运维安全审计白皮书

运维安全审计系统技术白皮书

1审计要求 ........................................................................................................................................................................... 1

2 解决之道 ................................................................................................................................................................... 2

2.1 OMAUDIT简介 .................................................................................................................................................. 2

2.2

2.3

3 应用环境 ......................................................................................................................................................... 2 认证资质 ......................................................................................................................................................... 3 产品介绍 ................................................................................................................................................................... 4

3.1

3.1.1

3.1.2

3.1.3

3.1.4

3.1.5

3.1.6

3.1.7

3.1.8

3.1.9

3.1.10

3.1.11

3.2

3.3

3.3.1

3.3.2

3.3.3

3.3.4

3.3.5

3.4 系统功能 ......................................................................................................................................................... 4 完整的身份管理和认证 ............................................................................................................................. 4 灵活、细粒度的授权................................................................................................................................. 4 后台资源自动登陆 .................................................................................................................................... 4 实时监控 .................................................................................................................................................... 5 违规操作实时告警与阻断 ......................................................................................................................... 5 完整记录网络会话过程 ............................................................................................................................. 6 详尽的会话审计与回放 ............................................................................................................................. 6 完备的审计报表功能................................................................................................................................. 6 各类应用运维操作审计功能 ..................................................................................................................... 6 可结合ITSM（IT服务管理） ............................................................................................................. 7 其他功能 ................................................................................................................................................ 7 系统部署 ......................................................................................................................................................... 7 系统特点 ......................................................................................................................................................... 9 支持Unix和Windows平台下运维操作审计 ........................................................................................... 9 更严格的审计管理 .................................................................................................................................... 9 分权管理机制 ............................................................................................................................................ 9 部署灵活、操作方便............................................................................................................................... 10 完善的系统安全设计............................................................................................................................... 10 与网络审计类产品比较 ............................................................................................................................... 10 I

运维安全审计系统技术白皮书

4 技术指标 ................................................................................................................................................................. 11

4.1 型号说明 ....................................................................................................................................................... 11

4.2 OMAUDIT 1000 兼容性 ..................................................................................................................................... 11

5 典型案例 ................................................................................................................................................................. 12

5.1

5.2

5.3 现状描述 ....................................................................................................................................................... 12 部署方案 ....................................................................................................................................................... 13 方案特点 ....................................................................................................................................................... 13 II

运维安全审计系统技术白皮书

1 审计要求

针对安然、世通等财务欺诈事件，20xx年出台的《公众公司会计改革和投资者保护法案》（Sarbanes-Oxley Act）对组织治理、财务会计、监管审计制定了新的准则，并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。SOA促使COSO《内部控制-综合框架》及其他框架（如：加拿大的CoCo、英国的Cadbury报告、IIA的SAC、ISACA的COBIT）作为内部控制的标准已获广泛认同。通过促进组织建立完善的内部控制与全面风险管理体系，为有效的组织治理奠定了良好的基础。与此同时，国内相关职能部门亦在指导行业内部控制与风险管理方面进行了有益的探索。如：内部控制审计准则的制定，商业银行、证券公司、保险公司、上市公司、中央企业等内部控制指引、合规风险管理或全面风险管理指引的颁布，都对行业完善内部控制与健全风险管理体系起到了极大的推动作用。

行业监管与合规性遵循要求引导对审计定位与功效的重新审视。审计作为一种独立、客观的活动，通过系统化和规范化的方法,评价和监控组织的风险管理、控制和治理过程的效果，其目的在于为组织增加价值和提高组织的运作效率，帮助组织实现其目标。信息系统作为组织实现其经营目标的重要设施，其风险管理与安全控制需要得到有力保障。由于信息系统的脆弱性、技术的复杂性、操作的人为因素，在设计以预防、减少或消除潜在的风险或风险暴露的安全控制时，还应考虑运维管理与操作监控机制以预防、发现错误或违规事件，对IT风险进行事前防范、事中控制、事后监督和纠正的组合控制。IT审计作为预防性控制的有效补充，并检查、监控控制的适当性与充分性，在信息科技风险管理中发挥极重要作用。

对IT系统进行审计，是控制内部风险的一个重要手段，但大型机构的IT系统构成复杂，操作人员众多，如何有效地执行审计工作，是长期困扰各组织信息科技和风险稽核部门的一个重大课题。

运维安全审计系统技术白皮书

2 解决之道

对任一组织而言，采用基于计算机的审计技术或工具（CAATs, Computer Assisted Audit Techniques/Tools）无疑是实现监管信息化、提升工作绩效的重要途径。但首先需要解决的问题是：组织需要关心哪些类型的审计信息？哪些信息或行为对组织尤为关键？目前通用的审计工具大多从网络层面或服务器日志层面获取较为庞杂的信息，往往会导致关键的管理信息或敏感操作湮没于日常业务数据中，或无法追溯操作行为轨迹、了解操作行为意图，可能影响审计的有效性或效率。

国都兴业因应市场对IT运维审计的需求，集其多年信息安全领域运维管理与安全服务的经验，结合行业最佳实践与合规性要求，率先推出基于硬件服务器平台的“运维安全审计系统（OMAudit）”，针对于核心资产的运维管理，再现关键行为轨迹，探索操作意图，集全局实时监控与敏感过程回放等功能特点，有效解决了信息化监管中的一个核心问题。

2.1 OMAudit简介

“运维安全审计系统（OMAudit）” 目标是为组织IT系统核心服务器的运维操作提供强有力的监控、审计手段，使其切实满足内控管理中的合规性要求。

OMAudit可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计，对策略配置、系统维护、内部访问等进行详细的记录，提供细粒度的审计，并支持操作过程的全程回放。OMAudit弥补了传统审计系统的不足，将运维审计由事件审计提升为内容审计，并将身份认证、授权、管理、审计有机地结合，保证只有合法用户才能使用其拥有运维权限的关键资源。OMAudit为组织在IT操作风险控制、内控安全和合规性等方面提供一套完善、有效的审计手段。

2.2 应用环境

OMAudit支持Telnet、FTP、SSH、SFTP、RDP（Windows Terminal）、Xwindows、VNC、AS400等多种通信协议，支持通信协议以外的Windows资源、应用，支持IBM AIX、Digital UNIX、HP UNIX、SUN Solaris、SCO UNIX、LINUX、WINDOWS等多种操作系统。可广泛应用于金融、政府、电信、证券、邮政、税务、海关、交通等安全需求较高的行业。

运维安全审计系统技术白皮书

2.3 认证资质

“运维安全审计系统（OMAudit）”已获公安部颁发的《计算机信息系统安全专用产品销售许可证》，已通过国家保密局涉密信息系统安全保密评测中心检测。

运维安全审计系统技术白皮书

3 产品介绍

3.1 系统功能

3.1.1 完整的身份管理和认证

为了确保合法用户才能访问其拥有权限的后台资源，解决IT系统中普遍存在的交叉运维而无法定位到具体人的问题，满足审计系统“谁做的”要求，系统提供一套完整的身份管理和认证功能。

? 支持运维用户静态口令、动态口令、LDAP、AD域认证方式；

? 支持管理员静态口令、动态口令、证书KEY等认证方式；

? 支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能；

? 支持用户分组管理；

? 支持用户信息导入导出，方便批量处理。

3.1.2 灵活、细粒度的授权

系统提供基于用户、运维协议、目标主机、运维时间段（年、月、日、周、时间）、会话时长、运维客户端IP等组合的授权功能，实现细粒度授权功能，满足用户实际授权的需求。

? 提供基于用户到资源的授权

? 提供基于用户组到资源的授权

? 提供基于用户到资源组的授权

? 提供基于用户组到资源组的授权

3.1.3 后台资源自动登陆

后台资源自动登陆功能是运维人员通过OMAudit认证和授权后，OMAudit根据配置策略实现后台资源的自动登录。此功能提供了运维人员到后台资源帐户的一种可控对应，同时实现了对后台资源帐户的口令统一保护。

针对不同主机、网络和安全设备的特性，OMAudit提供托管和只托不管两种方式实现运维用户自动登录后台资源。

运维安全审计系统技术白皮书

1、托管方式实现自动登录后台资源

? OMAudit自动获取后台资源帐户信息；

? 根据口令安全策略，OMAudit定期自动修改后台资源帐户口令；

? 根据管理员配置，实现运维用户与后台资源帐户对应，限制帐户的越权使用；

? 运维用户通过OMAudit认证和授权后，OMAudit根据分配的帐户实现自动登录后台

资源。

2、只托不管方式实现自动登录后台资源

? 管理员将后台资源帐户及口令配置到OMAudit中；

? 根据管理员配置，实现运维用户与后台资源帐户对应，限制帐户的越权使用；

? 运维用户通过OMAudit认证和授权后，OMAudit根据分配的帐户实现自动登录后台

资源。

3.1.4 实时监控

? 监控正在运维的会话，信息包括运维用户、运维客户端地址、资源地址、协议、开

始时间等；

? 监控后台资源被访问情况；

? 提供在线运维的操作的实时监控功能。针对命令交互性协议可以图像方式实时监控

正在运维的各种操作，其信息与运维客户端所见完全一致。

3.1.5 违规操作实时告警与阻断

针对运维过程中可能存在潜在操作风险，OMAudit根据用户配置的安全策略实施运维过程中的违规操作检测，对违规操作提供实时告警和阻断，从而达到降低操作风险及提高安全管理与控制的能力。

? 提供用户可配置的告警规则；

? 告警规则支持告警级别、告警分类和与后台资源绑定；

? 在具有自动登录功能的OMAudit上，可实现告警规则与后台资源的帐户级别进行绑

定，针对不同用户实施不同的规则，从而提供更细粒度的操作控制；

? 告警动作支持会话阻断、审计平台告警和邮件告警等。

运维安全审计系统技术白皮书

3.1.6 完整记录网络会话过程

? 系统提供运维协议Telnet、FTP、SSH、SFTP、RDP（Windows Terminal）、Xwindows、

VNC、AS400等网络会话的完整会话记录，完全满足内容审计中信息百分百不丢失的要求。

? 会话信息包括运维用户、运维地址、后台资源地址、资源名、协议、起始时间、终

止时间、流量大小信息；

? 会话信息包括运维过程中所有进出后台资源的数据。

3.1.7 详尽的会话审计与回放

? 运维操作审计以会话为单位，提供当日和条件查询定位。条件查询支持按运维用户、

运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式。

? 针对命令交互方式的协议，提供逐条命令及相关操作结果的显示；

? 提供图像形式的回放，真实、直观、可视地重现当时的操作过程；

? 回放提供快放、慢放、拖拉等方式，方便快速定位和查看；

? 针对命令交互方式的协议，提供按命令进行定位回放；

? 针对RDP、Xwindows、VNC协议，提供按时间进行定位回放。

3.1.8 完备的审计报表功能

OMAudit提供运维人员操作，管理员操作以及违规事件等多种审计报表。

? 提供日常报表，包括今日会话、今日自审计、用户信息、资源信息、权限信息、规

则信息、管理员角色信息等报表；

? 提供会话报表，可根据用户选定时间、用户、资源形成会话报表；

? 自审计操作报表，可根据用户选定时间、管理员、模块形成自审计报表；

? 告警报表，可根据告警类别、级别、资源、运维用户、协议、时间等条件形成报表； ? 综合统计报表，可根据时间、资源、用户等条件形成综合统计报表，报表中包括概

要信息、每个用户操作信息、每个资源被操作信息等。

3.1.9 各类应用运维操作审计功能

OMAudit提供对各类应用的运维操作审计功能，能够提供完整的运维安全审计解决方案。 6

运维安全审计系统技术白皮书

? 业界首创的（VDH, Virtual Desktop Host）虚拟桌面主机安全操作系统设备，完全符

合运维安全审计要求。

? 运维操作全程可控，可做到授权后应用只能访问指定服务，最大降低对后台目标服

务集群的可能安全风险。

? 可对整个运维操作过程进行完整记录，实现详尽的会话审计和回放。

? 可依据用户要求快速实现新应用的发布和审计。

3.1.10可结合ITSM（IT服务管理）

OMAUDIT可与ITSM相结合，可为其优化变更管理流程，加强对变更管理中的风险控制。

? 在运维会话操作中，支持对变更工单录入操作，实现变更过程的监控和审计。

? 支持对现有运维变更管理系统快速集成，为其提供必要的运维操作信息。

? 支持变更工单号事后审计功能，实现及时验收变更过程是否有效，已经快速查找和

定位变更过程中造成的问题。

3.1.11其他功能

系统提供双机热备、日志手工和自动备份、网络维护和性能监控、系统日志重定向、NTP、SNMP、双人符合、密函打印等功能支持。

3.2 系统部署

鉴于企业网络及管理架构的复杂性，OMAudit系统提供了灵活的部署方式，既可以采取串连模式，也可以采用单臂模式接入到企业内部网络中。采用串连模式部署时，OMAudit具备一定程度上的网络控制的功能，可提高核心服务器访问的安全性；采用单臂模式部署时，不改变网络拓扑，安装调试过程简单，可按照企业网络架构的实际情况灵活接入。

运维安全审计系统技术白皮书

图1：单臂模式接入

运维安全审计白皮书