運(yùn)維安全管理

  傳統(tǒng)的信息安全建設(shè)，往往側(cè)重于對外部黑客攻擊的防范，以及網(wǎng)絡(luò)邊界的訪問控制，對信息系統(tǒng)安全威脅最大的內(nèi)部人員行為卻缺乏有效的管理。然而根據(jù)各種權(quán)威的網(wǎng)絡(luò)安全調(diào)查結(jié)果均表明，在可統(tǒng)計的安全事件中，85%以上均與內(nèi)部人員有關(guān)，特別是擁有信息系統(tǒng)較高訪問權(quán)限的運(yùn)維人員，比外部入侵者更容易接觸到信息系統(tǒng)的核心設(shè)備和敏感數(shù)據(jù)、內(nèi)部人員惡意或非惡意的破壞行為更容易造成較大的破壞。其中既包括惡意行為（越權(quán)訪問、惡意破壞、數(shù)據(jù)竊?。?，也包括各種非主觀故意引起的非惡意行為（誤操作、權(quán)限濫用）。由此可見，規(guī)范各類內(nèi)部人員（網(wǎng)絡(luò)管理員、系統(tǒng)管理員、開發(fā)人員、代維人員及其他第三方廠商）的運(yùn)維操作行為，特別是對核心系統(tǒng)（服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等）的維護(hù)行為做好全面有效的事前預(yù)防、事中控制及事后審計已勢在必行。

       由于現(xiàn)有管理手段的不完善，無法鑒別與認(rèn)證運(yùn)維人員的身份，網(wǎng)絡(luò)訪問權(quán)限難以控制，系統(tǒng)賬號共享的情況也普遍存在，以及加密、圖形協(xié)議的廣泛應(yīng)用，使得這些運(yùn)維管理人員的日常操作，存在操作身份不明確、操作過程不透明、操作內(nèi)容不可知、操作行為不可控、操作事故無法定位等安全風(fēng)險。內(nèi)部人員的操作行為幾乎處于完全失控的狀態(tài)，一旦發(fā)生事故，其后果的嚴(yán)重性將是無法預(yù)估的。所以需要有效的安全管理手段來解決這些存在的高風(fēng)險和安全隱患。

運(yùn)維安全管理系統(tǒng)

       運(yùn)維安全管理系統(tǒng)（簡稱Logbase SOM）是新一代操作行為管理安全審計系統(tǒng)，它采用軟硬件一體化設(shè)計，通過B/S方式（https）進(jìn)行管理，其主要功能為實現(xiàn)對運(yùn)維人員遠(yuǎn)程訪問操作服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫過程的認(rèn)證、授權(quán)、監(jiān)控與審計，實現(xiàn)對IT運(yùn)維過程的全面監(jiān)管，做到有效的事前預(yù)防、事中控制及事后審計，滿足用戶的安全管理需求。

運(yùn)維安全管理系統(tǒng)架構(gòu)圖

          運(yùn)維安全管理系統(tǒng)為旁路部署，無需對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行任何調(diào)整。LogBase SOM支持單臂部署、雙臂部署、HA雙機(jī)熱備部署及分部署部署等多種部署方式，可以充分滿足不同網(wǎng)絡(luò)對審計系統(tǒng)的需求。Logbase SOM的部署應(yīng)與網(wǎng)絡(luò)訪問控制列表、企業(yè)管理制度相結(jié)合，以便取得更好的審計效果。

  在信息系統(tǒng)的運(yùn)維操作過程中，經(jīng)常會出現(xiàn)多名維護(hù)人員共用設(shè)備（系統(tǒng)）賬號進(jìn)行遠(yuǎn)程訪問的情況，從而導(dǎo)致出現(xiàn)安全事件無法清晰地定位責(zé)任人。運(yùn)維安全管理系統(tǒng)為每一個運(yùn)維人員創(chuàng)建唯一的運(yùn)維賬號（主賬號），運(yùn)維賬號是獲取目標(biāo)設(shè)備訪問權(quán)利的唯一賬號，進(jìn)行運(yùn)維操作時，所有設(shè)備賬號（從賬號）均與主賬號進(jìn)行關(guān)聯(lián)，確保所有運(yùn)維行為審計記錄的一致性，從而準(zhǔn)確定位事故責(zé)任人，彌補(bǔ)傳統(tǒng)網(wǎng)絡(luò)安全審計產(chǎn)品無法準(zhǔn)確定位用戶身份的缺陷，有效解決賬號共用問題。

  運(yùn)維安全管理系統(tǒng)部署后，運(yùn)維人員可以通過不同的方式對目標(biāo)對象進(jìn)行訪問、維護(hù)：

WEB控件方式訪問，所有協(xié)議均可通過WEB空間方式從WEB直接發(fā)起訪問，訪問過程支持IE、Firefox、chrome等多種瀏覽器；

支持通過WEB直接調(diào)用本地客戶端方式進(jìn)行訪問；

支持本地直接使用CS客戶端直接訪問，兼容管理員原有使用習(xí)慣

         運(yùn)維人員登錄Logbase SOM系統(tǒng)時，系統(tǒng)會根據(jù)訪問授權(quán)列表自動展示授權(quán)范圍的主機(jī)，避免用戶訪問未經(jīng)授權(quán)主機(jī)。
       此外，Logbase SOM還支持在運(yùn)維過程中要求其他運(yùn)維人員進(jìn)行協(xié)同操作的功能，在協(xié)同操作模式下，2名運(yùn)維人員可以共同操作同一個訪問會話界面；

系統(tǒng)內(nèi)置了多個運(yùn)維工作流程管理功能，IT部門能夠通過運(yùn)維工作流功能規(guī)范IT運(yùn)維過程，工作流功能包含以下具體流程：

a）工作任務(wù)管理流程：

1. 任務(wù)發(fā)起人通過系統(tǒng)下發(fā)工作任務(wù)；

2. 任務(wù)接收人在個人消息中心實時接收工作任務(wù)信息；

3. 任務(wù)接收人完成工作，在WEB界面中進(jìn)行任務(wù)回復(fù)；

4. 任務(wù)發(fā)起人接收到回復(fù)信息后，對任務(wù)執(zhí)行情況進(jìn)行確認(rèn)，結(jié)束工作任務(wù)流程；

b）審計流程：

審計流程包含異常事件處理流程及報表審計流程兩部分，審計人員可以查看相關(guān)異常事件及報表并添加相應(yīng)的審計意見，否則該事件會一直處于未處理狀態(tài)，以提醒審計人員對重點事件進(jìn)行關(guān)注并審計。

  系統(tǒng)支持主機(jī)系統(tǒng)賬號的密碼維護(hù)托管功能，系統(tǒng)支持自動定期修改windows、Linux、Unix、cisco、huawei等設(shè)備的賬號密碼。
五、批量執(zhí)行功能

  系統(tǒng)支持自動化在多臺機(jī)器上批量執(zhí)行指令。通過批量執(zhí)行功能，管理員可以方便實現(xiàn)對多臺主機(jī)的升級、備份等工作任務(wù)。
六、便利及細(xì)粒度訪問授權(quán)
       系統(tǒng)通過集中統(tǒng)一的訪問控制和細(xì)粒度的命令級授權(quán)策略，確保每個運(yùn)維用戶擁有的權(quán)限是完成任務(wù)所需的最合理權(quán)限。

       系統(tǒng)支持根據(jù)已設(shè)定的訪問控制策略，自動檢測日常運(yùn)維過程中發(fā)生的越權(quán)訪問、違規(guī)操作等安全事件，系統(tǒng)能夠根據(jù)安全事件的類型、等級等條件進(jìn)行自動的告警或阻斷處理。

阻斷未經(jīng)授權(quán)用戶訪問主機(jī)；

阻斷從異常客戶端、異常時間段發(fā)起的訪問行為；

阻斷指令黑名單的操作行為；

阻斷方式支持：斷開會話、忽略指令；

告警方式支持：WEB界面告警、短信告警、郵件告警等。

       對于所有遠(yuǎn)程訪問目標(biāo)主機(jī)的會話連接，Logbase審計系統(tǒng)均可實現(xiàn)操作過程同步監(jiān)視，運(yùn)維人員在遠(yuǎn)程主機(jī)上做的任何操作都會同步顯示在審計人員的監(jiān)控畫面中，管理員可以隨時手工中斷違規(guī)操作會話。

十、歷史記錄查詢

        運(yùn)維安全管理系統(tǒng)支持兩種查詢功能，快速查詢（單一條件）和高級查詢（多重組合條件），審計人員可以根據(jù)操作時間、源、目標(biāo)IP地址、用戶名（運(yùn)維、主機(jī)）、操作指令等條件對歷史數(shù)據(jù)進(jìn)行查詢，快速定位歷史事件。

  系統(tǒng)擁有強(qiáng)大的報表功能，內(nèi)置能夠滿足不用客戶審計需求的安全審計報表模板，支持自動或手工方式生成運(yùn)維審計報告，便于管理員全面分析運(yùn)維的合規(guī)性。
十三、審計數(shù)據(jù)存儲管理

  系統(tǒng)支持自動化審計數(shù)據(jù)存儲管理，管理員可以對審計數(shù)據(jù)進(jìn)行手工備份、導(dǎo)出，也可以設(shè)定自動歸檔策略進(jìn)行自動歸檔。