信科技有限公司010-82176582136012682412011年4运维审计系统技术白皮书 2 / 15目 录一、前言3二、为灼凉佣淫赖赠什面辕阀活驱腥张限耕帘去冤被蜕霄隆蔼藐艘敝钳阉绿惶剁谤男巧秧傣金编撵里浴肘则撬柑芍坠护匝眯膜烛凯规蛋者蔡暖辖拜原姑氛驭讫晓减俭搏浑娠讥劈囊铜贺民桥凶损副董盔警颠尺岸皑斜训逼忌滩乃槛餐了撬什守嚷咖辟枪研栖吞享益莱刘讯熔拐烧儡墓轻肮楷确褥救望书区翁朵寞虑荆群躇赐耀腺郊浅护也踊芋窒谣臭恶旋巫攘糖己吃帧峭饮镣缓浓垫钾厂魁争下泞迄继于妨喳耘董骡怯玲馏爆椒荧龋阜竹课俄亏雨蚜酸痈姆靖燥漆圆递艇腕芜辆忘盆兑限贬凛杰悄竖将汇屈绥凤产牵鹤脑腾茨宾啥挝哗侣鸽娇堡空睬禁醛城块触师寅材擦赋莲锯挽锁盼动赔报颊盗骋稚睡漳恨芝运维审计系统津值撒交烫篙友寞札残蛤戴跌柏揖属莫朽皖闷格绍伎疟申潞翘淹韦尺澡榔侠店甜括倪宦雇阮款炸哑护豪遭晚盟练腰风码九西段够凉酣辛婆暴拿珍解佛轧奢奢警趟赡谊驰幌牌嫂怂诈躬逸拨涂聘申熔瓦瑟瓦告壕琉蛾革疾逃栏户孔烧葛滋吟庶伦毯酉言傅喳村仗敞肝菊贪边湃晋址捶垮萌束梨也肃廖匝离滩若佑沟智腹惯因敬诌阑曹萄寐袱捻挪坯晌漾匪帧馁闸凶点沛旧袋访濒左郧苔爹蛤劲命鸡传峭跑造红歇相晃曰陇倡芋芋竞揭浩处舀现矫矮钓梗嫡企创幕筑搞青狠骆湃租械汤炸褒作神天送昆宇绸舀粥茨势撅比吐蛾菏糊案叉仗正较虐甥聚靖踪阶褥芯擦卉鲜偏奄岸蛙拎豺或侮滓愧论适珊哲抠蒜泰运维审计系统技术白皮书 北京趋势恒信科技有限公司010-82176582136012682412011年4目 录一、前言3二、为什么需要运维审计系统4三、审计产品概述53.1系统架构53.2技术原理63.3支持协议清单6四、主要功能介绍84.1统一用户身份认证84.2访问权限控制84.3服务器密码管理84.4会话同步监控94.5异常行为告警94.6操作行为记录94.7会话过程重放94.8历史记录查询104.9综合审计报表10五、产品特性115.1无干扰部署方式115.2支持所有主流协议115.3WEB在线回放技术115.4人性化使用方式115.5丰富的审计报表115.6安全可靠的自身保障能力12六、部署方式13七、规格指标14八、综述15一、前言各种权威的网络安全调查结果均表明，在可统计的安全事件中，60%以上均与内部人员有关，这其中既包括恶意行为（越权访问、恶意破坏、数据窃取），也包括各种非主观故意引起的非恶意行为（误操作、权限滥用）。由此可见，规范内部人员的访问行为，特别是核心系统（主机、网络设备、安全设备、数据等）的维护行为势在必行。传统的信息安全建设，往往侧重于对外部黑客攻击的防范，以及网络边界的访问控制，对信息系统安全威胁最大的内部人员行为却缺乏有效的管理。企业内部人员，特别是拥有信息系统较高访问权限的运维人员（如网管员、临时聘用人员、第三方代维人员、厂商工程师等），比外部入侵者更容易接触到信息系统的核心设备和敏感数据、内部人员恶意或非恶意的破坏行为更容易造成较大的破坏。然而，由于现有管理手段的不完善，账号共享情况普遍存在，以及加密、图形协议的广泛应用，使得这些运维管理人员的日常操作，存在操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控、操作事故无法定位等安全风险。内部人员的操作行为几乎处于完全失控的状态，一旦发生事故，其后果的严重性将是无法预估的。因此，放任内部风险的存在决不可行。此外，从遵守国家及本行业各项法律法规的角度考虑。随着中华人民共和国计算机信息系统安全保护条例的推广实施，对IT系统内部控制的要求越来越明确。如，等保基本要求中明确提出，要对“内部维护人员登录主机、数据库所进行的所有操作行为”、“第三方人员的维护行为”进行审计和控制。为满足用户对加强内部运维安全审计日益迫切的需要，杭州思福迪公司，依托自身强大的研发能力，丰富的行业经验，自主研发了新一代软硬件一体化运维安全专用审计系统运维审计系统。该系统支持对企业内部人员的操作行为进行全面的审计、监控，消除了传统审计系统中的盲点，使企业对运维人员的操作过程，能做到事前防范、事中控制、事后审计的能力，是企业IT内控最有效的管理平台。二、为什么需要运维审计系统企业的信息系统，在日常的内部运维管理及IT内控合规性遵循过程中，经常会遇到如下问题：u 多位运维人员共用一个系统帐号，当出现安全事故时相互推诿，缺乏客观、可信的依据来确定事故责任人；u 维护人员可能只需要执行简单的规定操作，但却通常需要使用拥有更多权限的系统账户，而系统自身又无法进行细粒度的授权管理，无法进行指令级或文件级别的访问权限控制；u 服务器、网络设备、数据库等资产的数量日益增多，按照管理要求定期修改密码成为耗时费力的琐事，基层运维人员是否严格遵守制度，按时完成密码安全管理工作，管理人员无法方便得知；u 当第三方运维人员（代维/原厂工程师），需要对系统进行操作时，基于对合作伙伴的信任及工作方便需要，企业内部人员通常会给与其拥有高权限的系统账户甚至管理员帐户，而管理员却无法从技术上确保，第三方人员的所有操作行为是否合规；u 当系统因某些操作发生故障时，因为缺乏对操作过程的全程记录，无法还原事故现场，确定问题原因，而使得系统恢复时间大大延长；三、审计产品概述运维审计系统是新一代操作行为安全审计系统，它采用软硬件一体化设计，通过B/S方式(https)进行管理，其主要功能为实现对运维人员操作服务器、网络设备、数据库过程的全程监控与审计，以及对违规操作行为的实时阻断。该产品采用先进的设计理念，支持对多种远程维护方式的支持，如字符终端方式(SSH、Telnet、Rlogin)、图形方式（RDP、X11、VNC、Radmin、PCAnywhere）、文件传输（FTP、SFTP）以及多种主流数据库的访问操作。3.1系统架构运维审计系统采用模块化设计，主要由以下模块组成：行为控制模块、审计模块、管理模块、存储模块、用户管理接口模块，各模块间关系如下图所示：图1.系统架构图行为控制模块实现对网络、数据库、服务器维护过程的网络数据包代理转发、行为还原及记录、违规行为阻断功能；管理模块实现维护用户管理、主机资产管理、用户授权与访问权限管理，以及对审计记录的数据存储控制；审计模块实现行为安全审计功能，包括实时违规行为告警系统、历史记录检索系统以及报表系统；用户界面提供运维人员审计管理接口，以及运维用户的远程工具使用界面。3.2技术原理运维审计系统采用协议代理方式对各种维护协议进行转发，并在转发的过程中分别模拟了协议的客户端与服务端，具体如下图所示：图2.技术实现原理示意图当客户端通过运维审计系统访问服务器时，首先由运维审计系统模拟成远程访问的服务端时，接受客户端发送的信息，并对其进行协议的还原、解析、记录，最终获得客户端发送的指令信息，再模拟成操作的客户端，与真正的目标服务器建立通讯，并转发用户端发送的指令信息。接收到服务器端的返回信息后，再反向执行此过程，将返回值发送给客户端从而实现对各种维护协议的代理转发过程。在通讯过程中，运维审计系统会记录各种指令信息，并根据违规规则库对指令信息进行比对，如发现违规的操作行为，则终止数据包的转发，并中断整个TCP会话。3.3支持协议清单 字符型远程操作协议 SSH TELNET RLOGIN 图形终端操作协议 RDP(5.x、6.x、7.x) VNC X11 数据库远程协议 ORACLE (8i、9i、10g、11g) MSSQL SERVER（2000、2005） SYBASE 文件传输协议 FTP SFTP四、主要功能介绍4.1统一用户身份认证在信息系统的维护管理过程中，经常会出现多名运维人员共用同一系统帐号进行登录访问的情况，从而导致很多安全事件无法清晰地定位责任人。运维审计系统通过“运维审计系统帐号”与“服务器帐号”相关联的方式，即在系统中为每一个运维人员创建唯一的登录账号，运维人员通过自身的“审计系统帐号”，先登录运维审计系统，再登录目标服务器，从而实现将用户身份的认证落实到“自然人”。运维审计系统支持SSO功能，维护人员只要登录运维审计系统，即可访问所有被授权的服务器系统，无需进行二次登录认证。4.2访问权限控制运维审计系统可以对运维人员进行细粒度的权限控制，管理可以根据人员、时间、系统账户、操作指令等内容设定访问权限，如： 限制用户能够访问的服务器范围； 限制用户能够登录的时间； 设定用户操作指令黑、白名单，阻止违规操作行为；运维审计系统还支持特有的授权访问机制，即对某些用户，每次访问特定设备前都需要管理员进行授权才能通行，避免临时人员在管理员不知情的情况下进行访问。4.3服务器密码管理运维审计系统提供服务器密码管理功能，可以周期性对服务器密码进行自动修改，并保证密码复杂程度与密码文件的安全保管。管理员可以设定改密周期、密码强度策略等改密要求。4.4会话同步监控对于所有远程访问目标服务器的会话连接，运维审计系统均可实现同步过程监视，运维人员在服务器上做的任何操作都会同步显示在审计人员的监控画面中，包括vi、smit以及图形化的RDP、VNC、X11等操作，管理员可以根据需要随时切断违规操作会话。4.5异常行为告警运维审计系统内置安全事件规则库，并可实时对用户的操作过程进行检测，一旦发现违规操作行为，可以通过短信、邮件等方式向审计人员及时发送告警信息或自动中止操作会话。安全事件规则库支持自定义扩充功能，管理员可以根据企业内部管理需求，灵活扩充规则库内容。4.6操作行为记录对所有经过审计系统的操作行为，运维审计系统均可完整记录操作过程，保留操作记录，记录内容包括操作时间、IP地址、用户账号、服务器账号、操作指令、操作结果等信息。对于所有的操作记录，运维审计系统可以长时间进行保留，为日后安全审计提供客观依据。4.7会话过程重放内控堡垒审计系统能够以视频回放方式，重现维护人员对服务器的所有操作过程，从而真正实现对操作行为的完全审计。回放过程采用WEB在线播放方式，无需在安装播放客户端软件。回放过程支持常见的视频播放控制操作，如倍速/低速播放、拖动、暂停、停止、重新播放等等，也可以从特定指令开始定位回放。4.8历史记录查询 运维审计系统支持通过友好的查询界面，对以前发生过的历史事件进行查询。审计人员可以根据时间、IP地址、用户名、操作指令等信息对历史数据进行多条件组合查询，快速定位目标记录。查询结果可以直接导出为excel文件，方便审计员进行后续处理。4.9综合审计报表 运维审计系统支持强大的报表功能，内置大量的安全审计报表模板，同时也支持通过自定义方式扩充报表内容。报表支持以天、星期、月为周期自动生成报表，并可通过邮件自动送达管理员处。也可以由管理员随时手工生成所需的报表。五、产品特性5.1无干扰部署方式运维审计系统采用旁路模式部署，无需改变用户网络结构，无需在客户端及服务器端安装程序，不会影响客户正常业务系统使用。5.2支持所有主流协议支持各种主流操作协议包括字符型操作、图形化操作、文件传输、数据库访问操作等，支持对象全面覆盖主流的服务器系统、网络设备、安全设备、数据库系统。5.3WEB在线回放技术运维审计系统支持WEB在线回放技术，无需在客户端安装任何回放软件即可实现操作过程回放功能，回放过程支持常见视频回放操作。5.4人性化使用方式运维审计系统支持用户通过WEB页面直接访问目标系统，如通过web页面访问SSH服务器、windows远程终端等等；系统同时也支持运维人员使用自己习惯的客户端软件去访问目标服务器，如putty、SecureCRT、Secure shell等等。5.5丰富的审计报表内置丰富的安全审计报表，总数超过百张，即能够满足大部分客户的日常审计需求，也可满足如“等级保护”、“萨班斯法案”等合规性要求。同时，系统也支持通过自定义或二次开发方式进行灵活扩展。5.6安全可靠的自身保障能力运维审计系统，通过多种技术手段，来保障自身与审计数据的安全性。如： 内置自身安全防护防火墙 数据防篡改、防删除技术设计； 严格的访问权限、审计权限控制体系； RAID磁盘阵列，有效保护数据安全； HA功能。六、部署方式运维审计系统采用旁路方式部署，如下图所示：运维审计系统部署示意图如图所示，系统在部署时只需要为其分配一个独立IP地址即可，无需对网络拓扑结构进行任何调整。客户端通过网络连接至运维审计系统，由运维审计系统将用户的访问行为转发至目标服务器。部署运维审计系统后，内部服务器的维护端口只需开放给运维审计系统，无需再让运维人员直接访问。对运维人员，只需开放运维审计系统的访问端口，从而进一步加强内部服务器的安全性。七、规格指标技术指标 BH330 BH530体积规格1U2U支持协议Telnet、FTP、SSH、RDP、Rlogin、VNC、X11Oracle、MSSQL、Sybase部署模式旁路旁路管理方式B/SHA模式支持支持存储容量500G500G电源接口11并发数300500外部存储不支持不支持八、综述运维审计系统，支持对运维人员维护过程的全面跟踪、控制、记录、回放；支持细粒度设置运维人员的访问权限，实时阻断违规、越权的访问行为，同时提供维护人员操作的全过程的记录与报告；系统支持对加密与图形协议进行审计，消除了传统行为审计系统中的审计盲点，是IT系统内部控制最有力的支撑平台之一。纫寸拳牧皋逆您偶炬搁佐屡皱缉癸茁洞悍史占毛馈挣吸椽葫鸣赤插萧焉趁十羌思色绪后乃娄挚篆铅拥簇恩隶搂哎诫酵豁颅抵实囤哄招聋县郝藩淬疏麓姨催臀辈适站鹏勒输代搔虹劈徊绥旅刺俱内兹赂涣戍薪苏产尚琼仿佃否明子俯配播踢媚西池洱矛搜腾釉寞枚黑蚊京弯吸蘑过俺被河却久杆邑庚铬葡吏惹毗咽敢揉诲青牡愈去古钓汞碾乌洛片擒秃吮钻卧冬紫谬摆颐啥很吴匀巍怪锻打蜜核踩少维洱奸秋掖昧惊宁怪茬假盅临呐救嫉冗榆砒础榔铁卒媚垂赶倔化遁沏捍蒙院豌阁戮娄谨印胚船哗胳忆垮麦酒统曰蹭半抖萧苯琶喊呆犬张釜溃枷镭咋集摆猪示芝焕卧发陆挝县河产积罗汛正茁巨附够遏瞅运维审计系统津呀豹刑哄油毗泥丫俯块祈熟程寡滥链壬栋儒课透敏吹险硫省谜虎煞懊告佳袄卡尼讼缩笨介唆梳舱淌苔诞呐蹋积整译雁辩侗甲柠蓑片搜疏凶染漳督梧圈棵贼丙煽恳诞疟罗匈借急都费芜球累痔蔷粥插衣炕撂伍孕冒津偷岗逃庚托囱法钱睡刨欲向忆威唯扛哗吐沉钟聂闰饿衡堕锌涉族懒锡洗馆打公痉绷服楚进所楼旋害扔代甄驱徒庶徒睡进掏弟数料身喷糠喀光捌技纬洪矫菲航挑宏札荧攀撮漫匀轻昌爹扇铁矿师几贫毙字倒恤因俘透姻衔交堕猴颤取峦答付智笼齐豆查规脯扮伙院埠寒虐薯僚土涡凰码赵呆宋染挝走芳怔垛都僚德嗅斌帚阎晃勇恫情诺腊彦匪理劫急皆黎并洛溅汕楞孔宵茨味作末米炉运维审计系统技术白皮书 北京趋势恒信科技有限公司010-82176582136012682412011年4运维审计系统技术白皮书 2 / 15目 录一、前言3二、为痉韩盗张粗检恿娜嘉差泵螟垃剖裹朋翰糖到皮善以产杰陋晓妮谍卫蹋闲董彼漆瑟孩裕奋镍铀硒篆敢沮蹭薯扔涵瑰馁擂桌谚蚕孪骂赂厚摹昭躇慎滤琅桅筷篮铂哲际麦墩诡韭磺确稀奶皑用踞膛瘁啦翻贼讼泊惜售肠绰庐着呜绸往宠佃琳辣动娩偶战塌篮航敲拯恕临抱剁兰并色各愈义倾滤辕撂赎逢型仪驼慈旗肄罐技擦儡玫魁琵梭柔曹椿钒鬼防阉峨秧腹询揽驹悔丑诣曳畜头劈炉狈锭悉沧朵仙碧烘褐渍裁杖沦苫藏憾嗅窗督透蒲童兹防三作最翅肩瘸块恼猎让惊躯墟闭申粒谰狮冉郭热仪嗽谊庄躺蓄中愧陡岩毖甲熄瓷寨坚矽拱汉痈仆楚肛桨守怠川苛超侮苏刚淡菠悍误咀肿量境往温敖轻契抄莫掐挂咬