關(guān)于運(yùn)維操作系統(tǒng)審查與設(shè)計管理的分析

徐鐵軍，李宏波

（青海省電力公司信息通信公司，西寧，810008)

1 運(yùn)維審查系統(tǒng)含義

1.1 運(yùn)維審查系統(tǒng)的定義

運(yùn)維審查系統(tǒng)，即運(yùn)維審計系統(tǒng)，是以實現(xiàn)企業(yè)對運(yùn)維人員操作過程具備事前防范、事中管控、事后審計能力為目標(biāo)，通過全面審計和監(jiān)控企業(yè)內(nèi)部人員的操作行為的方式，以彌補(bǔ)傳統(tǒng)審計系統(tǒng)中的不足，是最有效的企業(yè)IT內(nèi)控管理平臺。

1.2 運(yùn)維審計系統(tǒng)的功能

（1）統(tǒng)一用戶身份認(rèn)證。維護(hù)人員利用SSO功能只需一次登錄運(yùn)維審計系統(tǒng)，即可訪問所有被授權(quán)的服務(wù)器系統(tǒng)。

（2）訪問權(quán)限控制。運(yùn)維審計系統(tǒng)可以根據(jù)人員、時間、系統(tǒng)賬戶、操作指令等內(nèi)容設(shè)定訪問權(quán)限對運(yùn)維人員進(jìn)行細(xì)粒度的權(quán)限控制管理。

（3）服務(wù)器密碼管理。管理員可以通過設(shè)定改密周期、密碼強(qiáng)度策略等在對服務(wù)器密碼進(jìn)行周期性自動修改的同時保證密碼復(fù)雜程度與密碼文件的安全保管。

（4）會話同步監(jiān)控

運(yùn)維人員通過運(yùn)維審計系統(tǒng)對在所有遠(yuǎn)程訪問目標(biāo)服務(wù)器上做的vi、smit以及圖形化的RDP、VNC、X11等操作均可實現(xiàn)同步過程監(jiān)視和管控。

（5）異常行為告警

運(yùn)維審計系統(tǒng)內(nèi)置的安全事件規(guī)則庫具備根據(jù)企業(yè)內(nèi)部管理需求，靈活擴(kuò)充規(guī)則功能，對用戶的操作過程進(jìn)行實時檢測，對發(fā)現(xiàn)的違規(guī)操作行為，可以通過短信、郵件等方式向?qū)徲嬋藛T及時發(fā)送告警信息或自動中止操作會話。

（6）操作行為記錄

對所有經(jīng)過審計系統(tǒng)的操作行為，運(yùn)維審計系統(tǒng)完整并長久保留包括操作時間、IP地址、用戶賬號、服務(wù)器賬號、操作指令、操作結(jié)果等信息的所有操作記錄，為日后安全審計提供客觀依據(jù)。

（7）會話過程重放

為實現(xiàn)對操作行為的完全審計，內(nèi)控堡壘審計系統(tǒng)利用倍速低速播放、拖動、暫停、停止、重新或定位播放等功能，通過采用WEB在線回放方式，重現(xiàn)維護(hù)人員的所有操作過程。

（8）歷史記錄查詢

審計人員可以根據(jù)時間、IP地址、用戶名、操作指令等友好的查詢界面對以前發(fā)生過的歷史事件多條件組合查詢，直接導(dǎo)出為excel文件，并快速定位目標(biāo)記錄。

（9）綜合審計報表

運(yùn)維審計系統(tǒng)內(nèi)置大量的安全審計報表模板，以天、星期、月為周期通過郵件自動送達(dá)或手工生成并按所需自定義方式擴(kuò)充報表內(nèi)容。

2 運(yùn)維審計系統(tǒng)系統(tǒng)發(fā)展存在的問題

2.1 現(xiàn)狀分析

國內(nèi)外發(fā)展現(xiàn)狀

60年代初，歐美國家提出了安全審計概念，即開始發(fā)展IT運(yùn)維管理技術(shù)，目前信息系統(tǒng)審計在金融、電信等領(lǐng)域已被普遍應(yīng)用，運(yùn)維審計技術(shù)也獲得了長足發(fā)展。在美國，作為上市公司必須遵循的薩班斯(SOX)法案即要求對企業(yè)內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)業(yè)務(wù)系統(tǒng)操作、數(shù)據(jù)庫訪問等業(yè)務(wù)行為進(jìn)行評估，如今超過60%均已經(jīng)部署了信息安全管理、安全事件、法規(guī)遵從、網(wǎng)絡(luò)行為審計、身份識別及網(wǎng)絡(luò)管理之類的安全審計分析平臺。

2008年，中國移動完成全國的運(yùn)維審計部署。2010年，中國建設(shè)銀行、中國國稅、中國人壽等經(jīng)濟(jì)金融單位相繼完成了全國的運(yùn)維審計部署。

優(yōu)點：國內(nèi)運(yùn)維審計技術(shù)對各項運(yùn)維管理任務(wù)實現(xiàn)了集中管理、身份管理、訪問控制、權(quán)限控制等，并具備了字符操作、文件操作、圖形操作等運(yùn)維協(xié)議的審計功能，發(fā)展快，成熟度高。

缺點：日漸龐大復(fù)雜的信息系統(tǒng)對運(yùn)維審計的要求越來越高，目前，國內(nèi)運(yùn)維審計產(chǎn)品部署方式相對單一的產(chǎn)品部署方式、較為粗糙報表統(tǒng)計，對大規(guī)模網(wǎng)絡(luò)環(huán)境運(yùn)維審計支持，日益捉襟見肘。

2.2 主要問題

（1）運(yùn)維操作行為審批程序不完善，不能對違規(guī)行為及時發(fā)現(xiàn)并警告

（2）無法針對違規(guī)操作及時阻斷和迅速定位責(zé)任人及地點

（3）無法對出現(xiàn)的運(yùn)維安全事件提供詳盡的審查依據(jù)。

（4）各省、地市的各類主機(jī)服務(wù)器管理范圍、方式和方法不明確，造成管理紊亂和職責(zé)不明。

因此，公司信息安全統(tǒng)一管控，迫切需要信息安全審計系統(tǒng)。

3 構(gòu)建運(yùn)維審計系統(tǒng)的方案

3.1 構(gòu)建目標(biāo)

按照規(guī)則、時間等維度，對收集的審計數(shù)據(jù)進(jìn)行分類，實現(xiàn)對全網(wǎng)范圍內(nèi)的運(yùn)維安全審計事件提供查詢、追溯、回放等的功能。

3.2 構(gòu)建原則

（1）以經(jīng)過驗證的、技術(shù)成熟的SoTower平臺作為基礎(chǔ)

（2）根據(jù)系統(tǒng)的特點，靈活設(shè)計

（3）通過簡便的一體化軟硬件設(shè)計編寫的代碼，易于維護(hù)。

（4）建立和完善維護(hù)的相關(guān)管理辦法，是最大化發(fā)揮系統(tǒng)效能的有效手段。

3.3 構(gòu)建方案

（1）設(shè)計原理

A.運(yùn)維審計技術(shù)原理

B.運(yùn)維審計實現(xiàn)原理

運(yùn)維審計系統(tǒng)審計分為字符終端的操作類型（如:Telnet，SSH）、圖形終端的測試類型（如：RDP，X11）、文件傳輸類型（如：FTP）三個類型，主要有SSH、Telnet、RDP、VNC、X11、FTP、SFTP等代理協(xié)議。

(2)總體架構(gòu)設(shè)計

以實現(xiàn)全網(wǎng)統(tǒng)一實施部署和監(jiān)控分析為目標(biāo)，從網(wǎng)省運(yùn)維現(xiàn)狀出發(fā)，對運(yùn)維審計系統(tǒng)進(jìn)行總體架構(gòu)設(shè)計。描述如下。

運(yùn)維審計系統(tǒng)實現(xiàn)系統(tǒng)管理員、運(yùn)維人員等相關(guān)人員通過系統(tǒng)自身提供的遠(yuǎn)程訪問協(xié)議登陸到各種服務(wù)器、網(wǎng)絡(luò)設(shè)備上等進(jìn)行遠(yuǎn)程操作進(jìn)行實時記錄、監(jiān)控、阻斷、審計、回放、統(tǒng)計分析等功能。

（3）系統(tǒng)架構(gòu)設(shè)計

審計平臺給運(yùn)維人員提供檢索、操作、分析的各種手段，是國網(wǎng)總部與網(wǎng)省管理人員分析管理的操作平臺。

運(yùn)維審計子系統(tǒng)既直接面對運(yùn)維對象，又是運(yùn)維人員將日常運(yùn)維操作審計數(shù)據(jù)上報審計平臺的登錄平臺，對日常運(yùn)維操作進(jìn)行審計管理。

數(shù)據(jù)采集與審計子系統(tǒng)之間通過各種數(shù)據(jù)接口交互數(shù)據(jù)。

（4）部署架構(gòu)

A.運(yùn)維審計系統(tǒng)部署架構(gòu)

由于信息安全審計信息數(shù)量巨大，運(yùn)維審計系統(tǒng)分為總部平臺和網(wǎng)省運(yùn)維審計子系統(tǒng)兩級部署，將數(shù)據(jù)處理和存儲在網(wǎng)省層面予以解決 。

設(shè)計具有靈活性，一般總部平臺注重對總體的判斷和對宏觀趨勢的把握，網(wǎng)省注重微觀事件風(fēng)險處置。

B.運(yùn)維審計子系統(tǒng)部署架構(gòu)

1）部署方式：將運(yùn)維審計系統(tǒng)作為唯一入口，在防火墻上設(shè)置訪問控制策略，把物理旁路，邏輯網(wǎng)關(guān)，系統(tǒng)旁路部署在防火墻之后的交換機(jī)上。

2）部署條件：運(yùn)維審計子系統(tǒng)和被管理設(shè)備間的IP地址可達(dá)。

3）登錄過程：用戶通過運(yùn)維審計子系統(tǒng)這個唯一入口登錄，然后根據(jù)授權(quán)關(guān)系表所表明的可以訪問的目標(biāo)設(shè)備和相應(yīng)系統(tǒng)，運(yùn)維審計子系統(tǒng)會提示用戶選擇登錄目標(biāo)設(shè)備上的賬戶，并實現(xiàn)單點登錄。

（5）關(guān)鍵點

A.實時監(jiān)控技術(shù)

B.身份認(rèn)證技術(shù)

包括單點登錄技術(shù)、用戶賬號管理、RADIUS集中認(rèn)證

C.訪問控制技術(shù)

最小化人為操作風(fēng)險控制技術(shù)、類防火墻權(quán)限控制技術(shù)

（6）難點

A.運(yùn)維審計指令協(xié)議的截取模式

如何依據(jù)運(yùn)維審計指令協(xié)議的截取模式的實現(xiàn)是完成運(yùn)維審計操作的一個重要關(guān)鍵點。

建議：a.對Linux內(nèi)核級模塊Pam的載入模塊的指令跳轉(zhuǎn)模式進(jìn)行研究。

b.以RDP協(xié)議為重點的同時，利用RDP兼容其它圖形終端的訪問協(xié)議對目前最常用的圖形終端遠(yuǎn)程訪問協(xié)議進(jìn)行研究。

c.為進(jìn)一步做好FTP協(xié)議指令截取的原型程序的開發(fā)工作，研究FTP網(wǎng)絡(luò)協(xié)議的指令傳輸。

B.數(shù)據(jù)分布式存儲和集中式管理

滿足二級分支和總部兩各層面對審計數(shù)據(jù)的管理要求是對整個系統(tǒng)架構(gòu)設(shè)計的內(nèi)在要求。

建議：為使整體運(yùn)維審計系統(tǒng)既能滿足各子系統(tǒng)自身的審計需要，又能夠及時準(zhǔn)確的統(tǒng)計出各子系統(tǒng)的運(yùn)維數(shù)據(jù)，深入分析分布式系統(tǒng)的技術(shù)實現(xiàn)方式是必不可少的，關(guān)鍵是利用分布式緩存機(jī)制實現(xiàn)數(shù)據(jù)采集存儲與傳遞，并及時準(zhǔn)確傳遞到審計平臺予以展現(xiàn)告警等。

4 研究運(yùn)維審計系統(tǒng)的意義

運(yùn)維審計系統(tǒng)的建立和完善對有效提高企業(yè)審計工作的信息化水平以及社會和經(jīng)濟(jì)效益方面都將產(chǎn)生積極的影響。主要體現(xiàn)在如下方面：

（1）效能方面：在統(tǒng)一標(biāo)準(zhǔn)化的工作平臺、強(qiáng)化分散數(shù)據(jù)的集中管控和全過程運(yùn)維監(jiān)管方面意義重大。

（2）效益方面：差旅費和人力投入隨著全網(wǎng)整體審計水平的提升以及先進(jìn)技術(shù)對計算機(jī)網(wǎng)絡(luò)遠(yuǎn)程監(jiān)控的實現(xiàn)而減少。

（3）效率方面： 通過部署運(yùn)維審計系統(tǒng)，運(yùn)維子系統(tǒng)與總部運(yùn)維審計平臺因為運(yùn)維審計系統(tǒng)通過統(tǒng)一管理設(shè)置不同權(quán)限的角色而形成一個統(tǒng)一高效系統(tǒng)，實現(xiàn)各個級別的運(yùn)維安全審計。在調(diào)查運(yùn)維操作安全事件，準(zhǔn)確定位并及時落實相關(guān)責(zé)任人方面作用明顯，企業(yè)運(yùn)維操作安全管理的工作效率也將極大提高。

5 結(jié)語

企業(yè)通過運(yùn)維審計系統(tǒng)，使運(yùn)維人員在操作過程中的所有行為，被全面跟蹤、控制、記錄、回放；運(yùn)維人員因為細(xì)粒度訪問權(quán)限的設(shè)置，違規(guī)和越權(quán)操作行為被實時阻斷而無法訪問，并且個人操作全程的記錄和報告也將通過運(yùn)維審計系統(tǒng)被上報；系統(tǒng)大量使用動態(tài)生成的口令等加密方式與支持圖形協(xié)議進(jìn)行審計，消除了傳統(tǒng)行為審計的盲點通過大量運(yùn)用加密與圖形協(xié)議等方式，作為最有力的平臺，有力支撐了對IT系統(tǒng)內(nèi)部控制管理。

[1] 林秀 IT安全管理與綜合審計系統(tǒng)應(yīng)用探討[J];電信技術(shù);2011年06期。

[2] 袁萌;一種提高企業(yè)內(nèi)部文檔輸出安全性的途徑——文檔輸出監(jiān)控與審計系統(tǒng)綜述[J];信息安全與通信保密;2011年07期。

[3] 王純;探析防火墻技術(shù)[J];無線互聯(lián)科技;2011年06期。[4] 宋穎;防火墻技術(shù)與網(wǎng)絡(luò)安全[J];中國新技術(shù)新產(chǎn)品;2011年18期。