索特安全访问网关(SSAG)4.0白皮书.docx

Security Access Gateway索特安全访问网关4.0 白皮书目录一、为什么需要运维审计系统3二、产品实现32.1 应用场景42.2 产品性能52.3 硬件规格6三、产品功能详述63.1 资源管理63.2 用户管理63.3 访问控制73.4 虚拟应用服务器（AVS）83.5 操作审计83.6 自助服务123.7 系统管理12四、产品特点124.1 界面友好，轻松上手124.2 全面的协议和平台支持，完整细致134.3 基于搜索引擎技术的高效审计134.4 智能的知识库分析系统144.5 基于合规性的审计报表14五、给客户带来的价值15六、关于我们156.1 公司简介156.2 联系我们16一、 为什么需要运维审计系统近年来，随着互联网的高速发展及信息技术的普及化应用，企业信息系统所面临的威胁和风险也越来越大，外部黑客或不法分子虎视眈眈，内部违规或犯罪事件正呈上升趋势。据CSI计算机犯罪调查，在有预谋的信息犯罪中，80%以上是内部人员作案。针对安然、世通等财务欺诈事件，2002 年出台的公众公司会计改革和投资者保护法案（Sarbanes-Oxley Act）对组织治理、财务会计、监管审计制定了新的准则，并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。2008 年，我国由财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范并于今年发布了企业内部控制配套指引。与此同时，国内其他相关职能部门亦在内部控制与风险管理方面制定了相应的指引和规范。越来越多的法案和规范，也给企事业单位在安全运维审计的道路上带来了更多更高的要求，除了要满足一种或几种法案、规范的要求外，还面临着根据自己的实际安全需求，实现满足自身安全审计需求的合规性审计标准。比如，商业银行则面临Basel协议的合规性要求；政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求等。由于信息系统的脆弱性、共享账号的使用、访问控制策略不严格、无法实现对用户操作的审计，要想根本解决内部人员违规或作案问题并符合相关法案和规范以及合规性要求，进而完善信息科技内部控制体系，只有加强信息科技审计制度才是治本之法。因此引入运维审计系统以预防、发现错误或违规事件，对 IT 风险进行事前防范、事中控制、事后监督和纠正的组合管理是十分必要的。二、 产品实现索特科技的安全访问网关（以下简称“SAG”）是针对解决企业 IT 系统运营维护安全而推出的安全运维审计产品。通过对服务器、网络设备、安全设备、应用系统等目标资源的操作行为进行记录、控制和审计；能够实时、完整地记录IT维护人员的操作；能够通过设定访问策略来控制IT维护人员的访问目标和可以使用的操作命令，并提供灵活方便的记录检索和回放功能，还可根据用户需要出具合规性报表。从而达到“事先授权、事中监控、事后审计”的目标，保障企业IT系统稳定、可靠地运行。 SAG系统体系架构图2.1 应用场景SAG采用堡垒机模式，部署方式十分简单，无需对原有网络结构做任何改变。同时支持双机热备（HA）来保证系统的可靠性，同时支持数据同步保证了数据的完整性和准确性。SAG的部署应该和企业的规章制度、网络控制一起合作，才能收到最好的效果。在实施过程中，要从企业的规章制度上来要求所有维护人员将SAG作为各类设备维护登录的唯一入口，并从网络层面进行有效地控制。使维护人员无法绕过SAG直接访问目标系统，以提高维护操作的安全性，减少安全事故发生。 SAG维护方式示意图2.2 产品性能SAG-STD（标准型）SAG-ENT（企业型）标准协议类型SSH/TELNET/FTP/SFTPSSH/TELNET/FTP/SFTP/HTTP/HTTPS/RDP/VNC/X11可扩展功能/虚拟应用平台（AVS）/基于AVS的数据库审计部署方式堡垒机堡垒机目标资源许可包含100个目标资源许可（可扩展）包含200个目标资源许可（可扩展）目标资源扩展支持支持字符并发连接数10001000图形并发连接数/100WEB并发连接数/1000日志存储量6个月6个月高可用性支持HA支持HA单点登录(SSO)支持支持中文WEB管理界面支持支持2.3 硬件规格SAG-STD（标准型）SAG-ENT（企业型）机架占用2U2UCPUIntel多核处理器Intel多核处理器网络接口数量2口，可扩展至8口2口，可扩展至8口网络接口类型10/100/1000M Base-TRJ-45接口10/100/1000M Base-TRJ-45接口内存容量4G4G硬盘容量1TB，支持1个硬盘扩展1TB，支持1个硬盘扩展外接存储支持支持物理尺寸42.5CM 9CM48.5CM42.5CM 9CM48.5CM产品重量10.7KG10.7KG电源功率400W（最大值）400W（最大值）交流输入电压100-240V100-240V交流输入电流1.5-3A1.5-3A工作温度0-55C0-55C存储温度-20-70C-20-70C环境湿度10%-95%（非凝结）10%-95%（非凝结）可靠性(MTBF)50000小时50000小时三、 产品功能详述3.1 资源管理索特SAG可对网络设备、安全设备、主机、数据库、应用系统等对象进行维护，可实现对资源的基本信息进行登记、查询、编辑、删除、批量导入、密码托管等功能，支持对资源进行分组管理。3.2 用户管理SAG支持角色及权限管理，各角色功能定位明晰，SAG有系统管理员、策略管理员、审计管理员、普通用户四种角色。 u 系统管理员：系统初始化时默认的管理员admin具有系统所有权限；u 策略管理员：负责用户的开设/停止/删除等用户维护工作，并将用户和资源绑定到相应的组，实现用户授权，指定哪些用户可以用何种方式或者应用访问哪些资源；u 审计管理员：具备审计用户的会话、登录日志、操作日志等权限，并可对审计日志进行会话回放和检索，查看相应的审计报表。u 密码管理员：具备修改资产密码，制定密码安全策略的权限。同时负责密码文件维护的工作。u 网关用户：为一般运维用户，按照授权的协议或者应用访问可管理的设备。账号管理u 支持对账号生命周期管理，包括账号创建、账号修改、状态调整、账号删除、账号查询等功能；u 支持对用户进行分组管理，可以对应为用户部门；u 支持允许登录IP范围，账号生存周期的管理；身份认证u 支持基于用户名/口令的认证方式；u 支持通过radius和其他双要素认证；u 支持记录用户真实信息，包括姓名，单位，部门，职务，电话，邮件等信息；3.3 访问控制访问策略控制是保证接入安全的重要手段，它负责对维护人员访问被管资源的过程，对接入后的访问请求、访问过程以及访问时间进行安全控制管理。一站式快速授权u 支持基于用户/用户组（角色）、资源/资源组的访问控制策略；u 支持分别对资源和应用的快速授权；u 支持预定义策略，可以自动覆盖，支持快速查询；u 支持可现场创建用户和资源；u 支持采用字符、图形方式维护设备的单点登录功能。策略控制u 支持对资源账号、应用账号的控制；u 支持对时间和协议的控制；u 支持对操作命令及命令参数进行黑名单方式的控制。u 支持基于策略的密码托管。3.4 虚拟应用服务器（AVS）对于Windows 应用程序可通过虚拟应用服务器（AVS）进行集中发布和审计，对AVS上发布常用数据库客户端应用实现SQL语句级的数据库审计，实现常用应用的单点登录以及对应用访问被管资源的控制。AVS为一个软件，需要在sag之外额外购买一台windows服务器来安装该软件，另外AVS需要购买相应数量的终端服务license。支持Windows 2008系统，支持Windows 应用程序的集中发布和管理，实现远端窗口在本地无缝展现；支持在AVS上发布常用数据库客户端应用实现SQL语句级对数据库审计；目前支持应用程序sqlplus，plsql，toad，winsql，db2，quest的单点登录功能；支持应用程序访问被管资源的控制。3.5 操作审计用户通过SAG访问资源的操作行为将被记录，用于安全审计和追踪依据，审计记录能够通过各种条件进行查询，可以及时发现非法操作，对非法操作快速定位和响应。目前表报可支持违反策略表报，告警定义（查询），会话概况报表（会话排名，会话统计，会话汇总）。实时监控支持对字符和图形会话进行实时监控，用户输入的命令以及回显都可以在监控屏幕上实时看到，并提供立即阻断的功能，在第一时间避免危险行为的发生；会话审计操作日志记录范围包括：用户登入、登出SAG的记录；用户操作被管资源的行为；SAG阻断非法访问的记录；由于针对的协议（应用）不同，实现的程度也不一样。字符应用SAG支持IT运维中常见的各种命令行协议，包括：Telnet、SSH、Rlogin等。记录的操作包括：1、 获取登录客户端地址，登录SAG账号，登录目标资源的地址、账号，登录时间，退出时间等信息；2、 将用户在命令行下的完整过程（包括：用户输入、命令输出、操作内容等）记录到会话文件，用于回放；3、 从用户输入中解析出实际的执行命令和对应的输出，并记录到数据库供查询检索，支持以下功能： 自动捕获用户命令行输入，如ls, pwd, cd等； 支持多行命令的捕获并还原为真实的命令； 支持命令编辑功能：TAB补全、回退、删除、LEFT、RIGHT等； 支持使用UP，DOWN功能键调用历史命令的捕获； 支持对以“！”方式执行历史命令的控制和相关命令的捕获； 支持全屏编辑状态和命令行状态的智能识别； 支持在全屏编辑模式下调用的shell命令的捕获； 支持组合命令的捕获，如命令中带有管道“|”、分号 “；”的情况； 支持对用户执行脚本的监控和备份； 支持对用户通过别名、文件复制改名、脚本等方式的二次跳转行为的识别和控制；文件传输应用SAG支持IT运维中常见的各种文件传输协议，包括：FTP、SFTP等。记录的操作包括：1、 获取登录客户端地址，登录SAG账号，登录目标资源的地址、账号，登录时间，退出时间等信息；2、 对用户成功登录目标主机后的所有文件传输过程进行命令记录；3、 支持对上传/下载文件的可选备份；图形应用SAG支持IT运维中常见的各种图形协议，包括Windows远程桌面（RDP），VNC、XWINDOW图形界面。记录的操作包括： 1、 获取登录客户端地址，登录SAG账号，登录目标资源的地址、账号，登录时间，退出时间等信息；2、 对用户成功登录目标主机后的所有操作进行连续视频记录；3、 对Windows应用的所有操作进行连续视频记录；4、 支持图形定位搜索功能，可实现基于用户名、客户端IP地址、目标资源IP地址、时间、用户键盘输入等全方位进行定位搜索；WEB应用SAG支持IT运维中常见的各种WEB协议，包括：HTTP、HTTPS等。记录的操作包括：1、 获取登录客户端地址，登录SAG账号，访问目标资源的地址，访问时间等信息；2、 记录用户通过浏览器管理目标资源过程中，每次访问的URL，及发布内容（字段名、字段值）；数据库应用SAG支持常用数据库的操作运维审计，当前支持Oracle、DB2数据库。记录的操作包括：1、 能够智能地分析对数据库的各种操作，如登录、查询、插入、修改、删除等，并可将这些操作还原为SQL语句；2、 支持数据库操作与维护用户的关联，而不是仅与IP关联；3、 支持数据库操作的连续视频记录；第三方应用程序SAG支持所有基于windows平台的应用程序有缝或无缝发布，对应用发布的内容记录操作包括：1、 能够记录程序窗口内容、窗口鼠标点击内容、窗口键盘输入内容2、 支持对记录操作内容的定位回放和全文检索会话搜索SAG提供会话搜索功能，通过搜索窗口对审计数据，支持基于时间、登录用户、目标资源账号、应用程序名称、命令关键字、命令回显等字段的快速定位搜索，对搜索结果可根据操作用户、协议类型、时间等进行自动归类。 同时支持历史记录模板搜索和预定义模板搜索。操作回放u 对于字符应用会话和图形应用会话，提供操作回放功能：u 支持在管理界面上对会话的在线回放，客户端即使没有安装客户端工具也可以进行审计；u 支持用户操作场景的真实再现、还原，以更直观的方式审计用户操作，包括对文件内容的修改都可以完整再现；u 对搜索内容支持窗口定位回放；u 提供离线回放工具，在没有连线条件下也能进行审计；审计分类 根据内置知识库或自定义知识库分类用户操作命令的安全级别，内置的安全界别有：极高风险、高风险、中风险、底风险、未知风险。目前支持的命令种类包括数据库、UNIX、CISCO、H3C。合规报表 根据时间段统计用户登录会话信息，可分别对字符，图形，web，文件传输的进行会话统计。u 支持根据SOCCOBIT等法规对用户操作进行分析归类并生成报表u 支持根据用户自定义报表知识库统计合规性报表3.6 自助服务u 用户可以通过自助服务查看本人的身份信息，并能够对其中的个人基本信息进行修改；u 用户可以通过自助服务修改本人的静态密码；3.7 系统管理SAG作为企业运维管理的核心，自身的安全性、稳定性是至关重要的。SAG提供以下系统管理功能来保证系统的安全稳定运行：u 系统性能：提供对SAG自身性能的监控和告警管理。u 系统服务：提供对SAG系统各个服务模块进行起停控制。u 操作日志：对管理员的任何操作进行记录。u 系统备份/还原：提供自动定时备份、即时备份、系统还原等功能。u 系统告警：可对系统告警事件进行定义，并提供告警事件查询；并支持违反策略告警。u 系统参数：可添加syslog、radius、rsa、邮件服务器，配置系统通用参数和密码策略，并可进行知识库导入工作。四、 产品特点4.1 界面友好，轻松上手u 采用web2.0的AJAX技术，局部页面刷新，减少流量，动态提示。u 借鉴Microsoft的Ribbon设计，界面采用类office菜单样式设计，可以说是菜单界的一次变革。u 一站式快速授权管理，在一个界面即可完成从用户到资产的创建以及授权的全过程。4.2 全面的协议和平台支持，完整细致SAG支持各种Unix系列（AIX，HP-UX，Solaris，SCO，Linux，FreeBSD 等）和Windows系列操作系统，支持Cisco、Juniper、H3C等常用网络及安全设备。SAG支持运维常用协议如下：u 终端字符协议：Telnet、SSH、Rloginu 图形协议：RDP、VNC、X11u 文件传输协议：FTP、SFTPu Web协议：HTTP、HTTPSu 数据库协议：ORACLE、DB2等u 虚拟应用AVS: 所有基于windows平台的C/S或B/S应用架构4.3 基于搜索引擎技术的高效审计u 使用搜索框可直接对操作审计日志中的关键字进行精确的高速定位搜索，基于搜索结果可实现关键字定位回放，不需要任何专业知识。并提供预定义模板查询方式和自定义模板查询方式。u 对windows应用程序可实现窗口文本内容记录，并可同时记录鼠标点击和键盘操作内容，真实细致记录用户操作过程。u 对查询结果提供不同的文字排版方式，可实现摘要方式显示和表格方式显示。并可导出为excel或pdf文本。u 搜索结果自动归类，并可实现多层汇总。同时提供时间轴和图形化的分类展示报告。u 毫秒级的查询速度，相对传统的数据库搜索，大大的提高了管理员工作效率并节省工作时间。4.4 智能的知识库分析系统系统通过内置知识库，自动将用户操作和知识库内容进行匹配，将用户的操作进行多层次分类，并提供审计建议，免去繁琐而无头绪的查找。u 同时提供基本知识库分类和用户自定义知识库u 对用户命令进行基于区分大类和子类的命令风险类别归类，可分为极高、高、底、未知u 基于命令安全级别并对应操作用户提供审计建议，并在数据汇总后进行用户排名和命令分类排名4.5 基于合规性的审计报表SAG合规审计平台，提供基于SOX、PCI和内控要求的专项报表和通用报表功能。可以自动根据内置知识库将SAG的审计记录按照规范要求进行报表归类，并支持报表由客户自定义功能，用户可根据自身实际需求定义合规性报表内容。u 报表支持PDF、Excel、Html、Word等格式的报表导出；u 报表支持Web打印功能；u 支持报表由客户自定义功能；u 报表支持定时发送功能，可以按照用户定的日程自动发送定制的报表到用户信箱。u 报表按管理级别分类 决策层报表 执行层报表 合规管理员报表u 报表按时间段分类合规月度报表合规季度报表合规年度报表五、 给客户带来的价值 索特运维审计系统给客户带来的价值主要体现在以下几个方面：给网络管理