xxxx安全审计解决方案

1、xxxx安全审计解决方案xxxx有限公司目 录目 录2第一章 方案概述3第二章 需求分析42.1 法律法规遵从需求42.2现状需求分析4第三章 xx运维管理审计系统83.1 产品概述83.2 设备部署示意图93.3 协议支持清单93.4 设备主要功能103.5 产品特点18第四章 xx行业典型成功案例214.1 xxxx公司21第一章 方案概述随着互联网的飞速发展，金融行业对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。金融信息系统是金融公司重要的基础设施，是金融业务正常运行的前提条件。但是近几年来，由于受到高科技犯罪、黑客入侵、计算机病

2、毒感染等威胁，金融信息系统的安全事故呈逐年上升趋势，对正常交易和日常维护也造成很大威胁。同时随着电子商务的蓬勃发展，通过 Internet 开展网上金融交易已经成为国内各大金融公司积极开拓业务的主要渠道之一，至今网上股民已经达到 2.1亿，成为世界第二。安全保障将决定xxxx公司和客户的资金及交易的安全问题，直接影响到xxxx公司的形象。 数据库、网络交换设备、服务器系统、业务系统是保证金融系统正常运基础设施，本方案针对我国金融公司的实际情况，充分利用xx运维管理审计系统产品功能特点，提供可伸缩、无干扰、快速灵活的 提关键设备运行日志等主要时分析、快速检索和综合审计，为系统管理员构建覆盖面广、

3、监控有力、响应及时的集中安全事件管理平台，也为今后事故的追查取证提供第三方、仿篡改的原始始记录库。xxxxxxxx公司是运维审计的领先者，其自主知识产权产品xx运维管理审计系统可涵盖多种运维协议（RDP、SSH、TELNET等）并提供操作回放检索、输入记录、标题抓取等功能，从明确人、主机、帐户各个角度，提供丰富的统计分析，帮助用户及时发现安全隐患，协助优化网络资源的使用。第二章 需求分析2.1 法律法规遵从需求目前，很多行业标准及法案明确做出规定，IT行为必须进行审计。ISO27001标准：条款A10.10.1要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便为安全事件的

4、调查和取证；条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为；条款A15.1.3明确要求必须保护组织的运行记录；条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。CC标准：信息技术通用评估准则（ Common Criteria for Information Technology Security Evaluation）中，安全审计是其安全功能要求中最重要的组成部分，同时也是信息系统安全体系中必备的一个措施，它是评判一个系统是否真正安全的重要尺码。SOX法案：302节：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有

5、财务报表都可靠而且付合公认会计准则(GAAP)。404节：要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。2.2现状需求分析xxxx的计算机网络以及数据库系统，是xxxx正常运行和核心数据信息安全的基础保障，为加强对网络信息安全的建设，满足国家法律法规的相关规定，满足行业相关文件和规定的技术要求，xxxx公司决定实施计算机网络安全日志审计系统。根据调研，xxxx需求如下：n 公用帐户 由于系统管理需要或运维人员为了使用方便，目前IT系统管理过程中，多人共用一个系统账号的情况普遍存在。多人同时使用一个系统帐号在带来管理方便性的同时，却带来了

6、操作者无法确定的问题，一旦发生安全事件，无法准确定位恶意操作或误操作的具体责任人。n 密码过于复杂 密码过于复杂，不想手动进行填写，且容易丢失，不希望记录过多的密码。n 定期更改密码上级部门要求必须定期更改密码，但服务器数量过多，管理人员希望能够自动修改，从而减轻工作压力。n 密码丢失由于密码过于复杂，经常出现密码丢失，有的管理人员为了便于记录，将密码写入文档保存在本地，造成安全隐患。n 权限分离领导或主管希望数据库管理员仅有数据库服务器的数据库服务管理权限，而不希望数据库管理员拥有系统管理权限。n 单点登录应用运维人员希望能够通过一个入口管理所有的应用，且不需要安装任何客户端程序，不需要填写

7、应用成熟的用户名、密码等信息，能够以最快的速度登录远程应用系统进行运维活动。n 集中管理希望能够对服务器进行集中统一管理，不需要因为网络等原因进行跳转和网络切换。n 远程运维希望所有的运维活动均能在远程完成，能够7*24小时进行运维活动，同时希望能够在任意地点进行远程运维。n 安全审计所有运维活动均需要有审计记录，审计记录包括：运维操作录像，运维过程键盘输入，rdp运维活动中窗口标题抓取。n 主动监控运维活动链接建立的同时，进行服务器监控，能够自动监控新的回话，并提示监控会话中的危险操作。n 批量操作能够对远程设备进行批量管理操作，以任务下发的方式，将命令等信息发送至远程设备，执行完成之后，将

8、远程设备回显记录返回给运维用户。n 报表能够根据运维回话建立、运维活动的时间、运维活动的人员、管理员对xx运维管理审计系统进行修改、对运维人员的登录为条件创建报表，并能以这些条件作为报表模板，定时生成报表。n 控制代维人员控制代维人员，对代维人员进行权限限制和审计，对代维人员活动范围进行限制。注：以上服务中，满足证监会要求中的1.1.2、1.1.3经过以上需求分析，xxxx推荐使用xx运维管理审计系统 基本远程操作协议u SSHu TELNETu FTP 图形终端操作协议u RDP（windows远程桌面）u VNC 数据库远程协议xx运维管理审计系统支持以下主流数据库远程访问协议审计u OR

9、ACLEu DB2u MS-SQL SERVERu INFORMIXu MySQLu SYBASE针对上述协议，xx运维管理审计系统能够记录整个会话的完整过程，并形成指令日志及回放文件2部分审计数据，指令日志供管理员针对操作指令进行快速审计，回放文件可供管理员针对特定的会话进行完整操作审计。此设备满足证监会要求2.1.3第三章 xx运维管理审计系统3.1 产品概述xx运维管理审计系统的核心技术原理是采用访问过程双向模拟技术。其主要实现方法为将原先的“客户端-服务器”访问模式，转变成“客户端-运维管理系统-服务器”的协议代理模式。在用户访问过程中，运维管理系统通过技术手段将原来的一次TCP会话，

10、拆分为两个独立的TCP会话，并分别在两个拆分后的会话中模拟了服务器端和客户端角色，因此，无论是与服务器通讯、还是与客户端通讯时，都能准确还原加密信息，进而实现对加密、图形协议的内容识别、控制功能。图2-1 xx运维管理审计系统体系架构xx运维管理审计系统主要由两大模块组成，协议控制模块、管理模块。协议控制层主要负责实现底层对访问过程的TCP会话拆分、还原识别操作内容、记录操作指令、并根据策略执行阻断操作。管理模块主要实现运维用户、操作对象的配置、访问授权控制策略控制以及行为审计功能。xx运维管理审计系统为B/S架构，管理员通过IE浏览器进行管理操作。3.2 设备部署示意图xx运维管理审计系统支

11、持多种部署方式，可以充分满足不同网络对审计系统的需求。xx运维管理审计系统部署支持Active-Active双机模式，避免产生单点故障而影响正常的维护通道。xx运维管理审计系统的部署应与网络访问控制列表、企业管理制度相结合，以便取得更好的审计效果。单臂模式部署方式：此处贴网络部署示意拓扑单臂模式部署时，xx运维管理审计系统只需要一个独立的IP即可。所有维护数据均通过此IP进行代理。维护人员只要登录该IP的指定端口即可直接访问到服务器，无须进行二次登录。采用单臂部署方式时，需要在交换机或防火墙上屏蔽其他维护通道。双机热备模式部署方式：此处贴网络部署示意拓扑单臂模式部署时，xx运维管理审计系统需要

12、三个独立的IP。两台互为热备的xx运维管理审计系统分别一个IP，第三个IP为两台互为热备的xx运维管理审计系统的虚拟IP，所有维护数据均通过虚拟IP进行代理。维护人员只要登录该虚拟IP的指定端口即可直接访问到服务器，无须进行二次登录。采用热备部署方式时，需要在交换机或防火墙上屏蔽其他维护通道。3.3 协议支持清单xx运维管理审计系统支持多种运维访问协议，能够充分满足日常运维管理需求，并能够根据需要，随时扩展其他访问协议。针对上述协议，xx运维管理审计系统能够记录整个RDP会话的完整过程，并形成指令日志、回放文件及窗口标题3部分审计数据，能够记录整个SSH/Telnet会话的完整过程，并形成指令

13、日志及回放文件2部分审计数据指令日志供管理员针对操作指令进行快速审计，回放文件可供管理员针对特定的会话进行完整操作审计。3.4 设备主要功能3.4.1单点登录xx运维管理审计系统支持基于B/S的单点登录系统，运维用户只需经过一次审计系统认证，就可以直接访问多种目标设备。单点登录系统采用与访问授权相结合方式进行，用户登录运维审计系统后，只能够访问已获得管理授权的目标设备。单点登录功能能够有效地提高运维人员的工作效率，运维人员无需记忆繁多的目标服务器IP、账号、密码信息，而只需要记住自己的审计系统账号、密码即可。3.4.2身份认证与鉴别xx运维管理审计系统支持多种身份认证方式，包括静态密码、Win

14、dows AD域、Radius认证、数字证书等，此外还可以通过认证接口扩展与第三方认证系统的集成。为解决服务器账号共用情况而带来的责任人难以确定的问题，xx运维管理审计系统通过“运维审计账号”与“服务器账号”关联的方式，为每次访问过程建立账号关联信息，从而实现将用户身份通过运维账号落实到唯一的操作“自然人”。3.4.3访问及操作授权xx运维管理审计系统能够实现基于运维用户、目标主机、目标账号访问方式的组合授权。3.4.4违规操作阻断除了按照主机对象进行授权外，运维审计系统也能够提供指令级细粒度的访问控制，最大限度保护用户资源的安全。管理员可以设定每个用户能够使用的黑、白指令集，一旦运维人员执行

15、黑名单指令，运维系统会自动阻断其操作，从而最大限度保护目标设备的安全，确保运维用户访问过程的合规性。3.4.5操作行为审计历史记录查询：系统支持通过目标地址、目标账号、运维账号、访问时间等方式对历史记录进行单条件或者多条件组合查询。历史操作指令查看：针对具体的某次特定操作会话，运维审计系统能够直接查看该操作过程的所有操作命令、RDP键盘输入、Windows窗口标题等，便于管理员进行人工分析。查看SSH操作指令查看Windows窗口标题数据库操作查看历史操作过程回放：对于任何一次历史操作，运维审计系统均能够通过图形回放方式重现原始操作过程。回放基于WEB界面进行，无须安装任何客户端软件，管理员可

16、以对回放过程进行常见的视频播放操作，如：快进、倍速播放、暂停、拖动等等，本系统还支持从特定位置进行定位回放。字符操作回放界面图形操作回放界面3.4.6操作过程监控对于所有进行中的访问操作，xx运维管理审计系统均可对其进行同步过程监视，运维人员在服务器上做的任何操作都会同步显示在管理人员的监控画面中，管理员可以根据需要随时切断违规操作会话。在线会话操作列表监控与被监控画面3.4.7 服务器密码管理为保障企业密码策略的顺利执行，xx运维管理审计系统提供主机密码定期自动修改功能；通过该功能管理员只需设定修改密码的策略即可，系统可根据策略自动定期修改目标服务器的密码，远程服务器不需要安装任何第三方软件

17、。修改后的密码强度可以由管理员指定。在每次自动改密后，改密结果文件可下载至本地，也可自动发送到管理员指定的邮箱中。3.4.8 批量执行功能为方便运维人员的管理操作，xx运维管理审计系统支持批量执行功能，可以由运维管理审计系统自动登录到大量的目标服务器，并执行设定的指令。审计系统能够自动捕获与服务器的交互信息，审计人员可以对自动执行过程及结果进行监控查看。3.4.9 报表功能xx运维管理审计系统支持对管理操作、用户操作、连接访问等内容生成各类安全审计报表。管理员可以通过自定义报表模板功能详细设定报表生成内容与统计范围。3.5 产品特点3.5.1 支持主动监控业界唯一的主动监控技术，支持通过C/S

18、方式自动显示当前正在进行的访问操作，适合监控中心使用。3.5.2 安全简便的部署方式旁路代理方式部署，仅需要为系统分配一个IP即可，无需安装任何服务端软件和客户端软件。3.5.3 完善的自审计功能系统具备详细的自审计功能，所有系统操作均会生成相应的日志记录，包括：用户登录、系统操作、录像查看、修改密码、邮件发送任务、记录归档任务、系统升级等等。3.5.4 深入的协议解析能力不仅能够解析明文操作，而且能够识别SSH加密操作，对于RDP远程访问操作，系统能够记录其键盘输入、窗口标题，方便后期审计。3.5.5 良好的协议扩展能力除了常见的SSH、RDP、VNC、HTTP等访问协议以外，还支持Radm

19、in、Pcanywhere等应用，并且可以通过二次开发方式方便的增加其他第三方应用。第四章 xx行业典型成功案例4.1 xxxx公司4.1.1 项目背景和需求xxxx公司成立于xxxx年，是我国知名的证券公司之一，公司总部设于xx，经过十多年的发展，分支机构和业务已经遍布全国各地，是国内最有影响力的证券公司之一 。为了保障整个公司的正常运行，其网络系统相当庞大和重要，其中包括OA区、TRADE交易区、数据库服务器区、网站服务器区等重要网络系统。 但是近几年来，由于受到高科技犯罪、黑客入侵、计算机病毒感染等威胁，金融信息系统的安全事故呈逐年上升趋势，对正常交易和日常维护也造成很大威胁。同时随着电子商务的蓬勃发展，通过 Internet 开展网上金融交易已经成为国内各大金融公司积极开拓业务的主要渠道之一，至今网上股民已经达到 2.1亿，安全保障将决定金融公司和客户的资金及交易的安全问题，直接影响到金融公司的形象。 所以迫切需要一个这样的