RAS-瑞星運維管理審計系統(tǒng)產(chǎn)品技術(shù)方案

北京瑞星科技發(fā)展有限公司第2頁共79頁瑞星運維管理審計系統(tǒng)產(chǎn)品技術(shù)方案LinkTrustSecurityOperationCenter STYLEREF標題1版權(quán)聲明SYMBOL183\f"Symbol"PAGE\*ROMANIISTYLEREF無標題_版本控制錯誤!文檔中沒有指定樣式的文字。SYMBOL183\f"Symbol"PAGE\*ROMANISTYLEREF標題1版權(quán)聲明SYMBOL183\f"Symbol"PAGE\*ROMANII版權(quán)聲明權(quán)利歸屬本文檔中的運維審計網(wǎng)關(guān)的所有權(quán)和運作權(quán)等版權(quán)法及有關(guān)法律規(guī)定的權(quán)利和一切商業(yè)權(quán)益均歸瑞星科技發(fā)展有限公司，瑞星提供的服務(wù)將完全按照其發(fā)布的本聲明以及相關(guān)的操作規(guī)則嚴格執(zhí)行。因運維審計網(wǎng)關(guān)所產(chǎn)生的一切知識產(chǎn)權(quán)歸瑞星公司，并受版權(quán)、商標、標簽和其他財產(chǎn)所有權(quán)法律的保護。其它產(chǎn)品說明本文檔中所提及的所有其他名稱是各自所有者的品牌、產(chǎn)品、商標或注冊商標。授權(quán)聲明任何組織和個人對瑞星產(chǎn)品的擁有、使用以及復(fù)制、修改等涉及版權(quán)法等有關(guān)法律所規(guī)定的權(quán)利都必須經(jīng)過瑞星書面同意和有效授權(quán)。管理運維人員對信息和服務(wù)的使用是根據(jù)所有適用于瑞星的國家法律、地方法律和國際公約或協(xié)定。特別提示使用本產(chǎn)品之風(fēng)險由使用者自行承擔(dān)。瑞星對使用本產(chǎn)品不提供任何明示或默示的擔(dān)?；虮ＷC，包括但不限于商業(yè)適售性、特定目的之適用性及未侵害他人權(quán)利等擔(dān)保或保證；瑞星在任何情況下均不就因使用或不能使用本軟件而發(fā)生的損失（包括但不限于營業(yè)利潤損失、業(yè)務(wù)中斷、業(yè)務(wù)信息、文檔、數(shù)據(jù)丟失或其他經(jīng)濟損失）承擔(dān)賠償責(zé)任，即使已通知本公司有可能發(fā)生該損失的亦是如此。本產(chǎn)品并不是對現(xiàn)有的和將來的所有種類的病毒或漏洞均有效，本公司不保證本產(chǎn)品會對目前或?qū)淼娜魏畏N類病毒或漏洞皆有效；從本公司獲得的任何信息或建議，無論是書面或口頭形式，除非另有約定或協(xié)議，將不構(gòu)成本聲明之外的任何擔(dān)?；虮ＷC。有限責(zé)任瑞星僅就產(chǎn)品說明書中說明的范圍承擔(dān)責(zé)任，瑞星對引起使用或傳播的任何損害（包括直接的、間接的、偶然的、特殊的或繼起的損害）不負任何責(zé)任（即使已經(jīng)建議瑞星這些損害的可能性）。法律適用使用瑞星產(chǎn)品適用瑞星所在國家的法律法規(guī)、國際公約或協(xié)定。目的本聲明僅為文檔信息的使用，非為廣告或產(chǎn)品背書目的。爭議處理本聲明受中華人民共和國法律管轄并按其解釋；運維人員與瑞星之間因使用本產(chǎn)品所引起的爭議由雙方當事人協(xié)商解決或由有關(guān)部門調(diào)解；協(xié)商或調(diào)解不成的，依照中華人民共和國法律相關(guān)規(guī)定予以解決。STYLEREF標題1前言SYMBOL183\f"Symbol"PAGE\*ROMANIII前言適用對象本手冊適用于產(chǎn)品銷售、售前人員使用。LinkTrustSecurityOperationCenter STYLEREF目錄標題目錄SYMBOL183\f"Symbol"PAGE\*ROMANIISTYLEREF目錄標題目錄SYMBOL183\f"Symbol"PAGE\*ROMANI目錄版權(quán)聲明 II前言 IV適用對象 IV第一章 綜述 1背景介紹 1需求分析 1技術(shù)管理者需求 1ISO27001標準： 2第二章 建設(shè)思路 3建設(shè)原則 3建設(shè)目標 4預(yù)期效果 4第三章 產(chǎn)品介紹 5產(chǎn)品簡介 5功能概覽 6單點登錄 6身份認證與鑒別 6訪問及操作授權(quán) 7違規(guī)操作阻斷 7操作行為審計 8操作過程監(jiān)控 10服務(wù)器密碼管理 11批量執(zhí)行功能 12報表功能 12系統(tǒng)部署 13協(xié)議支持清單 14產(chǎn)品優(yōu)勢 15支持主動監(jiān)控 15安全簡便的部署方式 15完善的自審計功能 15深入的協(xié)議解析能力 15良好的協(xié)議擴展能力 16背景分析SYMBOL183\f"Symbol"PAGE2綜述背景介紹隨著信息技術(shù)的不斷發(fā)展和信息化建設(shè)的不斷進步，IT系統(tǒng)在各領(lǐng)域發(fā)揮的重要性越來越高。運營商、金融證券行業(yè)、游戲、政府、大型工業(yè)企業(yè)都高度依賴IT系統(tǒng)進行生產(chǎn)和服務(wù)。然而，隨著IT系統(tǒng)規(guī)模的擴大，以及IT系統(tǒng)資產(chǎn)價值的增加，系統(tǒng)面臨的安全威脅也隨之增加。這些威脅中除了來自外部的黑客攻擊以外，更多的是由于內(nèi)部運維管理水平的不足而產(chǎn)生的，如：內(nèi)部運維人員的惡意破壞操作、誤操作，第三方維護人員的越權(quán)訪問、數(shù)據(jù)竊取等等。這些由于內(nèi)部(第三方支持人員)而產(chǎn)生的安全事件，對單位或者企業(yè)造成更大的負面影響，其所能造成的損失往往是不可估量。此外，隨著國內(nèi)IT管理水平的提升，IT法規(guī)的健全，無論是政府還是企業(yè)單位、上市公司，對于IT法規(guī)遵從的要求都越來越高，IT法規(guī)遵從的重點之一就是如何處理來自內(nèi)部的IT運維管理風(fēng)險日益，規(guī)避內(nèi)部IT操作風(fēng)險。因此，如何針對內(nèi)部IT運維人員的運維行為進行審計，如何提高系統(tǒng)運維管理水平，滿足相關(guān)法規(guī)標準要求，已經(jīng)成為所有企業(yè)IT主管急需解決的問題。需求分析技術(shù)管理者需求目前，企業(yè)IT系統(tǒng)在運維安全方面主要面臨的問題如下：共享帳號帶來的安全隱患由于系統(tǒng)管理需要或運維人員為了使用方便，目前IT系統(tǒng)管理過程中，多人共用一個系統(tǒng)賬號的情況普遍存在。多人同時使用一個系統(tǒng)帳號在帶來管理方便性的同時，卻帶來了操作者無法確定的問題，一旦發(fā)生安全事件，無法準確定位惡意操作或誤操作的具體責(zé)任人。難以進行細粒度訪問授權(quán)目前的訪問授權(quán)系統(tǒng)一般有網(wǎng)絡(luò)層訪問控制以及主機層的賬戶控制為主。由于操作系統(tǒng)自身的功能限制，目前主流使用的操作系統(tǒng)、數(shù)據(jù)庫都無法做到指令級授權(quán)控制。第三方維護人員往往會因為一個簡單的維護需求，卻為其分配了一個超級運維人員權(quán)限，從而帶來一系列的安全隱患。設(shè)備密碼安全策略難以有效執(zhí)行在企業(yè)內(nèi)部的IT管理規(guī)范中，為了保證密碼的安全性，都會制定比較嚴格的密碼管理策略，如要定期修改密碼；密碼要有足夠強度等。但在實際情況中，由于管理的機器數(shù)量和帳號數(shù)量太多，定期修改成復(fù)雜密碼實施難度較大，因此管理員往往難以做到定期修改，并且都會使用有一定規(guī)律性的密碼。缺乏對運維過程的監(jiān)督審計能力目前，隨著安全需求的提升，加密的SSH、HTTPS、圖形化的操作已經(jīng)逐步代替了傳統(tǒng)的telnet之類的明文訪問協(xié)議，而傳統(tǒng)的安全審計產(chǎn)品只能處理明文訪問協(xié)議，對于加密和圖形的訪問協(xié)議無法進行內(nèi)容識別，因而，監(jiān)督、審計功能也就無法實現(xiàn)。法律法規(guī)遵從需求目前，很多行業(yè)標準及法案明確做出規(guī)定，IT行為必須進行審計。ISO27001標準：條款A(yù)10.10.1要求組織必須記錄運維人員訪問、意外和信息安全事件的日志，并保留一定期限，以便為安全事件的調(diào)查和取證；條款A(yù)10.10.4要求組織必須記錄系統(tǒng)管理和維護人員的操作行為；條款A(yù)15.1.3明確要求必須保護組織的運行記錄；條款A(yù)15.2.1則要求信息系統(tǒng)經(jīng)理必須確保所有負責(zé)的安全過程都在正確執(zhí)行，符合安全策略和標準的要求。CC標準：信息技術(shù)通用評估準則（CommonCriteriaforInformationTechnologySecurityEvaluation）中，安全審計是其安全功能要求中最重要的組成部分，同時也是信息系統(tǒng)安全體系中必備的一個措施，它是評判一個系統(tǒng)是否真正安全的重要尺碼。SOX法案：302節(jié)：要求行政人員證明他們公司設(shè)計和執(zhí)行了適當?shù)目刂疲员ＷC所有財務(wù)報表都可靠而且付合公認會計準則(GAAP)。404節(jié)：要求所有在302節(jié)中所控制的過程都有可信的財務(wù)報表。這法令要求IT經(jīng)理對所有有關(guān)財務(wù)報表的產(chǎn)生過程負責(zé)。STYLEREF"標題1,H1,DocAccpt,h1,l1,Head1(Chapterheading),Head1,Head11,Head12,Head111,Head13,Head112,Head14,Head113,Head15,Head114,Head16,Head115,Head17,Head116,Head18,Head117,Head19,Head118,Head121,Head1111,Head131,Head1121,Head141,章,Sec1"產(chǎn)品介紹SYMBOL183\f"Symbol"PAGE\*Arabic16STYLEREF"標題1,H1,DocAccpt,h1,l1,Head1(Chapterheading),Head1,Head11,Head12,Head111,Head13,Head112,Head14,Head113,Head15,Head114,Head16,Head115,Head17,Head116,Head18,Head117,Head19,Head118,Head121,Head1111,Head131,Head1121,Head141,章,Sec1"建設(shè)思路SYMBOL183\f"Symbol"PAGE\*Arabic3建設(shè)思路建設(shè)原則符合性原則：符合國務(wù)院下發(fā)的《2006━2020年國家信息化發(fā)展戰(zhàn)略》中關(guān)于加強信息安全保障體系建設(shè)的原則；符合國家27號文件指出的積極防御、綜合防范的方針和等級保護的原則；符合國家《信息安全技術(shù)信息系統(tǒng)安全等級保護》標準；符合國家《信息安全事件分類分級指南》標準；遵循SOX404條款要求增強IT內(nèi)部控制的原則；標準性原則：技術(shù)方案的設(shè)計與實施應(yīng)依據(jù)國內(nèi)或國際的相關(guān)標準進行；規(guī)范性原則：服務(wù)提供商的工作中的過程和文檔，具有很好的規(guī)范性，可以便于項目的跟蹤和控制；可控性原則：項目進度要與時間計劃表的安排一致，保證甲方對于項目管理的可控性；開放性：系統(tǒng)遵循各種IP網(wǎng)絡(luò)國際標準和安全標準，有助于與其他系統(tǒng)的聯(lián)運與協(xié)作；可擴展性：系統(tǒng)設(shè)計時具備良好的擴展性，采用模塊化設(shè)計，不同模塊可以集中和分布部署，中心處理服務(wù)器根據(jù)規(guī)?？梢圆渴鸲嗯_等不同方式；互操作性：系統(tǒng)提供與現(xiàn)有系統(tǒng)的接口，包括網(wǎng)管系統(tǒng)、安全系統(tǒng)、流量監(jiān)控系統(tǒng)，推進和實現(xiàn)“集中管理、集中監(jiān)控、集中派單、集中配置、集中支援”；安全性：系統(tǒng)涉及整個IP網(wǎng)絡(luò)的敏感信息，設(shè)計時充分考慮了管理數(shù)據(jù)的保密性、可用性、完整性的要求，對項目過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害甲方網(wǎng)絡(luò)的行為，否則甲方有權(quán)追究乙方的責(zé)任；經(jīng)濟性：在設(shè)計方案時，要充分了解甲方現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備狀況，再充分考慮利用現(xiàn)有網(wǎng)絡(luò)和硬件設(shè)施的情況之下，考慮購置新設(shè)備；重點部署、分布實施：安全系統(tǒng)工程是融合設(shè)備、技術(shù)、管理于一體的系統(tǒng)工程，需要全面考慮；同時，盡量考慮到涉及網(wǎng)絡(luò)安全的重點因素，充分考慮可擴展性和可持續(xù)性，從解決眼前問題、夯實基礎(chǔ)、建設(shè)整個體系等方面作好安全工作；盡量減少對現(xiàn)有網(wǎng)絡(luò)應(yīng)用的影響：部署時要盡量減少對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)的影響。同時也要充分考慮安全產(chǎn)品和現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)產(chǎn)品、網(wǎng)絡(luò)應(yīng)用的兼容性，保護網(wǎng)絡(luò)建設(shè)的投資；建設(shè)目標利用安全審計網(wǎng)關(guān)的功能特點，為運維人員提供可伸縮、無干擾、快速靈活的對關(guān)鍵設(shè)備運行日志等進行實時分析、快速檢索和綜合審計等功能，為系統(tǒng)管理員構(gòu)建覆蓋面廣、監(jiān)控有力、響應(yīng)及時的集中安全事件管理平臺，也為今后事故的追查取證提供第三方、仿篡改的原始記錄庫。預(yù)期效果運維人員只需經(jīng)過一次審計系統(tǒng)認證，就可以直接訪問多種目標設(shè)備，即單點登錄。單點登錄系統(tǒng)采用與訪問授權(quán)相結(jié)合方式進行，運維人員登錄審計系統(tǒng)后，只能夠訪問已獲得管理授權(quán)的目標設(shè)備，無需記憶繁多的目標服務(wù)器IP、賬號、密碼信息，而只需要記住自己的審計系統(tǒng)賬號、密碼即可；支持多種身份認證方式及對運維人員訪問操作的授權(quán)，并對違規(guī)操作進行阻斷。運維人員可以查詢歷史操作記錄，并且對于任何一次歷史操作，均能夠通過圖形回放方式重現(xiàn)原始操作過程。對于所有進行中的訪問操作，系統(tǒng)均可對其進行同步過程監(jiān)視，運維人員在服務(wù)器上做的任何操作都會同步顯示在管理人員的監(jiān)控畫面中，管理員可以根據(jù)需要隨時切斷違規(guī)操作會話。運維人員通過報表的方式對管理操作、運維人員操作、連接訪問等內(nèi)容生成各類安全審計報表，并且可以通過自定義報表模板功能詳細設(shè)定報表生成內(nèi)容與統(tǒng)計范圍。產(chǎn)品介紹產(chǎn)品簡介瑞星運維管理審計系統(tǒng)的核心技術(shù)原理是采用訪問過程雙向模擬技術(shù)。其主要實現(xiàn)方法為將原先的“客戶端-服務(wù)器”訪問模式，轉(zhuǎn)變成“客戶端-運維管理系統(tǒng)-服務(wù)器”的協(xié)議代理模式。在運維人員訪問過程中，運維審計網(wǎng)關(guān)通過技術(shù)手段將原來的一次TCP會話，拆分為兩個獨立的TCP會話，并分別在兩個拆分后的會話中模擬了服務(wù)器端和客戶端角色，因此，無論是與服務(wù)器通訊、還是與客戶端通訊時，都能準確還原加密信息，進而實現(xiàn)對加密、圖形協(xié)議的內(nèi)容識別、控制功能。圖3-1系統(tǒng)體系架構(gòu)瑞星運維管理審計系統(tǒng)主要由兩大模塊組成：協(xié)議控制模塊、管理模塊。協(xié)議控制模塊主要負責(zé)實現(xiàn)底層對訪問過程的TCP會話拆分、還原識別操作內(nèi)容、記錄操作指令、并根據(jù)策略執(zhí)行阻斷操作。管理模塊主要實現(xiàn)運維人員、操作對象的配置、訪問授權(quán)控制策略控制以及行為審計功能。瑞星運維管理審計系統(tǒng)為B/S架構(gòu)，管理員通過IE瀏覽器進行管理操作。功能概覽單點登錄運維審計網(wǎng)關(guān)支持基于B/S的單點登錄系統(tǒng)，運維人員只需經(jīng)過一次審計系統(tǒng)認證，就可以直接訪問多種目標設(shè)備。單點登錄系統(tǒng)采用與訪問授權(quán)相結(jié)合方式進行，運維人員登錄運維審計網(wǎng)關(guān)后，只能夠訪問已獲得管理授權(quán)的目標設(shè)備。單點登錄功能能夠有效地提高運維人員的工作效率，無需記憶繁多的目標服務(wù)器IP、賬號、密碼信息，而只需要記住自己的審計系統(tǒng)賬號、密碼即可。身份認證與鑒別運維審計網(wǎng)關(guān)支持多種身份認證方式，包括靜態(tài)密碼、WindowsAD域、Radius認證、數(shù)字證書等，此外還可以通過認證接口擴展與第三方認證系統(tǒng)的集成。為解決服務(wù)器賬號共用情況而帶來的責(zé)任人難以確定的問題，運維審計網(wǎng)關(guān)通過“運維審計賬號”與“服務(wù)器賬號”關(guān)聯(lián)的方式，為每次訪問過程建立賬號關(guān)聯(lián)信息，從而實現(xiàn)將運維人員身份通過運維賬號落實到唯一的操作“自然人”。訪問及操作授權(quán)運維審計網(wǎng)關(guān)能夠?qū)崿F(xiàn)基于運維人員、目標主機、目標賬號訪問方式的組合授權(quán)。違規(guī)操作阻斷除了按照主機對象進行授權(quán)外，運維審計網(wǎng)關(guān)也能夠提供指令級細粒度的訪問控制，最大限度保護運維人員資源的安全。管理員可以設(shè)定每個運維人員能夠使用的黑、白指令集，一旦運維人員執(zhí)行黑名單指令，系統(tǒng)會自動阻斷其操作，從而最大限度保護目標設(shè)備的安全，確保運維人員訪問過程的合規(guī)性。操作行為審計歷史記錄查詢：系統(tǒng)支持通過目標地址、目標賬號、運維賬號、訪問時間等方式對歷史記錄進行單條件或者多條件組合查詢。歷史操作指令查看：針對具體的某次特定操作會話，運維審計網(wǎng)關(guān)能夠直接查看該操作過程的所有操作命令、RDP鍵盤輸入、Windows窗口標題等，便于管理員進行人工分析。查看SSH操作指令界面：查看Windows窗口標題界面：數(shù)據(jù)庫操作查看界面：歷史操作過程回放：對于任何一次歷史操作，運維審計網(wǎng)關(guān)均能夠通過圖形回放方式重現(xiàn)原始操作過程?；胤呕赪EB界面進行，無須安裝任何客戶端軟件，管理員可以對回放過程進行常見的視頻播放操作，如：快進、倍速播放、暫停、拖動等等，本系統(tǒng)還支持從特定位置進行定位回放。字符操作回放界面：圖形操作回放界面：操作過程監(jiān)控對于所有進行中的訪問操作，運維審計網(wǎng)關(guān)均可對其進行同步過程監(jiān)視，運維人員在服務(wù)器上做的任何操作都會同步顯示在管理人員的監(jiān)控畫面中，管理員可以根據(jù)需要隨時切斷違規(guī)操作會話。在線會話操作列表：監(jiān)控與被監(jiān)控畫面：服務(wù)器密碼管理為保障企業(yè)密碼策略的順利執(zhí)行，運維審計網(wǎng)關(guān)提供主機密碼定期自動修改功能；通過該功能管理員只需設(shè)定修改密碼的策略即可，系統(tǒng)可根據(jù)策略自動定期修改目標服務(wù)器的密碼，遠程服務(wù)器不需要安裝任何第三方軟件。修改后的密碼強度可以由管理員指定。在每次自動改密后，改密結(jié)果文件可下載至