運(yùn)維安全管理

  傳統(tǒng)的信息安全建設(shè)，往往側(cè)重于對(duì)外部黑客攻擊的防范，以及網(wǎng)絡(luò)邊界的訪問(wèn)控制，對(duì)信息系統(tǒng)安全威脅最大的內(nèi)部人員行為卻缺乏有效的管理。然而根據(jù)各種權(quán)威的網(wǎng)絡(luò)安全調(diào)查結(jié)果均表明，在可統(tǒng)計(jì)的安全事件中，85%以上均與內(nèi)部人員有關(guān)，特別是擁有信息系統(tǒng)較高訪問(wèn)權(quán)限的運(yùn)維人員，比外部入侵者更容易接觸到信息系統(tǒng)的核心設(shè)備和敏感數(shù)據(jù)、內(nèi)部人員惡意或非惡意的破壞行為更容易造成較大的破壞。其中既包括惡意行為（越權(quán)訪問(wèn)、惡意破壞、數(shù)據(jù)竊?。舶ǜ鞣N非主觀故意引起的非惡意行為（誤操作、權(quán)限濫用）。由此可見(jiàn)，規(guī)范各類(lèi)內(nèi)部人員（網(wǎng)絡(luò)管理員、系統(tǒng)管理員、開(kāi)發(fā)人員、代維人員及其他第三方廠商）的運(yùn)維操作行為，特別是對(duì)核心系統(tǒng)（服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)等）的維護(hù)行為做好全面有效的事前預(yù)防、事中控制及事后審計(jì)已勢(shì)在必行。

       由于現(xiàn)有管理手段的不完善，無(wú)法鑒別與認(rèn)證運(yùn)維人員的身份，網(wǎng)絡(luò)訪問(wèn)權(quán)限難以控制，系統(tǒng)賬號(hào)共享的情況也普遍存在，以及加密、圖形協(xié)議的廣泛應(yīng)用，使得這些運(yùn)維管理人員的日常操作，存在操作身份不明確、操作過(guò)程不透明、操作內(nèi)容不可知、操作行為不可控、操作事故無(wú)法定位等安全風(fēng)險(xiǎn)。內(nèi)部人員的操作行為幾乎處于完全失控的狀態(tài)，一旦發(fā)生事故，其后果的嚴(yán)重性將是無(wú)法預(yù)估的。所以需要有效的安全管理手段來(lái)解決這些存在的高風(fēng)險(xiǎn)和安全隱患。

運(yùn)維安全管理系統(tǒng)

       運(yùn)維安全管理系統(tǒng)（簡(jiǎn)稱Logbase SOM）是新一代操作行為管理安全審計(jì)系統(tǒng)，它采用軟硬件一體化設(shè)計(jì)，通過(guò)B/S方式（https）進(jìn)行管理，其主要功能為實(shí)現(xiàn)對(duì)運(yùn)維人員遠(yuǎn)程訪問(wèn)操作服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)過(guò)程的認(rèn)證、授權(quán)、監(jiān)控與審計(jì)，實(shí)現(xiàn)對(duì)IT運(yùn)維過(guò)程的全面監(jiān)管，做到有效的事前預(yù)防、事中控制及事后審計(jì)，滿足用戶的安全管理需求。

運(yùn)維安全管理系統(tǒng)架構(gòu)圖

          運(yùn)維安全管理系統(tǒng)為旁路部署，無(wú)需對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行任何調(diào)整。LogBase SOM支持單臂部署、雙臂部署、HA雙機(jī)熱備部署及分部署部署等多種部署方式，可以充分滿足不同網(wǎng)絡(luò)對(duì)審計(jì)系統(tǒng)的需求。Logbase SOM的部署應(yīng)與網(wǎng)絡(luò)訪問(wèn)控制列表、企業(yè)管理制度相結(jié)合，以便取得更好的審計(jì)效果。

  在信息系統(tǒng)的運(yùn)維操作過(guò)程中，經(jīng)常會(huì)出現(xiàn)多名維護(hù)人員共用設(shè)備（系統(tǒng)）賬號(hào)進(jìn)行遠(yuǎn)程訪問(wèn)的情況，從而導(dǎo)致出現(xiàn)安全事件無(wú)法清晰地定位責(zé)任人。運(yùn)維安全管理系統(tǒng)為每一個(gè)運(yùn)維人員創(chuàng)建唯一的運(yùn)維賬號(hào)（主賬號(hào)），運(yùn)維賬號(hào)是獲取目標(biāo)設(shè)備訪問(wèn)權(quán)利的唯一賬號(hào)，進(jìn)行運(yùn)維操作時(shí)，所有設(shè)備賬號(hào)（從賬號(hào)）均與主賬號(hào)進(jìn)行關(guān)聯(lián)，確保所有運(yùn)維行為審計(jì)記錄的一致性，從而準(zhǔn)確定位事故責(zé)任人，彌補(bǔ)傳統(tǒng)網(wǎng)絡(luò)安全審計(jì)產(chǎn)品無(wú)法準(zhǔn)確定位用戶身份的缺陷，有效解決賬號(hào)共用問(wèn)題。

  運(yùn)維安全管理系統(tǒng)部署后，運(yùn)維人員可以通過(guò)不同的方式對(duì)目標(biāo)對(duì)象進(jìn)行訪問(wèn)、維護(hù)：

WEB控件方式訪問(wèn)，所有協(xié)議均可通過(guò)WEB空間方式從WEB直接發(fā)起訪問(wèn)，訪問(wèn)過(guò)程支持IE、Firefox、chrome等多種瀏覽器；

支持通過(guò)WEB直接調(diào)用本地客戶端方式進(jìn)行訪問(wèn)；

支持本地直接使用CS客戶端直接訪問(wèn)，兼容管理員原有使用習(xí)慣

         運(yùn)維人員登錄Logbase SOM系統(tǒng)時(shí)，系統(tǒng)會(huì)根據(jù)訪問(wèn)授權(quán)列表自動(dòng)展示授權(quán)范圍的主機(jī)，避免用戶訪問(wèn)未經(jīng)授權(quán)主機(jī)。
       此外，Logbase SOM還支持在運(yùn)維過(guò)程中要求其他運(yùn)維人員進(jìn)行協(xié)同操作的功能，在協(xié)同操作模式下，2名運(yùn)維人員可以共同操作同一個(gè)訪問(wèn)會(huì)話界面；

系統(tǒng)內(nèi)置了多個(gè)運(yùn)維工作流程管理功能，IT部門(mén)能夠通過(guò)運(yùn)維工作流功能規(guī)范IT運(yùn)維過(guò)程，工作流功能包含以下具體流程：

a）工作任務(wù)管理流程：

1. 任務(wù)發(fā)起人通過(guò)系統(tǒng)下發(fā)工作任務(wù)；

2. 任務(wù)接收人在個(gè)人消息中心實(shí)時(shí)接收工作任務(wù)信息；

3. 任務(wù)接收人完成工作，在WEB界面中進(jìn)行任務(wù)回復(fù)；

4. 任務(wù)發(fā)起人接收到回復(fù)信息后，對(duì)任務(wù)執(zhí)行情況進(jìn)行確認(rèn)，結(jié)束工作任務(wù)流程；

b）審計(jì)流程：

審計(jì)流程包含異常事件處理流程及報(bào)表審計(jì)流程兩部分，審計(jì)人員可以查看相關(guān)異常事件及報(bào)表并添加相應(yīng)的審計(jì)意見(jiàn)，否則該事件會(huì)一直處于未處理狀態(tài)，以提醒審計(jì)人員對(duì)重點(diǎn)事件進(jìn)行關(guān)注并審計(jì)。

  系統(tǒng)支持主機(jī)系統(tǒng)賬號(hào)的密碼維護(hù)托管功能，系統(tǒng)支持自動(dòng)定期修改windows、Linux、Unix、cisco、huawei等設(shè)備的賬號(hào)密碼。
五、批量執(zhí)行功能

  系統(tǒng)支持自動(dòng)化在多臺(tái)機(jī)器上批量執(zhí)行指令。通過(guò)批量執(zhí)行功能，管理員可以方便實(shí)現(xiàn)對(duì)多臺(tái)主機(jī)的升級(jí)、備份等工作任務(wù)。
六、便利及細(xì)粒度訪問(wèn)授權(quán)
       系統(tǒng)通過(guò)集中統(tǒng)一的訪問(wèn)控制和細(xì)粒度的命令級(jí)授權(quán)策略，確保每個(gè)運(yùn)維用戶擁有的權(quán)限是完成任務(wù)所需的最合理權(quán)限。

       系統(tǒng)支持根據(jù)已設(shè)定的訪問(wèn)控制策略，自動(dòng)檢測(cè)日常運(yùn)維過(guò)程中發(fā)生的越權(quán)訪問(wèn)、違規(guī)操作等安全事件，系統(tǒng)能夠根據(jù)安全事件的類(lèi)型、等級(jí)等條件進(jìn)行自動(dòng)的告警或阻斷處理。

阻斷未經(jīng)授權(quán)用戶訪問(wèn)主機(jī)；

阻斷從異?？蛻舳恕惓r(shí)間段發(fā)起的訪問(wèn)行為；

阻斷指令黑名單的操作行為；

阻斷方式支持：斷開(kāi)會(huì)話、忽略指令；

告警方式支持：WEB界面告警、短信告警、郵件告警等。

       對(duì)于所有遠(yuǎn)程訪問(wèn)目標(biāo)主機(jī)的會(huì)話連接，Logbase審計(jì)系統(tǒng)均可實(shí)現(xiàn)操作過(guò)程同步監(jiān)視，運(yùn)維人員在遠(yuǎn)程主機(jī)上做的任何操作都會(huì)同步顯示在審計(jì)人員的監(jiān)控畫(huà)面中，管理員可以隨時(shí)手工中斷違規(guī)操作會(huì)話。

十、歷史記錄查詢

        運(yùn)維安全管理系統(tǒng)支持兩種查詢功能，快速查詢（單一條件）和高級(jí)查詢（多重組合條件），審計(jì)人員可以根據(jù)操作時(shí)間、源、目標(biāo)IP地址、用戶名（運(yùn)維、主機(jī)）、操作指令等條件對(duì)歷史數(shù)據(jù)進(jìn)行查詢，快速定位歷史事件。

  系統(tǒng)擁有強(qiáng)大的報(bào)表功能，內(nèi)置能夠滿足不用客戶審計(jì)需求的安全審計(jì)報(bào)表模板，支持自動(dòng)或手工方式生成運(yùn)維審計(jì)報(bào)告，便于管理員全面分析運(yùn)維的合規(guī)性。
十三、審計(jì)數(shù)據(jù)存儲(chǔ)管理

  系統(tǒng)支持自動(dòng)化審計(jì)數(shù)據(jù)存儲(chǔ)管理，管理員可以對(duì)審計(jì)數(shù)據(jù)進(jìn)行手工備份、導(dǎo)出，也可以設(shè)定自動(dòng)歸檔策略進(jìn)行自動(dòng)歸檔。