运维安全审计系统
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
・Baidu Nhomakorabea
网络地带
运维安全审计系统
张埘 页 喜( 河南有 线电 视网 络集团 有限 公司 , 河南 郑 州 4 5 0 0 0 0 )
摘 要: 依据国家信息安全等级保护基本技术要求, 结合公司信息安全现状和当前信息安全审计先进技术, 建设运维权限集中管理与审计 系统, 规范和完善公司信息系统运维审计, 落实信息系统运维人员实名制, 加强对主机 、 网络、 数据库等系统的运维操作审计, 规范信息系统
水平 。
( 3 ) 访 问控制: 可实现基于用户、目标 设备、 系 统帐号、 登 陆
( 1 ) 实现 维护接 入的集中化管 理。 对运 行维 护进行 统一管 规则 、 访 问协议 类型 , 设定 比较 详细 的访 问控 制列表 , 可 以对
理, 包括 设备账号管理 、 运维人 员身份 管理。 ( 2 ) 实现 运维人 员 用户访 问权 限进行 查看、 变 更、 删 除等操 作; 针对每条 访问控
1 主要 技 术创 新点
动 登录 ; 可以实现对后台w i n d o w s 、 u n i x 、 l i n u x 设备系统密 ( 1 ) 网络安 全性 : 运 维权 限集 中管 理与 审计系 统的部署对 的 自 码的定期 自动修 改。 整 个 网络 结构影 响应尽可 能小。 系统 对现 有网络不应有 特殊 要求 。 对系统 故障有完善的保护机制 , 系统故障后不会影 响业 ( 5 ) 设备访 问: 可 以通 过运维操 作管理系 统的W E B 页面直接 不再依赖任何客户端程序 ; 字符类型操 务系统 正常运营, 并能够快速恢复达到保障运 维正常进行的要 登录 到后 台各类设备, 作设备, 也可 以同时支持常用客户端软件登 陆; 字符 设备访 问 求。 ( 2 ) 信息安全性 : 运 维权 限集 中管理与审计系统提 供完善 的 用户管理、 账 号管理、 行为审计等 多种安全手段 的同时, 确保系 支持 账号 间的自动切换 登录和 不同设备 问的自动切换 登录 ; w i n d o w s 的远程登录要支持磁盘 映射功能。 统 本身的信息收集 、 处理和保存过程的安全 , 系统提供 保存 信 息的加密存储确保敏感信息不能泄 露或 被窃取 , 系统提供严格 ( 6 ) 实时监控 : 可以通过网络连接查看 当前正在运 维人员对 的自审计系统, 保证对 设备操作的完整记录 。 ( 3 ) 准确性: 运维权 设备的实时操作情况 。 监 控正在运维 的会 话, 信息包括运 维用户、 运 维客户端地 限集 中管理与审计系统应保证数据处理 的准确性和一致性。 ( 4 ) 资源地址、 协议、 开始时间等 ; 开放性: 运维权 限集 中管理与审计系统采用符合河南有线现有 址、 的、 规范 的、 开放 的接 口协议 , 以保证系统对各种外 部系统 的互 监控 后台资源被访 问情况 ; 提 供在线运维操作 的实时监 控 针对命令交 互性协议可以图像方式 实时监控 正在 运维的 连 能力。 ( 5 ) 扩展性: 运 维权 限集 中管理与审计系统 具备平滑扩 功能 。 各种操作, 其信息与运维客户端所见完全一致。 容的能力, 扩容 时应不 改变组 网结构, 不 降低系统性能, 能满足 河 南有线 业务发展的需求 。 ( 6 ) 易用性: 运维权 限集 中管理与审 ( 7 ) 文件 传输 : 对于W i n d o w s 设备 , 还 可以支持磁 盘映射 功 将本地磁盘 映射 到目标服 务器上去 , 以方便文件 的传输 操 计系统具有 良好的人机操作 界面 、 更好 的提示信息 , 方便系统 能, 作 。 用户可 以通过 运维 操作管理 系统 , 进行文件 的F T P / S F T P / 管理人员使用 。 ( 7 ) 技 术领 先 以及后续支持能力保证原则: 能够
统 一权 限管 理, 解决操作 者合 法访 问操 作资源的问题 , 避免可 制, 可以设置一条或者多条基于时间段、 地址范围的登录规则 , 能存 在的越权访 问, 建立有效 的访 问控制 。 ( 3 ) 实现运维 日志记 以方便对用户接 入的限制管理 。 针对采用h t t p / h t t p s 协议的访 录, 记录 运维操 作的 日志信息, 包 括对被管理 资源 的详细操 作 问, 可以做到基于U R L 访问控制; 行 为。 ( 4 ) 实现 运维操作 审计, 对运 维人员的操作进行全程监控 和记录 , 实现 运维操作 的安全审计满足信息安全审计要求。 ( 4 ) 密码 管理: 以静态 口令登录 的服 务器 , 可 以用运维 权 限 集中管 理与 审计系统 统一管理 , 这样可 以控制将设备 口令透 露 给第三方人员。 通过 对 目标设备密码 的托管, 实现对后 台设备
运 维人 员操 作行 为, 提升对信 息系统运 维操 作的监管能 力, 提 高公 司网络 与信息安 全 管理 与运 维 水平。 关键 词: 信 息安全 ; 运 维管理 ; 文件备 份
依据 国家信 息安全等级保护基 本技术要求 , 结合公司信息 授权功能, 实现细粒度授权功能, 满足用户实际授权的需求 。 安全现状和 当前信息安全审计先进技术 , 建设运维权 限集 中管 ( 2 ) 用户管理 : 可 以根据具体 的维护人员添 加唯一与其 身份
理与审计系统 , 规 范和 完善公司信息 系统运维 审计, 落实信息 对应 的用户, 实现维护人员身份 的唯一性 管理。 可 以划分 多种
系 统运维人 员实名制 , 加强对 主机 、 网络 、 数据库等 系统的运 用户角色, 以实现账 号权 限的三权分立 ( 使用权 、 管理权、 监 督 维操 作审计, 规范信息系统运 维人员操作行 为, 提升对信息系 权 ) ; 提供 临时用户账号功能, 临时帐号可定期 自动回收: 提供 统运 维操作的监 管能力, 提高公司网络与信息安全管理与运维 账号有效期管理, 设置用户账号的有效 时间, 时间精确到天。
网络地带
运维安全审计系统
张埘 页 喜( 河南有 线电 视网 络集团 有限 公司 , 河南 郑 州 4 5 0 0 0 0 )
摘 要: 依据国家信息安全等级保护基本技术要求, 结合公司信息安全现状和当前信息安全审计先进技术, 建设运维权限集中管理与审计 系统, 规范和完善公司信息系统运维审计, 落实信息系统运维人员实名制, 加强对主机 、 网络、 数据库等系统的运维操作审计, 规范信息系统
水平 。
( 3 ) 访 问控制: 可实现基于用户、目标 设备、 系 统帐号、 登 陆
( 1 ) 实现 维护接 入的集中化管 理。 对运 行维 护进行 统一管 规则 、 访 问协议 类型 , 设定 比较 详细 的访 问控 制列表 , 可 以对
理, 包括 设备账号管理 、 运维人 员身份 管理。 ( 2 ) 实现 运维人 员 用户访 问权 限进行 查看、 变 更、 删 除等操 作; 针对每条 访问控
1 主要 技 术创 新点
动 登录 ; 可以实现对后台w i n d o w s 、 u n i x 、 l i n u x 设备系统密 ( 1 ) 网络安 全性 : 运 维权 限集 中管 理与 审计系 统的部署对 的 自 码的定期 自动修 改。 整 个 网络 结构影 响应尽可 能小。 系统 对现 有网络不应有 特殊 要求 。 对系统 故障有完善的保护机制 , 系统故障后不会影 响业 ( 5 ) 设备访 问: 可 以通 过运维操 作管理系 统的W E B 页面直接 不再依赖任何客户端程序 ; 字符类型操 务系统 正常运营, 并能够快速恢复达到保障运 维正常进行的要 登录 到后 台各类设备, 作设备, 也可 以同时支持常用客户端软件登 陆; 字符 设备访 问 求。 ( 2 ) 信息安全性 : 运 维权 限集 中管理与审计系统提 供完善 的 用户管理、 账 号管理、 行为审计等 多种安全手段 的同时, 确保系 支持 账号 间的自动切换 登录和 不同设备 问的自动切换 登录 ; w i n d o w s 的远程登录要支持磁盘 映射功能。 统 本身的信息收集 、 处理和保存过程的安全 , 系统提供 保存 信 息的加密存储确保敏感信息不能泄 露或 被窃取 , 系统提供严格 ( 6 ) 实时监控 : 可以通过网络连接查看 当前正在运 维人员对 的自审计系统, 保证对 设备操作的完整记录 。 ( 3 ) 准确性: 运维权 设备的实时操作情况 。 监 控正在运维 的会 话, 信息包括运 维用户、 运 维客户端地 限集 中管理与审计系统应保证数据处理 的准确性和一致性。 ( 4 ) 资源地址、 协议、 开始时间等 ; 开放性: 运维权 限集 中管理与审计系统采用符合河南有线现有 址、 的、 规范 的、 开放 的接 口协议 , 以保证系统对各种外 部系统 的互 监控 后台资源被访 问情况 ; 提 供在线运维操作 的实时监 控 针对命令交 互性协议可以图像方式 实时监控 正在 运维的 连 能力。 ( 5 ) 扩展性: 运 维权 限集 中管理与审计系统 具备平滑扩 功能 。 各种操作, 其信息与运维客户端所见完全一致。 容的能力, 扩容 时应不 改变组 网结构, 不 降低系统性能, 能满足 河 南有线 业务发展的需求 。 ( 6 ) 易用性: 运维权 限集 中管理与审 ( 7 ) 文件 传输 : 对于W i n d o w s 设备 , 还 可以支持磁 盘映射 功 将本地磁盘 映射 到目标服 务器上去 , 以方便文件 的传输 操 计系统具有 良好的人机操作 界面 、 更好 的提示信息 , 方便系统 能, 作 。 用户可 以通过 运维 操作管理 系统 , 进行文件 的F T P / S F T P / 管理人员使用 。 ( 7 ) 技 术领 先 以及后续支持能力保证原则: 能够
统 一权 限管 理, 解决操作 者合 法访 问操 作资源的问题 , 避免可 制, 可以设置一条或者多条基于时间段、 地址范围的登录规则 , 能存 在的越权访 问, 建立有效 的访 问控制 。 ( 3 ) 实现运维 日志记 以方便对用户接 入的限制管理 。 针对采用h t t p / h t t p s 协议的访 录, 记录 运维操 作的 日志信息, 包 括对被管理 资源 的详细操 作 问, 可以做到基于U R L 访问控制; 行 为。 ( 4 ) 实现 运维操作 审计, 对运 维人员的操作进行全程监控 和记录 , 实现 运维操作 的安全审计满足信息安全审计要求。 ( 4 ) 密码 管理: 以静态 口令登录 的服 务器 , 可 以用运维 权 限 集中管 理与 审计系统 统一管理 , 这样可 以控制将设备 口令透 露 给第三方人员。 通过 对 目标设备密码 的托管, 实现对后 台设备
运 维人 员操 作行 为, 提升对信 息系统运 维操 作的监管能 力, 提 高公 司网络 与信息安 全 管理 与运 维 水平。 关键 词: 信 息安全 ; 运 维管理 ; 文件备 份
依据 国家信 息安全等级保护基 本技术要求 , 结合公司信息 授权功能, 实现细粒度授权功能, 满足用户实际授权的需求 。 安全现状和 当前信息安全审计先进技术 , 建设运维权 限集 中管 ( 2 ) 用户管理 : 可 以根据具体 的维护人员添 加唯一与其 身份
理与审计系统 , 规 范和 完善公司信息 系统运维 审计, 落实信息 对应 的用户, 实现维护人员身份 的唯一性 管理。 可 以划分 多种
系 统运维人 员实名制 , 加强对 主机 、 网络 、 数据库等 系统的运 用户角色, 以实现账 号权 限的三权分立 ( 使用权 、 管理权、 监 督 维操 作审计, 规范信息系统运 维人员操作行 为, 提升对信息系 权 ) ; 提供 临时用户账号功能, 临时帐号可定期 自动回收: 提供 统运 维操作的监 管能力, 提高公司网络与信息安全管理与运维 账号有效期管理, 设置用户账号的有效 时间, 时间精确到天。