運維安全審計系統

其從功能上講，它綜合了核心繫統運維和安全審計管控兩大主幹功能，從技術實現上講，通過切斷終端計算機對網路和伺服器資源的直接訪問，而採用協定代理的方式，接管了終端計算機對網路和伺服器的訪問。形象地說，終端計算機對目標的訪問，均需要經過運維安全審計的翻譯。我們可以把運維安全審計比喻成一個看門者，所有對網路設備和伺服器的請求都要從他看守的這扇大門經過。因此運維安全審計能夠有效攔截非法訪問、惡意攻擊等，對不合規字元命令進行輸出阻斷，過濾掉所有對目標設備的非法訪問行為。

運維安全審計作為企業信息安全建設不可缺少的組成部分，逐漸受到用戶的關注，是企業安全保障體系中的重要組成部分。

隨著網際網路信息技術的迅速發展，各類信息系統及網路產品層出不窮。尤其是在大中型的實體機構中，快速建設的IT系統正從以前傳統封閉的業務系統向大型關鍵業務系統擴展，所涉及的套用類型也日趨增加。

IT系統的廣泛套用是一柄雙刃劍，一方面帶來了規範、便捷、高效的辦公流程和業務模式，一方面也引發了對IT系統的安全性問題，以及內部運維的防禦難、控制難、追溯難等問題。這些問題威脅著信息中心的安全。如：內部業務數據被篡改、泄露、竊取；惡意傳播病毒、在伺服器訪問非法網站、誤操作，重要伺服器上亂操作等等。

如何對企業內部“信息中心”進行有效地安全把控，現已成為政府、金融、企業必需面對的重要問題，

鑒於以上因素，信息安全建設在加大網路邊界防護、數據通信安全、病毒防護能力等外部網路安全建設的基礎上，同樣不能忽略內部運維安全的建設。引入運維安全管理與操作監控機制以發現並阻止錯誤及違規事件，對IT風險進行事前防範、事中控制、事後追溯的組合管理是十分必要的。

目前， 已經有相關多的廠商開始涉足這個領域，如：江南科友、綠盟、齊治、金萬維、極地、北京普安思等，這些都是目前行業里做的專業且受到企業用戶好評的廠商，但每家廠商的產品所關注的側重又有所差別。

以金萬維運維安全審計系統SSA為例，其產品更側重於運維安全管理，它集單點登錄、賬號管理、身份認證、資源授權、訪問控制和操作審計為一體的新一代運維安全審計產品，它能夠對作業系統、網路設備、安全設備、資料庫等操作過程進行有效的運維操作審計，使運維審計由事件審計提升為操作內容審計，通過系統平台的事前預防、事中控制和事後溯源來全面解決企業的運維安全問題，進而提高企業的IT運維管理水平。

SSA運維審計系統集單點登錄、賬號管理、身份認證、資源授權、訪問控制和操作審計為一體的新一代運維安全審計產品，它能夠對作業系統、網路設備、安全設備、資料庫等操作過程進行有效的運維操作審計，使運維審計由事件審計提升為操作內容審計，通過系統平台的事前預防、事中控制和事後溯源來全面解決企業的運維安全問題，進而提高企業的IT運維管理水平

運維安全審計系統拓撲圖

為解決企業IT系統中普遍存在的因交叉運維而產生的無法定責的問題,SSA系統平台提出了“集中賬號管理“的解決辦法；集中帳號管理可以完成對帳號整個生命周期的監控和管理，而且還降低了企業管理大量用戶帳號的難度和工作量，同時，通過統一的管理還能夠發現帳號使用中存在的安全隱患，並且制定統一、標準的用戶帳號安全策略。針對平台中創建的運維用戶可以支持靜態口令、動態口令、數字證書等多種認證方式；支持密碼強度、密碼有效期、口令嘗試死鎖、用戶激活等安全管理功能；支持用戶分組管理;支持用戶信息導入導出，方便批量處理。

系統提供基於用戶、運維協定、目標主機、運維時間段（年、月、日、周、時間）等組合的授權功能，實現細粒度授權功能，滿足用戶實際授權的需求。授權可基於：用戶到資源、用戶組到資源、用戶到資源組、用戶組到資源組。

單點登錄功能是運維人員通過SSA系統認證和授權後，系統根據配置策略實現後台資源的自動登錄。保證運維人員到後台資源帳號的一種可控對應，同時實現了對後台資源帳號的口令統一保護與管理。系統提供運維用戶自動登錄後台資源的功能。SSA能夠自動獲取後台資源帳號信息並根據口令安全策略，定期自動修改後台資源帳號口令；根據管理員配置，實現運維用戶與後台資源帳號相對應，限制帳號的越權使用；運維用戶通過SSA認證和授權後，SSA根據分配的帳號實現自動登錄後台資源。

監控正在運維的會話：信息包括運維用戶、運維客戶端地址、資源地址、協定、開始時間等；監控後台資源被訪問情況，提供線上運維操作的實時監控功能。針對命令互動性協定，可以實時監控正在運維的各種操作，其信息與運維客戶端所見完全一致。

針對運維過程中可能存在的潛在操作風險，SSA根據用戶配置的安全策略實施運維過程中的違規操作檢測，對違規操作提供實時告警和阻斷，從而達到降低操作風險及提高安全管理與控制的能力。對於非字元型協定的操作能夠實時阻斷。

字元型協定的操作可以通過用戶配置的命令行規則進行規則匹配，實現告警與阻斷。告警動作支持許可權提升、會話阻斷、郵件告警、簡訊告警等。對常見協定能夠記錄完整的會話過程

SSA系統平台能夠對常見的運維協定如SSH/FTP/Telnet/SFTP /Http/Https/RDP/X11/VNC等會話過程進行完整的記錄，以滿足日後審計的需求；審計結果可以錄像和日誌兩種方式呈現，錄像信息包括運維用戶名稱、目標資源名稱、客戶端IP、客戶端計算機名稱、協定名、運維開始時間、結束時間、運維時長等信息

運維人員操作錄像以會話為單位，能夠對用戶名、日期和內容進行單項定位查詢和組合式定位查詢。組合式查詢可按照運維用戶、運維地址、後台資源地址、協定、起始時間、結束時間和操作內容中關鍵字等組合方式進行；針對命令字元串方式的協定，提供逐條命令及相關操作結果的顯示：提供圖像形式的回放，真實、直觀、可視地重現當時的操作過程；回放提供快放、慢放、拖拉等方式，針對檢索的鍵盤輸入的關鍵字能夠直接定位回放；針對RDP、X11、VNC協定，提供按時間進行定位回放的功能。

SSA系統平台能夠對運維人員的日常操作、會話以及管理員對審計平台的操作配置、運維報警次數等進行報表統計分析。報表包括：日常報表、會話報表、自審計操作報表、告警報表、綜合統計報表,並可根據個性需求設計和展現自定義報表。以上報表可以EXCEL格式輸出，並且可以以折線、柱狀、圓餅圖等圖形方式展現出來。

針對用戶的運維需求，SSA推出了業界首創的虛擬桌面主機安全作業系統設備(ESL，E-SoonLink)，通過ESL配合SSA進行審計能夠完全達到審計、控制、授權的要求，配合TSA產品,可實現對資料庫維護工具、pcAnywhere、DameWare等不同工具的運維操作進行監控和審計。

科友運維安全審計系統（HAC）著眼於解決關鍵IT基礎設施運維安全問題。它能夠對Unix和Windows主機、伺服器以及網路、安全設備上的數據訪問進行安全、有效的操作審計，支持實時監控和事後回放。

HAC補了傳統審計系統的不足，將運維審計由事件審計提升為內容審計，集身份認證、授權、審計為一體，有效地實現了事前預防、事中控制和事後審計。

針對安然、世通等財務欺詐事件，2002年出台的《公眾公司會計改革和投資者保護法案》（Sarbanes-Oxley Act）對組織治理、財務會計、監管審計制定了新的準則，並要求組織治理核心如董事會、高層管理、內外部審計在評估和報告組織內部控制的有效性和充分性中發揮關鍵作用。與此同時，國內相關職能部門亦在內部控制與風險管理方面制定了相應的指引和規範。由於信息系統的脆弱性、技術的複雜性、操作的人為因素，在設計以預防、減少或消除潛在風險為目標的安全架構時，引入運維管理與操作監控機制以預防、發現錯誤或違規事件，對IT風險進行事前防範、事中控制、事後監督和糾正的組合管理是十分必要的。

IT系統審計是控制內部風險的一個重要手段，但IT系統構成複雜，操作人員眾多，如何有效地對其進行審計，是長期困擾各組織的信息科技和風險稽核部門的一個重大課題。

江南科友因市場對IT運維審計的需求，集其多年信息安全領域運維管理與安全服務的經驗，結合行業最佳實踐與合規性要求，率先推出基於硬體平台的“運維安全審計系統（HAC）”，針對核心資產的

運維管理，再現關鍵行為軌跡，探索操作意圖，集全局實時監控與敏感過程回放等功能特點，有效解決了信息化監管中的一個關鍵問題。

完整的身份管理和認證

為了確保合法用戶才能訪問其擁有許可權的後台資源，解決IT系統中普遍存在的交叉運維而無法定位到具體人的問題，滿足審計系統“誰做的”要求，系統提供一套完整的身份管理和認證功能。支持靜態口令、動態口令、LDAP、AD域證書KEY等認證方式；

靈活、細粒度的授權

系統提供基於用戶、運維協定、目標主機、運維時間段（年、月、日、周、時間）、會話時長、運維客戶端IP等組合的授權功能，實現細粒度授權功能，滿足用戶實際授權的需求。

後台資源自動登入功能是運維人員通過HAC認證和授權後，HAC根據配置策略實現後台資源的自動登錄。此功能提供了運維人員到後台資源帳戶的一種可控對應，同時實現了對後台資源帳戶的口令統一保護。

提供線上運維的操作的實時監控功能。針對命令互動性協定可以圖像方式實時監控正在運維的各種操作，其信息與運維客戶端所見完全一致。

違規操作實時告警與阻斷

針對運維過程中可能存在潛在操作風險，HAC根據用戶配置的安全策略實施運維過程中的違規操作檢測，對違規操作提供實時告警和阻斷，從而達到降低操作風險及提高安全管理與控制的能力。

完整記錄網路會話過程

系統提供運維協定Telnet、FTP、SSH、SFTP、RDP（Windows Terminal）、Xwindows、VNC、AS400等網路會話的完整會話記錄，完全滿足內容審計中信息百分百不丟失的要求。

詳盡的會話審計與回放

HAC提供視頻回放的審計界面，以真實、直觀、可視的方式重現操作過程。

完備的審計報表功能

HAC提供運維人員操作，管理員操作以及違規事件等多種審計報表。

各類套用運維操作審計功能

HAC提供對各類套用的運維操作審計功能，能夠提供完整的運維安全審計解決方案。可依據用戶要求快速實現新套用的發布和審計。

結合ITSM（IT服務管理）

HAC可與ITSM相結合，可為其最佳化變更管理流程，加強對變更管理中的風險控制

系統特點

支持加密運維協定的審計

領先地解決了SSH、RDP等加密協定的審計，滿足用戶Unix和Windows環境的運維審計要求。

分權管理機制

系統提供設備管理員、運維管理員和審計員三種管理角色，從技術上保證系統管理安全。

更加嚴格的審計管理

系統將認證、授權和審計有機地集成為一體，有效地實現了事前預防、事中控制和事後審計。

部署靈活、操作方便

系統支持單臂、串聯部署模式；支持基於B/S方式的管理、配置和審計。

系統安全設計

精簡的核心和最佳化的TCP/IP協定棧

基於核心態的處理引擎

嚴格的安全訪問控制

基於HTTPS的安全訪問管理、配置和審計

審計信息加密存儲

完善的審計信息備份與恢復機制

鑒於企業網路及管理架構的複雜性，HAC系統提供了靈活的部署方式，既可以採取串連模式，也可以採用單臂模式接入到企業內部網路中。採用串連模式部署時，HAC具備一定程度上的網路控制的功能，可提高核心伺服器訪問的安全性；採用單臂模式部署時，不改變網路拓撲，安裝調試過程簡單，可按照企業網路架構的實際情況靈活接入。

無論串連模式還是在單臂模式，通過HAC訪問IT基礎服務資源的操作都將被詳細的記錄和存儲下來，作為審計的基礎數據。HAC的部署不會對業務系統、網路中的數據流向、頻寬等重要指標產生負面影響，無需在核心伺服器或操作客戶端上安裝任何軟硬體系統。

“運維安全審計系統（HAC）”已獲公安部頒發的《計算機信息系統安全專用產品銷售許可證》，已通過國家保密局涉密信息系統安全保密評測中心檢測，取得涉密信息系統產品檢測證書。通過國家信息安全測評取得信息技術產品安全測評證書。