HA運維安全審計系統(tǒng)介紹.ppt

運維安全審計系統(tǒng)HAC 廣州江南科友科技股份有限公司2010年7月 目錄 安全現(xiàn)狀及審計需求科友解決方案HAC具體功能成功案例 1 安全審計需求 1 1審計的必要性 迫切性銀行計算機犯罪以每年30 速度增長 涉案金額越來越大 具有如下特點 犯罪主體以內(nèi)部或內(nèi)外勾結(jié)為主 作案目的以盜竊資金為主 發(fā)案原因多是由于缺乏內(nèi)部風險控制機制為主 介紹目前幾個真實案例 真實案例 案例1 銀行系統(tǒng)開發(fā)商內(nèi)部作案某商行開發(fā)核心業(yè)務(wù)系統(tǒng) 開發(fā)商某工程師在試運行維護期間內(nèi)部新增一個隱藏帳戶 且將其帳戶金額鎖死 以致后期該人頻繁通過該帳戶取款 無人發(fā)現(xiàn) 直至銀行經(jīng)過長時間對帳 仔細比對和核查 才找到問題原因 案例2 外包人員作案 ATM資金丟失某銀行ATM機服務(wù)外包給廠商 某廠商工程師利用工作便利 在ATM系統(tǒng)中安裝了一個抓包工具 將許多儲戶的密碼偷偷抓取到 并通過偽造卡的方式盜取大量資金 經(jīng)過長時間排查 和查找ATM監(jiān)控錄像才發(fā)現(xiàn)作案人員 綜上所述 企業(yè)IT系統(tǒng)構(gòu)成復雜 操作人員眾多 對其進行有效審計 是控制內(nèi)部風險的一個重要手段 運維管理安全需求如何解決共享帳號后操作身份不唯一的問題 如何控制操作人員操作權(quán)限 如何實時跟蹤操作者的操作行為 如何監(jiān)控和定位非法操作行為 如何對已經(jīng)發(fā)生的非法操作行為進行舉證 1 2相關(guān)政策規(guī)范和標準中國銀監(jiān)會于2007年5月緊急發(fā)布的 中明確要求 第十七條商業(yè)銀行應(yīng)當將加強內(nèi)部控制作為操作風險管理的有效手段 與此相關(guān)的內(nèi)部措施至少應(yīng)當包括 一 部門及操作人員之間應(yīng)權(quán)限分離 二 密切監(jiān)測風險限額或權(quán)限的情況 三 對接觸和使用銀行資產(chǎn)的記錄進行安全監(jiān)控 電子銀行業(yè)務(wù)管理辦法 銀監(jiān)會 2006金融機構(gòu)應(yīng)在物理和軟件控制兩個方面 建立對進入系統(tǒng)的識別 處理和報告機制 金融機構(gòu)應(yīng)定期檢測所有關(guān)鍵設(shè)備和系統(tǒng)軟件的工作狀態(tài) 審查其工作日志商業(yè)銀行內(nèi)部控制指引 銀監(jiān)會 2006記錄要清晰 易于識別和檢索 以提供追溯證據(jù) 新資本協(xié)議 SOX法案國家標準 我國頒布的安全等級保護技術(shù)要求信息系統(tǒng)中必須建立并保存下面的各種訪問日志 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全審計8 1 2 4 主機 安全審計8 1 3 3 應(yīng)用 安全審計8 1 4 3 1 3安全實踐安全管理業(yè)界標準ISO27001 2005條款A(yù)15 1 3明確要求必須保護組織的運行記錄 條款A(yù)15 2 1則要求信息系統(tǒng)經(jīng)理必須確保所有負責的安全過程都在正確執(zhí)行 符合安全策略和標準的要求 2 科友解決方案 江南科友 運維安全審計系統(tǒng) HAC 是針對于用戶核心資產(chǎn)的運維操作 再現(xiàn)關(guān)鍵行為軌跡 探索操作意圖 集全局實時監(jiān)控與敏感過程回放等功能特點 有效解決了信息化監(jiān)管中的一個關(guān)鍵問題 以操作為核心 從操作層入手 實現(xiàn)對人 設(shè)備 操作的統(tǒng)一管理 做到事前防范 事中控制 事后監(jiān)督和糾正的組合 從而幫助用戶最小化人為操作風險 2 1HAC介紹及產(chǎn)品定位HAC HostAuditControl 運維安全審計系統(tǒng) 設(shè)備外形如下 HAC是以實現(xiàn)審計為目標 集認證 授權(quán) 審計為一體的安全設(shè)備 實現(xiàn)原理 基于協(xié)議解碼 來達到監(jiān)控 記錄數(shù)據(jù)的目的 目前支持協(xié)議有Telnet FTP SFTP SSH RDP RemoteDesktopProtocol 等多種通信協(xié)議 審計對象 針對內(nèi)部運行維護人員 針對服務(wù)外包人員 針對廠商或集成商等技術(shù)支持人員 系統(tǒng)組成 應(yīng)用環(huán)境 支持IBMAIX HPUX SUNSolaris SCOUNIX LINUX WINDOWS等多種操作系統(tǒng) 可廣泛應(yīng)用于金融 政府 電信 證券 郵政 稅務(wù) 海關(guān) 交通等安全需求較高的行業(yè) 2 2部署方式單臂部署 不改變客戶網(wǎng)絡(luò)環(huán)境 對客戶網(wǎng)絡(luò)透明 串聯(lián)接入 可靈活根據(jù)網(wǎng)絡(luò)環(huán)境串聯(lián)路由接入 起安全審計和訪問控制的作用 部署模式一 單臂模式 HAC具體功能 身份認證與授權(quán)賬戶托管 SSO事中監(jiān)控會話審計 審計報表變更工單 雙人操作支持應(yīng)用發(fā)布審計其他功能 完整的身份管理和認證解決身份問題 滿足審計系統(tǒng) 誰做的 要求 運維用戶 靜態(tài)口令 動態(tài)口令 證書KEY RADIUS LADP AD認證方式 管理員 靜態(tài)口令 動態(tài)口令 證書KEY認證方式 支持密碼強度 密碼效期 口令嘗試死鎖 用戶激活等安全管理功能 支持運維用戶用戶分組管理 方便的增 刪 改 查操作 支持用戶信息導入導出 方便批量處理 靈活 細粒度的授權(quán)提供基于用戶 運維協(xié)議 目標主機 運維時間段 會話時長 運維客戶端IP等組合的授權(quán)功能 實現(xiàn)細粒度授權(quán) 滿足用戶實際應(yīng)用的需要 產(chǎn)品功能 身份認證 授權(quán) 口令統(tǒng)一管理與自動登陸運維人員通過HAC認證和授權(quán)后 HAC根據(jù)配置策略實現(xiàn)后臺資源的自動登錄代理 提供托管和只托不管兩種方式 支持后臺資源口令統(tǒng)一管理支持運維用戶到后臺資源帳戶分配支持各種主機 安全設(shè)備 網(wǎng)絡(luò)設(shè)備以及Windows系統(tǒng)支持通過定制腳本添加托管各類Unix Linux系統(tǒng)帳號口令支持下載 郵件和直接密函打印 產(chǎn)品功能 賬戶托管 SSO 實時監(jiān)控監(jiān)控正在運維的會話 活動用戶突出顯示監(jiān)控后臺資源被訪問情況可實時終止異常在線運維會話提供在線運維的操作的實時監(jiān)控功能敏感操作實時告警與阻斷根據(jù)安全策略實施運維過程敏感操作檢測 對違規(guī)操作提供實時告警和阻斷支持用戶分級 并針對不級別采取不同響應(yīng)方式告警與會話實時監(jiān)控 會話審計與回放關(guān)聯(lián) 產(chǎn)品功能 事中監(jiān)控 完整記錄網(wǎng)絡(luò)會話過程系統(tǒng)提供運維協(xié)議Telnet FTP SSH SFTP RDP等網(wǎng)絡(luò)會話的完整會話記錄 完全滿足內(nèi)容審計中信息百分百不丟失的要求 詳盡的會話審計與回放支持按運維用戶 運維地址 后臺資源地址 協(xié)議 起始時間 結(jié)束時間和操作內(nèi)容中關(guān)鍵字等組合方式 提供圖像形式的回放 真實 直觀 可視地重現(xiàn)當時的操作過程 回放提供快放 慢放 拖拉等方式 方便快速定位和查看支持文本協(xié)議操作命令和結(jié)果回顯功能支持命令Del TAB 上下鍵等編輯過程的準確識別 可基于命令定位會話 會話內(nèi)容可折疊顯示 使用更方便 產(chǎn)品功能 會話審計 完備的審計報表功能提供日常報表 會話報表 自審計操作報表 告警報表提供綜合統(tǒng)計報表 報表中包括概要信息 每個用戶操作信息 每個資源被操作信息等 產(chǎn)品功能 審計報表 可支持ITSM IT服務(wù)管理 HAC可與ITSM相結(jié)合 為其優(yōu)化變更管理流程 加強對變更管理中的風險控制 支持對變更工單錄入操作 實現(xiàn)變更過程的監(jiān)控和審計 支持對現(xiàn)有運維變更管理系統(tǒng)快速集成 支持變更工單號事后審計功能 可支持雙人符合操作支持運維過程對雙人操作流程介入 支持會話日志記錄雙人符合操作審批人 時間 操作符合命令 產(chǎn)品功能 變更工單 雙人操作支持 各類應(yīng)用運維操作審計功能業(yè)界首創(chuàng)的 VDH VirtualDesktopHost 虛擬桌面主機安全操作系統(tǒng)設(shè)備 完全符合運維安全審計要求 運維操作全程可控 可做到授權(quán)后應(yīng)用只能訪問指定服務(wù) 最大降低對后臺目標服務(wù)集群的可能安全風險 可對整個運維操作過程進行完整記錄 實現(xiàn)詳盡的會話審計和回放 可依據(jù)用戶要求快速實現(xiàn)新應(yīng)用的發(fā)布和審計 產(chǎn)品功能 應(yīng)用發(fā)布審計 維護管理 對HAC系統(tǒng)的本身維護和管理 表現(xiàn)為 遠程重啟 關(guān)機 審計日志自動 手動備份 HAC系統(tǒng)特點 產(chǎn)品穩(wěn)定 安全性高高效 精簡的安全內(nèi)核性能高 支持并發(fā)用戶量大支持HA高可用性分權(quán)管理機制 產(chǎn)品功能 其他輔助功能 HAC帶來的安全價值 提升聲譽 降低損失 取證免責 把控全局 完善機制 滿足合規(guī)性要求 順利通過等級檢查 IT審計 有