LogBase_SOM运维安全管理系统技术白皮书V5.1

LogBase运维安全管理系统

技术白皮书

思福迪信息技术有限公司

2012

版权说明

?版权所有2005-2012，思福迪信息技术有限公司

本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属思福迪公司所有，受到有关产权及版权法保护。任何个人、机构未经思福迪公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

商标信息

Safetybase、LogBase均是思福迪公司注册商标，受商标法保护。

读者对象

本文档适合于各行业信息部门主管、运维相关技术人员、服务人员、内部信息系统审计人员等。

适用范围

本文档适针对LogBase运维安全管理系统V5.x版本编写。

约定说明

SOM：Logbase运维安全管理系统的简称，某些场合也被称为堡垒机；

RDP：Windows远程桌面的缩写；

SSO：单点登录系统的简称;

SSH: Secure Shell 的缩写,Unix、网络设备中常用的安全远程访问协议；

获得帮助

公司网站：https://www.sodocs.net/doc/6e1138926.html,

技术支持Email地址： support@https://www.sodocs.net/doc/6e1138926.html,

获取更详尽的思福迪网络安全专业产品信息、商务信息，您可通过如下方式和我们联系：

北京

地址：北京市朝阳区安翔路2号光环电信大楼三层

邮编：100029

电话：010-********

传真：010-********

杭州

地址：杭州市文一西路75号3号楼6楼

邮编：310012

电话：0571-********

传真：0571-********

上海

地址：上海市中山西路1878弄凯托大厦2号楼2304室

邮编：200233

电话：021-********

传真：021-********

南京

地址：南京市珠江路5号华利国际大厦3807室

邮编：210006

电话：025-********

广东

地址：广东省天河区龙口中路130号龙威广场A座4层3A18室邮编：510635

电话：020-********

传真：020-********

西安

地址：西安市高新区科技路50号金桥国际广场A座1-2403室邮编：710068

电话：029-********

传真：029-********

目录

版权说明 (2)

商标信息 (2)

读者对象 (2)

约定说明 (2)

获得帮助 (3)

一、前言 (7)

二、产品应用需求 (8)

标准及法规遵从需求 (8)

第三方IT支持监管需求 (10)

远程运维安全管理需求 (10)

三、产品概述 (11)

系统架构 (11)

支持的运维协议与对象 (13)

四、产品功能 (14)

身份鉴别与SSO (14)

统一维护访问通道功能 (15)

运维工作流管理 (16)

设备密码管理功能 (17)

批量执行功能 (18)

细粒度访问授权 (18)

关键访问操作二次审批 (21)

违规访问告警与阻断 (22)

实时操作过程监控 (23)

历史记录查询 (24)

历史操作图形回放 (25)

综合审计报告 (26)

审计数据存储管理 (27)

五、产品特性 (28)

协议覆盖全、易扩展 (28)

灵活的访问方式 (28)

协议深度支持 (28)

细粒度访问授权与控制 (29)

支持批量执行功能 (29)

大并发量处理能力 (29)

流程化管理能力 (29)

高度安全保障能力 (30)

部署简单，使用方便 (30)

六、部署方式 (31)

单臂部署 (31)

双臂模式部署 (32)

七、应用效果 (33)

八、总结 (34)

一、前言

各种权威的网络安全调查结果均表明，在可统计的安全事件中，60%以上均与内部人员有关，这其中既包括恶意行为（越权访问、恶意破坏、数据窃取），也包括各种非主观故意引起的非恶意行为（误操作、权限滥用）。由此可见，规范内部人员的访问行为，特别是核心系统（主机、网络设备、安全设备、数据等）的维护行为势在必行。

传统的信息安全建设，往往侧重于对外部黑客攻击的防范，以及网络边界的访问控制，对信息系统安全威胁最大的内部人员行为却缺乏有效的管理。企业内部人员，特别是拥有信息系统较高访问权限的运维人员（如网管员、临时聘用人员、第三方代维人员、厂商工程师等），比外部入侵者更容易接触到信息系统的核心设备和敏感数据、内部人员恶意或非恶意的破坏行为更容易造成较大的破坏。

然而，由于现有管理手段的不完善，账号共享情况普遍存在，以及加密、图形协议的广泛应用，使得这些运维管理人员的日常操作，存在操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控、操作事故无法定位等安全风险。内部人员的操作行为几乎处于完全失控的状态，一旦发生事故，其后果的严重性将是无法预估的。因此，放任内部风险的存在决不可行。

此外，从遵守国家及本行业各项法律法规的角度考虑。随着《中华人民共和国计算机信息系统安全保护条例》的推广实施，对IT系统内部控制的要求越来越明确。如等保基本要求中明确提出，要对“内部维护人员登录主机、数据库所进行的所有操作行为”、“第三方人员的维护行为”进行审计和控制。

为满足用户对加强内部运维安全审计日益迫切的需要，思福迪公司依托自身强大的研发能力，丰富的行业经验，自主研发了新一代软硬件一体化运维安全专用审计系统——Logbase运维安全管理系统。该系统支持对企业内部人员的维护行为进行全面的管理、审计，消除了传统审计系统中的盲点，使企业对运维人员的操作过程，能做到事前防范、事中控制、事后审计的能力，是企业IT内控最有效的管理平台。

二、产品应用需求

标准及法规遵从需求

重要的信息安全国际标准

●信息安全管理实施指南（ISO17799/BS7799-1）

2000年12月,国际标准化组织ISO正式发布了有关信息安全的国际标准ISO17799,这个标准包括信息系统安全管理和安全认证两大部分。ISO17799提供了一套综合的、由信息安全最佳措施组成的实施规则和管理要求,它广泛地涵盖了几乎所有的安全议题,非常适合于作为大、中、小组织的信息系统在大多数情况下所需的控制范围确定的参考基准。建立信息安全管理体系,能够提高组织自身的安全管理水平,将企业的安全风险控制在可接受的程度,减小信息安全遭到破坏带来的损失,保证业务的可持续运作。

ISO17799关于安全审计的内容包括：

●10.10 监视

10.10.1 审计日志

10.10.2 监视系统的使用

10.10.3 保护日志信息

10.10.4 管理员和操作者日志

10.10.5 错误日志

●15.3 信息系统审计考虑因素

15.3.1 信息系统审核控制

15.3.2 信息系统审核工具的保护

国内信息安全标准

●计算机信息系统安全保护等级划分准则（GB17859）

计算机信息系统安全保护等级划分准则是我国计算机信息系统安全等级保护系列标准的核心，是我国实行计算机信息系统安全保护的重要基础，它将计算机信息系统安全性从低到高划分了五个等级：第一级用户自主保护级、第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级、第五级访问验证保护级；二级以上系统安全保护中增加了对安全审计的要求，从主机安全、网络安全、应用安全三个层面提出了安全审计的具体要求及应有措施，并逐级增强。（详见信息系统安全等级保护基本要求之6.1.2.3、6.1.3.3、6.1.4.3…）

国内重点行业信息安全法规

●商业银行信息科技风险管理指引

第二十五条：

（三）制定最高权限系统账户的审批、验证和监控流程，并确保最高权限用户的操作日志被记录和监察。

（五）在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项，手动或自动监控系统出现的任何异常事件，定期汇报监控情况。

第二十六条：

（七）以书面或电子格式保存审计痕迹。

（八）要求用户管理员监控和审查未成功的登录和用户账户的修改。

●证券期货业信息系统安全等级保护基本要求

其中对网络、主机和应用的安全审计有明确的要求。

第二级中针对主机安全审计要求“审计范围应覆盖到服务器上的每个操作系统用户和数据库用户。系统不支持该要求的，应以系统运行安全和效率为前提，采用第三方安全审计产品实现审计要求。审计记录应至少保存6个月”。

第二级中针对应用安全审计要求“对应用系统重要安全事件进行审计，审计记录至少保存6个月”。

第二级系统运维管理中要求“至少每季度对运行日志和审计数据进行分析，以便及时发现异常行为”。

第三方IT支持监管需求

在IT管理过程中引入第三方支持服务已经成为一种趋势，如设备维护、故障处理、监控、安全评估、安全加固等等。然而，第三方人员管理本身已经成为一个突出问题，目前，由于第三方人员能够直接接触企业的核心数据，一纸保密协议并不能真正保护信息系统的安全性，企业目前只能充分信赖第三方人员。

通过Logbase运维安全管理系统能够规范第三方技术人员维护过程的规范性，确保所有的维护过程在有效的监管中进行。

远程运维安全管理需求

目前，企业的信息系统运维过程中存在一系列的安全隐患，如：

●多位系统维护人员共用一个系统账号，当出现安全事故时相互推诿，缺

乏客观、可信的依据来确定事故责任人；

●维护人员可能只需要执行简单的规定操作，但却通常需要使用拥有更多

权限的系统账户，而系统自身又无法进行细粒度的授权管理，无法进行

指令级或文件级别的访问权限控制；

●服务器、网络设备、数据库等资产的数量日益增多，按照管理要求定期

修改密码成为耗时费力的琐事，基层运维人员是否严格遵守制度，按时

完成密码安全管理工作，管理人员无法方便得知；

●当系统因某些操作发生故障时，因为缺乏对操作过程的全程记录，无法

还原事故现场，确定问题原因，而使得系统恢复时间大大延长；

Logbase运维安全管理系统能够实现运维操作与自然人的一一对应，并对每个对象进行指令级细粒度授权、对运维过程进行全程监控、简化运维用户使用，避免上述现象发生。

三、产品概述

Logbase运维安全管理系统(以下简称SOM)是新一代操作行为管理安全审计系统，它采用软硬件一体化设计，通过B/S方式(https)进行管理，其主要功能为实现对运维人员操作服务器、网络设备、数据库过程的授权、监控与审计，实现对IT运维过程的全面监管。

该产品采用先进的设计理念，支持对多种远程维护方式的支持，如字符终端方式(SSH、Telnet、Rlogin)、图形方式（RDP、X11、VNC、Radmin、PCAnywhere）、文件传输（FTP、SFTP）以及多种主流数据库的访问操作。

系统架构

Logbase SOM采用模块化设计，主要由以下模块组成：行为控制模块、审计模块、管理模块、存储模块、用户管理接口模块，各模块间关系如下图所示：

图3.1系统架构图

行为控制模块

实现对网络、数据库、服务器维护过程的网络数据包代理转发、行为还原及记录、违规行为阻断功能；

管理模块

实现维护用户管理、主机资产管理、用户授权与访问权限管理，以及对审计记录的数据存储控制；

审计模块

实现行为安全审计功能，包括实时违规行为告警系统、历史记录检索系统以及报表系统；

用户界面

提供运维人员审计管理接口，以及运维用户的远程工具使用界面。

支持的运维协议与对象

四、产品功能

身份鉴别与SSO

在信息系统的运维操作过程中，经常会出现多名维护人员共用设备（系统）账号进行远程访问的情况，从而导致出现安全事件无法清晰地定位责任人。LogBase运维安全管理系统为每一个运维人员创建唯一的运维账号（主账号），运维账号是获取目标设备访问权利的唯一账号，进行运维操作时，所有设备账号（从账号）均与主账号进行关联，确保所有运维行为审计记录的一致性，从而准确定位事故责任人，弥补传统网络安全审计产品无法准确定位用户身份的缺陷，有效解决账号共用问题。

LogBase SOM支持多种身份认证方式：

?本地认证

?Radius认证

?动态令牌(安盟、RSA)

?LDAP认证

?AD域认证等

?短信认证

Logbase SOM系统还支持SSO功能，运维人员一次登陆，即可访问所有目标资源，无需二次输入用户名、口令信息。

Logbase运维安全管理系统技术白皮书统一维护访问通道功能

Logbase SOM部署后，运维人员可以通过不同的方式对目标对象进行访问、维护：?WEB控件方式访问，所有协议均可通过WEB空间方式从WEB直接发起访问，访问过程支持IE、Firefox、chrome等多种浏览器；

?支持通过WEB直接调用本地客户端方式进行访问；

?支持本地直接使用CS客户端直接访问，兼容管理员原有使用习惯

运维人员登录Logbase SOM系统时，系统会根据访问授权列表自动展示授权范围的主机，避免用户访问未经授权主机。

用户访问界面展示

此外，Logbase SOM还支持在运维过程中要求其他运维人员进行协同操作的功能，在协同操作模式下，2名运维人员可以共同操作同一个访问会话界面；

运维工作流管理

Logbase SOM系统内置了多个运维工作流程管理功能，IT部门能够通过运维工作流功能规范IT运维过程，工作流功能包含以下具体流程：

a)工作任务管理流程：

1.任务发起人通过系统下发工作任务；

2.任务接收人在个人消息中心实时接收工作任务信息；

3.任务接收人完成工作，在WEB界面中进行任务回复；

4.任务发起人接收到回复信息后，对任务执行情况进行确认，结束工作任务流

程；

b)审计流程：

审计流程包含异常事件处理流程及报表审计流程两部分，审计人员可以查看相关异常事件及报表并添加相应的审计意见，否则该事件会一直处于未处理状态，以提醒审计人员对重点事件进行关注并审计。

自动改密计划界面展示

设备密码管理功能

LogBase SOM支持主机系统账号的密码维护托管功能，系统支持自动定期修改windows、Linux、Unix、cisco、huawei等设备的账号密码。

自动密码管理支持以下功能：

?设定密码复杂度策略；

?针对不同设备制定不同改密计划；

?设定改密计划的自动改密周期；

?支持随机不同密码、随机相同密码、手工指定密码等新密码设定策略；

?改密结果自动发送至指定密码管理员邮箱；

?设定指定的改密对象，支持AD域账号改密；

?手工下载部分或全部密码列表；

?自动改密结果确认功能，密码管理员必须人工确认已经下载或收到密码文件；否则改密计划自动停止执行，确保改密过程可靠性；

?改密结果高强度加密保护功能

密码策略配置界面展示

自动改密计划界面展示

批量执行功能

Logbase SOM系统支持自动化在多台机器上批量执行指令。通过批量执行功能，管理员可以方便实现对多台主机的升级、备份等工作任务。

?支持通过SSH、Telnet、Rlogin执行系统命令；

?支持MySQL批量指令执行；

?支持MySQL over SSH模式；

?可设定任务执行开始时间；

?可设定执行的目标主机与系统账号；

?执行过程与结果审核；

批处理管理界面展示

细粒度访问授权

LogBase SOM系统通过集中统一的访问控制和细粒度的命令级授权策略，确保每个运维用户拥有的权限是完成任务所需的最合理权限。

?基于向导式的配置过程；

?支持基于用户角色的访问控制（RBAC ,Role-Based Access Control）。

管理员可根据用户、用户组、访问主机、目标系统账号、访问方式设置

细粒度访问策略；

?支持基于时间的访问控制；

?支持基于访问者IP的访问控制；

?基于指令（黑白名单）的访问控制；

除访问授权之外，Logbase运维管理系统还支持针对访问协议进行深层控制，比如：

?限制SSH协议使用SFTP

?限制RDP访问使用剪贴板功能

?限制RDP访问使用磁盘映射功能

?是否启用强制审批功能（访问和操作前必须经过管理员审批）

?是否启用备注功能（访问前必须先填写维护内容）

向导式策略配置界面展示

访问策略界面展示