運維安全審計立項需求報告

1、.真功夫IT 運維安全審計體系建設需求申請報告'.1 需求依據(jù)：ISO 27001要求組織必須記錄用戶訪問、意外和信息安全事件的日志，記錄系統(tǒng)管理和維護人員的操作行為，并保留一定期限，以便為安全事件的調(diào)查和取證，確保所有負責的安全過程都在正確執(zhí)行，符合安全策略和標準的要求。SOXSEC相關規(guī)定及內(nèi)部控制方面的要求企業(yè)內(nèi)控管理規(guī)范運用信息技術加強內(nèi)部控制，建立與經(jīng)營管理相適應的信息系統(tǒng)，促進內(nèi)部控制流程與信息系統(tǒng)的有機結(jié)合，實現(xiàn)對業(yè)務和事項的自動控制，減少或消除人為操縱因素。計算機等級保護根據(jù)國家重要信息系統(tǒng)等級保護條例 ，對于等保二級以上的系統(tǒng)，應對網(wǎng)絡系統(tǒng)中的設備運行狀況、網(wǎng)絡流量、

2、用戶行為等進行日志記錄，能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表，同時對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。2 項目必要性分析2.1 內(nèi)部人員安全隱患形勢嚴峻根據(jù) FBI 和 CSI 對 484 家公司進行的網(wǎng)絡安全專項調(diào)查結(jié)果顯示：超過 85%的安全威脅來自公司內(nèi)部，在損失金額上，由于內(nèi)部人員泄密導致了6056.5 萬美元的損失，是黑客造成損失的16 倍，是病毒造成損失的12 倍。另據(jù)中國國家信息安全測評認證中心調(diào)查，信息安全的現(xiàn)實威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪，而非病毒和外來黑客引起。而在眾多的內(nèi)部人員中， 對于系統(tǒng)的運維人員、 第三方系統(tǒng)運維人員以及設備廠商維護

3、人員，他們享有 “最高權(quán)限” ， 一旦出現(xiàn)惡意操作或誤操作， 將會對業(yè)務系統(tǒng)帶來巨大影響，造成不可估量的損失。因此，對IT 系統(tǒng)進行有效運維，是控制內(nèi)部風險、保障業(yè)務連續(xù)性的重要手段，如何保障運維工作的有序運轉(zhuǎn)、降低運維風險、提高應急響應能力，為IT 系統(tǒng)提供強有力的后臺支撐，是當前急需解決的課題。2.2 現(xiàn)有運維安全體系存在不足隨著信息化建設的快速發(fā)展，真功夫已經(jīng)開始建立起一定規(guī)模的信息化系統(tǒng)，信息系統(tǒng)'.已經(jīng)涉及公司核心數(shù)據(jù)，業(yè)務運營、日常辦公等方方面面。隨著系統(tǒng)應用范圍的逐步擴大和應用層次的不斷深入 , 應用系統(tǒng)越來越多， IT 系統(tǒng)的構(gòu)成越來越復雜，運維操作人員越來越多， IT

4、 操作管理的難度和和面臨的風險也越來越大。主要集中在以下幾個問題：一、IT 系統(tǒng)口令管理IT 系統(tǒng)口令對IT 系統(tǒng)的安全是非常重要的，因此隨著IT 系統(tǒng)數(shù)量龐大，IT 系統(tǒng)的口令管理工作量越來越大， 復雜度也越來越高。 但在實際管理中， 由于安全性和可用性之間的矛盾，導致 IT 系統(tǒng)口令管理存在很多安全隱患。主要表現(xiàn)如下：1、為了滿足安全管理要求，IT系統(tǒng)的口令需定期修改（一般半個月或一個月），這大大加大了口令管理的工作量；2、口令強度要滿足安全要求，其復雜性也有一定要求。一方面加大了修改口令的工作量和復雜度， 同時對維護人員來說也很不方便，經(jīng)常是將口令記錄在記事本上，造成口令泄露問題。同時在

5、實際操作中，經(jīng)常將口令設置為很有規(guī)律性，一旦知道一個口令，很容易知道其他系統(tǒng)的口令；3、由于部分系統(tǒng)是由外包廠商提供運維服務，所以口令也容易泄露出去。4、沒有口令管理的策略，口令管理制度寬松，隱患很大。二、多入口操作現(xiàn)象隨著 IT 系統(tǒng)構(gòu)成的復雜，在運維過程中可通過多種入口對IT 系統(tǒng)進行維護， 導致無法統(tǒng)一管理、設置統(tǒng)一安全策略等而引起各種安全隱患。三、交叉運維操作現(xiàn)象在 IT 系統(tǒng)運維過程中，存在多種管理角色，如設備管理員、系統(tǒng)管理員、安全管理員和應用系統(tǒng)管理員等，同時對于同一個角色也同樣存在多個管理員，包括來自本公司、開發(fā)人員、廠商技術人員等多種技術人員。對于這些管理員進行維護時，可能是

6、使用 IT 系統(tǒng)的同一個帳號，這樣一旦出現(xiàn)問題很難定位具體某個人的操作。四、越權(quán)和違規(guī)操作根據(jù)最新的統(tǒng)計資料， 11%的安全問題導致網(wǎng)絡數(shù)據(jù)破壞， 14%的安全問題導致數(shù)據(jù)失密，而從惡意攻擊的特點來看， 70%的攻擊來自組織內(nèi)部。尤其面對擁有特權(quán)的維護用戶，由于以前沒有一種技術手段來控制其操作，所以出現(xiàn)越權(quán)或違規(guī)操作的現(xiàn)象時有出現(xiàn)。如何建立一種技術手段， 能保證可信的用戶才能訪問其擁有權(quán)限的資源， 控制這種越權(quán)或違規(guī)操作，并能對這種越權(quán)或違規(guī)操作進行告警，以便安全人員能對此類操作進行分析，避免出現(xiàn)嚴重后果的情況下才發(fā)現(xiàn)。五、無詳細操作記錄針對運維操作，IT 系統(tǒng)是靠系統(tǒng)日志方式進行記錄的。它存

7、在以下問題：1、系統(tǒng)日志不獨立，無法防止被篡改，管理人員做了違規(guī)操作后可能會刪除日志，造成無法追查、無法定位等問題。'.2、系統(tǒng)日志記錄信息不全面，目前系統(tǒng)日志記錄的信息相對簡單，而且檢索不方便。能否建立一種技術手段， 將運維操作的所有內(nèi)容進行記錄， 支持在事中或事后進行場景回放，并支持防篡改。六、無法滿足合規(guī)性檢查隨著 IT 系統(tǒng)的重要性和對業(yè)務系統(tǒng)影響越來越大，相關的法律法規(guī)對其安全性、可持續(xù)性工作、 IT操作風險以及企業(yè)內(nèi)控等都有明確的要求，信息安全等級保護。目前面對這些合規(guī)性檢查， 只能是制度上的檢查， 沒有有效的數(shù)據(jù)和技術來說明這些制度是如何落實的。因此需要在 IT 系統(tǒng)安全

8、運維方面建立一種或多種技術手段來滿足合規(guī)性要求，以滿足合規(guī)性檢查的需要。七、沒有運維安全分析報告目前運維管理方面， 由于沒有數(shù)據(jù)， 無法實現(xiàn)定期的運維安全情況的分析報告。 對運維過程存在的問題無法有定量或定性的分析數(shù)據(jù)，只能簡單從安全事件方面進行描述。因此需要有一套系統(tǒng)， 能從運維操作的實際數(shù)據(jù)中分析運維安全情況， 定量地展現(xiàn)運維安全態(tài)勢。 并能通過安全情況分析， 發(fā)現(xiàn)潛在安全風險， 輔助企業(yè)改進 IT 系統(tǒng)的安全建設。3 運維安全體系建設要求針對以上的分析，目前機房維護現(xiàn)狀在管理和的安全上都存在諸多的不便和安全引患，急需要建設運維安全審計系統(tǒng)， 做到“什么人？什么時間？訪問了什么設備？能做什

9、么？做了什么操作？等” ，通過對每個運維人員的權(quán)限進行細粒度的控制和審計，降低安全風險。具體的建設要求如下：集中管理，提供后臺設備的操作維護入口。身份管理，提供設置實名制登陸帳號，詳細記錄整個運維操作過程。訪問控制， 提供管理員根據(jù)不同的用戶配置不同的操作權(quán)限，實現(xiàn)命令級別的嚴格控制，確保合法用戶在其系統(tǒng)權(quán)限范圍內(nèi)訪問授權(quán)設備。操作審計， 對用戶實施的操作提供完整，詳細記錄服務。 并可以安全地存放于管理平臺中，管理平臺能以方便、友好的界面方式提供對這些記錄的操作、查看、搜索、回放等審計功能。滿足信息安全、 IT 系統(tǒng)運維管理、企業(yè)遵規(guī)三個方面的要求，有效提高企業(yè)信息網(wǎng)絡的安全性，適應企業(yè)業(yè)務的

10、快速發(fā)展；針對以上建設要求，我部需要在數(shù)據(jù)中心建立一套集中式IT 運維審計系統(tǒng)，逐步完善公司的 IT 運維保障體系，滿足公司管理和業(yè)務對IT 系統(tǒng)安全運行的需要。'.4 運維安全體系建設方案IT運維審計系統(tǒng)是指通過配置策略，實現(xiàn)身份認證、操作授權(quán)及審計留痕等功能。從而實現(xiàn)對信息系統(tǒng)運維風險監(jiān)測、分析、預警、控制、處理、評價；對發(fā)現(xiàn)異常、可疑、違規(guī)現(xiàn)象立刻阻斷并報警， 并對操作過程畫面進行監(jiān)控和電子錄像， 防范運維風險， 保障信息系統(tǒng)及設施運行安全，完善內(nèi)控審計安全管理。通過部署一套集中式IT 運維審計系統(tǒng)，實現(xiàn)以下運維安全管理：一、事前準備階段資源管理： 系統(tǒng)提供對 IT 系統(tǒng)資源進行

11、管理，能夠?qū)Y源進行分組管理，并能對各類資源的賬號口令進行統(tǒng)一管理。人員管理： 系統(tǒng)提供IT 運維自然人進行定義，可以通過支持多種身份認證方式：數(shù)字證書、動態(tài)口令、LDAP、AD域、 Radius 等方式進行統(tǒng)一認證，對于運維人員進行分組管理。授權(quán)管理： 系統(tǒng)提供基于運維人、運維組、資源、資源組、IP 、起始時間、運維時長等組合授權(quán)，實現(xiàn)對運維行為的控制。二、事中控制階段流程管理： 系統(tǒng)遵循ITIL實現(xiàn)針對運維工單、雙人復核與二次授權(quán)等操作管理，可以通過系統(tǒng)定制與客戶現(xiàn)有工單系統(tǒng)進行整合，加強IT 系統(tǒng)變更的管理力度，降低運維操作風險。實時控制： 系統(tǒng)能夠?qū)T 運維過程實現(xiàn)同步在線監(jiān)控、實時

12、阻斷，對字符型操作可以預制高風險命令的預警與阻斷，強化風險控制； 系統(tǒng)能夠記錄鍵盤鼠標敲擊信息，準確掌握所有運維動作。三、事后分析階段統(tǒng)計報表： 系統(tǒng)完善的報表體系， 內(nèi)部預制多種 HAC管理報表并且可以支持客戶定制報表，可以生成多種格式（ Word、PDF、 Excel ）與樣式（餅圖、柱狀圖、折線圖等）的報表文件，滿足審計需求。事件追蹤： 系統(tǒng)可以快速檢索定位運維記錄， 便于查詢與檢索； 同時可以對運維操作進行圖形化回訪， 保證審計記錄 100%不丟失；而且能夠針對 ITIL 要求實現(xiàn)對運維行為的審計、復核，滿足合規(guī)性要求。'.5 運維安全審計系統(tǒng)產(chǎn)品選型5.1 衡量指標一、安全資

13、質(zhì)要求產(chǎn)品要具有中華人民共和國公安部頒發(fā)的 計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證；中華人民共和國保密局涉密信息系統(tǒng)安全保密測評中心頒發(fā)的涉密信息系統(tǒng)產(chǎn)品檢測證書；中華人民共和國安全測評中心頒發(fā)的信息技術產(chǎn)品測評證書、具有中華人民共和國國家版權(quán)局頒發(fā)的計算機軟件著作權(quán)登記證書。二、硬件性能指標及規(guī)格字符會話并發(fā)不少于500 個，圖形會話并發(fā)不少于150 個?？晒芾碣Y源數(shù)量不少于300 臺三、技術要求1提供的產(chǎn)品系統(tǒng)與運維日志分離存儲，系統(tǒng)由電子盤獨立存儲，運維日志由硬盤存儲，確保系統(tǒng)與日志的獨立性。2部署模式：要求產(chǎn)品旁路兩種部署模式。3運維模式：要求支持Portal統(tǒng)一登錄，并兼容終端C/S

14、客戶端連接設備。4配置模式：要求支持B/S 模式對設備進行基本的管理、配置、運維。5審計模式： 要求審計員需通過專有的審計客戶端軟件（ C/S 架構(gòu)）對運維會話進行安全審計，并能通過審計客戶端軟件制作不同樣式的專業(yè)報表。6集中管控：要求產(chǎn)品支持分布式管理模式，支持總控管理模式。7要除支持Telnet 、S、Xwindow、VNC、Http 、https等常用協(xié)議運維操作審計外，還要支持PcAnywhere、DameWare、數(shù)據(jù)庫管理客戶端、網(wǎng)管客戶端等C/S 類應用系統(tǒng)的運維操作審計，審計的日志要求以視頻、文本、報表的形式進行保存，并可對運維人員操作步驟進行視頻回放。8產(chǎn)品基于HTTPS/S

15、SL的自身安全管理與審計；審計信息加密存儲，保證運維信息不被人工篡改；口令信息加密存儲，保證口令信息不被泄露。9系要求與底層linux操作系統(tǒng)實行帳號分離，能夠自定義命名root帳號為用戶名'.的管理帳號且無后臺登陸帳號。10身份認證管理：為了確保合法用戶才能訪問其擁有權(quán)限的后臺資源，解決IT 系統(tǒng)中普遍存在的交叉運維而無法定位到具體人的問題，系統(tǒng)需提供一套完整的身份管理和認證功能。11認證方式：除支持常規(guī)的運維用戶靜態(tài)口令、動態(tài)口令、LDAP、AD域認證外，還要支持原廠USBKEY證書認證方式；12支持密碼強度、密碼有效期、口令嘗試死鎖、用戶激活等安全管理功能；13支持用戶分組管理，

16、支持用戶信息導入導出；14產(chǎn)品必須支持系統(tǒng)管理員、運維管理員、 口令管理員和審計員等不同管理員角色；支持審計員分權(quán)管理（分為全局審計員和會話審計員），其中會話審計員只能審計指定用戶的會話。15帳號代填：支持對后臺資源（RDP/TELNET/SSH/等）的帳號口令代填功能，即用戶登錄系統(tǒng)后，系統(tǒng)根據(jù)用戶權(quán)限分配后臺資源的使用權(quán)。16帳號托管：支持對后臺資源（Windows、 linux 、unix ）的系統(tǒng)帳號密碼定期自動修改功能。17授權(quán) : 系統(tǒng)提供基于用戶、運維協(xié)議、目標主機、運維時間段（年、月、日、周、時間）、會話時長、運維客戶端 IP 等組合的授權(quán)功能，實現(xiàn)細粒度授權(quán)功能，滿足用戶實際

17、授權(quán)的需求。18對于字符型協(xié)議、如Telnet 、 SSH、等，能夠?qū)崿F(xiàn)命令級別的訪問控制。19提供基于用戶到資源的授權(quán)、命令黑白名單： 可以通過命令行配置進行規(guī)則匹配，支持黑、白名單功能；提供基于用戶到資源的授權(quán)。20實時告警： 提供用戶可配置的告警規(guī)則以實現(xiàn)告警與阻斷，告警規(guī)則支持多條命令，告警規(guī)則支持正則表達式。21提供基于用戶到資源的授權(quán)。22告警規(guī)則可以按照帳號級別進行綁定，可以設置為只有指定安全級別的帳號才能觸發(fā)告警規(guī)則，針對不同用戶實施不同的規(guī)則，從而提供更細粒度的操作控制。23應用發(fā)布 : 主要針對C/S 架構(gòu)類運維工具的擴展支持，通過定義相應的訪問規(guī)則限制使用發(fā)布后工具的越權(quán)

18、訪問。24支持工具類型：可支持對數(shù)據(jù)庫維護工具、pcAnywhere 、DameWare等不同工具的運維操作進行監(jiān)控和審計、通過專用的應用發(fā)布平臺，能夠限制運維用戶訪問的目標IP ，'.并對整個運維操作過程進行完整記錄，實現(xiàn)詳盡的會話審計和回放；運維操作全程可控，最大降低對后臺目標服務集群的可能安全風險；25會話監(jiān)控：支持對正在運維會話，信息包括運維用戶、運維客戶端地址、資源地址、協(xié)議、開始時間等的監(jiān)控。26已授權(quán)資源審核：審計員能夠?qū)σ咽跈?quán)的資源進行審核，防止資源授權(quán)過當引起的安全隱患問題。27實時監(jiān)控：提供在線運維操作的實時監(jiān)控功能，針對命令協(xié)議和圖形協(xié)議可以圖像方式實時監(jiān)控正在運

19、維的各種操作，其信息與運維客戶端所見完全一致。28遠程阻斷：審計員可以遠程阻斷在線的運維會話。29完整記錄網(wǎng)絡會話過程: 系統(tǒng)提供運維協(xié)議Telnet 、 S（ Windows Terminal）、Xwindows、VNC、Http 、Https 以及應用發(fā)布等網(wǎng)絡會話的完整會話記錄，完全滿足內(nèi)容審計中信息百分百不丟失的要求；會話信息包括運維用戶、運維地址、后臺資源地址、資源名、協(xié)議、起始時間、終止時間、流量大小信息。30會話審計與回放: 會話查詢：運維操作審計以會話為單位，提供當日和條件查詢定位。條件查詢支持按運維用戶、運維地址、后臺資源地址、協(xié)議、起始時間、結(jié)束時間和操作內(nèi)容中關鍵字等組合

20、方式；文本顯示：針對命令交互方式的協(xié)議，提供逐條命令及相關操作結(jié)果的文本顯示；錄像顯示：提供圖像形式的回放，真實、直觀、可視地重現(xiàn)當時的操作過程，并支持回放過程中得快放、慢放、拖拉等方式，方便快速定位和查看，針對 RDP、Xwindows、 VNC協(xié)議，提供按時間進行定位回放。31提供運維人員操作、管理員操作以及違規(guī)事件等多種審計報表。32提供日常報表，包括今日會話、今日自審計、用戶信息、資源信息、權(quán)限信息、規(guī)則信息、管理員角色信息等報表；33提供會話報表，可根據(jù)用戶選定時間、用戶、資源形成會話報表。34自審計操作報表，可根據(jù)用戶選定時間、管理員、模塊形成自審計報表。35告警報表，可根據(jù)告警類別、級別、資源、運維用戶、協(xié)議、時間等條件形成報表。36綜合統(tǒng)計報表，可根據(jù)時間、資源、用戶等條件形成綜合統(tǒng)計報表，報表中包括概要信息、每個用戶操作信息、