运维安全审计立项需求报告

第第1010页真功夫IT运维安全审计体系建设需求申请报告需求依据：ISO27001要求组织必需记录用户访问、意外和信息安全大事的日志，记录系统治理和维护人员的操作行为，并保存肯定期限，以便为安全大事的调查和取证，确保全部负责的安全过程都在正确执行，符合安全策略和标准的要求。SOXSEC相关规定及内部掌握方面的要求企业内控治理标准运用信息技术加强内部掌握，建立与经营治理相适应的信息系统，促进内部掌握流程与信息系统的有机结合，实现对业务和事项的自动掌握，削减或消退人为操纵因素。计算机等级保护依据《国家重要信息系统等级保护条例的设备运行状况、网络流量、用户行为等进展日志记录，能够依据记录数据进展分析，并生成审计报表，同时对审计记录进展保护，避开受到未预期的删除、修改或掩盖等。工程必要性分析内部人员安全隐患形势严峻FBICSI48485%的安全威逼来自公司内部，在损失金额上，由于内部人员泄密导致了6056.5万美元的损失，是黑客造1612安全的现实威逼也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。造成不行估量的损失。因此，对IT系统进展有效运维，是掌握内部风险、保障业务连续性的重要手段，如何保障运维工作的有序运转、降低运维风险、提高应急响应力量，为IT系统供给强有力的后台支撑，是当前急需解决的课题。现有运维安全体系存在缺乏已经涉及公司核心数据，业务运营、日常办公等方方面面。随着系统应用范围的逐步扩大和应用层次的不断深入,应用系统越来越多，IT系统的构成越来越简单，运维操作人员越来越多，IT一、 IT系统口令治理IT系统口令对ITITIT冲突，导致IT1IT系统的口令需定期修改〔一般半个月或一个月大加大了口令治理的工作量；2、口令强度要满足安全要求，其简单性也有肯定要求。一方面加大了修改口令的工作其他系统的口令；3、由于局部系统是由外包厂商供给运维效劳，所以口令也简洁泄露出去。4、没有口令治理的策略，口令治理制度宽松，隐患很大。二、 多入口操作现象ITIT统一治理、设置统一安全策略等而引起各种安全隐患。三、 穿插运维操作现象在IT系统运维过程中，存在多种治理角色，如设备治理员、系统治理员、安全治理员人员、厂商技术人员等多种技术人员。对于这些治理员进展维护时，可能是使用IT系统的同一个帐号，这样一旦消灭问题很难定位具体某个人的操作。四、 越权和违规操作1114而从恶意攻击的特点来看，70%的攻击来自组织内部。尤其面对拥有特权的维护用户，由于以前没有一种技术手段来掌握其操作，所以消灭越权或违规操作的现象时有消灭。或违规操作，并能对这种越权或违规操作进展告警，以便安全人员能对此类操作进展分析，避开消灭严峻后果的状况下才觉察。五、 无具体操作记录针对运维操作，IT系统是靠系统日志方式进展记录的。它存在以下问题：1、系统日志不独立，无法防止被篡改，治理人员做了违规操作后可能会删除日志，造成无法追查、无法定位等问题。2、系统日志记录信息不全面，目前系统日志记录的信息相对简洁，而且检索不便利。并支持防篡改。六、 无法满足合规性检查IT续性工作、IT操作风险以及企业内控等都有明确的要求，信息安全等级保护。目前面对这因此需要在IT系统安全运维方面建立一种或多种技术手段来满足合规性要求，以满足合规性检查的需要。七、 没有运维安全分析报告过程存在的问题无法有定量或定性的分析数据，只能简洁从安全大事方面进展描述。IT系统的安全建设。运维安全体系建设要求针对以上的分析，目前机房维护现状在治理和的安全上都存在诸多的不便和安全引患，具体的建设要求如下：集中治理，供给后台设备的操作维护入口。身份治理，供给设置实名制登陆帐号，具体记录整个运维操作过程。掌握，确保合法用户在其系统权限范围内访问授权设备。回放等审计功能。满足信息安全、IT系统运维治理、企业遵规三个方面的要求，有效提高企业信息网络的安全性，适应企业业务的快速进展；针对以上建设要求，我部需要在数据中心建立一套集中式IT运维审计系统，逐步完善公司的ITIT运维安全体系建设方案IT运维审计系统是指通过配置策略，实现身份认证、操作授权及审计留痕等功能。从而实现对信息系统运维风险监测、分析、预警、掌握、处理、评价；对觉察特别、可疑、违系统及设施运行安全，完善内控审计安全治理。通过部署一套集中式IT运维审计系统，实现以下运维安全治理：一、 事前预备阶段资源治理：系统供给对IT系统资源进展治理，能够对资源进展分组治理，并能对各类资源的账号口令进展统一治理。人员治理：系统供给IT运维自然人进展定义，可以通过支持多种身份认证方式：数字证LDAP、AD域、Radius等方式进展统一认证，对于运维人员进展分组治理。授权治理：IP、起始时间、运维时长等组合授权，实现对运维行为的掌握。二、 事中掌握阶段流程治理：系统遵循ITIL实现针对运维工单、双人复核与二次授权等操作治理，可以通过系统定制与客户现有工单系统进展整合，加强IT系统变更的治理力度，降低运维操作风险。实时掌握：系统能够对IT运维过程实现同步在线监控、实时阻断，对字符型操作可以全部运维动作。三、 事后分析阶段HAC表，可以生成多种格式〔Word、PDF、Excel〕与样式〔饼图、柱状图、折线图等〕的报表文件，满足审计需求。100ITIL复核，满足合规性要求。运维安全审计系统产品选型衡量指标一、 安全资质要求产品要具有中华人民共和国公安部颁发中华人民共和国保密局涉密信息系统安全保密测评中心颁发中华人民共和国安全测评中心颁发的《信息技术产品测评证书和国国家版权局颁发的《计算机软件著作权登记证书二、 硬件性能指标及规格500150300三、技术要求1．供给的产品系统与运维日志分别存储，系统由电子盘独立存储，运维日志由硬盘存储，确保系统与日志的独立性。2．部署模式：要求产品旁路两种部署模式。运维模式：要求支持Portal统一登录，并兼容终端C/S客户端连接设备。配置模式：要求支持B/S模式对设备进展根本的治理、配置、运维。〔C/S架构对运维会话进展安全审计，并能通过审计客户端软件制作不同样式的专业报表。集中管控：要求产品支持分布式治理模式，支持总控治理模式。要除支持Telnet、Ftp、SSH、SFTP、RDP、Xwindow、VNC、、sPcAnywhere、DameWareC/S类应用系统的运维操作审计，审计的日志要求以视频、文本、报表的形式进展保存，并可对运维人员操作步骤进展视频回放。产品基于S/SSL的自身安全治理与审计；审计信息加密存储，保证运维信息不被人工篡改；口令信息加密存储，保证口令信息不被泄露。系要求与底层linuxroot帐号为用户名的治理帐号且无后台登陆帐号。10．身份认证治理：为了确保合法用户才能访问其拥有权限的后台资源，解决IT系认证功能。LDAP、AD域认证外，还要支持原厂USBKEY支持密码强度、密码有效期、口令尝试死锁、用户激活等安全治理功能；支持用户分组治理，支持用户信息导入导出；支持审计员分权治理〔分为全局审计员和会话审计员，其中会话审计员只能审计指定用户的会话。帐号代填：支持对后台资源〔RDP/TELNET/SSH/FTP/SFTP等〕的帐号口令代填功能，即用户登录系统后，系统依据用户权限安排后台资源的使用权。帐号托管：支持对后台资源〔Windows、linux、unix〕的系统帐号密码定期自动修改功能。授权:系统供给基于用户、运维协议、目标主机、运维时间段〔年、月、日、周、时间、会话时长、运维客户端IP等组合的授权功能，实现细粒度授权功能，满足用户实际授权的需求。对于字符型协议、如Telnet、SSH、FTP、SFTP等，能够实现命令级别的访问掌握。支持黑、白名单功能；供给基于用户到资源的授权。令，告警规章支持正则表达式。供给基于用户到资源的授权。触发告警规章，针对不同用户实施不同的规章，从而供给更细粒度的操作掌握。应用公布:主要针对C/S架构类运维工具的扩展支持，通过定义相应的访问规章限制使用公布后工具的越权访问。pcAnywhereDameWare等不同工具的运维操作进展监控和审计、通过专用的应用公布平台，能够限制运维用户访问的目标IP，并对整个运维操作过程进展完整记录，实现详尽的会话审计和回放；运维操作全程可控，最大降低对后台目标效劳集群的可能安全风险；会话监控：支持对正在运维会话，信息包括运维用户、运维客户端地址、资源地址、协议、开头时间等的监控。的安全隐患问题。实时监控：供给在线运维操作的实时监控功能，针对命令协议和图形协议可以图像方式实时监控正在运维的各种操作，其信息与运维客户端所见完全全都。远程阻断：审计员可以远程阻断在线的运维会话。完整记录网络会话过程:系统供给运维协议TelneFTSSSFTRD〔WindowsTermina、Xwindow、VN、、s以及应用公布等网络会话的完整会话记录，完全满足内容审计中信息百分百不丧失的要求；会话信息包括运维用户、运维地址、后台资源地址、资源名、协议、起始时间、终止时间、流量大小信息。会话审计与回放:会话查询：运维操作审计以会话为单位，供给当日和条件查询定位。条件查询支持按运维用户、运维地址、后台资源地址、协议、起始时间、完毕时间和操作内容中关键字等组合方式；文本显示：针对命令交互方式的协议，供给逐条命令及相关操作结果的文本显示；录像显示：供给图像形式的回放，真实、直观、可视地重现当时的操作过程，并支持回放过程中得快放、慢放、拖拉等方式，便利快速定位和查看，针RDP、Xwindows、VNC供给运维人员操作、治理员操作以及违规大事等多种审计报表。供给日常报表，包括今日会话、今日自审计、用户信息、资源信息、权限信息、规章信息、治理员角色信息等报表；供给会话报表，可依据用户选定时间、用户、资源形成会话报表。自审计操作报表，可依据用户选定时间、治理员、模块形成自审计报表。告警报表，可依据告警类别、级别、资源、运维用户、协议、时间等条件形成报表。综合统计报表，可依据时间、资源、用户等条件形成综合统计报表，报表中包括概要信息、每个用户操作信息、每个资源被操作信息等。报表导出格式，支持WORD、EXCEL、PDF等导出格式。作为ITITIL够通过定制开发与现有ITSM、SOC、网管平台进展集成，满足大型网络系统的治理要求。39．产品必需保证对常用命令行运维工具secureCRT命令行协议时通过指定本地SecureCRTSecureCRT进展运维。40．产品必需支持与第三方的AD、LDAP认证效劳器结合认证，并能够做到AD、LDAP账号的自动同步。设备性能指标功能

指数指标内存硬盘容量处理力量支持协议治理模式兼容性冗余方式链接方式操作界面治理界面

2G