运维安全审计系统技术白皮书.doc

LogBase运维安全审计系统 技术白皮书 杭州思福迪信息技术有限公司 目 录 一、前言 3 二、为什么需要运维审计系统 4 三、LogBase审计产品概述 5 3.1系统架构 5 3.2技术原理 6 3.3支持协议清单 7 四、主要功能介绍 8 4.1统一用户身份认证 8 4.2访问权限控制 8 4.3服务器密码管理 8 4.4会话同步监控 9 4.5异常行为告警 9 4.6操作行为记录 9 4.7会话过程重放 9 4.8历史记录查询 10 4.9综合审计报表 10 五、产品特性 11 5.1无干扰部署方式 11 5.2支持所有主流协议 11 5.3WEB在线回放技术 11 5.4人性化使用方式 11 5.5丰富的审计报表 11 5.6安全可靠的自身保障能力 12 六、部署方式 13 七、综述 14  一、前言 各种权威的网络安全调查结果均表明，在可统计的安全事件中，60%以上均与内部人员有关，这其中既包括恶意行为（越权访问、恶意破坏、数据窃取），也包括各种非主观故意引起的非恶意行为（误操作、权限滥用）。由此可见，规范内部人员的访问行为，特别是核心系统（主机、网络设备、安全设备、数据等）的维护行为势在必行。 传统的信息安全建设，往往侧重于对外部黑客攻击的防范，以及网络边界的访问控制，对信息系统安全威胁最大的内部人员行为却缺乏有效的管理。企业内部人员，特别是拥有信息系统较高访问权限的运维人员（如网管员、临时聘用人员、第三方代维人员、厂商工程师等），比外部入侵者更容易接触到信息系统的核心设备和敏感数据、内部人员恶意或非恶意的破坏行为更容易造成较大的破坏。 然而，由于现有管理手段的不完善，账号共享情况普遍存在，以及加密、图形协议的广泛应用，使得这些运维管理人员的日常操作，存在操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控、操作事故无法定位等安全风险。内部人员的操作行为几乎处于完全失控的状态，一旦发生事故，其后果的严重性将是无法预估的。因此，放任内部风险的存在决不可行。? ”进行审计和控制。 为满足用户对加强内部运维安全审计日益迫切的需要，杭州思福迪公司，依托自身强大的研发能力，丰富的行业经验，自主研发了新一代软硬件一体化运维安全专用审计系统——Logbase运维安全审计系统。该系统支持对企业内部人员的操作行为进行全面的审计、监控，消除了传统审计系统中的盲点，使企业对运维人员的操作过程，能做到事前防范、事中控制、事后审计的能力，是企业IT内控最有效的管理平台。 二、为什么需要运维审计系统 企业的信息系统，在日常的内部运维管理及IT内控合规性遵循过程中，经常会遇到如下问题： 多位运维人员共用一个系统帐号，当出现安全事故时相互推诿，缺乏客观、可信的依据来确定事故责任人； 维护人员可能只需要执行简单的规定操作，但却通常需要使用拥有更多权限的系统账户，而系统自身又无法进行细粒度的授权管理，无法进行指令级或文件级别的访问权限控制； 服务器、网络设备、数据库等资产的数量日益增多，按照管理要求定期修改密码成为耗时费力的琐事，基层运维人员是否严格遵守制度，按时完成密码安全管理工作，管理人员无法方便得知； 当第三方运维人员（代维/原厂工程师），需要对系统进行操作时，基于对合作伙伴的信任及工作方便需要，企业内部人员通常会给与其拥有高权限的系统账户甚至管理员帐户，而管理员却无法从技术上确保，第三方人员的所有操作行为是否合规； 当系统因某些操作发生故障时，因为缺乏对操作过程的全程记录，无法还原事故现场，确定问题原因，而使得系统恢复时间大大延长；  三、LogBase审计产品概述 Logbase运维安全审计系统是新一代操作行为安全审计系统，它采用软硬件一体化设计，通过B/S方式(https)进行管理，其主要功能为实现对运维人员操作服务器、网络设备、数据库过程的全程监控与审计，以及对违规操作行为的实时阻断。 该产品采用先进的设计理念，支持对多种远程维护方式的支持，如字符终端方式(SSH、Telnet、Rlogin)、图形方式（RDP、X11、VNC、Radmin、PCAnywhere）、文件传输（FTP、SFTP）以及多种主流数据库的访问操作。 3.1系统架构 Logbase运维安全审计系统采用模块化设计，主要由以下模块组成：行为控制模块、审计模块、管理模块、存储模块、用户管理接口模块，各模块间关系如下图所示： 图1.系统架构图 行为控制模块 实现对网络、数据库、服务器维护过程的网络数据包代理转发、行为还原及记录、违规行为阻断功能； 管理模块 实现维护用户管理、主机资产管理、用户授权与访问权限管理，以及对审计记录的数据存储控制； 审计模块 实现行为安全审计功能，包括实时违规行为告警系统、历史记录检索系统