运维审计系统解决方案

一、前言

各种权威的网络安全调查结果均表明，在可统计的安全事件中，60%以上均与内部人员有关，这其中既包括恶意行为（越权访问、恶意破坏、数据窃取），也包括各种非主观故意引起的非恶意行为（误操作、权限滥用）。由此可见，规范内部人员的访问行为，特别是核心系统（主机、网络设备、安全设备、数据等）的维护行为势在必行。

传统的信息安全建设，往往侧重于对外部黑客攻击的防范，以及网络边界的访问控制，对信息系统安全威胁最大的内部人员行为却缺乏有效的管理。企业内部人员，特别是拥有信息系统较高访问权限的运维人员（如网管员、临时聘用人员、第三方代维人员、厂商工程师等），比外部入侵者更容易接触到信息系统的核心设备和敏感数据、内部人员恶意或非恶意的破坏行为更容易造成较大的破坏。

然而，由于现有管理手段的不完善，账号共享情况普遍存在，以及加密、图形协议的广泛应用，使得这些运维管理人员的日常操作，存在操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控、操作事故无法定位等安全风险。内部人员的操作行为几乎处于完全失控的状态，一旦发生事故，其后果的严重性将是无法预估的。因此，放任内部风险的存在决不可行。

此外，从遵守国家及本行业各项法律法规的角度考虑。随着《中华人民共和国计算机信息系统安全保护条例》的推广实施，对IT系统内部控制的要求越来越明确。如等保基本要求中明确提出，要对“内部维护人员登录主机、数据库所进行的所有操作行为”、“第三方人员的维护行为”进行审计和控制。

为满足用户对加强内部运维安全审计日益迫切的需要，公司依托自身强大的研发能力，丰富的行业经验，自主研发了新一代软硬件一体化运维安全专用审计系统——运维安全管理系统。该系统支持对企业内部人员的维护行为进行全面的管理、审计，消除了传统审计系统中的盲点，使企业对运维人员的操作过程，能做到事前防范、事中控制、事后审计的能力，是企业IT内控最有效的管理平台。

二、产品功能

统一身份认证与SSO

在信息系统的运维操作过程中，经常会出现多名维护人员共用设备（系统）账号进行远程访问的情况，从而导致出现安全事件无法清晰地定位责任人。运维审计系统运维安全管理系统为每一个运维人员创建唯一的运维账号（主账号），运维账号是获取目标设备访问权利的唯一账号，进行运维操作时，所有设备账号（从账号）均与主账号进行关联，确保所有运维行为审计记录的一致性，从而准确定位事故责任人，弥补传统网络安全审计产品无法准确定位用户身份的缺陷，有效解决账号共用问题。

运维审计系统支持多种身份认证方式：

ü本地认证

üRadius认证

ü动态令牌(安盟、RSA)

üLDAP认证

üAD域认证等

ü短信认证

运维审计系统还支持SSO功能，运维人员一次登陆，即可访问所有目标资源，无需二次输入用户名、口令信息。

统一维护访问通道功能

运维审计系统部署后，运维人员可以通过不同的方式对目标对象进行访问、维护：

üWEB控件方式访问，所有协议均可通过WEB空间方式从WEB直接发起访问，访问过程支持IE、Firefox、chrome等多种浏览器；

ü支持通过WEB直接调用本地客户端方式进行访问；

ü支持本地直接使用CS客户端直接访问，兼容管理员原有使用习惯

运维人员登录运维审计系统时，系统会根据访问授权列表自动展示授权范围的主机，避免用户访问未经授权主机。

用户访问界面展示

此外，运维审计系统还支持在运维过程中要求其他运维人员进行协同操作的功能，在协同操作模式下，2名运维人员可以共同操作同一个访问会话界面；

运维工作流管理

运维审计系统内置了多个运维工作流程管理功能，IT部门能够通过运维工作流功能规范IT运维过程，工作流功能包含以下具体流程：

a)工作任务管理流程：

1.任务发起人通过系统下发工作任务；

2.任务接收人在个人消息中心实时接收工作任务信息；

3.任务接收人完成工作，在WEB界面中进行任务回复；

4.任务发起人接收到回复信息后，对任务执行情况进行确认，结束工作任务流程；

b)审计流程：

审计流程包含异常事件处理流程及报表审计流程两部分，审计人员可以查看相关异常事件及报表并添加相应的审计意见，否则该事件会一直处于未处理状态，以提醒审计人员对重点事件进行关注并审计。

自动改密计划界面展示

设备密码管理功能

运维审计系统支持主机系统账号的密码维护托管功能，系统支持自动定期修改windows、Linux、Unix、cisco、huawei等设备的账号密码。

自动密码管理支持以下功能：

ü设定密码复杂度策略；

ü针对不同设备制定不同改密计划；

ü设定改密计划的自动改密周期；

ü支持随机不同密码、随机相同密码、手工指定密码等新密码设定策略；

ü改密结果自动发送至指定密码管理员邮箱；

ü设定指定的改密对象，支持AD域账号改密；

ü手工下载部分或全部密码列表；

ü自动改密结果确认功能，密码管理员必须人工确认已经下载或收到密码文件；否则改密计划自动停止执行，确保改密过程可靠性；

ü改密结果高强度保护功能，必须经过专用密码查看器加密码以及设备序列号才能访问

密码策略配置界面展示

自动改密计划界面展示

批量执行功能

运维审计系统支持自动化在多台机器上批量执行指令。通过批量执行功能，管理员可以方便实现对多台主机的升级、备份等工作任务。

ü支持通过SSH、Telnet、Rlogin执行系统命令；

ü支持MySQL批量指令执行；

ü支持MySQLover SSH模式；

ü可设定任务执行开始时间；

ü可设定执行的目标主机与系统账号；

ü执行过程与结果审核；

批处理管理界面展示

细粒度访问授权

运维审计系统通过集中统一的访问控制和细粒度的命令级授权策略，确保每个运维用户拥有的权限是完成任务所需的最合理权限。

ü基于向导式的配置过程；

ü支持基于用户角色的访问控制（RBAC ,Role-Based Access Control）。管理员可根据用户、用户组、访问主机、目标系统账号、访问方式设置细粒度访问策略；

ü支持基于时间的访问控制；

ü支持基于访问者IP的访问控制；

ü基于指令（黑白名单）的访问控制；

除访问授权之外，运维审计系统运维管理系统还支持针对访问协议进行深层控制，比如：

ü限制SSH协议使用SFTP

ü限制RDP访问使用剪贴板功能

ü限制RDP访问使用磁盘映射功能

ü是否启用强制审批功能（访问和操作前必须经过管理员审批）

ü是否启用备注功能（访问前必须先填写维护内容）

向导式策略配置界面展示

访问策略界面展示

关键访问操作二次审批

运维审计系统支持根据需求对特殊访问与操作进行二次审批功能，该功能可以进一步加强对第三方人员访问或关键设备访问操作的控制力度，确保所有访问操作都在实时监控过程中进行。

二次审批功能支持以下两种方式：

ü对新建远程访问会话进行审批

ü对特殊指令执行进行审批

由于每次访问操作都需要管理员进行审批确认，该功能也可以代替部分客户使用的双人密码管理方式。

违规访问告警与阻断

运维审计系统支持根据已设定的访问控制策略，自动检测日常运维过程中发生的越权访问、违规操作等安全事件，系统能够根据安全事件的类型、等级等条件进行自动的告警或阻断处理。

ü阻断未经授权用户访问主机；

ü阻断从异常客户端、异常时间段发起的访问行为；

ü阻断指令黑名单的操作行为；

ü阻断方式支持：断开会话、忽略指令；

ü告警方式支持：WEB界面告警、短信告警、邮件告警等。

违规处理配置界面展示

实时操作过程监控

对于所有远程访问目标主机的会话连接，运维审计系统均可实现操作过程同步监视，运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中，管理员可以随时手工中断违规操作会话。

ü实时同步显示操作画面；

ü支持vi、smit、setup等字符菜单操作同步显示；

ü随时手工阻断违规操作过程。

历史记录查询

运维审计系统运维安全管理系统支持两种查询功能，快速查询（单一条件）和高级查询（多重组合条件），审计人员可以根据操作时间、源、目标IP地址、用户名（运维、主机）、操作指令等条件对历史数据进行查询，快速定位历史事件。

ü快速审计查询支持在结果集中继续深入查询；

ü高级查询支持对将任意字段设为查询条件；

ü支持大于、小于、等于、字符包含、不包含、时间区间、IP区间等多种逻辑判断符；

ü支持任意多重条件组合查询；

ü海量数据高速检索能力，检索结果即搜即得；

快速检索界面展示

高级查询界面展示

历史操作图形回放

运维审计系统运维安全管理系统能够以视频回放方式，可根据操作记录定位回放或完整重现维护人员对远程主机的整个操作过程，从而真正实现对操作内容的完全审计。

ü完整回放整个操作过程；

ü根据特定操作进行定位回放；

ü支持快速播放、拖动、暂停、重放等播放控制功能；

ü可下载记录文件进行离线播放；

综合审计报告

运维审计系统拥有强大的报表功能，内置能够满足不用客户审计需求的安全审计报表模板，支持自动或手工方式生成运维审计报告，便于管理员全面分析运维的合规性。

ü支持报表自定义扩展；

ü支持柱状图、饼图、折线图等多种方式对统计数据进行展示；

ü支持按天、周、月自动周期性生成报表；

ü支持报表自动发送功能；

报表配置界面展示

审计数据存储管理

运维审计系统支持自动化审计数据存储管理，管理员可以对审计数据进行手工备份、导出，也可以设定自动归档策略进行自动归档。

ü手工归档、到处审计数据；

ü存储空间不足时自动归档并删除最早数据；

ü支持通过FTP、SFTP自动上传归档文件；

ü周期性自动归档功能；

自动归档策略展示

三、产品特性

协议覆盖全、易扩展

运维审计系统运维安全管理系统支持各种主流操作协议包括字符型操作（Telnet、SSH、Rlogin）、图形化操作(RDP、VNC、X11)、文件传输（FTP/SFTP）、数据库访问操作等。通过配置应用扩展中心(ACC)，还可以灵活扩展其他操作协议及工具。

灵活的访问方式

运维审计系统是兼容管理员使用习惯最好的运维管理产品，是唯一一款同时支持页面访问方式、菜单访问方式、客户端工具访问方式，WEB使用界面友好，能够最大程度适应不同用户的使用习惯。

同时，运维审计系统还支持多种协议的网络协同操作功能。

协议深度支持

运维审计系统不仅能够对运维协议进行指令与图形操作记录，还能对多种协议进行深度支持，如：

üSSH CLONE SESSION支持，管理员可方便复制当前会话；

üSSH客户端中可直接创建文件传输会话；

ü支持MySQL over SSH功能

üRDP磁盘映射支持；

üRDP 键盘输入与窗口标题识别

üRDP剪贴板支持等。

细粒度访问授权与控制

ü运维审计系统是业界唯一同时具备指令黑白名单、时间黑白名单、IP黑白名单的运维管理产品

ü无论字符还是图形操作均可进行同步监控、阻断；

ü重要会话与操作二次审批机制，大大增强了临时账号的安全性，阻断和忽略指令功能大大降低了误操作的风险。

支持批量执行功能

针对游戏运营商、云架构提供商等拥有大量服务器数量的客户，运维审计系统支持批量执行功能，能够对大批量服务器自动执行批量指令或脚本，并能够对脚本的执行过程及结果进行跟踪及审计。

大并发量处理能力

ü高并发会话处理能力，字符型操作会话并发超过1000，图形会话并发超过600，能够满足不同容量用户运维审计需求；

ü采用专利存储和检索技术，轻松处理海量审计数据；

流程化管理能力

运维审计系统支持工单模式与消息中心功能。

在启用工单模式下，每次会话访问前都必须先输入本次访问的内容与目的，便于后期审计。

运维审计系统内置消息中心功能，管理员员可以通过消息中心发布维护任务，或者接收系统关键事件提醒，方便管理人员对信息系统运维状态进行。

高度安全保障能力

运维审计系统通过多种技术手段来保障自身与审计数据的安全性。如：

ü存储空间采用RAID磁盘阵列，有效保护数据安全；

üLinux安全优化内核，有效提升系统稳定性和可用性；

ü系统模块独立设计，互相不影响安全性；

üchroot运行环境，确保系统不受模块影响；

ü数据防篡改、防删除设计；

ü严格的访问权限、审计权限控制体系；

ü运维用户虚拟化，不在运维系统中建立实际系统账号。

部署简单，使用方便

无需在服务器、网络设备上安装代理程序，不需要改变原有网络架构，只需运维审计系统与被管目标网络可达即可，保证了业务系统原有的安全性和整体架构，不会影响业务系统的性能和稳定。

四、部署方式

单臂部署

单臂部署示意图

如图所示，运维审计系统在部署时只需要为其分配一个独立IP地址即可，无需对网络拓扑结构进行任何调整。一般而言，运维审计系统部署在服务器所在网段，同时SOM的IP地址通过网络设备发布到外部网络中供运维人员访问。

部署运维审计系统运维审计系统后，内部服务器的维护端口只需开放给运维审计系统，无需再让运维人员直接访问。对运维人员，只需开放运维审计系统运维审计系统的访问端口，从而进一步加强内部服务器的安全性。

双臂模式部署

双臂部署示意图

在双臂模式下，运维审计系统拥有内外两个IP地址，内部IP地址与服务器网段相通，外部服务器用于运维用户访问。该部署方案适用于服务器网段与客户端网段划分清晰的情况，此外采用该方案有利于实施网络控制ACL。

五、应用效果

六、总结

运维审计系统运维安全管理系统，能够对运维人员维护过程的全面跟踪、控制、记录、回放；支持细粒度配置运维人员的访问权限，实时阻断违规、越权的访问行为，同时提供维护人员操作的全过程的记录与报告；系统支持对加密与图形协议进行审计，消除了传统行为审计系统中的审计盲点，是<span style="line-height: 150%; font