HAC运维安全审计系统介绍.pptx

1、目 录安全现状及审计需求安全现状及审计需求安全现状及审计需求安全现状及审计需求科友解决方案科友解决方案科友解决方案科友解决方案HACHAC具体功能具体功能具体功能具体功能成功案例成功案例成功案例成功案例（1）安全审计需求1.1 1.1 审计的必要性、迫切性审计的必要性、迫切性审计的必要性、迫切性审计的必要性、迫切性银行计算机犯罪以每年银行计算机犯罪以每年30%30%速度增长，涉案金额越来速度增长，涉案金额越来越大。具有如下特点：越大。具有如下特点：犯罪主体以内部或内外勾结为主；犯罪主体以内部或内外勾结为主；作案目的以盗窃资金为主；作案目的以盗窃资金为主；发案原因多是由于缺乏内部风险控制机制为主

2、发案原因多是由于缺乏内部风险控制机制为主。介绍目前几个真实案例介绍目前几个真实案例真实案例案例案例1 1：银行系统开发商内部作案：银行系统开发商内部作案某商行开发核心业务系统，开发商某工程师在试运行维护某商行开发核心业务系统，开发商某工程师在试运行维护期间内部新增一个隐藏帐户，且将其帐户金额锁死，以致期间内部新增一个隐藏帐户，且将其帐户金额锁死，以致后期该人频繁通过该帐户取款，无人发现，直至银行经过后期该人频繁通过该帐户取款，无人发现，直至银行经过长时间对帐，仔细比对和核查，才找到问题原因。长时间对帐，仔细比对和核查，才找到问题原因。案例案例2 2：外包人员作案，：外包人员作案，ATMATM

3、资金丢失资金丢失某银行某银行ATMATM机服务外包给厂商，某厂商工程师利用工作便机服务外包给厂商，某厂商工程师利用工作便利，在利，在ATMATM系统中安装了一个抓包工具，将许多储户的密系统中安装了一个抓包工具，将许多储户的密码偷偷抓取到，并通过伪造卡的方式盗取大量资金。经过码偷偷抓取到，并通过伪造卡的方式盗取大量资金。经过长时间排查，和查找长时间排查，和查找ATMATM监控录像才发现作案人员。监控录像才发现作案人员。综上所述：企业IT系统构成复杂，操作人员众多，对其进行有效审计，是控制内部风险的一个重要手段。运维管理安全需求运维管理安全需求如何解决共享帐号后操作身份不唯一的问题？如何控制操作人

4、员操作权限？如何实时跟踪操作者的操作行为？如何监控和定位非法操作行为？如何对已经发生的非法操作行为进行举证？1.2 1.2 相关政策规范和标准相关政策规范和标准相关政策规范和标准相关政策规范和标准中国银监会于中国银监会于20072007年年5 5月紧急发布的月紧急发布的中明确要求：中明确要求：第十七条商业银行应当将加强内部控制作为操作风第十七条商业银行应当将加强内部控制作为操作风险管理的有效手段，与此相关的内部措施至少应当包险管理的有效手段，与此相关的内部措施至少应当包括：括：（一）部门及操作人员之间应权限分离；（一）部门及操作人员之间应权限分离；（二）密切监测风险限额或权限的情况。（二）密切

5、监测风险限额或权限的情况。（三）对接触和使用银行资产的记录进行安全监控。（三）对接触和使用银行资产的记录进行安全监控。电子银行业务管理办法银监会：电子银行业务管理办法银监会：20062006 金融机构应在物理和软件控制两个方面，建立对进入金融机构应在物理和软件控制两个方面，建立对进入系统的识别、处理和报告机制系统的识别、处理和报告机制 金融机构应定期检测所有关键设备和系统软件的工金融机构应定期检测所有关键设备和系统软件的工作状态，审查其工作日志作状态，审查其工作日志商业银行内部控制指引银监会：商业银行内部控制指引银监会：20062006 记录要清晰、易于识别和检索，以提供追溯证据。记录要清晰、

6、易于识别和检索，以提供追溯证据。新资本协议新资本协议、SOXSOX法案法案国家标准：国家标准：我国颁布的安全等级保护技术要求信息系统中必须我国颁布的安全等级保护技术要求信息系统中必须建立并保存下面的各种访问日志：建立并保存下面的各种访问日志：网络（网络安全审计网络（网络安全审计8.1.2.48.1.2.4）主机（安全审计主机（安全审计8.1.3.38.1.3.3）应用（安全审计应用（安全审计8.1.4.38.1.4.3）1.31.3安全实践安全实践安全实践安全实践 安全管理业界标准安全管理业界标准ISO27001:2005ISO27001:2005条款条款A15.1.3A15.1.3明确要求必

7、须保护组织的运行记录。明确要求必须保护组织的运行记录。条款条款A15.2.1A15.2.1则要求信息系统经理必须确保所有则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和负责的安全过程都在正确执行，符合安全策略和标准的要求。标准的要求。（2）科友解决方案 江南科友“运维安全审计系统（HAC）”是针对于用户核心资产的运维操作，再现关键行为轨迹，探索操作意图，集全局实时监控与敏感过程回放等功能特点，有效解决了信息化监管中的一个关键问题。以操作为核心，从操作层入手，实现对人、设备、操作的统一管理，做到事前事前防范、事中控制、事后监督和纠正防范、事中控制、事后监督和纠正的组合，从

8、而帮助用户最小化人为操作风险。2.1 HAC2.1 HAC介绍及产品定位介绍及产品定位介绍及产品定位介绍及产品定位HACHost Audit Control，运维安全审计系统，设备外形如下：HAC是以实现审计为目标，集认证、授权、审计为一体的安全设备。实现原理：基于协议解码，来达到监控、记录数据的目的，目前支持协议有Telnet、FTP、SFTP、SSH、RDP（Remote Desktop Protocol）等多种通信协议。审计对象：针对内部运行维护人员；针对服务外包人员；针对厂商或集成商等技术支持人员。系统组成系统组成应用环境：应用环境：支持支持IBM AIXIBM AIX、HP UXHP

9、 UX、SUN SolarisSUN Solaris、SCO UNIXSCO UNIX、LINUXLINUX、WINDOWSWINDOWS等多种操作系统。等多种操作系统。可广泛应用于金融、政府、电信、证券、邮政、税可广泛应用于金融、政府、电信、证券、邮政、税务、海关、交通等安全需求较高的行业。务、海关、交通等安全需求较高的行业。2.22.2部署方式部署方式部署方式部署方式单臂部署：不改变客户网络环境，对客户网络透明；单臂部署：不改变客户网络环境，对客户网络透明；串联接入：可灵活根据网络环境串联路由接入，起串联接入：可灵活根据网络环境串联路由接入，起安全审计和访问控制的作用。安全审计和访问控制的

10、作用。部署模式一：单臂模部署模式一：单臂模式式:HAC具体功能具体功能1.身份认证与授权身份认证与授权2.账户托管、账户托管、SSOSSO3.事中监控事中监控4.会话审计、审计报表会话审计、审计报表5.变更工单、双人操作支持变更工单、双人操作支持6.应用发布审计应用发布审计7.其他功能其他功能完整的身份管理和认证完整的身份管理和认证完整的身份管理和认证完整的身份管理和认证解决身份问题，满足审计系统解决身份问题，满足审计系统“谁做的谁做的”要求。要求。运维用户：静态口令、动态口令、证书运维用户：静态口令、动态口令、证书KEYKEY、RADIUSRADIUS、LADPLADP、ADAD认证认证方式

11、管理员：静态口令、动态口令、证书方式；管理员：静态口令、动态口令、证书KEYKEY认证方式。认证方式。支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能。支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能。支持运维用户用户分组管理，方便的增、删、改、查操作，支持用户信支持运维用户用户分组管理，方便的增、删、改、查操作，支持用户信息导入导出，方便批量处理息导入导出，方便批量处理 。灵活、细粒度的授权灵活、细粒度的授权灵活、细粒度的授权灵活、细粒度的授权提供基于用户、运维协议、目标主机、运维时间段、会话时长、运维客户端提供基于用户、运维协议、目标主机、运维时间段、会话时长、运

12、维客户端IPIP等组合的授权功能，实现细粒度授权，满足用户实际应用的需要。等组合的授权功能，实现细粒度授权，满足用户实际应用的需要。产品功能：产品功能：身份认证、授权身份认证、授权口令统一管理与自动登陆口令统一管理与自动登陆口令统一管理与自动登陆口令统一管理与自动登陆 运维人员通过运维人员通过HACHAC认证和授权后，认证和授权后，HACHAC根据配置策略实现后台资根据配置策略实现后台资源的自动登录代理，提供托管和只托不管两种方式。源的自动登录代理，提供托管和只托不管两种方式。支持后台资源口令统一管理支持后台资源口令统一管理 支持运维用户到后台资源帐户分配支持运维用户到后台资源帐户分配 支持各

13、种主机、安全设备、网络设备以及支持各种主机、安全设备、网络设备以及WindowsWindows系统系统 支持通过支持通过定制脚本定制脚本定制脚本定制脚本添加托管各类添加托管各类UnixUnix、LinuxLinux系统帐号系统帐号 口令支持下载、邮件和直接口令支持下载、邮件和直接密函打印密函打印密函打印密函打印 产品功能：账户托管、产品功能：账户托管、SSO实时监控实时监控实时监控实时监控 监控正在运维的会话，活动用户突出显示监控正在运维的会话，活动用户突出显示 监控后台资源被访问情况监控后台资源被访问情况 可实时终止异常在线运维会话可实时终止异常在线运维会话 提供在线运维的操作的实时监控功能

14、提供在线运维的操作的实时监控功能敏感操作实时告警与阻断敏感操作实时告警与阻断敏感操作实时告警与阻断敏感操作实时告警与阻断 根据安全策略实施运维过程敏感操作检测，对违规操作提供根据安全策略实施运维过程敏感操作检测，对违规操作提供实时告警和阻断实时告警和阻断 支持用户分级，并针对不级别采取不同响应方式支持用户分级，并针对不级别采取不同响应方式 告警与会话实时监控、会话审计与回放关联告警与会话实时监控、会话审计与回放关联产品功能：产品功能：事中监控事中监控完整记录网络会话过程完整记录网络会话过程完整记录网络会话过程完整记录网络会话过程 系统提供运维协议系统提供运维协议TelnetTelnet、FTP

15、FTP、SSHSSH、SFTPSFTP、RDPRDP等网络会话的完整会话等网络会话的完整会话记录，完全满足内容审计中信息百分百不丢失的要求。记录，完全满足内容审计中信息百分百不丢失的要求。详尽的会话审计与回放详尽的会话审计与回放详尽的会话审计与回放详尽的会话审计与回放 支持按运维用户、运维地址、后台资源地址、协议、起始时间、结支持按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式；束时间和操作内容中关键字等组合方式；提供图像形式的回放，真实、直观、可视地重现当时的操作过程；提供图像形式的回放，真实、直观、可视地重现当时的操作过程；回放提供快放、慢放、拖拉等

16、方式，方便快速定位和查看回放提供快放、慢放、拖拉等方式，方便快速定位和查看 支持文本协议操作命令和结果回显功能支持文本协议操作命令和结果回显功能 支持命令支持命令DelDel、TABTAB、上下键等编辑过程的准确识别。、上下键等编辑过程的准确识别。可基于命令定位会话。可基于命令定位会话。会话内容可折叠显示，使用更方便。会话内容可折叠显示，使用更方便。产品功能：会话产品功能：会话审计审计完备的审计报表功能完备的审计报表功能提供日常报表、会话报表、自审计操作报表、提供日常报表、会话报表、自审计操作报表、告警报表告警报表提供综合统计报表，报表中包括概要信息、提供综合统计报表，报表中包括概要信息、每个

17、用户操作信息、每个资源被操作信息等每个用户操作信息、每个资源被操作信息等产品功能：产品功能：审计报表审计报表可支持可支持可支持可支持ITSMITSM（ITIT服务管理）服务管理）服务管理）服务管理）HACHAC可与可与ITSMITSM相结合，为其优化变更管理流程，加强对变更相结合，为其优化变更管理流程，加强对变更管理中的风险控制。管理中的风险控制。支持对变更工单录入操作，实现变更过程的监控和审计。支持对变更工单录入操作，实现变更过程的监控和审计。支持对现有运维变更管理系统快速集成。支持对现有运维变更管理系统快速集成。支持变更工单号事后审计功能。支持变更工单号事后审计功能。可支持双人符合操作可支

18、持双人符合操作 支持运维过程对双人操作流程介入。支持运维过程对双人操作流程介入。支持会话日志记录双人符合操作审批人、时间、操作符合命支持会话日志记录双人符合操作审批人、时间、操作符合命令。令。产品功能：产品功能：变更工单、双人操作支持变更工单、双人操作支持各类应用运维操作审计功能各类应用运维操作审计功能各类应用运维操作审计功能各类应用运维操作审计功能 业界首创的（业界首创的（VDH,Virtual Desktop HostVDH,Virtual Desktop Host）虚拟桌面主机安全）虚拟桌面主机安全操作系统设备，完全符合运维安全审计要求。操作系统设备，完全符合运维安全审计要求。运维操作全

19、程可控，可做到授权后应用只能访问指定服务，运维操作全程可控，可做到授权后应用只能访问指定服务，最大降低对后台目标服务集群的可能安全风险。最大降低对后台目标服务集群的可能安全风险。可对整个运维操作过程进行完整记录，实现详尽的会话审计可对整个运维操作过程进行完整记录，实现详尽的会话审计和回放。和回放。可依据用户要求快速实现新应用的发布和审计。可依据用户要求快速实现新应用的发布和审计。产品功能：产品功能：应用发布审计应用发布审计维护管理：维护管理：维护管理：维护管理：对对HACHAC系统的本身维护和管理，表现为：系统的本身维护和管理，表现为：远程重启、关机；远程重启、关机；审计日志自动、手动备份；审

20、计日志自动、手动备份；HACHAC系统特点：系统特点：产品稳定、安全性高产品稳定、安全性高 高效、精简的安全内核高效、精简的安全内核 性能高，支持并发用户量大性能高，支持并发用户量大 支持支持HAHA高可用性高可用性 分权管理机制分权管理机制产品功能：产品功能：其他辅助功能其他辅助功能HAC 带来的安全价值提升声誉降低损失取证免责把控全局完善机制满足合规性要求，顺利通过等级检查、满足合规性要求，顺利通过等级检查、IT审计审计有效减少业务系统核心信息资产的破坏和泄漏有效减少业务系统核心信息资产的破坏和泄漏有效控制运维操作风险，便于事后追查原因与界定责任有效控制运维操作风险，便于事后追查原因与界定责任有效控制业务运行风险，直观掌握业务系统安全状况有效控制业务运行风险，直观掌握业务系统安全状况实现独立审计管理、配置管理、运维管理的三权分立，完善实现独立审计管理、配置管理、运维管理的三权分立，完善IT内控机制内控机制产品型号：产品型号：产品型号：产品型号：HAC成功案例HAC 资质1、国家保密局认证。2、中国信息安全测评中心认证。3、计算机软件著作权登记证书。谢谢 谢谢