LogBase运维安全审计系统技术白皮书

1、LogBase运维安全审计系统技术白皮书 杭州思福迪信息技术有限公司 2010版权讲明 版权所有 2005-2010，杭州思福迪信息技术有限公司本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特不注明，版权均属杭州思福迪信息技术有限公司所有，受到有关产权及版权法爱护。任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。商标信息LogBase是杭州思福迪信息技术有限公司注册商标，受商标法爱护。公司信息网址： E-mail：support地址： 杭州市文一西路75号3号楼6楼 热线: 400-678-1500 电话： 05

2、71-88923222 传真： 录 TOC o 1-3 h z u HYPERLINK l _Toc252723864 一、前言 PAGEREF _Toc252723864 h 4 HYPERLINK l _Toc252723865 二、什么缘故需要运维审计系统 PAGEREF _Toc252723865 h 5 HYPERLINK l _Toc252723866 三、LogBase审计产品概述 PAGEREF _Toc252723866 h 6 HYPERLINK l _Toc252723867 3.1系统架构 PAGEREF _Toc252723867 h 6

3、 HYPERLINK l _Toc252723868 3.2技术原理 PAGEREF _Toc252723868 h 7 HYPERLINK l _Toc252723869 3.3支持协议清单 PAGEREF _Toc252723869 h 8 HYPERLINK l _Toc252723870 四、要紧功能介绍 PAGEREF _Toc252723870 h 9 HYPERLINK l _Toc252723871 4.1统一用户身份认证 PAGEREF _Toc252723871 h 9 HYPERLINK l _Toc252723872 4.2访问权限操纵 PAGEREF _Toc2527

4、23872 h 9 HYPERLINK l _Toc252723873 4.3服务器密码治理 PAGEREF _Toc252723873 h 9 HYPERLINK l _Toc252723874 4.4会话同步监控 PAGEREF _Toc252723874 h 10 HYPERLINK l _Toc252723875 4.5异常行为告警 PAGEREF _Toc252723875 h 10 HYPERLINK l _Toc252723876 4.6操作行为记录 PAGEREF _Toc252723876 h 10 HYPERLINK l _Toc252723877 4.7会话过程重放 PA

5、GEREF _Toc252723877 h 10 HYPERLINK l _Toc252723878 4.8历史记录查询 PAGEREF _Toc252723878 h 11 HYPERLINK l _Toc252723879 4.9综合审计报表 PAGEREF _Toc252723879 h 11 HYPERLINK l _Toc252723880 五、产品特性 PAGEREF _Toc252723880 h 12 HYPERLINK l _Toc252723881 5.1无干扰部署方式 PAGEREF _Toc252723881 h 12 HYPERLINK l _Toc252723882

6、 5.2支持所有主流协议 PAGEREF _Toc252723882 h 12 HYPERLINK l _Toc252723883 5.3WEB在线回放技术 PAGEREF _Toc252723883 h 12 HYPERLINK l _Toc252723884 5.4人性化使用方式 PAGEREF _Toc252723884 h 12 HYPERLINK l _Toc252723885 5.5丰富的审计报表 PAGEREF _Toc252723885 h 12 HYPERLINK l _Toc252723886 5.6安全可靠的自身保障能力 PAGEREF _Toc252723886 h 1

7、3 HYPERLINK l _Toc252723887 六、部署方式 PAGEREF _Toc252723887 h 14 HYPERLINK l _Toc252723888 七、规格指标 PAGEREF _Toc252723888 h 15 HYPERLINK l _Toc252723889 八、综述 PAGEREF _Toc252723889 h 16一、前言各种权威的网络安全调查结果均表明，在可统计的安全事件中，60%以上均与内部人员有关，这其中既包括恶意行为（越权访问、恶意破坏、数据窃取），也包括各种非主观有意引起的非恶意行为（误操作、权限滥用）。由此可见，规范内部人员的访问行为，特不

8、是核心系统（主机、网络设备、安全设备、数据等）的维护行为势在必行。传统的信息安全建设，往往侧重于对外部黑客攻击的防范，以及网络边界的访问操纵，对信息系统安全威胁最大的内部人员行为却缺乏有效的治理。企业内部人员，特不是拥有信息系统较高访问权限的运维人员（如网管员、临时聘用人员、第三方代维人员、厂商工程师等），比外部入侵者更容易接触到信息系统的核心设备和敏感数据、内部人员恶意或非恶意的破坏行为更容易造成较大的破坏。然而，由于现有治理手段的不完善，账号共享情况普遍存在，以及加密、图形协议的广泛应用，使得这些运维治理人员的日常操作，存在操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控、操

9、作事故无法定位等安全风险。内部人员的操作行为几乎处于完全失控的状态，一旦发生事故，其后果的严峻性将是无法预估的。因此，放任内部风险的存在决不可行。此外，从遵守国家及本行业各项法律法规的角度考虑。随着中华人民共和国计算机信息系统安全爱护条例的推广实施，对IT系统内部操纵的要求越来越明确。如，等保差不多要求中明确提出，要对“内部维护人员登录主机、数据库所进行的所有操作行为”、“第三方人员的维护行为”进行审计和操纵。为满足用户对加强内部运维安全审计日益迫切的需要，杭州思福迪公司，依托自身强大的研发能力，丰富的行业经验，自主研发了新一代软硬件一体化运维安全专用审计系统Logbase运维安全审计系统。该

10、系统支持对企业内部人员的操作行为进行全面的审计、监控，消除了传统审计系统中的盲点，使企业对运维人员的操作过程，能做到事前防范、事中操纵、事后审计的能力，是企业IT内控最有效的治理平台。二、什么缘故需要运维审计系统企业的信息系统，在日常的内部运维治理及IT内控合规性遵循过程中，经常会遇到如下问题：多位运维人员共用一个系统帐号，当出现安全事故时相互推诿，缺乏客观、可信的依据来确定事故责任人；维护人员可能只需要执行简单的规定操作，但却通常需要使用拥有更多权限的系统账户，而系统自身又无法进行细粒度的授权治理，无法进行指令级或文件级不的访问权限操纵；服务器、网络设备、数据库等资产的数量日益增多，按照治理

11、要求定期修改密码成为耗时费劲的琐事，基层运维人员是否严格遵守制度，按时完成密码安全治理工作，治理人员无法方便得知；当第三方运维人员（代维/原厂工程师），需要对系统进行操作时，基于对合作伙伴的信任及工作方便需要，企业内部人员通常会给与其拥有高权限的系统账户甚至治理员帐户，而治理员却无法从技术上确保，第三方人员的所有操作行为是否合规；当系统因某些操作发生故障时，因为缺乏对操作过程的全程记录，无法还原事故现场，确定问题缘故，而使得系统恢复时刻大大延长；三、LogBase审计产品概述Logbase运维安全审计系统是新一代操作行为安全审计系统，它采纳软硬件一体化设计，通过B/S方式(https)进行治理

12、，其要紧功能为实现对运维人员操作服务器、网络设备、数据库过程的全程监控与审计，以及对违规操作行为的实时阻断。该产品采纳先进的设计理念，支持对多种远程维护方式的支持，如字符终端方式(SSH、Telnet、Rlogin)、图形方式（RDP、X11、VNC、Radmin、PCAnywhere）、文件传输（FTP、SFTP）以及多种主流数据库的访问操作。3.1系统架构Logbase运维安全审计系统采纳模块化设计，要紧由以下模块组成：行为操纵模块、审计模块、治理模块、存储模块、用户治理接口模块，各模块间关系如下图所示：图1.系统架构图行为操纵模块实现对网络、数据库、服务器维护过程的网络数据包代理转发、行

13、为还原及记录、违规行为阻断功能；治理模块实现维护用户治理、主机资产治理、用户授权与访问权限治理，以及对审计记录的数据存储操纵；审计模块实现行为安全审计功能，包括实时违规行为告警系统、历史记录检索系统以及报表系统；用户界面提供运维人员审计治理接口，以及运维用户的远程工具使用界面。3.2技术原理Logbase运维安全审计系统采纳协议代理方式对各种维护协议进行转发，并在转发的过程中分不模拟了协议的客户端与服务端，具体如下图所示：图2.技术实现原理示意图当客户端通过运维审计系统访问服务器时，首先由运维安全审计系统模拟成远程访问的服务端时，同意客户端发送的信息，并对其进行协议的还原、解析、记录，最终获得

14、客户端发送的指令信息，再模拟成操作的客户端，与真正的目标服务器建立通讯，并转发用户端发送的指令信息。接收到服务器端的返回信息后，再反向执行此过程，将返回值发送给客户端从而实现对各种维护协议的代理转发过程。在通讯过程中，Logbase运维安全审计系统会记录各种指令信息，并依照违规规则库对指令信息进行比对，如发觉违规的操作行为，则终止数据包的转发，并中断整个TCP会话。3.3支持协议清单字符型远程操作协议SSH TELNETRLOGIN图形终端操作协议RDP(5.x、6.x、7.x)VNC X11数据库远程协议ORACLE (8i、9i、10g、11g)MSSQL SERVER（2000、2005

15、）SYBASE文件传输协议FTPSFTP四、要紧功能介绍4.1统一用户身份认证在信息系统的维护治理过程中，经常会出现多名运维人员共用同一系统帐号进行登录访问的情况，从而导致专门多安全事件无法清晰地定位责任人。LogBase运维安全审计系统通过“运维审计系统帐号”与“服务器帐号”相关联的方式，即在Logbase系统中为每一个运维人员创建唯一的登录账号，运维人员通过自身的“审计系统帐号”，先登录运维安全审计系统，再登录目标服务器，从而实现将用户身份的认证落实到“自然人”。Logbase运维审计系统支持SSO功能，维护人员只要登录运维审计系统，即可访问所有被授权的服务器系统，无需进行二次登录认证。4

16、.2访问权限操纵LogBase运维安全审计系统能够对运维人员进行细粒度的权限操纵，治理能够依照人员、时刻、系统账户、操作指令等内容设定访问权限，如：限制用户能够访问的服务器范围；限制用户能够登录的时刻；设定用户操作指令黑、白名单，阻止违规操作行为；LogBase运维安全审计系统还支持特有的授权访问机制，即对某些用户，每次访问特定设备前都需要治理员进行授权才能通行，幸免临时人员在治理员不知情的情况下进行访问。4.3服务器密码治理LogBase运维安全审计系统提供服务器密码治理功能，能够周期性对服务器密码进行自动修改，并保证密码复杂程度与密码文件的安全保管。治理员能够设定改密周期、密码强度策略等改

17、密要求。4.4会话同步监控关于所有远程访问目标服务器的会话连接，Logbase运维安全审计系统均可实现同步过程监视，运维人员在服务器上做的任何操作都会同步显示在审计人员的监控画面中，包括vi、smit以及图形化的RDP、VNC、X11等操作，治理员能够依照需要随时切断违规操作会话。4.5异常行为告警LogBase运维安全审计系统内置安全事件规则库，并可实时对用户的操作过程进行检测，一旦发觉违规操作行为，能够通过短信、邮件等方式向审计人员及时发送告警信息或自动中止操作会话。安全事件规则库支持自定义扩充功能，治理员能够依照企业内部治理需求，灵活扩充规则库内容。4.6操作行为记录对所有通过审计系统的

18、操作行为，LogBase运维安全审计系统均可完整记录操作过程，保留操作记录，记录内容包括操作时刻、IP地址、用户账号、服务器账号、操作指令、操作结果等信息。关于所有的操作记录，Logbase运维安全审计系统能够长时刻进行保留，为日后安全审计提供客观依据。4.7会话过程重放Logbase内控堡垒审计系统能够以视频回放方式，重现维护人员对服务器的所有操作过程，从而真正实现对操作行为的完全审计。回放过程采纳WEB在线播放方式，无需在安装播放客户端软件。回放过程支持常见的视频播放操纵操作，如倍速/低速播放、拖动、暂停、停止、重新播放等等，也能够从特定指令开始定位回放。4.8历史记录查询Logbase

19、运维安全审计系统支持通过友好的查询界面，对往常发生过的历史事件进行查询。审计人员能够依照时刻、IP地址、用户名、操作指令等信息对历史数据进行多条件组合查询，快速定位目标记录。查询结果能够直接导出为excel文件，方便审计员进行后续处理。4.9综合审计报表Logbase 运维安全审计系统支持强大的报表功能，内置大量的安全审计报表模板，同时也支持通过自定义方式扩充报表内容。报表支持以天、星期、月为周期自动生成报表，并可通过邮件自动送达治理员处。也能够由治理员随时手工生成所需的报表。五、产品特性5.1无干扰部署方式Logbase运维安全审计系统采纳旁路模式部署，无需改变用户网络结构，无需在客户端及服

20、务器端安装程序，可不能阻碍客户正常业务系统使用。5.2支持所有主流协议支持各种主流操作协议包括字符型操作、图形化操作、文件传输、数据库访问操作等，支持对象全面覆盖主流的服务器系统、网络设备、安全设备、数据库系统。5.3WEB在线回放技术Logbase运维安全审计系统支持WEB在线回放技术，无需在客户端安装任何回放软件即可实现操作过程回放功能，回放过程支持常见视频回放操作。5.4人性化使用方式Logbase运维安全审计系统支持用户通过WEB页面直接访问目标系统，如通过web页面访问SSH服务器、windows远程终端等等；系统同时也支持运维人员使用自己适应的客户端软件去访问目标服务器，如putty、SecureCRT、Secure shell等等。5.5丰富的审计报表Logbase内置丰富的安全审计报表，总数超过百张，即能够满足大部分客户的日常审计需求，也可满足如“等级爱护”、“萨班斯法案”等合规性要求。同时，系统也支持通过自定义或二次开发方式进行灵活扩展。5.6安全可靠的自身保障能力Logbase运维安全审计系统，通过多种技术手段，来保障自身与审计数据的安全性。如：内置自身安全防护防火墙数据防篡改、防删除技术设计；严格的访问权限