网神SecFox-LAS-BH运维审计系统介绍刘大地liudd@legendsec.com13718589493目录•一、需求背景•二、现状分析•三、产品理念•四、功能介绍•五、特色优势•六、部署案例1、IT资产膨胀2、IT资产类型•从运维角度看–服务器主机–数据库主机–路由设备–交换设备–安全设备–专用系统•从应用途径看–业务系统(BSS/证券等)–支撑系统(如网管)–OA系统–财务系统–人力资源系统–客户服务系统CRM3、IT资产使用者•管理员–运维主管–常驻维护人员–外包服务人员–外聘运维人员–临时授权•一般用户–普通用户–领导–财务、行政–业务人员–外来临时用户4、资产访问方式•使用远程终端服务:例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口(CLI)。•使用文件传输协议:例如FTP等。•使用远程窗口和桌面:例如Windows的远程桌面(RDP),和Unix的Xwindow。•使用各种数据库客户端:例如各种数据库的client程序、ODBC、JDBC,以及多种其它数据库工具。5、资产的安全控制DB管理员系统管理员网络管理员业务操作员Windows服务器Unix服务器安全设备网络设备IT资产中心分支机构外聘人员代维厂商多人使用多点登录目录•一、需求背景•二、现状分析•三、产品理念•四、功能介绍•五、特色优势•六、部署案例1、用户不堪重负多机分散操作多台设备,操作时来回切换。密码记忆用户需要记忆许多用户名和密码用于登录各个系统,经常出现忘记密码的情况,有些管理直接使用相同的密码,缺乏统一的用户管理。频繁登录和注销管理不同的网络设备需要分别登录,操作烦琐。内控安全企业生产数据面临被内部人员篡改、删除、窃取、主机被关机、设备配置被修改,导致企业生产停顿、商业资料泄露,给企业造成巨大的损失。2、KVM管理方式•Keyboard+Video+Mouse•账号口令依然难记•登录切换烦琐•没有控制和审计3、集中式管理•方式:–先登录管理作业服务器,然后转换身份再对相关服务器进行维护。属于多用户单帐号管理。•问题:–1.多用户共享root帐号,权限划分不明,所有人员都具有最高的ROOT权限。–2.无法跟踪某个管理员的确切操作。–3.依靠各自服务器的日志信息,审计信息不可读。4、旁路审计的局限1.密文协议(SSH/RDP等)2.细粒度授权和访问控制3.审计信息不可读(非实名、信息量大)�xvz@b銐e決;`耂決塠hQ軴芠€b/g纇錱密文,无法审计SSH分析仪/审计仪镜像监听5、政策要求•萨班斯.奥克斯利法案(Sarbanes-Oxley)•《企业内部控制规范》•《证券公司内部控制指引》•《信息系统安全等级化保护基本要求》二级以上•目录•一、需求背景•二、现状分析•三、产品理念•四、功能介绍•五、特色优势•六、部署案例1、什么是4A集中身份管理4A-ISM帐号管理Account认证管理Authentication授权管理Authorization你是谁?操作审计Audit是你吗?你能干什么你干了什么2、4A的内容帐号管理认证管理A1A2操作审计A4授权管理A3定义帐号密码定期变更密码密码强度控制……..日志收集日志分析故障排查事故追踪……..建立帐号修改帐号删除帐号……..定义帐号权限分配帐号修改帐号权限防止越权访问……..设备及服务器管理3、身份和授权相分离主帐号身份认证+从帐号系统授权+系统帐号=身份认证系统授权+系统帐号身份认证4、1A-Account统一帐号管理空闲帐号弱口令帐号僵尸帐号共享帐号设备及服务器群5、2A-Authentication集中认证原先:各系统独立认证单一的静态口令认证口令强度基本无限制目标集中一处认证双因子认证,可以兼容各种认证方式口令强度监测、定期密码变更6、3A–Authorization统一授权原先:授权工作量大、繁琐没有有效的访问控制手段授权粒度粗,基本只到设备目标:统一授权管理,以主、从账号的关联实现授权命令级别的细粒度授权实时监控、命令拦截7、4A-Audit综合审计关键业务系统数据被修改了,系统记录是admin改的,到底是谁用这个帐号改的?这么多系统,查看命令这么复杂,我怎么去使用这些命令去查看?业务数据被修改,从日志中查,一天的日志量有几百万,我该从什么地方开始看,他到底在什么时间修改业务数据的?每个系统的日志都这么多,不知道他们之间有什么关系?8、4A-Audit综合审计没有跨系统的综合审计:缺乏帐号分配审计缺乏用户使用相应帐号的授权审计缺乏用户登录登出系统的审计缺乏用户对系统访问行为审计综合审计:实名制堡垒机审计、数据库审计、日志审计可以统一展现账号分配的审计DB管理员系统管理员网络管理员业务操作员Windows服务器Unix服务器安全设备网络设备中心各网点分支机构代维厂商事前:身份不确定授权不清晰事中:操作不透明过程不可控事后:结果无审计责任不明确9、解决方案事前:身份确定授权清晰事中:操作透明过程可控事后:结果可审计责任明确目录•一、需求背景•二、现状分析•三、产品理念•四、功能介绍•五、特色优势•六、部署案例1、统一账号•降低了记忆账号的负担2、统一认证•增强了认证的安全性3.1、授权和控制策略中配置禁止该操作员使用kill等危险命令,显示禁用提示信息策略中配置禁止命令中不包含more命令,放行通过,得到正确执行结果操作人员moreabc.filekillallapache运维审计目标服务器3.2、禁止指令列表4、常用协议审计支持指令终端的常见协议SSH、TELNET、RLOGIN、FTP5、图形审计支持图形终端的常见协议RDP、VNC、XWINDOWS6、单点登录统一的WEB单点登录方式避免了频繁切换和登录登出的麻烦7.1、综合审计•详细的审计列表,实名制•查询方式、回放方式7.2、详细审计列表7.3、审计记录回放•操作过程回放目录•一、需求背景•二、现状分析•三、产品理念•四、功能介绍•五、特色优势•六、部署案例1.1、内控堡垒机标准特色•物理旁路快速部署,不改变拓扑结构。(相比串行审计而言)•实现账号、密码的统一管理。(相比传统集中管理而言)•实现运维命令的实时审计和拦截控制。(相比传统的并行网络侦听审计而言)•实现包括加密协议SSH、SFTP,图形协议RDP等在内的更全面的审计。(相比并行审计)1.2运营商的最佳实践•严格按照中国移动通信企业标准QB-W-002-2005《中国移动支撑系统集中账号管理、认证、授权与审计(4A)技术要求》的要求开发完成。•对于运营的实际需求满足充分,最多可管理省级运维网络达3000多台设备,性能卓越。2、五大特色(独门秘技)•1、智能运维脚本:•让运维自动化。•2、管理终端安全检查:•杜绝信息泄露。•3、文件共享管理:•把管理从操作拓展到内容•4、组态报表,用户自定义报表:•几百个常用报表模板•5、智能负载均衡运维:•网络资源占用进行智能化分配调度。2.1智能运维脚本•对运维指令集,可以编写成脚本的形式,由堡垒机定时自动执行。•代维人员或者厂家人员,如果需要授权他们操作设备,可以改为让他们提交操作脚本,由业主单位的管理人员审核后付诸实施。•对于基层操作人员和实习人员,也可以改为提交脚本,由领导审核后提交运行。2.2控制终端安全检查•单点登录系统保存着系统帐号并具有访问重要资源的网络权限,在使用单点登录前对使用者的终端做安全合规检查是排查安全隐患、降低安全风险的重要手段。•支持使用单点登录前做安全合规检查,包括防病毒、补丁,并提供修复功能。•通过禁止剪贴板功能、禁止本地磁盘映射增加单点登录的保密性,可以有效地防止信息泄露。2.3共享文件管理•不仅能对资源进行运维,还可以管理服务器上的共享文件,可以通过堡垒主机向服务器上传下载文件,并能审计及备份文件。支持上传下载文件支持断点续传。2.4组态报表,用户自定义的报表•预置了几百个常用报表模板。•用户可以自定义XML报表模板,不需编程,不会影响系统稳定性。2.5智能负载均衡技术•支持分布部署,支持在运维管理过程中,实现对运维管理的负载均衡。对当前的运维管理所需的网络资源占用进行智能化分配调度。3、产品优势•统一的web管理方式。•内含认证组件(radius)。•可以集成各种强认证方式。•访问方式控制采用策略形式,方便易用。•大4A系统的核心部件,易于拓展到4A项目。目录•一、需求背景•二、现状分析•三、产品理念•四、功能介绍•五、特色优势•六、部署案例1.部署优势46运维审计系统2.1、旁路部署管理员内网区域服务器群运维审计2.2、少量试用管理员内网区域运维审计服务器群2.3、全部控制管理员内网区域运维审计服务器群2.4、取消后门管理员内网区域运维审计服务器群2.5、双机热备管理员内网区域运维审计服务器群3、向大4A的拓展52堡垒主机也叫小4A,当:1、以上功能的管理对象从运维设备拓展到应用系统2、操作用户从网管员拓展到全员时。就成为完整4A(集中身份和访问管理)系统了!运维审计系统6、用户类型•交换机+路由器+服务器+DB+…50台•正准备购买KVM的•正准备购买并行网络审计的•还在用PCAnywhere、DameWare的•已经购买终端内控产品,忽视服务器内控的SecFox安全审计综合解决方案SecFox-NBA(上网审计型)SecFox-EPS终端审计信息可视化、关联分析SecFox-NBA(业务审计型)SecFox-LAS日志审计SecFox-LAS-BH运维审计立志成为国家信息安全的中坚力量谢谢!
