安全运维管理审计系统在高校行业应用解决方案(共13页).doc

《安全运维管理审计系统在高校行业应用解决方案(共13页).doc》由会员分享，可在线阅读，更多相关《安全运维管理审计系统在高校行业应用解决方案(共13页).doc（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上文档编号：-SECURITY-运维管理审计-V1.0高校行业运维管理审计应用解决方案上讯运维管理审计系统上讯信息技术有限公司2011年7月专心-专注-专业=上讯信息技术有限公司专业的信息安全整体解决方案提供商=目 录 第一章 概述 随着信息技术的不断发展和信息化建设的不断进步，IT 系统在高校行业发挥的重要性越来越高，高校的教学应用系统、一卡通等业务系统以及办公系统都高度依赖IT 网络。然而，随着IT系统规模的扩大，以及IT系统资产价值的增加，系统面临的安全威胁也随之增加。这些威胁中除了来自外部的黑客攻击以外，更多的是由于内部运维管理水平的不足或不够重视而产生的，如：

2、内部运维人员的恶意破坏操作、误操作，第三方维护人员的越权访问、数据窃取等等。这些由于内部与第三方支持人员而产生的安全事件，对高校造成很大的负面影响，其所能造成的损失往往是不可估量。此外，随着国内IT管理水平的提升，IT 法规的健全，无论是高校、政府还是企业单位、上市公司等，对于IT 法规遵从的要求都越来越高，IT 法规遵从的重点之一就是如何处理来自内部的IT 运维管理风险日益，规避内部IT 操作风险。因此，如何针对内部IT 运维人员的运维行为进行审计，如何提高系统运维管理水平，满足相关法规标准要求，已经成为很多高校IT 技术管理人员急需解决的问题。InforCube 运维审计系统就是新一代运维

3、安全审计产品，它能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能，实现运维过程的“事前预防、事中控制、事后审计”，在简化运维操作的同时，全面解决各种复杂环境下的运维安全问题，提升高校IT 运维管理水平。第二章 高校行业背景分析2.1 业务应用与技术管理需求2.1.1一卡通应用随着高校数字化校园十二-五规划的不断深入，一卡通在校园中的应用也越来越广泛，统一一卡通已成为数字化校园建设的一个主要部分，传统的一卡通应用主要在消费层面，而现今的一卡通应用几乎包括了高校很多方面的应用，不仅在消费层面，更多的在身份识别层面的需求，已逐步成为身份的

4、象征。而在高校，面积大，建筑规模大、楼多，人群密度大。这就涉及到一卡通在各个层面的安全问题： 如何实现学校内部食堂、小卖部、超市、校医院、洗浴、上机、娱乐中心等校园消费的各个领域，全面实现“以卡代币” 的各种消费问题，保障消费数据的安全; 学校重要区域如学校图书馆、实验室、网络中心、办公楼、学生宿舍大门的人员出入权限安全控制管理以及身份识别问题，保障身份的合法化; 学校对现有教职工上班和学生考勤管理问题、重点仪器设备安全的管理，保障设备与管理的安全性; 未来可能会跟银行接轨，如何实现银行金融服务为数字化校园一卡通服务的问题。通过上述的分析，一卡通系统在高校得到越来越广泛的应用，管理员或第三方外

5、包人员通过修改数据库带来的经济利益驱动；管理人员或第三方外包人员的误操作，带来的身份混乱，造成未授权的用户去了不该去的地方，一旦出现安全事件，这些事件如何追溯成为高校亟需解决的问题。2.1.2考试查询系统应用高校中考试查询系统为了提高教学工作效率，试卷、科目成绩等大多采用电子录入平台，以方便管理与查询，一般分为多个模块：1)成绩录入和查询2)班级成绩管理3)任课教师单科成绩管理4)任课教师试卷分析5)成绩统计6)成绩分析7)成绩管理设置，这些所有的应用都基于网络平台，随之带来的问题是： 某些学生为提高学习成绩，非法登陆服务器，截取老师试卷 学生成绩录入后，非法进入数据库服务器，或通过管理员或第

6、三方外包人员渠道，修改数据库中的成绩，以达到谋取利益的目的这就要求高校必须提高服务器的安全级别，防止弱口令的存在，通过定期修改服务器密码，有效防止不法分子获取服务器（数据库）管理权限；限制管理用户的登录地址和登录方式，有效杜绝服务器（数据库）管理员以外的人员访问；详细记录运维人员操作过程，为事件后取证工作提供有力证据2.1.3第三方运维管理带来的安全隐患高校应用系统相对较多，大多应用系统都交付给外包公司帮助管理与维护，由于高校系统管理需要或第三方运维人员为了使用方便，在高校目前IT 系统管理过程中，多人共用一个系统账号的情况普遍存在。多人同时使用一个系统帐号在带来管理方便性的同时，却带来了操作

7、者无法确定的问题，一旦发生安全事件，无法准确定位恶意操作或误操作的具体责任人。2.1.4难以进行细粒度访问授权目前高校的访问授权系统一般有网络层访问控制以及主机层的账户控制为主。由于操作系统自身的功能限制，目前主流使用的操作系统、数据库都无法做到指令级授权控制。第三方维护人员往往会因为一个简单的维护需求，却为其分配了一个超级用户权限，从而带来一系列的安全隐患。2.1.5服务器密码安全策略难以有效执行高校的应用服务众多，在高校内部的IT 管理规范中，为了保证密码的安全性，都会制定比较严格的密码管理策略，如要定期修改密码；密码要有足够强度等。但在实际情况中，由于管理的机器数量和帐号数量太多，定期修

8、改成复杂密码实施难度较大，因此管理员往往难以做到定期修改，并且都会使用有一定规律性的密码。2.1.6缺乏对运维过程的监督审计能力目前，随着安全需求的提升，加密的SSH、HTTPS、图形化的操作已经逐步代替了传统的telnet 之类的明文访问协议，而传统的安全审计产品只能处理明文访问协议，对于加密和图形的访问协议无法进行内容识别，因而，监督、审计功能也就无法实现。2.2法律法规遵从需求2.2.1 ISO27001标准条款 A10.10.1 要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便为安全事件的调查和取证；条款 A10.10.4 要求组织必须记录系统管理和维护人员的操

9、作行为；条款 A15.1.3 明确要求必须保护组织的运行记录；条款 A15.2.1 则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。2.2.2 等级保护要求一、网络安全层面：1.安全审计控制项（二级）中要求：a) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。2.网络设备防护控制项（二级）中要求：a) 应对登录网络设备的用户进行身份鉴别；b) 应对网络设备的管理员登录地址进行限制；c) 网络设备用户的标识应唯一；d) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；e) 应具有登录失败处理功能，可采取结

10、束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；二、主机安全层面1.身份鉴别控制项（二级）中要求：a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别；b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；d) 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。2.安全审计控制项（二级）中要求：a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统

11、内重要的安全相关事件；c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；应保护审计记录，避免受到未预期的删除、修改或覆盖等。3.访问控制控制项（二级）中要求：a) 应实现操作系统和数据库系统特权用户的权限分离；b) 应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；4.资源控制控制项（二级）中要求：a)应通过设定终端接入方式、网络地址范围等条件限制终端登录；第三章 构建高校行业安全运维管理体系3.1 方案设计原则3.1.1先进性和成熟性原则采用代表当前计算机发展趋势的先进技术和成熟的产品，确保该信息系统在几年内不落后，保证平台在技术上领先、成熟、稳定和

12、可靠。3.1.2可靠性原则整个网络系统必须具备高度的稳定性和可靠性，提供充分的可靠性服务。网络系统运行稳定、故障率低、容错性强，实现7*24小时正常工作。3.1.3最小影响原则在方案设计及实施时，遵循对信息系统影响最小原则，尽可能地采用对网络、系统、应用影响最小的技术手段，对现有系统不产生干扰，保护现有系统。3.1.4安全性原则 在规划设计和维护管理的过程中要充分考虑网络建设和信息安全相结合的原则，从技术、管理等方面制订严格的方案，形成多层次、全方位的安全保密防线，确保系统的安全性。3.2 产品原理及架构3.2.1 产品技术原理InforCube 运维管理审计系统的核心技术原理是采用访问过程双

13、向模拟技术。其主要实现方法为将原先的“客户端-服务器”访问模式，转变成“客户端-运维管理系统-服务器”的协议代理模式。在用户访问过程中，运维管理系统通过技术手段将原来的一次TCP会话，拆分为两个独立的TCP会话，并分别在两个拆分后的会话中模拟了服务器端和客户端角色，因此，无论是与服务器通讯、还是与客户端通讯时，都能准确还原加密信息。 3.2.2 产品架构InforCube 运维管理审计系统主要由两大模块组成，协议控制模块、管理模块。协议控制层主要负责实现底层对访问过程的TCP 会话拆分、还原识别操作内容、记录操作指令、并根据策略执行阻断操作。管理模块主要实现运维用户、操作对象的配置、访问授权控

14、制策略控制以及行为审计功能。3.2.3 支持的访问协议InforCube 运维管理审计系统支持多种运维访问协议，能够充分满足日常运维管理需求，并能够根据需要，随时扩展其他访问协议。基本远程操作协议SSHTELNETFTP图形终端操作协议RDP（windows远程桌面）数据库远程协议运维管理审计系统支持以下主流数据库远程访问协议审计ORACLEDB2MS-SQL SERVERINFORMIXMySQLSYBASE针对上述协议，运维管理审计系统能够记录整个RDP会话的完整过程，并形成指令日志、回放文件及窗口标题3部分审计数据，能够记录整个SSH/Telnet会话的完整过程，并形成指令日志及回放文件

15、2部分审计数据指令日志供管理员针对操作指令进行快速审计，回放文件可供管理员针对特定的会话进行完整操作审计。3.3 部署方式3.3.1旁路模式网络拓扑3.4 产品功能介绍3.4.1操作行为审计3.4.1.1日志查询运维管理审计系统支持针对Telnet、FTP、SSH、Rlogin各类数据库操作记录进行查询。运维管理审计系统查询模块拥有强大检索功能，可以根据上述操作协议中的用户名、IP、时间、操作指令等等信息进行多重组合查询。管理员可以通过运维管理审计系统强大的检索功能对关心的事件进行迅速定位。运维管理审计系统支持的查询条件有：主机地址、远程账号、登录地址、会话起始时间、会话结束时间、主机账号、用

16、户输入等。逻辑运算符：与、或3.4.1.2视频回放运维管理审计系统支持对各类支持的协议进行视频回放，管理员可以根据IP、时间段等信息查找关心的RDP操作的回放文件并进行在线视频回放，也可以根据查询结果直接定位至TELNET、SSH、数据库、FTP等远程维护操作的回放文件直接进行回放审计。回放过程能够还原上述协议中的所有操作行为，就如同对管理员的操作显示器进行监控一样。 运维管理审计系统回放视频无需客户端安装第三方播放软件，直接内置于运维管理审计系统管理客户端中，回放系统支持常见的视频播放控制操作，如拖动进度条，播放速度加快，暂停等等。3.4.1.3异常操作阻断及告警运维管理审计系统系统支持通过

17、规则设定异常及非法操作行为，一旦检测到这些异常的操作行为，运维管理审计系统将直接阻断此操作，并断开该操作的TCP连接，因而能够有效防止各类违规操作事件的发生。同时运维管理审计系统也支持对危险指令的告警功能，能够通过短信、邮件等方式将告警信息及时发送给管理员。告警及阻断规则支持用户自定义，规则可以根据用户名、指令等信息进行。3.4.1.4审计报表功能运维管理审计系统支持强大的报表生成功能，内置了由思福迪公司在众多审计项臂中积累的审计报表，同时也支持用户自定义报表。其中的大部分报表均符合萨班斯SOX法案审计需求。运维管理审计系统报表支持水晶报表系统。报表系统支持按天、星期、月、年等周期自动生成报表

18、，也可以由管理员即时生成所需的报表。常见报表如下：帐号异常登录情况报表操作系统危险指令报表数据库危险指令报表主机登录合法性审计报表数据库登录合法性审计报表特定用户操作操作审计报表等等。3.4.2系统管理功能3.4.2.1用户管理支持多用户管理，高校可以根据自身组织情况设定配置管理员、审计员、操作管理员等用户组，并为每个用户设定详细的访问控制规则。权限管理系统为细粒度控制方式，能够为每个用户分配任意功能模块组合权限，如：查询日志、回放文件查看、规则配置、用户管理、系统自身管理等等。用户管理既支持本地静态帐户，也支持AD域帐户、Radius帐户验证等。3.4.2.2文件管理产品内置高达数百G(具体

19、参考【产品规格与指标】章节)的硬盘存储空间，内置存储空间均采用Raid5硬盘阵列，可有效防止由于硬盘硬件问题而带来的数据丢失，同时运维管理审计系统支持外挂存储系统，如：NAS、SAN、磁盘柜等，从而实现存储空间的海量扩充。支持对日志进行以下管理操作：日志归档包括：手工与自动两种方式。操作员可以设置归档时间范围及日志类型；日志备份：可对指定日志类型的日志按时间方式及类型进行备份，备份文件可以下载至第三方设备进行存储，也可以直接通过FTP、磁带机等方式进行备份；3.4.2.3规则及配置管理系统提供完备的规则及配置管理功能，可以通过友好的人性化规则编辑界面对规则及各种系统参数进行配置，并可导入/导出

20、相关的配置文件。3.4.2.4设备管理远程设备维护，通过运维管理审计系统客户端可以对远程设备进行状态管理，如重新读取配置；设备重启等操作。第四章 公司介绍-上讯信息上讯信息技术有限公司总部位于中国经济最发达的上海市，主要业务由网络安全咨询及评估、各个层面国外主流网络安全及优化产品的中国市场推广以及自主知识产 权网络安全产品三部分组成。作为国内最具实力的网络安全咨询及评估、数据安全、网络安全及优化整体解决方案提供商之一，公司在上海总部设立研发及攻防实验室，以前瞻性的眼光，组织顶尖网络专家甄选出最符合市场发展方向覆盖各个层面的尖端安全产品以满足中国市场的客户需求。上讯信息核心技术团队拥有众多 CI

21、SA国际注册信息系统审计师、ITIL基础架构师、CISSP国际注册信息系统安全专家以及CISP注册信息安全专家，同时上讯信息还拥有众多 CCIE、Oracle OCP以及Microsoft、McAfee、F5、Riverbed、LANDesk、HP、Juniper等厂家高级别认证工程师团队，持有系统集 成、安全服务、ISP、涉密集成等资质。上讯信息以中西交融实现本土技术领先，为电信、金融、能源、政府、教育、制造业、医疗卫生、交通物流等行业客户提供创造最大利益与回报的全方位解决方案与服务体系。目前，上讯信息的渠道体系和技术支持能力已经覆盖了全国大部分地区，完善的服务体系使得上讯信息具备高 效快速

22、为客户解决各种问题的能力，最大程度的节省和保护客户的投资、为客户排忧解难，保证客户的网络系统连续、稳定、高效、安全地运行。自成立以来，无论 安全理念还是网络技术，上讯信息见证着中国网络安全产业发展的每一个里程碑。与此同时，上讯信息正积极拓展数据库安全、灾难备份、数据库审计、数据仓库等 衍生意义上的IT安全业务，也在积极开发拥有自主版权的符合中国市场需求的产品来补充形成一个完善的产品线，旨在为上讯信息合作伙伴和客户创造更好的发展 空间以及更可靠的网络环境。成功的企业有责任通过自身的资源推动所属产业的进步，上讯信息的发展离不开合作伙伴的支持和客户的信赖。我们正不断的整合业界与自身的优势资源，运用到我们的业务实践中，愿与中国信息产业一同发展。