2022年运维安全审计白皮书 .pdf

《2022年运维安全审计白皮书 .pdf》由会员分享，可在线阅读，更多相关《2022年运维安全审计白皮书 .pdf（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、运维安全审计系统技术白皮书名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 16 页 - - - - - - - - - 运维安全审计系统技术白皮书I 目 录1 审计要求 . 12解决之道 . 22.1OMAUDIT简介 . 22.2应用环境 . 22.3认证资质 . 33产品介绍 . 43.1系统功能 . 43.1.1完整的身份管理和认证. 43.1.2灵活、细粒度的授权. 43.1.3后台资源自动登陆 . 43.1.4实时监控 . 53.1.5违规操作实时告警与阻断.

2、53.1.6完整记录网络会话过程. 63.1.7详尽的会话审计与回放. 63.1.8完备的审计报表功能. 63.1.9各类应用运维操作审计功能. 63.1.10可结合ITSM（IT服务管理） . 73.1.11其他功能. 73.2系统部署 . 73.3系统特点 . 93.3.1支持Unix和Windows平台下运维操作审计. 93.3.2更严格的审计管理 . 93.3.3分权管理机制 . 93.3.4部署灵活、操作方便. 103.3.5完善的系统安全设计. 103.4与网络审计类产品比较 . 10名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - -

3、- - - - 名师精心整理 - - - - - - - 第 2 页，共 16 页 - - - - - - - - - 运维安全审计系统技术白皮书II 4技术指标 . 114.1型号说明 . 114.2OMAUDIT 1000 兼容性 . 115典型案例 . 125.1现状描述 . 125.2部署方案 . 135.3方案特点 . 13名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 16 页 - - - - - - - - - 运维安全审计系统技术白皮书1 1审计要求针对安

4、然、 世通等财务欺诈事件， 2002 年出台的公众公司会计改革和投资者保护法案（Sarbanes-Oxley Act）对组织治理、财务会计、监管审计制定了新的准则，并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。 SOA 促使 COSO内部控制 -综合框架及其他框架（如：加拿大的CoCo、英国的 Cadbury报告、 IIA 的 SAC、ISACA 的 COBIT）作为内部控制的标准已获广泛认同。通过促进组织建立完善的内部控制与全面风险管理体系，为有效的组织治理奠定了良好的基础。与此同时，国内相关职能部门亦在指导行业内部控制与风险管理方面

5、进行了有益的探索。如：内部控制审计准则的制定，商业银行、证券公司、保险公司、上市公司、中央企业等内部控制指引、合规风险管理或全面风险管理指引的颁布，都对行业完善内部控制与健全风险管理体系起到了极大的推动作用。行业监管与合规性遵循要求引导对审计定位与功效的重新审视。审计作为一种独立、客观的活动，通过系统化和规范化的方法,评价和监控组织的风险管理、 控制和治理过程的效果，其目的在于为组织增加价值和提高组织的运作效率，帮助组织实现其目标。信息系统作为组织实现其经营目标的重要设施，其风险管理与安全控制需要得到有力保障。由于信息系统的脆弱性、技术的复杂性、操作的人为因素，在设计以预防、减少或消除潜在的风

6、险或风险暴露的安全控制时，还应考虑运维管理与操作监控机制以预防、发现错误或违规事件，对IT 风险进行事前防范、事中控制、事后监督和纠正的组合控制。IT 审计作为预防性控制的有效补充，并检查、监控控制的适当性与充分性，在信息科技风险管理中发挥极重要作用。对 IT 系统进行审计，是控制内部风险的一个重要手段，但大型机构的IT 系统构成复杂，操作人员众多，如何有效地执行审计工作，是长期困扰各组织信息科技和风险稽核部门的一个重大课题。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共

7、 16 页 - - - - - - - - - 运维安全审计系统技术白皮书2 2解决之道对任一组织而言，采用基于计算机的审计技术或工具（CAATs, Computer Assisted Audit Techniques/Tools ）无疑是实现监管信息化、提升工作绩效的重要途径。但首先需要解决的问题是：组织需要关心哪些类型的审计信息？哪些信息或行为对组织尤为关键？目前通用的审计工具大多从网络层面或服务器日志层面获取较为庞杂的信息，往往会导致关键的管理信息或敏感操作湮没于日常业务数据中，或无法追溯操作行为轨迹、了解操作行为意图，可能影响审计的有效性或效率。国都兴业因应市场对IT 运维审计的需求，

8、 集其多年信息安全领域运维管理与安全服务的经验，结合行业最佳实践与合规性要求，率先推出基于硬件服务器平台的“ 运维安全审计系统（OMAudit ）” ，针对于核心资产的运维管理，再现关键行为轨迹，探索操作意图，集全局实时监控与敏感过程回放等功能特点，有效解决了信息化监管中的一个核心问题。2.1 OMAudit 简介“运维安全审计系统（ OMAudit ）” 目标是为组织IT 系统核心服务器的运维操作提供强有力的监控、审计手段，使其切实满足内控管理中的合规性要求。OMAudit 可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计，对策略配置、系统维护、内部访问等进行详

9、细的记录，提供细粒度的审计，并支持操作过程的全程回放。OMAudit 弥补了传统审计系统的不足，将运维审计由事件审计提升为内容审计，并将身份认证、授权、管理、审计有机地结合，保证只有合法用户才能使用其拥有运维权限的关键资源。 OMAudit 为组织在 IT 操作风险控制、 内控安全和合规性等方面提供一套完善、有效的审计手段。2.2 应用环境OMAudit 支持 Telnet、FTP、SSH、SFTP、RDP（Windows Terminal） 、Xwindows、VNC、AS400 等多种通信协议，支持通信协议以外的Windows 资源、应用，支持IBM AIX 、Digital UNIX 、

10、HP UNIX 、SUN Solaris、SCO UNIX 、LINUX 、WINDOWS 等多种操作系统。可广泛应用于金融、政府、电信、证券、邮政、税务、海关、交通等安全需求较高的行业。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 16 页 - - - - - - - - - 运维安全审计系统技术白皮书3 2.3 认证资质“运维安全审计系统（OMAudit ）”已获公安部颁发的计算机信息系统安全专用产品销售许可证，已通过国家保密局涉密信息系统安全保密评测中心检测。名师

11、资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 16 页 - - - - - - - - - 运维安全审计系统技术白皮书4 3产品介绍3.1 系统功能3.1.1完整的身份管理和认证为了确保合法用户才能访问其拥有权限的后台资源，解决 IT 系统中普遍存在的交叉运维而无法定位到具体人的问题，满足审计系统“ 谁做的 ” 要求，系统提供一套完整的身份管理和认证功能。支持运维用户静态口令、动态口令、LDAP、AD 域认证方式；支持管理员静态口令、动态口令、证书KEY 等认证方式；支持密

12、码强度、密码效期、口令尝试死锁、用户激活等安全管理功能；支持用户分组管理；支持用户信息导入导出，方便批量处理。3.1.2 灵活、细粒度的授权系统提供基于用户、运维协议、目标主机、运维时间段（年、月、日、周、时间）、会话时长、运维客户端IP 等组合的授权功能，实现细粒度授权功能，满足用户实际授权的需求。提供基于用户到资源的授权提供基于用户组到资源的授权提供基于用户到资源组的授权提供基于用户组到资源组的授权3.1.3 后台资源自动登陆后台资源自动登陆功能是运维人员通过OMAudit 认证和授权后，OMAudit 根据配置策略实现后台资源的自动登录。此功能提供了运维人员到后台资源帐户的一种可控对应，

13、同时实现了对后台资源帐户的口令统一保护。针对不同主机、网络和安全设备的特性，OMAudit 提供托管和只托不管两种方式实现运维用户自动登录后台资源。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 16 页 - - - - - - - - - 运维安全审计系统技术白皮书5 1、托管方式实现自动登录后台资源OMAudit 自动获取后台资源帐户信息；根据口令安全策略， OMAudit 定期自动修改后台资源帐户口令；根据管理员配置，实现运维用户与后台资源帐户对应，限制帐户的越权使

14、用；运维用户通过 OMAudit 认证和授权后， OMAudit 根据分配的帐户实现自动登录后台资源。2、只托不管方式实现自动登录后台资源管理员将后台资源帐户及口令配置到OMAudit 中；根据管理员配置，实现运维用户与后台资源帐户对应，限制帐户的越权使用；运维用户通过 OMAudit 认证和授权后， OMAudit 根据分配的帐户实现自动登录后台资源。3.1.4 实时监控监控正在运维的会话，信息包括运维用户、运维客户端地址、资源地址、协议、开始时间等；监控后台资源被访问情况；提供在线运维的操作的实时监控功能。针对命令交互性协议可以图像方式实时监控正在运维的各种操作，其信息与运维客户端所见完全

15、一致。3.1.5 违规操作实时告警与阻断针对运维过程中可能存在潜在操作风险，OMAudit 根据用户配置的安全策略实施运维过程中的违规操作检测，对违规操作提供实时告警和阻断，从而达到降低操作风险及提高安全管理与控制的能力。提供用户可配置的告警规则；告警规则支持告警级别、告警分类和与后台资源绑定；在具有自动登录功能的OMAudit 上，可实现告警规则与后台资源的帐户级别进行绑定，针对不同用户实施不同的规则，从而提供更细粒度的操作控制；告警动作支持会话阻断、审计平台告警和邮件告警等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名

16、师精心整理 - - - - - - - 第 8 页，共 16 页 - - - - - - - - - 运维安全审计系统技术白皮书6 3.1.6 完整记录网络会话过程系统提供运维协议Telnet、FTP、SSH、SFTP、RDP （Windows Terminal） 、Xwindows、VNC、AS400 等网络会话的完整会话记录，完全满足内容审计中信息百分百不丢失的要求。会话信息包括运维用户、运维地址、后台资源地址、资源名、协议、起始时间、终止时间、流量大小信息；会话信息包括运维过程中所有进出后台资源的数据。3.1.7 详尽的会话审计与回放运维操作审计以会话为单位，提供当日和条件查询定位。条件

17、查询支持按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式。针对命令交互方式的协议，提供逐条命令及相关操作结果的显示；提供图像形式的回放，真实、直观、可视地重现当时的操作过程；回放提供快放、慢放、拖拉等方式，方便快速定位和查看；针对命令交互方式的协议，提供按命令进行定位回放；针对 RDP、Xwindows、VNC 协议，提供按时间进行定位回放。3.1.8 完备的审计报表功能OMAudit 提供运维人员操作，管理员操作以及违规事件等多种审计报表。提供日常报表，包括今日会话、今日自审计、用户信息、资源信息、权限信息、规则信息、管理员角色信息等报表；提供会话报表

18、，可根据用户选定时间、用户、资源形成会话报表；自审计操作报表，可根据用户选定时间、管理员、模块形成自审计报表；告警报表，可根据告警类别、级别、资源、运维用户、协议、时间等条件形成报表；综合统计报表，可根据时间、资源、用户等条件形成综合统计报表，报表中包括概要信息、每个用户操作信息、每个资源被操作信息等。3.1.9 各类应用运维操作审计功能OMAudit 提供对各类应用的运维操作审计功能， 能够提供完整的运维安全审计解决方案。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共

19、16 页 - - - - - - - - - 运维安全审计系统技术白皮书7 业界首创的（ VDH, Virtual Desktop Host ）虚拟桌面主机安全操作系统设备，完全符合运维安全审计要求。运维操作全程可控，可做到授权后应用只能访问指定服务，最大降低对后台目标服务集群的可能安全风险。可对整个运维操作过程进行完整记录，实现详尽的会话审计和回放。可依据用户要求快速实现新应用的发布和审计。3.1.10可结合 ITSM （IT 服务管理）OMAUDIT可与 ITSM 相结合，可为其优化变更管理流程，加强对变更管理中的风险控制。在运维会话操作中，支持对变更工单录入操作，实现变更过程的监控和审计

20、。支持对现有运维变更管理系统快速集成，为其提供必要的运维操作信息。支持变更工单号事后审计功能，实现及时验收变更过程是否有效，已经快速查找和定位变更过程中造成的问题。3.1.11其他功能系统提供双机热备、 日志手工和自动备份、 网络维护和性能监控、 系统日志重定向、 NTP、SNMP、双人符合、密函打印等功能支持。3.2 系统部署鉴于企业网络及管理架构的复杂性，OMAudit 系统提供了灵活的部署方式，既可以采取串连模式，也可以采用单臂模式接入到企业内部网络中。采用串连模式部署时，OMAudit 具备一定程度上的网络控制的功能，可提高核心服务器访问的安全性；采用单臂模式部署时，不改变网络拓扑，安

21、装调试过程简单，可按照企业网络架构的实际情况灵活接入。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 16 页 - - - - - - - - - 运维安全审计系统技术白皮书8 图 1：单臂模式接入名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 16 页 - - - - - - - - - 运维安全审计系统技术白皮书9 图 2：串联模式接入无论串

22、连模式还是在单臂模式，通过OMAudit 访问 IT 基础服务资源的操作都将被详细的记录和存储下来，作为审计的基础数据。OMAudit 的部署不会对业务系统、网络中的数据流向、带宽等重要指标产生负面影响，无需在核心服务器或操作客户端上安装任何软硬件系统。下图是 OMAudit 和 VDH 配合完成解决方案时的网络架构， 其中一台 OMAudit 可以添加多台 VDH 主机系统。ServerOMAuditVDH运维用户图 3. VDH 配合 OMAudit 实现应用审计。3.3 系统特点3.3.1 支持 Unix 和 Windows平台下运维操作审计领先地解决了 SSH、RDP 等加密运维协议的

23、审计，满足用户在Unix 和 Windows 环境的运维操作审计需求。3.3.2 更严格的审计管理系统集认证、授权、管理和审计有机地集成为一体，有效地实现了事前预防、事中控制和事后审计。3.3.3 分权管理机制系统提供设备管理员、运维管理员和审计员三种管理角色，并支持灵活地配置更细的角色，从技术上保证系统管理安全。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 16 页 - - - - - - - - - 运维安全审计系统技术白皮书10 3.3.4 部署灵活、操作方便系

24、统支持单臂、串接部署模式支持基于 B/S 实现系统管理、配置审计平台提供了功能齐全、操作方便、展现良好的审计管理功能3.3.5 完善的系统安全设计精简的内核和优化的TCP/IP 协议栈基于 HTTPS/SSL 的自身安全管理与审计严格的安全访问控制和管理员身份认证支持强认证审计信息加密存储完善的审计信息备份机制支持双机热备3.4 与同类产品比较功能同类产品OMAudit技术采用抓包方式、组包、协议分析双向代理协议支持协议多，无访问控制能力，对加密协议不支持支持 Telnet、 FTP、SFTP、 SSH、 Windows Terminal、AS400 等运维协议，支持加密协议部署模式接入到网络

25、镜像口或TAP 接入单臂模式和串联模式信息的完整性信息存在丢失保证信息100%不丢失认证授权不支持认证和授权支持集中认证与授权管理，支持动态口令及第三方的认证授权事中控制没有提供口令代理、操作告警、实时监控，而且易扩展事后审计只提供源、目的地址和MAC ，时间、协议等不仅提供行为内容，而且提供操作内容的审计，提供操作内容的视频审计会话回放不支持支持回放的快进、慢放、定位回放应用环境适用于企业IT 系统 OA 环境适用于安全要求较高的企业IT 系统运维环境系统管理B/S,C/S 基于 HTTPS 的 WEB 管理模式， 不需要在管理机上安装管理客户端表 1：同类产品对比名师资料总结 - - -精

26、品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 16 页 - - - - - - - - - 运维安全审计系统技术白皮书11 4技术指标4.1 型号说明主要属性OMAudit 1000EOMAudit 1000A 支持协议Telnet、 SSH、 FTP、 SFTP、 Windows Terminal、Xwindows 、VNC 、AS400 等Telnet、SSH、FTP、SFTP、Windows Terminal、Xwindows 、VNC 、AS400 等可靠性支持 HA 支持 HA 并发

27、数1000 并发用户500 并发用户部署模式支持单臂、串联模式部署支持单臂、串联模式部署易用性B/S 管理、无客户端、Server 端软件B/S 管理、无客户端、Server 端软件清晰性采用中文界面采用中文界面可扩展性存储可扩展存储可扩展兼容性支持 IBM Aix 、HP Unix 、Sun Solaris、SCO Unix 、Linux 、Windows 等各种操作系统主机和各种网络、安全设备支持 IBM Aix 、HP Unix 、Sun Solaris、SCO Unix 、Linux 、Windows 等各种操作系统主机和各种网络、安全设备外形2U 机架式服务器IU 机架式服务器存储容

28、量500G 250GB 网卡4 个千兆扩展口， 2 个 SFP2 个 GBIC ；2 个千兆以太网口1 个百兆以太网口6 个千兆以太网口表 2： OMAUDIT参数说明4.2OMAudit 1000 兼容性客户端操作系统应用协议应用软件应用软件服务服务器Windows 2000 Windows XP Windows2003 Unix Linux 等Telnet、FTP SSH、SFTP RDP XWindow VNC Leapftp Cuteftp FlashFXP Netterm Vsftpd Proftpd Serv-u 各种 UNIX 系统各种 Linux 系统Windows 系统网络设

29、备安全设备表 3：OMAUDIT 1000 兼容性说明名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 16 页 - - - - - - - - - 运维安全审计系统技术白皮书12 5典型案例5.1 现状描述某金融机构，其网络拓扑如图所示：总行核心 LANInternet核心交换HA防病毒服务器OA服务器组等综合前置大额支付等小额支付等网络管理服务器测试与试运行区域试运行服务器运维和安全管理区域运维和安全管理区测试与试运行区分支机构互联区核心生产服务器区互联网访问区分行

30、1.加密机核心办公服务器区HA防火墙运行维护人员测试、开发服务器VPNVPN远程运维、厂商技术支持等分行 N图 4：原网络拓扑图该网络划分为多个安全区域，包括生产服务器区、办公服务器区、测试与试运行区、安全运维管理区等，中心通过专线与分支行连接。其中核心业务区域有前置服务器、大小额服务器、卡系统服务器等。办公服务器区为常用的办公服务器等，没有针对重要服务器进行监控审计。对整个机构的安全运维情况，具体有以下几个方面的需求：运维审计需求 ：要求对中心及分支机构的关键IT 服务器进行运维操作审计，详细记录操作内容；权限控制需求 ：严格控制对关键业务主机及网络设备等IT 资源的操作访问权限；外包服务审

31、计要求： 外包人员通过 VPN 对关键 IT 资源的操作进行实时监控、记录，并严格控制其接入的时间和操作权限。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 16 页 - - - - - - - - - 运维安全审计系统技术白皮书13 5.2 部署方案网络中心要求对前置服务器、大小额服务器、卡系统服务器等进行审计，同时对中心核心路由器和核心交换机进行监控审计，并细化所有服务器的访问权限，不同的业务系统只允许相应的管理人员访问。根据以上需求， 在机构中心部署江南科友运维安

32、全审计系统OMAudit 000E ，实现总行运维人员对关键服务器、 网络及安全设备进行身份认证、细粒度授权以及全程的操作内容审计。部署 OMAudit 后的网络拓扑图如下图所示：总行核心LANInternet核心交换HA防病毒服务器OA服务器组等综合前置大额支付等小额支付等网络管理服务器运维安全审计系统 HAC测试与试运行区域试运行服务器运维和安全管理区域运维和安全管理区测试与试运行区分支机构互联区核心生产服务器区互联网访问区分行1分行N.加密机核心办公服务器区HA防火墙运行维护人员测试、开发服务器VPNVPN远程运维、厂商技术支持等HA图 5：部署OMAudit后网络拓扑图5.3 方案特点充分考虑了金融行业的网络安全现状，解决了安全运维无据可查的难题；为内控制度建设提供了技术支撑，满足合规性需求，同时达到了国家监管部门要求；设备旁路部署，不影响网络结构，不会中断业务；设备支持 HA，充分保障了运维工作的连续性；性价比高。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 16 页 - - - - - - - - -