点击图片查看原图
应用背景 Background
为了保障信息系统的正常运行,IT管理部门必须开展大量的技术维护工作,包括检查、配置、升级、备份等,在IT管理过程中引入第三方支持服务已经成为一种趋势。然而,第三方人员管理本身已经成为一个突出的问题,由于第三方人员能够直接接触企业的核心数据,一纸保密协议并不能真正保护信息系统的安全性,不同背景、角色的运维人员已经给企业的安全带来较大的潜在风险:
1)账号共用情况普遍存在,事故责任认定困难;
2)缺乏细粒度授权手段,访问权限过高带来安全隐患;
3)访问过程缺乏有效监督控制。
由此而产生的误操作、恶意篡改、数据窃取等各种内部安全事故,是当前信息系统面临的最大安全威胁之一。
应用概述 Overview
·运维安全管理系统是技术人员通往机房的监控与门禁。
·运维安全管理系统可以有效控制内外部人员对服务器、网络设备等IT基础设施的操作风险,建立安全的运维操作通道,记录、实时监控并回放所有维护操作过程和结果,识别并阻断违规操作。
本产品可以无缝接入LOGBASE LEC。
应用功能 Features
维护操作人员
1)登陆更方便
只需记一个运维账号/无需自带维护工具/自动提供管理对象/自动代填真实账号
2)操作更安全
误操作提醒/危险操作提醒/最近登陆提醒
运维管理者
访问授权
1)指定人员或组(如:网络维护组、数据库维护组、网站维护人员)
2)指定授权期限
3)指定时间段(如:上班时间、每周一下午、某天下午2点-3点)
4)指定地点(如:指定办公室某台PC、维护区PC)
5)指定设备、应用级账号(如:服务器A、服务器A的Oracle数据库、服务器A的Oracle数据库的AAA账号)
密码自动管理
1) 自动定期修改设备系统账号密码;
2)密码复杂度设定
同步监控
1)实时屏幕监控任意地点同步观察
·手工按需阻断违规访问
2)自动指令分析与处理
·只允许的操作列表(白名单)
·危险操作指令(黑名单)
·自动过滤或阻断违规访问
LOGBASE运维安全管理系统--实时监控界面
事后审计
1)日常审查
·历史记录查询 ·会话明细,操作过程回放·危险会话明细、会话操作指令明细 ·日、周、月分析报告,支持定制 ·SOX审计
报表库
2)事故追查(时间定位/事故对象定位/指令定位)
应用效果 Benefits
·规范运维流程和技术操作行为
形成规范的运维授权管理流程,通过对运维操作内容的记录,提供指令级别的操作控制能力,通过技术手段有效规范运维人员
的操作行为,降低内部安全风险;
·落实IT运维内控管理要求
为落实IT内控管理要求提供技术实现与保障手段,操作规章制度不再是一纸空文;
·提升企业管理效益
简化运维人员操作过程,降低账号、密码管理难度,有效提升企业IT管理效益;
·满足合规要求,降低合规成本
自动分析运维人员关键操作过程,评估访问风险,并提供完整的合规审计报告,降低IT内控审计工作量。
基本参数
·产品架构:LogBase运维安全管理系统采用软硬件一体化设计,标准机架式结构,采用精简优化的嵌入式Linux系统平台。
·部署方式:LogBase采用旁路代理模式,不影响正常业务流量;支持HA双机热备;双机采用底层磁盘同步技术进行双机数据同步,确保双机配置及数据的完全一致性。系统盘采用flash卡单独安装,避免与数据盘共用磁盘。
·管理结构:LogBase采用B/S架构,通过HTTPS方式远程安全管理,无需安装管理客户端;
·网络接口:LogBase拥有2个100/1000M RJ45自适应以太网口;
·数据存储:LogBase系统自带内部存储,有效存储空间不低于1TB,采用RAID1磁盘阵列;
·管理许可:LogBase系统内置1000个主机/设备操作监控许可证
·并发会话数:Logbase支持图形并发会话数>=200;字符型并发会话数>=800;
·支持协议:
1.Logbase支持字符型远程操作协议:SSH、TELNET、RLOGIN、AS400;
2.图形化远程操作协议:RDP、VNC、X11;文件传输协议:FTP、SFTP;
3.数据库远程操作协议:支持ORACLE、MSSQL、Sybase、Mysql、DB2数据库远程访问协议审计;支持通过协议前置机进行协议扩展,支持Radmin、Pcanywhere、 HTTP/HTTPS,支持定制开发其他访问协议;
·服务器访问方式:
1.LogBase支持Web访问方式:通过系统的Web页面java控件直接访问服务器;可通过WEB页面调用本地工具(如putty)直接访问服务器;
2.LogBase支持客户端访问方式:通过管理员常用的客户端(如SecureCRT、PUTTY、Mstsc、PLsql、SQLplus等)访问;
3.LogBase支持登录菜单访问:客户端访问审计系统即可显示用户能访问的资源清单菜单
·身份认证及访问授权:
1.LogBase支持多种认证方式:本地密码认证、USBKey及第三方CA证书认证、RSA动态口令认证、第三方RADIUS协议服务系统认证、LDAP认证、AD域认证以及短信认证;内置配置管理员、密码管理员、审计管理员、系统管理员、系统审计员、普通用户等管理角色;支持SSO功能,使用人员不必知道服务器帐号及密码,无需进行二次登录认证;支持基于用户(用户组)、目标设备(设备组)、系统帐号、协议类型、生效时间范围、IP地址限制等设置访问控制策略;
2.支持审批模式:运维用户访问特定的服务器设备必须经过管理员的临时审批授权才能进行,否则无法进行任何操作;支持备注模式:运维用户访问服务器前必须先填写该次访问的维护目的等内容,否则不能进行访问操作;向导式的配置过程;
·访问控制及异常告警: LogBase支持按用户(用户组)、目标设备(设备组)、系统帐号、命令集和生效时间等内容或按访问授权策略设定安全事件规则;支持指令黑白名单;支持对违规操作的指令(黑名单)进行告警、忽略处理、自动阻断或二次审批;支持以屏幕、邮件、SYSLOG、Snmp Trap、短信方式实时发送告警信息;
·用户管理功能:LogBase支持添加、删除、修改以及启用、停用运维用户;
·操作行为记录:
1.LogBase支持针对操作进行记录及审计;记录发生时间、发生地址、服务端IP、客户端IP、操作指令、返回信息、操作备注、客户端端口、服务器端口、运维用户帐号、运维用户姓名、审批用户帐号、审批用户姓名、服务器用户名等信息;
2.LogBase能够记录RDP协议中的活动窗口名称、删除文件等动作,并能记录RDP会话中的键盘输入信息;能在线保存ftp/sftp传输的文件内容;可下载文件备份,并可规划用于存放传输文件备份的空间大小。
·会话过程回放:LogBase支持以WEB在线视频回放方式重现维护人员对服务器的所有操作过程,无须在客户端安装播放客户端软件;提供离线播放客户端;可下载回放记录文件进行播放。支持倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作;
·密码管理:Logbase支持按设备(设备组)、系统帐号、计划开始时间、改密周期、密码策略、改密结果发送等生成详细的改密计划,到期自动执行;支持改密结果自动发送至密码管理员或FTP上传;支持手工下载全部或部分主机密码功能;
