隨著企業信息化進程不斷深入,企業的業務系統變得日益復雜,由內部員工違規操作導致的安全問題變得日益突出起來。防火墻、防病毒、入侵檢測系統等常規的安全產品可以解決一部分安全問題,但對于內部人員的違規操作卻無能為力。根據中國國家信息安全測評中心調查,信息安全的現實威脅主要為內部信息泄露和內部人員犯罪,而非病毒和外來黑客。
堡壘機完善IT系統內控
啟明星辰天玥網絡安全審計系統-運維安全管控系統(天玥OSM堡壘機),能夠對企業運維人員的維護過程進行全面跟蹤、控制、記錄、回放;支持細粒度配置運維人員的訪問權限,實時阻斷違規、越權的訪問行為,同時提供維護人員操作的全過程記錄與報告;系統支持對加密與圖形協議進行審計,消除了傳統審計設備的審計盲點,成為企業IT系統內部控制最有力的支撐平臺。
例如,在運營商某省公司,很多設備和業務系統己經通過外包公司代維,那么業務數據是否被非法訪問或產生信息泄露?由于缺乏在技術層面進行高強度的監管,業務系統安全狀況不得而知。為進一步提升業務系統安全性及安全管理水平,省公司開始進行運維安全系統建設,通過啟明星辰天玥OSM堡壘機的實施和運用,使得系統和安全管理人員可以對支撐系統的運維用戶和各種資源進行集中管理、集中權限分配和控制、集中審計,從技術層面上有效保證了支撐系統安全策略的實施。
天玥堡壘機互補技術方案
在常見的信息系統中,運維人員對目標設備的運維協議或訪問方式主要包括字符協議、圖形協議、文件傳輸協議、HTTP(S)訪問、數據庫客戶端或其他私有客戶端。如何有效實現對運維人員的操作權限進行細粒度控制和合規審計呢?
天玥OSM堡壘機由WEB模塊、協議代理模塊、行為審計模塊、應用發布模塊和存儲模塊組成。其中協議代理模塊可以實現對主機、數據庫、網絡設備維護過程中的協議數據包代理轉發、行為還原及記錄、高危/違規行為阻斷等功能,支持SSH、TELNET、FTP、SFTP、RDP、VNC、X11等運維協議。應用發布模塊用于發布非標準協議或應用客戶端,可實現對應用客戶端工具的自動調出、密碼代填和操作審計功能,主要包括HTTP IE應用、數據庫客戶端、pcanywhere等工具,支持擴展。
圖1 協議代理模塊
如圖1所示,運維用戶通過堡壘機WEB界面進行對目標資源的單點登錄(SSO),堡壘機對指定的協議通過代理方式,實現對協議的審計等功能,具體如下:
1、運維用戶通過HTTPS訪問堡壘機WEB界面;
2、堡壘機對運維用戶的身份進行認證;
3、認證成功后,運維用戶即進入堡壘機運維主界面,同時對運維用戶的權限進行鑒別,展現運維用戶權限范圍內的資源列表;
4、運維用戶選擇需要單點登錄的被管資源、相關資源賬號和運維協議;
5、堡壘機實現對相應協議的代理,并進行密碼代填,實現對目標資源的單點登錄。
運維用戶在經過堡壘機進行運維操作時,堡壘機相對于終端運維用戶是運維會話的服務端,接收用戶的運維指令,相對于目標被管資源是客戶端,向目標資源輸送運維指令,并接收返回結果,并將結果返回至終端運維用戶操作界面。協議代理模塊在此過程中,將相應的指令和結果發送至行為審計模塊,此外還可根據指令黑白名單進行指令控制和二次審批。
圖2 應用發布模塊
如圖2所示,管理員用戶將客戶端工具安裝在應用發布服務器上,而運維用戶終端無需安裝,運維用戶通過堡壘機WEB界面進行對目標資源的單點登錄,選擇相應的客戶端工具,堡壘機實現對工具的遠程自動調出、密碼代填和操作審計功能,具體如下:
1、運維用戶通過HTTPS訪問堡壘機WEB界面;
2、堡壘機對運維用戶的身份進行認證;
3、認證成功后,運維用戶即進入堡壘機運維主界面,同時對運維用戶的權限進行鑒別,展現運維用戶權限范圍內的資源列表;
4、運維用戶選擇需要單點登錄的被管資源、相關資源賬號和運維客戶端工具;
5、堡壘機實現對工具的遠程自動調出、密碼代填,并在用戶運維操作過程中進行錄像審計。
堡壘機通過這兩種互補的技術方案,實現對自然人身份以及資源、資源賬號的集中管理,建立“自然人—資源—資源賬號”對應關系,實現自然人對資源的統一授權,同時,對授權人員的運維操作進行記錄、分析、展現,以幫助內控工作事前規劃預防、事中實時監控、違規行為響應、事后合規報告、事故追蹤回放,加強內部業務操作行為監管,避免核心資產(服務器、網絡設備、安全設備等)損失,保障業務系統的正常運營。
作為國內最早研發和業界領先的堡壘機廠商之一,啟明星辰堡壘機產品歷經5年多的持續發展,已擁有目前國內最多的客戶群,包括電信運營商、金融、能源、政府、煙草、傳媒、公安和企事業單位等。
