運維安全管理

  傳統的信息安全建設，往往側重于對外(wài)部黑客攻擊的防範，以及網絡邊界的訪問控制，對信息系統安全威脅最大(dà)的内部人員(yuán)行爲卻缺乏有效的管理。然而根據各種權威的網絡安全調查結果均表明，在可統計的安全事件中(zhōng)，85%以上均與内部人員(yuán)有關，特别是擁有信息系統較高訪問權限的運維人員(yuán)，比外(wài)部入侵者更容易接觸到信息系統的核心設備和敏感數據、内部人員(yuán)惡意或非惡意的破壞行爲更容易造成較大(dà)的破壞。其中(zhōng)既包括惡意行爲（越權訪問、惡意破壞、數據竊取），也包括各種非主觀故意引起的非惡意行爲（誤操作、權限濫用）。由此可見，規範各類内部人員(yuán)（網絡管理員(yuán)、系統管理員(yuán)、開(kāi)發人員(yuán)、代維人員(yuán)及其他第三方廠商(shāng)）的運維操作行爲，特别是對核心系統（服務器、網絡設備、安全設備、數據庫等）的維護行爲做好全面有效的事前預防、事中(zhōng)控制及事後審計已勢在必行。

       由于現有管理手段的不完善，無法鑒别與認證運維人員(yuán)的身份，網絡訪問權限難以控制，系統賬号共享的情況也普遍存在，以及加密、圖形協議的廣泛應用，使得這些運維管理人員(yuán)的日常操作，存在操作身份不明确、操作過程不透明、操作内容不可知(zhī)、操作行爲不可控、操作事故無法定位等安全風險。内部人員(yuán)的操作行爲幾乎處于完全失控的狀态，一(yī)旦發生(shēng)事故，其後果的嚴重性将是無法預估的。所以需要有效的安全管理手段來解決這些存在的高風險和安全隐患。

運維安全管理系統

       運維安全管理系統（簡稱Logbase SOM）是新一(yī)代操作行爲管理安全審計系統，它采用軟硬件一(yī)體(tǐ)化設計，通過B/S方式（https）進行管理，其主要功能爲實現對運維人員(yuán)遠程訪問操作服務器、網絡設備、數據庫過程的認證、授權、監控與審計，實現對IT運維過程的全面監管，做到有效的事前預防、事中(zhōng)控制及事後審計，滿足用戶的安全管理需求。

運維安全管理系統架構圖

          運維安全管理系統爲旁路部署，無需對網絡拓撲結構進行任何調整。LogBase SOM支持單臂部署、雙臂部署、HA雙機熱備部署及分(fēn)部署部署等多種部署方式，可以充分(fēn)滿足不同網絡對審計系統的需求。Logbase SOM的部署應與網絡訪問控制列表、企業管理制度相結合，以便取得更好的審計效果。

  在信息系統的運維操作過程中(zhōng)，經常會出現多名維護人員(yuán)共用設備（系統）賬号進行遠程訪問的情況，從而導緻出現安全事件無法清晰地定位責任人。運維安全管理系統爲每一(yī)個運維人員(yuán)創建唯一(yī)的運維賬号（主賬号），運維賬号是獲取目标設備訪問權利的唯一(yī)賬号，進行運維操作時，所有設備賬号（從賬号）均與主賬号進行關聯，确保所有運維行爲審計記錄的一(yī)緻性，從而準确定位事故責任人，彌補傳統網絡安全審計産品無法準确定位用戶身份的缺陷，有效解決賬号共用問題。

  運維安全管理系統部署後，運維人員(yuán)可以通過不同的方式對目标對象進行訪問、維護：

WEB控件方式訪問，所有協議均可通過WEB空間方式從WEB直接發起訪問，訪問過程支持IE、Firefox、chrome等多種浏覽器；

支持通過WEB直接調用本地客戶端方式進行訪問；

支持本地直接使用CS客戶端直接訪問，兼容管理員(yuán)原有使用習慣

         運維人員(yuán)登錄Logbase SOM系統時，系統會根據訪問授權列表自動展示授權範圍的主機，避免用戶訪問未經授權主機。
       此外(wài)，Logbase SOM還支持在運維過程中(zhōng)要求其他運維人員(yuán)進行協同操作的功能，在協同操作模式下(xià)，2名運維人員(yuán)可以共同操作同一(yī)個訪問會話(huà)界面；

系統内置了多個運維工(gōng)作流程管理功能，IT部門能夠通過運維工(gōng)作流功能規範IT運維過程，工(gōng)作流功能包含以下(xià)具體(tǐ)流程：

a）工(gōng)作任務管理流程：

1. 任務發起人通過系統下(xià)發工(gōng)作任務；

2. 任務接收人在個人消息中(zhōng)心實時接收工(gōng)作任務信息；

3. 任務接收人完成工(gōng)作，在WEB界面中(zhōng)進行任務回複；

4. 任務發起人接收到回複信息後，對任務執行情況進行确認，結束工(gōng)作任務流程；

b）審計流程：

審計流程包含異常事件處理流程及報表審計流程兩部分(fēn)，審計人員(yuán)可以查看相關異常事件及報表并添加相應的審計意見，否則該事件會一(yī)直處于未處理狀态，以提醒審計人員(yuán)對重點事件進行關注并審計。

  系統支持主機系統賬号的密碼維護托管功能，系統支持自動定期修改windows、Linux、Unix、cisco、huawei等設備的賬号密碼。
五、批量執行功能

  系統支持自動化在多台機器上批量執行指令。通過批量執行功能，管理員(yuán)可以方便實現對多台主機的升級、備份等工(gōng)作任務。
六、便利及細粒度訪問授權
       系統通過集中(zhōng)統一(yī)的訪問控制和細粒度的命令級授權策略，确保每個運維用戶擁有的權限是完成任務所需的最合理權限。

       系統支持根據已設定的訪問控制策略，自動檢測日常運維過程中(zhōng)發生(shēng)的越權訪問、違規操作等安全事件，系統能夠根據安全事件的類型、等級等條件進行自動的告警或阻斷處理。

阻斷未經授權用戶訪問主機；

阻斷從異常客戶端、異常時間段發起的訪問行爲；

阻斷指令黑名單的操作行爲；

阻斷方式支持：斷開(kāi)會話(huà)、忽略指令；

告警方式支持：WEB界面告警、短信告警、郵件告警等。

       對于所有遠程訪問目标主機的會話(huà)連接，Logbase審計系統均可實現操作過程同步監視，運維人員(yuán)在遠程主機上做的任何操作都會同步顯示在審計人員(yuán)的監控畫面中(zhōng)，管理員(yuán)可以随時手工(gōng)中(zhōng)斷違規操作會話(huà)。

十、曆史記錄查詢

        運維安全管理系統支持兩種查詢功能，快速查詢（單一(yī)條件）和高級查詢（多重組合條件），審計人員(yuán)可以根據操作時間、源、目标IP地址、用戶名（運維、主機）、操作指令等條件對曆史數據進行查詢，快速定位曆史事件。

  系統擁有強大(dà)的報表功能，内置能夠滿足不用客戶審計需求的安全審計報表模闆，支持自動或手工(gōng)方式生(shēng)成運維審計報告，便于管理員(yuán)全面分(fēn)析運維的合規性。
十三、審計數據存儲管理

  系統支持自動化審計數據存儲管理，管理員(yuán)可以對審計數據進行手工(gōng)備份、導出，也可以設定自動歸檔策略進行自動歸檔。