Logbase运维安全审计系统技术白皮书XXXX.docx

LogBase运维安全审计系统 技术白皮书 杭州思福迪信息技术有限公司 2010 版权说明 © 版权所有 2005-2010，杭州思福迪信息技术有限公司 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属杭州思福迪信息技术有限公司所有，受到有关产权及版权法保护。任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。 商标信息 LogBase是杭州思福迪信息技术有限公司注册商标，受商标法保护。 公司信息 网址： E-mail：support@ 地址： 杭州市文一西路75号3号楼6楼 热线: 400-678-1500 电话： 0571-88923222 传真： 0571-88923887 目 录 一、前言 4 二、为什么需要运维审计系统 5 三、LogBase审计产品概述 6 3.1系统架构 6 3.2技术原理 7 3.3支持协议清单 8 四、主要功能介绍 9 4.1统一用户身份认证 9 4.2访问权限控制 9 4.3服务器密码管理 9 4.4会话同步监控 10 4.5异常行为告警 10 4.6操作行为记录 10 4.7会话过程重放 10 4.8历史记录查询 11 4.9综合审计报表 11 五、产品特性 12 5.1无干扰部署方式 12 5.2支持所有主流协议 12 5.3WEB在线回放技术 12 5.4人性化使用方式 12 5.5丰富的审计报表 12 5.6安全可靠的自身保障能力 13 六、部署方式 14 七、规格指标 15 八、综述 16 一、前言 各种权威的网络安全调查结果均表明，在可统计的安全事件中，60%以上均与内部人员有关，这其中既包括恶意行为（越权访问、恶意破坏、数据窃取），也包括各种非主观故意引起的非恶意行为（误操作、权限滥用）。由此可见，规范内部人员的访问行为，特别是核心系统（主机、网络设备、安全设备、数据等）的维护行为势在必行。 传统的信息安全建设，往往侧重于对外部黑客攻击的防范，以及网络边界的访问控制，对信息系统安全威胁最大的内部人员行为却缺乏有效的管理。企业内部人员，特别是拥有信息系统较高访问权限的运维人员（如网管员、临时聘用人员、第三方代维人员、厂商工程师等），比外部入侵者更容易接触到信息系统的核心设备和敏感数据、内部人员恶意或非恶意的破坏行为更容易造成较大的破坏。 然而，由于现有管理手段的不完善，账号共享情况普遍存在，以及加密、图形协议的广泛应用，使得这些运维管理人员的日常操作，存在操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控、操作事故无法定位等安全风险。内部人员的操作行为几乎处于完全失控的状态，一旦发生事故，其后果的严重性将是无法预估的。因此，放任内部风险的存在决不可行。  此外，从遵守国家及本行业各项法律法规的角度考虑。随着《中华人民共和国计算机信息系统安全保护条例》的推广实施，对IT系统内部控制的要求越来越明确。如，等保基本要求中明确提出，要对“内部维护人员登录主机、数据库所进行的所有操作行为”、“第三方人员的维护行为”进行审计和控制。 为满足用户对加强内部运维安全审计日益迫切的需要，杭州思福迪公司，依托自身强大的研发能力，丰富的行业经验，自主研发了新一代软硬件一体化运维安全专用审计系统——Logbase运维安全审计系统。该系统支持对企业内部人员的操作行为进行全面的审计、监控，消除了传统审计系统中的盲点，使企业对运维人员的操作过程，能做到事前防范、事中控制、事后审计的能力，是企业IT内控最有效的管理平台。 二、为什么需要运维审计系统 企业的信息系统，在日常的内部运维管理及IT内控合规性遵循过程中，经常会遇到如下问题： u 多位运维人员共用一个系统帐号，当出现安全事故时相互推诿，缺乏客观、可信的依据来确定事故责任人； u 维护人员可能只需要执行简单的规定操作，但却通常需要使用拥有更多权限的系统账户，而系统自身又无法进行细粒度的授权管理，无法进行指令级或文件级别的访问权限控制； u 服务器、网络设备、数据库等资产的数量日益增多，按照管理要求定期修改密码成为耗时费力的琐事，基层运维人员是否严格遵守制度，按时完成密码安全管理工作，管理人员无法方便得知； u 当第三方运维人员（代维/原厂工程师），需要对系统进行操作时，基于对合作伙伴的信任及工作方便需要，企业内部人员通常会给与其拥有高权限的系统账户甚至管理员帐户，而管理员却无法从技术上确保，第三方人员的所有操作行为是否合规； u 当系统因某些操作发生故障时，因为缺乏对操作过程的全程记录，无法还原事故现场，确定问题原因，而使得系统恢复时间大大延长； 三、LogBase审计产品概述 Logbase运维安全审计系统是新一代操作行为安全审计系统，它采用软硬件一体化设计，通过B/S方式(https)进行管理，其主要功能为实现对运维人员操作服务器、网络设备、数据库过程的全程监控与审计，以及对违规操作行为的实时阻断。 该产品采用先进的设计理念，支持对多种远程维护方式的支持，如字符终端方式(SSH、Telnet、Rlogin)、图形方式（RDP、X11、VNC、Radmin、PCAnywhere）、文件传输（FTP、SFTP）以及多种主流数据库的访问操作。 3.1系统架构 Logbase运维安全审计系统采用模块化设计，主要由以下模块组成：行为控制模块、审计模块、管理模块、存储模块、用户管理接口模块，各模块间关系如下图所示： 图1.系统架构图 行为控制模块 实现对网络、数据库、服务器维护过程的网络数据包代理转发、行为还原及记录、违规行为阻断功能； 管理模块 实现维护用户管理、主机资产管理、用户授权与访问权限管理，以及对审计记录的数据存储控制； 审计模块 实现行为安全审计功能，包括实时违规行为告警系统、历史记录检索系统以及报表系统； 用户界面 提供运维人员审计管理接口，以及运维用户的远程工具使用界面。 3.2技术原理 Logbase运维安全审计系统采用协议代理方式对各种维护协议进行转发，并在转发的过程中分别模拟了协议的客户端与服务端，具体如下图所示： 图2.技术实现原理示意图 当客户端通过运维审计系统访问服务器时，首先由运维安全审计系统模拟成远程访问的服务端时，接受客户端发送的信息，并对其进行协议的还原、解析、记录，最终获得客户端发送的指令信息，再模拟成操作的客户端，与真正的目标服务器建立通讯，并转发用户端发送的指令信息。接收到服务器端的返回信息后，再反向执行此过程，将返回值发送给客户端从而实现对各种维护协议的代理转发过程。在通讯过程中，Logbase运维安全审计系统会记录各种指令信息，并根据违规规则库对指令信息进行比对，如发现违规的操作行为，则终止数据包的转发，并中断整个TCP会话。 3.3支持协议清单 Ø 字符型远程操作协议 ü SSH ü TELNET ü RLOGIN Ø 图形终端操作协议 ü RDP(5.x、6.x、7.x) ü VNC ü X11 Ø 数据库远程协议 ü ORACLE (8i、9i、10g、11g) ü MSSQL SERVER（2000、2005） ü SYBASE Ø 文件传输协议 ü FTP ü SFTP 四、主要功能介绍 4.1统一用户身份认证 在信息系统的维护管理过程中，经常会出现多名运维人员共用同一系统帐号进行登录访问的情况，从而导致很多安全事件无法清晰地定位责任人。LogBase运维安全审计系统通过“运维审计系统帐号”与“服务器帐号”相关联的方式，即在Logbase系统中为每一个运维人员创建唯一的登录账号，运维人员通过自身的“审计系统帐号”，先登录运维安全审计系统，再登录目标服务器，从而实现将用户身份的认证落实到“自然人”。 Logbase运维审计系统支持SSO功能，维护人员只要登录运维审计系统，即可访问所有被授权的服务器系统，无需进行二次登录认证。 4.2访问权限控制 LogBase运维安全审计系统可以对运维人员进行细粒度的权限控制，管理可以根据人员、时间、系统账户、操作指令等内容设定访问权限，如： ² 限制用户能够访问的服务器范围； ² 限制用户能够登录的时间； ² 设定用户操作指令黑、白名单，阻止违规操作行为； LogBase运维安全审计系统还支持特有的授权访问机制，即对某些用户，，每次访问特定设备前都需要管理员进行授权才能通行，避免临时人员在管理员不知情的情况下进行访问。 4.3服务器密码管理 LogBase运维安全审计系统提供服务器密码管理功能，可以周期性对服务器密码进行自动修改，并保证密码复杂程度与密码文件的安全保管。 管理员可以设定改密周期、密码强度策略等改密要求。 4.4会话同步监控 对于所有远程访问目标服务器的会话连接，Logbase运维安全审计系统均可实现同步过程监视，运维人员在服务器上做的任何操作都会同步显示在审计人员的监控画面中，包括vi、smit以及图形化的RDP、VNC、X11等操作，管理员可以根据需要随时切断违规操作会话。 4.5异常行为告警 LogBase运维安全审计系统内置安全事件规则库，并可实时对用户的操作过程进行检测，一旦发现违规操作行为，可以通过短信、邮件等方式向审计人员及时发送告警信息或自动中止操作会话。 安全事件规则库支持自定义扩充功能，管理员可以根据企业内部管理需求，灵活扩充规则库内容。 4.6操作行为记录 对所有经过审计系统的操作行为，LogBase运维安全审计系统均可完整记录操作过程，保留操作记录，记录内容包括操作时间、IP地址、用户账号、服务器账号、操作指令、操作结果等信息。 对于所有的操作记录，Logbase运维安全审计系统可以长时间进行保留，为日后安全审计提供客观依据。 4.7会话过程重放 Logbase内控堡垒审计系统能够以视频回放方式，重现维护人员对服务器的所有操作过程，从而真正实现对操作行为的完全审计。回放过程采用WEB在线播放方式，无需在安装播放客户端软件。 回放过程支持常见的视频播放控制操作，如倍速/低速播放、拖动、暂停、停止、重新播放等等，也可以从特定指令开始定位回放。 4.8历史记录查询 Logbase 运维安全审计系统支持通过友好的查询界面，对以前发生过的历史事件进行查询。 审计人员可以根据时间、IP地址、用户名、操作指令等信息对历史数据进行多条件组合查询，快速定位目标记录。 查询结果可以直接导出为excel文件，方便审计员进行后续处理。 4.9综合审计报表 Logbase 运维安全审计系统支持强大的报表功能，内置大量的安全审计报表模板，同时也支持通过自定义方式扩充报表内容。 报表支持以天、星期、月为周期自动生成报表，并可通过邮件自动送达管理员处。也可以由管理员随时手工生成所需的报表。 五、产品特性 5.1无干扰部署方式 Logbase运维安全审计系统采用旁路模式部署，无需改变用户网络结构，无需在客户端及服务器端安装程序，不会影响客户正常业务系统使用。 5.2支持所有主流协议 支持各种主流操作协议包括字符型操作、图形化操作、文件传输、数据库访问操作等，支持对象全面覆盖主流的服务器系统、网络设备、安全设备、数据库系统。 5.3WEB在线回放技术 Logbase运维安全审计系统支持WEB在线回放技术，无需在客户端安装任何回放软件即可实现操作过程回放功能，回放过程支持常见视频回放操作。 5.4人性化使用方式 Logbase运维安全审计系统支持用户通过WEB页面直接访问目标系统，如通过web页面访问SSH服务器、windows远程终端等等； 系统同时也支持运维人员使用自己习惯的客户端软件去访问目标服务器，如putty、SecureCRT、Secure shell等等。 5.5丰富的审计报表 Logbase内置丰富的安全审计报表，总数超过百张，即能够满足大部分客户的日常审计需求，也可满足如“等级保护”、“萨班斯法案”等合规性要求。同时，系统也支持通过自定义或二次开发方式进行灵活扩展。 5.6安全可靠的自身保障能力 Logbase运维安全审计系统，通过多种技术手段，来保障自身与审计数据的安全性。如： ü 内置自身安全防护防火墙 ü 数据防篡改、防删除技术设计； ü 严格的访问权限、审计权限控制体系； ü RAID磁盘阵列，有效保护数据安全； ü HA功能。 六、部署方式 Logbase运维审计系统采用旁路方式部署，如下图所示： Logbase运维审计系统部署示意图 如图所示，Logbase系统在部署时只需要为其分配一个独立IP地址即可，无需对网络拓扑结构进行任何调整。客户端通过网络连接至运维审计系统，由运维审计系统将用户的访问行为转发至目标服务器。 部署Logbase运维审计系统后，内部服务器的维护端口只需开放给运维审计系统，无需再让运维人员直接访问。对运维人员，只需开放Logbase运维审计系统的访问端口，从而进一步加强内部服务器的安全性。 七、规格指标 技术指标 LogBase BH330 LogBase BH530 LogBase BH1300 LogBase BH3300 体积规格 1U 2U 2U 2U 支持协议 Telnet、FTP、SSH、RDP、Rlogin、VNC、X11 Oracle、MSSQL、Sybase 支持模式 代理/VPN 代理/VPN 代理/VPN 代理/VPN 管理方式 B/S HA模式 支持 支持 支持 支持 存储容量 500G 500G 1T 2T 电源接口 1 1 1 2 并发数 300 500 800 1500 外部存储 不支持 不支持 支持 支持 注:1300以上设备网络接口可根据需要选择光口/电口。 八、综述 Logbase运维安全审计系统，支持对运维人员维护过程的全面跟踪、控制、记录、回放；支持细粒度设置运维人员的访问权限，实时阻断违规、越权的访问行为，同时提供维护人员操作的全过程的记录与报告；系统支持对加密与图形协议进行审计，消除了传统行为审计系统中的审计盲点，是IT系统内部控制最有力的支撑平台之一。