一、审计产品概述

       Logbase运维安全审计系统是新一代操作行为安全审计系统，它采用软硬件一体化设计，通过B/S方式(https)进行管理，其主要功能为实现对运维人员操作服务器、网络设备、数据库过程的全程监控与审计，以及对违规操作行为的实时阻断。

该产品采用先进的设计理念，支持对多种远程维护方式的支持，如字符终端方式(SSH、Telnet、Rlogin)、图形方式（RDP、X11、VNC、Radmin、PCAnywhere等）、文件传输（FTP、SFTP）以及多种主流数据库的访问操作。

1.1系统架构

1.2支持协议清单

支持常见的文字及图形协议：SSH 、Telnet、Relogin、RDP、FTP、SFTP、VNC、X11、Oracle、MSsql、Sybase、DB2、Mysql等。

二、主要功能介绍

1.     统一用户身份认证

在信息系统的维护管理过程中，经常会出现多名运维人员共用同一系统帐号进行登录访问的情况，从而导致很多安全事件无法清晰地定位责任人。LogBase运维安全审计系统通过“运维审计系统帐号”与“服务器帐号”相关联的方式，即在Logbase系统中为每一个运维人员创建唯一的登录账号，运维人员通过自身的“审计系统帐号”，先登录运维安全审计系统，再登录目标服务器，从而实现将用户身份的认证落实到“自然人”。

Logbase运维审计系统支持SSO功能，维护人员只要登录运维审计系统，即可访问所有被授权的服务器系统，无需进行二次登录认证。

2.     访问权限控制

LogBase运维安全审计系统可以对运维人员进行细粒度的权限控制，管理可以根据人员、时间、系统账户、操作指令等内容设定访问权限，如：

²  限制用户能够访问的服务器范围；

²  限制用户能够登录的时间；

²  设定用户操作指令黑、白名单，阻止违规操作行为；

LogBase运维安全审计系统还支持特有的授权访问机制，即对某些用户，，每次访问特定设备前都需要管理员进行授权才能通行，避免临时人员在管理员不知情的情况下进行访问。

3.     服务器密码管理

LogBase运维安全审计系统提供服务器密码管理功能，可以周期性对服务器密码进行自动修改，并保证密码复杂程度与密码文件的安全保管。

管理员可以设定改密周期、密码强度策略等改密要求。

4.     会话同步监控

对于所有远程访问目标服务器的会话连接，Logbase运维安全审计系统均可实现同步过程监视，运维人员在服务器上做的任何操作都会同步显示在审计人员的监控画面中，包括vi、smit以及图形化的RDP、VNC、X11等操作，管理员可以根据需要随时切断违规操作会话。

5.     异常行为告警

LogBase运维安全审计系统内置安全事件规则库，并可实时对用户的操作过程进行检测，一旦发现违规操作行为，可以通过短信、邮件等方式向审计人员及时发送告警信息或自动中止操作会话。

安全事件规则库支持自定义扩充功能，管理员可以根据企业内部管理需求，灵活扩充规则库内容。

6.     操作行为记录

对所有经过审计系统的操作行为，LogBase运维安全审计系统均可完整记录操作过程，保留操作记录，记录内容包括操作时间、IP地址、用户账号、服务器账号、操作指令、操作结果等信息。

对于所有的操作记录，Logbase运维安全审计系统可以长时间进行保留，为日后安全审计提供客观依据。

7.     会话过程重放

Logbase内控堡垒审计系统能够以视频回放方式，重现维护人员对服务器的所有操作过程，从而真正实现对操作行为的完全审计。回放过程采用WEB在线播放方式，无需在安装播放客户端软件。

回放过程支持常见的视频播放控制操作，如倍速/低速播放、拖动、暂停、停止、重新播放等等，也可以从特定指令开始定位回放。

8.     历史记录查询

Logbase 运维安全审计系统支持通过友好的查询界面，对以前发生过的历史事件进行查询。

审计人员可以根据时间、IP地址、用户名、操作指令等信息对历史数据进行多条件组合查询，快速定位目标记录。

查询结果可以直接导出为excel文件，方便审计员进行后续处理。

9.     综合审计报表

Logbase 运维安全审计系统支持强大的报表功能，内置大量的安全审计报表模板，同时也支持通过自定义方式扩充报表内容。

三、产品特性

1.     无干扰部署方式

Logbase运维安全审计系统采用旁路模式部署，无需改变用户网络结构，无需在客户端及服务器端安装程序，不会影响客户正常业务系统使用。

2.     支持所有主流协议

           支持各种主流操作协议包括字符型操作、图形化操作、文件传输、数据库访问操作等，支持对象全面覆盖主流的服务器系统、网络设备、安全设备、数据库系统。

3.     WEB在线回放技术

Logbase运维安全审计系统支持WEB在线回放技术，无需在客户端安装任何回放软件即可实现操作过程回放功能，回放过程支持常见视频回放操作。

4.     人性化使用方式

Logbase运维安全审计系统支持用户通过WEB页面直接访问目标系统，如通过web页面访问SSH服务器、windows远程终端等等；

系统同时也支持运维人员使用自己习惯的客户端软件去访问目标服务器，如putty、SecureCRT、Secure shell等。

5.     FTP、SFTP丰富的审计报表

       Logbase内置丰富的安全审计报表，总数超过百张，即能够满足大部分客户的日常审计需求，也可满足如“等级保护”、“萨班斯法案”等合规性要求。同时，系统也支持通过自定义或二次开发方式进行灵活扩展。

6.     安全可靠的自身保障能力

       Logbase运维安全审计系统，通过多种技术手段，来保障自身与审计数据的安全性。如：

ü  内置自身安全防护防火墙

ü  数据防篡改、防删除技术设计；

ü  严格的访问权限、审计权限控制体系；

ü  RAID磁盘阵列，有效保护数据安全；

ü  HA功能。

四、部署方式

       Logbase运维审计系统采用旁路方式部署，如下图所示：