運維安全管理
傳統(tǒng)的信息安全建設,往往側重于對外部黑客攻擊的防范,以及網絡邊界的訪問控制,對信息系統(tǒng)安全威脅最大的內部人員行為卻缺乏有效的管理。然而根據各種權威的網絡安全調查結果均表明,在可統(tǒng)計的安全事件中,85%以上均與內部人員有關,特別是擁有信息系統(tǒng)較高訪問權限的運維人員,比外部入侵者更容易接觸到信息系統(tǒng)的核心設備和敏感數據、內部人員惡意或非惡意的破壞行為更容易造成較大的破壞。其中既包括惡意行為(越權訪問、惡意破壞、數據竊取),也包括各種非主觀故意引起的非惡意行為(誤操作、權限濫用)。由此可見,規(guī)范各類內部人員(網絡管理員、系統(tǒng)管理員、開發(fā)人員、代維人員及其他第三方廠商)的運維操作行為,特別是對核心系統(tǒng)(服務器、網絡設備、安全設備、數據庫等)的維護行為做好全面有效的事前預防、事中控制及事后審計已勢在必行。
由于現有管理手段的不完善,無法鑒別與認證運維人員的身份,網絡訪問權限難以控制,系統(tǒng)賬號共享的情況也普遍存在,以及加密、圖形協議的廣泛應用,使得這些運維管理人員的日常操作,存在操作身份不明確、操作過程不透明、操作內容不可知、操作行為不可控、操作事故無法定位等安全風險。內部人員的操作行為幾乎處于完全失控的狀態(tài),一旦發(fā)生事故,其后果的嚴重性將是無法預估的。所以需要有效的安全管理手段來解決這些存在的高風險和安全隱患。
運維安全管理系統(tǒng)
運維安全管理系統(tǒng)(簡稱Logbase SOM)是新一代操作行為管理安全審計系統(tǒng),它采用軟硬件一體化設計,通過B/S方式(https)進行管理,其主要功能為實現對運維人員遠程訪問操作服務器、網絡設備、數據庫過程的認證、授權、監(jiān)控與審計,實現對IT運維過程的全面監(jiān)管,做到有效的事前預防、事中控制及事后審計,滿足用戶的安全管理需求。
運維安全管理系統(tǒng)架構圖
運維安全管理系統(tǒng)為旁路部署,無需對網絡拓撲結構進行任何調整。LogBase SOM支持單臂部署、雙臂部署、HA雙機熱備部署及分部署部署等多種部署方式,可以充分滿足不同網絡對審計系統(tǒng)的需求。Logbase SOM的部署應與網絡訪問控制列表、企業(yè)管理制度相結合,以便取得更好的審計效果。
一、統(tǒng)一的身份認證
在信息系統(tǒng)的運維操作過程中,經常會出現多名維護人員共用設備(系統(tǒng))賬號進行遠程訪問的情況,從而導致出現安全事件無法清晰地定位責任人。運維安全管理系統(tǒng)為每一個運維人員創(chuàng)建唯一的運維賬號(主賬號),運維賬號是獲取目標設備訪問權利的唯一賬號,進行運維操作時,所有設備賬號(從賬號)均與主賬號進行關聯,確保所有運維行為審計記錄的一致性,從而準確定位事故責任人,彌補傳統(tǒng)網絡安全審計產品無法準確定位用戶身份的缺陷,有效解決賬號共用問題。
運維安全管理系統(tǒng)部署后,運維人員可以通過不同的方式對目標對象進行訪問、維護:
WEB控件方式訪問,所有協議均可通過WEB空間方式從WEB直接發(fā)起訪問,訪問過程支持IE、Firefox、chrome等多種瀏覽器;
支持通過WEB直接調用本地客戶端方式進行訪問;
支持本地直接使用CS客戶端直接訪問,兼容管理員原有使用習慣
運維人員登錄Logbase SOM系統(tǒng)時,系統(tǒng)會根據訪問授權列表自動展示授權范圍的主機,避免用戶訪問未經授權主機。
此外,Logbase SOM還支持在運維過程中要求其他運維人員進行協同操作的功能,在協同操作模式下,2名運維人員可以共同操作同一個訪問會話界面;
四、設備密碼管理功能系統(tǒng)內置了多個運維工作流程管理功能,IT部門能夠通過運維工作流功能規(guī)范IT運維過程,工作流功能包含以下具體流程:
a)工作任務管理流程:
1. 任務發(fā)起人通過系統(tǒng)下發(fā)工作任務;
2. 任務接收人在個人消息中心實時接收工作任務信息;
3. 任務接收人完成工作,在WEB界面中進行任務回復;
4. 任務發(fā)起人接收到回復信息后,對任務執(zhí)行情況進行確認,結束工作任務流程;
b)審計流程:
審計流程包含異常事件處理流程及報表審計流程兩部分,審計人員可以查看相關異常事件及報表并添加相應的審計意見,否則該事件會一直處于未處理狀態(tài),以提醒審計人員對重點事件進行關注并審計。
系統(tǒng)支持主機系統(tǒng)賬號的密碼維護托管功能,系統(tǒng)支持自動定期修改windows、Linux、Unix、cisco、huawei等設備的賬號密碼。
五、批量執(zhí)行功能
系統(tǒng)支持自動化在多臺機器上批量執(zhí)行指令。通過批量執(zhí)行功能,管理員可以方便實現對多臺主機的升級、備份等工作任務。
六、便利及細粒度訪問授權
系統(tǒng)通過集中統(tǒng)一的訪問控制和細粒度的命令級授權策略,確保每個運維用戶擁有的權限是完成任務所需的最合理權限。
系統(tǒng)支持根據需求對特殊訪問與操作進行二次審批功能,該功能可以進一步加強對第三方人員訪問或關鍵設備訪問操作的控制力度,確保所有訪問操作都在實時監(jiān)控過程中進行。
系統(tǒng)支持根據已設定的訪問控制策略,自動檢測日常運維過程中發(fā)生的越權訪問、違規(guī)操作等安全事件,系統(tǒng)能夠根據安全事件的類型、等級等條件進行自動的告警或阻斷處理。
阻斷未經授權用戶訪問主機;
阻斷從異常客戶端、異常時間段發(fā)起的訪問行為;
阻斷指令黑名單的操作行為;
阻斷方式支持:斷開會話、忽略指令;
九、實時操作過程監(jiān)控告警方式支持:WEB界面告警、短信告警、郵件告警等。
對于所有遠程訪問目標主機的會話連接,Logbase審計系統(tǒng)均可實現操作過程同步監(jiān)視,運維人員在遠程主機上做的任何操作都會同步顯示在審計人員的監(jiān)控畫面中,管理員可以隨時手工中斷違規(guī)操作會話。
十、歷史記錄查詢
運維安全管理系統(tǒng)支持兩種查詢功能,快速查詢(單一條件)和高級查詢(多重組合條件),審計人員可以根據操作時間、源、目標IP地址、用戶名(運維、主機)、操作指令等條件對歷史數據進行查詢,快速定位歷史事件。
十一、歷史操作圖像情況運維安全管理系統(tǒng)能夠以視頻回放方式,可根據操作記錄定位回放或完整重現維護人員對遠程主機的整個操作過程,從而真正實現對操作內容的完全審計。
十二、綜合審計報告
系統(tǒng)擁有強大的報表功能,內置能夠滿足不用客戶審計需求的安全審計報表模板,支持自動或手工方式生成運維審計報告,便于管理員全面分析運維的合規(guī)性。
十三、審計數據存儲管理
系統(tǒng)支持自動化審計數據存儲管理,管理員可以對審計數據進行手工備份、導出,也可以設定自動歸檔策略進行自動歸檔。
