证券行业解决方案
业务特点
随着信息化建设的快速发展,某证券已经建立起一定规模的信息化系统,它们都非常重要,涉及证券业务运营、日常办公等方方面面。
网络中已经部署了防火墙、IDS、防病毒等各类安全产品和设备,并且采用了如网络边界划分、强化边界访问控制等多种防护手段。证券会有明文规定,要降低“老鼠仓”发生的可能,实际上对现有的各种审计和控制措施提出新的要求。
某证券IT系统主要在证通机房和总部机房,日常运维人员管理对象包括各核心业务系统、防火墙、交换机、路由器、服务器。常用的运维协议于工具包括telnet、SSH、ftp、SFTP、http/https、Radmin、RDP、VNC、PcAnywhere等。
目前的管理模式为分布式管理,运维人员从各自电脑设备发起对需要维护的设备进行操作。
多人使用同一账号,系统运维部门工程师众多,按照管理类型分为系统管理员、网络管理员、数据库管理员、安全管理员等,它们都可能会具有每台主机的管理权限,一旦主机出现因为运维导致的故障或数据丢失等问题,无法明确具体责任人,也无法快速定位问题原因,迅速恢复故障,以致带来巨大的损失。
简单密码,容易破解和猜测
----目前我公司大量主机、网络设备的管理员密码都由运维人员管理,难以控制密码强度,难以满足证监会等相关机构对于系统密码复杂度的要求;
定期修改密码的管理策略难以执行
----我公司有定期修改管理员密码的相关制度,但每次修改密码都涉及各台设备,执行起来工作量大也十分繁琐;
修改后的密码最终以文本形式存放,存在泄漏的隐患
----密码掌握在运维人员手中,本身就不安全;大量的密码掌握在各类系统维护人员手里,本身就存在滥用、泄漏等安全隐患。
操作权限无法控制
----某证券的核心业务系统除本公司运维人员本地运维外,还需接受来自营业部及分支机构运维人员的远程登入管理;同时还有来自互联网的运维访问,主要由厂家工程师和本公司运维人员远程VPN接入参与运维和紧急故障处理;存在运维人员严重不可控以及参与运维人员复杂而众多的现实情况,导致运维行为无法监控,不能及时了解所有登陆设备的详细运维情况;
无意执行了危险操作,如:重启
----业务网设备如果在交易时间发生服务停止、重启等动作,将严重影响某证券的业务运营,而目前对运维人员无意执行的危险操作无任何提醒和限制手段;
越权操作
----只要知道系统管理员帐号,就可以做任何操作,而无法精细控制该管理员的执行权限,即无法定义每个运维人员的操作权限,从而也无法控制越权操作。
PC直接远程连接关键服务器,容易遭受攻击、病毒传染
----目前在办公网、交易网的PC都是通过网络直接与服务器的,一旦PC感染蠕虫等网络型病毒,极易对服务器产生影响。
远程维护地点无法控制
----目前对运维人员连接服务器时的来源地址无控制手段,也就很难控制在系统管理员密码被泄露或外部支持人员远程维护时,登录系统的实际用户身份。
运维人员在什么时间、什么地点访问服务器,都在服务器上做了哪些操作?现有审计手段无法准确定位事故原因。目前针对系统运维管理人员的审计只能定位到登陆服务器的IP地址、用户、时间等基本信息,无法准确了解运维人员登陆服务器后的具体操作行为,无法达到对运维行为进行操作留痕的审计基本要求。
外包人员权限如何控制
----我公司系统运维人员中还有部分的第三方运维人员,他们在做系统维护时,通常是由内部人员帮其输入管理员密码,而此后他们对系统所做的操作缺乏应用的控制和审计。
外包人员维护帐号泄漏
----还有少量长期合作的第三方运维人员,他们掌握了一部分系统的管理员密码,他们只要能接入内网,就能登录到各系统,如果他们所掌握的管理员密码泄漏,则存在极大的安全风险。
离职人员恶意行为
----我公司系统运维人员中还有部分的第三方运维人员和设备厂商定期巡检的技术支持人员,对这些非本系统运维人员的运维行为非常有必要进行监控以及审计,满足对外来人员访问核心系统操作的知情权。
总结起来,我们将我公司运维安全问题概括为认证、授权和审计三个方面。
根据某证券系统运维安全审计的需求,我方推荐使用江南科友的运维安全审计系统HAC 1000与运维审计应用发布系统HAC1000-V。
在服务器区域核心分别部署1台HAC 1000和1台HAC1000-V,部署的具体情况如下:
部署方式均为单臂旁路模式,连接在核心交换机上;
部署的唯一条件是HAC 1000、HAC1000-V与被管理的设备之间IP可达,协议可访问;
HAC 1000是运维操作的唯一入口,使用访问控制策略(防火墙、ACL等)限制运维用户只能访问HAC 1000,不能直接访问后台主机;
运维用户使用唯一的用户账号登录HAC 1000A,然后HAC 1000A根据配置管理员预先设置好的访问控制规则,提示用户选择可以访问的目标设备和相应系统账号,用户选择完成后会自动登录到目标设备。
HAC设备也可选择双机负载均衡方式
VDH设备上可以发布需要审计的系统工具,如:IE、Radmin、VNC、Pcanywhere等,并在HAC上对用户进行授权和审计。
VDH有以下主要功能和特点:
*与HAC配合,能很好地支持各种协议或应用,能实现认证、授权;
*对图形界面的会话操作,可对键盘输入或界面文字进行基于关键字的查询检索;
*具有很好扩展性,通过对VDH的加装应用,支持各种应用;
*系统自身有厂商维护和加固,有很好的安全性。
HAC能够与OA系统进行交互,OA系统进行变更工单的管理,HAC根据变更工单的内容控制用户对服务器资源的操作访问,结合HAC,改善原有变更管理流程,将变更工单申请、执行和审核流程结合到HAC中。
变更工单申请过程读取HAC的配置,从中选择运维用户、访问资源和账户等信息,加入到变更工单申请内容中;
变更工单执行过程分为:传输、转换、运行和反馈四个子过程;
变更工单审核过程通过HAC的审计平台来实现。
*实现统一运维认证账号分配、统一应用系统账号管理、统一对运维人员授权;
*实现运维账号认证,集成LDAP、动态口令、证书等认证方式;可访问资源列表、系统账号托管(运维人员无须知道后台系统密码)、可控制访问资源时间、对敏感操作的实时阻断和告警;
*运维行为审计、报表;操作录像;针对命令行的操作索引和回放;
*通过HAC的主-主模式,实现2个机房的互为冗余备份;正常工作时,各自区域运维用户通过本地HAC登录,当某个机房HAC出现故障时,该区域运维用户自动切换到另外一个机房的HAC进行登录;两套HAC之间的配置自动进行同步;
HAC能够与OA系统进行交互,OA系统进行变更工单的管理,HAC根据变更工单的内容控制用户对服务器资源的操作访问,结合HAC,改善原有变更管理流程,将变更工单申请、执行和审核流程结合到HAC中。