HAC运维安全审计系统介绍

• 2.1 HAC介绍及产品定位
外形如下：
• HAC—Host Audit Control，运维安全审计系统，设备
• HAC是以实现审计为目标，集认证、授权、审计为一 •
•
体的安全设备。 实现原理： – 基于协议解码，来达到监控、记录数据的目的，目 前支持协议有Telnet、FTP、SFTP、SSH、RDP （Remote Desktop Protocol）等多种通信协议。 审计对象： – 针对内部运行维护人员； – 针对服务外包人员； – 针对厂商或集成商等技术支持人员。
产品功能：应用发布审计
• 各类应用运维操作审计功能
– 业界首创的（VDH, Virtual Desktop Host）虚拟桌面主机安全 操作系统设备，完全符合运维安全审计要求。 – 运维操作全程可控，可做到授权后应用只能访问指定服务， 最大降低对后台目标服务集群的可能安全风险。
– 可对整个运维操作过程进行完整记录，实现详尽的会话审计 和回放。
产品型号：
HAC成功案例
HAC 资质
• 1、国家保密局认证。 • 2、中国信息安全测评中心认证。 • 3、计算机软件著作权登记证书。
谢 谢
• • •
– 金融机构应定期检测所有关键设备和系统软件的工 作状态，审查其工作日志 商业银行内部控制指引－银监会：2006 – 记录要清晰、易于识别和检索，以提供追溯证据。 《新资本协议》、SOX法案 国家标准： – 我国颁布的安全等级保护技术要求信息系统中必须 建立并保存下面的各种访问日志： • 网络（网络安全审计8.1.2.4） • 主机（安全审计8.1.3.3） • 应用（安全审计8.1.4.3）
• 可支持ITSM（IT服务管理）
– HAC可与ITSM相结合，为其优化变更管理流程，加强对变更 管理中的风险控制。 – 支持对变更工单录入操作，实现变更过程的监控和审计。 – 支持对现有运维变更管理系统快速集成。 – 支持变更工单号事后审计功能。
• 可支持双人符合操作
– 支持运维过程对双人操作流程介入。 – 支持会话日志记录双人符合操作审批人、时间、操作符合命 令。
1.3安全实践 – 安全管理业界标准ISO27001: 2005 • 条款A15.1.3明确要求必须保护组织的运行记录。 • 条款A15.2.1则要求信息系统经理必须确保所有 负责的安全过程都在正确执行，符合安全策略和 标准的要求。
（2）科友解决方案 江南科友 “运维安全审计系统 （HAC）”是针对于用户核心资产的运维 操作，再现关键行为轨迹，探索操作意图， 集全局实时监控与敏感过程回放等功能特 点，有效解决了信息化监管中的一个关键 问题 。 以操作为核心，从操作层入手，实现 对人、设备、操作的统一管理，做到事前 防范、事中控制、事后监督和纠正的组合， 从而帮助用户最小化人为操作风险。
– 支持运维用户到后台资源帐户分配
– 支持各种主机、安全设备、网络设备以及Windows系统 – 支持通过定制脚本添加托管各类Unix、Linux系统帐号
– 口令支持下载、邮件和直接密函打印
产品功能：事中监控
• 实时监控
– 监控正在运维的会话，活动用户突出显示
– 监控后台资源被访问情况 – 可实时终止异常在线运维会话
产品功能：身份认证、授权
• 完整的身份管理和认证
解决身份问题，满足审计系统“谁做的”要求。
– 运维用户：静态口令、动态口令、证书KEY、RADIUS、LADP、AD认证 方式；管理员：静态口令、动态口令、证书KEY认证方式。 – 支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能。 – 支持运维用户用户分组管理，方便的增、删、改、查操作，支持用户信 息导入导出，方便批量处理 。
话记录，完全满足内容审计中信息百分百不丢失的要求。
• 详尽的会话审计与回放
– 支持按运维用户、运维地址、后台资源地址、协议、起始时间、结
束时间和操作内容中关键字等组合方式； – 提供图像形式的回放，真实、直观、可视地重现当时的操作过程； – 回放提供快放、慢放、拖拉等方式，方便快速定位和查看 – 支持文本协议操作命令和结果回显功能
– 提供在线运维的操作的实时监控功能
• 敏感操作实时告警与阻断
– 根据安全策略实施运维过程敏感操作检测，对违规操作提供 实时告警和阻断 – 支持用户分级，并针对不级别采取不同响应方式 – 告警与会话实时监控、会话审计与回放关联
产品功能：会话审计
• 完整记录网络会话过程
系统提供运维协议Telnet、FTP、SSH、SFTP、RDP等网络会话的完整会
真实案例
案例1：银行系统开发商内部作案 • 某商行开发核心业务系统，开发商某工程师在试运行维护 期间内部新增一个隐藏帐户，且将其帐户金额锁死，以致 后期该人频繁通过该帐户取款，无人发现，直至银行经过 长时间对帐，仔细比对和核查，才找到问题原因。 案例2：外包人员作案，ATM资金丢失 • 某银行ATM机服务外包给厂商，某厂商工程师利用工作便 利，在ATM系统中安装了一个抓包工具，将许多储户的密 码偷偷抓取到，并通过伪造卡的方式盗取大量资金。经过 长时间排查，和查找ATM监控录像才发现作案人员。
• 支持命令Del、TAB、上下键等编辑过程的准确识别。 • 可基于命令定位会话。
• 会话内容可折叠显示，使用更方便。
产品功能：审计报表
• 完备的审计报表功能
– 提供日常报表、会话报表、自审计操作报表、 告警报表
– 提供综合统计报表，报表中包括概要信息、 每个用户操作信息、每个资源被操作信息等
产品功能：变更工单、双人操作支持
部署模式一：单臂模式:
核心服务器区 网络区（组网） 远程运维
Internet
厂商技术支持或 外包人员
Intranet
HAC
分支机构
操作及网管区
HAC具体功能
1. 身份认证与授权
2. 账户托管、SSO
3. 事中监控 4. 会话审计、审计报表 5. 变更工单、双人操作支持 6. 应用发布审计 7. 其他功能
1.2 相关政策规范和标准 • 中国银监会于2007年5月紧急发布的<<商业银行操作风 险管理指引>>中明确要求： – 第十七条 商业银行应当将加强内部控制作为操作风 险管理的有效手段，与此相关的内部措施至少应当包 括： • （一）部门及操作人员之间应权限分离； • （二）密切监测风险限额或权限的情况。 • （三）对接触和使用银行资产的记录进行安全监控。 • 电子银行业务管理办法－银监会：2006 – 金融机构应在物理和软件控制两个方面，建立对进入 系统的识别、处理和报告机制
综上所述： • 企业IT系统构成复杂，操作人员众多，对来自百度文库其进行有效审计，是控制内部风险的一个 重要手段。
• 运维管理安全需求
– 如何解决共享帐号后操作身份不唯一的问题？
– 如何控制操作人员操作权限？
– 如何实时跟踪操作者的操作行为？
– 如何监控和定位非法操作行为？ – 如何对已经发生的非法操作行为进行举证？
• 系统组成
• 应用环境：
支持IBM AIX、HP UX、SUN Solaris、SCO UNIX、 LINUX、WINDOWS等多种操作系统。 可广泛应用于金融、政府、电信、证券、邮政、税 务、海关、交通等安全需求较高的行业。
• 2.2部署方式
单臂部署：不改变客户网络环境，对客户网络透明； 串联接入：可灵活根据网络环境串联路由接入，起 安全审计和访问控制的作用。
• 灵活、细粒度的授权
提供基于用户、运维协议、目标主机、运维时间段、会话时长、运维客户端 IP等组合的授权功能，实现细粒度授权，满足用户实际应用的需要。
产品功能：账户托管、SSO
• 口令统一管理与自动登陆
运维人员通过HAC认证和授权后，HAC根据配置策略实现后台资
源的自动登录代理，提供托管和只托不管两种方式。 – 支持后台资源口令统一管理
– 可依据用户要求快速实现新应用的发布和审计。
产品功能：其他辅助功能
• 维护管理：
对HAC系统的本身维护和管理，表现为： – 远程重启、关机； – 审计日志自动、手动备份；
• HAC系统特点：
– – – – – 产品稳定、安全性高 高效、精简的安全内核 性能高，支持并发用户量大 支持HA高可用性 分权管理机制
运维安全审计系统
HAC
广州江南科友科技股份有限公司 2010年7月
目录
• 安全现状及审计需求 • 科友解决方案
• HAC具体功能
• 成功案例
（1）安全审计需求
1.1 审计的必要性、迫切性 • 银行计算机犯罪以每年30%速度增长，涉案金额越来 越大。具有如下特点： – 犯罪主体以内部或内外勾结为主； – 作案目的以盗窃资金为主； – 发案原因多是由于缺乏内部风险控制机制为主。 • 介绍目前几个真实案例
HAC 带来的安全价值
提升声誉 满足合规性要求，顺利通过等级检查、IT审计 有效减少业务系统核心信息资产的破坏和泄漏
降低损失
取证免责
有效控制运维操作风险，便于事后追查原因与界定责任
把控全局
有效控制业务运行风险，直观掌握业务系统安全状况
完善机制
实现独立审计管理、配置管理、运维管理的三权分立，完善 IT内控机制