LogBase运维安全审计系统技术白皮书

1、LogBasee运维安全审审计系统技术白皮书 杭州思福迪信息息技术有限公公司 2010Logbase运维安全审计系统技术白皮书杭州思福迪信息技术有限公司 21/21版权说明 版权所有 2005-2010，杭州思思福迪信息技技术有限公司司本文件中出现的的任何文字叙叙述、文档格格式、插图、照照片、方法、过过程等内容，除除另有特别注注明，版权均均属杭州思福福迪信息技术术有限公司所所有，受到有有关产权及版版权法保护。任任何个人、机机构未经杭州州思福迪信息息技术有限公公司的书面授授权许可，不不得以任何方方式复制或引引用本文件的的任何片断。商标信息LogBasee是杭州思福福迪信息技术术有限公司注注册商标

2、，受受商标法保护护。公司信息网址： E-mail：suppoort地址： 杭州州市文一西路路75号3号号楼6楼 热线: 4400-6778-15000 电话： 05571-8889232222 传真： 05571-8889238887目 录TOC o 1-3 h z u HYPERLINK l _Toc252723864 一、前言 PAGEREF _Toc252723864 h 4 HYPERLINK l _Toc252723865 二、为什么需要要运维审计系系统 PAGEREF _Toc252723865 h 5 HYPERLINK l _Toc252723866 三、LogBaase审计产

3、产品概述 PAGEREF _Toc252723866 h 6 HYPERLINK l _Toc252723867 3.1系统架构构 PAGEREF _Toc252723867 h 6 HYPERLINK l _Toc252723868 3.2技术原理理 PAGEREF _Toc252723868 h 7 HYPERLINK l _Toc252723869 3.3支持协议议清单 PAGEREF _Toc252723869 h 8 HYPERLINK l _Toc252723870 四、主要功能介介绍 PAGEREF _Toc252723870 h 9 HYPERLINK l _Toc252723

4、871 4.1统一用户户身份认证 PAGEREF _Toc252723871 h 9 HYPERLINK l _Toc252723872 4.2访问权限限控制 PAGEREF _Toc252723872 h 9 HYPERLINK l _Toc252723873 4.3服务器密密码管理 PAGEREF _Toc252723873 h 9 HYPERLINK l _Toc252723874 4.4会话同步步监控 PAGEREF _Toc252723874 h 10 HYPERLINK l _Toc252723875 4.5异常行为为告警 PAGEREF _Toc252723875 h 10 HY

5、PERLINK l _Toc252723876 4.6操作行为为记录 PAGEREF _Toc252723876 h 10 HYPERLINK l _Toc252723877 4.7会话过程程重放 PAGEREF _Toc252723877 h 10 HYPERLINK l _Toc252723878 4.8历史记录录查询 PAGEREF _Toc252723878 h 11 HYPERLINK l _Toc252723879 4.9综合审计计报表 PAGEREF _Toc252723879 h 11 HYPERLINK l _Toc252723880 五、产品特性 PAGEREF _Toc2

6、52723880 h 12 HYPERLINK l _Toc252723881 5.1无干扰部部署方式 PAGEREF _Toc252723881 h 12 HYPERLINK l _Toc252723882 5.2支持所有有主流协议 PAGEREF _Toc252723882 h 12 HYPERLINK l _Toc252723883 5.3WEB在在线回放技术术 PAGEREF _Toc252723883 h 12 HYPERLINK l _Toc252723884 5.4人性化使使用方式 PAGEREF _Toc252723884 h 12 HYPERLINK l _Toc252723

7、885 5.5丰富的审审计报表 PAGEREF _Toc252723885 h 12 HYPERLINK l _Toc252723886 5.6安全可靠靠的自身保障障能力 PAGEREF _Toc252723886 h 13 HYPERLINK l _Toc252723887 六、部署方式 PAGEREF _Toc252723887 h 14 HYPERLINK l _Toc252723888 七、规格指标 PAGEREF _Toc252723888 h 15 HYPERLINK l _Toc252723889 八、综述 PAGEREF _Toc252723889 h 166一、前言各种权威的

8、网络络安全调查结结果均表明，在在可统计的安安全事件中，660%以上均均与内部人员员有关，这其其中既包括恶意行行为（越权访访问、恶意破破坏、数据窃窃取），也包包括各种非主主观故意引起起的非恶意行行为（误操作作、权限滥用用）。由此可见，规规范内部人员员的访问行为为，特别是核核心系统（主主机、网络设设备、安全设设备、数据等等）的维护行行为势在必行行。传统的信息安全全建设，往往往侧重于对外部黑客攻攻击的防范，以及及网络边界的的访问控制，对对信息系统安安全威胁最大大的内部人员员行为却缺乏乏有效的管理。企业内部人人员，特别是是拥有信息系系统较高访问问权限的运维维人员（如网网管员、临时时聘用人员、第第三方代

9、维人人员、厂商工工程师等），比比外部入侵者者更容易接触触到信息系统统的核心设备备和敏感数据据、内部人员员恶意或非恶恶意的破坏行行为更容易造造成较大的破破坏。然而，由于现有有管理手段的不不完善，账号共享情情况普遍存在在，以及加密、图图形协议的广广泛应用，使使得这些运维维管理人员的的日常操作，存在操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控、操作事故无法定位等安全风险。内部人员的操作行为几乎处于完全失控的状态，一旦发生事故，其后果的严重性将是无法预估的。因此，放任内部风险的存在决不可行。此外，从遵守国国家及本行业业各项法律法法规的角度考考虑。随着中华人民共共和国计算机机信息系统安

10、安全保护条例例的推广实施，对ITT系统内部控控制的要求越越来越明确。如，等保基基本要求中明明确提出，要对“内部维护人人员登录主机机、数据库所所进行的所有有操作行为”、“第三方人员员的维护行为为”进行审计和和控制。为满足用户对加加强内部运维维安全审计日日益迫切的需需要，杭州思思福迪公司，依托自身强强大的研发能能力，丰富的的行业经验，自主研发了新一代软硬件一体化运维安全专用审计系统Logbase运维安全审计系统。该系统支持对企业内部人员的操作行为进行全面的审计、监控，消除了传统审计系统中的盲点，使企业对运维人员的操作过程，能做到事前防范、事中控制、事后审计的能力，是企业IT内控最有效的管理平台。二

11、、为什么需要要运维审计系系统企业的信息系统统，在日常的的内部运维管管理及IT内内控合规性遵遵循过程中，经经常会遇到如下问题：多位运维人员共共用一个系统统帐号，当出出现安全事故故时相互推诿诿，缺乏客观观、可信的依依据来确定事事故责任人；维护人员可能只只需要执行简简单的规定操操作，但却通通常需要使用用拥有更多权权限的系统账账户，而系统自身又无法进进行细粒度的的授权管理，无无法进行指令令级或文件级级别的访问权权限控制；服务器、网络设设备、数据库等资产产的数量日益益增多，按照照管理要求定期期修改密码成成为耗时费力力的琐事，基基层运维人员员是否严格遵遵守制度，按按时完成密码码安全管理工工作，管理人人员无

12、法方便得知；当第三方运维人人员（代维/原厂工程师师），需要对对系统进行操操作时，基于于对合作伙伴伴的信任及工作作方便需要，企业内部人员员通常会给与其拥拥有高权限的的系统账户甚甚至管理员帐户，而管理理员却无法从从技术上确保保，第三方人人员的所有操操作行为是否否合规；当系统因某些操操作发生故障障时，因为缺缺乏对操作过过程的全程记记录，无法还还原事故现场场，确定问题题原因，而使使得系统恢复复时间大大延延长；三、LogBaase审计产产品概述Logbasse运维安全全审计系统是是新一代操作作行为安全审审计系统，它它采用软硬件件一体化设计计，通过B/S方式(hhttps)进行管理，其主要要功能为实现现对

13、运维人员员操作服务器、网络设备、数数据库过程的的全程监控与与审计，以及及对违规操作行为为的实时阻断断。该产品采用先进进的设计理念念，支持对多种种远程维护方方式的支持，如字符符终端方式(SSH、TTelnett、Rloggin)、图图形方式（RRDP、X111、VNCC、Radmmin、PCCAnywhhere）、文文件传输（）以以及多种主流流数据库的访访问操作。3.1系统架构构Logbasse运维安全全审计系统采采用模块化设设计，主要由由以下模块组组成：行为控控制模块、审审计模块、管管理模块、存存储模块、用用户管理接口口模块，各模模块间关系如如下图所示：图1.系统架构构图行为控制模块实现对网络

14、、数数据库、服务务器维护过程的网络数据包代理转发、行为还还原及记录、违规行行为阻断功能能；管理模块实现维护用户户管理、主机机资产管理、用用户授权与访访问权限管理理，以及对审审计记录的数数据存储控制制；审计模块实现行为安全全审计功能，包包括实时违规规行为告警系系统、历史记记录检索系统统以及报表系系统；用户界面提供运维人员员审计管理接接口，以及运运维用户的远远程工具使用用界面。3.2技术原理理Logbasse运维安全全审计系统采采用协议代理理方式对各种种维护协议进进行转发，并并在转发的过过程中分别模模拟了协议的的客户端与服服务端，具体体如下图所示示：图2.技术实现现原理示意图图当客户端通过运运维审

15、计系统统访问服务器器时，首先由由运维安全审审计系统模拟拟成远程访问问的服务端时时，接受客户户端发送的信信息，并对其其进行协议的的还原、解析析、记录，最最终获得客户户端发送的指指令信息，再再模拟成操作作的客户端，与真正的目目标服务器建建立通讯，并转发用户户端发送的指指令信息。接接收到服务器器端的返回信信息后，再反反向执行此过过程，将返回回值发送给客客户端从而实实现对各种维维护协议的代代理转发过程程。在通讯过过程中，Loogbasee运维安全审审计系统会记记录各种指令令信息，并根根据违规规则则库对指令信信息进行比对对，如发现违违规的操作行行为，则终止止数据包的转转发，并中断断整个TCPP会话。3.

16、3支持协议议清单字符型远程操作作协议SSH TELNETRLOGIN图形终端操作协协议RDP(5.xx、6.x、77.x)VNC X11数据库远程协议议ORACLE (8i、99i、10gg、11g)MSSQL SSERVERR（20000、20055）SYBASE文件传输协议FTPSFTP四、主要功能介介绍4.1统一用户户身份认证在信息系统的维维护管理过程程中，经常会会出现多名运运维人员共用用同一系统帐帐号进行登录录访问的情况况，从而导致致很多安全事事件无法清晰晰地定位责任任人。LoggBase运运维安全审计计系统通过“运维审计系统统帐号”与“服务器帐号号”相关联的方方式，即在LLogbas

17、se系统中为为每一个运维维人员创建唯唯一的登录账账号，运维人人员通过自身的“审计系统帐帐号”，先登录运运维安全审计计系统，再登登录目标服务务器，从而实实现将用户身身份的认证落落实到“自然人”。Logbasee运维审计系系统支持SSSO功能，维维护人员只要要登录运维审审计系统，即即可访问所有有被授权的服务务器系统，无无需进行二次次登录认证。4.2访问权限限控制LogBasee运维安全审审计系统可以以对运维人员员进行细粒度度的权限控制制，管理可以根据据人员、时间、系统账户、操操作指令等内内容设定访问问权限，如：限制用户能够访访问的服务器器范围；限制用户能够登登录的时间；设定用户操作指指令黑、白名单

18、，阻阻止违规操作作行为；LogBasee运维安全审审计系统还支支持特有的授授权访问机制制，即对某些些用户，每每次访问特定定设备前都需需要管理员进进行授权才能能通行，避免免临时人员在在管理员不知知情的情况下下进行访问。4.3服务器密密码管理LogBasee运维安全审审计系统提供供服务器密码码管理功能，可以周期性对服务器密码进行自动修改，并保证密码复杂程度与密码文件的安全保管。管理员可以设定定改密周期、密密码强度策略略等改密要求求。4.4会话同步步监控对于所有远程访访问目标服务务器的会话连连接，Loggbase运运维安全审计计系统均可实实现同步过程程监视，运维人员在服服务器上做的的任何操作都都会同

19、步显示示在审计人员员的监控画面面中，包括vvi、smiit以及图形形化的RDPP、VNC、XX11等操作作，管理员可以以根据需要随随时切断违规规操作会话。4.5异常行为为告警LogBasee运维安全审审计系统内置置安全事件规规则库，并可实时对用户的操作作过程进行检检测，一旦发发现违规操作作行为，可以以通过短信、邮邮件等方式向向审计人员及及时发送告警警信息或自动动中止操作会话话。安全事件规则库库支持自定义义扩充功能，管理员可以根据企业内部管理需求，灵活扩充规则库内容。4.6操作行为为记录对所有经过审计计系统的操作作行为，LogBaase运维安安全审计系统统均可完整记记录操作过程程，保留操作作记录

20、，记录内容包包括操作时间间、IP地址址、用户账号号、服务器账账号、操作指指令、操作结结果等信息。对于所有的操作作记录，Loogbasee运维安全审审计系统可以以长时间进行行保留，为日日后安全审计计提供客观依据。4.7会话过程程重放Logbasee内控堡垒审审计系统能够够以视频回放放方式，重现维护人人员对服务器器的所有操作作过程，从而而真正实现对对操作行为的的完全审计。回放过程采用WEB在线播放方式，无需在安装播放客户端软件。回放过程支持常常见的视频播播放控制操作作，如倍速/低速播放、拖拖动、暂停、停停止、重新播播放等等，也也可以从特定定指令开始定定位回放。4.8历史记录录查询Logbasee

21、运维安全全审计系统支支持通过友好好的查询界面面，对以前发发生过的历史史事件进行查查询。审计人员可以根根据时间、IP地地址、用户名名、操作指令令等信息对历历史数据进行行多条件组合查查询，快速定定位目标记录录。查询结果可以直直接导出为eexcel文文件，方便审审计员进行后后续处理。4.9综合审计计报表Logbasee 运维安全全审计系统支支持强大的报报表功能，内内置大量的安安全审计报表表模板，同时也也支持通过自自定义方式扩扩充报表内容容。报表支持以天、星星期、月为周期自动生生成报表，并并可通过邮件件自动送达管管理员处。也也可以由管理理员随时手工生成成所需的报表表。五、产品特性5.1无干扰部部署方式

22、Logbasse运维安全全审计系统采采用旁路模式部署署，无需改变变用户网络结结构，无需在在客户端及服服务器端安装装程序，不会影响客户户正常业务系系统使用。5.2支持所有有主流协议支持各种主流流操作协议包包括字符型操操作、图形化化操作、文件件传输、数据据库访问操作作等，支持对象全全面覆盖主流流的服务器系系统、网络设设备、安全设设备、数据库库系统。5.3WEB在在线回放技术Logbasee运维安全审审计系统支持持WEB在线线回放技术，无无需在客户端端安装任何回回放软件即可可实现操作过过程回放功能能，回放过程程支持常见视视频回放操作作。5.4人性化使使用方式Logbasee运维安全审审计系统支持持用

23、户通过WEB页面直直接访问目标标系统，如通通过web页面访问SSH服务器器、winddows远程程终端等等；系统同时也支持持运维人员使用用自己习惯的的客户端软件件去访问目标标服务器，如如puttyy、SecurreCRT、Securee shelll等等。5.5丰富的审审计报表Logbasse内置丰富的安全审计报表表，总数超过百百张，即能够满足大部部分客户的日常审计需求求，也可满足如如“等级保护”、“萨班斯法案案”等合规性要要求。同时，系统也支持通过自定定义或二次开开发方式进行行灵活扩展。5.6安全可靠靠的自身保障障能力Logbasse运维安全全审计系统，通过多种技技术手段，来保障自身与审计数数据的安全性性。如：内置自身安全防防护防火墙数据防篡改、防防删除技术设设计；严