江南科友运维安全审计系统技术白皮书.doc

HAC运维安全审计系统 技术白皮书1.1 审计要求针对安然、世通等财务欺诈事件，2002年出台的公众公司会计改革和投资者保护法案（Sarbanes-Oxley Act）对组织治理、财务会计、监管审计制定了新的准则，并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。SOA促使COSO内部控制-综合框架及其他框架（如：加拿大的CoCo、英国的Cadbury报告、IIA的SAC、ISACA的COBIT）作为内部控制的标准已获广泛认同。通过促进组织建立完善的内部控制与全面风险管理体系，为有效的组织治理奠定了良好的基础。与此同时，国内相关职能部门亦在指导行业内部控制与风险管理方面进行了有益的探索。如：内部控制审计准则的制定，商业银行、证券公司、保险公司、上市公司、中央企业等内部控制指引、合规风险管理或全面风险管理指引的颁布，都对行业完善内部控制与健全风险管理体系起到了极大的推动作用。行业监管与合规性遵循要求引导对审计定位与功效的重新审视。审计作为一种独立、客观的活动，通过系统化和规范化的方法,评价和监控组织的风险管理、控制和治理过程的效果，其目的在于为组织增加价值和提高组织的运作效率，帮助组织实现其目标。信息系统作为组织实现其经营目标的重要设施，其风险管理与安全控制需要得到有力保障。由于信息系统的脆弱性、技术的复杂性、操作的人为因素，在设计以预防、减少或消除潜在的风险或风险暴露的安全控制时，还应考虑运维管理与操作监控机制以预防、发现错误或违规事件，对IT风险进行事前防范、事中控制、事后监督和纠正的组合控制。IT审计作为预防性控制的有效补充，并检查、监控控制的适当性与充分性，在信息科技风险管理中发挥极重要作用。对IT系统进行审计，是控制内部风险的一个重要手段，但大型机构的IT系统构成复杂，操作人员众多，如何有效地执行审计工作，是长期困扰各组织信息科技和风险稽核部门的一个重大课题。1.2 解决之道对任一组织而言，采用基于计算机的审计技术或工具（CAATs, Computer Assisted Audit Techniques/Tools）无疑是实现监管信息化、提升工作绩效的重要途径。但首先需要解决的问题是：组织需要关心哪些类型的审计信息？哪些信息或行为对组织尤为关键？目前通用的审计工具大多从网络层面或服务器日志层面获取较为庞杂的信息，往往会导致关键的管理信息或敏感操作湮没于日常业务数据中，或无法追溯操作行为轨迹、了解操作行为意图，可能影响审计的有效性或效率。江南科友科技因应市场对IT运维审计的需求，集其多年信息安全领域运维管理与安全服务的经验，结合行业最佳实践与合规性要求，率先推出基于硬件服务器平台的“运维安全审计系统（HAC）”，针对于核心资产的运维管理，再现关键行为轨迹，探索操作意图，集全局实时监控与敏感过程回放等功能特点，有效解决了信息化监管中的一个核心问题。1.2.1 HAC简介“运维安全审计系统（HAC）” 目标是为组织IT系统核心服务器的运维操作提供强有力的监控、审计手段，使其切实满足内控管理中的合规性要求。HAC可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计，对策略配置、系统维护、内部访问等进行详细的记录，提供细粒度的审计，并支持操作过程的全程回放。HAC弥补了传统审计系统的不足，将运维审计由事件审计提升为内容审计，并将身份认证、授权、管理、审计有机地结合，保证只有合法用户才能使用其拥有运维权限的关键资源。HAC为组织在IT操作风险控制、内控安全和合规性等方面提供一套完善、有效的审计手段。1.2.2 应用环境HAC支持Telnet、FTP、SSH、SFTP、RDP（Windows Terminal）、Xwindows、VNC、AS400、HTTP、HTTPS等多种通信协议，支持IBM AIX、Digital UNIX、HP UNIX、SUN Solaris、SCO UNIX、LINUX、WINDOWS等多种操作系统。可广泛应用于金融、政府、电信、证券、邮政、税务、海关、交通等安全需求较高的行业。1.2.3 认证资质“运维安全审计系统（HAC）”已获公安部颁发的计算机信息系统安全专用产品销售许可证。“运维安全审计系统（HAC）” 已获国家保密局颁发的涉密信息系统产品检测证书“运维安全审计系统（HAC）” 已获中国信息安全测评中心颁发的信息技术产品安全测评证书1.3 系统功能1.3.1 身份认证与授权 完整的身份管理和认证为了确保合法用户才能访问其拥有权限的后台资源，解决IT系统中普遍存在的交叉运维而无法定位到具体人的问题，满足审计系统“谁做的”要求，系统提供一套完整的身份管理和认证功能。 支持运维用户静态口令、动态口令、LADP、AD域认证方式； 支持密码强度、密码有效期、口令尝试死锁、用户激活等安全管理功能； 支持用户分组管理； 支持用户信息导入导出，方便批量处理。 灵活、细粒度的授权系统提供基于用户、运维协议、目标主机、运维时间段（年、月、日、周、时间）、会话时长、运维客户端IP等组合的授权功能，实现细粒度授权功能，满足用户实际授权的需求。 提供基于用户到资源的授权 提供基于用户组到资源的授权 提供基于用户到资源组的授权 提供基于用户组到资源组的授权1.3.2 账号集中管理及单点登录 账号口令集中管理系统支持对后台各类资源（主机、服务器、网络设备、数据库、安全应用等）的账号口令进行统一管理，即后台资源的账号口令由系统托管，用户登录系统后，系统根据用户权限分配后台资源的使用权。 SSO单点登录SSO单点登录功能是运维人员通过HAC认证和授权后，HAC根据配置策略实现后台资源的自动登录。此功能提供了运维人员到后台资源帐户的一种可控对应，同时实现了对后台资源帐户的口令统一保护。针对不同主机、网络和安全设备的特性，HAC提供托管和只托不管两种方式实现运维用户自动登录后台资源。1、托管方式实现自动登录后台资源 HAC自动获取后台资源帐户信息； 根据口令安全策略，HAC定期自动修改后台资源帐户口令； 根据管理员配置，实现运维用户与后台资源帐户对应，限制帐户的越权使用； 运维用户通过HAC认证和授权后，HAC根据分配的帐户实现自动登录后台资源。2、只托不管方式实现自动登录后台资源 管理员将后台资源帐户及口令配置到HAC中； 根据管理员配置，实现运维用户与后台资源帐户对应，限制帐户的越权使用； 运维用户通过HAC认证和授权后，HAC根据分配的帐户实现自动登录后台资源。 密码打印HAC对于被管理设备的口令能够加密保存，支持被修改口令的打印输出，配合密码信封可以打印形成密件，便于密码保管。 密函打印为进一步保证账号口令的安全，配合专用的密函打印机，HAC可对被管理设备的账号口令实现密函打印功能，该功能必须经过二次授权复核，打印格式可由用户自定义。1.3.3 运维事件事中控制 实时监控 监控正在运维的会话，信息包括运维用户、运维客户端地址、资源地址、协议、开始时间等； 监控后台资源被访问情况； 提供在线运维操作的实时监控功能。针对命令交互性协议可以图像方式实时监控正在运维的各种操作，其信息与运维客户端所见完全一致。 违规操作实时告警与阻断针对运维过程中可能存在潜在操作风险，HAC根据用户配置的安全策略实施运维过程中的违规操作检测，对违规操作提供实时告警和阻断，从而达到降低操作风险及提高安全管理与控制的能力。 字符型协议的操作可以通过命令行配置进行规则匹配； 图形化界面的操作可以通过对键盘输入或界面上的关键字进行检索实现规则匹配； 提供用户可配置的告警规则以实现告警与阻断； 告警规则支持告警级别、告警分类和与后台资源绑定； 在具有自动登录功能的HAC上，可实现告警规则与后台资源的帐户级别进行绑定，针对不同用户实施不同的规则，从而提供更细粒度的操作控制； 告警动作支持会话阻断、审计平台告警、邮件告警、Syslog告警、SNMP TRAP告警等。1.3.4 运维事件事后审计 完整记录网络会话过程 系统提供运维协议Telnet、FTP、SSH、SFTP、RDP（Windows Terminal）、Xwindows、VNC、AS400、Http、Https等网络会话的完整会话记录，完全满足内容审计中信息百分百不丢失的要求。 会话信息包括运维用户、运维地址、后台资源地址、资源名、协议、起始时间、终止时间、流量大小信息； 会话信息包括运维过程中所有进出后台资源的数据。 详尽的会话审计与回放 运维操作审计以会话为单位，提供当日和条件查询定位。条件查询支持按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式。 针对命令交互方式的协议，提供逐条命令及相关操作结果的显示； 提供图像形式的回放，真实、直观、可视地重现当时的操作过程； 回放提供快放、慢放、拖拉等方式，方便快速定位和查看； 针对命令交互方式的协议，提供按命令进行定位回放； 针对RDP、Xwindows、VNC协议，提供按时间进行定位回放。 完备的审计报表功能HAC提供运维人员操作，管理员操作以及违规事件等多种审计报表。 提供日常报表，包括今日会话、今日自审计、用户信息、资源信息、权限信息、规则信息、管理员角色信息等报表； 提供会话报表，可根据用户选定时间、用户、资源形成会话报表； 自审计操作报表，可根据用户选定时间、管理员、模块形成自审计报表； 告警报表，可根据告警类别、级别、资源、运维用户、协议、时间等条件形成报表； 综合统计报表，可根据时间、资源、用户等条件形成综合统计报表，报表中包括概要信息、每个用户操作信息、每个资源被操作信息等。1.3.5 兼容网管平台HAC运维审计作为IT运维流程中的一个部分，能够遵循ITIL满足稽核与审计的要求，系统能够通过定制开发与现有ITSM、SOC、网管平台进行集成，满足大型网络系统的管理要求。基于ITIL要求HAC能够支持： 可支持ITSM（IT服务管理） HAC可与ITSM相结合，为其优化变更管理流程，加强对变更管理中的风险控制。 支持对变更工单录入操作，实现变更过程的监控和审计。 支持对现有运维变更管理系统快速集成。 支持变更工单号事后审计功能。 可支持双人复核操作 支持运维过程对双人操作流程介入。 支持会话日志记录双人复核操作审批人、时间、操作符合命令。1.3.6 应用发布针对用户独特的运维需求，HAC推出了业界首创的虚拟桌面主机安全操作系统设备（VDH, Virtual Desktop Host），通过VDH配合HAC进行审计能够完全达到审计、控制、授权的要求， 运维操作全程可控，可做到授权后应用只能访问指定服务，最大降低对后台目标服务集群的可能安全风险。 可对整个运维操作过程进行完整记录，实现详尽的会话审计和回放。 可依据用户要求快速实现新应用的发布和审计。 可支持对数据库维护工具、pcAnywhere、DameWare等不同工具的运维操作进行监控和审计。1.4 系统管理1.4.1 管理架构 HAC能够通过B/S模式对设备进行基本的管理、配置和日志查询审计； HAC还可以采用B/S+C/S模式进行管理与审计、专业的审计平台能够满足对报表要求严格的客户需求。1.4.2 权限管理 四权分立，系统管理员、运维管理员、口令管理员和审计员，可定制管理员角色。； 支持管理员静态口令、动态口令、证书KEY等认证方式； 支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能。1.4.3 运维模式 可支持Portal统一登录，并兼容终端C/S客户端连接设备。1.4.4 其他功能 HAC系统提供双机热备，保证系统高可用； HAC提供日志手工和自动备份，满足审计日志存储周期长要求； HAC的界面中能够进行设备性能监控以及对设备进行网络维护； 系统日志重定向，备份日志支持离线查看； NTP支持保证所有设备的时钟能够同步，提高审计准确性； SNMP支持保证HAC可以被网管系统进行管理； HAC提供自审计，能够对设备管理员对HAC的操作行为进行详细记录。1.5 系统部署鉴于企业网络及管理架构的复杂性，HAC系统提供了灵活的部署方式，既可以采取串连模式，也可以采用单臂模式接入到企业内部网络中。采用串连模式部署时，HAC具备一定程度上的网络控制的功能，可提高核心服务器访问的安全性；采用单臂模式部署时，不改变网络拓扑，安装调试过程简单，可按照企业网络架构的实际情况灵活接入。图2：单臂模式接入图3：串联模式接入无论串连模式还是在单臂模式，通过HAC访问IT基础服务资源的操作都将被详细的记录和存储下来，作为审计的基础数据。HAC的部署不会对业务系统、网络中的数据流向、带宽等重要指标产生负面影响，无需在核心服务器或操作客户端上安装任何软硬件系统。1.6 系统特点1.6.1 全面的运维审计 系统采用协议分析、基于数据包还原虚拟化技术，实现操作界面模拟，将所有的操作转换为图形化界面予以展现，实现100%审计信息不丢失。 针对运维操作图形化审计功能的展现外，同时还能对字符进行分析，包括命令行操作的命令以及回显信息和非字符型操作时键盘、鼠标的敲击信息。 系统支持的审计协议以及工具包括： 终端命令操作： Telnet、SSH Windows图形： RDP、VNC、pcAnywhere、DameWare等 Unix/Linux图形：Xwindows AS400主机图形：AS400 文件上传和下载： FTP、SFTP 基于BS的管理操作：Http、Https 数据库管理工具：PLSql等所有工具1.6.2 更严格的审计管理 系统提供四权分立的管理模式，包括系统管理员、运维管理员、口令管理员和审计员四种管理员角色，可灵活定制管理员角色，进一步细化管理员权限，从技术上保证系统管理安全。 系统集认证、授权、管理和审计有机地集成为一体，有效地实现了事前预防、事中控制和事后审计。 业界首创的虚拟桌面主机安全操作系统设备（VDH, Virtual Desktop Host），通过VDH配合HAC进行审计能够完全达到审计、控制、授权的要求。1.6.3 高效的处理能力 系统具有业界最强的协议转发处理能力，摒弃业绩常用的协议转发“黑盒子”，能够对Telnet、FTP、SSH、SFTP、RDP（Windows Terminal）、Xwindows、VNC、AS400、HTTP、HTTPS协议进行完整的透明转发，特别是对图形化操作协议的转发性能远远优于其它同类型产品1.6.4 良好的可扩展性与兼容性 系统软硬件均采用模块化设计，不但提高设备稳定性而且易于扩展； 系统管理不但能够通过B/S完成基本的配置要求，还可以通过专业的审计平台实现更细粒度的管理与审计。 运维人员登陆可支持Portal统一登录，并兼容终端C/S客户端连接设备； 系统不但能够与用户的现有运维流程紧密结合，还能够与用户现有的SOC、ITSM等运维以及监控平台进行整合，完全融入到现有的运维管理； 江南科友具有强大研发实力，不但能为客户提供长期的产品软件更新还能按照客户的实际需求进行定制开发。1.6.5 灵活的部署方式及简便的操作配置 系统支持单臂、串接部署模式； 系统部署与运行均不影响业务正常运行； 支持基于B/S实现系统管理、配置； 审计平台提供了功能齐全、操作方便、展现良好的审计管理功能； 系统具有配置导航，即使首次配置产品，也可以在5分钟内实现基本功能配置，达到上线要求。1.6.6 丰富的报表展现 系统提供多种报表展示的同时还能够提供客户自定义报表生成； 系统提供多种报表格式，包括PDF、Word、Execl等 系统提供列表、饼状图、柱状图等多种图表，动态展现运维趋势，便于分析与管理。1.6.7 完善的系统安全设计 精简的内核和优化的TCP/IP协议栈； 基于HTTPS/SSL的自身安全管理与审计； 严格的安全访问控制和管理员身份认证支持强认证； 审计信息加密存储； 口令信息加密存储与密码打印； 口令信息可以与江南科友专业的金融数据加密机集成，提高口令加密存储的安全强度而且可以支持密函打印； 完善的审计信息备份机制； 完整全面的自审计功能；1.7 技