點擊圖片查看原圖
一.1.1HAC簡介
“運維安全審計系統(HAC)” 目標是為組織IT系統核心服務器的運維操作提供強有力的監控、審計手段,使其切實滿足內控管理中的合規性要求。
HAC可對主機、服務器、網絡設備、安全設備等的管理維護進行安全、有效、直觀的操作審計,對策略配置、系統維護、內部訪問等進行詳細的記錄,提供細粒度的審計,并支持操作過程的全程回放。HAC彌補了傳統審計系統的不足,將運維審計由事件審計提升為內容審計,并將身份認證、授權、管理、審計有機地結合,保證只有合法用戶才能使用其擁有運維權限的關鍵資源。HAC為組織在IT操作風險控制、內控安全和合規性等方面提供一套完善、有效的審計手段。
一.1.2應用環境
HAC支持Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、VNC、HTTP、HTTPS等多種通信協議,支持IBM AIX、Digital UNIX、HP UNIX、SUN Solaris、SCO UNIX、LINUX、WINDOWS等多種操作系統??蓮V泛應用于金融、政府、電信、證券、郵政、稅務、海關、交通等安全需求較高的行業。
一.1.3認證資質
“運維安全審計系統(HAC)”已獲公安部頒發的《計算機信息系統安全專用產品銷售許可證》
“運維安全審計系統(HAC)” 已獲國家保密局頒發的《涉密信息系統產品檢測證書》
“運維安全審計系統(HAC)” 已獲中國信息安全測評中心頒發的《信息技術產品安全測評證書》
一.1系統功能
通過安全產品將人與目標設備進行分離,建立以“人->用戶賬號->授權->目標設備賬號->目標設備”為管理模式,通過基于唯一身份標識的集中管理賬號與權限、授權的控制策略,與各服務器、網絡設備等無縫連接,實現集中精細化運維操作管控與審計。使IT安全運維從被動響應的模式轉變為主動的運維安全管控模式,降低人為安全風險,滿足合規和內部管理要求。
一.1.1統一身份及認證管理
一.1.1.1完善的身份管理和認證
為了確保合法用戶才能訪問其擁有權限的后臺資源,解決IT系統中普遍存在的交叉運維而無法定位到具體人的問題,滿足審計系統“誰做的”要求,系統提供一套完整的身份管理和認證功能。
Ø 支持賬號分屬組織的管理模式;組織管理能力,支持縱向七級、橫向255個的組織劃分能力,能夠實現更完善的分權管理和分權審計;
Ø 支持運維用戶和管理員采用同一個賬號;
Ø 支持管理員、運維用戶的靜態口令、數字證書、動態口令、LDAP、AD域、Radius等認證方式;
Ø 支持AD域、LDAP賬號的自動同步;
Ø 支持密碼強度、密碼有效期(按天設置)、口令嘗試死鎖、用戶激活、備注、訪問白名單等安全管理功能;
Ø 支持用戶分組管理,并且單個用戶可以屬于多個用戶組;
Ø 支持用戶信息導入導出,方便批量處理;
Ø 支持系統管理員、運維管理員、設備賬號管理員、會話審計員、管理審計員等管理員角色;
Ø 審計員分權管理,分為會話審計員、管理審計員,其中會話審計員只能審計會話信息,管理審計員只能審計HAC自身操作信息。
一.1.1.2后臺賬號口令集中管理
系統支持對后臺各類資源(主機、服務器、網絡設備、數據庫等)的賬號口令進行統一管理,即后臺資源的賬號口令由系統托管,用戶登錄系統后,系統根據用戶權限分配后臺資源的使用權。
托管賬號支持一站式關聯用戶、關聯用戶組。
一.1.1.3SSO單點登錄
SSO單點登錄功能是運維人員通過堡壘機認證和授權后,堡壘機根據配置策略實現后臺資源的自動登錄。此功能提供了運維人員到后臺資源賬號的一種可控對應,同時實現了對后臺資源賬號的口令統一保護。
Ø 管理員將后臺資源賬號及口令配置到堡壘機中;
Ø 根據管理員配置,實現運維用戶與后臺資源賬號對應,限制賬號的越權使用;
Ø 運維用戶通過堡壘機認證和授權后,堡壘機根據分配的賬號實現自動登錄后臺資源。
支持的SSO賬號類型包括:
Ø 支持Windows、Linux、Unix等服務器賬號自動登錄
Ø 支持CISCO(包括特權賬號)、H3C等網絡設備賬號自動登錄
Ø 支持FTP、VNC、SFTP等賬號自動登錄
Ø 支持PLSQL、SQLPLUS等數據庫工具賬號自動登錄
一.1.1.4后臺設備自動改密
安全策略往往需要對后臺設備的賬號密碼進行定期修改,由于各種原因無法落地。對于之前已經實現SSO的賬號密碼,堡壘機提供定期修改功能:
Ø 根據口令安全策略,堡壘機定期自動修改后臺資源帳戶口令;
Ø 支持密碼更新周期自定義,可以按天設置;
Ø 根據管理員配置,實現運維用戶與后臺資源賬號對應,限制賬號的越權使用;
Ø 運維用戶通過堡壘機認證和授權后,堡壘機根據分配的賬號實現自動登錄后臺資源。
實際應用時存在多臺設備具備相同的帳號、密碼的情況,可以通過“統一賬號管理”實現,只需要手工添加一次賬號,無需多次添加;并且啟用密碼定期修改功能時,該賬號密碼自動修改為相同的密碼。
一.1.1.5電子口令保管箱
對于托管的后臺設備口令,除支持以文件導出、郵件等的方式進行備份外,還支持把該托管口令備份到專用的口令安全存儲設備上,防止口令丟失的風險。對于該口令安全存儲設備的訪問,支持指紋方式認證。
一.1.2訪問控制及授權
一.1.2.1靈活、細粒度的授權
系統提供基于授權規則名的授權設置,每個授權規則名下可以綁定多個用戶、用戶組、設備、設備組、訪問規則(年、月、日、周、時間、會話時長、運維客戶端IP、協議類型)。
每條授權規則可以設置相應的備注、啟用/禁用設置。
一.1.2.2命令級授權
對于字符型協議,如Telnet、SSH、FTP、SFTP等,能夠實現命令級別的授權控制。系統提供基于告警規則名的授權設置,每個告警規則名下可以綁定多個用戶、用戶組、設備、設備組、命令規則。每條授權規則可以設置為啟用或禁用。
Ø 可以通過命令規則進行規則匹配,支持黑、白名單功能;
Ø 支持預訂義和自定義的匹配命令設置,匹配命令支持多條命令,支持正則表達式;
Ø 告警規則可以設置為阻斷或只告警;
Ø 告警規則支持告警級別設置,支持普通、嚴重、緊急等級別;
Ø 告警規則可以按照帳號級別進行綁定,可以設置為只有指定安全級別的帳號才能觸發告警規則,針對不同用戶實施不同的規則,從而提供更細粒度的操作控制。
一.1.2.3應用發布
除Telnet、SSH、FTP、SFTP、RDP、VNC、XWIN、HTTP、HTTPS等常用協議外,針對用戶獨特的運維需求,HAC推出了業界首創的虛擬桌面主機安全操作系統設備(VDH, Virtual Desktop Host),通過VDH配合HAC進行審計能夠完全達到審計、控制、授權的要求
Ø 運維操作全程可控,可做到授權后應用只能訪問指定服務,最大降低對后臺目標服務集群的可能安全風險。
Ø 可對整個運維操作過程進行完整記錄,實現詳盡的會話審計和回放。
Ø 可依據用戶要求快速實現新應用的發布和審計。
Ø 可支持對數據庫維護工具、pcAnywhere、DameWare等不同工具的運維操作進行監控和審計。
一.1.3運維事件事中控制
一.1.3.1實時監控及阻斷
Ø 監控正在運維的會話,信息包括運維用戶、運維客戶端地址、資源地址、協議、開始時間等;
Ø 監控后臺資源被訪問情況;
Ø 提供在線運維操作的實時監控功能。針對命令協議和圖形協議可以圖像方式實時監控正在運維的各種操作,其信息與運維客戶端所見完全一致;
Ø 管理員可以關閉在線會話。
一.1.3.2違規操作實時告警與阻斷
Ø 違反告警規則的各種事件,根據告警規則自動處理;告警事件可實時查看,并通過審計平臺的聲音、閃爍提示;
Ø 對于設置為阻斷的命令,運維用戶無法執行,系統提示相關阻斷信息;
Ø 告警事件以郵件、短信通知。
一.1.3.3可支持ITSM
Ø 可與ITSM相結合,為其優化變更管理流程,加強對變更管理中的風險控制;
Ø 支持對現有運維變更管理系統快速集成。
一.1.3.4可支持雙人復核操作
Ø 支持Telnet/SSH的強制登錄復核;
Ø 支持運維過程的高危命令復核,例如對某阻斷命令,可以設置必須由其它人進行復核;復核人復核通過后,運維人員才可以執行該阻斷命令;
Ø 支持會話日志記錄雙人復核操作審批人、時間、操作符合命令;
Ø 支持設置復核級別,可設置由任意高級別的用戶進行復核,也可以設置專門的高級別用戶進行復核。
一.1.4運維事件事后審計
一.1.4.1完整記錄網絡會話過程
Ø 系統提供運維協議Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、VNC、Http、Https以及應用發布等網絡會話的完整會話記錄,完全滿足內容審計中信息百分百不丟失的要求;
Ø 會話信息包括運維用戶、運維地址、后臺資源地址、資源名、協議、起始時間、終止時間、流量大小信息;
Ø 會話信息包括運維過程中所有進出后臺資源的數據。
一.1.4.2詳盡的會話審計與回放
Ø 運維操作審計以會話為單位,提供當日和條件查詢定位。條件查詢支持按運維用戶、運維地址、后臺資源地址、協議、起始時間、結束時間和操作內容中關鍵字等組合方式;
Ø 針對命令交互方式的協議,提供逐條命令及相關操作結果的顯示;
Ø 提供圖像形式的回放,真實、直觀、可視地重現當時的操作過程;
Ø 回放提供快放、慢放、拖拉等方式,方便快速定位和查看;
Ø 針對命令交互方式的協議,提供按命令進行定位回放;
Ø 針對RDP、Xwindows、VNC協議,提供按時間進行定位回放。
Ø 對于RDP協議除記錄視頻格式外,對于各種鍵盤鼠標的操作進行記錄,具體包括鍵盤信息、屏幕文本信息、文件讀寫信息等。
一.1.4.3自審計功能
Ø 管理員、審計員、運維人員在系統中關鍵操作行為記錄,并可通過報表展現;
Ø 可記錄主帳號訪問審計設備時間、終端IP記錄;
Ø 可記錄主帳號訪問目標設備、從帳號記錄。
一.1.4.4事件通知
事件通知功能可以將發生的事件以郵件或短信(需定制)的方式通知任何管理員。事件分為系統訪問事件、配置管理事件、運維操作事件、運維審計事件、系統維護事件等5大類。
一.1.4.5完備的審計報表功能
提供運維人員操作、管理員操作以及違規事件等多種審計報表:
Ø 提供日常報表,包括今日會話、今日自審計、用戶信息、資源信息、權限信息、規則信息、管理員角色信息等報表;
Ø 提供會話報表,可根據用戶選定時間、用戶、資源形成會話報表;
Ø 自審計操作報表,可根據用戶選定時間、管理員、模塊形成自審計報表;
Ø 告警報表,可根據告警類別、級別、資源、運維用戶、協議、時間等條件形成報表;
Ø 綜合統計報表,可根據時間、資源、用戶等條件形成綜合統計報表,報表中包括概要信息、每個用戶操作信息、每個資源被操作信息等;
Ø 報表導出,支持PDF、Excel、Word等格式。
一.1.5兼容性、可擴展性
HAC運維審計作為IT運維流程中的一個部分,能夠遵循ITIL滿足稽核與審計的要求,系統能夠通過定制開發與現有ITSM、SOC、網管平臺進行集成,滿足大型網絡系統的管理要求。
能夠與KVM系統進行整合,解決KVM系統本身審計功能薄弱的問題。
能夠與專業的數據庫審計系統進行整合,審計日志信息既滿足直觀、方面查看的目的,又可以記錄詳細的數據庫操作記錄,便于故障分析。
一.2系統管理
一.2.1管理架構
Ø 管理員能夠通過B/S模式對HAC設備進行基本的管理、配置和日志查詢審計;
Ø 審計員還可以采用B/S+C/S模式進行管理與審計,內嵌水晶報表的專業審計平臺能夠滿足對實施監控和報表要求嚴格的客戶需求。
一.2.2權限管理
Ø 三權分立,HAC系統的使用權、管理權與監督權相互獨立。使用權,對應于運維用戶;管理權,即對HAC系統本身進行配置管理的能力,具體又可以細分為系統管理員、配置管理員、設備賬號管理員,三者之間亦彼此獨立;監督權,對應于審計員。
Ø 審計員權限細分,分為管理審計員和會話審計員;
Ø 所有管理員、審計員、運維人員與組織結構進行關聯,對應組織的管理賬號只能管理所屬范圍內的資源;無法管理與其同級別其它組織的資源,亦無法管理高于其級別組織的資源;
Ø 支持密碼強度、密碼效期、口令嘗試死鎖、用戶激活等安全管理功能。
一.2.3運維模式
Ø 支持B/S方式Portal統一登錄,并兼容終端C/S客戶端連接設備;
Ø 支持SecureCRT、Putty等第三方工具的Portal運維;
Ø 支持通過SSH秘鑰登錄后臺服務器。
一.2.4其他功能
Ø 支持雙機HA熱備,支持多臺設備的集群功能,保證系統高可用;
Ø 實現HA和集群設備的配置和日志同步;
Ø 提供日志手工和自動備份,備份日志支持離線查看;
Ø 界面中能夠進行設備性能監控以及對設備進行網絡維護;
Ø 支持Syslog方式發送HAC自身操作系統信息,支持多個Syslog服務器設置;
Ø NTP支持保證所有設備的時鐘能夠同步,提高審計準確性;
Ø 支持通過SNMP方式被網管系統管理,并可自定義SNMP通信密鑰;
Ø 提供自審計,能夠對設備管理員對HAC的操作行為進行詳細記錄。
一.3系統部署
鑒于企業網絡及管理架構的復雜性,HAC系統提供了靈活的部署方式,既可以采取串連模式,也可以采用單臂模式接入到企業內部網絡中。采用串連模式部署時,HAC具備一定程度上的網絡控制的功能,可提高核心服務器訪問的安全性;采用單臂模式部署時,不改變網絡拓撲,安裝調試過程簡單,可按照企業網絡架構的實際情況靈活接入。
系統滿足客戶高可用需求,支持HA方式的雙機部署,亦可以采用集群模式部署。兩種部署模式下都實現配置和日志的同步。
系統支持基于分布式管理的總控模式,能夠實現統一策略下發和審計日志、告警信息收集,滿足集團化管理狀態下的分權管理需求。
圖2:單臂模式接入
圖3:串聯模式接入
無論串連模式還是在單臂模式,通過HAC訪問IT基礎服務資源的操作都將被詳細的記錄和存儲下來,作為審計的基礎數據。HAC的部署不會對業務系統、網絡中的數據流向、帶寬等重要指標產生負面影響,無需在核心服務器或操作客戶端上安裝任何軟硬件系統。
一.4系統特點
一.4.1全面的運維審計
Ø 系統采用協議分析、基于數據包還原虛擬化技術,實現操作界面模擬,將所有的操作轉換為圖形化界面予以展現,實現100%審計信息不丟失。
Ø 針對運維操作圖形化審計功能的展現外,同時還能對字符進行分析,包括命令行操作的命令以及回顯信息和非字符型操作時鍵盤、鼠標的敲擊信息。
Ø 系統支持的審計協議以及工具包括:
ü 終端命令操作:Telnet、SSH
ü Windows圖形: RDP、VNC
ü Unix/Linux圖形:Xwindows
ü 文件上傳和下載:FTP、SFTP
ü 基于BS的管理操作:Http、Https
ü 數據庫管理工具:SQLPLUS、PL/SQL、TOAD等工具
一.4.2更嚴格的審計管理
Ø 三權分立,HAC系統的使用權、管理權與監督權相互獨立。使用權,對應于運維用戶;管理權,細分為系統管理員、配置管理員、口令管理員;監督權,對應于審計員。除了默認的管理員權限外,還可自定義管理員角色。在三權分立的基礎上實施內控與審計,有效地控制操作風險。
Ø 系統集認證、授權、管理和審計有機地集成為一體,有效地實現了事前預防、事中控制和事后審計。
Ø 能夠實現命令級的授權,并能按照后臺設備的用戶級別設置告警級別;
Ø 能夠實現命令級別的授權與復核,只有經過審核員復核的高危命令,才允許運維員進行操作;
Ø 業界首創的虛擬桌面主機安全操作系統設備(VDH, Virtual Desktop Host),通過VDH配合HAC進行審計能夠完全達到審計、控制、授權的要求。
一.4.3組織管理能力
Ø 映射自然組織架構,同級間不可跨越管理,低級服從高級組織管理;
Ø 相同級別的組織只能夠管理自身的人員、設備、或者使用上級授予的權限和功能;
Ø 支持縱向七級,橫向255個的組織架構。
一.4.4高效的處理能力
Ø 系統具有業界最強的協議轉發處理能力,摒棄業績常用的協議轉發“黑盒子”,能夠對Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、VNC、HTTP、HTTPS協議進行完整的透明轉發,特別是對圖形化操作協議的轉發性能遠遠優于其它同類型產品;
Ø 由于基于完全的協議轉發,會話日志占用空間非常小,滿足大量運維工作日志存儲需要。
一.4.5良好的可擴展性與兼容性
Ø 系統軟硬件均采用模塊化設計,不但提高設備穩定性而且易于擴展;
Ø 系統管理不但能夠通過B/S完成基本的配置要求,還可以通過專業的審計平臺實現更細粒度的管理與審計。
Ø 運維人員登錄可支持Portal統一登錄,并兼容終端C/S客戶端連接設備;
Ø 系統不但能夠與用戶的現有運維流程緊密結合,還能夠與用戶現有的SOC、ITSM等運維以及監控平臺進行整合,完全融入到現有的運維管理;
Ø 能夠與主流KVM系統進行整合,解決KVM系統本身審計功能薄弱的問題;
Ø 能夠與專業的數據庫審計系統進行整合,審計日志信息既滿足直觀、方面查看的目的,又可以記錄詳細的數據庫操作記錄,便于故障分析;
Ø 江南科友具有強大研發實力,不但能為客戶提供長期的產品軟件更新還能按照客戶的實際需求進行定制開發。
一.4.6靈活的部署方式及簡便的操作配置
Ø 系統支持單臂、串接部署模式;
Ø 系統部署與運行均不影響業務正常運行;
Ø 支持基于B/S實現系統管理、配置;
Ø 審計平臺提供了功能齊全、操作方便、展現良好的審計管理功能;
Ø 系統具有配置導航,即使首次配置產品,也可以在5分鐘內實現基本功能配置,達到上線要求;
Ø 支持配置的導入、導出,支持用戶組、資源組之間的授權模式。
一.4.7豐富的報表展現
Ø 系統提供多種報表展示的同時還能夠提供客戶自定義報表生成;
Ø 系統提供多種報表格式,包括PDF、Word、Excel等;
Ø 系統提供列表、餅狀圖、柱狀圖等多種圖表,動態展現運維趨勢,便于分析與管理。
一.4.8完善的系統安全設計
Ø 精簡的內核和優化的TCP/IP協議棧;
Ø 系統實現分層設計,運維系統賬號與平臺操作系統賬號分開,能夠添加root為用戶名的管理員和運維人員;
Ø 基于HTTPS/SSL的自身安全管理與審計;
Ø 嚴格的安全訪問控制和管理員身份認證支持強認證;
Ø 審計信息加密存儲;
Ø 口令信息加密存儲與密碼打??;
Ø 完善的審計信息備份機制;
Ø 完整全面的自審計功能;
Ø 口令信息可以與江南科友專業的電子口令保管箱集成,提高口令加密存儲的安全強度而且可以支持密函打印。 
