运维安全审计立项需求报告.docx

1、运维安全审计立项需求报告真功夫IT运维安全审计体系建设需求申请报告1 需求依据： ISO 27001要求组织必须记录用户访问、意外和信息安全事件的日志，记录系统管理和维护人员的操作行为，并保留一定期限，以便为安全事件的调查和取证，确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。 SOX SEC相关规定及内部控制方面的要求 企业内控管理规范运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。 计算机等级保护根据国家重要信息系统等级保护条例，对于等保二级以上的系统，应对网络系统中的设备运行

2、状况、网络流量、用户行为等进行日志记录，能够根据记录数据进行分析，并生成审计报表，同时对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。2 项目必要性分析2.1 内部人员安全隐患形势严峻根据FBI和CSI对484家公司进行的网络安全专项调查结果显示：超过85%的安全威胁来自公司内部，在损失金额上，由于内部人员泄密导致了6056.5万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。而在众多的内部人员中，对于系统的运维人员、第三方系统运维人员以及设备厂商维护人员，他

3、们享有“最高权限”， 一旦出现恶意操作或误操作，将会对业务系统带来巨大影响，造成不可估量的损失。 因此，对IT系统进行有效运维，是控制内部风险、保障业务连续性的重要手段，如何保障运维工作的有序运转、降低运维风险、提高应急响应能力，为IT系统提供强有力的后台支撑，是当前急需解决的课题。2.2 现有运维安全体系存在不足随着信息化建设的快速发展，真功夫已经开始建立起一定规模的信息化系统，信息系统已经涉及公司核心数据，业务运营、日常办公等方方面面。 随着系统应用范围的逐步扩大和应用层次的不断深入, 应用系统越来越多，IT系统的构成越来越复杂，运维操作人员越来越多，IT操作管理的难度和和面临的风险也越来

4、越大。主要集中在以下几个问题：一、 IT系统口令管理IT系统口令对IT系统的安全是非常重要的，因此随着IT系统数量庞大，IT系统的口令管理工作量越来越大，复杂度也越来越高。但在实际管理中，由于安全性和可用性之间的矛盾，导致IT系统口令管理存在很多安全隐患。主要表现如下：1、为了满足安全管理要求，IT系统的口令需定期修改（一般半个月或一个月），这大大加大了口令管理的工作量；2、口令强度要满足安全要求，其复杂性也有一定要求。一方面加大了修改口令的工作量和复杂度，同时对维护人员来说也很不方便，经常是将口令记录在记事本上，造成口令泄露问题。同时在实际操作中，经常将口令设置为很有规律性，一旦知道一个口令

5、，很容易知道其他系统的口令；3、由于部分系统是由外包厂商提供运维服务，所以口令也容易泄露出去。4、没有口令管理的策略，口令管理制度宽松，隐患很大。二、 多入口操作现象随着IT系统构成的复杂，在运维过程中可通过多种入口对IT系统进行维护，导致无法统一管理、设置统一安全策略等而引起各种安全隐患。三、 交叉运维操作现象在IT系统运维过程中，存在多种管理角色，如设备管理员、系统管理员、安全管理员和应用系统管理员等，同时对于同一个角色也同样存在多个管理员，包括来自本公司、开发人员、厂商技术人员等多种技术人员。对于这些管理员进行维护时，可能是使用IT系统的同一个帐号，这样一旦出现问题很难定位具体某个人的操

6、作。四、 越权和违规操作根据最新的统计资料，11%的安全问题导致网络数据破坏，14%的安全问题导致数据失密，而从恶意攻击的特点来看，70%的攻击来自组织内部。尤其面对拥有特权的维护用户，由于以前没有一种技术手段来控制其操作，所以出现越权或违规操作的现象时有出现。如何建立一种技术手段，能保证可信的用户才能访问其拥有权限的资源，控制这种越权或违规操作，并能对这种越权或违规操作进行告警，以便安全人员能对此类操作进行分析，避免出现严重后果的情况下才发现。五、 无详细操作记录针对运维操作，IT系统是靠系统日志方式进行记录的。它存在以下问题：1、系统日志不独立，无法防止被篡改，管理人员做了违规操作后可能会

7、删除日志，造成无法追查、无法定位等问题。2、系统日志记录信息不全面，目前系统日志记录的信息相对简单，而且检索不方便。能否建立一种技术手段，将运维操作的所有内容进行记录，支持在事中或事后进行场景回放，并支持防篡改。六、 无法满足合规性检查随着IT系统的重要性和对业务系统影响越来越大，相关的法律法规对其安全性、可持续性工作、IT操作风险以及企业内控等都有明确的要求，信息安全等级保护。目前面对这些合规性检查，只能是制度上的检查，没有有效的数据和技术来说明这些制度是如何落实的。因此需要在IT系统安全运维方面建立一种或多种技术手段来满足合规性要求，以满足合规性检查的需要。七、 没有运维安全分析报告目前运

8、维管理方面，由于没有数据，无法实现定期的运维安全情况的分析报告。对运维过程存在的问题无法有定量或定性的分析数据，只能简单从安全事件方面进行描述。因此需要有一套系统，能从运维操作的实际数据中分析运维安全情况，定量地展现运维安全态势。并能通过安全情况分析，发现潜在安全风险，辅助企业改进IT系统的安全建设。3 运维安全体系建设要求针对以上的分析，目前机房维护现状在管理和的安全上都存在诸多的不便和安全引患，急需要建设运维安全审计系统，做到“什么人？什么时间？访问了什么设备？能做什么？做了什么操作？等”，通过对每个运维人员的权限进行细粒度的控制和审计，降低安全风险。具体的建设要求如下： 集中管理，提供后

9、台设备的操作维护入口。 身份管理，提供设置实名制登陆帐号，详细记录整个运维操作过程。 访问控制，提供管理员根据不同的用户配置不同的操作权限，实现命令级别的严格控制，确保合法用户在其系统权限范围内访问授权设备。 操作审计，对用户实施的操作提供完整，详细记录服务。并可以安全地存放于管理平台中，管理平台能以方便、友好的界面方式提供对这些记录的操作、查看、搜索、回放等审计功能。 满足信息安全、IT系统运维管理、企业遵规三个方面的要求，有效提高企业信息网络的安全性，适应企业业务的快速发展；针对以上建设要求，我部需要在数据中心建立一套集中式IT运维审计系统，逐步完善公司的IT运维保障体系，满足公司管理和业

10、务对IT系统安全运行的需要。4 运维安全体系建设方案IT运维审计系统是指通过配置策略，实现身份认证、操作授权及审计留痕等功能。从而实现对信息系统运维风险监测、分析、预警、控制、处理、评价；对发现异常、可疑、违规现象立刻阻断并报警，并对操作过程画面进行监控和电子录像，防范运维风险，保障信息系统及设施运行安全，完善内控审计安全管理。通过部署一套集中式IT运维审计系统，实现以下运维安全管理：一、 事前准备阶段资源管理：系统提供对IT系统资源进行管理，能够对资源进行分组管理，并能对各类资源的账号口令进行统一管理。人员管理：系统提供IT运维自然人进行定义，可以通过支持多种身份认证方式：数字证书、动态口令

11、、LDAP、AD域、Radius等方式进行统一认证，对于运维人员进行分组管理。授权管理：系统提供基于运维人、运维组、资源、资源组、IP、起始时间、运维时长等组合授权，实现对运维行为的控制。二、 事中控制阶段流程管理：系统遵循ITIL实现针对运维工单、双人复核与二次授权等操作管理，可以通过系统定制与客户现有工单系统进行整合，加强IT系统变更的管理力度，降低运维操作风险。实时控制：系统能够对IT运维过程实现同步在线监控、实时阻断，对字符型操作可以预制高风险命令的预警与阻断，强化风险控制；系统能够记录键盘鼠标敲击信息，准确掌握所有运维动作。三、 事后分析阶段统计报表：系统完善的报表体系，内部预制多种

12、HAC管理报表并且可以支持客户定制报表，可以生成多种格式（Word、PDF、Excel）与样式（饼图、柱状图、折线图等）的报表文件，满足审计需求。事件追踪：系统可以快速检索定位运维记录，便于查询与检索；同时可以对运维操作进行图形化回访，保证审计记录100%不丢失；而且能够针对ITIL要求实现对运维行为的审计、复核，满足合规性要求。5 运维安全审计系统产品选型5.1 衡量指标一、 安全资质要求 产品要具有中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证； 中华人民共和国保密局涉密信息系统安全保密测评中心颁发的涉密信息系统产品检测证书； 中华人民共和国安全测评中心颁发的信息技术产品测

13、评证书、具有中华人民共和国国家版权局颁发的计算机软件著作权登记证书。二、 硬件性能指标及规格 字符会话并发不少于500个，图形会话并发不少于150个。 可管理资源数量不少于300台三、 技术要求1提供的产品系统与运维日志分离存储，系统由电子盘独立存储，运维日志由硬盘存储，确保系统与日志的独立性。2部署模式：要求产品旁路两种部署模式。3运维模式：要求支持Portal统一登录，并兼容终端C/S客户端连接设备。4配置模式：要求支持B/S模式对设备进行基本的管理、配置、运维。5审计模式：要求审计员需通过专有的审计客户端软件（C/S架构）对运维会话进行安全审计，并能通过审计客户端软件制作不同样式的专业报

14、表。6集中管控：要求产品支持分布式管理模式，支持总控管理模式。7要除支持Telnet、Ftp、SSH、SFTP、RDP、Xwindow、VNC、Http、https等常用协议运维操作审计外，还要支持PcAnywhere、DameWare、数据库管理客户端、网管客户端等C/S类应用系统的运维操作审计，审计的日志要求以视频、文本、报表的形式进行保存，并可对运维人员操作步骤进行视频回放。8产品基于HTTPS/SSL的自身安全管理与审计；审计信息加密存储，保证运维信息不被人工篡改；口令信息加密存储，保证口令信息不被泄露。9系要求与底层linux操作系统实行帐号分离，能够自定义命名root帐号为用户名的

15、管理帐号且无后台登陆帐号。10身份认证管理：为了确保合法用户才能访问其拥有权限的后台资源，解决IT系统中普遍存在的交叉运维而无法定位到具体人的问题，系统需提供一套完整的身份管理和认证功能。11认证方式：除支持常规的运维用户静态口令、动态口令、LDAP、AD域认证外，还要支持原厂USBKEY证书认证方式； 12支持密码强度、密码有效期、口令尝试死锁、用户激活等安全管理功能；13支持用户分组管理，支持用户信息导入导出；14产品必须支持系统管理员、运维管理员、口令管理员和审计员等不同管理员角色；支持审计员分权管理（分为全局审计员和会话审计员），其中会话审计员只能审计指定用户的会话。15帐号代填：支持

16、对后台资源（RDP/TELNET/SSH/FTP/SFTP等）的帐号口令代填功能，即用户登录系统后，系统根据用户权限分配后台资源的使用权。16帐号托管：支持对后台资源（Windows、linux、unix）的系统帐号密码定期自动修改功能。17授权:系统提供基于用户、运维协议、目标主机、运维时间段（年、月、日、周、时间）、会话时长、运维客户端IP等组合的授权功能，实现细粒度授权功能，满足用户实际授权的需求。18对于字符型协议、如Telnet、SSH、FTP、SFTP等，能够实现命令级别的访问控制。19提供基于用户到资源的授权、命令黑白名单：可以通过命令行配置进行规则匹配，支持黑、白名单功能；提供

17、基于用户到资源的授权。20实时告警：提供用户可配置的告警规则以实现告警与阻断，告警规则支持多条命令，告警规则支持正则表达式。21提供基于用户到资源的授权。22告警规则可以按照帐号级别进行绑定，可以设置为只有指定安全级别的帐号才能触发告警规则，针对不同用户实施不同的规则，从而提供更细粒度的操作控制。23应用发布:主要针对C/S架构类运维工具的扩展支持，通过定义相应的访问规则限制使用发布后工具的越权访问。24支持工具类型：可支持对数据库维护工具、pcAnywhere、DameWare等不同工具的运维操作进行监控和审计、通过专用的应用发布平台，能够限制运维用户访问的目标IP，并对整个运维操作过程进行

18、完整记录，实现详尽的会话审计和回放；运维操作全程可控，最大降低对后台目标服务集群的可能安全风险；25会话监控：支持对正在运维会话，信息包括运维用户、运维客户端地址、资源地址、协议、开始时间等的监控。26已授权资源审核：审计员能够对已授权的资源进行审核，防止资源授权过当引起的安全隐患问题。27实时监控： 提供在线运维操作的实时监控功能，针对命令协议和图形协议可以图像方式实时监控正在运维的各种操作，其信息与运维客户端所见完全一致。28远程阻断： 审计员可以远程阻断在线的运维会话。29完整记录网络会话过程:系统提供运维协议Telnet、FTP、SSH、SFTP、RDP（Windows Termina

19、l）、Xwindows、VNC、Http、Https以及应用发布等网络会话的完整会话记录，完全满足内容审计中信息百分百不丢失的要求；会话信息包括运维用户、运维地址、后台资源地址、资源名、协议、起始时间、终止时间、流量大小信息。30会话审计与回放:会话查询：运维操作审计以会话为单位，提供当日和条件查询定位。条件查询支持按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式；文本显示：针对命令交互方式的协议，提供逐条命令及相关操作结果的文本显示；录像显示：提供图像形式的回放，真实、直观、可视地重现当时的操作过程，并支持回放过程中得快放、慢放、拖拉等方式，方便快速定

20、位和查看，针对RDP、Xwindows、VNC协议，提供按时间进行定位回放。31提供运维人员操作、管理员操作以及违规事件等多种审计报表。32提供日常报表，包括今日会话、今日自审计、用户信息、资源信息、权限信息、规则信息、管理员角色信息等报表；33提供会话报表，可根据用户选定时间、用户、资源形成会话报表。34自审计操作报表，可根据用户选定时间、管理员、模块形成自审计报表。35告警报表，可根据告警类别、级别、资源、运维用户、协议、时间等条件形成报表。36综合统计报表，可根据时间、资源、用户等条件形成综合统计报表，报表中包括概要信息、每个用户操作信息、每个资源被操作信息等。37报表导出格式，支持WO

21、RD、EXCEL、PDF等导出格式。38作为IT运维流程中的一个部分，能够遵循ITIL满足稽核与审计的要求，系统能够通过定制开发与现有ITSM、SOC、网管平台进行集成，满足大型网络系统的管理要求。39产品必须保证对常用命令行运维工具secureCRT的支持，即运维用户能够在运维命令行协议时通过指定本地SecureCRT的程序路径，运维时能够直接调用SecureCRT程序进行运维。40产品必须支持与第三方的AD、LDAP认证服务器结合认证，并能够做到AD、LDAP账号的自动同步。5.2 设备性能指标功能指数指标设备性能参数内存2 Gbps 以上 （含2 Gbps） 硬盘容量500G处理能力图形

22、化并发150，字符化并发500个支持协议Telnet、SSH、FTP、SFTP、Windows Terminal、Xwindows、VNC、RDP管理模式配置为B/S，审计为C/S兼容性无需在运维端和服务端安装软件，兼容现有各种Windows、Unix操作系统平台冗余方式 HA链接方式旁路模式操作界面WEB界面管理界面中文邮件告警功能设备性能和审计邮件告警（包括审计个性化告警）认证方式独立认证和第三方的AD、LDAP认证服务器结合认证报表功能分日，周，月个性化的LOG，产生报表双人复合功能有（可选）硬件参数设备高度2U设备端口数3个以上1000M自适应电口 冗余电源无工作湿度595%，非冷凝工作温度10 50