運(yùn)維安全管理
傳統(tǒng)的信息安全建設(shè),往往側(cè)重于對(duì)外部黑客攻擊的防范,以及網(wǎng)絡(luò)邊界的訪問控制,對(duì)信息系統(tǒng)安全威脅最大的內(nèi)部人員行為卻缺乏有效的管理。然而根據(jù)各種權(quán)威的網(wǎng)絡(luò)安全調(diào)查結(jié)果均表明,在可統(tǒng)計(jì)的安全事件中,85%以上均與內(nèi)部人員有關(guān),特別是擁有信息系統(tǒng)較高訪問權(quán)限的運(yùn)維人員,比外部入侵者更容易接觸到信息系統(tǒng)的核心設(shè)備和敏感數(shù)據(jù)、內(nèi)部人員惡意或非惡意的破壞行為更容易造成較大的破壞。其中既包括惡意行為(越權(quán)訪問、惡意破壞、數(shù)據(jù)竊?。?,也包括各種非主觀故意引起的非惡意行為(誤操作、權(quán)限濫用)。由此可見,規(guī)范各類內(nèi)部人員(網(wǎng)絡(luò)管理員、系統(tǒng)管理員、開發(fā)人員、代維人員及其他第三方廠商)的運(yùn)維操作行為,特別是對(duì)核心系統(tǒng)(服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等)的維護(hù)行為做好全面有效的事前預(yù)防、事中控制及事后審計(jì)已勢在必行。
由于現(xiàn)有管理手段的不完善,無法鑒別與認(rèn)證運(yùn)維人員的身份,網(wǎng)絡(luò)訪問權(quán)限難以控制,系統(tǒng)賬號(hào)共享的情況也普遍存在,以及加密、圖形協(xié)議的廣泛應(yīng)用,使得這些運(yùn)維管理人員的日常操作,存在操作身份不明確、操作過程不透明、操作內(nèi)容不可知、操作行為不可控、操作事故無法定位等安全風(fēng)險(xiǎn)。內(nèi)部人員的操作行為幾乎處于完全失控的狀態(tài),一旦發(fā)生事故,其后果的嚴(yán)重性將是無法預(yù)估的。所以需要有效的安全管理手段來解決這些存在的高風(fēng)險(xiǎn)和安全隱患。
運(yùn)維安全管理系統(tǒng)
運(yùn)維安全管理系統(tǒng)(簡稱Logbase SOM)是新一代操作行為管理安全審計(jì)系統(tǒng),它采用軟硬件一體化設(shè)計(jì),通過B/S方式(https)進(jìn)行管理,其主要功能為實(shí)現(xiàn)對(duì)運(yùn)維人員遠(yuǎn)程訪問操作服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫過程的認(rèn)證、授權(quán)、監(jiān)控與審計(jì),實(shí)現(xiàn)對(duì)IT運(yùn)維過程的全面監(jiān)管,做到有效的事前預(yù)防、事中控制及事后審計(jì),滿足用戶的安全管理需求。
運(yùn)維安全管理系統(tǒng)架構(gòu)圖
運(yùn)維安全管理系統(tǒng)為旁路部署,無需對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行任何調(diào)整。LogBase SOM支持單臂部署、雙臂部署、HA雙機(jī)熱備部署及分部署部署等多種部署方式,可以充分滿足不同網(wǎng)絡(luò)對(duì)審計(jì)系統(tǒng)的需求。Logbase SOM的部署應(yīng)與網(wǎng)絡(luò)訪問控制列表、企業(yè)管理制度相結(jié)合,以便取得更好的審計(jì)效果。
一、統(tǒng)一的身份認(rèn)證
在信息系統(tǒng)的運(yùn)維操作過程中,經(jīng)常會(huì)出現(xiàn)多名維護(hù)人員共用設(shè)備(系統(tǒng))賬號(hào)進(jìn)行遠(yuǎn)程訪問的情況,從而導(dǎo)致出現(xiàn)安全事件無法清晰地定位責(zé)任人。運(yùn)維安全管理系統(tǒng)為每一個(gè)運(yùn)維人員創(chuàng)建唯一的運(yùn)維賬號(hào)(主賬號(hào)),運(yùn)維賬號(hào)是獲取目標(biāo)設(shè)備訪問權(quán)利的唯一賬號(hào),進(jìn)行運(yùn)維操作時(shí),所有設(shè)備賬號(hào)(從賬號(hào))均與主賬號(hào)進(jìn)行關(guān)聯(lián),確保所有運(yùn)維行為審計(jì)記錄的一致性,從而準(zhǔn)確定位事故責(zé)任人,彌補(bǔ)傳統(tǒng)網(wǎng)絡(luò)安全審計(jì)產(chǎn)品無法準(zhǔn)確定位用戶身份的缺陷,有效解決賬號(hào)共用問題。
運(yùn)維安全管理系統(tǒng)部署后,運(yùn)維人員可以通過不同的方式對(duì)目標(biāo)對(duì)象進(jìn)行訪問、維護(hù):
WEB控件方式訪問,所有協(xié)議均可通過WEB空間方式從WEB直接發(fā)起訪問,訪問過程支持IE、Firefox、chrome等多種瀏覽器;
支持通過WEB直接調(diào)用本地客戶端方式進(jìn)行訪問;
支持本地直接使用CS客戶端直接訪問,兼容管理員原有使用習(xí)慣
運(yùn)維人員登錄Logbase SOM系統(tǒng)時(shí),系統(tǒng)會(huì)根據(jù)訪問授權(quán)列表自動(dòng)展示授權(quán)范圍的主機(jī),避免用戶訪問未經(jīng)授權(quán)主機(jī)。
此外,Logbase SOM還支持在運(yùn)維過程中要求其他運(yùn)維人員進(jìn)行協(xié)同操作的功能,在協(xié)同操作模式下,2名運(yùn)維人員可以共同操作同一個(gè)訪問會(huì)話界面;
四、設(shè)備密碼管理功能系統(tǒng)內(nèi)置了多個(gè)運(yùn)維工作流程管理功能,IT部門能夠通過運(yùn)維工作流功能規(guī)范IT運(yùn)維過程,工作流功能包含以下具體流程:
a)工作任務(wù)管理流程:
1. 任務(wù)發(fā)起人通過系統(tǒng)下發(fā)工作任務(wù);
2. 任務(wù)接收人在個(gè)人消息中心實(shí)時(shí)接收工作任務(wù)信息;
3. 任務(wù)接收人完成工作,在WEB界面中進(jìn)行任務(wù)回復(fù);
4. 任務(wù)發(fā)起人接收到回復(fù)信息后,對(duì)任務(wù)執(zhí)行情況進(jìn)行確認(rèn),結(jié)束工作任務(wù)流程;
b)審計(jì)流程:
審計(jì)流程包含異常事件處理流程及報(bào)表審計(jì)流程兩部分,審計(jì)人員可以查看相關(guān)異常事件及報(bào)表并添加相應(yīng)的審計(jì)意見,否則該事件會(huì)一直處于未處理狀態(tài),以提醒審計(jì)人員對(duì)重點(diǎn)事件進(jìn)行關(guān)注并審計(jì)。
系統(tǒng)支持主機(jī)系統(tǒng)賬號(hào)的密碼維護(hù)托管功能,系統(tǒng)支持自動(dòng)定期修改windows、Linux、Unix、cisco、huawei等設(shè)備的賬號(hào)密碼。
五、批量執(zhí)行功能
系統(tǒng)支持自動(dòng)化在多臺(tái)機(jī)器上批量執(zhí)行指令。通過批量執(zhí)行功能,管理員可以方便實(shí)現(xiàn)對(duì)多臺(tái)主機(jī)的升級(jí)、備份等工作任務(wù)。
六、便利及細(xì)粒度訪問授權(quán)
系統(tǒng)通過集中統(tǒng)一的訪問控制和細(xì)粒度的命令級(jí)授權(quán)策略,確保每個(gè)運(yùn)維用戶擁有的權(quán)限是完成任務(wù)所需的最合理權(quán)限。
系統(tǒng)支持根據(jù)需求對(duì)特殊訪問與操作進(jìn)行二次審批功能,該功能可以進(jìn)一步加強(qiáng)對(duì)第三方人員訪問或關(guān)鍵設(shè)備訪問操作的控制力度,確保所有訪問操作都在實(shí)時(shí)監(jiān)控過程中進(jìn)行。
系統(tǒng)支持根據(jù)已設(shè)定的訪問控制策略,自動(dòng)檢測日常運(yùn)維過程中發(fā)生的越權(quán)訪問、違規(guī)操作等安全事件,系統(tǒng)能夠根據(jù)安全事件的類型、等級(jí)等條件進(jìn)行自動(dòng)的告警或阻斷處理。
阻斷未經(jīng)授權(quán)用戶訪問主機(jī);
阻斷從異常客戶端、異常時(shí)間段發(fā)起的訪問行為;
阻斷指令黑名單的操作行為;
阻斷方式支持:斷開會(huì)話、忽略指令;
九、實(shí)時(shí)操作過程監(jiān)控告警方式支持:WEB界面告警、短信告警、郵件告警等。
對(duì)于所有遠(yuǎn)程訪問目標(biāo)主機(jī)的會(huì)話連接,Logbase審計(jì)系統(tǒng)均可實(shí)現(xiàn)操作過程同步監(jiān)視,運(yùn)維人員在遠(yuǎn)程主機(jī)上做的任何操作都會(huì)同步顯示在審計(jì)人員的監(jiān)控畫面中,管理員可以隨時(shí)手工中斷違規(guī)操作會(huì)話。
十、歷史記錄查詢
運(yùn)維安全管理系統(tǒng)支持兩種查詢功能,快速查詢(單一條件)和高級(jí)查詢(多重組合條件),審計(jì)人員可以根據(jù)操作時(shí)間、源、目標(biāo)IP地址、用戶名(運(yùn)維、主機(jī))、操作指令等條件對(duì)歷史數(shù)據(jù)進(jìn)行查詢,快速定位歷史事件。
十一、歷史操作圖像情況運(yùn)維安全管理系統(tǒng)能夠以視頻回放方式,可根據(jù)操作記錄定位回放或完整重現(xiàn)維護(hù)人員對(duì)遠(yuǎn)程主機(jī)的整個(gè)操作過程,從而真正實(shí)現(xiàn)對(duì)操作內(nèi)容的完全審計(jì)。
十二、綜合審計(jì)報(bào)告
系統(tǒng)擁有強(qiáng)大的報(bào)表功能,內(nèi)置能夠滿足不用客戶審計(jì)需求的安全審計(jì)報(bào)表模板,支持自動(dòng)或手工方式生成運(yùn)維審計(jì)報(bào)告,便于管理員全面分析運(yùn)維的合規(guī)性。
十三、審計(jì)數(shù)據(jù)存儲(chǔ)管理
系統(tǒng)支持自動(dòng)化審計(jì)數(shù)據(jù)存儲(chǔ)管理,管理員可以對(duì)審計(jì)數(shù)據(jù)進(jìn)行手工備份、導(dǎo)出,也可以設(shè)定自動(dòng)歸檔策略進(jìn)行自動(dòng)歸檔。