运维审计系统

1、运维审计系统技术白皮书北京趋势恒信科技有限公司2011年4目录一、前言3二、为什么需要运维审计系统4三、审计产品概述53.1系统架构53.2技术原理63.3支持协议清单6四、主要功能介绍84.1统一用户身份认证84.2访问权限控制84.3服务器密码管理84.4会话同步监控94.5异常行为告警94.6操作行为记录94.7会话过程重放94.8历史记录查询104.9综合审计报表10五、产品特性115.1无干扰部署方式115.2支持所有主流协议115.3WEB在线回放技术115.4人性化使用方式115.5丰富的审计报表115.6安全可靠的自身保障能力12六、部署方式13七、规格指标14八、综述15一、

2、前言各种权威的网络安全调查结果均表明，在可统计的安全事件中，60%以上均与内部人员有关，这其中既包括恶意行为（越权访问、恶意破坏、数据窃取），也包括各种非主观故意引起的非恶意行为（误操作、权限滥用）。由此可见，规范内部人员的访问行为，特别是核心系统（主机、网络设备、安全设备、数据等）的维护行为势在必行。传统的信息安全建设，往往侧重于对外部黑客攻击的防范，以及网络边界的访问控制，对信息系统安全威胁最大的内部人员行为却缺乏有效的管理。企业内部人员，特别是拥有信息系统较高访问权限的运维人员（如网管员、临时聘用人员、第三方代维人员、厂商工程师等），比外部入侵者更容易接触到信息系统的核心设备和敏感数据、

3、内部人员恶意或非恶意的破坏行为更容易造成较大的破坏。然而，由于现有管理手段的不完善，账号共享情况普遍存在，以及加密、图形协议的广泛应用，使得这些运维管理人员的日常操作，存在操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控、操作事故无法定位等安全风险。内部人员的操作行为几乎处于完全失控的状态，一旦发生事故，其后果的严重性将是无法预估的。因此，放任内部风险的存在决不可行。 此外，从遵守国家及本行业各项法律法规的角度考虑。随着中华人民共和国计算机信息系统安全保护条例的推广实施，对IT系统内部控制的要求越来越明确。如，等保基本要求中明确提出，要对“内部维护人员登录主机、数据库所

4、进行的所有操作行为”、“第三方人员的维护行为”进行审计和控制。为满足用户对加强内部运维安全审计日益迫切的需要，杭州思福迪公司，依托自身强大的研发能力，丰富的行业经验，自主研发了新一代软硬件一体化运维安全专用审计系统运维审计系统。该系统支持对企业内部人员的操作行为进行全面的审计、监控，消除了传统审计系统中的盲点，使企业对运维人员的操作过程，能做到事前防范、事中控制、事后审计的能力，是企业IT内控最有效的管理平台。二、为什么需要运维审计系统企业的信息系统，在日常的内部运维管理及IT内控合规性遵循过程中，经常会遇到如下问题：u 多位运维人员共用一个系统帐号，当出现安全事故时相互推诿，缺乏客观、可信的

5、依据来确定事故责任人；u 维护人员可能只需要执行简单的规定操作，但却通常需要使用拥有更多权限的系统账户，而系统自身又无法进行细粒度的授权管理，无法进行指令级或文件级别的访问权限控制；u 服务器、网络设备、数据库等资产的数量日益增多，按照管理要求定期修改密码成为耗时费力的琐事，基层运维人员是否严格遵守制度，按时完成密码安全管理工作，管理人员无法方便得知；u 当第三方运维人员（代维/原厂工程师），需要对系统进行操作时，基于对合作伙伴的信任及工作方便需要，企业内部人员通常会给与其拥有高权限的系统账户甚至管理员帐户，而管理员却无法从技术上确保，第三方人员的所有操作行为是否合规；u 当系统因某些操作发生

6、故障时，因为缺乏对操作过程的全程记录，无法还原事故现场，确定问题原因，而使得系统恢复时间大大延长；三、审计产品概述运维审计系统是新一代操作行为安全审计系统，它采用软硬件一体化设计，通过B/S方式(https)进行管理，其主要功能为实现对运维人员操作服务器、网络设备、数据库过程的全程监控与审计，以及对违规操作行为的实时阻断。该产品采用先进的设计理念，支持对多种远程维护方式的支持，如字符终端方式(SSH、Telnet、Rlogin)、图形方式（RDP、X11、VNC、Radmin、PCAnywhere）、文件传输（FTP、SFTP）以及多种主流数据库的访问操作。3.1系统架构运维审计系统采用模块化

7、设计，主要由以下模块组成：行为控制模块、审计模块、管理模块、存储模块、用户管理接口模块，各模块间关系如下图所示：图1.系统架构图行为控制模块实现对网络、数据库、服务器维护过程的网络数据包代理转发、行为还原及记录、违规行为阻断功能；管理模块实现维护用户管理、主机资产管理、用户授权与访问权限管理，以及对审计记录的数据存储控制；审计模块实现行为安全审计功能，包括实时违规行为告警系统、历史记录检索系统以及报表系统；用户界面提供运维人员审计管理接口，以及运维用户的远程工具使用界面。3.2技术原理运维审计系统采用协议代理方式对各种维护协议进行转发，并在转发的过程中分别模拟了协议的客户端与服务端，具体如下图

8、所示：图2.技术实现原理示意图当客户端通过运维审计系统访问服务器时，首先由运维审计系统模拟成远程访问的服务端时，接受客户端发送的信息，并对其进行协议的还原、解析、记录，最终获得客户端发送的指令信息，再模拟成操作的客户端，与真正的目标服务器建立通讯，并转发用户端发送的指令信息。接收到服务器端的返回信息后，再反向执行此过程，将返回值发送给客户端从而实现对各种维护协议的代理转发过程。在通讯过程中，运维审计系统会记录各种指令信息，并根据违规规则库对指令信息进行比对，如发现违规的操作行为，则终止数据包的转发，并中断整个TCP会话。3.3支持协议清单Ø 字符型远程操作协议ü SSH &

9、#252; TELNETü RLOGINØ 图形终端操作协议ü RDP(5.x、6.x、7.x)ü VNC ü X11Ø 数据库远程协议ü ORACLE (8i、9i、10g、11g)ü MSSQL SERVER（2000、2005）ü SYBASEØ 文件传输协议ü FTPü SFTP四、主要功能介绍4.1统一用户身份认证在信息系统的维护管理过程中，经常会出现多名运维人员共用同一系统帐号进行登录访问的情况，从而导致很多安全事件无法清晰地定位责任人。运维审计系统通过“运维审计

10、系统帐号”与“服务器帐号”相关联的方式，即在系统中为每一个运维人员创建唯一的登录账号，运维人员通过自身的“审计系统帐号”，先登录运维审计系统，再登录目标服务器，从而实现将用户身份的认证落实到“自然人”。运维审计系统支持SSO功能，维护人员只要登录运维审计系统，即可访问所有被授权的服务器系统，无需进行二次登录认证。4.2访问权限控制运维审计系统可以对运维人员进行细粒度的权限控制，管理可以根据人员、时间、系统账户、操作指令等内容设定访问权限，如：² 限制用户能够访问的服务器范围；² 限制用户能够登录的时间；² 设定用户操作指令黑、白名单，阻止违规操作行为；运维审计系统

11、还支持特有的授权访问机制，即对某些用户，每次访问特定设备前都需要管理员进行授权才能通行，避免临时人员在管理员不知情的情况下进行访问。4.3服务器密码管理运维审计系统提供服务器密码管理功能，可以周期性对服务器密码进行自动修改，并保证密码复杂程度与密码文件的安全保管。管理员可以设定改密周期、密码强度策略等改密要求。4.4会话同步监控对于所有远程访问目标服务器的会话连接，运维审计系统均可实现同步过程监视，运维人员在服务器上做的任何操作都会同步显示在审计人员的监控画面中，包括vi、smit以及图形化的RDP、VNC、X11等操作，管理员可以根据需要随时切断违规操作会话。4.5异常行为告警运维审计系统内

12、置安全事件规则库，并可实时对用户的操作过程进行检测，一旦发现违规操作行为，可以通过短信、邮件等方式向审计人员及时发送告警信息或自动中止操作会话。安全事件规则库支持自定义扩充功能，管理员可以根据企业内部管理需求，灵活扩充规则库内容。4.6操作行为记录对所有经过审计系统的操作行为，运维审计系统均可完整记录操作过程，保留操作记录，记录内容包括操作时间、IP地址、用户账号、服务器账号、操作指令、操作结果等信息。对于所有的操作记录，运维审计系统可以长时间进行保留，为日后安全审计提供客观依据。4.7会话过程重放内控堡垒审计系统能够以视频回放方式，重现维护人员对服务器的所有操作过程，从而真正实现对操作行为的

13、完全审计。回放过程采用WEB在线播放方式，无需在安装播放客户端软件。回放过程支持常见的视频播放控制操作，如倍速/低速播放、拖动、暂停、停止、重新播放等等，也可以从特定指令开始定位回放。4.8历史记录查询运维审计系统支持通过友好的查询界面，对以前发生过的历史事件进行查询。审计人员可以根据时间、IP地址、用户名、操作指令等信息对历史数据进行多条件组合查询，快速定位目标记录。查询结果可以直接导出为excel文件，方便审计员进行后续处理。4.9综合审计报表运维审计系统支持强大的报表功能，内置大量的安全审计报表模板，同时也支持通过自定义方式扩充报表内容。报表支持以天、星期、月为周期自动生成报表，并可通过

14、邮件自动送达管理员处。也可以由管理员随时手工生成所需的报表。五、产品特性5.1无干扰部署方式运维审计系统采用旁路模式部署，无需改变用户网络结构，无需在客户端及服务器端安装程序，不会影响客户正常业务系统使用。5.2支持所有主流协议支持各种主流操作协议包括字符型操作、图形化操作、文件传输、数据库访问操作等，支持对象全面覆盖主流的服务器系统、网络设备、安全设备、数据库系统。5.3WEB在线回放技术运维审计系统支持WEB在线回放技术，无需在客户端安装任何回放软件即可实现操作过程回放功能，回放过程支持常见视频回放操作。5.4人性化使用方式运维审计系统支持用户通过WEB页面直接访问目标系统，如通过web页

15、面访问SSH服务器、windows远程终端等等；系统同时也支持运维人员使用自己习惯的客户端软件去访问目标服务器，如putty、SecureCRT、Secure shell等等。5.5丰富的审计报表内置丰富的安全审计报表，总数超过百张，即能够满足大部分客户的日常审计需求，也可满足如“等级保护”、“萨班斯法案”等合规性要求。同时，系统也支持通过自定义或二次开发方式进行灵活扩展。5.6安全可靠的自身保障能力运维审计系统，通过多种技术手段，来保障自身与审计数据的安全性。如：ü 内置自身安全防护防火墙ü 数据防篡改、防删除技术设计；ü 严格的访问权限、审计权限控制体系；ü RAID磁盘阵列，有效保护数据安全；ü HA功能。六、部署方式运维审计系统采用旁路方式部署，如下图所示：运维审计系统部署示意图如图所示，系统在部署时只需要为其分配一个独立IP地址即可，无需对网络拓扑结构进行任何调整。客户端通过网络连接至运维审计系统，由运维审计系统将用户的访问行为转发至目标服务器。部署运维审计系统后，内部服务器的维护端口只需开放给运维审计系统，无需再让运维人员直接访问。对运维人员，只需开放运维审计系统的访问端口，从而进一步加强内部服务器的安全性。七、规格指标技术指标 BH330 BH530体积规格1U2U支持协议Telnet