《2023年-LogBase运维安全审计系统技术白皮书.docx》由会员分享,可在线阅读,更多相关《2023年-LogBase运维安全审计系统技术白皮书.docx(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、LogBase运维安全审计相关系统相关技术白皮书LnG Basez日志专家杭州思福迪信息相关技术有限公司2010管理员可以设定改密周期、密码强度策略等改密要求。4.4 会话同步监控对于所有远程访问目标服务器的会话连接,Logbase运维安全审计相关系统 均可实现同步过程监视,运维人员在服务器上做的任何操作都会同步显示在审计 人员的监控画面中,包括vi、smit以及图形化的RDP、VNC、XII等操作,管 理员可以根据需要随时切断违规操作会话。4.5 异常行为告警LogBase运维安全审计相关系统内置安全事件规则库,并可实时对用户的操 作过程进行检测,一旦发现违规操作行为,可以通过短信、邮件等方
2、式向审计人 员及时发送告警信息或自动中止操作会话。安全事件规则库支持自定义扩充功能,管理员可以根据企业内部管理相关需 求,灵活扩充规则库合适的内容。4.6 操作行为记录对所有经过审计相关系统的操作行为,LogBase运维安全审计相关系统均可 完整记录操作过程,保留操作记录,记录合适的内容包括操作时间、IP地址、 用户账号、服务器账号、操作指令、操作结果等信息。对于所有的操作记录,Logbase运维安全审计相关系统可以长时间进行保留, 为日后安全审计提供客观依据。4.7 会话过程重放Logbase内控堡垒审计相关系统能够以视频回放方式,重现维护人员对服务 器的所有操作过程,从而真正实现对操作行为
3、的完全审计。回放过程采用WEB 在线播放方式,无需在安装播放客户端软件。回放过程支持常见的视频播放控制操作,如倍速/低速播放、拖动、暂停、停 止、重新播放等等,也可以从特定指令开始定位回放。4.8 历史记录查询Logbase运维安全审计相关系统支持通过友好的查询界面,对以前发生过的 历史事件进行查询。审计人员可以根据时间、IP地址、用户名、操作指令等信息对历史数据进行 多条件组合查询,快速定位目标记录。查询结果可以直接导出为excel文件,方便审计员进行后续处理。4.9 综合审计报表Logbase运维安全审计相关系统支持强大的报表功能,内置大量的安全审计 报表模板,同时也支持通过自定义方式扩充
4、报表合适的内容。报表支持以天、星期、月为周期自动生成报表,并可通过邮件自动送达管理 员处。也可以由管理员随时手工生成所需的报表。五、产品特性5.1 无干扰部署方式Logbase运维安全审计相关系统采用旁路模式部署,无需改变用户网络 结构,无需在客户端及服务器端安装程序,不会影响客户正常业务相关系统 使用。5.2 支持所有主流协议支持各种主流操作协议包括字符型操作、图形化操作、文件传输、数 据库访问操作等,支持对象全面覆盖主流的服务器相关系统、网络设备、安 全设备、数据库相关系统。5.3 WEB在线回放相关技术Logbase运维安全审计相关系统支持WEB在线回放相关技术,无需在客 户端安装任何回
5、放软件即可实现操作过程回放功能,回放过程支持常见视频 回放操作。5.4 人性化使用方式Logbase运维安全审计相关系统支持用户通过WEB页面直接访问目标 相关系统,如通过web页面访问SSH服务器、windows远程终端等等;相关系统同时也支持运维人员使用自己习惯的客户端软件去访问目标服 务器,如 putty、SecureCRT、Secure shell 等等。5.5 丰富的审计报表Logbase内置丰富的安全审计报表,总数超过百张,即能够满足大部分 客户的日常审计相关需求,也可满足如“等级保护”、“萨班斯法案”等合规性要求。同时,相关系统也支持通过自定义或二次开发方式进行灵活扩展。5.6
6、安全可靠的自身保障相关能力Logbase运维安全审计相关系统,通过多种相关技术手段,来保障自身 与审计数据的安全性。如:,内置自身安全防护防火墙,数据防篡改、防删除相关技术设计;,严格的访问权限、审计权限控制体系;/ RAID磁盘阵列,有效保护数据安全;/ HA功能。六、部署方式Logbase运维审计相关系统采用旁路方式部署,如下图所示:Logbase运维审计相关系统部署示意图如图所示,Logbase相关系统在部署时只需要为其分配一个独立IP地址即可, 无需对网络拓扑结构进行任何调整。客户端通过网络连接至运维审计相关系统, 由运维审计相关系统将用户的访问行为转发至目标服务器。部署Logbase
7、运维审计相关系统后,内部服务器的维护端口只需开放给运维 审计相关系统,无需再让运维人员直接访问。对运维人员,只需开放Logbase运 维审计相关系统的访问端口,从而进一步加强内部服务器的安全性。七、规格指标相关技术指 标LogBase BH330LogBase BH530LogBase BH1300LogBase BH3300体积规格1U2U2U2U支持协议Telnet、RDP、Rlogin、VNC、XI1 Oracle MSSQL Sybase支持模式代理/VPN代理/VPN代理代PN代理/VPN管理方式B/SHA模式支持支持支持支持存储容量500G500GIT2T电源接口1112并发数30
8、05008001500外部存储不支持不支持支持支持注:1300以上设备网络接口可根据需要选择光口/电口。八、综述Logbase运维安全审计相关系统,支持对运维人员维护过程的全面跟踪、控 制、记录、回放;支持细粒度设置运维人员的访问权限,实时阻断违规、越权 的访问行为,同时提供维护人员操作的全过程的记录与报告;相关系统支持对加 密与图形协议进行审计,消除了传统行为审计相关系统中的审计盲点,是IT相 关系统内部控制最有力的支撑整体平台之一。版权说明版权所有2005-2010,杭州思福迪信息相关技术有限公司本文件中出现的任何文字叙述、文档格式、插图、照片、方式方法、过程等 合适的内容,除另有特别注明
9、,版权均属杭州思福迪信息相关技术有限公司所有, 受到有关产权及版权法保护。任何个人、机构未经杭州思福迪信息相关技术有限 公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。商标信息LogBase是杭州思福迪信息相关技术有限公司注册商标,受商标法保护。公司信息网址:E-mail: supportlogbase. cn地址:杭州市文一西路75号3号楼6楼热线: 400-678-1500电话: 0571-88923222传真: 0571-88923887一、前言4二、为什么需要运维审计相关系统5三、LogBase审计产品概述63.1 相关系统架构63.2 相关技术原理73.3 支持协议清单
10、8四、主要功能介绍94.1 统一用户身份认证94.2 访问权限控制94.3 服务器密码管理94.4 会话同步监控104.5 异常行为告警104.6 操作行为记录104.7 会话过程重放104.8 历史记录查询114.9 综合审计报表11五、产品特性125.1 无干扰部署方式125.2 支持所有主流协议125.3 WEB在线回放相关技术125.4 人性化使用方式125.5 丰富的审计报表125.6 安全可靠的自身保障相关能力13六、部署方式14七、规格指标15八、综述16一、前百各种权威的网络安全调查结果均表明,在可统计的安全事件中,60%以上均 与内部人员有关,这其中既包括恶意行为(越权访问、
11、恶意破坏、数据窃取), 也包括各种非主观故意引起的非恶意行为(误操作、权限滥用)。由此可见,规 范内部人员的访问行为,特别是核心相关系统(主机、网络设备、安全设备、数 据等)的维护行为势在必行。传统的信息安全建设,往往侧重于对外部黑客攻击的防范,以及网络边界的 访问控制,对信息相关系统安全威胁最大的内部人员行为却缺乏有效的管理。企 业内部人员,特别是拥有信息相关系统较高访问权限的运维人员(如网管员、临 时聘用人员、第三方代维人员、厂商工程师等),比外部入侵者更容易接触到信 息相关系统的核心设备和敏感数据、内部人员恶意或非恶意的破坏行为更容易造 成较大的破坏。然而,由于现有管理手段的不完善,账号
12、共享情况普遍存在,以及加密、图 形协议的广泛应用,使得这些运维管理人员的日常操作,存在操作身份不明确、 操作过程不透明、操作合适的内容不可知、操作行为不可控、操作事故无法定位 等安全风险。内部人员的操作行为几乎处于完全失控的状态,一旦发生事故,其 后果的严重性将是无法预估的。因此,放任内部风险的存在决不可行。此外,从遵守国家及本行业各项法律法规的角度考虑。随着中华人民共和 国计算机信息相关系统安全保护条例的推广实施,对IT相关系统内部控制的 要求越来越明确。如,等保基本要求中明确提出,要对“内部维护人员登录主机、 数据库所进行的所有操作行为”、“第三方人员的维护行为”进行审计和控制。为满足用户
13、对加强内部运维安全审计日益迫切的需要,杭州思福迪公司,依 托自身强大的研发相关能力,丰富的行业经验,自主研发了新一代软硬件一体化 运维安全专用审计相关系统一一Logbase运维安全审计相关系统。该相关系统支 持对企业内部人员的操作行为进行全面的审计、监控,消除了传统审计相关系统 中的盲点,使企业对运维人员的操作过程,能做到事前防范、事中控制、事后审 计的相关能力,是企业IT内控最有效的管理整体平台。八为什么需要运维审计相关系统企业的信息相关系统,在日常的内部运维管理及IT内控合规性遵循过程中, 经常会遇到如下相关问题: 多位运维人员共用一个相关系统帐号,当出现安全事故时相互推诿,缺 乏客观、可
14、信的依据来确定事故责任人; 维护人员可能只需要执行简单的规定操作,但却通常需要使用拥有更多 权限的相关系统账户,而相关系统自身又无法进行细粒度的授权管理, 无法进行指令级或文件级别的访问权限控制; 服务器、网络设备、数据库等资产的数量日益增多,按照管理要求定期 修改密码成为耗时费力的琐事,基层运维人员是否严格遵守制度,按时 完成密码安全管理工作,管理人员无法方便得知; 当第三方运维人员(代维/原厂工程师),需要对相关系统进行操作时, 基于对合作伙伴的信任及工作方便需要,企业内部人员通常会给与其拥 有高权限的相关系统账户甚至管理员帐户,而管理员却无法从相关技术 上确保,第三方人员的所有操作行为是
15、否合规; 当相关系统因某些操作发生故障时,因为缺乏对操作过程的全程记录, 无法还原事故现场,确定相关问题原因,而使得相关系统恢复时间大大 延长;三、LogBase审计产品概述Logbase运维安全审计相关系统是新一代操作行为安全审计相关系统,它采用软硬件一体化设计,通过B/S方式(https)进行管理,其主要功能为实现对运维人员操作服务器、网络设备、数据库过程的全程监控与审计,以及对违规操作行为的实时阻断。该产品采用先进的设计理念,支持对多种远程维护方式的支持,如字符终端 方式(SSH、Telnet、Rlogin) 图形方式(RDP、XII、VNC、Radmin、PCAnywhere)文件传输
16、()以及多种主流数据库的访问操作。3.1 相关系统架构Logbase运维安全审计相关系统采用模块化设计,主要由以下模块组成:行 为控制模块、审计模块、管理模块、存储模块、用户管理接口模块,各模块间关用户管理主机管理权限管理数据管理行为控制模块图1.相关系统架构图行为控制模块实现对网络、数据库、服务器维护过程的网络数据包代理转发、行为还原及记录、违规行为阻断功能;管理模块实现维护用户管理、主机资产管理、用户授权与访问权限管理,以及对审计 记录的数据存储控制;审计模块实现行为安全审计功能,包括实时违规行为告警相关系统、历史记录检索相 关系统以及报表相关系统;用户界面提供运维人员审计管理接口,以及运
17、维用户的远程工具使用界面。3.2 相关技术原理Logbase运维安全审计相关系统采用协议代理方式对各种维护协议进行转发, 并在转发的过程中分别模拟了协议的客户端与服务端,具体如下图所示:服务端图2.相关技术实现原理示意图当客户端通过运维审计相关系统访问服务器时,首先由运维安全审计相关系 统模拟成远程访问的服务端时,接受客户端发送的信息,并对其进行协议的还原、 解析、记录,最终获得客户端发送的指令信息,再模拟成操作的客户端,与真正 的目标服务器建立通讯,并转发用户端发送的指令信息。接收到服务器端的返回 信息后,再反向执行此过程,将返回值发送给客户端从而实现对各种维护协议的 代理转发过程。在通讯过
18、程中,Logbase运维安全审计相关系统会记录各种指令 信息,并根据违规规则库对指令信息进行比对,如发现违规的操作行为,则终止 数据包的转发,并中断整个TCP会话。3.3支持协议清单字符型远程操作协议/ SSH/ TELNET/ RL0GIN图形终端操作协议/ RDP(5.x、6.x、7. x)/ VNC/ XII数据库远程协议/ ORACLE (8i、 9i、 10g、 11g)/ MSSQL SERVER (2000、 2005)/ SYBASE文件传输协议/ FTP/ SFTP四、主要功能介绍4.1 统一用户身份认证在信息相关系统的维护管理过程中,经常会出现多名运维人员共用同一相关 系统
19、帐号进行登录访问的情况,从而导致很多安全事件无法清晰地定位责任人。 LogBase运维安全审计相关系统通过“运维审计相关系统帐号”与“服务器帐号” 相关联的方式,即在Logbase相关系统中为每一个运维人员创建唯一的登录账号, 运维人员通过自身的“审计相关系统帐号”,先登录运维安全审计相关系统,再 登录目标服务器,从而实现将用户身份的认证落实到“自然人”。Logbase运维审计相关系统支持SSO功能,维护人员只要登录运维审计相关 系统,即可访问所有被授权的服务器相关系统,无需进行二次登录认证。4.2 访问权限控制LogBase运维安全审计相关系统可以对运维人员进行细粒度的权限控制,管 理可以根据人员、时间、相关系统账户、操作指令等合适的内容设定访问权限, 如:令 限制用户能够访问的服务器范围;。限制用户能够登录的时间;设定用户操作指令黑、白名单,阻止违规操作行为;LogBase运维安全审计相关系统还支持特有的授权访问机制,即对某些 用户,每次访问特定设备前都需要管理员进行授权才能通行,避免临时人 员在管理员不知情的情况下进行访问。4.3 服务器密码管理LogBase运维安全审计相关系统提供服务器密码管理功能,可以周期性对服 务器密码进行自动修改,并保证密码复杂程度与密码文件的安全保管。