业务特点
目前某银行日常运维的安全现状如下:
1)目前对服务器的缺乏必要的审计手段,仅能通过监控录像、双人分段或专人保存密码、操作系统日志结合手工记录操作日志等管理办法,无法追溯操作人员在服务器上的操作过程、了解操作人员行为意图,并且这样的管理成本很高,很难做到长期照章执行。
2)对服务器的维护和管理依赖于操作系统的口令认证,口令具有可被转授、被窥探及易被遗忘等弱点,另外,在实际环境中还存在多人共用一个账号甚至经常多人掌握Root权限帐户密码等现象,使得管理存在很大的安全漏洞,直接威胁服务器安全。
3)针对许多外包服务商、厂商技术支持人员、项目集成商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时,无法有效的记录其操作过程、维护内容,极容易泄露核心机密数据或遭到潜在的恶意破坏。
某银行对其信息安全建设一直比较重视,处于同行业较高水平,但是其运维安全管理、内控机制等方面也存在上述问题,因此针对运维管理的具体需求如下:
1)支持日常维护人员针对AIX、Linux主机设备,主流网络设备、Windows服务器的进行的运行维护操作审计;
2)审计协议支持SSH、SFTP、RDP等,同时支持SSO登录;
3)详细的权限分配功能,可以根据时间、登录IP、目标资源等进行详细授权,并可集成行里双因素认证;
4)对于被审计系统、设备支持密码安全管理功能;
5)支持按时间、用户名、被审计设备、命令等进行的定制报表,并可以导出Excel或PDF等格式报表;
6)审计结果以视频回访形式展现出来,并可以根据需求定位到某特定命令;
7)设备支持硬件冗余方式,并支持HA。
解决方案
根据江南科友HAC支持的部署模式,结合某银行目前网络及安全现状,其逻辑部署如下:
部署说明:
*针对运维审计对安全的特殊要求,推荐在某银行DC核心交换机或二层接入交换上划分出“安全运维网段”,并使该网段路由可达到任何区域;
*在安全运维网段部署2台HAC 1000E,单臂模式,实现HA,保障设备的高可用性;
*在核心PIX作严格的安全策略,只允许主机、网络、安全等维护人员(行内、行外)通过HAC访问服务器、各区域,而不允许直接访问这些关键资源;
*另外,在该安全运维网段可以部署运维管理主机,作为远程操作终端,用户经过HAC后,到达该管理主机,管理主机访问后台服务器。
针对主机服务器、网络安全设备的审计
实现过程为:
1) 主机维护人员(行内、行外)首先经过HAC进行身份认证;
2) HAC身份认证通过后,进行授权,指定该主机维护人员可以访问的后台资源;
3) HAC将访问请求自动转发到后台资源。
在这个过程中,运维人员的所有操作都被HAC安全记录下来,并可实现了数据重组和视频回放,完全再现了操作内容和行为轨迹。
其他特殊客户端运维审计
实现过程为:
1) 针对特殊客户端(如IBM专用客户端、数据库客户端)维护人员(行内、行外)首先经过HAC进行身份认证;
2) HAC身份认证通过且授权后,通过RDP或其他协议访问到运维管理主机(windows服务器或Unix服务器,该服务器上安装特殊运维客户端软件);
3) 运维管理主机访问后台特殊应用资源。
在这个过程中,运维人员的所有操作都被HAC安全记录下来,并可实现了数据重组和视频回放,完全再现了操作内容和行为轨迹。
方案特点
1)为用户IT基础设施口令统一管理提供一种有效的解决方案,提高了口令管理员的工作效率;
2) 针对用户复杂的IT环境,提供了一种完备、有效的运维安全管理手段,最小化降低IT操作风险;
3)提供一种有效技术手段满足信息安全、IT系统运维管理、企业遵规三个方面的要求。