LogBase運(yùn)維安全審計(jì)系統(tǒng)技術(shù)白皮書

1、LogBase運(yùn)維安全審計(jì)系統(tǒng)技術(shù)白皮書 杭州思福迪信息技術(shù)有限公司 2010版權(quán)講明 版權(quán)所有 2005-2010，杭州思福迪信息技術(shù)有限公司本文件中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特不注明，版權(quán)均屬杭州思福迪信息技術(shù)有限公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法愛護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)杭州思福迪信息技術(shù)有限公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文件的任何片斷。商標(biāo)信息LogBase是杭州思福迪信息技術(shù)有限公司注冊商標(biāo)，受商標(biāo)法愛護(hù)。公司信息網(wǎng)址： E-mail：support地址： 杭州市文一西路75號3號樓6樓 熱線: 400-678-1500 電話： 05

2、71-88923222 傳真： 錄 TOC o 1-3 h z u HYPERLINK l _Toc252723864 一、前言 PAGEREF _Toc252723864 h 4 HYPERLINK l _Toc252723865 二、什么緣故需要運(yùn)維審計(jì)系統(tǒng) PAGEREF _Toc252723865 h 5 HYPERLINK l _Toc252723866 三、LogBase審計(jì)產(chǎn)品概述 PAGEREF _Toc252723866 h 6 HYPERLINK l _Toc252723867 3.1系統(tǒng)架構(gòu) PAGEREF _Toc252723867 h 6

3、 HYPERLINK l _Toc252723868 3.2技術(shù)原理 PAGEREF _Toc252723868 h 7 HYPERLINK l _Toc252723869 3.3支持協(xié)議清單 PAGEREF _Toc252723869 h 8 HYPERLINK l _Toc252723870 四、要緊功能介紹 PAGEREF _Toc252723870 h 9 HYPERLINK l _Toc252723871 4.1統(tǒng)一用戶身份認(rèn)證 PAGEREF _Toc252723871 h 9 HYPERLINK l _Toc252723872 4.2訪問權(quán)限操縱 PAGEREF _Toc2527

4、23872 h 9 HYPERLINK l _Toc252723873 4.3服務(wù)器密碼治理 PAGEREF _Toc252723873 h 9 HYPERLINK l _Toc252723874 4.4會話同步監(jiān)控 PAGEREF _Toc252723874 h 10 HYPERLINK l _Toc252723875 4.5異常行為告警 PAGEREF _Toc252723875 h 10 HYPERLINK l _Toc252723876 4.6操作行為記錄 PAGEREF _Toc252723876 h 10 HYPERLINK l _Toc252723877 4.7會話過程重放 PA

5、GEREF _Toc252723877 h 10 HYPERLINK l _Toc252723878 4.8歷史記錄查詢 PAGEREF _Toc252723878 h 11 HYPERLINK l _Toc252723879 4.9綜合審計(jì)報(bào)表 PAGEREF _Toc252723879 h 11 HYPERLINK l _Toc252723880 五、產(chǎn)品特性 PAGEREF _Toc252723880 h 12 HYPERLINK l _Toc252723881 5.1無干擾部署方式 PAGEREF _Toc252723881 h 12 HYPERLINK l _Toc252723882

6、 5.2支持所有主流協(xié)議 PAGEREF _Toc252723882 h 12 HYPERLINK l _Toc252723883 5.3WEB在線回放技術(shù) PAGEREF _Toc252723883 h 12 HYPERLINK l _Toc252723884 5.4人性化使用方式 PAGEREF _Toc252723884 h 12 HYPERLINK l _Toc252723885 5.5豐富的審計(jì)報(bào)表 PAGEREF _Toc252723885 h 12 HYPERLINK l _Toc252723886 5.6安全可靠的自身保障能力 PAGEREF _Toc252723886 h 1

7、3 HYPERLINK l _Toc252723887 六、部署方式 PAGEREF _Toc252723887 h 14 HYPERLINK l _Toc252723888 七、規(guī)格指標(biāo) PAGEREF _Toc252723888 h 15 HYPERLINK l _Toc252723889 八、綜述 PAGEREF _Toc252723889 h 16一、前言各種權(quán)威的網(wǎng)絡(luò)安全調(diào)查結(jié)果均表明，在可統(tǒng)計(jì)的安全事件中，60%以上均與內(nèi)部人員有關(guān)，這其中既包括惡意行為（越權(quán)訪問、惡意破壞、數(shù)據(jù)竊?。?，也包括各種非主觀有意引起的非惡意行為（誤操作、權(quán)限濫用）。由此可見，規(guī)范內(nèi)部人員的訪問行為，特不

8、是核心系統(tǒng)（主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)等）的維護(hù)行為勢在必行。傳統(tǒng)的信息安全建設(shè)，往往側(cè)重于對外部黑客攻擊的防范，以及網(wǎng)絡(luò)邊界的訪問操縱，對信息系統(tǒng)安全威脅最大的內(nèi)部人員行為卻缺乏有效的治理。企業(yè)內(nèi)部人員，特不是擁有信息系統(tǒng)較高訪問權(quán)限的運(yùn)維人員（如網(wǎng)管員、臨時(shí)聘用人員、第三方代維人員、廠商工程師等），比外部入侵者更容易接觸到信息系統(tǒng)的核心設(shè)備和敏感數(shù)據(jù)、內(nèi)部人員惡意或非惡意的破壞行為更容易造成較大的破壞。然而，由于現(xiàn)有治理手段的不完善，賬號共享情況普遍存在，以及加密、圖形協(xié)議的廣泛應(yīng)用，使得這些運(yùn)維治理人員的日常操作，存在操作身份不明確、操作過程不透明、操作內(nèi)容不可知、操作行為不可控、操

9、作事故無法定位等安全風(fēng)險(xiǎn)。內(nèi)部人員的操作行為幾乎處于完全失控的狀態(tài)，一旦發(fā)生事故，其后果的嚴(yán)峻性將是無法預(yù)估的。因此，放任內(nèi)部風(fēng)險(xiǎn)的存在決不可行。此外，從遵守國家及本行業(yè)各項(xiàng)法律法規(guī)的角度考慮。隨著中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全愛護(hù)條例的推廣實(shí)施，對IT系統(tǒng)內(nèi)部操縱的要求越來越明確。如，等保差不多要求中明確提出，要對“內(nèi)部維護(hù)人員登錄主機(jī)、數(shù)據(jù)庫所進(jìn)行的所有操作行為”、“第三方人員的維護(hù)行為”進(jìn)行審計(jì)和操縱。為滿足用戶對加強(qiáng)內(nèi)部運(yùn)維安全審計(jì)日益迫切的需要，杭州思福迪公司，依托自身強(qiáng)大的研發(fā)能力，豐富的行業(yè)經(jīng)驗(yàn)，自主研發(fā)了新一代軟硬件一體化運(yùn)維安全專用審計(jì)系統(tǒng)Logbase運(yùn)維安全審計(jì)系統(tǒng)。該

10、系統(tǒng)支持對企業(yè)內(nèi)部人員的操作行為進(jìn)行全面的審計(jì)、監(jiān)控，消除了傳統(tǒng)審計(jì)系統(tǒng)中的盲點(diǎn)，使企業(yè)對運(yùn)維人員的操作過程，能做到事前防范、事中操縱、事后審計(jì)的能力，是企業(yè)IT內(nèi)控最有效的治理平臺。二、什么緣故需要運(yùn)維審計(jì)系統(tǒng)企業(yè)的信息系統(tǒng)，在日常的內(nèi)部運(yùn)維治理及IT內(nèi)控合規(guī)性遵循過程中，經(jīng)常會遇到如下問題：多位運(yùn)維人員共用一個(gè)系統(tǒng)帳號，當(dāng)出現(xiàn)安全事故時(shí)相互推諉，缺乏客觀、可信的依據(jù)來確定事故責(zé)任人；維護(hù)人員可能只需要執(zhí)行簡單的規(guī)定操作，但卻通常需要使用擁有更多權(quán)限的系統(tǒng)賬戶，而系統(tǒng)自身又無法進(jìn)行細(xì)粒度的授權(quán)治理，無法進(jìn)行指令級或文件級不的訪問權(quán)限操縱；服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等資產(chǎn)的數(shù)量日益增多，按照治理

11、要求定期修改密碼成為耗時(shí)費(fèi)勁的瑣事，基層運(yùn)維人員是否嚴(yán)格遵守制度，按時(shí)完成密碼安全治理工作，治理人員無法方便得知；當(dāng)?shù)谌竭\(yùn)維人員（代維/原廠工程師），需要對系統(tǒng)進(jìn)行操作時(shí)，基于對合作伙伴的信任及工作方便需要，企業(yè)內(nèi)部人員通常會給與其擁有高權(quán)限的系統(tǒng)賬戶甚至治理員帳戶，而治理員卻無法從技術(shù)上確保，第三方人員的所有操作行為是否合規(guī)；當(dāng)系統(tǒng)因某些操作發(fā)生故障時(shí)，因?yàn)槿狈Σ僮鬟^程的全程記錄，無法還原事故現(xiàn)場，確定問題緣故，而使得系統(tǒng)恢復(fù)時(shí)刻大大延長；三、LogBase審計(jì)產(chǎn)品概述Logbase運(yùn)維安全審計(jì)系統(tǒng)是新一代操作行為安全審計(jì)系統(tǒng)，它采納軟硬件一體化設(shè)計(jì)，通過B/S方式(https)進(jìn)行治理

12、，其要緊功能為實(shí)現(xiàn)對運(yùn)維人員操作服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫過程的全程監(jiān)控與審計(jì)，以及對違規(guī)操作行為的實(shí)時(shí)阻斷。該產(chǎn)品采納先進(jìn)的設(shè)計(jì)理念，支持對多種遠(yuǎn)程維護(hù)方式的支持，如字符終端方式(SSH、Telnet、Rlogin)、圖形方式（RDP、X11、VNC、Radmin、PCAnywhere）、文件傳輸（FTP、SFTP）以及多種主流數(shù)據(jù)庫的訪問操作。3.1系統(tǒng)架構(gòu)Logbase運(yùn)維安全審計(jì)系統(tǒng)采納模塊化設(shè)計(jì)，要緊由以下模塊組成：行為操縱模塊、審計(jì)模塊、治理模塊、存儲模塊、用戶治理接口模塊，各模塊間關(guān)系如下圖所示：圖1.系統(tǒng)架構(gòu)圖行為操縱模塊實(shí)現(xiàn)對網(wǎng)絡(luò)、數(shù)據(jù)庫、服務(wù)器維護(hù)過程的網(wǎng)絡(luò)數(shù)據(jù)包代理轉(zhuǎn)發(fā)、行

13、為還原及記錄、違規(guī)行為阻斷功能；治理模塊實(shí)現(xiàn)維護(hù)用戶治理、主機(jī)資產(chǎn)治理、用戶授權(quán)與訪問權(quán)限治理，以及對審計(jì)記錄的數(shù)據(jù)存儲操縱；審計(jì)模塊實(shí)現(xiàn)行為安全審計(jì)功能，包括實(shí)時(shí)違規(guī)行為告警系統(tǒng)、歷史記錄檢索系統(tǒng)以及報(bào)表系統(tǒng)；用戶界面提供運(yùn)維人員審計(jì)治理接口，以及運(yùn)維用戶的遠(yuǎn)程工具使用界面。3.2技術(shù)原理Logbase運(yùn)維安全審計(jì)系統(tǒng)采納協(xié)議代理方式對各種維護(hù)協(xié)議進(jìn)行轉(zhuǎn)發(fā)，并在轉(zhuǎn)發(fā)的過程中分不模擬了協(xié)議的客戶端與服務(wù)端，具體如下圖所示：圖2.技術(shù)實(shí)現(xiàn)原理示意圖當(dāng)客戶端通過運(yùn)維審計(jì)系統(tǒng)訪問服務(wù)器時(shí)，首先由運(yùn)維安全審計(jì)系統(tǒng)模擬成遠(yuǎn)程訪問的服務(wù)端時(shí)，同意客戶端發(fā)送的信息，并對其進(jìn)行協(xié)議的還原、解析、記錄，最終獲得

14、客戶端發(fā)送的指令信息，再模擬成操作的客戶端，與真正的目標(biāo)服務(wù)器建立通訊，并轉(zhuǎn)發(fā)用戶端發(fā)送的指令信息。接收到服務(wù)器端的返回信息后，再反向執(zhí)行此過程，將返回值發(fā)送給客戶端從而實(shí)現(xiàn)對各種維護(hù)協(xié)議的代理轉(zhuǎn)發(fā)過程。在通訊過程中，Logbase運(yùn)維安全審計(jì)系統(tǒng)會記錄各種指令信息，并依照違規(guī)規(guī)則庫對指令信息進(jìn)行比對，如發(fā)覺違規(guī)的操作行為，則終止數(shù)據(jù)包的轉(zhuǎn)發(fā)，并中斷整個(gè)TCP會話。3.3支持協(xié)議清單字符型遠(yuǎn)程操作協(xié)議SSH TELNETRLOGIN圖形終端操作協(xié)議RDP(5.x、6.x、7.x)VNC X11數(shù)據(jù)庫遠(yuǎn)程協(xié)議ORACLE (8i、9i、10g、11g)MSSQL SERVER（2000、2005

15、）SYBASE文件傳輸協(xié)議FTPSFTP四、要緊功能介紹4.1統(tǒng)一用戶身份認(rèn)證在信息系統(tǒng)的維護(hù)治理過程中，經(jīng)常會出現(xiàn)多名運(yùn)維人員共用同一系統(tǒng)帳號進(jìn)行登錄訪問的情況，從而導(dǎo)致專門多安全事件無法清晰地定位責(zé)任人。LogBase運(yùn)維安全審計(jì)系統(tǒng)通過“運(yùn)維審計(jì)系統(tǒng)帳號”與“服務(wù)器帳號”相關(guān)聯(lián)的方式，即在Logbase系統(tǒng)中為每一個(gè)運(yùn)維人員創(chuàng)建唯一的登錄賬號，運(yùn)維人員通過自身的“審計(jì)系統(tǒng)帳號”，先登錄運(yùn)維安全審計(jì)系統(tǒng)，再登錄目標(biāo)服務(wù)器，從而實(shí)現(xiàn)將用戶身份的認(rèn)證落實(shí)到“自然人”。Logbase運(yùn)維審計(jì)系統(tǒng)支持SSO功能，維護(hù)人員只要登錄運(yùn)維審計(jì)系統(tǒng)，即可訪問所有被授權(quán)的服務(wù)器系統(tǒng)，無需進(jìn)行二次登錄認(rèn)證。4

16、.2訪問權(quán)限操縱LogBase運(yùn)維安全審計(jì)系統(tǒng)能夠?qū)\(yùn)維人員進(jìn)行細(xì)粒度的權(quán)限操縱，治理能夠依照人員、時(shí)刻、系統(tǒng)賬戶、操作指令等內(nèi)容設(shè)定訪問權(quán)限，如：限制用戶能夠訪問的服務(wù)器范圍；限制用戶能夠登錄的時(shí)刻；設(shè)定用戶操作指令黑、白名單，阻止違規(guī)操作行為；LogBase運(yùn)維安全審計(jì)系統(tǒng)還支持特有的授權(quán)訪問機(jī)制，即對某些用戶，每次訪問特定設(shè)備前都需要治理員進(jìn)行授權(quán)才能通行，幸免臨時(shí)人員在治理員不知情的情況下進(jìn)行訪問。4.3服務(wù)器密碼治理LogBase運(yùn)維安全審計(jì)系統(tǒng)提供服務(wù)器密碼治理功能，能夠周期性對服務(wù)器密碼進(jìn)行自動修改，并保證密碼復(fù)雜程度與密碼文件的安全保管。治理員能夠設(shè)定改密周期、密碼強(qiáng)度策略等改

17、密要求。4.4會話同步監(jiān)控關(guān)于所有遠(yuǎn)程訪問目標(biāo)服務(wù)器的會話連接，Logbase運(yùn)維安全審計(jì)系統(tǒng)均可實(shí)現(xiàn)同步過程監(jiān)視，運(yùn)維人員在服務(wù)器上做的任何操作都會同步顯示在審計(jì)人員的監(jiān)控畫面中，包括vi、smit以及圖形化的RDP、VNC、X11等操作，治理員能夠依照需要隨時(shí)切斷違規(guī)操作會話。4.5異常行為告警LogBase運(yùn)維安全審計(jì)系統(tǒng)內(nèi)置安全事件規(guī)則庫，并可實(shí)時(shí)對用戶的操作過程進(jìn)行檢測，一旦發(fā)覺違規(guī)操作行為，能夠通過短信、郵件等方式向?qū)徲?jì)人員及時(shí)發(fā)送告警信息或自動中止操作會話。安全事件規(guī)則庫支持自定義擴(kuò)充功能，治理員能夠依照企業(yè)內(nèi)部治理需求，靈活擴(kuò)充規(guī)則庫內(nèi)容。4.6操作行為記錄對所有通過審計(jì)系統(tǒng)的

18、操作行為，LogBase運(yùn)維安全審計(jì)系統(tǒng)均可完整記錄操作過程，保留操作記錄，記錄內(nèi)容包括操作時(shí)刻、IP地址、用戶賬號、服務(wù)器賬號、操作指令、操作結(jié)果等信息。關(guān)于所有的操作記錄，Logbase運(yùn)維安全審計(jì)系統(tǒng)能夠長時(shí)刻進(jìn)行保留，為日后安全審計(jì)提供客觀依據(jù)。4.7會話過程重放Logbase內(nèi)控堡壘審計(jì)系統(tǒng)能夠以視頻回放方式，重現(xiàn)維護(hù)人員對服務(wù)器的所有操作過程，從而真正實(shí)現(xiàn)對操作行為的完全審計(jì)?；胤胚^程采納WEB在線播放方式，無需在安裝播放客戶端軟件?；胤胚^程支持常見的視頻播放操縱操作，如倍速/低速播放、拖動、暫停、停止、重新播放等等，也能夠從特定指令開始定位回放。4.8歷史記錄查詢Logbase

19、運(yùn)維安全審計(jì)系統(tǒng)支持通過友好的查詢界面，對往常發(fā)生過的歷史事件進(jìn)行查詢。審計(jì)人員能夠依照時(shí)刻、IP地址、用戶名、操作指令等信息對歷史數(shù)據(jù)進(jìn)行多條件組合查詢，快速定位目標(biāo)記錄。查詢結(jié)果能夠直接導(dǎo)出為excel文件，方便審計(jì)員進(jìn)行后續(xù)處理。4.9綜合審計(jì)報(bào)表Logbase 運(yùn)維安全審計(jì)系統(tǒng)支持強(qiáng)大的報(bào)表功能，內(nèi)置大量的安全審計(jì)報(bào)表模板，同時(shí)也支持通過自定義方式擴(kuò)充報(bào)表內(nèi)容。報(bào)表支持以天、星期、月為周期自動生成報(bào)表，并可通過郵件自動送達(dá)治理員處。也能夠由治理員隨時(shí)手工生成所需的報(bào)表。五、產(chǎn)品特性5.1無干擾部署方式Logbase運(yùn)維安全審計(jì)系統(tǒng)采納旁路模式部署，無需改變用戶網(wǎng)絡(luò)結(jié)構(gòu)，無需在客戶端及服

20、務(wù)器端安裝程序，可不能阻礙客戶正常業(yè)務(wù)系統(tǒng)使用。5.2支持所有主流協(xié)議支持各種主流操作協(xié)議包括字符型操作、圖形化操作、文件傳輸、數(shù)據(jù)庫訪問操作等，支持對象全面覆蓋主流的服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫系統(tǒng)。5.3WEB在線回放技術(shù)Logbase運(yùn)維安全審計(jì)系統(tǒng)支持WEB在線回放技術(shù)，無需在客戶端安裝任何回放軟件即可實(shí)現(xiàn)操作過程回放功能，回放過程支持常見視頻回放操作。5.4人性化使用方式Logbase運(yùn)維安全審計(jì)系統(tǒng)支持用戶通過WEB頁面直接訪問目標(biāo)系統(tǒng)，如通過web頁面訪問SSH服務(wù)器、windows遠(yuǎn)程終端等等；系統(tǒng)同時(shí)也支持運(yùn)維人員使用自己適應(yīng)的客戶端軟件去訪問目標(biāo)服務(wù)器，如putty、SecureCRT、Secure shell等等。5.5豐富的審計(jì)報(bào)表Logbase內(nèi)置豐富的安全審計(jì)報(bào)表，總數(shù)超過百張，即能夠滿足大部分客戶的日常審計(jì)需求，也可滿足如“等級愛護(hù)”、“薩班斯法案”等合規(guī)性要求。同時(shí)，系統(tǒng)也支持通過自定義或二次開發(fā)方式進(jìn)行靈活擴(kuò)展。5.6安全可靠的自身保障能力Logbase運(yùn)維安全審計(jì)系統(tǒng)，通過多種技術(shù)手段，來保障自身與審計(jì)數(shù)據(jù)的安全性。如：內(nèi)置自身安全防護(hù)防火墻數(shù)據(jù)防篡改、防刪除技術(shù)設(shè)計(jì)；嚴(yán)格的訪問權(quán)限