运维安全审计系统介绍
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 中国银监会于2007年5月紧急发布的<<商业银行操作风险
管理指引>>中明确要求:
– 第十七条 商业银行应当将加强内部控制作为操作风 险管理的有效手段,与此相关的内部措施至少应当包 括:
• (一)部门及操作人员之间应权限分离; • (二)密切监测风险限额或权限的情况。 • (三)对接触和使用银行资产的记录进行安全监控。 • 电子银行业务管理办法-银监会:2006
• 账户托管、SSO • 事中监控 • 会话审计、审计报表 • 变更工单、双人操作支持 • 应用发布审计 • 其他功能
产品功能:身份认证、授权
• 完整的身份管理和认证
解决身份问题,满足审计系统“谁做的”要求。 – 运维用户:静态口令、动态口令、证书KEY、RADIUS、LADP、AD认证
方式;管理员:静态口令、动态口令、证书KEY认证方式。 – 支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能。 – 支持运维用户用户分组管理,方便的增、删、改、查操作,支持用户信
• 网络(网络安பைடு நூலகம்审计8.1.2.4) • 主机(安全审计8.1.3.3) • 应用(安全审计8.1.4.3)
1.3安全实践
– 安全管理业界标准ISO27001: 2005
• 条款A15.1.3明确要求必须保护组织的运行记录。 • 条款A15.2.1则要求信息系统经理必须确保所有
负责的安全过程都在正确执行,符合安全策略和 标准的要求。
(2)科友解决方案 江南科友 “运维安全审计系统 (HAC)”是针对于用户核心资产的运维 操作,再现关键行为轨迹,探索操作意图, 集全局实时监控与敏感过程回放等功能特 点,有效解决了信息化监管中的一个关键 问题 。
以操作为核心,从操作层入手,实现
对人、设备、操作的统一管理,做到事前 防范、事中控制、事后监督和纠正的组合, 从而帮助用户最小化人为操作风险。
产品功能:会话审计
• 完整记录网络会话过程
系统提供运维协议Telnet、FTP、SSH、SFTP、RDP等网络会话的完整 会话记录,完全满足内容审计中信息百分百不丢失的要求。
• 详尽的会话审计与回放
– 支持按运维用户、运维地址、后台资源地址、协议、起始时间、结 束时间和操作内容中关键字等组合方式;
• 审计对象:
– 针对内部运行维护人员; – 针对服务外包人员; – 针对厂商或集成商等技术支持人员。
• 应用环境:
支持IBM AIX、HP UX、SUN Solaris、SCO UNIX、 LINUX、WINDOWS等多种操作系统。
可广泛应用于金融、政府、电信、证券、邮政、税 务、海关、交通等安全需求较高的行业。
• 2.2部署方式
单臂部署:不改变客户网络环境,对客户网络透明;
串联接入:可灵活根据网络环境串联路由接入,起 安全审计和访问控制的作用。
部署模式一:单臂模式:
核心服务器区
网络区(组网)
远程运维
Internet
厂商技术支持或 外包人员
HAC
Intranet
分支机构
操作及网管区
• 身份认证与授权 HAC具体功能
产品功能:事中监控
• 实时监控
– 监控正在运维的会话,活动用户突出显示 – 监控后台资源被访问情况 – 可实时终止异常在线运维会话 – 提供在线运维的操作的实时监控功能
• 敏感操作实时告警与阻断
– 根据安全策略实施运维过程敏感操作检测,对违规操作提供 实时告警和阻断
– 支持用户分级,并针对不级别采取不同响应方式 – 告警与会话实时监控、会话审计与回放关联
– 提供日常报表、会话报表、自审计操作报表、 告警报表
– 提供综合统计报表,报表中包括概要信息、 每个用户操作信息、每个资源被操作信息等
产品功能:变更工单、双人操作支持
• 可支持ITSM(IT服务管理)
– HAC可与ITSM相结合,为其优化变更管理流程,加强对变更 管理中的风险控制。
– 提供图像形式的回放,真实、直观、可视地重现当时的操作过程; – 回放提供快放、慢放、拖拉等方式,方便快速定位和查看 – 支持文本协议操作命令和结果回显功能
• 支持命令Del、TAB、上下键等编辑过程的准确识别。 • 可基于命令定位会话。 • 会话内容可折叠显示,使用更方便。
产品功能:审计报表
• 完备的审计报表功能
• 2.1 HAC介绍及产品定位
• HAC—Host Audit Control,运维安全审计系统,设备
外形如下:
• HAC是以实现审计为目标,集认证、授权、审计为一
体的安全设备。
• 实现原理:
– 基于协议解码,来达到监控、记录数据的目的,目 前支持协议有Telnet、FTP、SFTP、SSH、RDP (Remote Desktop Protocol)等多种通信协议。
– 金融机构应在物理和软件控制两个方面,建立对进入 系统的识别、处理和报告机制
– 金融机构应定期检测所有关键设备和系统软件的工 作状态,审查其工作日志
• 商业银行内部控制指引-银监会:2006
– 记录要清晰、易于识别和检索,以提供追溯证据。
• 《新资本协议》、SOX法案 • 国家标准:
– 我国颁布的安全等级保护技术要求信息系统中必须 建立并保存下面的各种访问日志:
目录
1.1 审计的必要(性、1)迫切安性全审计需求
• 银行计算机犯罪以每年30%速度增长,涉案金额越来
越大。具有如下特点:
– 犯罪主体以内部或内外勾结为主; – 作案目的以盗窃资金为主; – 发案原因多是由于缺乏内部风险控制机制为主。
• 介绍目前几个真实案例
真实案例
1.2 相关政策规范和标准
息导入导出,方便批量处理 。
• 灵活、细粒度的授权
提供基于用户、运维协议、目标主机、运维时间段、会话时长、运维客户端 IP等组合的授权功能,实现细粒度授权,满足用户实际应用的需要。
产品功能:账户托管、SSO
• 口令统一管理与自动登陆
运维人员通过HAC认证和授权后,HAC根据配置策略实现后台资 源的自动登录代理,提供托管和只托不管两种方式。 – 支持后台资源口令统一管理 – 支持运维用户到后台资源帐户分配 – 支持各种主机、安全设备、网络设备以及Windows系统 – 支持通过定制脚本添加托管各类Unix、Linux系统帐号 – 口令支持下载、邮件和直接密函打印
管理指引>>中明确要求:
– 第十七条 商业银行应当将加强内部控制作为操作风 险管理的有效手段,与此相关的内部措施至少应当包 括:
• (一)部门及操作人员之间应权限分离; • (二)密切监测风险限额或权限的情况。 • (三)对接触和使用银行资产的记录进行安全监控。 • 电子银行业务管理办法-银监会:2006
• 账户托管、SSO • 事中监控 • 会话审计、审计报表 • 变更工单、双人操作支持 • 应用发布审计 • 其他功能
产品功能:身份认证、授权
• 完整的身份管理和认证
解决身份问题,满足审计系统“谁做的”要求。 – 运维用户:静态口令、动态口令、证书KEY、RADIUS、LADP、AD认证
方式;管理员:静态口令、动态口令、证书KEY认证方式。 – 支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能。 – 支持运维用户用户分组管理,方便的增、删、改、查操作,支持用户信
• 网络(网络安பைடு நூலகம்审计8.1.2.4) • 主机(安全审计8.1.3.3) • 应用(安全审计8.1.4.3)
1.3安全实践
– 安全管理业界标准ISO27001: 2005
• 条款A15.1.3明确要求必须保护组织的运行记录。 • 条款A15.2.1则要求信息系统经理必须确保所有
负责的安全过程都在正确执行,符合安全策略和 标准的要求。
(2)科友解决方案 江南科友 “运维安全审计系统 (HAC)”是针对于用户核心资产的运维 操作,再现关键行为轨迹,探索操作意图, 集全局实时监控与敏感过程回放等功能特 点,有效解决了信息化监管中的一个关键 问题 。
以操作为核心,从操作层入手,实现
对人、设备、操作的统一管理,做到事前 防范、事中控制、事后监督和纠正的组合, 从而帮助用户最小化人为操作风险。
产品功能:会话审计
• 完整记录网络会话过程
系统提供运维协议Telnet、FTP、SSH、SFTP、RDP等网络会话的完整 会话记录,完全满足内容审计中信息百分百不丢失的要求。
• 详尽的会话审计与回放
– 支持按运维用户、运维地址、后台资源地址、协议、起始时间、结 束时间和操作内容中关键字等组合方式;
• 审计对象:
– 针对内部运行维护人员; – 针对服务外包人员; – 针对厂商或集成商等技术支持人员。
• 应用环境:
支持IBM AIX、HP UX、SUN Solaris、SCO UNIX、 LINUX、WINDOWS等多种操作系统。
可广泛应用于金融、政府、电信、证券、邮政、税 务、海关、交通等安全需求较高的行业。
• 2.2部署方式
单臂部署:不改变客户网络环境,对客户网络透明;
串联接入:可灵活根据网络环境串联路由接入,起 安全审计和访问控制的作用。
部署模式一:单臂模式:
核心服务器区
网络区(组网)
远程运维
Internet
厂商技术支持或 外包人员
HAC
Intranet
分支机构
操作及网管区
• 身份认证与授权 HAC具体功能
产品功能:事中监控
• 实时监控
– 监控正在运维的会话,活动用户突出显示 – 监控后台资源被访问情况 – 可实时终止异常在线运维会话 – 提供在线运维的操作的实时监控功能
• 敏感操作实时告警与阻断
– 根据安全策略实施运维过程敏感操作检测,对违规操作提供 实时告警和阻断
– 支持用户分级,并针对不级别采取不同响应方式 – 告警与会话实时监控、会话审计与回放关联
– 提供日常报表、会话报表、自审计操作报表、 告警报表
– 提供综合统计报表,报表中包括概要信息、 每个用户操作信息、每个资源被操作信息等
产品功能:变更工单、双人操作支持
• 可支持ITSM(IT服务管理)
– HAC可与ITSM相结合,为其优化变更管理流程,加强对变更 管理中的风险控制。
– 提供图像形式的回放,真实、直观、可视地重现当时的操作过程; – 回放提供快放、慢放、拖拉等方式,方便快速定位和查看 – 支持文本协议操作命令和结果回显功能
• 支持命令Del、TAB、上下键等编辑过程的准确识别。 • 可基于命令定位会话。 • 会话内容可折叠显示,使用更方便。
产品功能:审计报表
• 完备的审计报表功能
• 2.1 HAC介绍及产品定位
• HAC—Host Audit Control,运维安全审计系统,设备
外形如下:
• HAC是以实现审计为目标,集认证、授权、审计为一
体的安全设备。
• 实现原理:
– 基于协议解码,来达到监控、记录数据的目的,目 前支持协议有Telnet、FTP、SFTP、SSH、RDP (Remote Desktop Protocol)等多种通信协议。
– 金融机构应在物理和软件控制两个方面,建立对进入 系统的识别、处理和报告机制
– 金融机构应定期检测所有关键设备和系统软件的工 作状态,审查其工作日志
• 商业银行内部控制指引-银监会:2006
– 记录要清晰、易于识别和检索,以提供追溯证据。
• 《新资本协议》、SOX法案 • 国家标准:
– 我国颁布的安全等级保护技术要求信息系统中必须 建立并保存下面的各种访问日志:
目录
1.1 审计的必要(性、1)迫切安性全审计需求
• 银行计算机犯罪以每年30%速度增长,涉案金额越来
越大。具有如下特点:
– 犯罪主体以内部或内外勾结为主; – 作案目的以盗窃资金为主; – 发案原因多是由于缺乏内部风险控制机制为主。
• 介绍目前几个真实案例
真实案例
1.2 相关政策规范和标准
息导入导出,方便批量处理 。
• 灵活、细粒度的授权
提供基于用户、运维协议、目标主机、运维时间段、会话时长、运维客户端 IP等组合的授权功能,实现细粒度授权,满足用户实际应用的需要。
产品功能:账户托管、SSO
• 口令统一管理与自动登陆
运维人员通过HAC认证和授权后,HAC根据配置策略实现后台资 源的自动登录代理,提供托管和只托不管两种方式。 – 支持后台资源口令统一管理 – 支持运维用户到后台资源帐户分配 – 支持各种主机、安全设备、网络设备以及Windows系统 – 支持通过定制脚本添加托管各类Unix、Linux系统帐号 – 口令支持下载、邮件和直接密函打印