《hac运维安全审计系统介绍》由会员分享,可在线阅读,更多相关《hac运维安全审计系统介绍(28页珍藏版)》请在金锄头文库上搜索。
1、运维安全审计系统 HAC,广州江南科友科技股份有限公司 2010年7月,目 录,安全现状及审计需求科友解决方案HAC具体功能成功案例,(1)安全审计需求,1.1 审计的必要性、迫切性 银行计算机犯罪以每年30%速度增长,涉案金额越来越大。具有如下特点: 犯罪主体以内部或内外勾结为主; 作案目的以盗窃资金为主; 发案原因多是由于缺乏内部风险控制机制为主。 介绍目前几个真实案例,真实案例,案例1:银行系统开发商内部作案 某商行开发核心业务系统,开发商某工程师在试运行维护期间内部新增一个隐藏帐户,且将其帐户金额锁死,以致后期该人频繁通过该帐户取款,无人发现,直至银行经过长时间对帐,仔细比对和核查,才
2、找到问题原因。 案例2:外包人员作案,ATM资金丢失 某银行ATM机服务外包给厂商,某厂商工程师利用工作便利,在ATM系统中安装了一个抓包工具,将许多储户的密码偷偷抓取到,并通过伪造卡的方式盗取大量资金。经过长时间排查,和查找ATM监控录像才发现作案人员。,综上所述: 企业IT系统构成复杂,操作人员众多,对其进行有效审计,是控制内部风险的一个重要手段。,运维管理安全需求 如何解决共享帐号后操作身份不唯一的问题? 如何控制操作人员操作权限? 如何实时跟踪操作者的操作行为? 如何监控和定位非法操作行为? 如何对已经发生的非法操作行为进行举证?,1.2 相关政策规范和标准 中国银监会于2007年5月
3、紧急发布的中明确要求:第十七条 商业银行应当将加强内部控制作为操作风险管理的有效手段,与此相关的内部措施至少应当包括: (一)部门及操作人员之间应权限分离; (二)密切监测风险限额或权限的情况。 (三)对接触和使用银行资产的记录进行安全监控。 电子银行业务管理办法银监会:2006 金融机构应在物理和软件控制两个方面,建立对进入系统的识别、处理和报告机制,金融机构应定期检测所有关键设备和系统软件的工作状态,审查其工作日志 商业银行内部控制指引银监会:2006 记录要清晰、易于识别和检索,以提供追溯证据。 新资本协议、SOX法案 国家标准: 我国颁布的安全等级保护技术要求信息系统中必须建立并保存下
4、面的各种访问日志: 网络(网络安全审计8.1.2.4) 主机(安全审计8.1.3.3) 应用(安全审计8.1.4.3),1.3安全实践 安全管理业界标准ISO27001: 2005 条款A15.1.3明确要求必须保护组织的运行记录。 条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行,符合安全策略和标准的要求。,(2)科友解决方案,江南科友 “运维安全审计系统(HAC)”是针对于用户核心资产的运维操作,再现关键行为轨迹,探索操作意图,集全局实时监控与敏感过程回放等功能特点,有效解决了信息化监管中的一个关键问题 。以操作为核心,从操作层入手,实现对人、设备、操作的统一管理
5、,做到事前防范、事中控制、事后监督和纠正的组合,从而帮助用户最小化人为操作风险。,2.1 HAC介绍及产品定位 HACHost Audit Control,运维安全审计系统,设备外形如下:HAC是以实现审计为目标,集认证、授权、审计为一体的安全设备。 实现原理: 基于协议解码,来达到监控、记录数据的目的,目前支持协议有Telnet、FTP、SFTP、SSH、RDP(Remote Desktop Protocol)等多种通信协议。 审计对象: 针对内部运行维护人员; 针对服务外包人员; 针对厂商或集成商等技术支持人员。,系统组成,应用环境: 支持IBM AIX、HP UX、SUN Solaris
6、、SCO UNIX、LINUX、WINDOWS等多种操作系统。 可广泛应用于金融、政府、电信、证券、邮政、税务、海关、交通等安全需求较高的行业。 2.2部署方式 单臂部署:不改变客户网络环境,对客户网络透明; 串联接入:可灵活根据网络环境串联路由接入,起安全审计和访问控制的作用。,部署模式一:单臂模式:,HAC具体功能,身份认证与授权账户托管、SSO事中监控会话审计、审计报表变更工单、双人操作支持应用发布审计其他功能,完整的身份管理和认证解决身份问题,满足审计系统“谁做的”要求。 运维用户:静态口令、动态口令、证书KEY、RADIUS、LADP、AD认证方式;管理员:静态口令、动态口令、证书K
7、EY认证方式。 支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能。 支持运维用户用户分组管理,方便的增、删、改、查操作,支持用户信息导入导出,方便批量处理 。 灵活、细粒度的授权提供基于用户、运维协议、目标主机、运维时间段、会话时长、运维客户端IP等组合的授权功能,实现细粒度授权,满足用户实际应用的需要。,产品功能:身份认证、授权,口令统一管理与自动登陆运维人员通过HAC认证和授权后,HAC根据配置策略实现后台资源的自动登录代理,提供托管和只托不管两种方式。 支持后台资源口令统一管理 支持运维用户到后台资源帐户分配 支持各种主机、安全设备、网络设备以及Windows系统 支持通过定
8、制脚本添加托管各类Unix、Linux系统帐号 口令支持下载、邮件和直接密函打印,产品功能:账户托管、SSO,实时监控 监控正在运维的会话,活动用户突出显示 监控后台资源被访问情况 可实时终止异常在线运维会话 提供在线运维的操作的实时监控功能 敏感操作实时告警与阻断 根据安全策略实施运维过程敏感操作检测,对违规操作提供实时告警和阻断 支持用户分级,并针对不级别采取不同响应方式 告警与会话实时监控、会话审计与回放关联,产品功能:事中监控,完整记录网络会话过程 系统提供运维协议Telnet、FTP、SSH、SFTP、RDP等网络会话的完整会话记录,完全满足内容审计中信息百分百不丢失的要求。 详尽的
9、会话审计与回放 支持按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式; 提供图像形式的回放,真实、直观、可视地重现当时的操作过程; 回放提供快放、慢放、拖拉等方式,方便快速定位和查看 支持文本协议操作命令和结果回显功能 支持命令Del、TAB、上下键等编辑过程的准确识别。 可基于命令定位会话。 会话内容可折叠显示,使用更方便。,产品功能:会话审计,完备的审计报表功能 提供日常报表、会话报表、自审计操作报表、告警报表 提供综合统计报表,报表中包括概要信息、每个用户操作信息、每个资源被操作信息等,产品功能:审计报表,可支持ITSM(IT服务管理) HAC可与
10、ITSM相结合,为其优化变更管理流程,加强对变更管理中的风险控制。 支持对变更工单录入操作,实现变更过程的监控和审计。 支持对现有运维变更管理系统快速集成。 支持变更工单号事后审计功能。可支持双人符合操作 支持运维过程对双人操作流程介入。 支持会话日志记录双人符合操作审批人、时间、操作符合命令。,产品功能:变更工单、双人操作支持,各类应用运维操作审计功能 业界首创的(VDH, Virtual Desktop Host)虚拟桌面主机安全操作系统设备,完全符合运维安全审计要求。 运维操作全程可控,可做到授权后应用只能访问指定服务,最大降低对后台目标服务集群的可能安全风险。 可对整个运维操作过程进行
11、完整记录,实现详尽的会话审计和回放。 可依据用户要求快速实现新应用的发布和审计。,产品功能:应用发布审计,维护管理:对HAC系统的本身维护和管理,表现为: 远程重启、关机; 审计日志自动、手动备份;HAC系统特点: 产品稳定、安全性高 高效、精简的安全内核 性能高,支持并发用户量大 支持HA高可用性 分权管理机制,产品功能:其他辅助功能,HAC 带来的安全价值,提升声誉,降低损失,取证免责,把控全局,完善机制,满足合规性要求,顺利通过等级检查、IT审计,有效减少业务系统核心信息资产的破坏和泄漏,有效控制运维操作风险,便于事后追查原因与界定责任,有效控制业务运行风险,直观掌握业务系统安全状况,实现独立审计管理、配置管理、运维管理的三权分立,完善IT内控机制,产品型号:,HAC成功案例,HAC 资质,1、国家保密局认证。 2、中国信息安全测评中心认证。 3、计算机软件著作权登记证书。,谢 谢,
