1、HAC 运维安全审计系统产品简介运维安全审计系统(HAC)着眼于解决关键 IT 基础设施运维安全问题。它能够对 Unix 和 Windows 主机、服务器以及网络、安全设备上的数据访问进行安全、有效的操作审计,支持实时监控和事后回放。HAC补了传统审计系统的不足,将运维审计由事件审计提升为内容审计,集身份认证、授权、审计为一体,有效地实现了事前预防、事中控制和事后审计。审计要求针对安然、世通等财务欺诈事件,2002 年出台的公众公司会计改革和投资者保护法案(Sarbanes-Oxley Act)对组织治理、财务会计、监管审计制定了新的准则,并要求组织治理核心如董事会、高层管理、内外部审计在评估
2、和报告组织内部控制的有效性和充分性中发挥关键作用。与此同时,国内相关职能部门亦在内部控制与风险管理方面制定了相应的指引和规范。 由于信息系统的脆弱性、技术的复杂性、操作的人为因素,在设计以预防、减少或消除潜在风险为目标的安全架构时,引入运维管理与操作监控机制以预防、发现错误或违规事件,对 IT 风险进行事前防范、事中控制、事后监督和纠正的组合管理是十分必要的。IT 系统审计是控制内部风险的一个重要手段,但 IT 系统构成复杂,操作人员众多,如何有效地对其进行审计,是长期困扰各组织的信息科技和风险稽核部门的一个重大课题。解决之道江南科友因市场对 IT 运维审计的需求,集其多年信息安全领域运维管理
3、与安全服务的经验,结合行业最佳实践与合规性要求,率先推出基于硬件平台的“运维安全审计系统(HAC)”,针对核心资产的运维管理,再现关键行为轨迹,探索操作意图,集全局实时监控与敏感过程回放等功能特点,有效解决了信息化监管中的一个关键问题。系统功能完整的身份管理和认证为了确保合法用户才能访问其拥有权限的后台资源,解决 IT 系统中普遍存在的交叉运维而无法定位到具体人的问题,满足审计系统“谁做的”要求,系统提供一套完整的身份管理和认证功能。支持静态口令、动态口令、LDAP、AD 域证书 KEY 等认证方式;灵活、细粒度的授权系统提供基于用户、运维协议、目标主机、运维时间段(年、月、日、周、时间)、会
4、话时长、运维客户端 IP 等组合的授权功能,实现细粒度授权功能,满足用户实际授权的需求。后台资源自动登陆后台资源自动登陆功能是运维人员通过 HAC 认证和授权后,HAC 根据配置策略实现后台资源的自动登录。此功能提供了运维人员到后台资源帐户的一种可控对应,同时实现了对后台资源帐户的口令统一保护。实时监控提供在线运维的操作的实时监控功能。针对命令交互性协议可以图像方式实时监控正在运维的各种操作,其信息与运维客户端所见完全一致。违规操作实时告警与阻断针对运维过程中可能存在潜在操作风险,HAC 根据用户配置的安全策略实施运维过程中的违规操作检测,对违规操作提供实时告警和阻断,从而达到降低操作风险及提
5、高安全管理与控制的能力。完整记录网络会话过程系统提供运维协议 Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、VNC、AS400 等网络会话的完整会话记录,完全满足内容审计中信息百分百不丢失的要求。详尽的会话审计与回放HAC 提供视频回放的审计界面,以真实、直观、可视的方式重现操作过程。完备的审计报表功能HAC 提供运维人员操作,管理员操作以及违规事件等多种审计报表。各类应用运维操作审计功能HAC 提供对各类应用的运维操作审计功能,能够提供完整的运维安全审计解决方案。可依据用户要求快速实现新应用的发布和审计。可结合 ITSM(IT 服务管理
6、)HAC 可与 ITSM 相结合,可为其优化变更管理流程,加强对变更管理中的风险控制系统特点支持加密运维协议的审计领先地解决了 SSH、RDP 等加密协议的审计,满足用户 Unix 和 Windows 环境的运维审计要求。分权管理机制系统提供设备管理员、运维管理员和审计员三种管理角色,从技术上保证系统管理安全。更加严格的审计管理系统将认证、授权和审计有机地集成为一体,有效地实现了事前预防、事中控制和事后审计。部署灵活、操作方便系统支持单臂、串联部署模式;支持基于 B/S 方式的管理、配置和审计。系统安全设计精简的内核和优化的 TCP/IP 协议栈基于内核态的处理引擎双机热备严格的安全访问控制基
7、于 HTTPS 的安全访问管理、配置和审计审计信息加密存储完善的审计信息备份与恢复机制系统部署 鉴于企业网络及管理架构的复杂性,HAC 系统提供了灵活的部署方式,既可以采取串连模式,也可以采用单臂模式接入到企业内部网络中。采用串连模式部署时,HAC 具备一定程度上的网络控制的功能,可提高核心服务器访问的安全性;采用单臂模式部署时,不改变网络拓扑,安装调试过程简单,可按照企业网络架构的实际情况灵活接入。图 1:单臂模式接入图 2:串联模式接入无论串连模式还是在单臂模式,通过 HAC 访问 IT 基础服务资源的操作都将被详细的记录和存储下来,作为审计的基础数据。HAC 的部署不会对业务系统、网络中
8、的数据流向、带宽等重要指标产生负面影响,无需在核心服务器或操作客户端上安装任何软硬件系统。认证资质“运维安全审计系统(HAC)” 已获公安部颁发的计算机信息系统安全专用产品销售许可证,已通过国家保密局涉密信息系统安全保密评测中心检测,取得涉密信息系统产品检测证书。通过国家信息安全测评取得信息技术产品安全测评证书。产品型号及指标HAC 产品目前型号有 HAC1000A 和 1000E。具体指标如下:主要属性 HAC1000E HAC1000A支持协议Telnet、SSH、FTP、SFTP、Windows Terminal、Xwindows、VNC、 AS400等Telnet、SSH、FTP、SF
9、TP、Windows Terminal、Xwindows、VNC、AS400 等可靠性 支持 HA 支持 HA并发数 1000 并发用户 500 并发用户部署模式 支持单臂、串联模式部署 支持单臂、串联模式部署易用性 B/S 管理、无客户端、Server 端软件 B/S 管理、无客户端、Server 端软件清晰性 采用中文界面 采用中文界面兼容性支持 IBM Aix、HP Unix、Sun Solaris、SCO Unix、Linux、Windows 等各种操作系统主机和各种网络、安全设备支持 IBM Aix、HP Unix、Sun Solaris、SCO Unix、Linux、Windows
10、 等各种操作系统主机和各种网络、安全设备外形 2U 机架式服务器 IU 机架式服务器存储容量 3TB,Raid 5+0 支持 500GB网卡 3 个千兆以太网口 2 个千兆+1 个百兆以太网口网络审计系统,是专门针对单位和企业的网络管理部门、信息安全监督部门,对网络会话行为或会话内容进行监测审计需求而推出的网络安全审计产品。使用时只需在内网与外网的网络通路上安装一套财富天湖叁佳网络审计系系统,通过可预置的监测审计条件,即可实现对进出内部网络中的各类信息进行监测与审计。通过对企业网络出口的交换机或路由器进行数据镜像实现网络内外数据交互的监视,对网络数据进行分析,还原,保存,实现对特定数据的记录,
11、并根据数据分析结果生成分析报表,呈现给企业管理人员,以加强对企业网络使用情况的管理。该系统采用实时 方式,全线速采集网络上所有信息流,对要保护和控制的信息内容进行监测、报警、记录与审计。该系统采用非介入方式获取监测信息,不参与被监测网络的数据传输活动,不改写任何用户信息及内容,单向数据传输,不被网上用户察觉。 本系统是一台软硬件一体化的设备,其所需的所有软件都安装在一台专用设备上。该设备是一台适用于中小型网络环境的小型网络安全设备。只要把该设备安装到网络的出 换机上,并进行适当配置,则该系统就可以正常工作。其安装方式如下图所示:系统的数据流程如下图所示:系统首先从交换机上将网络数据采集下来,然
12、后对这些数据进行协议分析,然后将这些数据存入数据库当中。当用户想浏览这些网络数据的时候,可以通过浏览器访问本系统,浏览各类网络数据及统计结果。功能与优势系统通过对企业网络数据的分析,能够生产各种报表供企业管理人员掌握网络的使用状况:a) 根据 IP 地址对数据流量进行排序b) 根据点击率对企业内部访问的网站进行排序c) 根据数据流量对内部访问的游戏协议进行排序d) 每天的 email 收发情况统计报表,包括 WEBMAILe) 每天的聊天数据统计报表f) 对每个 IP 地址各个时间段内收发的各种协议数据的访问报表g) 全部或者单个 IP 地址的聊天数据信息h) 全部或者单个 IP 地址的 em
13、ail 数据信息,标明是否带有附件i) 上传下载数据信息j) 统计浏览网页的数据流量和保存网站 URL检测与审计行为检测与审计叁佳网络审计系统对行为监测与审计的项目有:实时监测被监测对象的上网时间、源地址(IP 和 MAC 地址)、源端口、目标地址(IP 和 MAC 地址)、目的端口、协议类型等。提取会话行为的特征信息,形成日志并记录保存,用于事后审计。例如可以专门对 telnet 用户使用的账号、输入命令及命令内容及上网时间等特征信息进行记录保存。此项功能主要用于:实时记录用户访问网站、收发电子邮件、BBS、聊天次数及数据包流量,并根据监测与审计策略产生报警信息,达到发现不当使用者的目的。内
14、容监测与审计叁佳网络审计系统对内容监测与审计的主要项目有:提取会话内容的特征信息,形成审计日志并记录保存,对审计日志进行事后分析。针对 E-mail 的审计项目:源信箱地址、目的信箱地址、收件人、标题、正文和附件信息。针对 ftp 的审计项目:用户使用的账号、输入命令及传送的文件类型信息。针对 HTTP 的审计项目:用户使用的 URL、文字信息。与行为监测与审计的主要区别: 行为监测与审计的对象是基于 TCP/IP 传输的网络会话过程,内容监测与审计的对象是网络会话中传输的文字内容。 行为监测与审计的目的是对用户在网上从事的各种访问行为进行监测记录和分析。比如:盗用他人帐号、访问黄色、非法网站、滥用网络资源等。管理者通过分析及时发现不当使用行为,确保网络正常运行;内容监测审计的目的是对用户在网上浏览、下载、上传的各种信息的内容进行筛选过滤。比如:盗窃涉及企业机密的信息、发布攻击政府的言论信息、散步非法言论等。管理者从中发现敏感信息内容,通过对会话内容的分析,达到发现违法信息、不当使用者的目的。直接为企业利益提供保护,为执法机构执法提供有价值的证据信息。
