摘要: InforCube 运维管理审计系统是新一代操作行为安全审计系统,它采用软硬件一体化设计,通过B/S方式(HTTPS)进行管理,其主要功能为实现对运维人员操作服务器、网络设备、数据库过程的全程监控与审计,以及对违规操作行为的实时阻断。 该产品采用先进的设计理念...
InforCube 运维管理审计系统是新一代操作行为安全审计系统,它采用软硬件一体化设计,通过B/S方式(HTTPS)进行管理,其主要功能为实现对运维人员操作服务器、网络设备、数据库过程的全程监控与审计,以及对违规操作行为的实时阻断。
该产品采用先进的设计理念,支持对多种远程维护方式的支持,如字符终端方式(SSH、Telnet、Rlogin)、图形方式(RDP、X11、VNC、Radmin、PCAnywhere)、文件传输(FTP、SFTP)以及多种主流数据库的访问操作。
整个产品基于4A(Account账号-Authentication认证-Authorization授权-Audit审计)安全思想模型,如下图所示(1-1),树立“账号-认证-授权-审计”完备的安全系统,从而根本解决各种复杂环境下的运维安全问题,提升企业IT 运维管理水平。
InforCube 基于安全思想模型图
产品功能
InforCube运维管理审计系统是基于4A安全思想模型,也是符合4A标准,因此其主要功能包括以下几点:
(1)身份的集中管控与识别
InforCube运维管理审计系统支持多种身份认证方式,包括静态密码、Windows AD 域、Radius认证、LDAP认证、数字证书等,此外还可以通过认证接口扩展与第三方认证系统的集成。为解决服务器账号共用情况而带来的责任人难以确定的问题,InforCube 运维管理审计系统通过“运维审计账号”与“服务器账号”关联的方式,为每次访问过程建立账号关联信息,从而实现将用户身份的通过运维账号落实到唯一的操作“自然人”。同时为确保帐号密码的安全可靠性,InforCube 运维管理审计系统还提供动态令牌(可选配件),进一步增强帐号密码的安全性。
(2)权限分时与纬度管理
InforCube 运维管理审计系统支持基于B/S的单点登录系统,运维用户只需经过一次审计系统认证,就可以直接访问多种目标设备。
InforCube 运维管理审计系统可以对运维人员进行细粒度的权限控制,管理可以根据人员、时间、系统账户、操作指令等内容设定访问权限,如:
·限制用户能够访问的服务器范围;
·限制用户能够登录的时间;
·设定用户操作指令黑、白名单,阻止违规操作行为;
InforCube 运维管理审计系统还支持特有的授权访问机制,即对某些用户,每次访问特定设备前都需要管理员进行授权才能通行,避免临时人员在管理员不知情的情况下进行访问。
(3)操作控制与实时阻断
除了根据主机对象进行授权外,InforCube 运维审计系统也能够提供指令级细粒度的访问控制,最大限度保护用户资源的安全。管理员可以设定每个用户能够使用的黑、白指令集,一旦运维人员执行黑名单指令,运维系统会自动阻断其操作,从而最大限度保护目标设备的安全,确保运维用户访问过程的合规性。
对于所有进行中的访问操作,InforCube运维管理审计系统均可对其进行同步过程监视,运维人员在服务器上做的任何操作都会同步显示在管理人员的监控画面中,管理员可以根据需要随时切断违规操作会话。
(4)审核回放报表审计
InforCube 运维管理审计系统支持通过目标地址、目标账号、运维账号、访问时间等方式对历史记录进行单条件或者多条件组合查询。针对具体的某次特定操作会话,运维审计系统能够直接查看该操作过程的所有操作命令、RDP键盘输入、Windows窗口标题等,便于管理员进行人工分析。
对于任何一次历史操作,运维审计系统均能够通过图形回放方式重现原始操作过程。回放基于WEB界面进行,无须安装任何客户软软件,管理员可以对回放过程进行常见的视频播放操作,如:快进、倍速播放、暂停、拖动等等,本系统还支持从特定位置进行定位回放。
性能特点
(1)旁路部署逻辑串接,对企业影响小;
InforCube 运维管理审计系统采用旁路部署的方式与企业设备或应用进行挂接,在运维这些设备或应用的过程中是串接的,不过对于企业设备应用层面影响几乎为零。
(2)减少端口开放,降低安全风险;
InforCube 运维管理审计系统本身只开放了三个安全加密的协议端口,分别是22(SSH端口)、443(HTTPS端口)、3389(RDP端口),不存在任何中级及中级以上的安全风险或漏洞,是真正能够让用户放心使用的安全审计产品。
(3)独立应用中心,维护简便且易扩展;
InforCube 运维管理审计系统的应用中心是独立出来,对于企业运维来说,应用系统的部署简单透明,易于扩展,而且不受数目限制。
实施效果
InforCube 运维管理审计系统给企业带来的是真正4A的安全运维系统,简言之以下4句:
完善体制,符合法规;
有效审计,责任到人;
规避风险,减少故障;
单点登录,提高效率。
实施InforCube运维管理审计系统后,首先是用户与权限的剥离,如下图所示:
InforCube 运维管理审计系统的系统认证
其次,对于用户的权限分配与控制进行细粒度的控制,如下图所示:
InforCube 运维管理审计系统的权限分配与控制
最后,InforCube详细的日志以及可回放的录像(如下图所示),可以有效地确定每一次操作的人员、帐号、主机、操作,从而实现明确何时、何人、用什么、对什么、做了什么的对应,将每一个操作都能落实到人,从而实现“谁做谁负责”的责任到人式管理。
InforCube 运维管理审计系统的日志报表与视频审计
产品部署
InforCube运维管理审计系统的基本部署示意图如下:
InforCube 运维管理审计系统的部署示意图
InforCube运维管理审计系统的部署特性如下:
(1)通过旁路部署在与目标主机和服务器路由可达的交换机上;
(2)内部管理人员通过内网登录运维管理审计平台;
(3)远程维护人员或代管公司运维人员通过公网访问运维管理审计平台;
(4)在运维管理审计平台选择要本次要运维的目标主机或网络设备;
(5)运维平台根据目标主机的访问协议自动启用RDP、VNC、SSH等客户端,并建立与目标主机的连接;
(6)用户正常运维;
(7)运维平台同步分析用户行为是否合规,并作审计录像。
运维管理审计系统也是“游侠安全网”站长公司的主打产品,有需求亦可与我联系,QQ:55984512
