xxxx安全审计解决方案

xxxx安全审计解决方案xxxx有限公司xxxx运维安全审计解决方案2/22目录目录..........................................................................................................................................2第一章方案概述......................................................................................................................3第二章需求分析......................................................................................................................42.1法律法规遵从需求........................................................................................................42.2现状需求分析.............................................................................................................4第三章XX运维管理审计系统..................................................................................................83.1产品概述..........................................................................................................................83.2设备部署示意图..............................................................................................................93.3协议支持清单..................................................................................................................93.4设备主要功能................................................................................................................103.5产品特点........................................................................................................................18第四章XX行业典型成功案例................................................................................................214.1xxxx公司........................................................................................................................21xxxx运维安全审计解决方案3/22第一章方案概述随着互联网的飞速发展，金融行业对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。金融信息系统是金融公司重要的基础设施，是金融业务正常运行的前提条件。但是近几年来，由于受到高科技犯罪、黑客入侵、计算机病毒感染等威胁，金融信息系统的安全事故呈逐年上升趋势，对正常交易和日常维护也造成很大威胁。同时随着电子商务的蓬勃发展，通过Internet开展网上金融交易已经成为国内各大金融公司积极开拓业务的主要渠道之一，至今网上股民已经达到2.1亿，成为世界第二。安全保障将决定xxxx公司和客户的资金及交易的安全问题，直接影响到xxxx公司的形象。数据库、网络交换设备、服务器系统、业务系统是保证金融系统正常运基础设施，本方案针对我国金融公司的实际情况，充分利用xx运维管理审计系统产品功能特点，提供可伸缩、无干扰、快速灵活的提关键设备运行日志等主要时分析、快速检索和综合审计，为系统管理员构建覆盖面广、监控有力、响应及时的集中安全事件管理平台，也为今后事故的追查取证提供第三方、仿篡改的原始始记录库。xxxxxxxx公司是运维审计的领先者，其自主知识产权产品——xx运维管理审计系统可涵盖多种运维协议（RDP、SSH、TELNET等）并提供操作回放检索、输入记录、标题抓取等功能，从明确人、主机、帐户各个角度，提供丰富的统计分析，帮助用户及时发现安全隐患，协助优化网络资源的使用。xxxx运维安全审计解决方案4/22第二章需求分析2.1法律法规遵从需求目前，很多行业标准及法案明确做出规定，IT行为必须进行审计。ISO27001标准：条款A10.10.1要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便为安全事件的调查和取证；条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为；条款A15.1.3明确要求必须保护组织的运行记录；条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。CC标准：信息技术通用评估准则（CommonCriteriaforInformationTechnologySecurityEvaluation）中，安全审计是其安全功能要求中最重要的组成部分，同时也是信息系统安全体系中必备的一个措施，它是评判一个系统是否真正安全的重要尺码。SOX法案：302节：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。404节：要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。2.2现状需求分析xxxx的计算机网络以及数据库系统，是xxxx正常运行和核心数据信息安全的基础保障，为加强对网络信息安全的建设，满足国家法律法规的相关规定，满足行业相关文件和规定的技术要求，xxxx公司决定实施计算机网络安全日志审计系统。xxxx运维安全审计解决方案5/22根据调研，xxxx需求如下：公用帐户由于系统管理需要或运维人员为了使用方便，目前IT系统管理过程中，多人共用一个系统账号的情况普遍存在。多人同时使用一个系统帐号在带来管理方便性的同时，却带来了操作者无法确定的问题，一旦发生安全事件，无法准确定位恶意操作或误操作的具体责任人。密码过于复杂密码过于复杂，不想手动进行填写，且容易丢失，不希望记录过多的密码。定期更改密码上级部门要求必须定期更改密码，但服务器数量过多，管理人员希望能够自动修改，从而减轻工作压力。密码丢失由于密码过于复杂，经常出现密码丢失，有的管理人员为了便于记录，将密码写入文档保存在本地，造成安全隐患。权限分离领导或主管希望数据库管理员仅有数据库服务器的数据库服务管理权限，而不希望数据库管理员拥有系统管理权限。单点登录应用运维人员希望能够通过一个入口管理所有的应用，且不需要安装任何客户端程序，不需要填写应用成熟的用户名、密码等信息，能够以最快的速度登录远程应用系统进行运维活动。集中管理希望能够对服务器进行集中统一管理，不需要因为网络等原因进行跳转和网络切换。远程运维希望所有的运维活动均能在远程完成，能够7*24小时进行运维活动，同时希望能够在任意地点进行远程运维。xxxx运维安全审计解决方案6/22安全审计所有运维活动均需要有审计记录，审计记录包括：运维操作录像，运维过程键盘输入，rdp运维活动中窗口标题抓取。主动监控运维活动链接建立的同时，进行服务器监控，能够自动监控新的回话，并提示监控会话中的危险操作。批量操作能够对远程设备进行批量管理操作，以任务下发的方式，将命令等信息发送至远程设备，执行完成之后，将远程设备回显记录返回给运维用户。报表能够根据运维回话建立、运维活动的时间、运维活动的人员、管理员对xx运维管理审计系统进行修改、对运维人员的登录为条件创建报表，并能以这些条件作为报表模板，定时生成报表。控制代维人员控制代维人员，对代维人员进行权限限制和审计，对代维人员活动范围进行限制。注：以上服务中，满足证监会要求中的1.1.2、1.1.3经过以上需求分析，xxxx推荐使用xx运维管理审计系统基本远程操作协议SSHTELNETFTP图形终端操作协议RDP（windows远程桌面）VNC数据库远程协议xx运维管理审计系统支持以下主流数据库远程访问协议审计ORACLExxxx运维安全审计解决方案7/22DB2MS-SQLSERVERINFORMIXMySQLSYBASE针对上述协议，xx运维管理审计系统能够记录整个会话的完整过程，并形成指令日志及回放文件2部分审计数据，指令日志供管理员针对操作指令进行快速审计，回放文件可供管理员针对特定的会话进行完整操作审计。此设备满足证监会要求2.1.3xxxx运维安全审计解决方案8/22第三章xx运维管理审计系统3.1产品概述xx运维管理审计系统的核心技术原理是采用访问过程双向模拟技术。其主要实现方法为将原先的“客户端-服务器”访问模式，转变成“客户端-运维管理系统-服务器”的协议代理模式。在用户访问过程中，运维管理系统通过技术手段将原来的一次TCP会话，拆分为两个独立的TCP会话，并分别在两个拆分后的会话中模拟了服务器端和客户端角色，因此，无论是与服务器通讯、还是与客户端通讯时，都能准确还原加密信息，进而实现对加密、图形协议的内容识别、控制功能。图2-1xx运维管理审计系统体系架构xx运维管理审计系统主要由两大模块组成，协议控制模块、管理模块。协议控制层主要负责实现底层对访问过程的TCP会话拆分、还原识别操作内容、记录操作指令、并根据策略执行阻断操作。管理模块主要实现运维用户、操作对象的配置、访问授权控制策略控制以及行为审计功能。xx运维管理审计系统为B/S架构，管理员通过IE浏览器进行管理操作。xxxx运维安全审计解决方案9/223.2设备部署示意图xx运维管理审计系统支持多种部署方式，可以充分满足不同网络对审计系统的需求。xx运维管理审计系统部署支持Active-Active双机模式，避免产生单点故障而影响正常的维护通道。xx运维管理审计系统的部署应与网络访问控制列表、企业管理制度相结合，以便取得更好的审计效果。单臂模式部署方式：此处贴网络部署示意拓扑单臂模式部署时，xx运维管理审计系统只需要一个独立的IP即可。所有维护数据均通过此IP进行代理。维护人员只要登录该IP的指定端口即可直接访问到服务器，无须进行二次登录。采用单臂部署方式时，需要在交换机或防火墙上屏蔽其他维护通道。双机热备模式部署方式：此处贴网络部署示意拓扑单臂模式部署时，xx运维管理审计系统需要三个独立的IP。两台互为热备的xx运维管理审计系统分别一个IP，第三个IP为两台互为热备的xx运维管理审计系统的虚拟IP，所有维护数据均通过虚拟IP进行代理。维护人员只要登录该虚拟IP的指定端口即可直接访问到服务器，无须进行二次登录。采用热备部署方式时，需要在交换机或