审计基于堡垒机技术的运维安全管控系统设计与应用

堡垒机  时间:2021-01-25  阅读:()

基于堡垒机技术的运维安全管控系统设计与应用目录

0引 言

1传统运维模式风险分析

1. 1账号及授权管理不清晰

1. 2缺乏身份认证

1. 3运维操作无全过程审计

2运维安全管控系统架构设计与应用

2. 1堡垒机技术的介绍

2. 2设计依据

2. 3系统架构设计

2.4系统部署与应用

1通过集中化管理实现单点登录

2通过账号管理实现用户实名制及统一身份认证

3有效地执行访问控制防止非授权访问

4精准溯源操作审计

5实现独立审计与三权分立完善IT内控机制

3结 语

正文

0引 言

随着电力企业信息化水平不断深入企业级应用系统的运维量持续增加需要内部运维人员及第三方技术人员协同维护各应用系统系统维护人员潜在违规操作导致的安全问题变得日益突出。防火墙、防病毒、入侵检测系统等常规的安全产品可以防范来自外部的安全问题但对于内部人员的违规操作却无能为力。如何有效地监控设备厂商、 内部运维人员的操作行为并进行严格的审计是电力企业面临的一个关键问题。

1传统运维模式风险分析

传统运维模式下大量的运维人员通过K VM或直连信息设备开展变更、配置、备份与维护等操作面临的风险主要有以下几个方面。

1. 1账号及授权管理不清晰

系统管理员、运维人员、第三方厂商的账号和权限不清晰没有统一的账号管理存在多人共用一个账号或一人使用多个账号的情况对操作人员的权限没有严格的界定存在权限级别要求不高的用户拥有较高级别权限账号的现象导致运维过程中无法准确定位到人事后责任不清存在较大的安全隐患。

1.2缺乏身份认证

采用人工手段核对运维人员身份信息随着信息系统复杂度的大幅增加 同时开展运维的人员数量日益增多无法实现全过程运维人员的身份认证及实名管理。

1.3运维操作无全过程审计

各类运维人员的操作行为无专属的审计记录审计力度不够。各网络设备、主机系统、数据库分别单独记录日志没有统一的审计策略并且各系统自身日志记录深浅不一难以及时通过系统自身日志发现违规操作行为和追查取证无法对维护人员经常使用的SSH、 RDP等加密、图形操作协议进行内容审计。

传统的运维模式面临事前身份不明确、授权不清晰事中操作不可见、过程不可控事后操作无法审计、 问责追溯难等问题通过严格

的规章制度只能约束一部分人的行为只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行 因此建设运维安全管控系统是十分必要的。

2运维安全管控系统架构设计与应用

2. 1堡垒机技术的介绍

堡垒机即在一个特定的网络环境下为了保障网络和数据不受来自外部和内部用户的入侵和破坏而运用多种技术手段实时收集和监控网络中每一个组成部分的系统状态、安全事件等以便集中报警、及时处理及审计定责。运维安全管控系统是利用堡垒机技术通过访问控制、账号管理、身份认证、行为审计、单点登录与协议代理等多种信息安全技术实现运维人员对信息系统的安全访问 同时对运维人员的操作过程形成完整的审计记录。

2.2设计依据

国家公安部《信息安全等级保护基本要求》中对二级含以上的信息系统提出明确的安全审计要求 “审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用、账号的分配、创建与变更、审计策略的调整及审计系统功能的关闭与启动等系统内重要的安全相关事件等” 。本次运维安全管控系统设计严格按照等级保护要求范围覆盖DMZ区、等级保护二级及以上信息系统。

2.3系统架构设计

风险控制流程

为确保运维安全管控系统满足电力企业运维实际需求要制定完善的风险控制流程实现事前实行统一的账号管理、权限访问策略、审计策略事中身份认证、授权及监控事后统一综合审计的风险控制流程如图1所示。

架构设计

运维安全管控系统架构设计由展示层、功能层、存储层与资源层4层组成。

展示层面向用户采用静态口令、动态口令、数字证书等多种身份认证方式具备密码强度、密码有效期、 口令尝试死锁、用户激活等安全管理功能实现用户分组管理分别对系统管理员、审计员、运维人员提供不同的访问页面。

功能层实现账号管理、认证管理、授权管理、综合审计与系统管理等功能采用协议分析、基于数据包还原技术实现操作界面模拟将所有的操作转换为图形化界面实现审计信息不丢失。除了实现运维操作图形化审计功能的展现外还能对字符进行分析包括命令行操作的命令及回显信息和非字符型操作时键盘、 鼠标的敲击信息。

存储层实现对运维安全管控系统账号及各信息系统账号的存储及审计信息的存储实现账号及审计信息的灵活调用。

资源层面向各信息系统用于实现账号同步、认证结合、审计结合等方面的数据接口工作支持字符串操作SSH/Telnet、 图形操作RDP/VNC/X 11/p cAn ywh ere/DameWare等。

2.4系统部署与应用

在等级保护二级区域和DMZ区域各部署两台堡垒机堡垒机做双机主备实现对等保二级区域和DMZ区域的网络设备及服务器的运维审计 由于堡垒机采用旁路部署实施过程中对现有网络业务不会造成任何影响。双机热备与主备之间通过业务管理端口线进行主备状态监测和配置同步主机节点一旦断开备机节点会立刻启动无需人工干预从而实现运维安全管控业务的不间断运行。系统部署后实现了以下应用。

1通过集中化管理实现单点登录。通过系统的部署对资源账号的统一管理把复杂问题简单化。

2通过账号管理实现用户实名制及统一身份认证。为每个用户分配了独一无二的用户账号设备上的系统账号不变通过把多个用户账号和单个系统账号做关联让用户的身份和具体的操作一一对应起来从而实现用户实名制管理。

3有效地执行访问控制防止非授权访问。通过系统设置详细的访问控制规则用户只能按照规则设置来访问相应资源彻底杜绝了非授权访问所带来的问题。

4精准溯源操作审计。基于安全运维审计系统的实时监控及字符会话审计技术完整地记录用户的所有操作行为使运维操作透明化。

5实现独立审计与三权分立完善IT内控机制。通过应用实现独立的审计与三权分立在三权分立的基础上实施内控与审计有效地控制操作风险完善IT内控机制。

3结 语

在电力企业信息化水平快速发展的今天技术发展与管理模式相辅相成信息安全不仅需要先进的技术更需要完善的制度和审计手段。通过运维安全运维管控系统的建设进一步完善了电力企业在信息运维过程中的身份认证、访问控制、权限控制、操作监控和审计等措施。实现了全面监控和审计运维人员对DMZ区域和IDC区域内的信息系统和业务数据的操作使笔者所在单位的信息安全防护体系有效的落地进一步提高电力企业信息安全防护水平。

主要参考文献

1袁慧萍董贞良.银行数据中心运维安全审计实践探析J .信息安全与通信保密 2015(4)

2余铮廖荣涛陈磊.基于旁路的全周期信息运维审计系统研究与应用J .湖北电力 2013(2)

3庞博.基于内控堡垒主机的运维审计实践J .科技资讯2015(15)

DMIT:美国cn2 gia线路vps,高性能 AMD EPYC/不限流量(Premium Unmetered),$179.99/月起

DMIT怎么样?DMIT最近动作频繁,前几天刚刚上架了日本lite版VPS,正在酝酿上线日本高级网络VPS,又差不多在同一时间推出了美国cn2 gia线路不限流量的美国云服务器,不过价格太过昂贵。丐版只有30M带宽,月付179.99美元 !!目前,美国云服务器已经有个4个套餐,分别是,Premium(cn2 gia线路)、Lite(普通直连)、Premium Secure(带高防的cn2 gia线...

HostKvm 黑色星期五香港服务器终身六折 其余机房八折

HostKvm商家我们也不用多介绍,这个服务商来自国内某商家,旗下也有多个品牌的,每次看到推送信息都是几个服务商品牌一起推送的。当然商家还是比较稳定的,商家品牌比较多,这也是国内商家一贯的做法,这样广撒网。这次看到黑五优惠活动发布了,针对其主打的香港云服务器提供终身6折的优惠,其余机房服务器依然是8折,另还有充值50美元赠送5美元的优惠活动,有需要的可以看看。HostKvm是一个创建于2013年的...

LOCVPS:VPS主机全场8折,德国/荷兰/美国KVM终身7折

LOCVPS发来了针对元旦新年的促销活动,除了全场VPS主机8折优惠外,针对德国/荷兰KVM #1/美国KVM#2 VPS提供终身7折优惠码(限量50名,先到先得)。LOCVPS是一家成立于2012年的国人VPS服务商,提供中国香港、韩国、美国、日本、新加坡、德国、荷兰、俄罗斯等地区VPS服务器,基于KVM或XEN架构(推荐优先选择KVM),均选择直连或者优化线路,国内延迟低,适合建站或远程办公使...

堡垒机为你推荐
自然吸气和涡轮增压哪个好涡轮增压和自然吸气哪个更适合跑视频剪辑软件哪个好视频剪辑哪个软件好用电陶炉和电磁炉哪个好电陶炉和电磁炉哪个好?主要是炒菜,爆炒。手机炒股软件哪个好什么手机炒股软件好用,你们都用哪个dnf魔枪士转职哪个好dnf平民魔枪士转什么好qq空间登录不了为什么我的QQ空间登陆不上?首选dns服务器地址什么是首选DNS服务器和备用DNS服务器?网通dns服务器地址湖北省鄂州市葛店镇DNS服务器IP地址是多少360云盘企业版有什么网盘好用的?360云盘即将停止个人版转向企业版了,百度云限速太厉害不好用,微云感觉空间小了点360云盘论坛360云盘怎样不能存视屏了
最好的虚拟主机 北京服务器租用 免费com域名申请 t楼 dreamhost 2014年感恩节 国外bt 2017年黑色星期五 云图标 web服务器架设软件 html空间 创梦 ntfs格式分区 无限流量 1元域名 台湾google 网通服务器 云营销系统 免费asp空间 服务器防火墙 更多