广西国税运维审计新项目需求功能说明指导书 --_第1页
广西国税运维审计新项目需求功能说明指导书 --_第2页
广西国税运维审计新项目需求功能说明指导书 --_第3页
广西国税运维审计新项目需求功能说明指导书 --_第4页
广西国税运维审计新项目需求功能说明指导书 --_第5页
已阅读5页,还剩11页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、广西国税运维审计新项目需求功能说明指导书 - - 广西国税运维审计系统项目需求功效说明书 目录 TOC o 1-4 h z u 第1章序言 5 1.1.编写目标 5 1.2.项目背景 5 1.3.运维管理现实状况 5 1.4.存在问题 6 1.5.问题分析 6 1.6.带来后果 7 1.7.参考xx 7 第2章需求概述 7 2.1.系统建设需求 8 2.1.1.统一安全防护 8 2.1.2.统一IT系统口令管理 8 2.1.3.身份认证和授权 8 2.1.4.关键操作监控和报警 8 2.1.5.操作审计 8 2.1.6.操作分析报表 9 2.2.实现目标 9 2.2.1.提升操作透明度 9 2

2、.2.2.增强操作可控性 9 2.2.3.具体目标 9 第3章功效需求 10 3.1.集中管理 10 3.1.1.统一操作入口 10 3.1.2.统一定制策略 10 3.1.3.统一操作平台 10 3.1.4.统一管理审计 10 3.2.访问控制 10 3.2.1.四要素控制 11 3.2.2.具体规则设置 11 3.2.3.访问权限控制 11 3.3.实时控制 11 3.3.1.实时监控 11 3.3.2.实时阻断 12 3.4.密码管理 12 3.4.1.密码托管 12 3.4.2.自动改密 12 3.5.自动告警 12 3.5.1.设备登录提醒 13 3.5.2.命令操作告警 13 3.

3、5.3.图形操作告警 13 3.6.操作审计 13 3.6.1.图形会话操作审计 14 3.6.2.字符命令操作(TelnetSFTPtelnetVNChttps远程访问为主,设备规模比较大;数据库远程访问则以PLSQL、SQLPLUS、OEM等用户端工具为主;维护人员比较多,而且伴随运维规模不停壮大,运维外包趋势日益显著。现在部分非关键业务系统及设备维护已经外包给了第三方代维厂商;凭借设备上账号密码完成身份认证和授权,难以确保账号安全性;密码管理复杂,无法有效落实密码定时修改要求;运维人员操作行为无审计,事故发生后无法快速定位事故原因和责任人;对后台数据库维护操作缺乏有效管理手段,对数据库操

4、作也无审计;伴随网络安全技术快速发展,国家和行业对信息安全要求不停提升,主机安全问题日益显现。存在问题运维人员身份不唯一,运维人员登录后台设备时,仍然能够使用共享账号(root、administrator等)访问,从而无法正确识别运维人员身份;缺乏严格访问控制,任何人登录到后台其中一台设备后,就能够访问到后台多种设备;反复枯燥密码管理工作,大大降低了工作效率同时,人员流动还会造成密码存在外泄风险;难于限制运维人员登录到后台设备后操作权限;无法知道目前运维情况,也不知道哪些操作是违规或有风险;缺乏有效技术手段来监管代维人员操作;操作无审计,因操作引发设备故障时候无法快速定位故障原因和责任人;无法

5、满足国家安全等级保护相关方面要求,如审计、控制等;问题分析出现以上问题关键原因在于:运维操作不规范;运维操作不透明;运维操作风险不可控;带来后果违规操作可能会造成设备信息被篡改、被破坏;当发生故障时候,无法快速定位故障原因或责任人;参考xx编号资料名称起源需求概述为了处理以上问题,为运维人员经过使用一个有效管理平台,来处理对全部运维操作集中管理、单点登录、身份认证、操作审计等问题,最终达成降低运维操作风险目标。具体需求现在关键集中在以下几点: 实现运维操作集中管理,提升操作管理效率; 经过目标设备密码托管功效,实现单点登录; 经过运维人员管理和系统帐号分离,实现运维人员身份唯一性管理; 运维人

6、员认证要支持和现有第三方认证(如LDAP、AD域、Radius)整合; 经过严格访问控制来限制运维人员可访问资源; 经过对关键指令实时阻断和告警,实现对运维人员高危操作主动控制; 提供强大操作审计功效,完整统计运维人员全部操作行为,并可实现对键盘鼠标等操作行为深度审计; 能够实现对目标设备密码定时批量自动修改,降低管理员改密负担,提升工作效率; 符合相关安全规范(如SOX、ISO27001、BS7799等);系统建设需求统一安全防护全部对IT系统运维操作必需经过统一入口方可进行,在统一入口设置相关安全策略,确保操作安全,降低IT操作风险。统一IT系统口令管理将IT系统管理员口令进行统一管理,处

7、理口令管理相关问题,实现口令定时自动修改、口令安全管理等。全部运维人员进行操作不再需要知道IT系统帐户口令。身份认证和授权使用独立身份认证管理实现对运维人员身份认证、授权,确保只有正当运维人员才能使用其拥有运维权限关键资源。关键操作监控和报警能依据运维实际情况,制订特定运维操作监控和报警策略,对敏感操作或违规行为立即发觉,并实现实时报警和阻断。操作审计对常见运维协议Telnet、FTP、SFTP、SSH、RDP、Xwindows等网络会话完成统计和审计,并能提供基于图像操作回放,方便、直观地将操作展现给审计人员。操作分析报表基于运维操作数据,能基于时间、资源、人员操作、违规事件统计报表,为安全

8、人员分析安全态势提供辅助数据。实现目标提升操作透明度现在运维操作类似一个“黑匣子”:首先不知道目前有哪些操作正在进行?其次是在哪一台设备上进行操作?更不知道是哪一个运维人员实施操作?因为全部操作全部不透明,更谈不上对操作进行跟踪和审计,只有将操作最大程度透明,随时知道现在操作情况,才能让操作变能够被管理。增强操作可控性在目前运维操作过程中,首先超级权限运维人员(Root,enable等)操作是无法控制,同时在日常操作中会出现多个运维人员同时使用一个超级权限运维人员情况,只有经过愈加细粒度控制,让一些运维人员能操作什么一些运维人员不能操作什么,即使多个运维人员获取同一个超级权限运维人员,操作权限

9、也完全不一样,才能真正降低操作风险。具体目标集中管理:集中全部待管理审计关键系统进行统一管理。身份管理:处理维护操作者身份问题,正确定位操作责任人。访问控制:限制正当操作者正当访问资源,有效降低未授权访问所带来风险。权限控制:对于运维操作来说,权限控制是从操作层面控制操作者权限,因为操作是最关键风险原因,只有真正控制住运维人员操作权限,才能有效降低操作风险。操作审计:操作审计要确保在出了事故以后快速定位操作者和事故原因,还原事故现场和举证。另外一个方面操作审计做为一个验证机制,验证和确保集中管理,身份管理,访问控制,权限控制策略有效性。功效需求集中管理统一操作入口经过使用堡垒机密码托管功效和对

10、应网络访问控制,堡垒机能够成为企业运维唯一操作入口。统一定制策略将操作人员、操作行为和目标设备集中到一个平台后,就能够对其进行统一分组并统一定制相关策略。统一操作平台系统运维中,管理人员和操作人员要面对大量不一样厂家不一样类型设备,从硬件上看能够分成网络设备和服务器。统一管理审计使用统一操作入口,定制相关策略并完成对应操作及操作审计。把操作审计工作经过统一操作出入口模式,使审计变得易于实现和不可逃避。访问控制堡垒机可实现“运维人员系统系统帐号”对应关系,从而实现严格访问控制, 实现实体级访问控制授权。设置完成后,运维人员只能根据规则设置来访问对应资源,根本杜绝了非授权访问所带来问题。四要素控制

11、以下图所表示,规则包含运维人员帐号,目标设备,系统帐号和服务类型访问这多个要素。编写规则就是将已经有信息选入相关栏目内,而且,此策略为 即时生效 策略,相关要素一旦被关联入策略后,对应人员就能开始使用。一旦使用完成,管理员能够立即取消关联,对应权利即被收回。具体规则设置针对每一条访问控制规则,能够创建一条或几条具体登录规则。能够设置许可运维人员登录IP范围;能够设置许可运维人员登录时间段,可具体到多少分钟;访问权限控制堡垒机经过命令防火墙对同一个系统账号进行权限再分配,使得能够让使用同一个系统账号不一样运维人员拥有不一样权限。可灵活配置权限控制规则,支持通配符设置,含有“许可、拒绝、严禁”等多

12、个功效。实时控制管理员能够在堡垒机WEB界面,除了能够实时监控运维人员在后台设备上全部操作外,还能够实时监控运维人员正在目标设备上进行任意操作,实现操作透明,从而达成边操作边审计目标。实时监控可查看运维人员操作会话状态;在WEB界面实现实时监控;能够实时监控任意类型(图形操作和字符操作)活动会话;实时阻断管理员在实时监管过程中,假如发觉运维人员正在做部分违规或有可能造成设备宕机高危操作时,能够直接在WEB界面切断此运维人员会话连接。密码管理密码托管对于目标设备访问帐号密码,能够由堡垒机进行集中托管,只要配置管理员在对应设备密码管理中将目标设备帐号密码添加上去即可;使用了密码托管功效后,运维人员

13、以后访问目标设备时,只需要记住自己上帐号和密码,即可经过堡垒机自动登录目标设备。自动改密堡垒机能够灵活配置目标设备密码修改策略,实现密码批量定时自动修改,修改后结果能够以加密邮件方法发送给密码保管员,从而实现密码集中管理,同时密码保管员也能够随时在系统WEB界面手动修改目标设备密码,并能够打包备份设备密码到当地,提升改密功效可用性。自动告警设备登录告警:针对关键设备,可设置登录告警。当运维人员登录关键设备时,会发一条告警信息给管理员;命令操作告警:对于字符会话设备,运维人员在输入部分高危命令时,系统在主动阻断同时,还会发一条告警信息给管理员;图形操作告警:对于图形会话设备,运维人员在经过键盘输

14、入部分高危指令时,系统会在第一时间发出告警信息给管理员;设备登录提醒当有运维人员登录到目标设备时,堡垒机会立即生成一条告警信息,以邮件或短信形式通知管理员。让管理员第一时间得悉这台设备具体情况。假如发生操作事故时,能够经过登录人员人信息快速查找出事故原因及定位事故责任人。登录提醒功效支持操作类型包含:字符设备(TelnetVNCHTTPSFTPHttps协议操作审计;深度审计为了深入增加运维操作完善性,堡垒机能够统计图形操作鼠标点击情况和键盘输入情况,从而实现深度审计。快速定位:对历史字符操作会话,能够实现从任一命令点回放下面操作。对历史图形操作会话,还能够做到完整得在线回放和下载到当地回放,

15、回放方法支持拖拉定位、倍速回放和自动过滤静止会话。图形会话操作审计堡垒机能够完整统计一般运维人员图形操作,对于审计结果查看,能够做到:拖拉定位回放:堡垒机能够快速正确地定位播放点,能够对图形设备上进行操作录像进行无延时拖拉定位回放; 静止会话自动过滤:堡垒机统计图形会话是以增量方法进行统计,所以对于没有任何操作静止画面堡垒机会自动过滤掉,在播放过程中会自动跳过静止画面时间段;缩略图查看:对于大会话,能够以缩略图分段显示;依据时间定位回放:能够依据指定时间,从该时间点开始回放图形操作;回放抓屏: 在回放过程中,能够随时进行抓图;字符命令操作(Telnet被拒绝HTTPS管理设备,如防火墙、IPS

16、、IDS等,可经过堡垒机登录到被管理设备WEB界面进行操作,全部操作全部能够实时监控、统计、审计。应用公布操作审计 针对经过CSQL、SQLPLUS、TOAD、PCOM等)运维操作,可使用堡垒机应用公布,将需要应用程序公布出来,全部操作过程全部被统计下来。键盘鼠标、剪贴板操作审计为了深入完善运维操作完整性,堡垒机含有图形操作鼠标点击统计、查询和审计功效;一样对于运维人员键盘输入内容、经过剪贴板复制粘贴内容,堡垒机会以文本形式统计在页面中;鼠标审计:在查看审计统计时,在审计页面中会有x鼠标按键图标,分别代表着鼠标按键左键、中键及右健。回放时,依据运维人员点击鼠标不一样按键,所代表图标就会以不一样

17、颜色进行显示,而且改变次数和鼠标点击次数形成对应关系;键盘审计:能够完整统计运维人员键盘输入操作,并将输入内容以文本方法整理保留;经过键盘搜索实现定位回放:支持经过对键盘输入内容进行搜索,以实现定位回放;文件传输操作(FTPSCP)审计完整统计运维人员操作过程,包含对文件上传、下载、删除、修改权限等等。并能经过时间、运维人员、服务、类型、结果等条件进行筛选搜索。数据库审计直接登录到数据库服务器使用命令行操作审计对于直接登录到数据库服务器上命令行操作,堡垒机要求能够统计操作者全部sql语句和输出结果,而且能够在输入输出内容中进行文本搜索。经过web进行操作审计对于使用https台式机等操作终端上

18、安装用户端程序,用户端程序必需统一安装在1台低速播放,拖动,重播等功效,还要支持从特定命令或指令位置开始定位回放。历史统计查询历史统计查询机制可依据需要,在一定时间段以文本方法对历史事件进行查询,审计人员能够依据时间、IP地址、运维人员姓名、操作指令等信息对历史事件进行多条件组合正确查询,快速定位目标统计,重现当初运行维护人员对服务器操作过程,同时查询结果要能使用Excel或文本方法导出。日志搜索终端会话搜索机制可依据时间段为条件对全部操作统计进行搜索,时间可正确到分钟;可依据运维人员帐号、操作时间、系统帐号、目标设备、会话类型等关键条件对全部操作统计进行搜索;针对输入或输出命令,进行全文搜索,查询结果高亮显示;图形会话搜索机制可依据时间段为条件对全部操作统计进行搜索,时间可正确到分钟;可依据运维人员帐号、操作时间、系统帐号、目标设备、会话类型等关键条件对全部操作统计进行搜索;对于WEB操作会话统计,可依据运维人员输入URL为条件进行搜

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论