LogBase运维安全审计系统技术白皮书

1、斑LogBase耙运维安全审计系拌统技术白皮书敖 埃 翱杭州拔思福迪伴信息技术有限公盎司般 翱20颁10Logbase运维安全审计系统技术白皮书杭州思福迪信息技术有限公司 19/19版权说明哎凹 版权所有 2捌005-20昂10背，杭州思福迪信啊息技术有限公司伴本文件中出现的笆任何文字叙述、吧文档格式、插图拜、照片、方法、柏过程等内容，除般另有特别注明，芭版权均属把杭州思福迪信息扒技术有限公司皑所有，受到有关扳产权及版权法保吧护。任何个人、八机构未经矮杭州思福迪信息捌技术有限公司按的书面授权许可鞍，不得以任何方吧式复制或引用本唉文件的任何片断俺。商标信息斑LogBase摆是杭州思福迪信罢息技术

2、有限公司败注册商标，受商把标法保护。公司信息网址： 扮E-mail：半support搬logbas懊扮地址： 杭州案市文一西路75半号3号楼6楼 瓣热线: 4懊00-678-拔1500 翱电话： 05柏71-8892办3222 颁 盎传真：搬 0571-扮8892388昂7目 录TOC o 1-3 h z u HYPERLINK l _Toc252723864 一、前言 PAGEREF _Toc252723864 h 4 HYPERLINK l _Toc252723865 案二、为什么需要颁运维审计系统败 PAGEREF _Toc252723865 h 疤5 HYPERLINK l _Toc2

3、52723866 搬三、安LogBase肮审计产品概述八 PAGEREF _Toc252723866 h 癌6 HYPERLINK l _Toc252723867 扒3.1澳系统架构懊 PAGEREF _Toc252723867 h 半6 HYPERLINK l _Toc252723868 班3.2傲技术原理斑 PAGEREF _Toc252723868 h 傲7 HYPERLINK l _Toc252723869 巴3.3霸支持协议清单鞍 PAGEREF _Toc252723869 h 霸8 HYPERLINK l _Toc252723870 爱四、主要功能介伴绍鞍 PAGEREF _Toc

4、252723870 h 八9 HYPERLINK l _Toc252723871 矮4.1唉统一用户身份认败证背 PAGEREF _Toc252723871 h 笆9 HYPERLINK l _Toc252723872 傲4.2斑访问权限控制阿 PAGEREF _Toc252723872 h 氨9 HYPERLINK l _Toc252723873 艾4.3瓣服务器密码管理绊 PAGEREF _Toc252723873 h 癌9 HYPERLINK l _Toc252723874 摆4.4拔会话同步监控袄 PAGEREF _Toc252723874 h 百10 HYPERLINK l _Toc

5、252723875 背4.5艾异常行为告警办 PAGEREF _Toc252723875 h 扒10 HYPERLINK l _Toc252723876 胺4.6爱操作行为记录懊 PAGEREF _Toc252723876 h 澳10 HYPERLINK l _Toc252723877 爱4.7白会话过程重放罢 PAGEREF _Toc252723877 h 拔10 HYPERLINK l _Toc252723878 半4.8疤历史记录查询阿 PAGEREF _Toc252723878 h 拜11 HYPERLINK l _Toc252723879 巴4.9疤综合审计报表跋 PAGEREF _

6、Toc252723879 h 矮11 HYPERLINK l _Toc252723880 佰五、产品特性白 PAGEREF _Toc252723880 h 艾12 HYPERLINK l _Toc252723881 案5.1唉无干扰部署方式霸 PAGEREF _Toc252723881 h 傲12 HYPERLINK l _Toc252723882 班5.2半支持所有主流协罢议扒 PAGEREF _Toc252723882 h 搬12 HYPERLINK l _Toc252723883 按5.3WEB哎在线回放技术般 PAGEREF _Toc252723883 h 哀12 HYPERLINK

7、l _Toc252723884 疤5.4唉人性化使用方式爱 PAGEREF _Toc252723884 h 拜12 HYPERLINK l _Toc252723885 八5.5疤丰富的审计报表斑 PAGEREF _Toc252723885 h 跋12 HYPERLINK l _Toc252723886 奥5.6皑安全可靠的自身霸保障能力耙 PAGEREF _Toc252723886 h 盎13 HYPERLINK l _Toc252723887 蔼六、部署方式啊 PAGEREF _Toc252723887 h 背14 HYPERLINK l _Toc252723888 拔七、规格指标阿 PAG

8、EREF _Toc252723888 h 颁15 HYPERLINK l _Toc252723889 八、综述 PAGEREF _Toc252723889 h 16一、前言奥各种权威的网络埃安全调查结果均哀表明，在可统计鞍的安全事件中，矮60%以上均与敖内部人员有关，绊这其中背既吧包括恶意行为（办越权访问、恶意爱破坏、数据窃取肮），也包括办各种非主观故意瓣引起的皑非恶意行为（误扮操作、权限滥用百）拌。班由此可见，规范凹内部人员的访问艾行为，特别是核翱心系统（主机、盎网络设备、安全摆设备、数据等）安的维护行为势在斑必行。案传统的信息安全霸建设，往往侧重阿于霸对氨外部黑客攻击挨的防范颁，以及网络边

9、界把的访问控制，对哎信息系统安全威扳胁最大的内部人癌员行为却矮缺乏有效摆的八管理懊。搬企业内部人员，坝特别是拥有信息邦系统较高访问权俺限的运维傲人员（如网管员白、临时聘用人员般、第三方代维人挨员、厂商工程师埃等），比外部入暗侵者更容易接触岸到信息系统的核哎心设备和敏感数办据搬、内部人员恶意霸或非恶意的破坏扒行为更容易造成袄较大的破坏鞍。摆然而，八由于翱现有啊管理手段靶的不完善哎，啊账号共享情况普癌遍存在氨，靶以及罢加密、图形协议胺的哎广泛柏应用，使得叭这些运维管理坝人员的日常操作熬，叭存在熬操作身份不明确佰、操作过程不透跋明、操作内容不扳可知、操作行为蔼不可控、操作事矮故无法定位等胺安全风险柏

10、。内部人员的操霸作行为几乎处于埃完全失控的状态半，一旦发生事故拌，其后果的严重暗性将是无法预估肮的。办因此，放任内部半风险的存在决不绊可行。柏此外，从澳遵守国家及本行矮业各项法律法规癌的拔角度考虑佰。岸随着癌跋中华人民共和国阿计算机信息系统般安全保护条例白霸的推霸广罢实施扮，对IT岸系统内部控制班的要求越来越阿明确坝。碍如，等保基本要扳求中明确提出肮，暗要对稗“半内部维护人员登白录主机、数据库扳所进行的所有操懊作行为唉”叭、叭“伴第三方人员的维翱护行为爸”胺进行审计和控制芭。背为满足用户对加暗强内部邦运维爸安全审计日益迫鞍切的需要，杭州暗思福迪公司坝，班依托自身强大的扮研发能力，丰富隘的行业经

11、验，哎自主研发矮了颁新一代软硬件一蔼体化爸运维安全专用敖审计系统半疤Logbase盎运维安全审计系捌统。捌该系统罢支持俺对佰企业内部人员的阿操作行为耙进行全面拔的澳审计、佰监控敖，消除了传统审敖计系统中的盲点懊，俺使企业对运维人柏员般的奥操作过程罢，能做到绊事前防范、事中芭控制、事后审计耙的能力，是耙企业IT内控背最矮有效的澳管理平台癌。敖二、为什么需要昂运维审计系统吧企业的信息系统芭，在日常的内部安运维管理熬及IT内控合规爸性遵循扳过程中，经常巴会霸遇到般如翱下拌问题罢：般多位运维人员共百用一个系统帐号败，当出现安全事案故时相互推诿，阿缺乏客观、可信拌的依据来确定事案故责任人艾；笆维护人员可

12、能只巴需要执行简单的霸规定操作，但却罢通常蔼需要使用碍拥有更多权限的爸系统账户邦，败而凹系统奥自身又肮无法进行细粒度搬的授权管理，无瓣法进行捌指令级或文件级爱别的访问权限控翱制癌；暗服务器扳、拌网络设备伴、摆数据库岸等资产的暗数量日益增多，捌按照岸管理要求吧定期修改密码爸成为耗时费力的罢琐事，基层运维胺人员是否严格遵办守制度，扒按时胺完成密码安全管奥理工作，管理绊人爸员澳无法埃方便巴得知埃；袄当第三方运维人芭员（代维/原厂唉工程师）爸，需要对系统进艾行操作时凹，基于对昂合作伙伴坝的信任挨及工作方便需要氨，柏企业内部霸人员搬通碍常会百给与其拥有高权稗限的系统账户甚芭至暗管理员坝帐户埃，而管理员却

13、无敖法从技术上确保稗，第三方人员的按所有耙操作行为盎是否袄合规；百当系统哎因某些操作癌发生故障时，因坝为肮缺乏对操作过程鞍的全程记录，把无法还原事故现霸场伴，确定问题原因翱，颁而使得系统恢复爸时间大大延长；氨三埃、昂LogBase芭审计瓣产品坝概述扒霸Logbase疤运维安全审计系爱统是颁新一代操作行为笆安全审计系统，爱它采用软硬件一班体化设计，通过凹B/S方式(h按ttps)进行爱管理爸，其主要功能为翱实稗现对疤运维人员罢操作暗服务器拌、吧网络设备、暗数据库版过程的笆全程监控与审计巴，以及靶对罢违规操作癌行为的斑实时阻断拌。吧该产品澳采用先进的翱设计理念袄，白支持对多种远程凹维护方式的稗支持

14、翱，如字符终端方扳式(SSH、T暗elnet、R阿login)、胺图形方式（RD爸P、X11、V爱NC、Radm捌in、PCAn癌ywhere）阿、文件传输（）板以及多种主流数百据库的访问操作袄。3.1系统架构挨伴Logbase挨运维安全审计系叭统采用模块化设暗计，主要由以下暗模块组成：行为摆控制模块、审计袄模块、管理模块白、哀存储模块、胺用户管理接口模按块暗，各模块间关系半如下图所示：疤图1.捌系统架构图行为控制模块澳般实现对网络搬、数据库、服务埃器办维护奥过程伴的罢网络皑数据包皑代理翱转发、隘行为还原及艾记录、版违规行为阻断功坝能；管理模块半跋实现维护用户管捌理、主机资产管矮理、用户疤授权

15、与访问权限艾管理，以及对审癌计记录的数据存斑储控制；审计模块氨吧实现行为安全审埃计功能，包括实奥时违规行为告警懊系统、历史记录哀检索系统以及报奥表系统；用户界面俺笆提供挨运维人员班审计管理接口，案以及运维用户凹的远程工具使用拌界面。3.2技术原理百班Logbase奥运维安全审计系伴统采用协议代理敖方式对各种维护佰协议进行转发，罢并在转发的过程敖中拔分别模拟了协议爱的客户端与服务般端蔼，具体如下图所暗示：扒图2.稗技术实现原理示半意图爱当客户端通过运爱维审计系统访问碍服务器时，首先吧由运维安全审计拔系统模拟成远程背访问的服务端时摆，接受客户端发半送的信息，并对颁其进行协议的还矮原、解析、记录暗，

16、最终获得客户班端发送的指令信安息，再模拟成操啊作的客户端笆，百与真正的目标服白务器建立岸通讯安，扮并转发用户端发办送的指令信息柏。接收到服务器阿端的返回信息后般，再反向执行此疤过程，将返回值瓣发送给客户端斑从而实现对阿各种维护协议的佰代理转发靶过程。在通讯过吧程中，Logb百ase运维安全艾审计系统会记录哎各种指令信息，爸并根据违规规则办库对指令信息进癌行比对，如发现摆违规的操作行为半，则终止数据包哎的转发，并中断唉整个TCP会话凹。懊3.3支持协议蔼清单碍字符型远程操作霸协议SSH TELNETRLOGIN耙图形终端操作协矮议版RDP耙(5.x、6.扮x、7.x)VNC X11数据库远程协议

17、扳ORACLE隘 (8i、9i翱、斑10g败、皑11g爱)奥MSSQL S袄ERVER挨（2000、2爸005）SYBASE文件传输协议FTPSFTP盎四扳、爸主要功能介绍斑4佰.1熬统一用户澳身份认证疤在信息系统的维按护管理过程中，摆经常会出现多名疤运维人员暗共用同一系统帐拌号进行登录访问傲的情况，从而导矮致很多安全事件笆无法清晰地定位扳责任人。靶LogBase般运维安全审计系翱统通过稗“鞍运维皑审计系统帐号胺”扒与佰“拜服务器帐号芭”拌相关联的方式，爱即在Logba八se系统中为每疤一个唉运维人员翱创建唯一的登录碍账号，坝运维人员凹通过熬自身耙的哀“疤审计系统帐号蔼”拔，先登录运维安澳全审

18、计系统，再般登录目标服务器八，从而实现颁将用户身份的认白证落实到埃“凹自然人班”案。俺Logbase爸运维审计系统支背持SSO功能，胺维护人员只要登柏录运维审计系统扒，即可访问所有案被授权班的服务器系统肮，无需进行二次扒登录认证。澳4坝.2败访问权限控制败LogBase吧运维安全审计系扳统可以对运维人疤员进行细粒度的埃权限控制，按管理碍可以根据盎人员翱、时间敖、巴系统账户挨、操作指令等癌内容设定访问权瓣限拔，如：啊限制用户能够访搬问的服务器范围扒；绊限制用户能够登凹录的伴时间搬；袄设定用户操作指班令黑隘、白半名单，阻止违规澳操作行为；背LogBase氨运维安全审计系斑统还支持特有的扒授权访问机

19、制，巴即对某些用户，哀，每次访问特定鞍设备前都需要管颁理员进行授权才靶能通行，避免临百时人员在管理员斑不知情的情况下拌进行访问。氨4板.3熬服务器密码管理捌LogBase靶运维安全审计系皑统提供服务器密百码管理功能，瓣可以俺周期板性吧对服务器密码进八行隘自动霸修改，并保证密败码拜复杂程度与密码唉文件的安全保管盎。办管理员可以设定拜改密周期、密码板强度策略等改密爱要求。隘4坝.4澳会话疤同步捌监控办对于所有远程访邦问目标服务器的捌会话连接，伴Logbase熬运维安全审计系颁统均可实现岸同步过程监视熬，安运维人员艾在服务器上做的懊任何操作都会同爱步显示在审计人熬员的监控画面中坝，包括vi、s矮mi

20、t以及图形哎化的RDP、V澳NC啊、X11靶等操作白，岸管理员可以根据办需要随时切断违败规操作会话敖。凹4耙.5啊异常行为告警背LogBase皑运维安全审计系办统办内置霸安全事件规则库扒，安并可实时暗对搬用户的操作过程暗进行检测，一旦安发现违规拌操作行为，袄可以跋通过短信、邮件懊等方式向审计人版员及时发送告警罢信息翱或自动傲中止俺操作会话。版安全事件规则库岸支持自定义扩充岸功能，跋管理员可以根据岸企业内部管理需癌求，佰灵活扩充规则库把内容奥。岸4背.6拜操作行为记录啊对所有埃经过审计系统的扳操作奥行为碍，靶LogBase芭运维安全审计系癌统背均可完整记录操俺作过程，挨保留操作拔记录半，败记录内

21、容包括操捌作时间、IP地爸址、用户账号、埃服务器账号、操稗作指令、操作结暗果等信息哎。爱对于所有的操作胺记录，Logb翱ase运维安全胺审计系统可以长爸时间进行保留，把为日后安全审计伴提供耙客观拌依据。艾4吧.7昂会话过程重放搬Logbase背内控堡垒审计系败统翱能够以视频回放翱方式傲，碍重现维护人员对鞍服务器的所有操捌作过程，从而真邦正实现对操作行芭为的完全审计。懊回放过程采用W背EB在线播放方败式，无需在安装背播放客户端软件俺。袄回放过程支持常敖见的视频播放控爱制操作，如倍凹速懊/低速敖播放、拖动背、暂停、停止、佰重新播放等等，哎也可以般从特定指令开始癌定位回放背。稗4芭.8皑历史记录查询

22、办Logbase百 把运维安全柏审计系统支持通癌过友好的查询界拜面，对以前发生皑过的笆历史暗事件进行查询。捌审计人员可以根哎据案时间、拔IP地址胺、用户名、操作瓣指令安等信息对历史数笆据进行安多败条件组合查询，班快速定位疤目标记录颁。昂查询结果可以直耙接导出为exc俺el文件，方便傲审计员进行后续芭处理。癌4岸.9坝综合审计报表袄Logbase翱 运维安全癌审计系统支持强版大的报表邦功能，内置案大量的安全板审计报表碍模板熬，同时也支持通摆过自定义方式扩翱充报表内容跋。摆报表支持爱以吧天、星期、月癌为懊周期自动生成报半表，扳并可通过邮件自氨动送达管理员处把。隘也可以由管理员隘随时氨手工生成所需的

23、扮报表。五、产品特性爸5唉.1斑无干扰部署方式芭袄Logbase半运维安全审计系瓣统罢采用唉旁路熬模式部署唉，无需改变爱用户网络结构，岸无需颁在客户端及服务澳器端安装程序绊，翱不捌会影响客户正常笆业务系统使用。暗5跋.2霸支持所有主流拌协议袄芭支持把各斑种主流操作协议敖包括字符型操作坝、图形化操作、巴文件传输、数据板库访问操作等捌，罢支持对象全面覆昂盖搬主流的服务器系癌统、网络设备、阿安全设备、数据哎库系统安。阿5半.埃3办WEB在线奥回放摆技术芭Logbase搬运维安全审计系鞍统唉支持暗WEB在线回放哎技术柏，无需在客户端叭安装任何回放软阿件即可实现操作碍过程回放功能，艾回放过程支持常按见视

24、频回放操作蔼。艾5岸.芭4捌人性化使用方式昂Logbase疤运维安全审计系柏统扒支持用户摆通过啊WEB捌页面直接昂访问目标系统板，如通过柏web摆页面吧访问案SSH斑服务器、隘windows蔼远程终端等等；芭系统瓣同时也支持背运维人员碍使用自己习惯的邦客户端软件去访爱问目标服务器，巴如案putty搬、稗SecureC爱RT肮、霸S绊ecure s稗hell等瓣等氨。艾5般.扳5岸丰富的审计报表爱百Logbase版内置氨丰富的岸安全唉审计报表捌，碍总数超过百张，版即八能够满足爱大部分氨客户扒的阿日常阿审计需求班，扒也可满足如案“白等级保护八”暗、扒“霸萨班斯法案熬”稗等合规性要求。昂同时，柏系统阿也白支持案通过自定义或二澳次开发方式进行吧灵活把扩展摆。敖5吧.岸6昂安全可靠的自身捌保障能力阿斑Logbase碍运维安全审计系按统芭，拌通过多种技术手扒段吧，鞍来保障笆自身扒与审计数据的唉安全性艾。把如：矮内置自身安全防扳护防火墙袄数据防篡改、防按删除技术设计；傲严格的访问权限伴、审计权限控制凹体系；耙RAID疤