IT运维安全审计解决方案

 IT运维安全审计系统”目标是为组织IT系统核心服务器的运维操作提供强有力的监控、审计手段，使其切实满足内控管理中的合规性要求。

 运维安全审计系统可对数据库、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计，对策略配置、系统维护、内部访问等进行详细的记录，提供细粒度的审计，并支持操作过程的全程回放。运维安全审计系统弥补了传统审计系统的不足，将运维审计由事件审计提升为内容审计，并将身份认证、授权、审计有机地结合，保证只有合法用户才能使用其拥有运维权限的关键资源。运维安全审计系统为组织在IT操作风险控制、内控安全和合规性等方面提供一套完善、有效的审计手段。

 应用环境

 运维安全审计系统支持Telnet、FTP、SFTP、SSH、Windows Terminal等多种通信协议，支持oracle、mysql,mssql、sybase等多种主流数据库以及IBM AIX、Digital UNIX、HP UNIX、SUN Solaris、SCO UNIX、LINUX、WINDOWS等多种操作系统。

系统部署和选型说明：

 运维审计系统支持单臂模式、串接模式两种部署方式，建议运维安全审计系统运维审计系统采用单臂模式(堡垒机方式)接入网络，系统部署后不会对现有的业务系统、网络中的数据流向、带宽等产生负面影响，不需要调整任何网络架构，也不需要在设备、主机等被管设备上安装任何代理程序。

 部署拓扑图如下：

系统部署拓扑图

运维安全审计系统运维审计系统部署说明

 在计算机中心(运维用户)区域交换机上采用单臂模式接入运维安全审计系统运维审计设备，设备配置服务器区域网段合法IP，保证该IP能够访问所有被管理的服务器、网络设备和数据库等资源

 在运维安全审计系统上配置所有被管理设备的开放资源，包括IP、开放何种运维协议或工具(如Telent、SSH、RDP、Xwindow、以各种协议或客户编程序等)在堡垒机上配置所有运维用户的帐号，保证每个运维人员都能有一个独立的运维帐号与口令。

 1. 在运维安全审计系统上建立使用授权，通过配置实现不同类型运维人员只能够访问其相关的设备资源，同时配置授权规则，限制运维人员访问设备的IP、运维开始时间、运维时长等。

 2. 在运维安全审计系统上建立运维资源、运维人员与设备帐号的授权与关联，实现不同运维人员对不同设备的管理权限，同时能够保证对运维人员屏蔽设备口令，提升口令安全强度,做到运维用户的单点登录

 3.在运维安全审计系统上配置命令行阻断策略，降低管理员误操作的风险。

 4.在计算机中心交换机区域前端防火墙配置访问控制策略，只允许来自其它区域的访问(Telent、SSH、RDP、Xwindow以及各种协议或客户端程序)只能够访问到运维安全审计系统的地址，确保运维人员只能通过运维审计系统访问各种设备。

 5.对于外来厂商人员或其他人员要运维服务器或者网络设备，运维管理员只需给相关人员访问堡垒机的权限即可

 6. 双机热备模式下主设备宕机后，不需要管理员通知运维人员，即可通过备机进行运维，保障运维审计会话100%不丢失.

 产品优势

 操作部署灵活简单

 ? IT运维安全审计系统采用旁路/网桥模式进行部署，无需改变用户网络结构

 ? 支持管理员和操作员都使用WEB方式操作，操作简单

 ? 设备宕机不影响整个网络的正常运行

 ? 不需要在被管理设备上安装代理程序

全面的运维审计

 ? 系统采用协议分析、基于数据包还原虚拟化技术，实现操作界面模拟，将所有的操作转换为图形化界面予以展现，实现100%审计信息不丢失

 ? 支持各种主流操作协议包括字符型操作、图形化操作、文件传输、数据库访问操作等, 支持对象全面覆盖主流的服务器系统、网络设备、安全设备、数据库系统

 ? 系统支持的审计协议以及工具包括：

 终端命令操作：Telnet、SSH

 Windows图形：RDP、VNC、pcAnywhere、DameWare等

 Unix/Linux图形：Xwindows

 AS400主机图形：AS400

 文件上传和下载：FTP、SFTP

 基于BS的管理操作：HTTP、HTTPS

 数据库管理工具：PLSQL等所有工具

严格的操作审计

 操作审计管理主要审计人员的帐号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。IT运维安全审计产品通过系统自身的用户认证系统、用户授权系统，以及访问控制等详细记录整个会话过程中用户的全部行为日志。

操作回放和下载技术

 运维安全审计系统支持在线回放和下载到本地回放的技术，将用户在维护系统中的操作行为以真实的环境模拟显现出来，审计管理员可以根据操作还原技术还原出真实的操作，以判定判定用户的行为是否对企业内部网络安全性造成危害或者产生泄密的行为。

先进的应用发布系统

 现今用户的运维操作手段多种多样，有通过常规的Telnet、FTP、RDP等方式进行维护，而且还有通过TeamViewer、pcANYwhere等特色工具进行维护，针对这些非常规协议、这些协议都不是公开的协议、如果用传统的协议代理方式维护，是不可能的，针对这种情况，科技的IT运维安全审计产品结合应用发布系统可以实现用户的独特运维需求，针对客户经常用到的数据库工具、pcANYwhere以及TeamViewer等工具的运维操作进行监控和审计。

方案特点:

  通过引入运维安全审计系统运维安全审计系统，审计信息、管理策略独立于现有系统，为运维管理提供一个统一、独立的运维安全审计解决方案;

产品集认证、授权、管理和审计为一体，有效地保证了只有合法用户在拥有合适的权限下才能访问保护设施，提高了系统的整体安全;

 从技术上解决了目前常见的非授权访问、恶意破坏而无法监控、审计的问题，并为各项管理制度的落实提供技术保障;

 从管理角度，引入事中控制功能，尤其口令统一管理功能，能有效提高用户的安全管理效率，并能有效解决口令外泄的问题;

 从审计角度，较好地解决了“谁、何时、何手段、对谁、做何操作”的问题，同时能保证运维信息100%不丢失信息，符合基于内容的审计的要求;

 系统部署简单，对现有网络、系统不产生任何影响，运维客户端、保护设施上不安装任何软件;

 系统管理清晰、操作简便;

 采用硬件方式，能有效保证系统的性能和兼容性，并针对故障能快速替换。