以金的運維安全審計系統SSA為例,其產品更側重於運維安全管理。是集單點登錄、賬戶管理、身份認證、資源授權、訪問控制、操作審計於壹體的新壹代運維安全審計產品。可以有效審計操作系統、網絡設備、安全設備、數據庫等運營流程的運維,使運維審計從事件審計升級為運營內容審計,通過系統平臺的事前預防、事中控制、事後追溯,全面解決企業。1,什麽是SSA-運維安全審計系統
SSA運維審計系統是集單點登錄、賬戶管理、身份認證、資源授權、訪問控制、操作審計於壹體的新壹代運維安全審計產品。可以有效審計操作系統、網絡設備、安全設備、數據庫等運營過程,使運維審計從事件審計升級為運營內容審計,通過系統平臺的事前預防、事中控制、事後追溯,全面解決企業的運維安全問題,提升企業的IT運維管理水平。
2.SSA系統功能
完善的用戶管理機制和靈活的認證方式。
為了解決交叉運維無法確定責任的問題,SSA系統平臺提出了“賬戶集中管理”的解決方案。賬戶集中管理可以完成賬戶全生命周期的監控和管理,也降低了企業管理大量用戶賬戶的難度和工作量。同時,通過統壹管理,還可以發現賬戶使用中存在的安全隱患,制定統壹規範的用戶賬戶安全策略。平臺中創建的運維用戶可以支持靜態密碼、動態密碼、數字證書等多種認證方式。支持密碼強度、密碼有效期、密碼嘗試死鎖、用戶激活等安全管理功能。支持用戶分組管理;支持用戶信息的導入導出,方便批量處理。
細粒度和靈活的授權
系統提供基於用戶、運維協議、目標主機、運維時間段(年、月、日、周、時)組合的授權功能,實現細粒度的授權功能,滿足用戶的實際授權需求。授權可以基於:用戶到資源、用戶組到資源、用戶到資源組、用戶組到資源組。
單點登錄功能是運維人員通過SSA系統認證授權後,系統根據配置策略自動登錄後臺資源。保證運維人員與後臺資源賬戶的可控對應,實現後臺資源賬戶的統壹密碼保護和管理。系統提供運維用戶自動登錄後臺資源的功能。SSA可以自動獲取後臺資源賬戶信息,並根據密碼安全策略定期自動修改後臺資源賬戶密碼;根據管理員的配置,運維用戶對應後臺資源賬號,限制賬號的非授權使用;運維用戶經過SSA認證授權後,SSA可以根據分配的賬號自動登錄後臺資源。
實時監控
監控運維中的會話:信息包括運維用戶、運維客戶端地址、資源地址、協議、開始時間等。監控後臺資源的訪問,為在線運維提供實時監控功能。針對命令交互協議,可以實時監控運維中的各種操作,其信息與運維客戶端所見完全壹致。
實時報警並阻止非法操作
針對運維過程中可能存在的潛在運營風險,SSA根據用戶配置的安全策略,在運維過程中實施非法操作檢測,並對非法操作進行實時預警和阻斷,從而降低運營風險,提高安全管控能力。可以實時阻止非字符協議的運行。
基於字符的協議的操作可以通過用戶配置的命令行規則來匹配,以實現報警和阻止。報警動作支持權限提升、會話阻塞、郵件報警、短信報警等。可以記錄常用協議的完整對話過程。
SSA系統平臺可以完整記錄SSH/FTP/Telnet/SFTP/HTTP/HTTPS/RDP/x 11/VNC等常用運維協議的會話過程,以滿足未來審計的需要。審計結果可以通過兩種方式呈現:視頻記錄和日誌記錄。錄像信息包括運維用戶名、目標資源名、客戶端IP、客戶端計算機名、協議名、運維開始時間、結束時間、運維時長等信息。
詳細的會話審計和回放
運維人員可以基於會話按單個位置和組合位置查詢用戶名、日期和內容。可以根據運維用戶、運維地址、後臺資源地址、協議、開始時間、結束時間、操作內容中的關鍵字的組合進行組合查詢;根據命令串模式的協議,提供了壹條條命令及相關操作結果的顯示:以圖像的形式提供回放,真實、直觀、形象地再現當時的操作過程;回放提供快放、慢放、拖拽等,對於檢索到的鍵盤輸入的關鍵詞可以直接定位回放;根據RDP,X11,VNC協議,它提供了根據時間定位播放的功能。
豐富的審計報告功能
SSA系統平臺可以對運維人員的日常操作和對話、管理員對審計平臺的操作配置、運維的告警次數進行統計分析。報表包括:日常報表、談話報表、自審運營報表、報警報表、綜合統計報表,還可以根據個人需求設計和呈現定制報表。以上報表可以EXCEL格式輸出,可以用折線、柱形圖、餅狀圖等圖形方式顯示。
應用程序發布
根據用戶的運維需求,SSA推出了業內首款虛擬桌面主機安全操作系統設備(ESL,E-SoonLink)。在ESL和SSA的配合下,完全可以滿足審計、控制和授權的要求,在TSA產品的配合下,可以對數據庫維護工具、pcAnywhere、DameWare等工具的運維操作進行監控和審計。尤克運維安全審計系統(HAC)專註於解決關鍵it基礎設施的運維安全問題。它可以安全有效地審計Unix和Windows主機、服務器、網絡和安全設備上的數據訪問,並支持實時監控和事後回放。
HAC彌補了傳統審計系統的不足,將運維審計從事件審計升級為內容審計,集身份認證、授權和審計於壹體,有效實現事前預防、事中控制和事後審計。
審計要求
針對安然、世通等財務造假事件,2002年頒布的《上市公司會計改革和投資者保護法》(薩班斯-奧克斯利法案)為組織治理、財務會計和監管審計設定了新的標準,要求董事會、最高管理層和內外部審計等組織治理核心在評價和報告內部控制的有效性和充分性方面發揮關鍵作用。同時,國內相關職能部門在內部控制和風險管理方面也制定了相應的指引和規範。由於信息系統的脆弱性、技術的復雜性和操作的人為因素,有必要引入運維管理和運行監控機制,以預防、減少或消除潛在風險為目標,在設計安全架構時預防和發現錯誤或違規行為,以事前預防、事中控制、事後監督和糾正相結合的方式管理it風險。
it系統審計是控制內部風險的重要手段。但是IT系統組成復雜,操作人員多。如何對其進行有效審計,是長期困擾各機構信息科技和風險審計部門的壹大課題。
解決辦法
由於市場對IT運維審計的需求,江南尤克在信息安全領域積累了多年的運維管理和安全服務經驗,結合行業最佳實踐和合規要求,率先推出了基於硬件平臺,針對核心資產的“運維安全審計系統(HAC)”。
運維管理,再現關鍵行為軌跡,挖掘操作意圖,集成全局實時監控和敏感流程回放,有效解決了信息監管中的壹個關鍵問題。
系統功能
完整的身份管理和認證
為了保證合法用戶能夠訪問其有權限的後臺資源,解決IT系統中交叉操作和維護普遍存在且無法定位具體人員的問題,滿足審計系統中“誰幹的”的要求,系統提供了壹套完整的身份管理和認證功能。支持靜態密碼、動態密碼、LDAP、AD域證書密鑰等多種認證方式;
靈活且細粒度的授權
系統提供基於用戶、運維協議、目標主機、運維時間段(年、月、日、周、時)、會話長度、運維客戶端IP等組合的授權功能。,從而實現細粒度的授權功能,滿足用戶的實際授權需求。
後臺資源自動登錄
後臺資源自動登錄功能是運維人員通過HAC認證授權後,HAC根據配置策略實現後臺資源自動登錄。該功能提供了運維人員與後臺資源賬號的可控對應關系,實現了對後臺資源賬號的統壹密碼保護。
實時監控
提供在線運維的實時監控功能。命令交互協議能夠以圖像的形式實時監控運維中的各類操作,其信息與運維客戶端所見完全壹致。
實時報警並阻止非法操作
針對運維過程中潛在的運營風險,HAC根據用戶配置的安全策略,在運維過程中實施非法操作檢測,並對非法操作進行實時預警和阻斷,從而降低運營風險,提升安全管控能力。
完整記錄網絡會話過程。
系統提供了Telnet、FTP、SSH、SFTP、RDP(Windows終端)、Xwindows、VNC、AS400等網絡會話的完整會話記錄,完全滿足內容審計100%信息丟失的要求。
詳細的會話審計和回放
HAC提供了視頻回放的審核接口,以真實、直觀、可視化的方式再現操作過程。
完整的審計報告功能
HAC提供運維人員操作、管理員操作、違規事件等各種審計報告。
各種應用操作和維護操作的審計功能
HAC為各種應用的運維提供審計功能,並能提供完整的運維安全審計解決方案。可以根據用戶需求快速實現新應用的發布和審核。
結合ITSM(IT服務管理)
HAC可以與ITSM相結合,優化變更管理流程,加強變更管理中的風險控制。
系統特征
支持加密運維協議的審計。
率先解決了SSH、RDP等加密協議的審計,滿足了用戶Unix和Windows環境的運維審計需求。
分散管理機制
系統提供了設備管理員、運維管理員、審計員三種管理角色,從技術上保證了系統管理的安全性。
更嚴格的審計管理
該系統將認證、授權和審計有機地結合起來,有效地實現了事前預防、事中控制和事後審計
部署靈活,操作方便
系統支持單臂和串行部署模式;支持基於B/S模式的管理、配置和審計。
系統安全設計
簡化的內核和優化的TCP/IP協議棧
基於內核狀態的處理引擎
雙機熱備
嚴格的安全訪問控制
基於HTTPS的安全訪問管理、配置和審計
審計信息的加密存儲
完善審計信息備份和恢復機制
系統部署
鑒於企業網絡和管理架構的復雜性,HAC系統提供了靈活的部署模式,可以通過串行模式或單臂模式連接到企業內部網絡。以串行方式部署時,HAC具有壹定程度的網絡控制功能,可以提高核心服務器訪問的安全性;單臂模式部署時,不改變網絡拓撲,安裝調試過程簡單,可根據企業網絡架構的實際情況靈活接入。
無論是串行模式還是單臂模式,通過HAC訪問IT基礎服務資源的操作都會被詳細記錄和存儲,作為審計的基礎數據。HAC的部署不會對業務系統、網絡中的數據流量、帶寬等重要指標產生負面影響,也不需要在核心服務器或操作客戶端安裝任何軟硬件系統。
認證資格
“運維安全審計系統(HAC)”獲得了公安部頒發的計算機信息系統安全專用產品銷售許可證,並通過了國家保密局涉密信息系統安全測評中心的檢測,獲得涉密信息系統產品檢測證書。通過國家信息安全評估,獲得信息技術產品安全評估證書。