HAC运维安全审计系统介绍课件

运维安全审计系统

HAC广州江南科友科技股份有限公司2010年7月运维安全审计系统

HAC广州江南科友科技股份有限公司目录安全现状及审计需求科友解决方案HAC具体功能成功案例目录安全现状及审计需求（1）安全审计需求1.1审计的必要性、迫切性银行计算机犯罪以每年30%速度增长，涉案金额越来越大。具有如下特点：犯罪主体以内部或内外勾结为主；作案目的以盗窃资金为主；发案原因多是由于缺乏内部风险控制机制为主。介绍目前几个真实案例（1）安全审计需求1.1审计的必要性、迫切性真实案例案例1：银行系统开发商内部作案某商行开发核心业务系统，开发商某工程师在试运行维护期间内部新增一个隐藏帐户，且将其帐户金额锁死，以致后期该人频繁通过该帐户取款，无人发现，直至银行经过长时间对帐，仔细比对和核查，才找到问题原因。案例2：外包人员作案，ATM资金丢失某银行ATM机服务外包给厂商，某厂商工程师利用工作便利，在ATM系统中安装了一个抓包工具，将许多储户的密码偷偷抓取到，并通过伪造卡的方式盗取大量资金。经过长时间排查，和查找ATM监控录像才发现作案人员。真实案例案例1：银行系统开发商内部作案综上所述：企业IT系统构成复杂，操作人员众多，对其进行有效审计，是控制内部风险的一个重要手段。综上所述：运维管理安全需求如何解决共享帐号后操作身份不唯一的问题？如何控制操作人员操作权限？如何实时跟踪操作者的操作行为？如何监控和定位非法操作行为？如何对已经发生的非法操作行为进行举证？运维管理安全需求1.2相关政策规范和标准中国银监会于2007年5月紧急发布的<<商业银行操作风险管理指引>>中明确要求：第十七条商业银行应当将加强内部控制作为操作风险管理的有效手段，与此相关的内部措施至少应当包括：（一）部门及操作人员之间应权限分离；（二）密切监测风险限额或权限的情况。（三）对接触和使用银行资产的记录进行安全监控。电子银行业务管理办法－银监会：2006金融机构应在物理和软件控制两个方面，建立对进入系统的识别、处理和报告机制1.2相关政策规范和标准金融机构应定期检测所有关键设备和系统软件的工作状态，审查其工作日志商业银行内部控制指引－银监会：2006记录要清晰、易于识别和检索，以提供追溯证据。《新资本协议》、SOX法案国家标准：我国颁布的安全等级保护技术要求信息系统中必须建立并保存下面的各种访问日志：网络（网络安全审计）主机（安全审计）应用（安全审计）金融机构应定期检测所有关键设备和系统软件的工作状态，审查其工1.3安全实践安全管理业界标准ISO27001:2005条款A15.1.3明确要求必须保护组织的运行记录。条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。1.3安全实践（2）科友解决方案

江南科友“运维安全审计系统（HAC）”是针对于用户核心资产的运维操作，再现关键行为轨迹，探索操作意图，集全局实时监控与敏感过程回放等功能特点，有效解决了信息化监管中的一个关键问题。以操作为核心，从操作层入手，实现对人、设备、操作的统一管理，做到事前防范、事中控制、事后监督和纠正的组合，从而帮助用户最小化人为操作风险。（2）科友解决方案江南科友“运维安全审计系统（H2.1HAC介绍及产品定位HAC—HostAuditControl，运维安全审计系统，设备外形如下：HAC是以实现审计为目标，集认证、授权、审计为一体的安全设备。实现原理：基于协议解码，来达到监控、记录数据的目的，目前支持协议有Telnet、FTP、SFTP、SSH、RDP（RemoteDesktopProtocol）等多种通信协议。审计对象：针对内部运行维护人员；针对服务外包人员；针对厂商或集成商等技术支持人员。2.1HAC介绍及产品定位系统组成系统组成应用环境：支持IBMAIX、HPUX、SUNSolaris、SCOUNIX、LINUX、WINDOWS等多种操作系统。可广泛应用于金融、政府、电信、证券、邮政、税务、海关、交通等安全需求较高的行业。2.2部署方式单臂部署：不改变客户网络环境，对客户网络透明；串联接入：可灵活根据网络环境串联路由接入，起安全审计和访问控制的作用。

应用环境：部署模式一：单臂模式:部署模式一：单臂模式:HAC具体功能

身份认证与授权账户托管、SSO

事中监控会话审计、审计报表变更工单、双人操作支持应用发布审计其他功能HAC具体功能身份认证与授权完整的身份管理和认证

解决身份问题，满足审计系统“谁做的”要求。运维用户：静态口令、动态口令、证书KEY、RADIUS、LADP、AD认证方式；管理员：静态口令、动态口令、证书KEY认证方式。支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能。支持运维用户用户分组管理，方便的增、删、改、查操作，支持用户信息导入导出，方便批量处理。灵活、细粒度的授权

提供基于用户、运维协议、目标主机、运维时间段、会话时长、运维客户端IP等组合的授权功能，实现细粒度授权，满足用户实际应用的需要。产品功能：身份认证、授权完整的身份管理和认证产品功能：身份认证、授权口令统一管理与自动登陆

运维人员通过HAC认证和授权后，HAC根据配置策略实现后台资源的自动登录代理，提供托管和只托不管两种方式。支持后台资源口令统一管理支持运维用户到后台资源帐户分配支持各种主机、安全设备、网络设备以及Windows系统支持通过定制脚本添加托管各类Unix、Linux系统帐号口令支持下载、邮件和直接密函打印

产品功能：账户托管、SSO口令统一管理与自动登陆产品功能：账户托管、SSO实时监控监控正在运维的会话，活动用户突出显示监控后台资源被访问情况可实时终止异常在线运维会话提供在线运维的操作的实时监控功能敏感操作实时告警与阻断根据安全策略实施运维过程敏感操作检测，对违规操作提供实时告警和阻断支持用户分级，并针对不级别采取不同响应方式告警与会话实时监控、会话审计与回放关联产品功能：事中监控实时监控产品功能：事中监控完整记录网络会话过程

系统提供运维协议Telnet、FTP、SSH、SFTP、RDP等网络会话的完整会话记录，完全满足内容审计中信息百分百不丢失的要求。详尽的会话审计与回放支持按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式；提供图像形式的回放，真实、直观、可视地重现当时的操作过程；回放提供快放、慢放、拖拉等方式，方便快速定位和查看支持文本协议操作命令和结果回显功能支持命令Del、TAB、上下键等编辑过程的准确识别。可基于命令定位会话。会话内容可折叠显示，使用更方便。产品功能：会话审计完整记录网络会话过程产品功能：会话审计完备的审计报表功能提供日常报表、会话报表、自审计操作报表、告警报表提供综合统计报表，报表中包括概要信息、每个用户操作信息、每个资源被操作信息等产品功能：审计报表完备的审计报表功能产品功能：审计报表可支持ITSM（IT服务管理）HAC可与ITSM相结合，为其优化变更管理流程，加强对变更管理中的风险控制。支持对变更工单录入操作，实现变更过程的监控和审计。支持对现有运维变更管理系统快速集成。支持变更工单号事后审计功能。可支持双人符合操作支持运维过程对双人操作流程介入。支持会话日志记录双人符合操作审批人、时间、操作符合命令。产品功能：变更工单、双人操作支持可支持ITSM（IT服务管理）产品功能：变更工单、双人操作支各类应用运维操作审计功能业界首创的（VDH,VirtualDesktopHost）虚拟桌面主机安全操作系统设备，完全符合运维安全审计要求。运维操作全程可控，可做到授权后应用只能访问指定服务，最大降低对后台目标服务集群的可能安全风险。可对整个运维操作过程进行完整记录，实现详尽的会话审计和回放。可依据用户要求快速实现新应用的发布和审计。产品功能：应用发布审计各类应用运维操作审计功能产品功能：应用发布审计维护管理： 对HAC系统的本身维护和管理，表现为：远程重启、关机；审计日志自动、手动备份；HAC系统特点：产品稳定、安全性高高效、精简的安全内核性能高，支持并发用户量大支持HA高可用性分权管理机制产品功能：其他辅助功能维护管理：产品功能：其他辅助功能HAC带来的安全价值提升声誉降低损失取证免责把控全局完善机制满足合规性要求，顺利通过等级检查、IT审计有效减少业务系统核心信息资产的破坏和泄漏有效控制运维操作风险，便于事后追查原因与界定责任有效控制业务运行风险，直观掌握业务系统安全状况实现独立审计管理、配置管理、运维管理的三权分立，完善IT内控机制HAC带来的安全价值提升声誉降低损失取证免责把控全局完善机产品型号：产品型号：HAC成功案例HAC成功案例HAC资质1、国家保密局认证。2、中国信息安全测评中心认证。3、计算机软件著作权登记证书。HAC资质1、国家保密局认证。谢谢谢谢运维安全审计系统

HAC广州江南科友科技股份有限公司2010年7月运维安全审计系统

HAC广州江南科友科技股份有限公司目录安全现状及审计需求科友解决方案HAC具体功能成功案例目录安全现状及审计需求（1）安全审计需求1.1审计的必要性、迫切性银行计算机犯罪以每年30%速度增长，涉案金额越来越大。具有如下特点：犯罪主体以内部或内外勾结为主；作案目的以盗窃资金为主；发案原因多是由于缺乏内部风险控制机制为主。介绍目前几个真实案例（1）安全审计需求1.1审计的必要性、迫切性真实案例案例1：银行系统开发商内部作案某商行开发核心业务系统，开发商某工程师在试运行维护期间内部新增一个隐藏帐户，且将其帐户金额锁死，以致后期该人频繁通过该帐户取款，无人发现，直至银行经过长时间对帐，仔细比对和核查，才找到问题原因。案例2：外包人员作案，ATM资金丢失某银行ATM机服务外包给厂商，某厂商工程师利用工作便利，在ATM系统中安装了一个抓包工具，将许多储户的密码偷偷抓取到，并通过伪造卡的方式盗取大量资金。经过长时间排查，和查找ATM监控录像才发现作案人员。真实案例案例1：银行系统开发商内部作案综上所述：企业IT系统构成复杂，操作人员众多，对其进行有效审计，是控制内部风险的一个重要手段。综上所述：运维管理安全需求如何解决共享帐号后操作身份不唯一的问题？如何控制操作人员操作权限？如何实时跟踪操作者的操作行为？如何监控和定位非法操作行为？如何对已经发生的非法操作行为进行举证？运维管理安全需求1.2相关政策规范和标准中国银监会于2007年5月紧急发布的<<商业银行操作风险管理指引>>中明确要求：第十七条商业银行应当将加强内部控制作为操作风险管理的有效手段，与此相关的内部措施至少应当包括：（一）部门及操作人员之间应权限分离；（二）密切监测风险限额或权限的情况。（三）对接触和使用银行资产的记录进行安全监控。电子银行业务管理办法－银监会：2006金融机构应在物理和软件控制两个方面，建立对进入系统的识别、处理和报告机制1.2相关政策规范和标准金融机构应定期检测所有关键设备和系统软件的工作状态，审查其工作日志商业银行内部控制指引－银监会：2006记录要清晰、易于识别和检索，以提供追溯证据。《新资本协议》、SOX法案国家标准：我国颁布的安全等级保护技术要求信息系统中必须建立并保存下面的各种访问日志：网络（网络安全审计）主机（安全审计）应用（安全审计）金融机构应定期检测所有关键设备和系统软件的工作状态，审查其工1.3安全实践安全管理业界标准ISO27001:2005条款A15.1.3明确要求必须保护组织的运行记录。条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。1.3安全实践（2）科友解决方案

江南科友“运维安全审计系统（HAC）”是针对于用户核心资产的运维操作，再现关键行为轨迹，探索操作意图，集全局实时监控与敏感过程回放等功能特点，有效解决了信息化监管中的一个关键问题。以操作为核心，从操作层入手，实现对人、设备、操作的统一管理，做到事前防范、事中控制、事后监督和纠正的组合，从而帮助用户最小化人为操作风险。（2）科友解决方案江南科友“运维安全审计系统（H2.1HAC介绍及产品定位HAC—HostAuditControl，运维安全审计系统，设备外形如下：HAC是以实现审计为目标，集认证、授权、审计为一体的安全设备。实现原理：基于协议解码，来达到监控、记录数据的目的，目前支持协议有Telnet、FTP、SFTP、SSH、RDP（RemoteDesktopProtocol）等多种通信协议。审计对象：针对内部运行维护人员；针对服务外包人员；针对厂商或集成商等技术支持人员。2.1HAC介绍及产品定位系统组成系统组成应用环境：支持IBMAIX、HPUX、SUNSolaris、SCOUNIX、LINUX、WINDOWS等多种操作系统。可广泛应用于金融、政府、电信、证券、邮政、税务、海关、交通等安全需求较高的行业。2.2部署方式单臂部署：不改变客户网络环境，对客户网络透明；串联接入：可灵活根据网络环境串联路由接入，起安全审计和访问控制的作用。

应用环境：部署模式一：单臂模式:部署模式一：单臂模式:HAC具体功能

身份认证与授权账户托管、SSO

事中监控会话审计、审计报表变更工单、双人操作支持应用发布审计其他功能HAC具体功能身份认证与授权完整的身份管理和认证

解决身份问题，满足审计系统“谁做的”要求。运维用户：静态口令、动态口令、证书KEY、RADIUS、LADP、AD认证方式；管理员：静态口令、动态口令、证书KEY认证方式。支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能。支持运维用户用户分组管理，方便的增、删、改、查操作，支持用户信息导入导出，方便批量处理。灵活、细粒度的授权

提供基于用户、运维协议、目标主机、运维时间段、会话时长、运维客户端IP等组合的授权功能，实现细粒度授权，满足用户实际应用的需要。产品功能：身份认证、授权完整的身份管理和认证产品功能：身份认证、授权口令统一管理与自动登陆

运维人员通过HAC认证和授权后，HAC根据配置策略实现后台资源的自动登录代理，提供托管和只托不管两种方式。支持后台资源口令统一管理支持运维用户到后台资源帐户分配支持各种主机、安全设备、网络设备以及Windows系统支持通过定制脚本添加托管各类Unix、Linux系统帐号口令支持下载、邮件和直接密函打印

产品功能：账户托管、SSO口令统一管理与自动登陆产品功能：账户托管、SSO实时监控监控正在运维的会话，活动用户突出显示监控后台资源被访问情况可实时终止异常在线运维会话提供在线运维的操作的实时监控功能敏感操作实时告警与阻断根据安全策略实施运维过程敏感操作检测，对违规操作提供实时告警和阻断支持用户分级，并针对不级别采取不同响应方式告警与会话实时监控、会话审计与回放关联产品功能：事中监控实时监控产品功能：事中监控完整记录网络会话过程

系统提供运维协议Telnet、FTP、SSH、SFTP、RDP等网络会话的完整会话记录，完全满足内容审计中信息百分百不丢失的要求。详尽的会话审计与回放支持按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式；提供图像形式的回放，真实、直观、可视地重现当时的操作过程；回放提供快放、慢放、拖拉等方式，方便快速定位和查看支持文本协议操作命令和结果回显功能支持命令Del、TAB、上下键等编辑过程的准确识别。可基于命令定位会话。会话内容可折叠显示，使用更方便。产品功能：会话审计完整记录网络会话过程产品功能：会话审计完备的审计报表功能提供日常报表、会话报表、自审计操作报表、告警报表提供综合统计报表，报表中包括概要信息、每个用户操作信息、每个资源被操作信息等产品功能：审计报表完备的审计报表功能产品功能：审计报表可支持ITSM（IT服务管理）HAC可与ITSM相结合，为其优化变更管理流程，加强对变更管理中的风险控制。支持对变更工