Logbase运维安全审计系统技术白皮书XXXX

1、斑LogBase办运维安全审计系昂统技术白皮书颁 凹 肮杭州拔思福迪拜信息技术有限公佰司哎 傲20挨10版权说明柏耙 版权所有 2鞍005-20皑10阿，杭州思福迪信暗息技术有限公司扒本文件中出现的阿任何文字叙述、霸文档格式、插图爸、照片、方法、氨过程等内容，除昂另有特别注明，耙版权均属爱杭州思福迪信息奥技术有限公司扒所有，受到有关澳产权及版权法保叭护。任何个人、扒机构未经安杭州思福迪信息鞍技术有限公司肮的书面授权许可捌，不得以任何方昂式复制或引用本哀文件的任何片断按。商标信息霸LogBase般是杭州思福迪信傲息技术有限公司拌注册商标，受商安标法保护。公司信息罢网址：埃 http:爸/www.

2、l靶ogbase.胺cn碍E-mail：败support吧logbas疤扮地址： 杭州扳市文一西路75芭号3号楼6楼 靶热线: 4霸00-678-般1500 绊电话： 05八71-8892熬3222 矮 半传真：靶 0571-昂8892388拔7目 录TOC o 1-3 h z u HYPERLINK l _Toc252723864 一、前言 PAGEREF _Toc252723864 h 4 HYPERLINK l _Toc252723865 澳二、为什么需要盎运维审计系统哎 PAGEREF _Toc252723865 h 邦5 HYPERLINK l _Toc252723866 爸三、盎L

3、ogBase捌审计产品概述矮 PAGEREF _Toc252723866 h 隘6 HYPERLINK l _Toc252723867 跋3.1阿系统架构扳 PAGEREF _Toc252723867 h 捌6 HYPERLINK l _Toc252723868 扮3.2扳技术原理澳 PAGEREF _Toc252723868 h 八7 HYPERLINK l _Toc252723869 爱3.3啊支持协议清单罢 PAGEREF _Toc252723869 h 邦8 HYPERLINK l _Toc252723870 背四、主要功能介般绍肮 PAGEREF _Toc252723870 h 扒9

4、 HYPERLINK l _Toc252723871 澳4.1熬统一用户身份认般证敖 PAGEREF _Toc252723871 h 傲9 HYPERLINK l _Toc252723872 霸4.2白访问权限控制昂 PAGEREF _Toc252723872 h 暗9 HYPERLINK l _Toc252723873 癌4.3盎服务器密码管理绊 PAGEREF _Toc252723873 h 白9 HYPERLINK l _Toc252723874 矮4.4爸会话同步监控耙 PAGEREF _Toc252723874 h 盎10 HYPERLINK l _Toc252723875 坝4.5

5、啊异常行为告警傲 PAGEREF _Toc252723875 h 碍10 HYPERLINK l _Toc252723876 百4.6瓣操作行为记录跋 PAGEREF _Toc252723876 h 啊10 HYPERLINK l _Toc252723877 跋4.7罢会话过程重放靶 PAGEREF _Toc252723877 h 唉10 HYPERLINK l _Toc252723878 扒4.8败历史记录查询叭 PAGEREF _Toc252723878 h 稗11 HYPERLINK l _Toc252723879 坝4.9稗综合审计报表拜 PAGEREF _Toc252723879 h

6、 芭11 HYPERLINK l _Toc252723880 氨五、产品特性俺 PAGEREF _Toc252723880 h 绊12 HYPERLINK l _Toc252723881 般5.1半无干扰部署方式盎 PAGEREF _Toc252723881 h 吧12 HYPERLINK l _Toc252723882 挨5.2坝支持所有主流协斑议扒 PAGEREF _Toc252723882 h 捌12 HYPERLINK l _Toc252723883 拌5.3WEB昂在线回放技术埃 PAGEREF _Toc252723883 h 昂12 HYPERLINK l _Toc25272388

7、4 拜5.4傲人性化使用方式敖 PAGEREF _Toc252723884 h 扳12 HYPERLINK l _Toc252723885 罢5.5熬丰富的审计报表罢 PAGEREF _Toc252723885 h 伴12 HYPERLINK l _Toc252723886 安5.6鞍安全可靠的自身版保障能力皑 PAGEREF _Toc252723886 h 霸13 HYPERLINK l _Toc252723887 巴六、部署方式霸 PAGEREF _Toc252723887 h 般14 HYPERLINK l _Toc252723888 爱七、规格指标挨 PAGEREF _Toc25272

8、3888 h 般15 HYPERLINK l _Toc252723889 八、综述 PAGEREF _Toc252723889 h 16一、前言唉各种权威的网络俺安全调查结果均颁表明，在可统计疤的安全事件中，颁60%以上均与案内部人员有关，百这其中啊既敖包括恶意行为（皑越权访问、恶意霸破坏、数据窃取颁），也包括爱各种非主观故意佰引起的岸非恶意行为（误耙操作、权限滥用办）胺。安由此可见，规范澳内部人员的访问败行为，特别是核唉心系统（主机、案网络设备、安全叭设备、数据等）鞍的维护行为势在瓣必行。唉传统的信息安全坝建设，往往侧重霸于唉对板外部黑客攻击盎的防范般，以及网络边界氨的访问控制，对疤信息系统

9、安全威隘胁最大的内部人熬员行为却阿缺乏有效矮的扳管理埃。百企业内部人员，哀特别是拥有信息澳系统较高访问权捌限的运维阿人员（如网管员盎、临时聘用人员哎、第三方代维人盎员、厂商工程师柏等），比外部入袄侵者更容易接触板到信息系统的核胺心设备和敏感数鞍据唉、内部人员恶意艾或非恶意的破坏霸行为更容易造成按较大的破坏霸。盎然而，背由于白现有挨管理手段盎的不完善背，半账号共享情况普敖遍存在板，跋以及芭加密、图形协议版的耙广泛半应用，使得傲这些运维管理搬人员的日常操作扳，稗存在颁操作身份不明确按、操作过程不透背明、操作内容不阿可知、操作行为挨不可控、操作事昂故无法定位等艾安全风险稗。内部人员的操版作行为几乎处

10、于邦完全失控的状态懊，一旦发生事故版，其后果的严重艾性将是无法预估拔的。鞍因此，放任内部皑风险的存在决不啊可行。邦此外，从绊遵守国家及本行唉业各项法律法规白的挨角度考虑耙。皑随着懊版中华人民共和国挨计算机信息系统唉安全保护条例阿巴的推癌广昂实施捌，对IT唉系统内部控制罢的要求越来越扳明确搬。案如，等保基本要阿求中明确提出皑，般要对隘“吧内部维护人员登板录主机、数据库俺所进行的所有操按作行为暗”般、靶“扳第三方人员的维半护行为版”岸进行审计和控制伴。巴为满足用户对加盎强内部捌运维笆安全审计日益迫爸切的需要，杭州皑思福迪公司翱，皑依托自身强大的把研发能力，丰富搬的行业经验，芭自主研发埃了蔼新一代软

11、硬件一稗体化叭运维安全专用芭审计系统按矮Logbase班运维安全审计系熬统。班该系统笆支持搬对翱企业内部人员的拜操作行为办进行全面澳的岸审计、盎监控板，消除了传统审俺计系统中的盲点埃，邦使企业对运维人颁员吧的爸操作过程哀，能做到跋事前防范、事中霸控制、事后审计翱的能力，是爸企业IT内控巴最氨有效的啊管理平台扳。扮二、为什么需要隘运维审计系统拜企业的信息系统白，在日常的内部隘运维管理澳及IT内控合规安性遵循阿过程中，经常耙会傲遇到百如败下板问题傲：佰多位运维人员共摆用一个系统帐号隘，当出现安全事把故时相互推诿，凹缺乏客观、可信吧的依据来确定事拔故责任人肮；佰维护人员可能只扒需要执行简单的暗规定操

12、作，但却袄通常扒需要使用耙拥有更多权限的办系统账户捌，拌而俺系统胺自身又敖无法进行细粒度扮的授权管理，无俺法进行暗指令级或文件级傲别的访问权限控拔制半；岸服务器吧、捌网络设备叭、芭数据库扳等资产的半数量日益增多，澳按照般管理要求碍定期修改密码板成为耗时费力的隘琐事，基层运维碍人员是否严格遵吧守制度，唉按时盎完成密码安全管伴理工作，管理坝人啊员搬无法癌方便艾得知皑；蔼当第三方运维人昂员（代维/原厂挨工程师）哎，需要对系统进蔼行操作时般，基于对搬合作伙伴拌的信任盎及工作方便需要稗，巴企业内部蔼人员耙通跋常会皑给与其拥有高权板限的系统账户甚颁至按管理员隘帐户扳，而管理员却无艾法从技术上确保摆，第三方

13、人员的柏所有疤操作行为邦是否佰合规；瓣当系统芭因某些操作般发生故障时，因熬为版缺乏对操作过程拔的全程记录，岸无法还原事故现邦场班，确定问题原因巴，八而使得系统恢复爱时间大大延长；昂三拌、盎LogBase按审计隘产品鞍概述般癌Logbase胺运维安全审计系暗统是柏新一代操作行为吧安全审计系统，靶它采用软硬件一版体化设计，通过懊B/S方式(h把ttps)进行胺管理绊，其主要功能为靶实翱现对吧运维人员伴操作把服务器奥、柏网络设备、拔数据库爱过程的爸全程监控与审计暗，以及扳对搬违规操作暗行为的唉实时阻断背。跋该产品疤采用先进的办设计理念伴，败支持对多种远程澳维护方式的板支持柏，如字符终端方搬式(SSH

14、、T蔼elnet、R肮login)、百图形方式（RD敖P、X11、V板NC、Radm暗in、PCAn哎ywhere）佰、文件传输（F氨TP、SFTP吧）以及多种主流巴数据库的访问操百作矮。3.1系统架构颁埃Logbase般运维安全审计系艾统采用模块化设八计，主要由以下疤模块组成：行为疤控制模块、审计疤模块、管理模块翱、澳存储模块、捌用户管理接口模摆块绊，各模块间关系安如下图所示：伴图1.矮系统架构图行为控制模块敖吧实现对网络按、数据库、服务坝器拌维护哎过程肮的案网络拔数据包把代理摆转发、蔼行为还原及芭记录、隘违规行为阻断功傲能；管理模块胺佰实现维护用户管稗理、主机资产管靶理、用户叭授权与访问权

15、限疤管理，以及对审案计记录的数据存碍储控制；审计模块胺碍实现行为安全审爱计功能，包括实班时违规行为告警昂系统、历史记录柏检索系统以及报罢表系统；用户界面扒佰提供盎运维人员八审计管理接口，佰以及运维用户般的远程工具使用斑界面。3.2技术原理背隘Logbase埃运维安全审计系肮统采用协议代理拌方式对各种维护扒协议进行转发，翱并在转发的过程碍中奥分别模拟了协议翱的客户端与服务把端颁，具体如下图所奥示：敖图2.捌技术实现原理示疤意图搬当客户端通过运澳维审计系统访问啊服务器时，首先柏由运维安全审计般系统模拟成远程罢访问的服务端时袄，接受客户端发氨送的信息，并对扒其进行协议的还肮原、解析、记录佰，最终获得

16、客户爱端发送的指令信邦息，再模拟成操拜作的客户端阿，班与真正的目标服隘务器建立扮通讯跋，敖并转发用户端发安送的指令信息版。接收到服务器白端的返回信息后板，再反向执行此罢过程，将返回值耙发送给客户端爱从而实现对柏各种维护协议的拌代理转发哎过程。在通讯过暗程中，Logb埃ase运维安全艾审计系统会记录傲各种指令信息，班并根据违规规则傲库对指令信息进奥行比对，如发现斑违规的操作行为扮，则终止数据包罢的转发，并中断矮整个TCP会话笆。岸3.3支持协议邦清单矮字符型远程操作蔼协议SSH TELNETRLOGIN啊图形终端操作协奥议巴RDP板(5.x、6.靶x、7.x)VNC X11数据库远程协议哀ORA

17、CLE稗 (8i、9i肮、捌10g斑、爸11g昂)袄MSSQL S把ERVER把（2000、2啊005）SYBASE文件传输协议FTPSFTP邦四奥、埃主要功能介绍白4巴.1办统一用户案身份认证俺在信息系统的维耙护管理过程中，白经常会出现多名唉运维人员袄共用同一系统帐疤号进行登录访问搬的情况，从而导敖致很多安全事件稗无法清晰地定位敖责任人。案LogBase肮运维安全审计系颁统通过隘“扳运维胺审计系统帐号疤”稗与挨“翱服务器帐号皑”般相关联的方式，跋即在Logba耙se系统中为每拌一个阿运维人员吧创建唯一的登录哎账号，般运维人员奥通过拌自身傲的斑“拜审计系统帐号拜”芭，先登录运维安哀全审计系统，

18、再按登录目标服务器唉，从而实现按将用户身份的认颁证落实到绊“斑自然人叭”案。稗Logbase疤运维审计系统支懊持SSO功能，俺维护人员只要登艾录运维审计系统啊，即可访问所有蔼被授权邦的服务器系统搬，无需进行二次颁登录认证。办4伴.2爸访问权限控制俺LogBase扒运维安全审计系坝统可以对运维人疤员进行细粒度的蔼权限控制，扒管理拌可以根据跋人员坝、时间斑、白系统账户胺、操作指令等鞍内容设定访问权捌限版，如：般限制用户能够访把问的服务器范围绊；俺限制用户能够登靶录的绊时间半；艾设定用户操作指八令黑霸、白哎名单，阻止违规巴操作行为；熬LogBase蔼运维安全审计系凹统还支持特有的凹授权访问机制，捌即

19、对某些用户，扳，每次访问特定懊设备前都需要管耙理员进行授权才八能通行，避免临肮时人员在管理员败不知情的情况下跋进行访问。坝4邦.3扮服务器密码管理拌LogBase坝运维安全审计系凹统提供服务器密办码管理功能，摆可以瓣周期瓣性芭对服务器密码进啊行霸自动敖修改，并保证密拔码板复杂程度与密码盎文件的安全保管半。霸管理员可以设定碍改密周期、密码耙强度策略等改密艾要求。叭4半.4靶会话般同步挨监控般对于所有远程访捌问目标服务器的扒会话连接，扮Logbase靶运维安全审计系熬统均可实现胺同步过程监视跋，扒运维人员爱在服务器上做的哀任何操作都会同鞍步显示在审计人安员的监控画面中案，包括vi、s办mit以及图

20、形邦化的RDP、V挨NC捌、X11叭等操作耙，扮管理员可以根据啊需要随时切断违搬规操作会话癌。扒4鞍.5懊异常行为告警办LogBase爸运维安全审计系凹统翱内置邦安全事件规则库爸，芭并可实时奥对般用户的操作过程蔼进行检测，一旦霸发现违规疤操作行为，捌可以熬通过短信、邮件袄等方式向审计人凹员及时发送告警班信息半或自动按中止氨操作会话。耙安全事件规则库靶支持自定义扩充凹功能，安管理员可以根据巴企业内部管理需澳求，碍灵活扩充规则库邦内容疤。澳4爱.6凹操作行为记录叭对所有皑经过审计系统的叭操作氨行为矮，办LogBase澳运维安全审计系捌统般均可完整记录操耙作过程，靶保留操作搬记录扳，半记录内容包括操

21、碍作时间、IP地埃址、用户账号、班服务器账号、操暗作指令、操作结阿果等信息奥。挨对于所有的操作蔼记录，Logb俺ase运维安全扒审计系统可以长皑时间进行保留，俺为日后安全审计瓣提供按客观败依据。氨4般.7拜会话过程重放蔼Logbase邦内控堡垒审计系肮统敖能够以视频回放半方式矮，颁重现维护人员对袄服务器的所有操安作过程，从而真半正实现对操作行版为的完全审计。氨回放过程采用W傲EB在线播放方奥式，无需在安装罢播放客户端软件捌。疤回放过程支持常柏见的视频播放控阿制操作，如倍哀速隘/低速白播放、拖动爸、暂停、停止、暗重新播放等等，蔼也可以翱从特定指令开始氨定位回放岸。稗4扳.8伴历史记录查询盎Log

22、base瓣 八运维安全阿审计系统支持通班过友好的查询界熬面，对以前发生奥过的拜历史哎事件进行查询。熬审计人员可以根般据颁时间、蔼IP地址叭、用户名、操作斑指令版等信息对历史数邦据进行癌多拌条件组合查询，皑快速定位板目标记录巴。按查询结果可以直邦接导出为exc班el文件，方便半审计员进行后续摆处理。爱4隘.9昂综合审计报表胺Logbase摆 运维安全皑审计系统支持强爱大的报表瓣功能，内置瓣大量的安全隘审计报表唉模板唉，同时也支持通拔过自定义方式扩案充报表内容袄。半报表支持绊以班天、星期、月挨为伴周期自动生成报艾表，癌并可通过邮件自唉动送达管理员处稗。拔也可以由管理员翱随时巴手工生成所需的哎报表。

23、五、产品特性捌5挨.1白无干扰部署方式埃盎Logbase颁运维安全审计系半统斑采用埃旁路扳模式部署笆，无需改变巴用户网络结构，碍无需碍在客户端及服务败器端安装程序氨，稗不扳会影响客户正常拔业务系统使用。碍5肮.2巴支持所有主流蔼协议凹敖支持澳各艾种主流操作协议翱包括字符型操作矮、图形化操作、靶文件传输、数据叭库访问操作等凹，暗支持对象全面覆埃盖安主流的服务器系爱统、网络设备、鞍安全设备、数据安库系统巴。扳5袄.扮3笆WEB在线吧回放肮技术伴Logbase版运维安全审计系熬统翱支持般WEB在线回放拜技术百，无需在客户端哎安装任何回放软鞍件即可实现操作肮过程回放功能，埃回放过程支持常半见视频回放操

24、作挨。背5把.耙4凹人性化使用方式败Logbase奥运维安全审计系埃统靶支持用户摆通过邦WEB扒页面直接扒访问目标系统坝，如通过霸web柏页面瓣访问哎SSH班服务器、拌windows百远程终端等等；柏系统摆同时也支持阿运维人员八使用自己习惯的岸客户端软件去访阿问目标服务器，佰如败putty佰、坝SecureC鞍RT扳、拌S艾ecure s按hell等爱等摆。跋5背.搬5笆丰富的审计报表爱奥Logbase安内置哀丰富的埃安全暗审计报表捌，办总数超过百张，熬即坝能够满足办大部分爱客户昂的爱日常柏审计需求扮，皑也可满足如捌“熬等级保护爱”隘、蔼“办萨班斯法案敖”按等合规性要求。埃同时，摆系统拔也百支持爸通过自定义或二翱次开发方式进行按灵活蔼扩展拜。俺5败.啊6挨安全可靠的自身绊保障能力瓣奥Logbase俺运维安全审计系凹统般，凹通过多种技术手艾段哎，翱来保障吧自身柏与审计数据的伴安全性耙。蔼如：奥内置自身安全防胺护防火墙办数据防篡改、防澳删除技术设计；案严格的访问权限败、审计权限控制胺体系；捌RAID皑磁盘阵列，有效