1.問題聚焦:
帳號安全
● 多人使用同一帳號
密碼安全
● 簡單密碼,容易破解和猜測
● 定期修改密碼的管理策略難以執行
● 密碼掌握在運維人員手中,本身就不安全
操作安全
● 操作權限無法控制
● 無意執行了危險操作,如:重啟
● 越權操作
遠程維護
● PC直接遠程連接關鍵服務器,容易遭受攻擊、病毒傳染
● 遠程維護地點無法控制
運維操作行為安全
● 運維人員在什么時間、什么地點訪問服務器
● 都在服務器上做了哪些操作
外部人員訪問安全
● 第三方人員權限如何控制
● 第三方人員維護帳號泄漏
● 離職人員惡意行為
2.解決方案:
在運維人員(包括員工和第三方人員)與服務器之間放置堡壘機,作為運維人員訪問服務器的工作平臺和唯一途徑。以下是解決方案示意圖:
部署方式和訪問控制
● 部署方式可為單臂旁路模式,連接在交換機上;
● 部署的唯一條件是運維安全審計系統與被管理的設備之間IP可達,協議可訪問;
● 運維安全審計系統是運維操作的唯一入口,同時可配合使用訪問控制策略(防火墻、ACL等)限制運維用戶只能訪問運維安全審計系統,不能直接訪問后臺主機;
● 運維用戶使用唯一的用戶賬號登錄運維安全審計系統 ,然后運維安全審計系統根據配置管理員預先設置好的訪問控制規則,提示用戶選擇可以訪問的目標設備和相應系統賬號,用戶選擇完成后會自動登錄到目標設備。
● 運維安全審計系統設備也可選擇雙機負載均衡方式
● 設備上可以發布需要審計的系統工具,如:IE、Radmin、VNC、Pcanywhere等,并在運維安全審計系統上對用戶進行授權和審計。
完整的身份管理和認證
為了確保合法用戶才能訪問其擁有權限的后臺資源,解決IT系統中普遍存在的交叉運維而無法定位到具體人的問題,滿足審計系統“誰做的”要求,系統提供一套完整的身份管理和認證功能。
運維用戶支持靜態口令、動態口令等認證方式,支持密碼強度、有效期控制,支持用戶分組。
靈活、細粒度的授權
系統提供基于用戶、運維協議、目標主機、運維時間段(年、月、日、周、時間)、會話時長、運維客戶端IP等組合的授權功能,實現細粒度授權功能,滿足用戶實際授權的需求。
后臺資源自動登陸
后臺資源自動登陸功能是運維人員通過運維安全審計系統認證和授權后,運維安全審計系統根據配置策略實現后臺資源的自動登錄。此功能提供了運維人員到后臺資源帳戶的一種可控對應,同時實現了對后臺資源帳戶的口令統一保護。
針對不同操作系統和設備的特性,運維安全審計系統提供托管和只托不管兩種方式實現運維用戶自動登錄后臺資源。
1、托管方式實現自動登錄后臺資源
● 運維安全審計系統自動獲取后臺資源帳戶信息;
● 根據口令安全策略,運維安全審計系統定期自動修改后臺資源帳戶口令;
● 根據管理員配置,實現運維用戶與后臺資源帳戶對應,限制帳戶的越權使用;
● 運維用戶通過運維安全審計系統認證和授權后,運維安全審計系統根據分配的帳戶實現自動登錄后臺資源。
2、只托不管方式實現自動登錄后臺資源
● 管理員將后臺資源帳戶及口令配置到運維安全審計系統中;
● 根據管理員配置,實現運維用戶與后臺資源帳戶對應,限制帳戶的越權使用;
● 運維用戶通過運維安全審計系統認證和授權后,運維安全審計系統根據分配的帳戶實現自動登錄后臺資源。
實時監控
監控正在運維的會話,信息包括運維用戶、運維客戶端地址、資源地址、協議、開始時間等;提供在線運維的操作的實時監控功能。針對命令交互性協議可以圖像方式實時監控正在運維的各種操作,其信息與運維客戶端所見完全一致。
違規操作實時告警與阻斷
針對運維過程中可能存在潛在操作風險,運維安全審計系統根據用戶配置的安全策略實施運維過程中的違規操作檢測,對違規操作提供實時告警和阻斷,從而達到降低操作風險及提高安全管理與控制的能力。
完整記錄網絡會話過程
系統提供運維協議Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、AS400等網絡會話的完整會話記錄,完全滿足內容審計中信息百分百不丟失的要求。
詳盡的會話審計與回放
u 運維操作審計以會話為單位,提供當日和條件查詢定位。條件查詢支持按運維用戶、運維地址、后臺資源地址、協議、起始時間、結束時間和操作內容中關鍵字等組合方式。
● 針對命令交互方式的協議,提供逐條命令及相關操作結果的顯示;
● 提供圖像形式的回放,真實、直觀、可視地重現當時的操作過程;
● 回放提供快放、慢放、拖拉等方式,方便快速定位和查看;
● 針對命令交互方式的協議,提供按命令進行定位回放;
● 針對RDP協議,提供按時間進行定位回放。
完備的審計報表功能
運維安全審計系統提供運維人員操作,管理員操作以及違規事件等多種審計報表。
● 提供日常報表,包括今日會話、今日自審計、用戶信息、資源信息、權限信息、規則信息、管理員角色信息等報表;
● 提供會話報表,可根據用戶選定時間、用戶、資源形成會話報表;
● 綜合統計報表,可根據時間、資源、用戶等條件形成綜合統計報表,報表中包括概要信息、每個用戶操作信息、每個資源被操作信息等。
其他功能
系統提供雙機熱備、日志手工和自動備份、網絡維護和性能監控、系統日志重定向、SNMP支持等功能。
上一篇:上網行為管理
下一篇:存儲備份容災
