運維安全審計系統

張順喜

摘 要：依據國家信息安全等級保護基本技術要求，結合公司信息安全現狀和當前信息安全審計先進技術，建設運維權限集中管理與審計系統，規范和完善公司信息系統運維審計，落實信息系統運維人員實名制，加強對主機、網絡、數據庫等系統的運維操作審計，規范信息系統運維人員操作行為，提升對信息系統運維操作的監管能力，提高公司網絡與信息安全管理與運維水平。

關鍵詞：信息安全；運維管理；文件備份

依據國家信息安全等級保護基本技術要求，結合公司信息安全現狀和當前信息安全審計先進技術，建設運維權限集中管理與審計系統，規范和完善公司信息系統運維審計，落實信息系統運維人員實名制，加強對主機、網絡、數據庫等系統的運維操作審計，規范信息系統運維人員操作行為，提升對信息系統運維操作的監管能力，提高公司網絡與信息安全管理與運維水平。

⑴實現維護接入的集中化管理。對運行維護進行統一管理，包括設備賬號管理、運維人員身份管理。⑵實現運維人員統一權限管理，解決操作者合法訪問操作資源的問題，避免可能存在的越權訪問，建立有效的訪問控制。⑶實現運維日志記錄，記錄運維操作的日志信息，包括對被管理資源的詳細操作行為。⑷實現運維操作審計，對運維人員的操作進行全程監控和記錄，實現運維操作的安全審計滿足信息安全審計要求。

1 主要技術創新點

⑴網絡安全性：運維權限集中管理與審計系統的部署對整個網絡結構影響應盡可能小。系統對現有網絡不應有特殊要求。對系統故障有完善的保護機制，系統故障后不會影響業務系統正常運營，并能夠快速恢復達到保障運維正常進行的要求。⑵信息安全性：運維權限集中管理與審計系統提供完善的用戶管理、賬號管理、行為審計等多種安全手段的同時，確保系統本身的信息收集、處理和保存過程的安全，系統提供保存信息的加密存儲確保敏感信息不能泄露或被竊取，系統提供嚴格的自審計系統，保證對設備操作的完整記錄。⑶準確性：運維權限集中管理與審計系統應保證數據處理的準確性和一致性。⑷開放性：運維權限集中管理與審計系統采用符合河南有線現有的、規范的、開放的接口協議，以保證系統對各種外部系統的互連能力。⑸擴展性：運維權限集中管理與審計系統具備平滑擴容的能力，擴容時應不改變組網結構，不降低系統性能，能滿足河南有線業務發展的需求。⑹易用性：運維權限集中管理與審計系統具有良好的人機操作界面、更好的提示信息，方便系統管理人員使用。⑺技術領先以及后續支持能力保證原則：能夠提供開放和完整的API接口供二次開發使用，并在業內同類型產品中處于領先地位并有持續的研發技術團隊，能夠滿足河南有線的特色化需求。

2 系統主要功能

⑴身份認證與授權：身份認證采取設置不同賬號，來區分自然人的身份，從而將誰使用共享賬號的情況準確定位到自然人身上；授權，能夠將維護不同設備的管理員嚴格劃分，使管理員只能看到自己維護的設備資源。系統提供基于用戶、運維協議、目標主機、運維時間段、會話時長、運維客戶端IP等組合的授權功能，實現細粒度授權功能，滿足用戶實際授權的需求。

⑵用戶管理：可以根據具體的維護人員添加唯一與其身份對應的用戶，實現維護人員身份的唯一性管理。可以劃分多種用戶角色，以實現賬號權限的三權分立（使用權、管理權、監督權）；提供臨時用戶賬號功能，臨時帳號可定期自動回收；提供賬號有效期管理，設置用戶賬號的有效時間，時間精確到天。

⑶訪問控制：可實現基于用戶、目標設備、系統帳號、登陸規則、訪問協議類型，設定比較詳細的訪問控制列表，可以對用戶訪問權限進行查看、變更、刪除等操作；針對每條訪問控制，可以設置一條或者多條基于時間段、地址范圍的登錄規則，以方便對用戶接入的限制管理。針對采用http/https協議的訪問，可以做到基于URL訪問控制；

⑷密碼管理：以靜態口令登錄的服務器，可以用運維權限集中管理與審計系統統一管理，這樣可以控制將設備口令透露給第三方人員。通過對目標設備密碼的托管，實現對后臺設備的自動登錄；可以實現對后臺windows、unix、linux設備系統密碼的定期自動修改。

⑸設備訪問：可以通過運維操作管理系統的WEB頁面直接登錄到后臺各類設備，不再依賴任何客戶端程序；字符類型操作設備，也可以同時支持常用客戶端軟件登陸；字符設備訪問支持賬號間的自動切換登錄和不同設備間的自動切換登錄；windows的遠程登錄要支持磁盤映射功能。

⑹實時監控：可以通過網絡連接查看當前正在運維人員對設備的實時操作情況。

監控正在運維的會話，信息包括運維用戶、運維客戶端地址、資源地址、協議、開始時間等；

監控后臺資源被訪問情況；提供在線運維操作的實時監控功能。針對命令交互性協議可以圖像方式實時監控正在運維的各種操作，其信息與運維客戶端所見完全一致。

⑺文件傳輸：對于Windows設備，還可以支持磁盤映射功能，將本地磁盤映射到目標服務器上去，以方便文件的傳輸操作。用戶可以通過運維操作管理系統，進行文件的FTP/SFTP/SCP方式的傳輸操作；

⑻報表功能：運維權限集中管理與審計系統提供多種報表展示的同時還能夠提供客戶自定義報表生成；審計員可導出報表后發郵件給相關負責人，可以將用戶信息、設備信息、系統用戶和權限列表生成表格，并以excel格式導出備份。

[參考文獻]

[1]徐茂智.信息安全概論.人民郵電出版社.北京： 2007.8.

[2]楚狂，等，編著.《網絡安全與防火墻技術》.北京：人民郵電出版社，2000.4.

[3]韓海東，王超，李群.《入侵檢測系統實例剖析》.北京：清華大學出版社，2002.5.