运维安全审计 系统技术白皮书
运维安全审计系统技术白皮书
目 录
1审计要求 ........................................................................................................................................................................... 1
2 解决之道 ................................................................................................................................................................... 2
2.1 OMAUDIT简介 .................................................................................................................................................. 2
2.2
2.3
3 应用环境 ......................................................................................................................................................... 2 认证资质 ......................................................................................................................................................... 3 产品介绍 ................................................................................................................................................................... 4
3.1
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
3.1.7
3.1.8
3.1.9
3.1.10
3.1.11
3.2
3.3
3.3.1
3.3.2
3.3.3
3.3.4
3.3.5
3.4 系统功能 ......................................................................................................................................................... 4 完整的身份管理和认证 ............................................................................................................................. 4 灵活、细粒度的授权................................................................................................................................. 4 后台资源自动登陆 .................................................................................................................................... 4 实时监控 .................................................................................................................................................... 5 违规操作实时告警与阻断 ......................................................................................................................... 5 完整记录网络会话过程 ............................................................................................................................. 6 详尽的会话审计与回放 ............................................................................................................................. 6 完备的审计报表功能................................................................................................................................. 6 各类应用运维操作审计功能 ..................................................................................................................... 6 可结合ITSM(IT服务管理) ............................................................................................................. 7 其他功能 ................................................................................................................................................ 7 系统部署 ......................................................................................................................................................... 7 系统特点 ......................................................................................................................................................... 9 支持Unix和Windows平台下运维操作审计 ........................................................................................... 9 更严格的审计管理 .................................................................................................................................... 9 分权管理机制 ............................................................................................................................................ 9 部署灵活、操作方便............................................................................................................................... 10 完善的系统安全设计............................................................................................................................... 10 与网络审计类产品比较 ............................................................................................................................... 10 I
运维安全审计系统技术白皮书
4 技术指标 ................................................................................................................................................................. 11
4.1 型号说明 ....................................................................................................................................................... 11
4.2 OMAUDIT 1000 兼容性 ..................................................................................................................................... 11
5 典型案例 ................................................................................................................................................................. 12
5.1
5.2
5.3 现状描述 ....................................................................................................................................................... 12 部署方案 ....................................................................................................................................................... 13 方案特点 ....................................................................................................................................................... 13 II
运维安全审计系统技术白皮书
1 审计要求
针对安然、世通等财务欺诈事件,20xx年出台的《公众公司会计改革和投资者保护法案》(Sarbanes-Oxley Act)对组织治理、财务会计、监管审计制定了新的准则,并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。SOA促使COSO《内部控制-综合框架》及其他框架(如:加拿大的CoCo、英国的Cadbury报告、IIA的SAC、ISACA的COBIT)作为内部控制的标准已获广泛认同。通过促进组织建立完善的内部控制与全面风险管理体系,为有效的组织治理奠定了良好的基础。与此同时,国内相关职能部门亦在指导行业内部控制与风险管理方面进行了有益的探索。如:内部控制审计准则的制定,商业银行、证券公司、保险公司、上市公司、中央企业等内部控制指引、合规风险管理或全面风险管理指引的颁布,都对行业完善内部控制与健全风险管理体系起到了极大的推动作用。
行业监管与合规性遵循要求引导对审计定位与功效的重新审视。审计作为一种独立、客观的活动,通过系统化和规范化的方法,评价和监控组织的风险管理、控制和治理过程的效果,其目的在于为组织增加价值和提高组织的运作效率,帮助组织实现其目标。信息系统作为组织实现其经营目标的重要设施,其风险管理与安全控制需要得到有力保障。由于信息系统的脆弱性、技术的复杂性、操作的人为因素,在设计以预防、减少或消除潜在的风险或风险暴露的安全控制时,还应考虑运维管理与操作监控机制以预防、发现错误或违规事件,对IT风险进行事前防范、事中控制、事后监督和纠正的组合控制。IT审计作为预防性控制的有效补充,并检查、监控控制的适当性与充分性,在信息科技风险管理中发挥极重要作用。
对IT系统进行审计,是控制内部风险的一个重要手段,但大型机构的IT系统构成复杂,操作人员众多,如何有效地执行审计工作,是长期困扰各组织信息科技和风险稽核部门的一个重大课题。
1
运维安全审计系统技术白皮书
2 解决之道
对任一组织而言,采用基于计算机的审计技术或工具(CAATs, Computer Assisted Audit Techniques/Tools)无疑是实现监管信息化、提升工作绩效的重要途径。但首先需要解决的问题是:组织需要关心哪些类型的审计信息?哪些信息或行为对组织尤为关键?目前通用的审计工具大多从网络层面或服务器日志层面获取较为庞杂的信息,往往会导致关键的管理信息或敏感操作湮没于日常业务数据中,或无法追溯操作行为轨迹、了解操作行为意图,可能影响审计的有效性或效率。
国都兴业因应市场对IT运维审计的需求,集其多年信息安全领域运维管理与安全服务的经验,结合行业最佳实践与合规性要求,率先推出基于硬件服务器平台的“运维安全审计系统(OMAudit)”,针对于核心资产的运维管理,再现关键行为轨迹,探索操作意图,集全局实时监控与敏感过程回放等功能特点,有效解决了信息化监管中的一个核心问题。
2.1 OMAudit简介
“运维安全审计系统(OMAudit)” 目标是为组织IT系统核心服务器的运维操作提供强有力的监控、审计手段,使其切实满足内控管理中的合规性要求。
OMAudit可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计,对策略配置、系统维护、内部访问等进行详细的记录,提供细粒度的审计,并支持操作过程的全程回放。OMAudit弥补了传统审计系统的不足,将运维审计由事件审计提升为内容审计,并将身份认证、授权、管理、审计有机地结合,保证只有合法用户才能使用其拥有运维权限的关键资源。OMAudit为组织在IT操作风险控制、内控安全和合规性等方面提供一套完善、有效的审计手段。
2.2 应用环境
OMAudit支持Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、VNC、AS400等多种通信协议,支持通信协议以外的Windows资源、应用,支持IBM AIX、Digital UNIX、HP UNIX、SUN Solaris、SCO UNIX、LINUX、WINDOWS等多种操作系统。可广泛应用于金融、政府、电信、证券、邮政、税务、海关、交通等安全需求较高的行业。
2
运维安全审计系统技术白皮书
2.3 认证资质
“运维安全审计系统(OMAudit)”已获公安部颁发的《计算机信息系统安全专用产品销售许可证》,已通过国家保密局涉密信息系统安全保密评测中心检测。
3
运维安全审计系统技术白皮书
3 产品介绍
3.1 系统功能
3.1.1 完整的身份管理和认证
为了确保合法用户才能访问其拥有权限的后台资源,解决IT系统中普遍存在的交叉运维而无法定位到具体人的问题,满足审计系统“谁做的”要求,系统提供一套完整的身份管理和认证功能。
? 支持运维用户静态口令、动态口令、LDAP、AD域认证方式;
? 支持管理员静态口令、动态口令、证书KEY等认证方式;
? 支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能;
? 支持用户分组管理;
? 支持用户信息导入导出,方便批量处理。
3.1.2 灵活、细粒度的授权
系统提供基于用户、运维协议、目标主机、运维时间段(年、月、日、周、时间)、会话时长、运维客户端IP等组合的授权功能,实现细粒度授权功能,满足用户实际授权的需求。
? 提供基于用户到资源的授权
? 提供基于用户组到资源的授权
? 提供基于用户到资源组的授权
? 提供基于用户组到资源组的授权
3.1.3 后台资源自动登陆
后台资源自动登陆功能是运维人员通过OMAudit认证和授权后,OMAudit根据配置策略实现后台资源的自动登录。此功能提供了运维人员到后台资源帐户的一种可控对应,同时实现了对后台资源帐户的口令统一保护。
针对不同主机、网络和安全设备的特性,OMAudit提供托管和只托不管两种方式实现运维用户自动登录后台资源。
4
运维安全审计系统技术白皮书
1、托管方式实现自动登录后台资源
? OMAudit自动获取后台资源帐户信息;
? 根据口令安全策略,OMAudit定期自动修改后台资源帐户口令;
? 根据管理员配置,实现运维用户与后台资源帐户对应,限制帐户的越权使用;
? 运维用户通过OMAudit认证和授权后,OMAudit根据分配的帐户实现自动登录后台
资源。
2、只托不管方式实现自动登录后台资源
? 管理员将后台资源帐户及口令配置到OMAudit中;
? 根据管理员配置,实现运维用户与后台资源帐户对应,限制帐户的越权使用;
? 运维用户通过OMAudit认证和授权后,OMAudit根据分配的帐户实现自动登录后台
资源。
3.1.4 实时监控
? 监控正在运维的会话,信息包括运维用户、运维客户端地址、资源地址、协议、开
始时间等;
? 监控后台资源被访问情况;
? 提供在线运维的操作的实时监控功能。针对命令交互性协议可以图像方式实时监控
正在运维的各种操作,其信息与运维客户端所见完全一致。
3.1.5 违规操作实时告警与阻断
针对运维过程中可能存在潜在操作风险,OMAudit根据用户配置的安全策略实施运维过程中的违规操作检测,对违规操作提供实时告警和阻断,从而达到降低操作风险及提高安全管理与控制的能力。
? 提供用户可配置的告警规则;
? 告警规则支持告警级别、告警分类和与后台资源绑定;
? 在具有自动登录功能的OMAudit上,可实现告警规则与后台资源的帐户级别进行绑
定,针对不同用户实施不同的规则,从而提供更细粒度的操作控制;
? 告警动作支持会话阻断、审计平台告警和邮件告警等。
5
运维安全审计系统技术白皮书
3.1.6 完整记录网络会话过程
? 系统提供运维协议Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、
VNC、AS400等网络会话的完整会话记录,完全满足内容审计中信息百分百不丢失的要求。
? 会话信息包括运维用户、运维地址、后台资源地址、资源名、协议、起始时间、终
止时间、流量大小信息;
? 会话信息包括运维过程中所有进出后台资源的数据。
3.1.7 详尽的会话审计与回放
? 运维操作审计以会话为单位,提供当日和条件查询定位。条件查询支持按运维用户、
运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式。
? 针对命令交互方式的协议,提供逐条命令及相关操作结果的显示;
? 提供图像形式的回放,真实、直观、可视地重现当时的操作过程;
? 回放提供快放、慢放、拖拉等方式,方便快速定位和查看;
? 针对命令交互方式的协议,提供按命令进行定位回放;
? 针对RDP、Xwindows、VNC协议,提供按时间进行定位回放。
3.1.8 完备的审计报表功能
OMAudit提供运维人员操作,管理员操作以及违规事件等多种审计报表。
? 提供日常报表,包括今日会话、今日自审计、用户信息、资源信息、权限信息、规
则信息、管理员角色信息等报表;
? 提供会话报表,可根据用户选定时间、用户、资源形成会话报表;
? 自审计操作报表,可根据用户选定时间、管理员、模块形成自审计报表;
? 告警报表,可根据告警类别、级别、资源、运维用户、协议、时间等条件形成报表; ? 综合统计报表,可根据时间、资源、用户等条件形成综合统计报表,报表中包括概
要信息、每个用户操作信息、每个资源被操作信息等。
3.1.9 各类应用运维操作审计功能
OMAudit提供对各类应用的运维操作审计功能,能够提供完整的运维安全审计解决方案。 6
运维安全审计系统技术白皮书
? 业界首创的(VDH, Virtual Desktop Host)虚拟桌面主机安全操作系统设备,完全符
合运维安全审计要求。
? 运维操作全程可控,可做到授权后应用只能访问指定服务,最大降低对后台目标服
务集群的可能安全风险。
? 可对整个运维操作过程进行完整记录,实现详尽的会话审计和回放。
? 可依据用户要求快速实现新应用的发布和审计。
3.1.10可结合ITSM(IT服务管理)
OMAUDIT可与ITSM相结合,可为其优化变更管理流程,加强对变更管理中的风险控制。
? 在运维会话操作中,支持对变更工单录入操作,实现变更过程的监控和审计。
? 支持对现有运维变更管理系统快速集成,为其提供必要的运维操作信息。
? 支持变更工单号事后审计功能,实现及时验收变更过程是否有效,已经快速查找和
定位变更过程中造成的问题。
3.1.11其他功能
系统提供双机热备、日志手工和自动备份、网络维护和性能监控、系统日志重定向、NTP、SNMP、双人符合、密函打印等功能支持。
3.2 系统部署
鉴于企业网络及管理架构的复杂性,OMAudit系统提供了灵活的部署方式,既可以采取串连模式,也可以采用单臂模式接入到企业内部网络中。采用串连模式部署时,OMAudit具备一定程度上的网络控制的功能,可提高核心服务器访问的安全性;采用单臂模式部署时,不改变网络拓扑,安装调试过程简单,可按照企业网络架构的实际情况灵活接入。
7
运维安全审计系统技术白皮书
图1:单臂模式接入
8
运维安全审计系统技术白皮书
图2:串联模式接入
无论串连模式还是在单臂模式,通过OMAudit访问IT基础服务资源的操作都将被详细的记录和存储下来,作为审计的基础数据。OMAudit的部署不会对业务系统、网络中的数据流向、带宽等重要指标产生负面影响,无需在核心服务器或操作客户端上安装任何软硬件系统。
下图是OMAudit和VDH配合完成解决方案时的网络架构,其中一台OMAudit可以添加多台VDH主机系统。
运维用户
VDH
图3. VDH配合OMAudit实现应用审计。
3.3 系统特点
3.3.1 支持Unix和Windows平台下运维操作审计
领先地解决了SSH、RDP等加密运维协议的审计,满足用户在Unix和Windows环境的运维操作审计需求。
3.3.2 更严格的审计管理
系统集认证、授权、管理和审计有机地集成为一体,有效地实现了事前预防、事中控制和事后审计。
3.3.3 分权管理机制
系统提供设备管理员、运维管理员和审计员三种管理角色,并支持灵活地配置更细的角色,从技术上保证系统管理安全。
9
运维安全审计系统技术白皮书
3.3.4 部署灵活、操作方便
? 系统支持单臂、串接部署模式
? 支持基于B/S实现系统管理、配置
? 审计平台提供了功能齐全、操作方便、展现良好的审计管理功能
3.3.5 完善的系统安全设计
? 精简的内核和优化的TCP/IP协议栈
? 基于HTTPS/SSL的自身安全管理与审计
? 严格的安全访问控制和管理员身份认证支持强认证
? 审计信息加密存储
? 完善的审计信息备份机制
? 支持双机热备
3.4 与同类产品比较
表1:同类产品对比
10
运维安全审计系统技术白皮书
4 技术指标
4.1 型号说明
表2:OMAUDIT参数说明
4.2 OMAudit 1000 兼容性
表3:OMAUDIT 1000 兼容性说明
11
运维安全审计系统技术白皮书
5 典型案例
5.1 现状描述
某金融机构,其网络拓扑如图所示:
图4:原网络拓扑图
该网络划分为多个安全区域,包括生产服务器区、办公服务器区、测试与试运行区、安全运维管理区等,中心通过专线与分支行连接。其中核心业务区域有前置服务器、大小额服务器、卡系统服务器等。办公服务器区为常用的办公服务器等,没有针对重要服务器进行监控审计。
对整个机构的安全运维情况,具体有以下几个方面的需求:
? 运维审计需求:要求对中心及分支机构的关键IT服务器进行运维操作审计,详细记
录操作内容;
? 权限控制需求:严格控制对关键业务主机及网络设备等IT资源的操作访问权限; ? 外包服务审计要求:外包人员通过VPN对关键IT资源的操作进行实时监控、记录,
并严格控制其接入的时间和操作权限。
12
运维安全审计系统技术白皮书
5.2 部署方案
网络中心要求对前置服务器、大小额服务器、卡系统服务器等进行审计,同时对中心核心路由器和核心交换机进行监控审计,并细化所有服务器的访问权限,不同的业务系统只允许相应的管理人员访问。
根据以上需求,在机构中心部署江南科友运维安全审计系统OMAudit 000E,实现总行运维人员对关键服务器、网络及安全设备进行身份认证、细粒度授权以及全程的操作内容审计。部署OMAudit后的网络拓扑图如下图所示:
图5:部署OMAudit后网络拓扑图
5.3 方案特点
? 充分考虑了金融行业的网络安全现状,解决了安全运维无据可查的难题;
? 为内控制度建设提供了技术支撑,满足合规性需求,同时达到了国家监管部门要求; ? 设备旁路部署,不影响网络结构,不会中断业务;
? 设备支持HA,充分保障了运维工作的连续性;
? 性价比高。
13
企业内部审计计划书写作技巧【概念】企业内部审计计划书,是指企业为对内部控制的有效性、财务信息的真实性和完整性以及经营活动的效率和效…
20xx年度内部审计计划书公司领导根据公司的20xx年度内审工作计划和公司经营管理的需要我部计划近期对公司开展20xx年度内部审计…
审计计划书公司审计计划书为了做好本公司年度内部审计特制订本审计计划书以明确审计目标审计对象及范围审计内容及程序审计报告全体审计人员…
广东中铁产业集团审计计划书审计项目索引号审计项目审计范围审计期间编制人日期审计目的审计重点1所需审计的内容2所需执行的审计程序和方…
企业审计计划书范本一评审会计报表的内部制度一调查了解并描述报表编制的内控制度1调查了解会计报表编制的岗位责任控制情况即看各环节的工…
IT运维问题分析报告为提高IT运维用户服务感知满意度提高运维工作效率完善运维基础设施建设现对IT运维工作中存在的紧迫性问题进行分析…
海量管理资源免费下载管理资源吧致公司总经理呈公司财务总监由内审部签发时20xx年11月04日编号XXX内审字20xx第号XXX有限…
自动化运维平台立项报告1项目名称自动化运维平台2现状分析我部承担了XXXX等业务系统目前我部已有的IT基础设施包括XXX台服务器运…
卡西亚IT运维服务自动化体检报告导语通过对于运维自动化的实施优势以及为企业实际节省的支出预估可知依赖于传统IT服务模式的公司会已逐…
目录1运维现状和风险分析311客户运维管理现状312操作风险分析52解决方案621方案目标622方案实现的功能63方案部署结构83…
原**局局长***同志离任审计述职报告(20xx年x月x日)我于20xx年x月-20xx年x月担任县**局局长,20xx年x月因工…