目前,各電力企業紛紛部署了防火牆、ips、網路防病毒系統、漏洞掃瞄系統等安全產品,建立了較為完善的資訊保安防護體系,取得了一定效果,但網路安全故障仍時有發生。令人驚奇的是,造成這些不合規、不合法的行為很多**於內部「合法」的使用者操作。防火牆、防病毒、入侵檢測系統等常規的安全產品可以解決一部分安全問題,但對於內部人員的違規操作而導致資料誤刪除、資料破壞、資料洩密等致使企業利益、公眾利益和國家利益受損的行為,卻無能為力。
針對這一系統性風險,公安部在《資訊系統安全等級保護基本要求》中明確要求,對於二級(含)以上的重要資訊系統網路安全、主機安全、應用安全均要求具備安全審計功能。國家電網公司也根據自身需要對下屬企業it內控提出了相應的要求。因此,對裝置維護行為採取行之有效的控制和審計措施,彌補這一資訊化安全管理的盲區,是當前電力企業資訊保安建設的當務之急。
從堡壘主機到內控堡壘主機
堡壘主機是一種被強化的可以防禦進攻的計算機,作為進入內部網路的乙個檢查點,以達到把整個網路的安全問題集中在某個主機上解決,從而省時省力,不用考慮其他主機安全的目的。其目標是通過綜合採用虛擬化技術、協議**技術和身份認證、訪問控制與操作審計等多種資訊保安技術,實現員工和管理人員對內部網路特定資源的安全訪問,同時對訪問和操作的過程進行完備的審計記錄。
目前,各級電力企業均已部署了一系列安全裝置,但傳統的防護手段中,防火牆只能進行網路層訪問控制,無法對系統層訪問進行控制,更談不上操作內容管理;而ids、ips側重於系統層、網路層攻擊事件的檢測,缺乏對操作的控制能力;傳統安全審計類產品無法實現對加密協議ssh、圖形訪問協議的識別和管理。
資訊系統的執行由一系列的人員行為和系統行為組成,資訊系統安全審計就是採集、監控、分析資訊系統各組成部分的系統行為(日誌)和操作行為的過程。 既然傳統的安全裝置都無法解決運維行為審計的問題,能否另闢蹊徑,在維護人員(內部的、外部的)和資訊系統(網路、主機、資料庫等)之間搭建乙個唯一的入口和統一的互動的介面?答案是肯定的。依託堡壘主機的理念,可以構造一種專門應用於資訊系統運維行為控制和審計的堡壘主機。它作為一座橋梁,不但能夠規範和控制所有維護人員的行為,而且具備強大的輸入輸出審計功能,能夠詳細記錄使用者操作的指令和操作過程,這就是內控堡壘主機,也可以稱之為「運維審計系統」。
系統設計
1.系統架構
在電力企業it 運維過程中,維護人員既有內部人員,也有來自外部
的系統整合商、服務外包商、應用開發商、裝置原廠商人員。維護物件主要包括:主機、網路裝置、安全裝置、資料庫以及各類應用軟體。維護人員主要通過telnet、ssh、vnc、rdp等方式對維護物件進行維護操作,運維審計系統的功能重點是將這些管理員維護的過程進行記錄,並提供客觀的審計依據,便於企業對管理員行為進行高效審計。
系統應採用旁路部署方式,對網路原始結構不造成影響,使用者只需為運維審計系統分配乙個能夠接入使用者網路的ip位址即可,所有由客戶端發起的伺服器維護協議均通過運維審計系統進行**,如ssh、telnet、rdp等協議,而正常的伺服器對外業務則不通過運維審計系統,因此,運維審計系統不會影響伺服器的正常對外業務。運維審計系統採用b/s管理架構,管理員可以在遠端通過瀏覽器進行管理。
2.系統自身安全性
內控堡壘主機是資訊基礎設施(伺服器、網路裝置等)維護的統一入口,是最容易遭受攻擊的主機,其配置與通常的主機相比明顯不同,所有不必要的服務、協議、程式和網路介面都將被禁用或刪除,以達到「最小化安全」,以強化堡壘主機,極大地限制可能出現的網路攻擊。
為此,運維審計系統採用軟硬體一體化架構,基於嵌入式開發技術,將定製的64位linux核心固化至硬體上,作業系統採用最小化安裝,除了必要的核心、驅動等程式外,其他元件、程式包盡量去除。同時,關閉不必要的應用、服務、埠,開啟自身的防火牆功能,提高堡壘主機自身的安全防護能力。
3.運維賬號管理
運維審計系統可以統一管理所有資訊系統的運維賬號。為了強化安全性,運維審計系統另外為每一位運維人員分配乙個運維賬號並為其分配許可權,這一套帳號並非資訊系統真正的管理賬號,但與資訊系統真正的管理賬號相關聯。這樣,每一位運維人員無須知道也無法知道系統真正的賬號。運維審計系統支援多使用者管理,企業可以根據自身組織情況設定配置管理員、審計員、操作管理員等角色,並為每個使用者設定詳細的訪問控制規則。運維審計系統許可權管理為細粒度控制方式,能夠為每個使用者分配任意功能模組組合許可權,如:查詢日誌、回放檔案檢視、規則配置、使用者管理、系統自身管理等等。運維審計系統密碼策略管理對密碼強度、密碼使用期限、賬號鎖定、賬號起/停、使用者分組等進行管理,能夠有效保證運維賬號的安全。支援與rsa、安盟動態令牌等第三方認證系統結合,對系統使用者進行認證。
4.維護協議支援
運維審計系統支援電力企業內部運維審計所要求的所有協議型別,主要包括:
①基本遠端操作協議,如ssh、telnet、ftp等;
②圖形終端操作協議,如rdp(windows遠端桌面)、vnc等;
③資料庫遠端協議,如oracle、db2、ms-sql server、informix、mysql、sybase等。
針對上述協議,運維審計系統能夠記錄整個會話的完整過程,並形成指令日誌及回放檔案兩部分審計資料,指令日誌供管理員針對操作指令進行快速審計,回放檔案可供管理員針對特定的會話進行完整操作審計。
5.運維審計功能
運維審計系統支援針對telnet、ftp、ssh、rlogin各類伺服器、網路及資料庫操作行為記錄並進行查詢。運維審計系統查詢模組採用了自主研發的強大檢索引擎,可以根據上述操作協議中的使用者名稱、ip、埠、時間、操作指令、返回結果等等資訊進行多重組合查詢。管理員可以通過運維審計系統強大的檢索功能對關心的事件進行迅速定位。
7.異常操作阻斷及告警
運維審計系統支援通過規則設定異常及非法操作行為,一旦檢測到這些異常的操作行為,運維審計系統將直接阻斷此操作,並斷開該操作的tcp連線,因而能夠有效防止各類違規操作事件的發生。同時運維審計系統也支援對危險指令的告警功能,能夠通過簡訊、郵件等方式將告警資訊及時傳送給管理員。告警及阻斷規則支援使用者自定義,規則可以根據ip、使用者名稱、指令、返回結果等資訊進行。
8.統計報表功能
運維審計系統支援報表生成功能,內建了多種報表模板,同時支援使用者自定義報表。報表符合薩班斯sox法案審計需求,如《賬號異常登入情況報表》、《作業系統危險指令報表》、《資料庫危險指令報表》、《主機登入合法性審計報表》、《資料庫登入合法性審計報表》、《特定使用者操作審計報表》等。
實施效果
運維審計系統專案的實施有效地規範了內外部資訊管理維護人員對伺服器、資料庫等it基礎設施的維護行為,彌補了對伺服器等重要設施的維護行為的控制、審計的空白,強化了資訊保安保護體系,有利於資訊系統更好地執行,有利於保證企業執行的連續性和安全性,極大地減少了對資訊化設施的誤操作和惡意操作的概率,使企業it基礎設施維護行為的審計能力從無到有,節省了大量人力物力,縮短故障和安全事件的定位時間,大大提高了資訊系統執行維護能力和效率。
同時,運維審計系統對所有的維護行為進行指令記錄和錄影,為資訊網路故障的追溯提供了有力的技術性保障,為事前防範和事後定位資訊系統故障提供可科學、高效的手段,降低了資訊系統安全風險,避免了潛在的資產損失。
作為企業資訊保安保障體系的重要組成部分之一,運維審計系統創新地採用堡壘主機的設計理念,在運維人員與it設施之間設定了一道屏障、唯一入口,它可以有效提高伺服器等重要資訊基礎架構的安全級別,輔助對資訊保安故障和安全事件的全面記錄和事後追溯定位,能夠有效幫助電力企業彌補安全漏洞、完善系統安全防護體系,提高資訊系統執行的安全性和事件的追溯能力。
試用運維安全審計系統
測試時間 2011年7月13日 測試機構 遊俠安全網 測試人 張百川 網路遊俠 相信遊俠安全網的很多朋友了解過單點登入系統 single sign on 如果您沒了解過,那也不難,遊俠簡單說幾句 通過乙個頁面,可以讓你一次性登入多個系統,比如開啟瀏覽器,只需要1個頁面就可以同步登入你的e mail ...
H3C運維審計系統 堡壘機 安裝手冊(筆記)
1 物理安裝,略過 2 pc與直連admin介面,瀏覽器登陸192.168.0.1,admin admin 3 系統配置 網路配置 web訪問配置 4 console口方式配置 securecrt 埠comx 波特率115200 資料位8 奇偶校驗none 停止位1 字元編碼utf8 5 配置使用者...
堡壘機 運維審計系統 的基本原理與部署方式
堡壘機目前也有很多叫運維審計系統。簡單總結一句話 堡壘機是用來控制哪些人可以登入哪些資產 事先防範和事中控制 以及錄影記錄登入資產後做了什麼事情 事後溯源.堡壘機的核心是可控及審計。可控是指許可權可控 行為可控。許可權可控,比如某個工程師要離職或要轉崗了。如果沒有乙個統一的許可權管理入口,是一場夢魘...