运维审计

安全需求：

作为企业的IT技术主管，经常会被一些问题所困扰，如：业务系统数量越来越多，且安全管理相对分散，不利于故障的准确定位；IT系统的关键配置信息登记不完善，不利于IT运维人员的整体管理和把控；故障处理解决方案的知识不能得到有效沉淀，发生类似问题不能及时调用成型解决方案，对人员依赖性问题严重；IT运维人员的技能要求不断增高，繁多的业务系统需要业务人员进行更多的维护和管理，而工作却无法得以量化。

另外，目前计算机及网络风险日益突出，计算机犯罪案件每年成倍增长，发案原因多以内部风险控制薄弱导致。

因此，加强计算机及网络内部运维管理和审计是保证计算机系统安全生产的重中之重，特别体现在针对核心服务器、网络基础设施的操作审计上。

解决思路：

1.     优化、完善运维安全管理体系

l  建立或完善运行维护管理制度，合理设计岗位职责，合理分配权限等；

l  优化、调整运维管理流程，统一操作入口，结合技术手段，规避多入口操作问题。

2.     加强运维操作审计，规避操作风险

l  部署LOGBASE运维审计系统，建立身份认证系统，定位操作来源。

l  基于用户、主机、时间、IP、协议等因素，进行细粒度授权，规避越权和违规操作。

l  针对运维人员通过Telnet、SSH、RDP、FTP、SFTP、HTTP、Oracle、Sybase、MySQL等协议操作后台主机时，进行实时监控审计，同时生成操作会话记录，供后期回放审计。

l  支持后台主机系统口令托管，根据密码强度策略，自动更改后台主机系统运维人员口令，简化口令管理复杂度，规避人员多出口和绕过操作问题。

l  通过对关键主机的配置设定安全命令规则，对违规操作提供实时告警和阻断，从而达到降低操作风险及提高安全管理与控制的能力。

l  所有运维操作完整记录下来，提供图像形式的回放，真实、直观、可视地重现当时的操作过程。

3.     提供详尽审计报告，便于合规性审计

l  系统提供各类详尽的报表，满足审计报告的要求。

l  系统根据各类检索内容，如时间段、IP、用户、协议等，提供自定义报表，灵活生成，满足各种合规性检查和安全事件快速定位。

部署方案：

设计特点：

1.     无干扰部署方式

       Logbase运维安全审计系统采用旁路模式部署，无需改变用户网络结构，无需在客户端及服务器端安装程序，不会影响客户正常业务系统使用。

2.     支持所有主流协议

         支持各种主流操作协议包括字符型操作（Telnet、SSH、Relogin等）、图形化操作（RDP、X11、VNC等）、文件传输（FTP、SFTP）、数据库访问操作（Oracle、MySQL、DB2、Sybase、Sqlserver）等，支持对象全面覆盖主流的服务器系统、网络设备、安全设备、数据库系统。

3.     WEB在线回放技术

Logbase运维安全审计系统支持WEB在线回放技术，无需在客户端安装任何回放软件即可实现操作过程回放功能，回放过程支持常见视频回放操作。

4.     人性化使用方式

Logbase运维安全审计系统支持用户通过WEB页面直接访问目标系统，如通过web页面访问SSH服务器、windows远程终端等等；

系统同时也支持运维人员使用自己习惯的客户端软件去访问目标服务器，如putty、SecureCRT、Secure shell、PLSQL、SQLPLUS等等。

5.     丰富的审计报表

       Logbase内置丰富的安全审计报表，总数超过百张，即能够满足大部分客户的日常审计需求，也可满足如“等级保护”、“萨班斯法案”等合规性要求。同时，系统也支持通过自定义或二次开发方式进行灵活扩展。

6.     安全可靠的自身保障能力

       Logbase运维安全审计系统，通过多种技术手段，来保障自身与审计数据的安全性。如：

ü  内置自身安全防护防火墙

ü  数据防篡改、防删除技术设计；

ü  严格的访问权限、审计权限控制体系；

ü  RAID磁盘阵列，有效保护数据安全；

ü  HA功能。