1、LogBase運維安全審計系統技術白皮書 杭州思福迪信息技術有限公司 2010版權講明 版權所有 2005-2010，杭州思福迪信息技術有限公司本文件中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特不注明，版權均屬杭州思福迪信息技術有限公司所有，受到有關產權及版權法愛護。任何個人、機構未經杭州思福迪信息技術有限公司的書面授權許可，不得以任何方式復制或引用本文件的任何片斷。商標信息LogBase是杭州思福迪信息技術有限公司注冊商標，受商標法愛護。公司信息網址： E-mail：support地址： 杭州市文一西路75號3號樓6樓 熱線: 400-678-1500 電話： 05

2、71-88923222 傳真： 錄 TOC o 1-3 h z u HYPERLINK l _Toc252723864 一、前言 PAGEREF _Toc252723864 h 4 HYPERLINK l _Toc252723865 二、什么緣故需要運維審計系統 PAGEREF _Toc252723865 h 5 HYPERLINK l _Toc252723866 三、LogBase審計產品概述 PAGEREF _Toc252723866 h 6 HYPERLINK l _Toc252723867 3.1系統架構 PAGEREF _Toc252723867 h 6

3、 HYPERLINK l _Toc252723868 3.2技術原理 PAGEREF _Toc252723868 h 7 HYPERLINK l _Toc252723869 3.3支持協議清單 PAGEREF _Toc252723869 h 8 HYPERLINK l _Toc252723870 四、要緊功能介紹 PAGEREF _Toc252723870 h 9 HYPERLINK l _Toc252723871 4.1統一用戶身份認證 PAGEREF _Toc252723871 h 9 HYPERLINK l _Toc252723872 4.2訪問權限操縱 PAGEREF _Toc2527

4、23872 h 9 HYPERLINK l _Toc252723873 4.3服務器密碼治理 PAGEREF _Toc252723873 h 9 HYPERLINK l _Toc252723874 4.4會話同步監控 PAGEREF _Toc252723874 h 10 HYPERLINK l _Toc252723875 4.5異常行為告警 PAGEREF _Toc252723875 h 10 HYPERLINK l _Toc252723876 4.6操作行為記錄 PAGEREF _Toc252723876 h 10 HYPERLINK l _Toc252723877 4.7會話過程重放 PA

5、GEREF _Toc252723877 h 10 HYPERLINK l _Toc252723878 4.8歷史記錄查詢 PAGEREF _Toc252723878 h 11 HYPERLINK l _Toc252723879 4.9綜合審計報表 PAGEREF _Toc252723879 h 11 HYPERLINK l _Toc252723880 五、產品特性 PAGEREF _Toc252723880 h 12 HYPERLINK l _Toc252723881 5.1無干擾部署方式 PAGEREF _Toc252723881 h 12 HYPERLINK l _Toc252723882

6、 5.2支持所有主流協議 PAGEREF _Toc252723882 h 12 HYPERLINK l _Toc252723883 5.3WEB在線回放技術 PAGEREF _Toc252723883 h 12 HYPERLINK l _Toc252723884 5.4人性化使用方式 PAGEREF _Toc252723884 h 12 HYPERLINK l _Toc252723885 5.5豐富的審計報表 PAGEREF _Toc252723885 h 12 HYPERLINK l _Toc252723886 5.6安全可靠的自身保障能力 PAGEREF _Toc252723886 h 1

7、3 HYPERLINK l _Toc252723887 六、部署方式 PAGEREF _Toc252723887 h 14 HYPERLINK l _Toc252723888 七、規格指標 PAGEREF _Toc252723888 h 15 HYPERLINK l _Toc252723889 八、綜述 PAGEREF _Toc252723889 h 16一、前言各種權威的網絡安全調查結果均表明，在可統計的安全事件中，60%以上均與內部人員有關，這其中既包括惡意行為（越權訪問、惡意破壞、數據竊取），也包括各種非主觀有意引起的非惡意行為（誤操作、權限濫用）。由此可見，規范內部人員的訪問行為，特不

8、是核心系統（主機、網絡設備、安全設備、數據等）的維護行為勢在必行。傳統的信息安全建設，往往側重于對外部黑客攻擊的防范，以及網絡邊界的訪問操縱，對信息系統安全威脅最大的內部人員行為卻缺乏有效的治理。企業內部人員，特不是擁有信息系統較高訪問權限的運維人員（如網管員、臨時聘用人員、第三方代維人員、廠商工程師等），比外部入侵者更容易接觸到信息系統的核心設備和敏感數據、內部人員惡意或非惡意的破壞行為更容易造成較大的破壞。然而，由于現有治理手段的不完善，賬號共享情況普遍存在，以及加密、圖形協議的廣泛應用，使得這些運維治理人員的日常操作，存在操作身份不明確、操作過程不透明、操作內容不可知、操作行為不可控、操

9、作事故無法定位等安全風險。內部人員的操作行為幾乎處于完全失控的狀態，一旦發生事故，其后果的嚴峻性將是無法預估的。因此，放任內部風險的存在決不可行。此外，從遵守國家及本行業各項法律法規的角度考慮。隨著中華人民共和國計算機信息系統安全愛護條例的推廣實施，對IT系統內部操縱的要求越來越明確。如，等保差不多要求中明確提出，要對“內部維護人員登錄主機、數據庫所進行的所有操作行為”、“第三方人員的維護行為”進行審計和操縱。為滿足用戶對加強內部運維安全審計日益迫切的需要，杭州思福迪公司，依托自身強大的研發能力，豐富的行業經驗，自主研發了新一代軟硬件一體化運維安全專用審計系統Logbase運維安全審計系統。該

10、系統支持對企業內部人員的操作行為進行全面的審計、監控，消除了傳統審計系統中的盲點，使企業對運維人員的操作過程，能做到事前防范、事中操縱、事后審計的能力，是企業IT內控最有效的治理平臺。二、什么緣故需要運維審計系統企業的信息系統，在日常的內部運維治理及IT內控合規性遵循過程中，經常會遇到如下問題：多位運維人員共用一個系統帳號，當出現安全事故時相互推諉，缺乏客觀、可信的依據來確定事故責任人；維護人員可能只需要執行簡單的規定操作，但卻通常需要使用擁有更多權限的系統賬戶，而系統自身又無法進行細粒度的授權治理，無法進行指令級或文件級不的訪問權限操縱；服務器、網絡設備、數據庫等資產的數量日益增多，按照治理

11、要求定期修改密碼成為耗時費勁的瑣事，基層運維人員是否嚴格遵守制度，按時完成密碼安全治理工作，治理人員無法方便得知；當第三方運維人員（代維/原廠工程師），需要對系統進行操作時，基于對合作伙伴的信任及工作方便需要，企業內部人員通常會給與其擁有高權限的系統賬戶甚至治理員帳戶，而治理員卻無法從技術上確保，第三方人員的所有操作行為是否合規；當系統因某些操作發生故障時，因為缺乏對操作過程的全程記錄，無法還原事故現場，確定問題緣故，而使得系統恢復時刻大大延長；三、LogBase審計產品概述Logbase運維安全審計系統是新一代操作行為安全審計系統，它采納軟硬件一體化設計，通過B/S方式(https)進行治理

12、，其要緊功能為實現對運維人員操作服務器、網絡設備、數據庫過程的全程監控與審計，以及對違規操作行為的實時阻斷。該產品采納先進的設計理念，支持對多種遠程維護方式的支持，如字符終端方式(SSH、Telnet、Rlogin)、圖形方式（RDP、X11、VNC、Radmin、PCAnywhere）、文件傳輸（FTP、SFTP）以及多種主流數據庫的訪問操作。3.1系統架構Logbase運維安全審計系統采納模塊化設計，要緊由以下模塊組成：行為操縱模塊、審計模塊、治理模塊、存儲模塊、用戶治理接口模塊，各模塊間關系如下圖所示：圖1.系統架構圖行為操縱模塊實現對網絡、數據庫、服務器維護過程的網絡數據包代理轉發、行

13、為還原及記錄、違規行為阻斷功能；治理模塊實現維護用戶治理、主機資產治理、用戶授權與訪問權限治理，以及對審計記錄的數據存儲操縱；審計模塊實現行為安全審計功能，包括實時違規行為告警系統、歷史記錄檢索系統以及報表系統；用戶界面提供運維人員審計治理接口，以及運維用戶的遠程工具使用界面。3.2技術原理Logbase運維安全審計系統采納協議代理方式對各種維護協議進行轉發，并在轉發的過程中分不模擬了協議的客戶端與服務端，具體如下圖所示：圖2.技術實現原理示意圖當客戶端通過運維審計系統訪問服務器時，首先由運維安全審計系統模擬成遠程訪問的服務端時，同意客戶端發送的信息，并對其進行協議的還原、解析、記錄，最終獲得

14、客戶端發送的指令信息，再模擬成操作的客戶端，與真正的目標服務器建立通訊，并轉發用戶端發送的指令信息。接收到服務器端的返回信息后，再反向執行此過程，將返回值發送給客戶端從而實現對各種維護協議的代理轉發過程。在通訊過程中，Logbase運維安全審計系統會記錄各種指令信息，并依照違規規則庫對指令信息進行比對，如發覺違規的操作行為，則終止數據包的轉發，并中斷整個TCP會話。3.3支持協議清單字符型遠程操作協議SSH TELNETRLOGIN圖形終端操作協議RDP(5.x、6.x、7.x)VNC X11數據庫遠程協議ORACLE (8i、9i、10g、11g)MSSQL SERVER（2000、2005

15、）SYBASE文件傳輸協議FTPSFTP四、要緊功能介紹4.1統一用戶身份認證在信息系統的維護治理過程中，經常會出現多名運維人員共用同一系統帳號進行登錄訪問的情況，從而導致專門多安全事件無法清晰地定位責任人。LogBase運維安全審計系統通過“運維審計系統帳號”與“服務器帳號”相關聯的方式，即在Logbase系統中為每一個運維人員創建唯一的登錄賬號，運維人員通過自身的“審計系統帳號”，先登錄運維安全審計系統，再登錄目標服務器，從而實現將用戶身份的認證落實到“自然人”。Logbase運維審計系統支持SSO功能，維護人員只要登錄運維審計系統，即可訪問所有被授權的服務器系統，無需進行二次登錄認證。4

16、.2訪問權限操縱LogBase運維安全審計系統能夠對運維人員進行細粒度的權限操縱，治理能夠依照人員、時刻、系統賬戶、操作指令等內容設定訪問權限，如：限制用戶能夠訪問的服務器范圍；限制用戶能夠登錄的時刻；設定用戶操作指令黑、白名單，阻止違規操作行為；LogBase運維安全審計系統還支持特有的授權訪問機制，即對某些用戶，每次訪問特定設備前都需要治理員進行授權才能通行，幸免臨時人員在治理員不知情的情況下進行訪問。4.3服務器密碼治理LogBase運維安全審計系統提供服務器密碼治理功能，能夠周期性對服務器密碼進行自動修改，并保證密碼復雜程度與密碼文件的安全保管。治理員能夠設定改密周期、密碼強度策略等改

17、密要求。4.4會話同步監控關于所有遠程訪問目標服務器的會話連接，Logbase運維安全審計系統均可實現同步過程監視，運維人員在服務器上做的任何操作都會同步顯示在審計人員的監控畫面中，包括vi、smit以及圖形化的RDP、VNC、X11等操作，治理員能夠依照需要隨時切斷違規操作會話。4.5異常行為告警LogBase運維安全審計系統內置安全事件規則庫，并可實時對用戶的操作過程進行檢測，一旦發覺違規操作行為，能夠通過短信、郵件等方式向審計人員及時發送告警信息或自動中止操作會話。安全事件規則庫支持自定義擴充功能，治理員能夠依照企業內部治理需求，靈活擴充規則庫內容。4.6操作行為記錄對所有通過審計系統的

18、操作行為，LogBase運維安全審計系統均可完整記錄操作過程，保留操作記錄，記錄內容包括操作時刻、IP地址、用戶賬號、服務器賬號、操作指令、操作結果等信息。關于所有的操作記錄，Logbase運維安全審計系統能夠長時刻進行保留，為日后安全審計提供客觀依據。4.7會話過程重放Logbase內控堡壘審計系統能夠以視頻回放方式，重現維護人員對服務器的所有操作過程，從而真正實現對操作行為的完全審計。回放過程采納WEB在線播放方式，無需在安裝播放客戶端軟件。回放過程支持常見的視頻播放操縱操作，如倍速/低速播放、拖動、暫停、停止、重新播放等等，也能夠從特定指令開始定位回放。4.8歷史記錄查詢Logbase

19、運維安全審計系統支持通過友好的查詢界面，對往常發生過的歷史事件進行查詢。審計人員能夠依照時刻、IP地址、用戶名、操作指令等信息對歷史數據進行多條件組合查詢，快速定位目標記錄。查詢結果能夠直接導出為excel文件，方便審計員進行后續處理。4.9綜合審計報表Logbase 運維安全審計系統支持強大的報表功能，內置大量的安全審計報表模板，同時也支持通過自定義方式擴充報表內容。報表支持以天、星期、月為周期自動生成報表，并可通過郵件自動送達治理員處。也能夠由治理員隨時手工生成所需的報表。五、產品特性5.1無干擾部署方式Logbase運維安全審計系統采納旁路模式部署，無需改變用戶網絡結構，無需在客戶端及服

20、務器端安裝程序，可不能阻礙客戶正常業務系統使用。5.2支持所有主流協議支持各種主流操作協議包括字符型操作、圖形化操作、文件傳輸、數據庫訪問操作等，支持對象全面覆蓋主流的服務器系統、網絡設備、安全設備、數據庫系統。5.3WEB在線回放技術Logbase運維安全審計系統支持WEB在線回放技術，無需在客戶端安裝任何回放軟件即可實現操作過程回放功能，回放過程支持常見視頻回放操作。5.4人性化使用方式Logbase運維安全審計系統支持用戶通過WEB頁面直接訪問目標系統，如通過web頁面訪問SSH服務器、windows遠程終端等等；系統同時也支持運維人員使用自己適應的客戶端軟件去訪問目標服務器，如putty、SecureCRT、Secure shell等等。5.5豐富的審計報表Logbase內置豐富的安全審計報表，總數超過百張，即能夠滿足大部分客戶的日常審計需求，也可滿足如“等級愛護”、“薩班斯法案”等合規性要求。同時，系統也支持通過自定義或二次開發方式進行靈活擴展。5.6安全可靠的自身保障能力Logbase運維安全審計系統，通過多種技術手段，來保障自身與審計數據的安全性。如：內置自身安全防護防火墻數據防篡改、防刪除技術設計；嚴格的訪問權限