点击图片查看原图
一.1.1HAC简介
“运维安全审计系统(HAC)” 目标是为组织IT系统核心服务器的运维操作提供强有力的监控、审计手段,使其切实满足内控管理中的合规性要求。
HAC可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计,对策略配置、系统维护、内部访问等进行详细的记录,提供细粒度的审计,并支持操作过程的全程回放。HAC弥补了传统审计系统的不足,将运维审计由事件审计提升为内容审计,并将身份认证、授权、管理、审计有机地结合,保证只有合法用户才能使用其拥有运维权限的关键资源。HAC为组织在IT操作风险控制、内控安全和合规性等方面提供一套完善、有效的审计手段。
一.1.2应用环境
HAC支持Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、VNC、HTTP、HTTPS等多种通信协议,支持IBM AIX、Digital UNIX、HP UNIX、SUN Solaris、SCO UNIX、LINUX、WINDOWS等多种操作系统。可广泛应用于金融、政府、电信、证券、邮政、税务、海关、交通等安全需求较高的行业。
一.1.3认证资质
“运维安全审计系统(HAC)”已获公安部颁发的《计算机信息系统安全专用产品销售许可证》
“运维安全审计系统(HAC)” 已获国家保密局颁发的《涉密信息系统产品检测证书》
“运维安全审计系统(HAC)” 已获中国信息安全测评中心颁发的《信息技术产品安全测评证书》
一.1系统功能
通过安全产品将人与目标设备进行分离,建立以“人->用户账号->授权->目标设备账号->目标设备”为管理模式,通过基于唯一身份标识的集中管理账号与权限、授权的控制策略,与各服务器、网络设备等无缝连接,实现集中精细化运维操作管控与审计。使IT安全运维从被动响应的模式转变为主动的运维安全管控模式,降低人为安全风险,满足合规和内部管理要求。
一.1.1统一身份及认证管理
一.1.1.1完善的身份管理和认证
为了确保合法用户才能访问其拥有权限的后台资源,解决IT系统中普遍存在的交叉运维而无法定位到具体人的问题,满足审计系统“谁做的”要求,系统提供一套完整的身份管理和认证功能。
Ø 支持账号分属组织的管理模式;组织管理能力,支持纵向七级、横向255个的组织划分能力,能够实现更完善的分权管理和分权审计;
Ø 支持运维用户和管理员采用同一个账号;
Ø 支持管理员、运维用户的静态口令、数字证书、动态口令、LDAP、AD域、Radius等认证方式;
Ø 支持AD域、LDAP账号的自动同步;
Ø 支持密码强度、密码有效期(按天设置)、口令尝试死锁、用户激活、备注、访问白名单等安全管理功能;
Ø 支持用户分组管理,并且单个用户可以属于多个用户组;
Ø 支持用户信息导入导出,方便批量处理;
Ø 支持系统管理员、运维管理员、设备账号管理员、会话审计员、管理审计员等管理员角色;
Ø 审计员分权管理,分为会话审计员、管理审计员,其中会话审计员只能审计会话信息,管理审计员只能审计HAC自身操作信息。
一.1.1.2后台账号口令集中管理
系统支持对后台各类资源(主机、服务器、网络设备、数据库等)的账号口令进行统一管理,即后台资源的账号口令由系统托管,用户登录系统后,系统根据用户权限分配后台资源的使用权。
托管账号支持一站式关联用户、关联用户组。
一.1.1.3SSO单点登录
SSO单点登录功能是运维人员通过堡垒机认证和授权后,堡垒机根据配置策略实现后台资源的自动登录。此功能提供了运维人员到后台资源账号的一种可控对应,同时实现了对后台资源账号的口令统一保护。
Ø 管理员将后台资源账号及口令配置到堡垒机中;
Ø 根据管理员配置,实现运维用户与后台资源账号对应,限制账号的越权使用;
Ø 运维用户通过堡垒机认证和授权后,堡垒机根据分配的账号实现自动登录后台资源。
支持的SSO账号类型包括:
Ø 支持Windows、Linux、Unix等服务器账号自动登录
Ø 支持CISCO(包括特权账号)、H3C等网络设备账号自动登录
Ø 支持FTP、VNC、SFTP等账号自动登录
Ø 支持PLSQL、SQLPLUS等数据库工具账号自动登录
一.1.1.4后台设备自动改密
安全策略往往需要对后台设备的账号密码进行定期修改,由于各种原因无法落地。对于之前已经实现SSO的账号密码,堡垒机提供定期修改功能:
Ø 根据口令安全策略,堡垒机定期自动修改后台资源帐户口令;
Ø 支持密码更新周期自定义,可以按天设置;
Ø 根据管理员配置,实现运维用户与后台资源账号对应,限制账号的越权使用;
Ø 运维用户通过堡垒机认证和授权后,堡垒机根据分配的账号实现自动登录后台资源。
实际应用时存在多台设备具备相同的帐号、密码的情况,可以通过“统一账号管理”实现,只需要手工添加一次账号,无需多次添加;并且启用密码定期修改功能时,该账号密码自动修改为相同的密码。
一.1.1.5电子口令保管箱
对于托管的后台设备口令,除支持以文件导出、邮件等的方式进行备份外,还支持把该托管口令备份到专用的口令安全存储设备上,防止口令丢失的风险。对于该口令安全存储设备的访问,支持指纹方式认证。
一.1.2访问控制及授权
一.1.2.1灵活、细粒度的授权
系统提供基于授权规则名的授权设置,每个授权规则名下可以绑定多个用户、用户组、设备、设备组、访问规则(年、月、日、周、时间、会话时长、运维客户端IP、协议类型)。
每条授权规则可以设置相应的备注、启用/禁用设置。
一.1.2.2命令级授权
对于字符型协议,如Telnet、SSH、FTP、SFTP等,能够实现命令级别的授权控制。系统提供基于告警规则名的授权设置,每个告警规则名下可以绑定多个用户、用户组、设备、设备组、命令规则。每条授权规则可以设置为启用或禁用。
Ø 可以通过命令规则进行规则匹配,支持黑、白名单功能;
Ø 支持预订义和自定义的匹配命令设置,匹配命令支持多条命令,支持正则表达式;
Ø 告警规则可以设置为阻断或只告警;
Ø 告警规则支持告警级别设置,支持普通、严重、紧急等级别;
Ø 告警规则可以按照帐号级别进行绑定,可以设置为只有指定安全级别的帐号才能触发告警规则,针对不同用户实施不同的规则,从而提供更细粒度的操作控制。
一.1.2.3应用发布
除Telnet、SSH、FTP、SFTP、RDP、VNC、XWIN、HTTP、HTTPS等常用协议外,针对用户独特的运维需求,HAC推出了业界首创的虚拟桌面主机安全操作系统设备(VDH, Virtual Desktop Host),通过VDH配合HAC进行审计能够完全达到审计、控制、授权的要求
Ø 运维操作全程可控,可做到授权后应用只能访问指定服务,最大降低对后台目标服务集群的可能安全风险。
Ø 可对整个运维操作过程进行完整记录,实现详尽的会话审计和回放。
Ø 可依据用户要求快速实现新应用的发布和审计。
Ø 可支持对数据库维护工具、pcAnywhere、DameWare等不同工具的运维操作进行监控和审计。
一.1.3运维事件事中控制
一.1.3.1实时监控及阻断
Ø 监控正在运维的会话,信息包括运维用户、运维客户端地址、资源地址、协议、开始时间等;
Ø 监控后台资源被访问情况;
Ø 提供在线运维操作的实时监控功能。针对命令协议和图形协议可以图像方式实时监控正在运维的各种操作,其信息与运维客户端所见完全一致;
Ø 管理员可以关闭在线会话。
一.1.3.2违规操作实时告警与阻断
Ø 违反告警规则的各种事件,根据告警规则自动处理;告警事件可实时查看,并通过审计平台的声音、闪烁提示;
Ø 对于设置为阻断的命令,运维用户无法执行,系统提示相关阻断信息;
Ø 告警事件以邮件、短信通知。
一.1.3.3可支持ITSM
Ø 可与ITSM相结合,为其优化变更管理流程,加强对变更管理中的风险控制;
Ø 支持对现有运维变更管理系统快速集成。
一.1.3.4可支持双人复核操作
Ø 支持Telnet/SSH的强制登录复核;
Ø 支持运维过程的高危命令复核,例如对某阻断命令,可以设置必须由其它人进行复核;复核人复核通过后,运维人员才可以执行该阻断命令;
Ø 支持会话日志记录双人复核操作审批人、时间、操作符合命令;
Ø 支持设置复核级别,可设置由任意高级别的用户进行复核,也可以设置专门的高级别用户进行复核。
一.1.4运维事件事后审计
一.1.4.1完整记录网络会话过程
Ø 系统提供运维协议Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、VNC、Http、Https以及应用发布等网络会话的完整会话记录,完全满足内容审计中信息百分百不丢失的要求;
Ø 会话信息包括运维用户、运维地址、后台资源地址、资源名、协议、起始时间、终止时间、流量大小信息;
Ø 会话信息包括运维过程中所有进出后台资源的数据。
一.1.4.2详尽的会话审计与回放
Ø 运维操作审计以会话为单位,提供当日和条件查询定位。条件查询支持按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式;
Ø 针对命令交互方式的协议,提供逐条命令及相关操作结果的显示;
Ø 提供图像形式的回放,真实、直观、可视地重现当时的操作过程;
Ø 回放提供快放、慢放、拖拉等方式,方便快速定位和查看;
Ø 针对命令交互方式的协议,提供按命令进行定位回放;
Ø 针对RDP、Xwindows、VNC协议,提供按时间进行定位回放。
Ø 对于RDP协议除记录视频格式外,对于各种键盘鼠标的操作进行记录,具体包括键盘信息、屏幕文本信息、文件读写信息等。
一.1.4.3自审计功能
Ø 管理员、审计员、运维人员在系统中关键操作行为记录,并可通过报表展现;
Ø 可记录主帐号访问审计设备时间、终端IP记录;
Ø 可记录主帐号访问目标设备、从帐号记录。
一.1.4.4事件通知
事件通知功能可以将发生的事件以邮件或短信(需定制)的方式通知任何管理员。事件分为系统访问事件、配置管理事件、运维操作事件、运维审计事件、系统维护事件等5大类。
一.1.4.5完备的审计报表功能
提供运维人员操作、管理员操作以及违规事件等多种审计报表:
Ø 提供日常报表,包括今日会话、今日自审计、用户信息、资源信息、权限信息、规则信息、管理员角色信息等报表;
Ø 提供会话报表,可根据用户选定时间、用户、资源形成会话报表;
Ø 自审计操作报表,可根据用户选定时间、管理员、模块形成自审计报表;
Ø 告警报表,可根据告警类别、级别、资源、运维用户、协议、时间等条件形成报表;
Ø 综合统计报表,可根据时间、资源、用户等条件形成综合统计报表,报表中包括概要信息、每个用户操作信息、每个资源被操作信息等;
Ø 报表导出,支持PDF、Excel、Word等格式。
一.1.5兼容性、可扩展性
HAC运维审计作为IT运维流程中的一个部分,能够遵循ITIL满足稽核与审计的要求,系统能够通过定制开发与现有ITSM、SOC、网管平台进行集成,满足大型网络系统的管理要求。
能够与KVM系统进行整合,解决KVM系统本身审计功能薄弱的问题。
能够与专业的数据库审计系统进行整合,审计日志信息既满足直观、方面查看的目的,又可以记录详细的数据库操作记录,便于故障分析。
一.2系统管理
一.2.1管理架构
Ø 管理员能够通过B/S模式对HAC设备进行基本的管理、配置和日志查询审计;
Ø 审计员还可以采用B/S+C/S模式进行管理与审计,内嵌水晶报表的专业审计平台能够满足对实施监控和报表要求严格的客户需求。
一.2.2权限管理
Ø 三权分立,HAC系统的使用权、管理权与监督权相互独立。使用权,对应于运维用户;管理权,即对HAC系统本身进行配置管理的能力,具体又可以细分为系统管理员、配置管理员、设备账号管理员,三者之间亦彼此独立;监督权,对应于审计员。
Ø 审计员权限细分,分为管理审计员和会话审计员;
Ø 所有管理员、审计员、运维人员与组织结构进行关联,对应组织的管理账号只能管理所属范围内的资源;无法管理与其同级别其它组织的资源,亦无法管理高于其级别组织的资源;
Ø 支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能。
一.2.3运维模式
Ø 支持B/S方式Portal统一登录,并兼容终端C/S客户端连接设备;
Ø 支持SecureCRT、Putty等第三方工具的Portal运维;
Ø 支持通过SSH秘钥登录后台服务器。
一.2.4其他功能
Ø 支持双机HA热备,支持多台设备的集群功能,保证系统高可用;
Ø 实现HA和集群设备的配置和日志同步;
Ø 提供日志手工和自动备份,备份日志支持离线查看;
Ø 界面中能够进行设备性能监控以及对设备进行网络维护;
Ø 支持Syslog方式发送HAC自身操作系统信息,支持多个Syslog服务器设置;
Ø NTP支持保证所有设备的时钟能够同步,提高审计准确性;
Ø 支持通过SNMP方式被网管系统管理,并可自定义SNMP通信密钥;
Ø 提供自审计,能够对设备管理员对HAC的操作行为进行详细记录。
一.3系统部署
鉴于企业网络及管理架构的复杂性,HAC系统提供了灵活的部署方式,既可以采取串连模式,也可以采用单臂模式接入到企业内部网络中。采用串连模式部署时,HAC具备一定程度上的网络控制的功能,可提高核心服务器访问的安全性;采用单臂模式部署时,不改变网络拓扑,安装调试过程简单,可按照企业网络架构的实际情况灵活接入。
系统满足客户高可用需求,支持HA方式的双机部署,亦可以采用集群模式部署。两种部署模式下都实现配置和日志的同步。
系统支持基于分布式管理的总控模式,能够实现统一策略下发和审计日志、告警信息收集,满足集团化管理状态下的分权管理需求。
图2:单臂模式接入
图3:串联模式接入
无论串连模式还是在单臂模式,通过HAC访问IT基础服务资源的操作都将被详细的记录和存储下来,作为审计的基础数据。HAC的部署不会对业务系统、网络中的数据流向、带宽等重要指标产生负面影响,无需在核心服务器或操作客户端上安装任何软硬件系统。
一.4系统特点
一.4.1全面的运维审计
Ø 系统采用协议分析、基于数据包还原虚拟化技术,实现操作界面模拟,将所有的操作转换为图形化界面予以展现,实现100%审计信息不丢失。
Ø 针对运维操作图形化审计功能的展现外,同时还能对字符进行分析,包括命令行操作的命令以及回显信息和非字符型操作时键盘、鼠标的敲击信息。
Ø 系统支持的审计协议以及工具包括:
ü 终端命令操作:Telnet、SSH
ü Windows图形: RDP、VNC
ü Unix/Linux图形:Xwindows
ü 文件上传和下载:FTP、SFTP
ü 基于BS的管理操作:Http、Https
ü 数据库管理工具:SQLPLUS、PL/SQL、TOAD等工具
一.4.2更严格的审计管理
Ø 三权分立,HAC系统的使用权、管理权与监督权相互独立。使用权,对应于运维用户;管理权,细分为系统管理员、配置管理员、口令管理员;监督权,对应于审计员。除了默认的管理员权限外,还可自定义管理员角色。在三权分立的基础上实施内控与审计,有效地控制操作风险。
Ø 系统集认证、授权、管理和审计有机地集成为一体,有效地实现了事前预防、事中控制和事后审计。
Ø 能够实现命令级的授权,并能按照后台设备的用户级别设置告警级别;
Ø 能够实现命令级别的授权与复核,只有经过审核员复核的高危命令,才允许运维员进行操作;
Ø 业界首创的虚拟桌面主机安全操作系统设备(VDH, Virtual Desktop Host),通过VDH配合HAC进行审计能够完全达到审计、控制、授权的要求。
一.4.3组织管理能力
Ø 映射自然组织架构,同级间不可跨越管理,低级服从高级组织管理;
Ø 相同级别的组织只能够管理自身的人员、设备、或者使用上级授予的权限和功能;
Ø 支持纵向七级,横向255个的组织架构。
一.4.4高效的处理能力
Ø 系统具有业界最强的协议转发处理能力,摒弃业绩常用的协议转发“黑盒子”,能够对Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、VNC、HTTP、HTTPS协议进行完整的透明转发,特别是对图形化操作协议的转发性能远远优于其它同类型产品;
Ø 由于基于完全的协议转发,会话日志占用空间非常小,满足大量运维工作日志存储需要。
一.4.5良好的可扩展性与兼容性
Ø 系统软硬件均采用模块化设计,不但提高设备稳定性而且易于扩展;
Ø 系统管理不但能够通过B/S完成基本的配置要求,还可以通过专业的审计平台实现更细粒度的管理与审计。
Ø 运维人员登录可支持Portal统一登录,并兼容终端C/S客户端连接设备;
Ø 系统不但能够与用户的现有运维流程紧密结合,还能够与用户现有的SOC、ITSM等运维以及监控平台进行整合,完全融入到现有的运维管理;
Ø 能够与主流KVM系统进行整合,解决KVM系统本身审计功能薄弱的问题;
Ø 能够与专业的数据库审计系统进行整合,审计日志信息既满足直观、方面查看的目的,又可以记录详细的数据库操作记录,便于故障分析;
Ø 江南科友具有强大研发实力,不但能为客户提供长期的产品软件更新还能按照客户的实际需求进行定制开发。
一.4.6灵活的部署方式及简便的操作配置
Ø 系统支持单臂、串接部署模式;
Ø 系统部署与运行均不影响业务正常运行;
Ø 支持基于B/S实现系统管理、配置;
Ø 审计平台提供了功能齐全、操作方便、展现良好的审计管理功能;
Ø 系统具有配置导航,即使首次配置产品,也可以在5分钟内实现基本功能配置,达到上线要求;
Ø 支持配置的导入、导出,支持用户组、资源组之间的授权模式。
一.4.7丰富的报表展现
Ø 系统提供多种报表展示的同时还能够提供客户自定义报表生成;
Ø 系统提供多种报表格式,包括PDF、Word、Excel等;
Ø 系统提供列表、饼状图、柱状图等多种图表,动态展现运维趋势,便于分析与管理。
一.4.8完善的系统安全设计
Ø 精简的内核和优化的TCP/IP协议栈;
Ø 系统实现分层设计,运维系统账号与平台操作系统账号分开,能够添加root为用户名的管理员和运维人员;
Ø 基于HTTPS/SSL的自身安全管理与审计;
Ø 严格的安全访问控制和管理员身份认证支持强认证;
Ø 审计信息加密存储;
Ø 口令信息加密存储与密码打印;
Ø 完善的审计信息备份机制;
Ø 完整全面的自审计功能;
Ø 口令信息可以与江南科友专业的电子口令保管箱集成,提高口令加密存储的安全强度而且可以支持密函打印。 
