Auditsec服务器安全管理软件白皮书文档格式.docx

1、面对系统和网络安全性、IT运维管理和IT内控外审的挑战，管理人员需要有效的技术手段，按照行业标准进行精确管理、事后追溯审计、实时监控和警报。如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，已经成为越来越困扰这些企业的问题。 安全风险分析 数据库管理员或第三方开发人员远程对数据库的操作和命令用户登录系统，执行Oracle、SQL Server 、DB2、INFORMIX、Sybase、Mysql等命令，容易产生数据库破坏，所有的这些操作需要被跟踪和限制。 大型集中应用环境不易统一监控、管理和快速响应对于大型应用环境，网

2、络管理员要管理和配置大量UNIX/LINUX/windows服务器，大量事故响应，管理人员不堪重负。 无法提供对网络通信设备的操作，修改等行为审计网络通信设备常常在UNIX/LINUX系统上通过ssh远程登录进行管理，对网络通信设备的操作无法审计，埋下安全隐患。 网络管理人员需要统一的手段，对服务器组进行安全保护网络管理人员常用防火墙，IDS等设备，针对网段进行隔离和操作限制，因此，网络管理人员需要不同手段，对外网/内网用户应用不同安全保护策略，应用和实施麻烦，容易疏忽造成隐患。 服务器及其集群的运行状态监控已及性能调控现有服务器监控软件基本上都是单机、单服务器方式运行，需要高素质管理人才进行

3、管理。将服务器状态信息集中化，发现企业服务器运行状态及瓶颈，成为应用比较急切和关心的问题。严格分权管理问题 严格分权管理属于多用户多账号管理方式，用户在自己权限下生产和工作，但是，由于生产的特殊性，常常需要用户具有ROOT账户权限。这就造成生产和管理的矛盾，临时ROOT权限分发可以解决ROOT权限生产问题，但是，这极大增大管理的复杂性和不安全性，稍有疏忽，就可能造成管理的混乱。不分发ROOT权限，可能导致生产不能正常进行，至少影响生产效率。 现有操作系统存在许多安全隐患，暴力破解、溢出攻击、社会工程等攻击方式，都可能使普通用户或者黑客获取ROOT账户权限，进而执行普通用户权限外的操作，产生破坏

4、。 严格分权管理管理负担比较重，管理员要对权限的分配和服务器上行为负责，同时，用户在服务器上行为对管理员来说不可视，不可审计，出现问题，没人负责。1.2 SOX（萨班斯法案）与IT运维管理SOX是Sarbanes-Oxley Act简称，正式名为 Public Company Accounting Reform and Investor Protection Act of 2002。于二零零二年由总统布什通过成为法例。此法案针对当年一连串上市公司（Enron、Arthur Andersen、WorldCom等）的财务丑闻而立。它为在美上市公司内部财务的管理定下了一些规范，以保障投资者和公司职员

5、。因为，企业的经营活动，企业管理、项目和投资基本建立在IT基础之上，以下两点就显得格外重要。如图1.2 302节：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则（GAAP）。 404节：要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。404节规定外国在美的上市公司必须在零五七月十五日前完成有关的更改，零五三月美国证券交易委员会将这死线推迟了一年至零六年七月十五日。 ITIL是Information Technology Infrastructure Library的缩写，最早由英国商务部开发，

6、是为了应对行业不断增长地对IT服务的要求，提供IT管理最佳实践。ITIL融合全球最佳实践，是IT部门用于计划、研发、实施和运维的高质量的服务准则，是目前全球IT服务领域最受认可的系统而实用的结构化方法。全球10,000多家在各行业处于领先地位的组织都在使用ITIL流程改进IT服务的效率和沟通，大量的成功实践表明实施ITSM可以提高IT部门营运效率25-300%。ITIL自1980年代开始发展，经过行业专家、顾问和实施者的共同努力，已经成为IT服务管理领域最佳实践事实上的国际标准。ITIL可以与ISO 9001兼容，提供IT组织服务质量。二AUDITSEC安全审计系统产品优势AUDITSEC安全

7、审计系统是上海柏安信息技术有限公司，经过长时间的技术积累和攻关研发，推出针对UNIX服务器安全管理、审计，业界领先并且拥有自主知识产权的一款产品。AUDITSEC安全审计系统主要用于服务器系统安全防护，让服务器的操作、管理和运行更加可视、可控、可管理、可跟踪、可鉴定，解决服务器系统级别的安全问题、安全威胁，为国家重要部门和企业服务器的正常有序运行，提供可靠的安全保障。另外，也可以对网络设备，安全设备等各种IT设备进行操作行为管理。2.1 超强的规范管理能力 可兼容管理所有支持（ssh/telnet、ftp标准协议） CLI命令方式管理的设备。 对高危命令的操作系统将实时阻断或给予警告（可手机短

8、信通知信息主管人员）。 对授权用户的命令操作实时全程监控。 对第三方厂商程序开发人员、系统维护人员、数据库管理人员等多种角色进行身份的认证及操作监控。 规范用户操作习惯（防止授权用户的误操作、无用操作）。 全方位的主机信息安全保障，可以制定严格的策略和用户权限的分配做到事前预防，事中危险操作的实时阻断，事后的责任认定。2.2 最细粒度的审计查询功能 用户可根据具体的操作命令、用户名、时间、IP地址等8个条件任意组合查询、定位操作日志。 对菜单向导类操作的智能审计并可对其操作过程实时的历史回放。 对共用帐号的操作进行全记录全审计（如：对多个拥有root权限的操作人员做强身份识别）。 对用户在服务

9、器间的跳转登录的全记录，每个跳转动作单独生成一个Session 。2.3 “零”影响部署 不影响任何业务数据流。 设备的部署不更改现有的网络拓扑。 不增加系统和网络性能的负载。 部署方式灵活多样，适合任何构架的网络环境.部署周期短。 不改变管理员操作习惯（不需要安装客户端工具）。三AUDITSEC安全审计系统功能介绍3.1AUDITSEC安全审计系统理念柏安咨询产品安全管理理念3.1.1可视AUDITSEC安全审计系统能够动态实时的捕获UNIX系统用户使用的操作命令，真正做到让UNIX服务器上的操作和行为可视。系统管理员可以直观的了解服务器上发生过的操作命令及其运行结果，结束UNIX服务器操作

10、管理的黑匣子时代。AUDITSEC安全审计系统可以实时监控系统管理员操作过程，提供实时监控中心和值班中心，可以集中实时的监控所有用户的操作行为和过程。3.1.2可控AUDITSEC安全审计系统动态实时的捕获系统管理员操作行为，并可以对其进行策略审计，违反安全策略的用户命令，将被禁止执行，使用危险命令的用户，将被剔出系统。这样，UNIX服务器将增加一层安全防护功能，即使用户（恶意用户、黑客）取得命令的操作权限，该命令也不能生效，进而保护UNIX服务器上关键资源和重要服务。3.1.3可管理AUDITSEC安全审计系统可以根据需要对指定用户或所有用户展开监控，可以限制和管理可疑用户行为，真正让UNI

11、X服务器摆脱操作和使用的黑匣子状态，监控和管理UNIX服务器上用户操作行为。3.1.4可跟踪AUDITSEC安全审计系统通过远程日志服务器保存所有用户操作行为和运行结果，可以通过对用户操作行为及其结果进行回放，跟踪用户在服务器上的操作过程，查看用户在服务器上的所有操作行为，准确无误的了解用户的行为意图。AUDITSEC安全审计系统日志服务器提供日志动态查询功能，支持特色化报表生成功能，可以根据用户环境进行报表定制，及时直观的报告用户所关心的资源使用情况。3.1.5可鉴定AUDITSEC安全审计系统使用二次日志记录系统，保存用户操作行为过程。日志文件不可修改，不可杜撰，通过对用户操作行为日志的分

12、析，可以鉴定用户行为，并进行责任认定。二次日志记录加强了原始日志材料的防伪防杜撰功能，通过对比保存于两台日志服务器上的日志材料，可以准确可靠的进行故障鉴定和责任认定。3.2AUDITSEC安全审计系统应用AUDITSEC安全审计系统非常适合于企事业加强对UNIX服务器的安全管理，减轻和防止企事业的UNIX系统安全级别威胁。AUDITSEC安全审计系统应用领域非常广阔，产品多种部署方式，可以非常灵活的兼容于企事业现有安全架构。3.2.1内部网络行为管理严重的攻击来自系统内部（75%来自内部攻击），AUDITSEC安全审计系统主要应用于内部用户行为管理，保证内部用户的操作和行为可控、可视、可管理、

13、可跟踪、可鉴定，防止内部人员对机密材料的非法获取和使用，保护企事业核心机密。3.2.2对网络边界网关设备的管理网络边界安全设备是企事业网络安全防护系统的重要组成部分，网络边界安全设备的安全策略，对企事业内部网络安全，起着非常重要的作用。AUDITSEC安全审计系统可以记录管理员对这些安全设备的配置过程，保证安全策略的一致性，其生成的日志系统，可以比较方便的集成到企事业现有安全策略管理架构中。对黑客行为的防范黑客常常通过手段（如：社会工程、恶意程序、系统设置漏洞、缓冲区溢出程序等）获取用户权限，然后使用该权限登陆系统。AUDITSEC安全审计系统可以记录该黑客的操作过程，对于事后查证和数据恢复，

14、有非常好的适用价值。AUDITSEC安全审计系统还可以通过地址绑定功能对黑客行为进行限制，即使黑客取得系统权限，也不能对系统做任何操作。3.3产品采用的关键技术AUDITSEC安全审计系统采用系列先进技术，成功实现命令捕获与控制，为UNIX系统安全运行，提供强有力的武器。3.3.1程序重用与控制技术AUDITSEC安全审计系统采用先进的程序重用与控制技术，可以启用和控制任何UNIX程序。通过程序重用与控制技术，可以完全利用现有程序的先进功能，避免重新开发，同时，在重用的过程中，可以控制重用程序的行为，实现新的功能需求。如：通过重用bash，可以实现对bash命令行的控制功能。AUDITSEC安全审计系统控制被重用程序的输入与输出，再通过高效同步技术，完美重用和控制现成UNIX类程序，同时，对程序现有功能进行扩充，改变现有程序行为，增加现有程序功能。该技术还可以进行自定义扩充，如：截获数据、自动输入、隐藏或者改变输出等，达到自动控制程序运行效果。3.3.2逻辑命令自动识别技术AUDITSEC安全审计系统自动识别当前操作终端，对当前终端的输入输出进行控制，组合输入输出流，自动识别逻辑语义命令。系统会根据输入输出上下文，确定