IT运维综合管控解决方案
针对安然、世通等财务欺诈事件,2002年出台的《公众公司会计改革和投资者保护法案》(Sarbanes-Oxley Act)对组织治理、财务会计、监管审计制定了新的准则,并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。与此同时,国内相关职能部门亦在内部控制与风险管理方面制定了相应的指引和规范。 由于信息系统的脆弱性、技术的复杂性、操作的人为因素,在设计以预防、减少或消除潜在风险为目标的安全架构时,引入运维管理与操作监控机制以预防、发现错误或违规事件,对IT风险进行事前防范、事中控制、事后监督和纠正的组合管理是十分必要的。 IT系统审计是控制内部风险的一个重要手段,但IT系统构成复杂,操作人员众多,如何有效地对其进行审计,是长期困扰各组织的信息科技和风险稽核部门的一个重大课题。
一、需求分析
系统的运维人员是系统的“特殊”使用团队,一般具有系统的高级权限,对运维人员的行为审计日渐成为安全管理的必备部分,尤其是目前很多企业为了降低网络与系统的维护成本,采用租用网络或者运维外包的方式,由企业外部人员管理网络,由外部维护人员产生的安全案例已经逐渐在上升的趋势。
运维人员具有“特殊”的权限,又往往是各种业务审计关注不到的地方,网络行为审计可以审计运维人员经过网络进行的工作行为,但对设备的直接操作管理,比如Console方式就没有记录。
运维审计的方式不同于其他审计,尤其是运维人员为了安全的要求,开始大量采用加密方式,如RDP、SSL等,加密口令在连接建立的时候动态生成,通过链路镜像方式是无法审计的。所以运维审计是一种“制度+技术”的强行审计。一般是运维人员必须先登录身份认证的“堡垒机”(或通过路由设置方式把运维的管理连接全部转向运维审计服务器),所有运维工作通过该堡垒机进行,这样就可以记录全部的运维行为。由于堡垒机是运维的必然通道,在处理RDP等加密协议时,可以由堡垒机作为加密通道的中间代理,从而获取通讯中生成的密钥,也就可以对加密管理协议信息进行审计。
二、运维安全审计面临的挑战
IT运维人员一般应用命令行方式(Telnet、SSH)、和图形化方式(RDP、VNC)、客户端软件等方式对数据中心的服务器进行管理,这些方式虽然方便、灵活,但接入点多,存在重大安全隐患,并难于管理,特别是,面对成千上万台的设备,一个IT经理或者一个CIO如何能确保所有IT运维人员的操作都是安全的? 倘若有违规操作,如果发现并有效阻止? 若阻止不及,如何认定事故责任?
三、IT运维综合管控解决方案
泰然神州Zendeep神电运维审计系统是用于数据中心IT运维的集中管理和审计系统,可以对基于Telnet、SSH、RDP、VNC等协议的访问操作进行过程的抓取,从而可以录象方式对所有运维人员的所有操作进行记录,并具备强大的搜索功能,可对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取——从而达到真正意义上的审计与风险控制。
泰然神州Zendeep运维审计方案的功能架构模块(下图)
泰然神州Zendeep运维审计系统管理平台,不仅可以对IT运维人员应用带内管理工具(Telnet、SSH、RDP、VNC等协议)的管理进行全面的集中管理与审计,可以制定有效的控制策略,进行访问授权、访问阻断,另外也可以根据不同的参数搜索调用历史操作画面,并进行画面回放、查看审计日志、从而进行有效的安全防护。
泰然神州运维审计系统由管理控制台、应用代理服务器、客户端安全插件和数据库四大部分构成。 管理控制台:
管理控制台负责实现系统的用户管理、代理访问策略管理、阻断策略管理、审计日志的查看与审计、对审计会话的画面回放和系统的基础配置等功能
管理控制台是一个基于Web的操作界面,可以对一个ICS对应的多台ICA的监控结果进行集中化的管理 应用代理服务器:
应用代理服务器用于实现代理应用的集中管理,对用户和客户机进行合法性校验,受符合策略要求的代理应用连接请求
提供TCP阻断功能,对于网络中的非法网络连接可以根据阻断策略自动实施阻断操作 数据库:
日志审计数据库,用于记录用户信息、策略信息和连接会话的日志信息等内容
文件数据库,专门用于记录应用代理服务器所记录每个连接会话的录像信息,录像信息与日志信息直接关联,直接通过查询日志信息后播放对应的录像文件,真实再现当时的操作画面 客户端安全插件:
终端客户机及和IT运维管控系统后台之间建立加密的连接通道 终端安全登陆认证设备接口
四、方案应用部署
泰然神州Zendeep运维审计系统部署网络拓扑架构图:
五、方案特点
泰然神州Zendeep运维审计方案特点:
集中管理,提供后台设备、数据库及指定系统统一的操作维护入口,实现单点登录。 身份管理,提供设置实名制登陆帐号,详细记录后台数据库全部操作过程。
访问控制,提供管理员根据不同的用户配置不同的操作权限,实现命令级别的严格控制,确保合法用户在其系统权限范围内访问授权设备。
命令防火墙,实现当不同用户帐号与同一系统帐号关联时,以命令为核心建立更加细粒度的权限控制。 操作审计,对用户实施的操作提供完整,详细记录服务。并可以安全地存放于管理平台中,管理平台能以方便、友好的界面方式提供对这些记录的操作查看,搜索,回放等审计功能。 支持协议:Telnet、SSH、RDP、VNC等 强制主机审计,所有运维行为强制经过IT运维管控系统跳转 IT运维管控系统所在服务器安全加固
六、泰然神州Zendeep运维审计系统方案效益分析
通过实施泰然神州Zendeep运维审计系统方案,安全审计工作可以得到有效简化,可以进行全面的集中管理与审计,真正做到运维全程操作可见﹑可控﹑可查。
1、本系统可对所有用户进行集中管理,包括本地管理用户及远程管理的用户。可以通过本系统行使如下功能:用户的创建、修改、删除和查询、用户的启用和挂起控制、用户的权限管理功能。
2、可以对历史操作画面回放,掌握第一手客观公正的操作记录。
3、对所有通过基于Telnet、SSH、RDP、VNC等协议的访问操作,进行全生命周期录像,可实现对历史操作过程的真实再现。
4、根据用户设置的规则、关键字、用户名称、目标地址、源地址负载名称、部门名称、描述信息和时间进行审计信息的查询检索,对查询的结果进行回放,再现历史操作画面。
5、本系统对通过应用代理服务器访问的负载的操作信息进行记录,包括访问负载IP地址、客户端地址、运维用户名称、操作开始和结束时间等等,管理人员可以通过时间、客户端类别(TELNET、SSH、RDP、VNC)、负载IP地址、客户端IP地址和运维用户对审计信息进行查询。
6、可以制定有效的控制策略——将风险远远阻在门外,访问授权控制策略:可以根据企业内控与管理的要求配置应用代理访问控制策略,经过授权的客户端可以通过代理访问负载,未经过授权的客户端则不可以访问负载。
7、阻断访问控制策略:通过访问控制策略阻断控制,可以强制用户必须通过应用代理访问负载。
