银行:

业务特点
目前某银行日常运维的安全现状如下:
1)目前对服务器的缺乏必要的审计手段,仅能通过监控录像、双人分段或专人保存密码、操作系统日志结合手工记录操作日志等管理办法,无法追溯操作人员在服务器上的操作过程、了解操作人员行为意图,并且这样的管理成本很高,很难做到长期照章执行。
2)对服务器的维护和管理依赖于操作系统的口令认证,口令具有可被转授、被窥探及易被遗忘等弱点,另外,在实际环境中还存在多人共用一个账号甚至经常多人掌握Root权限帐户密码等现象,使得管理存在很大的安全漏洞,直接威胁服务器安全。
3)针对许多外包服务商、厂商技术支持人员、项目集成商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时,无法有效的记录其操作过程、维护内容,极容易泄露核心机密数据或遭到潜在的恶意破坏。
 
需求分析
某银行对其信息安全建设一直比较重视,处于同行业较高水平,但是其运维安全管理、内控机制等方面也存在上述问题,因此针对运维管理的具体需求如下:
1)支持日常维护人员针对AIX、Linux主机设备,主流网络设备、Windows服务器的进行的运行维护操作审计;
2)审计协议支持SSH、SFTP、RDP等,同时支持SSO登录;
3)详细的权限分配功能,可以根据时间、登录IP、目标资源等进行详细授权,并可集成行里双因素认证;
4)对于被审计系统、设备支持密码安全管理功能;
5)支持按时间、用户名、被审计设备、命令等进行的定制报表,并可以导出Excel或PDF等格式报表;
6)审计结果以视频回访形式展现出来,并可以根据需求定位到某特定命令;
7)设备支持硬件冗余方式,并支持HA。
 
解决方案
根据江南科友HAC支持的部署模式,结合某银行目前网络及安全现状,其逻辑部署如下:
       部署说明:
*针对运维审计对安全的特殊要求,推荐在某银行DC核心交换机或二层接入交换上划分出“安全运维网段”,并使该网段路由可达到任何区域;
*在安全运维网段部署2台HAC 1000E,单臂模式,实现HA,保障设备的高可用性;
*在核心PIX作严格的安全策略,只允许主机、网络、安全等维护人员(行内、行外)通过HAC访问服务器、各区域,而不允许直接访问这些关键资源;
*另外,在该安全运维网段可以部署运维管理主机,作为远程操作终端,用户经过HAC后,到达该管理主机,管理主机访问后台服务器。
 
Ø  针对主机服务器、网络安全设备的审计
    实现过程为:
1) 主机维护人员(行内、行外)首先经过HAC进行身份认证;
2) HAC身份认证通过后,进行授权,指定该主机维护人员可以访问的后台资源;
3) HAC将访问请求自动转发到后台资源。
    在这个过程中,运维人员的所有操作都被HAC安全记录下来,并可实现了数据重组和视频回放,完全再现了操作内容和行为轨迹。
 
Ø  其他特殊客户端运维审计
    实现过程为:
1) 针对特殊客户端(如IBM专用客户端、数据库客户端)维护人员(行内、行外)首先经过HAC进行身份认证;
2) HAC身份认证通过且授权后,通过RDP或其他协议访问到运维管理主机(windows服务器或Unix服务器,该服务器上安装特殊运维客户端软件);
3) 运维管理主机访问后台特殊应用资源。
在这个过程中,运维人员的所有操作都被HAC安全记录下来,并可实现了数据重组和视频回放,完全再现了操作内容和行为轨迹。
 
方案特点
Ø  为用户IT基础设施口令统一管理提供一种有效的解决方案,提高了口令管理员的工作效率;
Ø  针对用户复杂的IT环境,提供了一种完备、有效的运维安全管理手段,最小化降低IT操作风险;
提供一种有效技术手段满足信息安全、IT系统运维管理、企业遵规三个方面的要求。
 
 
证券
业务特点
    随着信息化建设的快速发展,某证券已经建立起一定规模的信息化系统,它们都非常重要,涉及证券业务运营、日常办公等方方面面。
网络中已经部署了防火墙、IDS、防病毒等各类安全产品和设备,并且采用了如网络边界划分、强化边界访问控制等多种防护手段。证券会有明文规定,要降低“老鼠仓”发生的可能,实际上对现有的各种审计和控制措施提出新的要求。
某证券IT系统主要在证通机房和总部机房,日常运维人员管理对象包括各核心业务系统、防火墙、交换机、路由器、服务器。常用的运维协议于工具包括telnet、SSH、ftp、SFTP、http/https、Radmin、RDP、VNC、PcAnywhere等。
目前的管理模式为分布式管理,运维人员从各自电脑设备发起对需要维护的设备进行操作。
 
需求分析
1、帐号安全
   多人使用同一账号,系统运维部门工程师众多,按照管理类型分为系统管理员、网络管理员、数据库管理员、安全管理员等,它们都可能会具有每台主机的管理权限,一旦主机出现因为运维导致的故障或数据丢失等问题,无法明确具体责任人,也无法快速定位问题原因,迅速恢复故障,以致带来巨大的损失。
2、密码安全
    简单密码,容易破解和猜测
----目前我公司大量主机、网络设备的管理员密码都由运维人员管理,难以控制密码强度,难以满足证监会等相关机构对于系统密码复杂度的要求;
    定期修改密码的管理策略难以执行
----我公司有定期修改管理员密码的相关制度,但每次修改密码都涉及各台设备,执行起来工作量大也十分繁琐;
    修改后的密码最终以文本形式存放,存在泄漏的隐患
----密码掌握在运维人员手中,本身就不安全;大量的密码掌握在各类系统维护人员手里,本身就存在滥用、泄漏等安全隐患。
3、操作安全
    操作权限无法控制
----某证券的核心业务系统除本公司运维人员本地运维外,还需接受来自营业部及分支机构运维人员的远程登入管理;同时还有来自互联网的运维访问,主要由厂家工程师和本公司运维人员远程VPN接入参与运维和紧急故障处理;存在运维人员严重不可控以及参与运维人员复杂而众多的现实情况,导致运维行为无法监控,不能及时了解所有登陆设备的详细运维情况;
    无意执行了危险操作,如:重启
----业务网设备如果在交易时间发生服务停止、重启等动作,将严重影响某证券的业务运营,而目前对运维人员无意执行的危险操作无任何提醒和限制手段;
    越权操作
----只要知道系统管理员帐号,就可以做任何操作,而无法精细控制该管理员的执行权限,即无法定义每个运维人员的操作权限,从而也无法控制越权操作。
4、远程维护
    PC直接远程连接关键服务器,容易遭受攻击、病毒传染
----目前在办公网、交易网的PC都是通过网络直接与服务器的,一旦PC感染蠕虫等网络型病毒,极易对服务器产生影响。
    远程维护地点无法控制
----目前对运维人员连接服务器时的来源地址无控制手段,也就很难控制在系统管理员密码被泄露或外部支持人员远程维护时,登录系统的实际用户身份。
5、运维操作行为安全
    运维人员在什么时间、什么地点访问服务器,都在服务器上做了哪些操作?现有审计手段无法准确定位事故原因。目前针对系统运维管理人员的审计只能定位到登陆服务器的IP地址、用户、时间等基本信息,无法准确了解运维人员登陆服务器后的具体操作行为,无法达到对运维行为进行操作留痕的审计基本要求。
6、外部人员访问安全
    外包人员权限如何控制
----我公司系统运维人员中还有部分的第三方运维人员,他们在做系统维护时,通常是由内部人员帮其输入管理员密码,而此后他们对系统所做的操作缺乏应用的控制和审计。
    外包人员维护帐号泄漏
----还有少量长期合作的第三方运维人员,他们掌握了一部分系统的管理员密码,他们只要能接入内网,就能登录到各系统,如果他们所掌握的管理员密码泄漏,则存在极大的安全风险。
    离职人员恶意行为
----我公司系统运维人员中还有部分的第三方运维人员和设备厂商定期巡检的技术支持人员,对这些非本系统运维人员的运维行为非常有必要进行监控以及审计,满足对外来人员访问核心系统操作的知情权。
  
    总结起来,我们将我公司运维安全问题概括为认证、授权和审计三个方面。
 
解决方案
    根据某证券系统运维安全审计的需求,我方推荐使用江南科友的运维安全审计系统HAC 1000与运维审计应用发布系统HAC1000-V。
系统部署架构
    在服务器区域核心分别部署1台HAC 1000和1台HAC1000-V,部署的具体情况如下:
部署方式均为单臂旁路模式,连接在核心交换机上;
部署的唯一条件是HAC 1000、HAC1000-V与被管理的设备之间IP可达,协议可访问;
HAC 1000是运维操作的唯一入口,使用访问控制策略(防火墙、ACL等)限制运维用户只能访问HAC 1000,不能直接访问后台主机;
运维用户使用唯一的用户账号登录HAC 1000A,然后HAC 1000A根据配置管理员预先设置好的访问控制规则,提示用户选择可以访问的目标设备和相应系统账号,用户选择完成后会自动登录到目标设备。
HAC设备也可选择双机负载均衡方式
VDH设备上可以发布需要审计的系统工具,如:IE、Radmin、VNC、Pcanywhere等,并在HAC上对用户进行授权和审计。
VDH有以下主要功能和特点:
*与HAC配合,能很好地支持各种协议或应用,能实现认证、授权;
*对图形界面的会话操作,可对键盘输入或界面文字进行基于关键字的查询检索;
*具有很好扩展性,通过对VDH的加装应用,支持各种应用;
*系统自身有厂商维护和加固,有很好的安全性。
与OA系统交互
HAC能够与OA系统进行交互,OA系统进行变更工单的管理,HAC根据变更工单的内容控制用户对服务器资源的操作访问,结合HAC,改善原有变更管理流程,将变更工单申请、执行和审核流程结合到HAC中。
变更工单申请过程读取HAC的配置,从中选择运维用户、访问资源和账户等信息,加入到变更工单申请内容中;
变更工单执行过程分为:传输、转换、运行和反馈四个子过程;
变更工单审核过程通过HAC的审计平台来实现。
 
方案特点
*实现统一运维认证账号分配、统一应用系统账号管理、统一对运维人员授权;
*实现运维账号认证,集成LDAP、动态口令、证书等认证方式;可访问资源列表、系统账号托管(运维人员无须知道后台系统密码)、可控制访问资源时间、对敏感操作的实时阻断和告警;
*运维行为审计、报表;操作录像;针对命令行的操作索引和回放;
*通过HAC的主-主模式,实现2个机房的互为冗余备份;正常工作时,各自区域运维用户通过本地HAC登录,当某个机房HAC出现故障时,该区域运维用户自动切换到另外一个机房的HAC进行登录;两套HAC之间的配置自动进行同步;
HAC能够与OA系统进行交互,OA系统进行变更工单的管理,HAC根据变更工单的内容控制用户对服务器资源的操作访问,结合HAC,改善原有变更管理流程,将变更工单申请、执行和审核流程结合到HAC中。