運維安全審計系統(tǒng)解決方案

1、運維安全審計系統(tǒng)解決方案北京趨勢恒信科技有限公司聯(lián)系方式：010-2011年4月目 錄1前言12運維現(xiàn)狀23安全分析及需求33.1安全分析33.2建設需求54設計原則及依據(jù)64.1設計原則64.2設計依據(jù)65解決方案95.1部署拓撲示意圖95.2安全實現(xiàn)過程105.3產(chǎn)品列表及性能115.3.1產(chǎn)品列表115.3.2產(chǎn)品性能參數(shù)115.4產(chǎn)品上線給企業(yè)帶來的優(yōu)勢121 前言作為企業(yè)的IT技術主管，經(jīng)常會被一些問題所困擾，如：業(yè)務系統(tǒng)數(shù)量越來越多，且安全管理相對分隔，不利于故障的準確定位；IT系統(tǒng)的關鍵配置信息登記不完善，不利于IT運維人員的整體管理和把控；故障

2、處理解決方案的知識不能得到有效沉淀，發(fā)生類似問題不能及時調(diào)用成型解決方案，對人員依賴性問題嚴重；IT運維人員的技能要求不斷增高，繁多的業(yè)務系統(tǒng)需要業(yè)務人員進行更多的維護和管理，而工作卻無法得以量化。另外，目前計算機及網(wǎng)絡風險日益突出，計算機犯罪案件就以每年成倍增長，發(fā)案原因多以有章不循、屢禁不止、檢查監(jiān)督不力等內(nèi)部風險控制和運行管理方面的安全漏洞為主。 因此加強計算機及網(wǎng)絡內(nèi)部管理和監(jiān)控是保證計算機系統(tǒng)安全生產(chǎn)的重中之重，為此，各單位都采用了多種技術手段，如會話加密、數(shù)字證書、防火墻、虛擬專用網(wǎng)等，但運維管理仍存在較多的安全隱患，特別體現(xiàn)在針對核心服務器、網(wǎng)絡基礎設施的運維管理上。2 運維現(xiàn)狀

3、目前公司內(nèi)部日常運維的安全現(xiàn)狀如下：1) 針對核心服務器缺乏必要的審計手段，僅能通過監(jiān)控錄像、雙人分段或?qū)Ｈ吮４婷艽a、操作系統(tǒng)日志結(jié)合手工記錄操作日志等管理辦法，無法追溯操作人員在服務器上的操作過程、了解操作人員行為意圖，并且這樣的管理成本很高，很難做到長期照章執(zhí)行。2) 對服務器的維護和管理依賴于操作系統(tǒng)的口令認證，口令具有可被轉(zhuǎn)授、被窺探及易被遺忘等弱點，另外，在實際環(huán)境中還存在經(jīng)常使用Root權限帳戶而導致授權不方便等現(xiàn)象，使得管理困難，成本較高。3) 針對許多外包服務商、廠商技術支持人員、項目集成商等在對內(nèi)部核心服務器、網(wǎng)絡基礎設施進行現(xiàn)場調(diào)試或遠程技術維護時，無法有效的記錄其操作過程

4、、維護內(nèi)容，極容易泄露核心機密數(shù)據(jù)或遭到潛在的惡意破壞。3 安全分析及需求3.1 安全分析（一）、IT系統(tǒng)口令管理復雜且存在隱患IT系統(tǒng)口令對IT系統(tǒng)的安全是非常重要的，因此隨著IT系統(tǒng)數(shù)量龐大，IT系統(tǒng)的口令管理工作量越來越大，復雜度也越來越高。另外，在實際管理中，由于管理和使用的矛盾導致IT系統(tǒng)口令管理存在很多安全隱患。主要表現(xiàn)如下：l 為了滿足安全管理要求，IT系統(tǒng)的口令需定期修改（一般半個月或一個月），這大大加大了口令管理的工作量。l 口令強度要滿足安全要求，其復雜性也有一定要求。一方面加大了修改口令的工作量和復雜度，同時對維護人員來說也很不方便，經(jīng)常是將口令記錄在記事本上，造成口令泄

5、露問題。l 在實際操作中，經(jīng)常將口令設置為很有規(guī)律性，一旦知道一個口令，很容易知道其他系統(tǒng)的口令。（二）、多入口操作現(xiàn)象頻繁l 隨著IT系統(tǒng)構成的復雜，在運維過程中可通過多種入口對IT系統(tǒng)進行維護，導致無法統(tǒng)一管理、設置統(tǒng)一安全策略等而引起各種安全隱患。l 操作人員復雜、操作習慣不同以及故障情況下，都導致通過不同入口（如：遠程、KVM、主機本身）去維護系統(tǒng)。（三）、交叉運維操作現(xiàn)象l 在IT系統(tǒng)運維過程中，存在多種管理角色，如設備管理員、系統(tǒng)管理員、安全管理員和應用系統(tǒng)管理員等，同時對于同一個角色也同樣存在多個管理員。對于這些管理員進行維護時，可能是使用IT系統(tǒng)的同一個帳號，這樣一旦出現(xiàn)問題很

6、難定位具體某個人的操作。l 存在交叉維護時的口令傳遞問題，容易泄露。（四）、越權和違規(guī)操作l 根據(jù)最新的統(tǒng)計資料，11%的安全問題導致網(wǎng)絡數(shù)據(jù)破壞，14%的安全問題導致數(shù)據(jù)失密，而從惡意攻擊的特點來看，70%的攻擊來自組織內(nèi)部。尤其面對擁有特權的維護用戶，由于以前沒有一種技術手段來監(jiān)控、控制其操作，所以出現(xiàn)越權或違規(guī)操作的現(xiàn)象時有出現(xiàn)。l 無法保證可信的用戶才能訪問其擁有權限的資源，無法規(guī)避越權或違規(guī)操作，導致安全事件發(fā)生。（五）、無詳細的操作、審計記錄針對運維操作，IT系統(tǒng)是靠系統(tǒng)日志方式進行記錄的。它存在以下問題：l 系統(tǒng)日志不獨立，無法防止被篡改；l 系統(tǒng)日志記錄信息不全面，目前系統(tǒng)日志

7、記錄的信息相對簡單，多數(shù)僅記錄登陸、退出、時間、部分事件，而且檢索不方便。l 系統(tǒng)日志較復雜，一般審計人員根本無法解讀，無法再現(xiàn)當時的操作場景。（六）、無法滿足合規(guī)性檢查l IT系統(tǒng)的重要性和對業(yè)務系統(tǒng)影響越來越大，相關的法律、法規(guī)對其安全性、可持續(xù)性工作、IT操作風險以及企業(yè)內(nèi)控等都有明確的要求。電網(wǎng)均有內(nèi)審和外審來評估IT系統(tǒng)的安全性。目前面對這些合規(guī)性檢查，只能是制度上的檢查，極需要有效的技術手段來體現(xiàn)這些制度的落實。l 目前國家等級保護要求，國際諸如薩巴斯法案、巴塞爾協(xié)議等均在全世界推廣，但多數(shù)安全維護方面無法滿足該安全要求。（七）、缺乏運維安全分析報告l 目前運維管理方面，由于沒有監(jiān)

8、控審計數(shù)據(jù)，無法實現(xiàn)定期的運維安全情況的分析報告。l 對于運維過程存在的問題無法有定量或定性的分析數(shù)據(jù)，只能簡單從安全事件方面進行描述，發(fā)現(xiàn)潛在安全風險。3.2 建設需求金融機構對信息安全建設比較重視，處于同行業(yè)較高水平，但是其運維安全管理、內(nèi)控機制等方面也存在上述問題，因此針對運維管理的具體需求如下：1) 支持日常維護人員針對AIX、Linux主機設備，主流網(wǎng)絡設備、Windows服務器的進行的運行維護操作審計；2) 可以支持針對外部廠商遠程運行維護時，進行操作審計；3) 審計協(xié)議支持Telnet、FTP、SSH、SFTP、RDP、VNC、HTTP、HTTPS等；4) 詳細的權限分配功能，可

9、以根據(jù)時間、登錄IP、目標資源等進行詳細授權，并可集成公司內(nèi)部AD域認證；5) 支持按時間、用戶名、被審計設備、命令等進行的定制報表，并可以導出Excel或PDF等格式報表；6) 設備支持硬件冗余方式，并支持HA。4 設計原則及依據(jù)4.1 設計原則1) 符合政策的原則系統(tǒng)設計要遵循國家的相關安全政策，參照國家標準、國際標準、行業(yè)標準及相關安全指南，避免安全政策風險和運行風險。2) 安全目標與效率、投入之間的平衡原則 要綜合考慮安全目標與效率、投入之間的均衡關系，確定合適的平衡點，不能為了追求安全而犧牲效率，或投入過大。3) 標準化與一致性原則 產(chǎn)品方面必須遵循一系列的業(yè)界標準，充分考慮不同系統(tǒng)

10、之間的兼容一致性。4) 動態(tài)發(fā)展原則 安全建設不是一個一勞永逸的工作，而是一個長期不斷完善的過程，所以產(chǎn)品技術要能夠隨著安全技術的發(fā)展、外部環(huán)境的變化、安全目標的調(diào)整而不斷升級發(fā)展。5) 高可用性和可靠性產(chǎn)品要滿足高可用性要求，系統(tǒng)應具有高可靠性設計，以滿足業(yè)務持續(xù)性運行要求。6) 易管理原則產(chǎn)品盡量使用易管理、易維護，避免管理的復雜和難于集成，減少運維成本等。4.2 設計依據(jù)本方案設計依據(jù)的標準、規(guī)范和需求主要有：n 中華人民共和國銀行業(yè)監(jiān)督管理法；n GB17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則；n GB/T 18336 IDT ISO/IEC 15408:1999 信息技

11、術安全性評估準則；n ISO/IEC17799-2000；n BS/7799；n 商業(yè)銀行操作風險管理指引 第十七條商業(yè)銀行應當將加強內(nèi)部控制作為操作風險管理的有效手段，與此相關的內(nèi)部措施至少應當包括： 部門之間具有明確的職責分工以及相關職能的適當分離，以避免潛在的利益沖突； 密切監(jiān)測遵守指定風險限額或權限的情況； 對接觸和使用銀行資產(chǎn)的記錄進行安全監(jiān)控；n 商業(yè)銀行內(nèi)部控制指引 第四條商業(yè)銀行內(nèi)部控制應當貫徹全面、審慎、有效、獨立的原則，包括：內(nèi)部控制應當滲透商業(yè)銀行的各項業(yè)務過程和各個操作環(huán)節(jié)，覆蓋所有的部門和崗位，并由全體人員參與，任何決策或操作均應當有案可查。 第十一條商業(yè)銀行應當建立

12、涵蓋各項業(yè)務、全行范圍的風險管理系統(tǒng)，開發(fā)和運用風險量化評估的方法和模型，對信用風險、市場風險、流動性風險、操作風險等各類風險進行持續(xù)的監(jiān)控。 第一百二十二條商業(yè)銀行應當建立和健全網(wǎng)絡管理系統(tǒng)，有效地管理網(wǎng)絡的安全、故障、性能、配置等，并對接入國際互聯(lián)網(wǎng)實施有效的安全管理。 第一百二十四條商業(yè)銀行應當對計算機信息系統(tǒng)的接入建立適當?shù)氖跈喑绦?，并對接入后的操作進行安全控制。輸入計算機信息系統(tǒng)的數(shù)據(jù)應當核對無誤，數(shù)據(jù)的修改應當經(jīng)過批準并建立日志。 第一百二十六條商業(yè)銀行的網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用程序等均應當設置必要的日志。日志應當能夠滿足各類內(nèi)部和外部審計的需要。 第一百二十八條商業(yè)銀

13、行運用計算機處理業(yè)務，應當具有可復核性和可追溯性，并為有關的審計或檢查留有接口。n 金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定 第二十五條 金融機構應當實行權限分散原則。明確系統(tǒng)管理員、系統(tǒng)操作員、終端操作員、程序員的權限和操作范圍。建立系統(tǒng)運行日志，每天打印重要的操作清單。日志信息長期保存，以備稽查。 第二十八條 金融機構應當用軟、硬件技術嚴格控制各級用戶對數(shù)據(jù)信息的訪問權限，包括訪問的方式和內(nèi)容。5 解決方案5.1 部署拓撲示意圖運維安全審計系統(tǒng)部署示意圖如下：部署說明：l 針對運維審計系統(tǒng)的工作特點，推薦在金融機構交換機劃分出“安全運維網(wǎng)段”，并使該網(wǎng)段路由可達到任何區(qū)域；l 在安全運維

14、網(wǎng)段部署2臺運維安全審計系統(tǒng) 1000P，單臂部署，且工作為雙機熱備模式；l 通過設置ACL（訪問控制列表），只允許主機、網(wǎng)絡、安全等維護人員（行內(nèi)、行外）通過運維安全審計系統(tǒng)訪問服務器，而不允許直接訪問這些關鍵資源；5.2 安全實現(xiàn)過程實現(xiàn)過程為：1) 主機維護人員（行內(nèi)、行外）首先經(jīng)過運維安全審計系統(tǒng)進行身份認證；2) 運維安全審計系統(tǒng)身份認證通過后，進行授權，指定該主機維護人員可以訪問的后臺資源；3) 運維安全審計系統(tǒng)將訪問請求自動轉(zhuǎn)發(fā)到后臺資源。在這個過程中，運維人員的所有操作都被運維安全審計系統(tǒng)安全記錄下來，并可實現(xiàn)了數(shù)據(jù)重組和視頻回放，完全再現(xiàn)了操作內(nèi)容和行為軌跡。備注：行外人員通

15、過防火墻檢查后，經(jīng)過運維安全審計系統(tǒng)嚴格授權，才可以訪問后臺主機，該訪問過程被完全審計下來。5.3 產(chǎn)品列表及性能5.3.1 產(chǎn)品列表序號名稱及型號配置數(shù)量備注1運維安全審計系統(tǒng)1U，存儲空間500G， 3個100/1000Mbps電接口，最大并發(fā)會話數(shù)：500，協(xié)議支持：Telnet、SSH、FTP、SFTP、RDP、VNC、http、https、Xwindows；含授權資源數(shù)：502臺雙機熱備2產(chǎn)品服務三年硬件質(zhì)保，1年軟件升級服務。1個5.3.2 產(chǎn)品性能參數(shù)選項運維安全審計系統(tǒng)備注支持協(xié)議Telnet、SSH、FTP、SFTP、RDP、VNC、HTTP、HTTPS等并發(fā)數(shù)500并發(fā)用戶部署模式支持單臂、串聯(lián)模式部署易用性B/S管理、無客戶端、Server端軟件清晰性采用中文界面可擴展性存儲可擴展兼容性支持IBM Aix、HP Unix、Sun Solaris、SCO Unix