[【财务管理内部审计】网御网络审计系统运维安全管控型方案模板]

发布时间: 2022-01-07 11:30:55

PAGE 1

{财务管理内部审计}网御

网络审计系统运维安全管

控型方案模板

文档修订记录

版本号

日期

修订者

李彬

修订说明

创建

V3.0.0.x

2014-08-13

项目概述 HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK HYPERLINK \l "br33"37

6 项目咨询方案 HYPERLINK \l "br36"40

6.1.1 现场安装需求调研 HYPERLINK \l "br36"40

6.1.2 制定详细的实施技术方案 HYPERLINK \l "br37"41

项目概述

随着 XXXX 企业信息化应用的迅速发展,企业内部的各种业务和经营支

撑系统不断增加,网络规模也迅速扩大。由于信息系统运维人员和业务系统

的管理人员掌握着系统资源管理的最高权限,一旦操作出现安全问题将会给

企业带来巨大的损失,加强对运维管理人员操作行为的监管与审计成为信息

安全发展的必然趋势。

在此背景之下,XXXX 企业计划针对运维操作和业务管理与审计进行堡

垒机项目建设。堡垒机提供了一套多维度的运维操作管控与审计解决方案,

使得管理人员可以对网络设备、服务器、安全设备、数据库等资源进行集中

账号管理、细粒度的权限管理和访问审计,帮助企业提升内部风险控制水平。

1 安全现状分析

1.1 内部人员操作的安全隐患

随着 XXXX 企业信息化进程不断深入,企业的业务系统变得日益复杂,由内

部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测

系统等常规的安全产品可以解决一部分安全问题,但对于内部人员的违规操作却

无能为力。根据 FBI 和 CSI 对 484 家公司进行的网络安全专项调查结果显示：超

过 70%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了

6056.5 万美元的损失,是黑客造成损失的 16 倍,是病毒造成损失的 12 倍。另

据中国国家信息安全测评中心调查,信息安全的现实威胁也主要为内部信息泄露

和内部人员犯罪,而非病毒和外来黑客引起

1.2 第三方维护人员安全隐患

XXXX 企业在发展的过程中,因为战略定位和人力等诸多原因,越来越多的

会将非核心业务外包给设备商或者其他专业代维公司。如何有效地监控设备厂商

和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。严格的规

章制度只能约束一部分人的行为,只有通过严格的权限控制和操作审计才能确保

安全管理制度的有效执行。

1.3 高权限账号滥用风险

因为种种历史遗留问题,并不是所有的信息系统都有严格的身份认证和权限

划分,权限划分混乱,高权限账号（比如 root 账号）共用等问题一直困扰着网络

管理人员,高权限账号往往掌握着数据库和业务系统的命脉,任何一个操作都可

能导致数据的修改和泄露,最高权限的滥用,让运维安全变得更加脆弱,也让责

任划分和威胁追踪变得更加困难。

1.4 系统共享账号安全隐患

无论是内部运维人员还是第三方代维人员,基于传统的维护方式,都是直接

采用系统账号完成系统级别的认证即可进行维护操作。随着系统的不断庞大,运

维人员与系统账号之间的交叉关系越来越复杂,一个账号多个人同时使用,是多

对一的关系,账号不具有唯一性,系统账号的密码策略很难执行,密码修改要通

知所有知道这个账号的人,如果有人离职或部门调动,密码需要立即修改,如果

密码泄露无法追查,如果有误操作或者恶意操作,无法追查到责任人。

1.5 违规行为无法控制的风险

网络管理员总是试图定义各种操作条例,来规范内部员工的网络访问行为,

但是除了在造成恶性后果后追查责任人,没有更好的方式来限制员工的合规操作。

而事后追查,只能是亡羊补牢,损失已经造成。

2 运维安全管控系统方案设计

2.1 建设原则

随着信息技术的发展,XXXX 已经建立了比较完善的信息系统,具有网络规

模大、用户数多、系统全而复杂等特点。IT 建设的核心任务是运用现代信息技术

为企业整体发展战略的实现提供支撑平台并起到推动作用。信息安全作为 IT 建设

的组成部分,核心任务是综合运用技术、管理等手段,保障企业 IT 系统的信息安

全,保证业务的连续性。信息安全是 XXXX 正常业务运营与发展的基础；是保证

网络品质的基础；是保障客户利益的基础。

根据集团的相关规范的指导意见,我们根据对 XXXX 信息系统具体需求的分

析,结合等级保护安全评估的要求,在对 XXXX 系统进行安全建设时,我们所遵

循的根本原则是：

1、业务保障原则：安全建设的根本目标是能够更好的保障网络上承载的业

务。在保证安全的同时,还要保障业务的正常运行和运行效率。

2、结构简化原则：安全建设的直接目的和效果是要将整个网络变得更加安

全,简单的网络结构便于整个安全防护体系的管理、执行和维护。

3、生命周期原则：安全建设不仅仅要考虑静态设计,还要考虑不断的变化；

系统应具备适度的灵活性和扩展性。

2.2 总体目标

本次在 XXXX 业务系统建立运维安全管理系统,实现全局的策略管理、统一

访问 Portal 页面、集中身份认证、统一授权及认证请求转发等效用,对 XXXX 业

务系统的系统资源账号、维护操作实施集中管理、访问认证、集中授权和操作审

计。

通过本次安全运维管控系统的建设,最终达到以下目标：

1. 通过运维安全管控系统的建设为 XXXX 的系统资源运维人员提供统一的

入口,支持统一身份认证手段。在完成统一认证后,根据账号所具有访问权限发

布、管理、登录各个主机、网络设备、数据库。

2. 系统应根据“网络实名制”原则记录用户从登录系统直至退出的全程访问、

操作日志,并以方便、友好的界面方式提供对这些记录的操作审计效用。

3. 系统应具备灵活的管理和扩展能力,系统扩容时不会对系统结构产生较

大影响。

4. 系统应具备灵活的授权管理效用,可实现一对一、一对多、多对多的用

户授权。

2.3 建设思路

为实现 XXXX 公司构建针对人员帐户管理层面全面完善的安全运维管控系

统需要,在本项目的实施过程中,网域星云将根据“以用户身份集中管理的思路为

核心,建立全局唯一的权威身份信息源,可在一点集中管理用户身份和权限,从

而降低管理成本”的思路,在统一用户身份的基础上,实现各个系统资源的单点登

录、统一认证、统一授权、审计等信息的集中统一管理,并提供与用户现有的数

字证书系统进行系统集成的解决方案,规划合理、高效的用户身份管理流程。

本项目建成后,对于用户来说,将实现只需进行一次登录,就可以维护不同

的主机、网络设备、数据库等,并能方便的来回切换访问；对于管理员来说,将

实现对用户信息、设备信息、访问控制信息等统一定义和描述,能确保信息的一

致性；只需在运维安全管控系统进行统一配置管理和维护,降低工作量和复杂度。

3 运维管控系统解决方案

3.1 系统总体设计

3.1.1 系统概述

网御网络审计系统-运维安全管控型（以下简称网御 LA-OS）,是网域星云综

合内控系列产品之一。

网御 LA-OS 是针对业务环境下的用户运维操作进行控制和审计的合规性管

控系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人账号

——资源——资源账号”对应关系,实现自然人对资源的统一授权,同时,对授权

人员的运维操作进行记录、分析、展现,以帮助内控工作事前规划预防、事中实

时监控、违规行为响应、事后合规报告、事故追踪回放,加强内部业务操作行为

监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的

正常运营。

3.1.2 系统组成

网御 LA-OS 由 WEB 模块、契约代理模块、行为审计模块和应用发布模块和

存储模块组成。

? WEB 模块

为用户提供 web 方式访问系统的界面。管理员用户在界面中进行运维用

户管理、设备及帐号管理、用户授权管理和运维审计管理等管理效用；运维

用户在界面中进行资源单点登录等操作。

? 契约代理模块

实现对主机、数据库、网络设备维护过程中的契约数据包代理转发、行

为还原及记录、高危/违规行为阻断等效用。

? 行为审计模块

实现对行为操作的审计效用,包括实时高危/违规行为的告警、实时监控、

历史数据检索及报表统计等效用。

? 应用发布模块（可选）

安装在 Windows 服务器上,用于发布非标准契约或应用客户端,如 IE、

plsql、sqlplus、pcanywhere 等。可实现对应用客户端工具的自动调出、密

码代填和操作审计效用。

3.1.3 技术架构

. 契约代理模块

. 应用发布模块

3.2 系统主要效用

3.2.1 用户认证与 SSO

在信息系统的运维操作过程中,经常会出现多名维护人员共用设备（系统）

账号进行远程访问的情况,从而导致出现安全事件无法清晰地定位责任人。网御

LA-OS 为每一个运维人员创建唯一的运维账号（主账号）,运维账号是获取目标

设备访问权利的唯一账号,进行运维操作时,所有设备账号（从账号）均与主账

号进行关联,确保所有运维行为审计记录的一致性,从而准确定位事故责任人,

弥补传统网络安全审计产品无法准确定位用户身份的缺陷,有效解决账号共用问

题。

网御 LA-OS 支持多种身份认证方式：

? 本地认证

? Radius 认证

? LDAP 认证

? AD 域认证等

网御 LA-OS 系统还支持 SSO 效用,运维人员一次登陆,即可访问所有目标

资源,无需二次输入用户名、口令信息。

网御 LA-OS 部署后,运维人员可以通过不同的方式对目标对象进行访问、维

护：

? WEB 控件方式访问,所有契约均可通过 WEB 控件方式从 WEB 直接发

起访问,访问过程支持 IE（7-11 版本）浏览器；

? 支持通过 WEB 直接调用本地客户端方式进行访问；

运维人员登录网御 LA-OS 系统时,系统会根据访问授权列表自动展示授权范

围的主机,避免用户访问未经授权主机。

3.2.2 自动改密

网御 LA-OS 支持主机系统账号的密码维护托管效用,系统支持自动定期修

改 Linux、Unix、Windows、AIX 以及 Oracle、SqlServer、PostgreSQL、MySql

的内置账号密码。

自动密码管理支持以下效用：

? 设定密码复杂度策略；

? 针对不同设备制定不同改密计划；

? 设定改密计划的自动改密周期；

? 支持随机不同密码、随机相同密码、手工指定密码等新密码设定策略；

? 改密结果自动发送至指定密码管理员邮箱；

? 设定指定的改密对象,支持 AD 域账号改密；

? 手工下载部分或全部密码列表；

? 自动改密结果确认效用,密码管理员必须人工确认已经下载或收到密码

文件；否则改密计划自动停止执行,确保改密过程可靠性；

? 改密结果高强度加密保护效用。

3.2.3 访问授权管理

网御 LA-OS 系统通过集中统一的访问控制和细粒度的命令级授权策略,确保

每个运维用户拥有的权限是完成任务所需的最合理权限。

? 基于向导式的配置过程；

? 支持基于用户角色的访问控制（RBAC,Role-BasedAccessControl）。管

理员可根据用户、用户组、访问主机、目标系统账号、访问方式设置细

粒度访问策略；

? 支持基于时间的访问控制；

? 支持基于访问者 IP 的访问控制；

? 基于指令（黑白名单）的访问控制；

除访问授权之外,网御 LA-OS 还支持针对访问契约进行深层控制,比如：

? 限制 SSH 契约使用 SFTP

? 限制 RDP 访问使用剪贴板效用

? 限制 RDP 访问使用磁盘映射效用

? 是否启用强制审批效用（访问和操作前必须经过管理员审批）

? 是否启用备注效用（访问前必须先填写维护内容）

3.2.4 二次审批

网御 LA-OS 支持根据需求对特殊访问与操作进行二次审批效用,该效用可以

进一步加强对第三方人员访问或关键设备访问操作的控制力度,确保所有访问操

作都在实时监控过程中进行。

二次审批效用支持以下两种方式：

? 对新建远程访问会话进行审批

? 对特殊指令执行进行审批

由于每次访问操作都需要管理员进行审批确认,该效用也可以代替部分客户

使用的双人密码管理方式。

3.2.5 告警与阻断

网御 LA-OS 系统支持根据已设定的访问控制策略,自动检测日常运维过程中

发生的越权访问、违规操作等安全事件,系统能够根据安全事件的类型、等级等

条件进行自动的告警或阻断处理。

? 阻断未经授权用户访问主机；

? 阻断从异常客户端、异常时间段发起的访问行为；

? 阻断指令黑名单的操作行为；

? 阻断方式支持：断开会话、忽略指令；

? 告警方式支持：以 SYSLOG、短信、邮件、SNMP 方式实时发送告警信

息。

3.2.6 实时操作过程监控

对于所有远程访问目标主机的会话连接,网御 LA-OS 均可实现操作过程同步

监视,运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面

中。

? 实时同步显示操作画面；

? 支持 vi、smit、setup 等字符菜单操作同步显示；

3.2.7 历史回放

网御 LA-OS 能够以视频回放方式,可根据操作记录定位回放或完整重现维护

人员对远程主机的整个操作过程,从而真正实现对操作内容的完全审计。

? 以 WEB 在线视频回放方式重现维护人员对服务器的所有操作过程,无须

在客户端安装播放客户端软件；

? 支持从特定操作指令开始进行定位回放；

? 支持倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作；

? 支持空闲时间过滤；

3.2.8 审计报表

网御 LA-OS 系统拥有强大的报表效用,内置能够满足不用客户审计需求的安

全审计报表模板,支持自动或手工方式生成运维审计报告,便于管理员全面分析

运维的合规性。

系统内置多种运行维护报表模板；

支持以、CSV 方式生成并导出报表；

支持管理员自定义审计报表；

支持以日报、周报、月报的方式自动生成周期性报表。

3.2.9 审计存储

网御 LA-OS 系统支持自动化审计数据存储管理,管理员可以对审计数据进行

手工备份、导出,也可以设定自动归档策略进行自动归档。

? 手工归档、到处审计数据；

? 存储空间不足时自动归档并删除最早数据；

? 支持通过自动上传归档文件；

? 周期性自动归档效用；

3.3 系统效用特点

3.3.1 运维契约支持广

网御 LA-OS 支持多种运维访问契约,能够充分满足日常运维需要。

? 字符契约：SSHv1v2、TELNET、RLOGIN、TN5250（AS400）

? 图形契约：RDP、VNC

? 文件传输契约：

? 数据库访问：Oracle、MSSQLServer、IBMDB2、Sybase、

IBMInformixDynamicServer、MySQL、PostgreSQL

通过应用发布进行契约扩展,支持 Radmin、Pcanywhere、HTTP/HTTPS,

支持定制开发其他访问契约及第三方客户端。

3.3.2 对用户网络影响最小

物理旁路、逻辑串联方式部署,不必更改现有的网络拓扑结构,同时不需要

在被管理设备上安装任何代理程序,对用户业务和网络结构影响最小。

3.3.3 多种部署方式,适应多变业务场景

网御 LA-OS 单臂、双臂、分布式多种部署方式,适应多变业务场景。

3.3.4 友好的用户交互体验

系统的用户界面具备友好的用户交互体验。系统采用多窗口操作模式,各个

效用界面之间可以快速切换,无需重复加载。

同时系统支持多种目标资源访问方式,包括页面 WEB 访问、页面调用本地

客户端访问、命令或图形菜单访问和客户端直连访问,系统使用界面友好,能够

最大程度适应不同用户的使用习惯。

3.4 系统部署

网御 LA-OS 采用物理旁路方式部署,不需改变现有网络结构,同时不需要

在被管理设备上安装任何代理程序,只需确保网御 LA-OS 和被管资源以及用户

终端维护区域网络可达即可。终端维护区域用户通过 http 或 https 方式登录系统

portal,经过用户身份认证后,通过资源列表单点登录至被管目标资源。

根据 XXXX 环境,部署方式可分为单臂和双臂部署方式以及分布式部署。

3.4.1 单台部署

图 3.4.1 单台部署

如图所示,网御 LA-OS 在部署时只需要为其分配一个独立 IP 地址即可,无

需对网络拓扑结构进行任何调整。一般而言,网御 LA-OS 部署在服务器所在网

段,同时网御 LA-OS 的 IP 地址通过网络设备发布到外部网络中供运维人员访问。

部署网御 LA-OS 后,内部服务器的维护端口只需开放给运维审计系统,无

需再让运维人员直接访问。对运维人员,只需开放网御 LA-OS 的访问端口,从

而进一步加强内部服务器的安全性。

3.4.2 双机部署

图 3.4.2 双机部署

如图所示,网御 LA-OS 支持 HA 双机热备部署,以避免单点故障隐患,最大

程度满足运维的可靠性和连续性。HA 双机热备部署由两个节点组成,分为主机

节点和备机节点,主备之间通过心跳线进行主备状态监测和数据实时同步,主机

节点一旦断开,备机节点会立刻启动,无需人工干预,从而实现业务的不间断运

行。

3.4.3 分布式部署

图 3.4.3 分布式部署

如图所示,网御 LA-OS 支持分布式部署,把网域网络审计系统切换至 Proxy

模式部署在各个运维通道点,网域网络审计系统部署在上层中心交换网络中。对

用户网络进行全面监控,形成区域运维通道,以避免因数据来源多样复杂而造成

的审计遗漏,同时各 Proxy 实时传输审计日志到中心审计服务器,最大程度满足

运维数据的完整性和可靠性。

4 项目实施计划

4.1 投入技术力量

4.1.1 项目人员组织结构

图 4.1.1 项目人员组织机构图

. 指导管理小组

由双方负责人组成,负责本次施工项目的指导、管理、高级协调。网域星云

安排项目经验丰富的项目经理及实施人员。如果小组成员确实需要更换,会和某

某用户的人员提前协调,同意后再进行更换。

. 施工小组成员

本次项目实施拟派实施人员包括

从业从业

拟担任职务

姓名

[【财务管理内部审计 】网御网络审计系统运维安全管控型方案模板]

[【财务管理内部审计】网御网络审计系统运维安全管控型方案模板]