网御网络审计系统运维安全管控型LAOS方案模版346系列v.docx
《网御网络审计系统运维安全管控型LAOS方案模版346系列v.docx》由会员分享,可在线阅读,更多相关《网御网络审计系统运维安全管控型LAOS方案模版346系列v.docx(32页珍藏版)》请在冰豆网上搜索。
网御网络审计系统运维安全管控型LAOS方案模版346系列v
网御网络审计系统-运维安全管控型
(LA-OS)
方案模板
北京网御星云信息技术有限公司
文档修订记录
版本号
日期
修订者
修订说明
V3.0.0.x
2014-08-13
彬
创建
项目概述
随着XXXX企业信息化应用的迅速发展,企业部的各种业务和经营支撑系统不断增加,网络规模也迅速扩大。
由于信息系统运维人员和业务系统的管理人员掌握着系统资源管理的最高权限,一旦操作出现安全问题将会给企业带来巨大的损失,加强对运维管理人员操作行为的监管与审计成为信息安全发展的必然趋势。
在此背景之下,XXXX企业计划针对运维操作和业务管理与审计进行堡垒机项目建设。
堡垒机提供了一套多维度的运维操作管控与审计解决方案,使得管理人员可以对网络设备、服务器、安全设备、数据库等资源进行集中账号管理、细粒度的权限管理和访问审计,帮助企业提升部风险控制水平。
1安全现状分析
1.1部人员操作的安全隐患
随着XXXX企业信息化进程不断深入,企业的业务系统变得日益复杂,由部员工违规操作导致的安全问题变得日益突出起来。
防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题,但对于部人员的违规操作却无能为力。
根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:
超过70%的安全威胁来自公司部,在损失金额上,由于部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。
另据中国信息安全测评中心调查,信息安全的现实威胁也主要为部信息泄露和部人员犯罪,而非病毒和外来黑客引起
1.2第三方维护人员安全隐患
XXXX企业在发展的过程中,因为战略定位和人力等诸多原因,越来越多的会将非核心业务外包给设备商或者其他专业代维公司。
如何有效地监控设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。
严格的规章制度只能约束一部分人的行为,只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行。
1.3高权限账号滥用风险
因为种种历史遗留问题,并不是所有的信息系统都有严格的身份认证和权限划分,权限划分混乱,高权限账号(比如root账号)共用等问题一直困扰着网络管理人员,高权限账号往往掌握着数据库和业务系统的命脉,任何一个操作都可能导致数据的修改和泄露,最高权限的滥用,让运维安全变得更加脆弱,也让责任划分和威胁追踪变得更加困难。
1.4系统共享账号安全隐患
无论是部运维人员还是第三方代维人员,基于传统的维护方式,都是直接采用系统账号完成系统级别的认证即可进行维护操作。
随着系统的不断庞大,运维人员与系统账号之间的交叉关系越来越复杂,一个账号多个人同时使用,是多对一的关系,账号不具有唯一性,系统账号的密码策略很难执行,密码修改要通知所有知道这个账号的人,如果有人离职或部门调动,密码需要立即修改,如果密码泄露无法追查,如果有误操作或者恶意操作,无法追查到责任人。
1.5违规行为无法控制的风险
网络管理员总是试图定义各种操作条例,来规部员工的网络访问行为,但是除了在造成恶性后果后追查责任人,没有更好的方式来限制员工的合规操作。
而事后追查,只能是亡羊补牢,损失已经造成。
2运维安全管控系统方案设计
2.1建设原则
随着信息技术的发展,XXXX已经建立了比较完善的信息系统,具有网络规模大、用户数多、系统全而复杂等特点。
IT建设的核心任务是运用现代信息技术为企业整体发展战略的实现提供支撑平台并起到推动作用。
信息安全作为IT建设的组成部分,核心任务是综合运用技术、管理等手段,保障企业IT系统的信息安全,保证业务的连续性。
信息安全是XXXX正常业务运营与发展的基础;是保证网络品质的基础;是保障客户利益的基础。
根据集团的相关规的指导意见,我们根据对XXXX信息系统具体需求的分析,结合等级保护安全评估的要求,在对XXXX系统进行安全建设时,我们所遵循的根本原则是:
1、业务保障原则:
安全建设的根本目标是能够更好的保障网络上承载的业务。
在保证安全的同时,还要保障业务的正常运行和运行效率。
2、结构简化原则:
安全建设的直接目的和效果是要将整个网络变得更加安全,简单的网络结构便于整个安全防护体系的管理、执行和维护。
3、生命周期原则:
安全建设不仅仅要考虑静态设计,还要考虑不断的变化;系统应具备适度的灵活性和扩展性。
2.2总体目标
本次在XXXX业务系统建立运维安全管理系统,实现全局的策略管理、统一访问Portal页面、集中身份认证、统一授权及认证请求转发等功能,对XXXX业务系统的系统资源账号、维护操作实施集中管理、访问认证、集中授权和操作审计。
通过本次安全运维管控系统的建设,最终达到以下目标:
1.通过运维安全管控系统的建设为XXXX的系统资源运维人员提供统一的入口,支持统一身份认证手段。
在完成统一认证后,根据账号所具有访问权限发布、管理、登录各个主机、网络设备、数据库。
2.系统应根据“网络实名制”原则记录用户从登录系统直至退出的全程访问、操作日志,并以方便、友好的界面方式提供对这些记录的操作审计功能。
3.系统应具备灵活的管理和扩展能力,系统扩容时不会对系统结构产生较大影响。
4.系统应具备灵活的授权管理功能,可实现一对一、一对多、多对多的用户授权。
2.3建设思路
为实现XXXX公司构建针对人员帐户管理层面全面完善的安全运维管控系统需要,在本项目的实施过程中,网域星云将根据“以用户身份集中管理的思路为核心,建立全局唯一的权威身份信息源,可在一点集中管理用户身份和权限,从而降低管理成本”的思路,在统一用户身份的基础上,实现各个系统资源的单点登录、统一认证、统一授权、审计等信息的集中统一管理,并提供与用户现有的数字证书系统进行系统集成的解决方案,规划合理、高效的用户身份管理流程。
本项目建成后,对于用户来说,将实现只需进行一次登录,就可以维护不同的主机、网络设备、数据库等,并能方便的来回切换访问;对于管理员来说,将实现对用户信息、设备信息、访问控制信息等统一定义和描述,能确保信息的一致性;只需在运维安全管控系统进行统一配置管理和维护,降低工作量和复杂度。
3运维管控系统解决方案
3.1系统总体设计
3.1.1系统概述
网御网络审计系统-运维安全管控型(以下简称网御LA-OS),是网域星云综合控系列产品之一。
网御LA-OS是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。
它通过对自然人身份以及资源、资源账号的集中管理建立“自然人账号——资源——资源账号”对应关系,实现自然人对资源的统一授权,同时,对授权人员的运维操作进行记录、分析、展现,以帮助控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强部业务操作行为监管、避免核心资产(服务器、网络设备、安全设备等)损失、保障业务系统的正常运营。
3.1.2系统组成
网御LA-OS由WEB模块、协议代理模块、行为审计模块和应用发布模块和存储模块组成。
●WEB模块
为用户提供web方式访问系统的界面。
管理员用户在界面中进行运维用户管理、设备及帐号管理、用户授权管理和运维审计管理等管理功能;运维用户在界面中进行资源单点登录等操作。
●协议代理模块
实现对主机、数据库、网络设备维护过程中的协议数据包代理转发、行为还原及记录、高危/违规行为阻断等功能。
●行为审计模块
实现对行为操作的审计功能,包括实时高危/违规行为的告警、实时监控、历史数据检索及报表统计等功能。
●应用发布模块(可选)
安装在Windows服务器上,用于发布非标准协议或应用客户端,如IE、plsql、sqlplus、pcanywhere等。
可实现对应用客户端工具的自动调出、密码代填和操作审计功能。
3.1.3技术架构
3.1.3.1.协议代理模块
3.1.3.2.应用发布模块
3.2系统主要功能
3.2.1用户认证与SSO
在信息系统的运维操作过程中,经常会出现多名维护人员共用设备(系统)账号进行远程访问的情况,从而导致出现安全事件无法清晰地定位责任人。
网御LA-OS为每一个运维人员创建唯一的运维账号(主账号),运维账号是获取目标设备访问权利的唯一账号,进行运维操作时,所有设备账号(从账号)均与主账号进行关联,确保所有运维行为审计记录的一致性,从而准确定位事故责任人,弥补传统网络安全审计产品无法准确定位用户身份的缺陷,有效解决账号共用问题。
网御LA-OS支持多种身份认证方式:
✓本地认证
✓Radius认证
✓LDAP认证
✓AD域认证等
网御LA-OS系统还支持SSO功能,运维人员一次登陆,即可访问所有目标资源,无需二次输入用户名、口令信息。
网御LA-OS部署后,运维人员可以通过不同的方式对目标对象进行访问、维护:
✓WEB控件方式访问,所有协议均可通过WEB控件方式从WEB直接发起访问,访问过程支持IE(7-11版本)浏览器;
✓支持通过WEB直接调用本地客户端方式进行访问;
运维人员登录网御LA-OS系统时,系统会根据访问授权列表自动展示授权围的主机,避免用户访问XX主机。
3.2.2自动改密
网御LA-OS支持主机系统账号的密码维护托管功能,系统支持自动定期修改Linux、Unix、Windows、AIX以及Oracle、SqlServer、PostgreSQL、MySql的置账号密码。
自动密码管理支持以下功能:
✓设定密码复杂度策略;
✓针对不同设备制定不同改密计划;
✓设定改密计划的自动改密周期;
✓支持随机不同密码、随机相同密码、手工指定密码等新密码设定策略;
✓改密结果自动发送至指定密码管理员;
✓设定指定的改密对象,支持AD域账号改密;
✓手工下载部分或全部密码列表;
✓自动改密结果确认功能,密码管理员必须人工确认已经下载或收到密码文件;否则改密计划自动停止执行,确保改密过程可靠性;
✓改密结果高强度加密保护功能。
3.2.3访问授权管理
网御LA-OS系统通过集中统一的访问控制和细粒度的命令级授权策略,确保每个运维用户拥有的权限是完成任务所需的最合理权限。
✓基于向导式的配置过程;
✓支持基于用户角色的访问控制(RBAC,Role-BasedAccessControl)。
管理员可根据用户、用户组、访问主机、目标系统账号、访问方式设置细粒度访问策略;
✓支持基于时间的访问控制;
✓支持基于访问者IP的访问控制;
✓基于指令(黑白)的访问控制;
除访问授权之外,网御LA-OS还支持针对访问协议进行深层控制,比如:
✓限制SSH协议使用SFTP
✓限制RDP访问使用剪贴板功能
✓限制RDP访问使用磁盘映射功能
✓是否启用强制审批功能(访问和操作前必须经过管理员审批)
✓是否启用备注功能(访问前必须先填写维护容)
3.2.4二次审批
网御LA-OS支持根据需求对特殊访问与操作进行二次审批功能,该功能可以进一步加强对第三方人员访问或关键设备访问操作的控制力度,确保所有访问操作都在实时监控过程中进行。
二次审批功能支持以下两种方式:
✓对新建远程访问会话进行审批
✓对特殊指令执行进行审批
由于每次访问操作都需要管理员进行审批确认,该功能也可以代替部分客户使用的双人密码管理方式。
3.2.5告警与阻断
网御LA-OS系统支持根据已设定的访问控制策略,自动检测日常运维过程中发生的越权访问、违规操作等安全事件,系统能够根据安全事件的类型、等级等条件进行自动的告警或阻断处理。
✓阻断XX用户访问主机;
✓阻断从异常客户端、异常时间段发起的访问行为;
✓阻断指令黑的操作行为;
✓阻断方式支持:
断开会话、忽略指令;
✓告警方式支持:
以SYSLOG、短信、、SNMP方式实时发送告警信息。
3.2.6实时操作过程监控
对于所有远程访问目标主机的会话连接,网御LA-OS均可实现操作过程同步监视,运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中。
✓实时同步显示操作画面;
✓支持vi、smit、setup等字符菜单操作同步显示;
3.2.7历史回放
网御LA-OS能够以视频回放方式,可根据操作记录定位回放或完整重现维护人员对远程主机的整个操作过程,从而真正实现对操作容的完全审计。
✓以WEB在线视频回放方式重现维护人员对服务器的所有操作过程,无须在客户端安装播放客户端软件;
✓支持从特定操作指令开始进行定位回放;
✓支持倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作;
✓支持空闲时间过滤;
3.2.8审计报表
网御LA-OS系统拥有强大的报表功能,置能够满足不用客户审计需求的安全审计报表模板,支持自动或手工方式生成运维审计报告,便于管理员全面分析运维的合规性。
✓系统置多种运行维护报表模板;
✓支持以html、CSV方式生成并导出报表;
✓支持管理员自定义审计报表;
✓支持以日报、周报、月报的方式自动生成周期性报表。
3.2.9审计存储
网御LA-OS系统支持自动化审计数据存储管理,管理员可以对审计数据进行手工备份、导出,也可以设定自动归档策略进行自动归档。
✓手工归档、到处审计数据;
✓存储空间不足时自动归档并删除最早数据;
✓支持通过FTP、SFTP自动上传归档文件;
✓周期性自动归档功能;
3.3系统功能特点
3.3.1运维协议支持广
网御LA-OS支持多种运维访问协议,能够充分满足日常运维需要。
✓字符协议:
SSHv1v2、TELNET、RLOGIN、TN5250(AS400)
✓图形协议:
RDP、VNC
✓文件传输协议:
FTP、SFTP
✓数据库访问:
Oracle、MSSQLServer、IBMDB2、Sybase、IBMInformixDynamicServer、MySQL、PostgreSQL
通过应用发布进行协议扩展,支持Radmin、Pcanywhere、HTTP/HTTPS,支持定制开发其他访问协议及第三方客户端。
3.3.2对用户网络影响最小
物理旁路、逻辑串联方式部署,不必更改现有的网络拓扑结构,同时不需要在被管理设备上安装任何代理程序,对用户业务和网络结构影响最小。
3.3.3多种部署方式,适应多变业务场景
网御LA-OS单臂、双臂、分布式多种部署方式,适应多变业务场景。
3.3.4友好的用户交互体验
系统的用户界面具备友好的用户交互体验。
系统采用多窗口操作模式,各个功能界面之间可以快速切换,无需重复加载。
同时系统支持多种目标资源访问方式,包括页面WEB访问、页面调用本地客户端访问、命令或图形菜单访问和客户端直连访问,系统使用界面友好,能够最大程度适应不同用户的使用习惯。
3.4系统部署
网御LA-OS采用物理旁路方式部署,不需改变现有网络结构,同时不需要在被管理设备上安装任何代理程序,只需确保网御LA-OS和被管资源以及用户终端维护区域网络可达即可。
终端维护区域用户通过http或https方式登录系统portal,经过用户身份认证后,通过资源列表单点登录至被管目标资源。
根据XXXX环境,部署方式可分为单臂和双臂部署方式以及分布式部署。
3.4.1单台部署
图3.4.1单台部署
如图所示,网御LA-OS在部署时只需要为其分配一个独立IP地址即可,无需对网络拓扑结构进行任何调整。
一般而言,网御LA-OS部署在服务器所在网段,同时网御LA-OS的IP地址通过网络设备发布到外部网络中供运维人员访问。
部署网御LA-OS后,部服务器的维护端口只需开放给运维审计系统,无需再让运维人员直接访问。
对运维人员,只需开放网御LA-OS的访问端口,从而进一步加强部服务器的安全性。
3.4.2双机部署
图3.4.2双机部署
如图所示,网御LA-OS支持HA双机热备部署,以避免单点故障隐患,最大程度满足运维的可靠性和连续性。
HA双机热备部署由两个节点组成,分为主机节点和备机节点,主备之间通过心跳线进行主备状态监测和数据实时同步,主机节点一旦断开,备机节点会立刻启动,无需人工干预,从而实现业务的不间断运行。
3.4.3
分布式部署
图3.4.3分布式部署
如图所示,网御LA-OS支持分布式部署,把网域网络审计系统切换至Proxy模式部署在各个运维通道点,网域网络审计系统部署在上层中心交换网络中。
对用户网络进行全面监控,形成区域运维通道,以避免因数据来源多样复杂而造成的审计遗漏,同时各Proxy实时传输审计日志到中心审计服务器,最大程度满足运维数据的完整性和可靠性。
4项目实施计划
4.1投入技术力量
4.1.1项目人员组织结构
图4.1.1项目人员组织机构图
4.1.1.1.指导管理小组
由双方负责人组成,负责本次施工项目的指导、管理、高级协调。
网域星云安排项目经验丰富的项目经理及实施人员。
如果小组成员确实需要更换,会和某某用户的人员提前协调,同意后再进行更换。
4.1.1.2.施工小组成员
本次项目实施拟派实施人员包括
拟担任职务
姓名
从业资格
从业年限
相关经验
4.1.1.3.某某用户配合人员
对某某用户项目负责人负责,配合施工工作,协调施工所需的工作环境。
4.1.1.4.工程实施各方责任
某某用户职责:
◆对工程实施方案进行审定;
◆组织、协调工程实施阶段的有关工作;
◆按照培训计划,参加培训;
◆完成工程实施的各项准备工作;
◆配合网域星云施工人员做好工程实施方案;
◆负责辖产品的到货验收;
◆配合网域星云进行安装、调试;
◆负责系统试运行;
◆组织进行工程验收。
网域星云职责:
◆配合某某用户完成项目前期准备工作;
◆制定具体工程实施方案;
◆提供场地环境要求供某某用户准备相应的实施环境;
◆完成备货和发货;
◆配合华某某用户对设备点验和开箱验货;
◆负责设备的安装、调试,培训及技术支持;
◆配合对某某用户完成联调工作;
◆对某某用户相关技术人员进行现场技术培训;
◆保证工程质量能够通过验收;
◆对涉密资料保密的责任;
◆对项目的实施质量负责;
◆承担项目中网络相关上架、实施、测试等工作。
◆配合某某用户完成项目前期准备工作。
4.1.2项目实施人员情况
姓名
年龄
身份证
毕业学校
专业
学位
职称
职务
现所在机构或部门
服务时间
拟在本项目中担任职务
主要经历
日期
担任何职
备注
其联系方式如下表:
分工
姓名
职务
职责
联系
指导管理小组
项目经理
商务协调
施工小组成员
4.2项目实施计划
我们承诺在合同签订后10个工作日按某某用户要求在用户指定的地点交货,并提前5个日历天将到货时间告知某某用户。
在验收过程中,因交付货物的部分或全部不符合本合同约定的数量、质量标准,外观变形或损坏等情形,将按某某用户要求更换、补齐,确保所交付的货物完好无损。
否则某某用户可以拒绝接受该货物或解除本合同,由此造成的损失由网域星云赔偿。
假定项目实施开始的时间为T,时间单位:
日历天,整个项目工程进展如下:
项目序号
项目容
投用时间
完成时间
1
方案调整与合同签订:
完成投标文件修改,确定项目订购的硬件设备和软件。
T+1
T+1
2
成立项目小组:
确定最终的项目组成员,并以书面形式正式通知某某用户。
T+1
T+1
3
设备交货与到货验收:
我方能够在10个工作日为某某用户指提供货物,按照合同的软、硬件清单签收到货的设备。
T+10
T+12
4
制定详细施工技术方案:
对项目最终确定的总体方案作实施的各种方案设计。
同时做详细的业务需求调研、分析。
T+10
T+22
5
施工准备(包括第二次工程协调会):
项目工程施工前,网域星云公司项目组将进行一些必要的准备工作。
T+3
T+25
6
实施方案安装测试:
按照合同要求、技术方案和工程安装实施计划,完成项目合同设备的安装调试工作
T+15
T+40
7
系统技术培训和相关手册的编写
T+15
T+100
8
项目验收:
根据项目合同要求,对系统进行验收。
T+3
T+103
9
服务:
系统终验完成第二日起满三年,乙方的服务质量符合合同要求,双方签署服务报告
3年
4.2.1成立项目小组
确定双方项目负责人,确定技术工程小组成员,确定技术工程小组成员的工作容和联系接口。
4.2.2第一次工程协调会
本次工程协调会建议在网域星云项目组成立后召开,参加人员包括用户相关人员和网域星云项目组成员。
会议容主要包括:
Ø各方项目组人员介绍,确定各自负责人和联系人;
Ø各方对当前的有关情况进行介绍和通报,并提出对其它方的要求和建议;
Ø协商确定最终的工程实施进度表;
Ø协商确定工程前期调研容和方式;
Ø就下一步的工作进行通报和沟通等。
4.2.3设备交货
交货时间:
合同签订后10个工作日。
交货地点:
某某用户指定地点。
交货承诺:
Ø网域星云将在合同规定的交货期将货物运抵指定地点,负责办理货物的运输及运输保险事宜,有关包装费、运费、保险费、商检费、搬运费等费用由网域星云承担。
Ø网域星云派专人将所提供合同中全部货物运至指定地点,视为货物的交货时间,接收方出具《设备到货验收单》。
Ø网域星云将货物及合同规定的相关文件送达项目现场。
Ø网域星云供货时提供设备的序列号列表清单以便与生产厂商核对。
Ø网域星云保证提供的设备为网域星云生产的、全新的、完整的未的、未使用过的,并且保证其性能和质量与合同规定相符。
确保提供的技术资料是完整的、清晰的和准确的,且符合合同有关规定。
Ø当设备发生非人为因素严重故障时,网域星云免费在7日将补充或者更换的货物运抵发生故障的货物所在地,由此产生的一切相关费用由网域星云负担。
4.2.4到货验收
设备到货时,所有外包装箱箱体无严重破损或变形,封条应完整无缺,型号正确,数量齐全,设备全新。
记录货物的型号、数量、序列号,无误后签署《设备到货点验单》。
验货程序
网域星云公司将在合同规定的交货期提供所有产品,在某某用户用户指定的安装地点进行产品交付。
1)所有硬件设备具备原制造厂商的铭牌、标志、所有设备得到制造商认证,符合制造商公布的质量标准,所有硬件设备通过合法渠道进口。
凡出现的任何涉及非法进口设备的纠纷,均由网域星云承担全部法律责任。
2)所有系统软件具有原制造厂商的授权证或许可证,具有功能、性能参数和适用手册。
本系统中出现的任何涉及纠纷,均由网域星云承担全部法律责任。
开箱检验
货物运抵本合同确定的交货地点后,按照用户要求,由用户和网域星云公司根据合同的规定及网域星云公司提交的发货证明对全部设备的型号、规格、数量、外型、包装及资料、功能性能参数、使用手
升级会员 