LogbaseV5运维安全管理系统审计管理员手册.docx

Logbase运维安全管理系统配置管理员使用手册 运维安全管理系统（SOM） 系统管理员使用手册思福迪信息技术有限公司版权声明本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于思福迪信息技术有限公司所有。未经思福迪信息技术有限公司许可，不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本手册中的信息受中国知识产权法和国际公约保护。 版权所有，翻版必究。一、 前言 1.1 文档目的 本文档编写目的主要是介绍如何安装、使用思福迪的运维安全管理系统。通过阅读本文档，读者能够正确地安装和配置运维安全管理系统，并利用该设备提供的审计功能来强化现有的安全管理制度，规范安全管理流程，达到运维安全审计的目的。 1.2 相关文档 运维安全管理系统相关的文档包括： l 运维安全管理系统（SOM）_系统管理员使用手册 l 运维安全管理系统（SOM）_运维管理员使用手册 l 运维安全管理系统（SOM）_密码管理员使用手册 l 运维安全管理系统（SOM）_审计管理员使用手册 1.3 读者对象 本文档适用于审计管理员。 1.4 约定 本文中所有图例均为实际拍摄或屏幕截取菜单名称和按钮名称的表示方法：【菜单名称】，【按钮名称】图标表示的含义：系统管理、配置的重要说明、提示信息；：相关功能配置的举例说明信息；SOM：Security Operation And Maintenancs System，该产品中文名称为运维安全管理系统，英文简称为 SOM。 RDP：Remote Desktop Protocol，远程桌面协议，RDP专门为运行在服务器上的、基于Windows 的应用程序提供网络连接上的远程显示和输入功能。Windows 2003终端服务使用的是 RDP 5.2，而Windows2008终端服务使用的是RDP 6.1，但是这两个版本是完全兼容的。我们常使用 Windows Terminal 终端连接远程服务器时就使用该协议。另外，本文档中涉及到的网络拓扑图中图标说明如下： 防火墙 交换机 运维人员 SOM 服务器二、SOM简介 2.1 运维审计必要性 2.1.1 标准及法规遵从 重要的信息安全国际标准l 信息安全管理实施指南（ISO17799/BS7799-1）2000年12月,国际标准化组织ISO正式发布了有关信息安全的国际标准ISO17799,这个标准包括信息系统安全管理和安全认证两大部分。ISO17799提供了一套综合的、由信息安全最佳措施组成的实施规则和管理要求，它广泛地涵盖了几乎所有的安全议题，非常适合于作为大、中、小组织的信息系统在大多数情况下所需的控制范围确定的参考基准。建立信息安全管理体系，能够提高组织自身的安全管理水平，将企业的安全风险控制在可接受的程度，减小信息安全遭到破坏带来的损失，保证业务的可持续运作。ISO17799关于安全审计的内容包括： 10.10 监视 10.10.1 审计日志 10.10.2 监视系统的使用 10.10.3 保护日志信息 10.10.4 管理员和操作者日志 10.10.5 错误日志 15.3 信息系统审计考虑因素 15.3.1 信息系统审核控制 15.3.2 信息系统审核工具的保护 国内信息安全标准l 计算机信息系统安全保护等级划分准则（GB17859）计算机信息系统安全保护等级划分准则是我国计算机信息系统安全等级保护系列标准的核心，是我国实行计算机信息系统安全保护的重要基础，它将计算机信息系统安全性从低到高划分了五个等级：第一级用户自主保护级、第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级、第五级访问验证保护级；二级以上系统安全保护中增加了对安全审计的要求，从主机安全、网络安全、应用安全三个层面提出了安全审计的具体要求及应有措施，并逐级增强。（详见信息系统安全等级保护基本要求之、、） 国内重点行业信息安全法规l 商业银行信息科技风险管理指引第二十五条：（三） 制定最高权限系统账户的审批、验证和监控流程，并确保最高权限用户的操作日志被记录和监察。（五） 在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项，手动或自动监控系统出现的任何异常事件，定期汇报监控情况。第二十六条：（七） 以书面或电子格式保存审计痕迹。（八） 要求用户管理员监控和审查未成功的登录和用户账户的修改。l 证券期货业信息系统安全等级保护基本要求其中对网络、主机和应用的安全审计有明确的要求。第二级中针对主机安全审计要求 “审计范围应覆盖到服务器上的每个操作系统用户和数据库用户。系统不支持该要求的，应以系统运行安全和效率为前提，采用第三方安全审计产品实现审计要求。审计记录应至少保存6个月。”第二级中针对应用安全审计要求“对应用系统重要安全事件进行审计，审计记录至少保存6个月”。第二级系统运维管理中要求“至少每季度对运行日志和审计数据进行分析，以便及时发现异常行为”。2.1.2第三方IT支持监管在IT管理过程中引入第三方支持服务已经成为一种趋势，如设备维护、故障处理、监控、安全评估、安全加固等等。然而，第三方人员管理本身已经成为一个突出问题，目前，由于第三方人员能够直接接触企业的核心数据，一纸保密协议并不能真正保护信息系统的安全性，企业目前只能充分信赖第三方人员。通过Logbase SOM能够规范第三方技术人员维护过程的规范性，确保所有的维护过程在有效的监管中进行。2.1.3远程运维安全管理目前，企业的信息系统运维过程中存在一系列的安全隐患，如：l 多位系统维护人员共用一个系统账号，当出现安全事故时相互推诿，缺乏客观、可信的依据来确定事故责任人；l 维护人员可能只需要执行简单的规定操作，但却通常需要使用拥有更多权限的系统账户，而系统自身又无法进行细粒度的授权管理，无法进行指令级或文件级别的访问权限控制；l 服务器、网络设备、数据库等资产的数量日益增多，按照管理要求定期修改密码成为耗时费力的琐事，基层运维人员是否严格遵守制度，按时完成密码安全管理工作，管理人员无法方便得知；l 当系统因某些操作发生故障时，因为缺乏对操作过程的全程记录，无法还原事故现场，确定问题原因，而使得系统恢复时间大大延长；Logbase SOM能够实现运维操作与自然人的一一对应，并对每个对象进行指令级细粒度授权、对运维过程进行全程监控、简化运维用户使用，避免上述现象发生。 2.2 产品简介 Logbase运维安全管理系统采用模块化设计，主要由以下模块组成：行为控制模块、审计模块、管理模块、存储模块、用户管理接口模块，各模块间关系如下图所示：图3.1系统架构图行为控制模块实现对网络、数据库、服务器维护过程的网络数据包代理转发、行为还原及记录、违规行为阻断功能；管理模块实现维护用户管理、主机资产管理、用户授权与访问权限管理，以及对审计记录的数据存储控制；审计模块实现行为安全审计功能，包括实时违规行为告警系统、历史记录检索系统以及报表系统；用户界面提供运维人员审计管理接口，以及运维用户的远程工具使用界面。三、管理平台的使用3.1 登录管理平台打开浏览器（推荐使用IE浏览器），在地址栏输入SOM地址，例如“55”，出现如下页面：输入系统管理员账号和密码，点击【登录】，进入管理页面。3.2 实时监控3.2.1 监控概要这里显示了该设备的基本信息，包括配置概要、运行概要、最新会话等：从该页面可以看到当前运维用户数量、运维主机数量、访问策略等信息。3.3.2 会话监控这里显示了当天会话的统计信息：在下方的【最新会话】中，可以看到当天的会话：点击【回放】，可以用视频方式查看该会话的全部操作。3.3.3 异常会话监控该页面与【会话监控】相同，显示的内容为不符合访问策略和被阻断的会话。3.3.4 操作监控这里记录了运维操作的全部指令。页面如下：同样的，点击下方的会话记录，可以查看该会话的全部指令。3.3.5 异常操作监控页面与【操作监控】一样，这里显示的是符合指令策略中“过滤”和“阻断”的命令。3.3.6 主机监控该处按运维主机排序列出了所有会话连接记录：可以使用右侧的来快速定位到目标主机。3.3.7 用户监控该处按运维用户排序列出了所有会话连接：3.3 运维审计SOM有用强大的查询和分析功能，同时自带了大量的审计报表模板，让用户方便的制作各类报表。3.3.1 审计【审计】包括【指令审计】和【会话审计】。【指令审计】页面如下：每次打开【指令审计】页面，将自动列出当前一小时内的所有会话。如需更改时间范围，请先点击。使用过滤条件，可以快速的定位到目标主机。 【指令审计】功能与【会话审计】类似：3.3.2 审计报表SOM内置了大量的报表模板，可以方便的生成各种统计或明细报表。制作报表时，先在右侧选择报表分类：，然后选择报表模板：，选择适合的模板之后，在下方输入报表条件：点击即可在【报表任务】中看到新生成的报表。SOM还支持自动定时生成报表。在选择合适的报表模板之后，点击选项卡，在下图中根据不同需要进行设置：SOM选择在每天的空闲时间制作自动报表。如选择【每天】，则在每天凌晨00:00之后开始制作上一天的自动报表；如选择【每周】，则在每周一的凌晨00:00之后开始制作上一周的自动报表；如选择【每月】，则在每月1日的凌晨00:00之后开始制作上一月的自动报表。3. 4 高级检索SOM有用强大的检索功能，可以通过不同的条件组合，精确快速的检索到想要审计的数据。属性：可选择“操作”和“会话”。入库时间：区别于“发生时间”，指收到相关数据时SOM上的时间。类型：即协议类型。插入同级条件：如需同时检索两种或两种以上协议类型的数据，可插入同级条件方便查询。插入子条件：选择一种协议类型后，可通过插入子条件来配置具体关键字。自动保存：将当前检索的条件保存为模板，方便下次查询。 同级条件和子条件的数量没有上限。3.5 显示字段配置SOM可自由的定义【操作】和【会话】的显示字段，将用户不关心的字段隐藏掉。以【操作】为例：配置显示字段后，在【实时监控】页面上将只显示勾选的字段内容。四、技术支持安全相关资料可以访问公司网站：您可以给我们的技术支持发电子邮件，Email地址是： support 获取更详尽的杭州思福迪网络安全专业服务信息、商务信息，您可通过如下方式和我们联系：杭 州地址：杭州市文一西路75号3号楼6楼 邮编：310012电话真mail：北 京地址：北京市朝阳区裕民路12号中国国际科技会展中心B509 邮编：100029电话真 海地址：上海市中山西路1878弄凯托大厦2号楼2304室 邮编：200233电话真 京地址：南京市集庆路127号宏安大厦1602 邮编：210006电话：025 -52