随着互联网信息技术的发展,各类信息网络产品层出不穷。而快速建设的IT系统,也正在从以前传统封闭的业务系统向大型关键业务系统扩展,所涉及的应用类型也日趋增加。运维安全审计作为企业信息安全建设不可缺少的组成部分,逐渐受到用户的关注,是企业安全保障体系中的重要组成部分。
概念及功能
运维安全审计系统,即在一个特定的网络环境下,为了保障网络和数据不受来自内部合法用户的不合规操作带来系统损坏、数据泄露,从而实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以达到集中报警,并记录、分析、处理的系统。
从功能上,它具备核心系统运维和安全审计管控两大功能;从技术上,它通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。换言之,它就像是一个忠实的门卫,所有对网络设备和服务器的请求都要经过其看守的大门。而作为门卫,终端计算机对目标的访问,均需要经过它(运维安全审计)的查验。因此,运维安全审计能够有效拦截非法访问、恶意攻击等,对不合规字符、命令进行输出阻断,过滤掉所有对目标设备的非法访问行为。
产生背景
针对安然、世通等财务欺诈事件,2002年出台的《公众公司会计改革和投资者保护法案》(Sarbanes-Oxley Act)对组织治理、财务会计、监管审计制定了新的准则,并要求组织治理核心,如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。
与此同时,我国国内相关职能部门亦在内部控制与风险管理方面制定了相应的指引和规范。由于信息系统的脆弱性、技术的复杂性、操作的人为因素,在设计以预防、减少或消除潜在风险为目标的安全架构时,引入运维管理与操作监控机制,以预防、发现错误或违规事件,对IT风险进行事前防范、事中控制、事后监督和整改的组合管理是非常重要的。
IT系统审计是控制内部风险的一个重要手段,但IT系统构成复杂,操作人员众多,如何有效地对其进行审计,是长期困扰各单位的信息部门和风险稽核部门的一个重大课题。如何对企业内部“信息中心”进行有效地安全把控,现已成为政府、金融、企业必需面对的重要问题。
解决之道
以智恒联盟运维安全审计系统(简称SAS)为例,该设备是一款集运维安全控制与运维安全审计相结合的产品,全面防护整个IT资源架构,对主机、数据库、应用系统、网络设备、安全设备等的数据访问进行安全有效的实时操作审计,支持对审计结果的实时监控与回放。
操作管理图
其关键技术如下:
逻辑命令自动识别技术:SAS自动识别当前操作终端,对当前终端的输入输出进行控制,组合输入输出流,自动识别逻辑语义命令。系统会根据输入输出上下文,确定逻辑命令编辑过程,进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能,在传统键盘捕获与控制领域取得新的突破,可以更加准确的控制用户意图。该技术能自动识别命令状态和编辑状态以及私有工作状态,准确捕获逻辑命令。
分布式处理技术:SAS采用分布式处理架构进行处理,启用命令捕获引擎机制,通过策略服务器完成策略审计,通过日志服务器存储操作审计日志,并通过实时监视中心,实时察看用户在服务器上的行为。这种分布式设计有利于策略的正确执行和操作记录日志的安全。同时,各组件之间采用安全连接进行通信,防止策略和日志被篡改。各组件可以独立工作,也可以分布于不同的服务器上,亦可将所有组件安装于一台服务器上。
图形协议代理:为了对图形终端操作行为进行审计和监控,内控堡垒主机对图形终端使用的协议进行代理,实现多平台的多种图形终端操作的审计,例如 Windows 平台的RDP方式图形终端操作,Linux/Unix平台的 XWindow方式图形终端操作。
数据加密功能:SAS在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性,防止恶意用户截获和篡改数据,充分保护用户在操作过程中不被恶意破坏。
操作还原技术:操作还原技术是指将用户在系统中的操作行为在真实的环境中模拟显现出来,审计管理员可以根据操作还原技术还原出真实的操作,以判定问题出在哪里。
SAS采用操作还原技术能够将用户的操作流程自动地展现出来,能够监控用户的每一次行为,判定用户的行为是否对企业内部网络安全造成危害。
结语
IT系统的广泛应用是一柄双刃剑,一方面带来了规范、便捷、高效的办公流程和业务模式,一方面也引发了对IT系统的安全性问题,以及内部运维的防御难、控制难、追溯难等问题。这些问题威胁着信息的安全。如:内部业务数据被篡改、泄露、窃取;恶意传播病毒、在服务器访问非法网站、误操作,在重要服务器上乱操作等等。
由此可见,信息安全建设在加大网络边界防护、数据通信安全、病毒防护能力等外部网络安全建设的基础上,同样不能忽略内部运维安全的建设。引入运维安全管理与操作监控机制以发现并阻止错误及违规事件,对IT风险进行事前防范、事中控制、事后追溯的组合管理是十分必要的。
SAS运维安全审计系统是用于数据中心IT运维的管理和审计系统,可以对基于Telnet、SSH、RDP、VNC等标准协议的访问控制过程的抓取,也可以对基于其他非标准协议的C/S或B/S管理模式的设备进行代填管理,从而可以以录像方式对所有运维人员的操作进行记录,并具备强大的搜索功能,可以对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取,从而达到真正意义上的审计与风险控制。
(责任编辑:)
