Logbase运维安全审计系统技术白皮书v3201041.docx
- 文档编号:23033169
- 上传时间:2023-04-30
- 格式:DOCX
- 页数:11
- 大小:213.29KB
Logbase运维安全审计系统技术白皮书v3201041.docx
《Logbase运维安全审计系统技术白皮书v3201041.docx》由会员分享,可在线阅读,更多相关《Logbase运维安全审计系统技术白皮书v3201041.docx(11页珍藏版)》请在冰豆网上搜索。
Logbase运维安全审计系统技术白皮书v3201041
LogBase运维安全审计系统
技术白皮书
思福迪2010
版权说明
©版权所有2005-2009,杭州思福迪信息技术有限公司
本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
商标信息
Safetybase、LogBase均是杭州思福迪信息技术有限公司注册商标,受商标法保护。
公司信息
网址:
E-mail:
support@
电话:
400-678-1500
目录
一、背景4
1.1现状分析4
1.2需求分析5
1.2.1安全管理需求5
1.2.2政策法规要求5
二、产品概述6
三、技术原理7
3.1系统架构7
3.2技术原理8
四、主要功能介绍9
4.1统一用户身份认证9
4.2访问权限控制9
4.3服务器密码管理9
4.4会话同步监控9
4.5异常行为告警10
4.6操作行为记录10
4.7会话过程重放10
4.8历史记录查询10
4.9综合审计报表11
五、产品特性12
5.1无干扰部署方式12
5.2支持所有主流协议12
5.3WEB在线回放技术12
5.4人性化使用方式12
5.5丰富的审计报表12
5.6安全可靠的自身保障能力13
六、部署方式14
七、结论15
一、背景
随着业务系统与信息系统的日益融合,信息系统已经成为影响业务开展的基础与关键因素之一,保障信息系统安全、稳定、高效的运行,是所有信息系统建设的重要目标。
然而,传统的信息安全建设往往注重于防范外部攻击,而忽略了运维人员日常工作中存在的安全隐患。
面对各种各样的运维人员,我们有一系列的更重要问题需要进行解决,如:
✧如何避免运维人员的误操作、违规操作?
✧如何限制第三方运维人员的访问权限?
✧如何在第一时间阻止违规操作?
✧如何解决服务器账号、密码的泄露与共享?
✧出现安全事件后,如何进行快速分析?
✧如何确定安全事件的责任人?
运维安全审计系统的使用,能够快速解决上述问题,是企业IT内控不可缺少的必备工具。
1.1现状分析
随着IT应用技术的迅猛发展,企业面临的IT风险也愈加复杂,其中,来自企业内部管理、运维过程中的风险更是成为企业IT系统的最大风险点,做好防范外部攻击的同时,我们需要更注重内部面临的安全威胁。
从运维角度看,目前面临的安全威胁主要有:
✧账号共用情况普遍存在,一旦出现安全事故,难以定位责任人;
✧大部分单位需要第三方提供的软、硬件支持服务,第三方人员有机会接触到企业的核心资源;
✧维护人员的违规操作、误操作能够带来重大损失。
1.2需求分析
1.2.1安全管理需求
调查结果表明,在可统计的安全事件中,70%以上都是由于企事业单位内部人员所为,这其中包括了越权访问、误操作、滥用授权、恶意破坏、信息泄漏等等行为。
为防止内部人员由于误操作、越权访问等行为对IT系统造成重大损失;出现安全事件时能够清楚地定位事件的责任人,就必须建立IT系统安全审计体系,对运维人员的操作行为进行严格审计。
1.2.2政策法规要求
随着IT治理理论及技术的发展,目前各种安全方面的安全规范、法规、标准均要求对运维过程进行安全审计,如:
《COBIT(IT治理控制框架)》;
《Sarbanes-Oxley法案》(简称SOX法案);
《ISO17779(信息安全管理体系)》;
《信息安全技术-信息系统安全等级保护实施指南》公安部;
《企业内部控制基本规范》国家财政部、证监会、审计署、银监会、保监会联合发布;
《银行业金融机构信息系统风险管理指引》银监会。
二、产品概述
Logbase运维安全审计系统是新一代操作行为安全审计系统,它采用软硬件一体化设计,通过B/S方式(https)进行管理,其主要功能为实现对运维人员操作服务器、网络设备、数据库过程的记录,以及违规操作行为的阻断与审计功能。
该产品采用先进的软件架构,支持对多种远程维护方式的审计功能,如字符终端方式(SSH、Telnet、Rlogin)、图形方式(RDP、X11、VNC、Radmin、PCAnywhere)、文件传输(FTP、SFTP)以及多种主流数据库的访问操作。
2.1系统架构
Logbase运维安全审计系统采用模块化设计,主要由以下模块组成:
行为控制模块、审计模块、管理模块、用户管理接口模块,各模块间关系如下图所示:
系统架构图
行为控制模块
主要实现对网络、数据库、服务器维护过程的网络数据包代理转发、行为还原及记录、违规行为阻断功能;
管理模块
主要实现维护用户管理、主机资产管理、用户权限管理,以及对审计记录的数据存储控制;
审计模块
主要实现行为安全审计功能,包括实时违规行为告警系统、历史记录检索系统以及报表系统;
用户界面
主要提供运维人员审计管理接口,以及运维用户的远程工具使用界面。
2.2技术原理
Logbase运维安全审计系统采用协议代理方式对各种维护协议进行转发,并在转发的过程中分别模拟了协议的客户端与服务端,具体如下图所示:
技术实现原理示意图
当客户端通过运维审计系统访问服务器时,首先由运维安全审计系统模拟成远程访问的服务端时,接受客户端发送的信息,并对其进行协议的还原、解析、记录,最终获得客户端发送的指令信息,再模拟成操作的客户端与真正的目标服务器建立通讯并转发用户端发送的指令信息,从而实现对各种维护协议的代理转发过程。
在通讯过程中,Logbase运维安全审计系统会记录各种指令信息,并根据违规规则库对指令信息进行比对,如发现违规的操作行为,则终止数据包的转发,并中断整个TCP会话。
三、主要功能介绍
3.1统一用户身份认证
在信息系统的维护管理过程中,经常会出现多名运维人员共用同一系统帐号进行登录访问的情况,从而导致很多安全事件无法清晰地定位责任人。
LogBase运维安全审计系统通过“审计系统帐号”与“服务器帐号”相关联的方式,成功地解决了账号共用问题,即在Logbase系统中为每一个运维人员创建唯一的登录账号,运维人员通过唯一的“审计系统帐号”远程登录目标服务器,从而实现用户身份的唯一性认证功能。
Logbase运维审计系统支持SSO功能,维护人员只要登录运维审计系统,即可访问所有的服务器系统,无需进行二次登录认证。
3.2访问权限控制
LogBase运维安全审计系统可以对运维人员进行细粒度的权限控制,管理可以根据IP地址、时间、用户名、操作指令等内容设定访问权限,如:
✧限制用户能够访问的服务器范围;
✧限制用户能够登录的事件;
✧设定用户操作指令黑名单,阻止违规操作行为;
3.3服务器密码管理
LogBase运维安全审计系统提供服务器密码管理功能,可以周期性对服务器密码进行自动修改,并保证密码复杂程度与密码文件的安全保管。
管理员可以设定改密周期、密码强度策略等改密要求。
3.4会话同步监控
对于所有远程访问目标服务器的会话连接,Logbase运维安全审计系统均可实现同步过程监视,运维人员在服务器上做的任何操作都会同步显示在审计人员的监控画面中,包括vi、smit以及图形化的RDP、VNC等操作,管理员可以根据需要随时切断违规操作会话。
3.5异常行为告警
LogBase运维安全审计系统内置安全事件规则库,并可实时对用户的操作过程进行检测,一旦发现违规操作行为,可以通过短信、邮件等方式向审计人员及时发送告警信息或自动中止操作会话。
安全事件规则库支持自定义扩充功能,管理员可以根据企业内部管理需求,灵活扩充规则库内容。
3.6操作行为记录
对所有经过审计系统的操作行为,LogBase运维安全审计系统均可完整记录操作过程,保留操作记录,记录内容包括操作时间、IP地址、用户账号、服务器账号、操作指令、操作结果等信息。
对于所有的操作记录,Logbase运维安全审计系统可以长时间进行保留,为日后安全审计提供客观依据。
3.7会话过程重放
Logbase内控堡垒审计系统能够以WEB在线视频回放方式重现维护人员对服务器的所有操作过程,从而真正实现对操作行为的完全审计。
回放过程支持常见的视频播放控制操作,如倍速/低速播放、拖动、暂停、停止、重新播放等等,也可以从特定指令开始定位回放。
3.8历史记录查询
Logbase运维安全审计系统支持通过友好的查询界面,对以前发生过的历史事件进行查询。
审计人员可以根据时间、IP地址、用户名、操作指令等信息对历史数据进行多条件组合查询,快速定位目标记录。
查询结果可以直接导出为excel文件,方便审计员进行后续处理。
3.9综合审计报表
Logbase运维安全审计系统支持强大的报表功能,内置大量的安全审计报表模板,同时也支持通过自定义方式扩充报表内容。
报表支持以天、星期、月为周期自动生成报表,也可以由管理员手工生成所需的报表。
四、产品特性
4.1无干扰部署方式
Logbase运维安全审计系统采用旁路模式部署,无需改变用户网络结构,无需在客户端及服务器端安装程序,会影响客户正常业务系统使用。
4.2支持所有主流协议
支持各种主流操作协议包括字符型操作、图形化操作、文件传输、数据库访问操作等,支持对象全面覆盖主流的服务器系统、网络设备、安全设备、数据库系统。
4.3WEB在线回放技术
Logbase运维安全审计系统支持WEB在线回放技术,无需在客户端安装任何回放软件即可实现操作过程回放功能,回放过程支持常见视频回放操作。
4.4人性化使用方式
Logbase运维安全审计系统支持用户通过WEB界面去访问目标系统,如通过web界面访问SSH服务器、windows远程终端等等;
系统同时也支持运维人员使用自己习惯的登录客户端软件去访问目标服务器,如putty、SecureCRT、Secureshell等等。
4.5丰富的审计报表
Logbase内置丰富的安全审计报表,总数超过百张,能够满足大部分客户对的安全审计需求,同时,系统也支持通过自定义或二次开发方式进行灵活扩展。
4.6安全可靠的自身保障能力
Logbase运维安全审计系统通过多种技术手段来保障自身与审计数据的安全性,如:
✓内置自身安全防护防火墙
✓数据防篡改、防删除技术设计;
✓严格的访问权限、审计权限控制体系;
✓RAID磁盘阵列,有效保护数据安全;
✓HA功能。
五、部署方式
Logbase运维审计系统采用旁路方式部署,如下图所示:
Logbase运维审计系统部署示意图
如图所示,Logbase系统在部署时只需要为其分配一个独立IP地址即可,无需对网络拓扑结构进行任何调整。
客户端通过网络连接至运维审计系统,由运维审计系统将用户的访问行为转发至目标服务器。
采用此Logbase运维审计系统之后,对外部用户只需开放Logbase运维审计系统的访问端口即可,内部服务器的维护端口只需要开放给运维审计系统即可,无需直接对外开放,因此能够进一步加强内部服务器的安全性。
六、结论
Logbase运维安全审计系统支持对运维人员维护过程的全面跟踪、控制、记录、回放;能够控制运维人员的访问权限,阻止违规、越权访问行为,同时提供详细的维护过程记录与报告;系统支持对加密与图形协议进行审计,消除了传统行为审计系统中的审计盲点,是IT内部控制最有效的支持工具之一。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Logbase 安全 审计 系统 技术 白皮书 v3201041