换届基于堡垒主机概念的运维审计系统

基于堡垒主机概念的运维审计系统

目前各电力企业纷纷部署了防火墙、 IPS、 网络防病毒系统、漏洞扫描系统等安全产品建立了较为完善的信息安全防护体系取得了一定效果但网络安全故障仍时有发生。令人惊奇的是造成这些分歧规、不正当的行为很多来源于内部“正当”的用户操作。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题但对于内部人员的违规操作而导致数据误删除、数据破坏、数据泄密等致使企业利益、公众利益和国家利益受损的行为却无能为力。

针对这一系统性风险公安部在《信息系统安全等级保护基本要求》中明确要求对于二级以上的重要信息系统网络安全、主机安全、应用安全均要求具备安全审计功能。国家电网公司也根据自身需要对下属企业IT内控提出了相应的要求。 因此对设备维护行为采取行之有效的控制和审计措施弥补这一信息化安全治理的盲区是当前电力企业信息安全建设确当务之急。

从堡垒主机到内控堡垒主机

堡垒主机是一种被强化的可以防御进攻的计算机作为进入内部网络的一个检查点 以达到把整个网络的安全问题集中在某个主机上解决从而省时省力不用考虑其他主机安全的目的。其目标是通过综合采用虚拟化技术、协议代

1/23

理技术和身份认证、访问控制与操作审计等多种信息安全技术实现员工和治理人员对内部网络特定资源的安全访问同时对访问和操作的过程进行完备的审计记录。

目前各级电力企业均已部署了一系列安全设备但传统的防护手段中防火墙只能进行网络层访问控制无法对系统层访问进行控制更谈不上操作内容治理而IDS、IPS侧重于系统层、 网络层攻击事件的检测缺乏对操作的控制能力传统安全审计类产品无法实现对加密协议SSH、图形访问协议的识别和治理。

信息系统的运行由一系列的人员行为和系统行为组成信息系统安全审计就是采集、监控、分析信息系统各组成部分的系统行为和操作行为的过程。 既然传统的安全设备都无法解决运维行为审计的问题能否另辟门路在维护人员和信息系统之间搭建一个唯一的入口和统一的交互的界面答案是肯定的。依托堡垒主机的理念可以构造一种专门应用于信息系统运维行为控制和审计的堡垒主机。它作为一座桥梁不但能够规范和控制所有维护人员的行为而且具备强大的输入输出审计功能能够具体记录用户操作的指令和操作过程这就是内控堡垒主机也可以称之为“运维审计系统” 。

系统设计

1系统架构

2/23

在电力企业IT运维过程中维护人员既有内部人员也有来自外部

的系统集成商、服务外包商、应用开发商、设备原厂商人员。维护对象主要包括主机、 网络设备、安全设备、数据库以及各类应用软件。维护人员主要通过Telnet、 SSH、VNC、RDP等方式对维护对象进行维护操作运维审计系统的功能重点是将这些治理员维护的过程进行记录并提供客观的审计依据便于企业对治理员行为进行高效审计如下图所示。

系统应采用旁路部署方式对网络原始结构不造成影响用户只需为运维审计系统分配一个能够接入用户网络的IP地址即可所有由客户端发起的服务器维护协议均通过运维审计系统进行转发如SSH、 Telnet、 RDP等协议而正常的服务器对外业务则不通过运维审计系统 因此运维审计系统不会影响服务器的正常对外业务。运维审计系统采用B/S治理架构治理员可以在远程通过浏览器进行治理。

系统自身安全性

内控堡垒主机是信息基础设施维护的统一入口是最容易遭受攻击的主机其配置与通常的主机相比明显不同所有不必要的服务、协议、程序和网络接口都将被禁用或删除 以达到“最小化安全”  以强化堡垒主机极大地限制可能出现的网络攻击。

3/23

为此运维审计系统采用软硬件一体化架构基于嵌入式开发技术将定制的64位Linux内核固化至硬件上操作系统采用最小化安装除了必要的内核、驱动等程序外其他组件、程序包尽量去除。 同时封闭不必要的应用、服务、端口开启自身的防火墙功能提高堡垒主机自身的安全防护能力。

运维账号治理

运维审计系统可以统一治理所有信息系统的运维账号。为了强化安全性运维审计系统另外为每一位运维人员分配一个运维账号并为其分配权限这一套帐号并非信息系统真正的治理账号但与信息系统真正的治理账号相关联。这样每一位运维人员无须知道也无法知道系统真正的账号。运维审计系统支持多用户治理企业可以根据自身组织情况设定配置治理员、审计员、操作治理员等角色并为每个用户设定具体的访问控制规则。运维审计系统权限治理为细粒度控制方式能够为每个用户分配任意功能模块组合权限如查询日志、回放文件查看、规则配置、用户治理、系统自身治理等等。运维审计系统密码策略治理对密码强度、密码使用期限、账号锁定、账号起/停、用户分组等进行治理能够有效保证运维账号的安全。支持与RSA、安盟动态令牌等第三方认证系统结合对系统用户进行认证。

维护协议支持

4/23

运维审计系统支持电力企业内部运维审计所要求的所有协议类型主要包括

①基本远程操作协议如SSH、 TELNET、 Rlogin、 FTP 等

②图形终端操作协议如RDP、 VNC等

③数据库远程协议如ORACLE、 DB2、 MS-SQL SERVER、INFORMIX、 MySQL、 SYBASE等。

针对上述协议运维审计系统能够记录整个会话的完整过程并形成指令日志及回放文件两部分审计数据指令日志供治理员针对操作指令进行快速审计回放文件可供治理员针对特定的会话进行完整操作审计。

上文已完。下文为附加文章如不需要下载后可以编辑删除谢谢

在2016年乡村换届动员暨集体谈心谈话会上的讲话

同志们

根据上级统一安排乡镇党委换届在今年6月底前完成县市、区党委换届于9月底完成市乡人代会要放在下半年 12月底前召开。也就是说乡镇党委换届党代会走在前头下半年集中进行乡镇政府人代会暨村级组织换届工作。经乡党委研究 自今天开始拉开我乡乡村换届工作的序幕。为了确保此次乡村换届依法依规组织实施借此机会重点讲以下两个方面的意见

一是简要传达“3. 17” xx市有关换届纪律专题谈心谈话会精神

5/23

二是结合我乡实际就如何抓好乡村换届工作强调几点纪律及要求

一、 xx市换届工作相关会议主要精神

3月17日 xx市委在共事堂召开了市乡领导班子换届纪律暨专题谈心谈话会。

市委蒋书记就依法、规范、平稳推进党委领导班子换届提出了四点要求

一要牢记政治责任深刻把握换届要求

二要强化政治担当清醒认识当前形势

三要执行铁的纪律确保换届风清气正

四要坚决服从换届大局正确对待进退留转。

市纪委书记(文春涛同志)就贯彻落实中央、省、市相关会议部署严肃换届纪律强调了以下三点意见

1把招呼打在前面把纪律喊响喊醒

2把监督做在前面把责任落地落实

3把执纪挺在前面把问责逗硬顶格

到会的市人大、市政协、市组织部领导也分别就人大代表、政协委员换届选举以及今年市乡领导班子换届的时间节点暨人事安排讲了具体的意见。

二、关于我乡乡村两级换届的纪律要求

今天我们召开这个会议既是换届工作的动员部署会又是一次集体谈心谈话会。乡村换届工作是全乡人民政治生活中的一件大

6/23

事也是事关xx未来3——5年发展的关键更是关系到在座各位以及xx全乡8000人民切身利益的大事人人参与、责无旁贷既要正确行使人民赋予我们当家作主的权力又要本着对党、对组织、对人民负责的态度共同把干部选准选好。因此我们不仅仅通知了所有乡村干部、单位负责人、退干支部负责人同时也通知了5个重点贫困村的“第一书记”一并参加今天的会议。目的是把上级的精神传达好、贯彻好、落实好确保xx乡村换届工作平稳顺利推进、不出现任何差错失误下面我着重强调四点

第一、把规矩顶在头上。党的十八大以来从中央到地方都在强调规矩立在先纪律挺在前。要求全体共产党员必须讲规矩、学规矩、懂规矩、守规矩在党言党、在党为党、在党忧党共产党人的一言一行都必须遵守政治规矩。说到底就是要坚持党管干部的原则换届过程中更是要落实好党的民主集中制 “四个服从”  不发任何“杂音” 通过法律程序实现党的意志、实现组织意图。随着修订后的“两条例,一准则”  《中国共产党廉洁自律准则》 、 《中国共产党纪律处分条例》 、 《中国共产党巡视工作条例》 相继颁布实施

前面天茂书记已经组织大家再次学习了相关《准则》和《条列》  今年更是把政治意识、规矩意识、纪律意识提高到了前所未有的高度。希望今天参会的党员干部特别是各个支部的书记一定要切实担当起从严管党治党、依法依规换届的政治责任。

第二、把纪律记在心上。刚才 xx书记领学了“九个严禁和九个一律”的换届纪律规定为什么中央纪委、中央组织部今年出台的

7/23

1号文件中组发〔2016〕 1号——《关于加强换届风气监督的通知》 专门强调换届纪律问题大家都明白这就是针对我党近年来两起性质非常恶劣、影响极其深远的案件——湖南衡阳破坏选举案和四川南充拉票贿选案而制定的。其中湖南衡阳破坏选举案依法终止了749名省、市、县人大代表资格先后分两批给予466人党纪政纪处分南充拉票贿选案所涉及到的477人全部受到严肃处理给予开除党籍、开除公职处分并移送司法机关处理的33人给予撤销党内外职务以上处分的77人给予严重警告并免职、严重警告、警告或行政记大过、记过处分以及免职处理267人诫勉谈话、批评教育100人。这是极其惨痛的教训对整个南充而言是一场不折不扣的政治灾难它必然会产生严重的社会恶果并造成难以挽回的经济损失。 自从南充拉票贿选案发以来几乎所有的监督、检查、审计都把南充当然也包括xx排在首位大家都把南充盯得更紧、看得更牢、管得更死了。因此xx书记刚到南充就曾反复讲过一句话——“南充在加快发展、转型发展、科学发展的关键时刻重重地摔了一跤栽了一个大跟头摔得很重、栽得很惨对南充未来的负面影响以及带来的巨大损失将不可估量  ”

今天我们组织大家再次学习《南充拉票贿选案警示通报》 就是要让大家从内心深处感到震撼、得到教育、受到警醒  “铁打的营盘流水的兵” 。既然换届就必然会有干部交流、新老更替人员有进有出、干部有上有下这也是一个地方持续发展的需要。在座各位特别是乡党委领导班子成员要带头遵守政治纪律要带头遵守

8/23

换届纪律正确对待个人的进退留转职务晋升了的同志要戒骄戒躁、谦虚好学我们的执政能力不可能随着职务的升迁就自然而然地提升 退下来的同志要心态平和、发挥余热不要台上台下成了典型的“两面人” 人前人后背上“两张皮”  留在原岗位的同志要履职尽责、善抓善管不要干了几年就成了“老油条” 此次换届中没有交流或提拨就心灰意冷甚至自暴自弃  岗位转换的同志要积极进取、多岗锻炼不要认为我这辈子工作了几十年就只会这一门其他啥子工作都不想干、不愿干 。今天是一次集体谈心谈话会我先把招呼打在前头这次换届 xx的领导班子毫无疑问会有人事调整变动 同时接下来乡党委成员的分工也将作相应的调整部分机关中层干部也将轮岗交流。无论涉及到谁都必须严守党规党纪、坚决服从换届大局、 自觉接受工作安排

这次换届一方面乡镇领导班子将增设职数、配齐配强按7——9名配备 另一方面拓宽了选人用人渠道从年轻的事业干部、大学生村官、村支部书记、 “第一书记”这四类人员中择优选拔部分人员直接进入乡镇领导班子 。组织没有选择你并不说明你就干得不好。因为 岗位始终是极为有限的只能好中选优、优中选强。对我们的年轻同志而言机会还多得是。绝不要急功近利更不能胆大妄为、以身试法。当然我们在座的其他同志也决不允许搞所谓的“圈子文化” 、老乡情结、哥们义气、拉帮结派一定要深刻汲取身边血的教训 xx前些年在选举方面也出现过一些问题大家至今恐怕都还记得很清楚xx片区、 xx片区的个别乡镇一些通过非法手段当选的

9/23