InforCube运维审计系统 - 图文

防范、杜绝安全隐患构建理想的内部IT运维模式——InforCube运维管理审计系统2011年5月1日

上讯信息?专业的信息安全整体解决方案提供商上讯信息技术有限公司是中国信息安全领域的领导企业之一?可提供先进的信息安全咨询及评估、信息安全整体解决方案、安全运维服务等一揽子服务???拥有综合具备国际化视野及本地化理解的技术团队及解决方案具备丰富行业应用经验，深刻了解中国市场遍布全国各地的17个本地化技术服务机构覆盖29个省市地区上讯信息组织架构我们的团队销售和技术服务体系遍布全国在主要省市设有分支机构业务模式安全咨询及评估服务信息安全咨询顾问渗透测试及代码审计信息安全合规性审查等信息安全整体解决方案国际一线产品信息安全整体服务安全运维服务对客户的IT系统信息安全进行长期外包式运维服务高水平的自主研发产品国内一线产品经验丰富资深技术团队

InforCube 运维管理审计系统运维管理审计系统是一个针对运维过程提供运维管理和运维审计的专业安全设备。俗称：堡垒机。与运维审计相关的标准与法案4A4A标准明确提出了帐号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit) ，整合成集中、统一的安全运维解决方案，有效保证了企业的收益与资产安全。条款A10.10.1要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便为安全事件的调查和取证；条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为；条款A15.1.3明确要求必须保护组织的运行记录；条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。CC信息技术通用评估准则（Common Criteria for Information Technology Security Evaluation）中，安全审计是其安全功能要求中最重要的组成部分，同时也是信息系统安全体系中必备的一个措施，它是评判一个系统是否真正安全的重要尺码。302节：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。404节：要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。ISO27001标准CC标准SOX法案目前的运维模式存在怎样的安全隐患事前事中事后身份不明确授权不清晰操作不透明过程不可控结果无法审计责任不明确典型问题：违规操作无法审计误操作非恶意操作权限滥用恶意操作篡改破坏盗用无法审计追踪是谁做的？?敏感信息泄露?服务器异常甚至宕机理想的运维模式应该怎样?你做了什么？Audit审计操作行为审计（保障）你能做什么？Authorization授权权限管理（核心）你能去哪？Authentication认证4A访问控制管理（手段）核心你是谁？Account帐号统一身份管理（基础）集中管理（入口：运维管理审计系统）

运维管理审计系统功能一：操作行为记录操作记录?针对命令行操作（telnet、ftp、ssh）?方便对操作命令进行检索、监控、审计?可将指令记录输出到inforcube运维管理审计系统中回放文件?命令行及图形界面过程（telnet、ssh、ftp,rdp、vnc）?通过查询方式快速定位特定回放记录文件?以视频方式还原、回放，完整再现原始操作过程?支持快进、拖动、暂停、重放等多种播放控制运维管理审计系统功能二：操作行为的审计?????操作透明：记录用户真实、原始的操作，操作一旦记录，不能更改；精确定位：确保操作审计精确到具体的操作者；实时监控：可以边操作边审计；阻断及时：发现危险操作，可以及时阻断正在进行的危险操作；关联分析：完整记录用户多次连续跳转操作的会话，准确分析关联操作，避免多次跳转无法审计；?快速定位：命令操作：可以搜索到屏幕中的任何一个字段；图形操作：自动过滤录像中无操作行为的静止画面；录像播放：可以拖拉回放快速定位。运维管理审计系统功能三：记录检索?目标：通过检索快速定位特定事件?检索条件组合项时间IP地址用户名自然人名字指令指令执行结果状态（成功、失败）?支持查询模板功能应用场景示例一：内部人员管理风险某中部地区大型商业机构内部一个系统管理员,在长达1年半的时间理，私下将一些余额较低的购物卡中，一部分的少量资金转移到数张被自己掌握的购物卡中，然后不留任何痕迹地将所有的相关系统日志删除的一干二净！由于被转移充值卡中的资金本身较少，又不是全部转移，导致顾客未能察觉，致使该管理员长期作案。其间虽收到极个别顾客投诉，但是金额极少且投诉未能集中爆发，该商业机构均不认为是自己的问题，直到因为其他事件牵扯出此事，该商业机构才恍然大悟。没钱啦！应用场景示例二：第三方运维监管漏洞2006年2月，某省移动公司一名外包技术服务工程师通过移动内部网络非法进入数千公里之外的另一省移动数据库（该移动系统同样由此机构运维，且默认用户口令一致），盗取生成大量充值卡密码，生成6600张充值卡销售后非法获利370万。370万发财啦！

应用场景示例三：IT变更带来的风险某民营大型制造业企业其总部信息中心拥有数名内部IT运维人员，某日其中一名工程师在对OA系统进行配置时，误将一个邮件组账户配置在OA系统中错误的位置，导致内部嵌套转发，使内部重要数据在随后1天多时间内大量散布到无关人员。其集团公司领导及信息中心负责人追查是否有人改过配置，无人敢于承认。致使从发现问题后，查找定位原因并解决浪费超过4个小时时间，且无人承担责任。反正不是我实际案例某大型运营商项目需求：?网管人员负责管理各业务系统服务器（Unix系统、Linux系统和Windows系统等）和网络设备（路由器、交换机、防火墙等），具备特殊权限，但操作行为得不到实时监控、阻断和记录。对第三方外包维护人员产生的误操作、违规操作和恶意操作导致系统运行异常或敏感信息泄露等问题，无法追溯并定位真实的操作者，使运维管理中存在不可控和不透明操作风险。??无法进行实时监控和记录运维人员的网络活动就无法及时阻断违规危险行为，也无法进行事后追溯。实际案例某大型运营商常用运维协议通过InforCube处理，特色维护方式通过InforCube转发给应用托管中心来实现。其结构图如下： HACServer运维用户AppBoxVDH实际案例某大型运营商方案特点：???提供一个针对用户所有运维手段的完备审计解决方案引入运维管理审计系统，审计信息、管理策略以独立于现有系统，为运维管理提供一个统一、独立的运维审计解决方案从技术上解决了目前常见的非授权访问、恶意破坏而无法监控、审计的问题??在不改变现有维护手段情况下，有效解决了内部运维和第三方运维的安全审计问题从审计角度，较好的解决了“谁、何时、什么手段、对谁、做何操作”的问题。同时保证了运维信息100%不丢失，符合基于内容的审计要求我们的典型客户遍布全国超过16，000个客户，包括通信，金融，运输，能源，互联网，公共事业，制造业等多个行业

本文来源：https://www.bwwdw.com/article/igx7.html