运维安全管理
传统的信息安全建设,往往侧重于对外部黑客攻击的防范,以及网络边界的访问控制,对信息系统安全威胁最大的内部人员行为却缺乏有效的管理。然而根据各种权威的网络安全调查结果均表明,在可统计的安全事件中,85%以上均与内部人员有关,特别是拥有信息系统较高访问权限的运维人员,比外部入侵者更容易接触到信息系统的核心设备和敏感数据、内部人员恶意或非恶意的破坏行为更容易造成较大的破坏。其中既包括恶意行为(越权访问、恶意破坏、数据窃取),也包括各种非主观故意引起的非恶意行为(误操作、权限滥用)。由此可见,规范各类内部人员(网络管理员、系统管理员、开发人员、代维人员及其他第三方厂商)的运维操作行为,特别是对核心系统(服务器、网络设备、安全设备、数据库等)的维护行为做好全面有效的事前预防、事中控制及事后审计已势在必行。
由于现有管理手段的不完善,无法鉴别与认证运维人员的身份,网络访问权限难以控制,系统账号共享的情况也普遍存在,以及加密、图形协议的广泛应用,使得这些运维管理人员的日常操作,存在操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控、操作事故无法定位等安全风险。内部人员的操作行为几乎处于完全失控的状态,一旦发生事故,其后果的严重性将是无法预估的。所以需要有效的安全管理手段来解决这些存在的高风险和安全隐患。
运维安全管理系统
运维安全管理系统(简称Logbase SOM)是新一代操作行为管理安全审计系统,它采用软硬件一体化设计,通过B/S方式(https)进行管理,其主要功能为实现对运维人员远程访问操作服务器、网络设备、数据库过程的认证、授权、监控与审计,实现对IT运维过程的全面监管,做到有效的事前预防、事中控制及事后审计,满足用户的安全管理需求。
运维安全管理系统架构图
运维安全管理系统为旁路部署,无需对网络拓扑结构进行任何调整。LogBase SOM支持单臂部署、双臂部署、HA双机热备部署及分部署部署等多种部署方式,可以充分满足不同网络对审计系统的需求。Logbase SOM的部署应与网络访问控制列表、企业管理制度相结合,以便取得更好的审计效果。
一、统一的身份认证
在信息系统的运维操作过程中,经常会出现多名维护人员共用设备(系统)账号进行远程访问的情况,从而导致出现安全事件无法清晰地定位责任人。运维安全管理系统为每一个运维人员创建唯一的运维账号(主账号),运维账号是获取目标设备访问权利的唯一账号,进行运维操作时,所有设备账号(从账号)均与主账号进行关联,确保所有运维行为审计记录的一致性,从而准确定位事故责任人,弥补传统网络安全审计产品无法准确定位用户身份的缺陷,有效解决账号共用问题。
运维安全管理系统部署后,运维人员可以通过不同的方式对目标对象进行访问、维护:
WEB控件方式访问,所有协议均可通过WEB空间方式从WEB直接发起访问,访问过程支持IE、Firefox、chrome等多种浏览器;
支持通过WEB直接调用本地客户端方式进行访问;
支持本地直接使用CS客户端直接访问,兼容管理员原有使用习惯
运维人员登录Logbase SOM系统时,系统会根据访问授权列表自动展示授权范围的主机,避免用户访问未经授权主机。
此外,Logbase SOM还支持在运维过程中要求其他运维人员进行协同操作的功能,在协同操作模式下,2名运维人员可以共同操作同一个访问会话界面;
四、设备密码管理功能系统内置了多个运维工作流程管理功能,IT部门能够通过运维工作流功能规范IT运维过程,工作流功能包含以下具体流程:
a)工作任务管理流程:
1. 任务发起人通过系统下发工作任务;
2. 任务接收人在个人消息中心实时接收工作任务信息;
3. 任务接收人完成工作,在WEB界面中进行任务回复;
4. 任务发起人接收到回复信息后,对任务执行情况进行确认,结束工作任务流程;
b)审计流程:
审计流程包含异常事件处理流程及报表审计流程两部分,审计人员可以查看相关异常事件及报表并添加相应的审计意见,否则该事件会一直处于未处理状态,以提醒审计人员对重点事件进行关注并审计。
系统支持主机系统账号的密码维护托管功能,系统支持自动定期修改windows、Linux、Unix、cisco、huawei等设备的账号密码。
五、批量执行功能
系统支持自动化在多台机器上批量执行指令。通过批量执行功能,管理员可以方便实现对多台主机的升级、备份等工作任务。
六、便利及细粒度访问授权
系统通过集中统一的访问控制和细粒度的命令级授权策略,确保每个运维用户拥有的权限是完成任务所需的最合理权限。
系统支持根据需求对特殊访问与操作进行二次审批功能,该功能可以进一步加强对第三方人员访问或关键设备访问操作的控制力度,确保所有访问操作都在实时监控过程中进行。
系统支持根据已设定的访问控制策略,自动检测日常运维过程中发生的越权访问、违规操作等安全事件,系统能够根据安全事件的类型、等级等条件进行自动的告警或阻断处理。
阻断未经授权用户访问主机;
阻断从异常客户端、异常时间段发起的访问行为;
阻断指令黑名单的操作行为;
阻断方式支持:断开会话、忽略指令;
九、实时操作过程监控告警方式支持:WEB界面告警、短信告警、邮件告警等。
对于所有远程访问目标主机的会话连接,Logbase审计系统均可实现操作过程同步监视,运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中,管理员可以随时手工中断违规操作会话。
十、历史记录查询
运维安全管理系统支持两种查询功能,快速查询(单一条件)和高级查询(多重组合条件),审计人员可以根据操作时间、源、目标IP地址、用户名(运维、主机)、操作指令等条件对历史数据进行查询,快速定位历史事件。
十一、历史操作图像情况运维安全管理系统能够以视频回放方式,可根据操作记录定位回放或完整重现维护人员对远程主机的整个操作过程,从而真正实现对操作内容的完全审计。
十二、综合审计报告
系统拥有强大的报表功能,内置能够满足不用客户审计需求的安全审计报表模板,支持自动或手工方式生成运维审计报告,便于管理员全面分析运维的合规性。
十三、审计数据存储管理
系统支持自动化审计数据存储管理,管理员可以对审计数据进行手工备份、导出,也可以设定自动归档策略进行自动归档。
