审计基于堡垒主机概念的运维审计系统

基于堡垒主机概念的运维审计系统

目前各电力企业纷纷部署了防火墙、 IPS、网络防病毒系统、漏洞扫描系统等安全产品建立了较为完善的信息安全防护体系取得了一定效果但网络安全故障仍时有发生。令人惊奇的是造成这些分歧规、不正当的行为很多来源于内部正当的用户操作。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题但对于内部人员的违规操作而导致数据误删除、数据破坏、数据泄密等致使企业利益、公众利益和国家利益受损的行为却无能为力。

针对这一系统性风险公安部在《信息系统安全等级保护基本要求》中明确要求对于二级含以上的重要信息系统网络安全、主机安全、应用安全均要求具备安全审计功能。 国家电网公司也根据自身需要对下属企业IT内控提出了相应的要求。 因此对设备维护行为采取行之有效的控制和审计措施弥补这一信息化安全治理的盲区是当前电力企业信息安全建设确当务之急。

从堡垒主机到内控堡垒主机

堡垒主机是一种被强化的可以防御进攻的计算机作为进入内部网络的一个检查点 以达到把整个网络的安全问题集中在某个主机上解决从而省时省力不用考虑其他主机安全的目的。其

目标是通过综合采用虚拟化技术、协议代理技术和身份认证、访问控制与操作审计等多种信息安全技术实现员工和治理人员对内部网络特定资源的安全访问 同时对访问和操作的过程进行完备的审计记录。

目前各级电力企业均已部署了一系列安全设备但传统的防护手段中 防火墙只能进行网络层访问控制无法对系统层访问进行控制更谈不上操作内容治理而IDS、 IPS侧重于系统层、网络层攻击事件的检测缺乏对操作的控制能力传统安全审计类产品无法实现对加密协议SSH、 图形访问协议的识别和治理。

信息系统的运行由一系列的人员行为和系统行为组成信息系统安全审计就是采集、监控、分析信息系统各组成部分的系统行为日志和操作行为的过程。 既然传统的安全设备都无法解决运维行为审计的问题能否另辟门路在维护人员内部的、外部的和信息系统网络、主机、数据库等之间搭建一个唯一的入口和统一的交互的界面答案是肯定的。依托堡垒主机的理念可以构造一种专门应用于信息系统运维行为控制和审计的堡垒主机。它作为一座桥梁不但能够规范和控制所有维护人员的行为而且具备强大的输入输出审计功能能够具体记录用户操作的指令和操作过程这就是内控堡垒主机也可以称之为运维审计系统。

系统设计

1系统架构

在电力企业IT运维过程中维护人员既有内部人员也有来自外部

的系统集成商、服务外包商、应用开发商、设备原厂商人员。维护对象主要包括主机、 网络设备、安全设备、数据库以及各类应用软件。维护人员主要通过Telnet、 SSH、 VNC、 RDP等方式对维护对象进行维护操作运维审计系统的功能重点是将这些治理员维护的过程进行记录并提供客观的审计依据便于企业对治理员行为进行高效审计如下图所示。

系统应采用旁路部署方式对网络原始结构不造成影响用户只需为运维审计系统分配一个能够接入用户网络的IP地址即可所有由客户端发起的服务器维护协议均通过运维审计系统进行转发如SSH、 Telnet、 RDP等协议而正常的服务器对外业务则不通过运维审计系统 因此运维审计系统不会影响服务器的正常对外业务。运维审计系统采用B/S治理架构治理员可以在远程通过浏览器进行治理。

2系统自身安全性

内控堡垒主机是信息基础设施服务器、 网络设备等维护的统一入口是最容易遭受攻击的主机其配置与通常的主机相比明显不同所有不必要的服务、协议、程序和网络接口都将被禁用或删除 以达到最小化安全 以强化堡垒主机极大地限制可能出现的网络攻击。

为此运维审计系统采用软硬件一体化架构基于嵌入式开发技术将定制的64位Linux内核固化至硬件上操作系统采用最小化安装 除了必要的内核、驱动等程序外其他组件、程序包尽量去除。 同时封闭不必要的应用、服务、端口开启自身的防火墙功能提高堡垒主机自身的安全防护能力。

3运维账号治理

运维审计系统可以统一治理所有信息系统的运维账号。为了强化安全性运维审计系统另外为每一位运维人员分配一个运维账号并为其分配权限这一套帐号并非信息系统真正的治理账号但与信息系统真正的治理账号相关联。这样每一位运维人员无须知道也无法知道系统真正的账号。运维审计系统支持多用户治理企业可以根据自身组织情况设定配置治理员、审计员、操作治理员等角色并为每个用户设定具体的访问控制规则。运维审计系统权限治理为细粒度控制方式能够为每个用户分配任意功能模块组合权限如查询日志、 回放文件查看、规则配置、用户治理、系统自身治理等等。运维审计系统密码策略治理对密码强度、密码使用期限、账号锁定、账号起/停、用户分组等进行治理能够有效保证运维账号的安全。支持与RSA、安盟动态令牌等第三方认证系统结合对系统用户进行认证。

4维护协议支持

运维审计系统支持电力企业内部运维审计所要求的所有协议类型主要包括

①基本远程操作协议如SSH、 TELNET、 Rlogin、 FTP等

②图形终端操作协议如RDP windows远程桌面、 VNC等

③数据库远程协议 如ORACLE、 DB2、 MS-SQL SERVER、INFORMIX、 MySQL、 SYBASE等。

针对上述协议运维审计系统能够记录整个会话的完整过程并形成指令日志及回放文件两部分审计数据指令日志供治理员针对操作指令进行快速审计 回放文件可供治理员针对特定的会话进行完整操作审计。