Introducción a productos de fabricantes relevantes de sistemas de auditoría de seguridad de operación y mantenimiento.
Tomemos como ejemplo el sistema de auditoría de seguridad de operación y mantenimiento SSA de Jin. Sus productos se centran más en la gestión de seguridad de operación y mantenimiento. Es una nueva generación de productos de auditoría de seguridad de operación y mantenimiento que integra inicio de sesión único, administración de cuentas, autenticación de identidad, autorización de recursos, control de acceso y auditoría de operaciones. Puede auditar eficazmente la operación y el mantenimiento de sistemas operativos, equipos de red, equipos de seguridad, bases de datos y otros procesos operativos, actualizando la auditoría de operación y mantenimiento de una auditoría de eventos a una auditoría de contenido operativo a través de la prevención previa al evento de la plataforma del sistema, durante el evento. control y trazabilidad posterior al evento, puede resolver de manera integral los problemas de la empresa. 1. ¿Qué es el sistema de auditoría de seguridad de operación y mantenimiento SSA?
El sistema de auditoría de operación y mantenimiento SSA es una nueva generación de operación y mantenimiento que integra inicio de sesión único, administración de cuentas, autenticación de identidad, autorización de recursos y acceso. control y auditoría de operaciones. Puede auditar eficazmente sistemas operativos, equipos de red, equipos de seguridad, bases de datos y otros procesos operativos, actualizando la auditoría de operación y mantenimiento de una auditoría de eventos a una auditoría de contenido de operación, y resuelve integralmente la operación y el mantenimiento de la empresa a través de la prevención previa al evento de la plataforma del sistema, en -control de eventos y trazabilidad posterior al evento. Problemas de seguridad y mejorar el nivel de gestión de operación y mantenimiento de TI de la empresa.
2. Funciones del sistema SSA
Mecanismo completo de gestión de usuarios y método de autenticación flexible.
Para resolver el problema de la incapacidad de determinar responsabilidades en operaciones cruzadas y mantenimiento, la plataforma del sistema SSA propuso una solución de "gestión de cuentas centralizada". La gestión de cuentas centralizada puede completar el seguimiento y la gestión de todo el ciclo de vida de las cuentas y también reduce la dificultad y la carga de trabajo de las empresas que gestionan una gran cantidad de cuentas de usuario. Al mismo tiempo, a través de la administración unificada, también puede descubrir riesgos de seguridad en el uso de la cuenta y formular políticas de seguridad de cuentas de usuario unificadas y estandarizadas. Los usuarios de operación y mantenimiento creados en la plataforma pueden admitir múltiples métodos de autenticación, como contraseñas estáticas, contraseñas dinámicas y certificados digitales. Admite funciones de gestión de seguridad, como seguridad de la contraseña, período de validez de la contraseña, bloqueo de intentos de contraseña y activación del usuario. Admite la gestión de grupos de usuarios; admite la importación y exportación de información de usuarios para facilitar el procesamiento por lotes.
Autorización detallada y flexible
El sistema proporciona autorización basada en una combinación de usuario, protocolo de operación y mantenimiento, host de destino y período de tiempo de operación y mantenimiento (año, mes, día, semana, hora) para implementar funciones de autorización detalladas para satisfacer las necesidades de autorización reales de los usuarios. La autorización puede basarse en: usuario a recurso, grupo de usuarios a recurso, usuario a grupo de recursos, grupo de usuarios a grupo de recursos.
La función de inicio de sesión único es que después de que el sistema SSA autentica y autoriza al personal de operación y mantenimiento, el sistema inicia sesión automáticamente en los recursos de backend de acuerdo con la política de configuración. Garantice una correspondencia controlable entre el personal de operación y mantenimiento y las cuentas de recursos de back-end, y logre una protección y gestión con contraseña unificadas de las cuentas de recursos de back-end. El sistema proporciona la función para que los usuarios de operación y mantenimiento inicien sesión automáticamente en recursos en segundo plano. SSA puede obtener automáticamente información de la cuenta de recursos en segundo plano y modificar automáticamente las contraseñas de las cuentas de recursos en segundo plano con regularidad de acuerdo con las políticas de seguridad de contraseñas, de acuerdo con la configuración, operación y mantenimiento del administrador, los usuarios corresponden a cuentas de recursos en segundo plano, restringiendo el uso no autorizado de las cuentas de operación y mantenimiento; autenticado y autorizado por SSA Finalmente, SSA puede iniciar sesión automáticamente en los recursos de backend de acuerdo con la cuenta asignada.
Monitoreo en tiempo real
Monitorear sesiones en operación y mantenimiento: la información incluye usuarios de operación y mantenimiento, direcciones de clientes de operación y mantenimiento, direcciones de recursos, protocolos, hora de inicio, etc. Supervise el acceso a recursos en segundo plano y proporcione funciones de monitoreo en tiempo real para la operación y el mantenimiento en línea. Para el protocolo de interacción de comandos, se pueden monitorear varias operaciones en operación y mantenimiento en tiempo real, y la información es exactamente la misma que ve el cliente de operación y mantenimiento.
Alarma en tiempo real y previene operaciones ilegales
Ante los potenciales riesgos operacionales que pueden existir durante el proceso de operación y mantenimiento, SSA implementa detección de operaciones ilegales durante el proceso de operación y mantenimiento de acuerdo con la política de seguridad configurada por el usuario, también proporciona advertencia y bloqueo en tiempo real de operaciones ilegales, reduciendo así los riesgos operativos y mejorando las capacidades de gestión y control de la seguridad. Se puede bloquear la ejecución de protocolos sin caracteres en tiempo real.
Las operaciones de protocolos basados en caracteres se pueden combinar mediante reglas de línea de comando configuradas por el usuario para alertar y bloquear. Las acciones de alarma admiten escalada de privilegios, bloqueo de sesiones, alarmas por correo electrónico, alarmas por SMS, etc.
Se puede grabar el proceso de conversación completo de los protocolos de uso común.
La plataforma del sistema SSA puede registrar completamente el proceso de sesión de protocolos comunes de operación y mantenimiento como SSH/FTP/Telnet/SFTP/HTTP/HTTPS/RDP/x 11/VNC para satisfacer las necesidades de futuras auditorías. . Los resultados de la auditoría se pueden presentar de dos maneras: grabación de video y registro. La información de registro incluye el nombre de usuario de operación y mantenimiento, el nombre del recurso de destino, la IP del cliente, el nombre de la computadora cliente, el nombre del protocolo, la hora de inicio de la operación y el mantenimiento, la hora de finalización, la duración de la operación y el mantenimiento y otra información.
Reproducción y auditoría detallada de sesiones
El personal de operaciones y mantenimiento puede consultar nombres de usuarios, fechas y contenido por ubicación única y ubicaciones combinadas en función de las sesiones. La consulta combinada se puede realizar en función de la combinación de palabras clave en usuario de operación y mantenimiento, dirección de operación y mantenimiento, dirección de recursos en segundo plano, protocolo, hora de inicio, hora de finalización y contenido de operación de acuerdo con el protocolo del modo de cadena de comando, comandos; y se proporcionan los resultados de la operación relacionados: proporciona reproducción en forma de imágenes para reproducir de manera verdadera, intuitiva y vívida el proceso de operación en ese momento, la reproducción proporciona reproducción rápida, reproducción lenta, arrastrar y soltar, etc., y la entrada del teclado recuperada. las palabras clave se pueden colocar directamente para la reproducción; según el protocolo RDP, X11 y VNC, que proporciona la función de posicionamiento de la reproducción según el tiempo.
Funciones enriquecidas de informes de auditoría
La plataforma del sistema SSA puede realizar análisis estadísticos sobre las operaciones y conversaciones diarias del personal de operación y mantenimiento, la configuración operativa del administrador de la plataforma de auditoría y el número de alarmas de operación y mantenimiento. Los informes incluyen: informes diarios, informes de conversación, informes de operación de autoauditoría, informes de alarma, informes estadísticos completos y también se pueden diseñar y presentar informes personalizados de acuerdo con las necesidades personales. Los informes anteriores se pueden generar en formato EXCEL y se pueden mostrar en formatos gráficos como gráficos de líneas, columnas y circulares.
Lanzamiento de la aplicación
Basado en las necesidades de operación y mantenimiento de los usuarios, SSA lanzó el primer dispositivo de sistema operativo de seguridad de host de escritorio virtual de la industria (ESL, E-SoonLink). Con la cooperación de ESL y SSA, se pueden cumplir plenamente los requisitos de auditoría, control y autorización. Con la cooperación de los productos TSA, se pueden monitorear y auditar las operaciones de operación y mantenimiento de las herramientas de mantenimiento de bases de datos, pcAnywhere, DameWare y otras herramientas. El Sistema de Auditoría de Seguridad de Operación y Mantenimiento (HAC) de Uke se enfoca en resolver los problemas de seguridad de operación y mantenimiento de la infraestructura de TI crítica. Puede auditar de forma segura y efectiva el acceso a datos en hosts, servidores, redes y dispositivos de seguridad Unix y Windows, y admite monitoreo en tiempo real y reproducción posterior al evento.
HAC compensa las deficiencias del sistema de auditoría tradicional, actualiza la auditoría de operación y mantenimiento de una auditoría de eventos a una auditoría de contenido, integra autenticación, autorización y auditoría de identidad, y realiza de manera efectiva la prevención previa al evento, durante el evento. control y auditoría post-evento.
Requisitos de auditoría
En respuesta a incidentes de fraude financiero como los de Enron y WorldCom, la "Ley de Reforma de la Contabilidad de las Empresas Públicas y Protección de los Inversores" (Ley Sarbanes-Oxley) promulgada en 2002 establece nuevos estándares para el gobierno organizacional, la contabilidad financiera y la auditoría regulatoria, que requieren que el núcleo del gobierno organizacional, como la junta directiva, la alta dirección y la auditoría interna y externa, desempeñen un papel clave en la evaluación y la presentación de informes sobre la eficacia y adecuación de los controles internos. Al mismo tiempo, los departamentos funcionales nacionales pertinentes también han formulado directrices y especificaciones correspondientes en términos de control interno y gestión de riesgos. Debido a la fragilidad de los sistemas de información, la complejidad de la tecnología y los factores humanos de las operaciones, es necesario introducir mecanismos de gestión de operación y mantenimiento y de monitoreo de las operaciones para prevenir, reducir o eliminar riesgos potenciales, así como para prevenir y detectar errores o violaciones cuando Diseñar arquitecturas de seguridad y gestionar los riesgos de TI mediante una combinación de prevención previa al evento, control durante el evento, supervisión y corrección posterior al evento.
La auditoría de sistemas de TI es un medio importante para controlar los riesgos internos. Sin embargo, el sistema informático es complejo y requiere muchos operadores. Cómo auditarlo de manera efectiva es un tema importante que ha preocupado durante mucho tiempo a los departamentos de tecnología de la información y auditoría de riesgos de varias instituciones.
Solución
Debido a la demanda del mercado de auditorías de operación y mantenimiento de TI, Jiangnan Youke ha acumulado muchos años de experiencia en gestión de operación y mantenimiento y servicios de seguridad en el campo de la seguridad de la información. combinándolo con las mejores prácticas de la industria y los requisitos de cumplimiento, y tomó la iniciativa en el lanzamiento del "Sistema de auditoría de seguridad de operación y mantenimiento (HAC)" basado en la plataforma de hardware para activos principales.
La gestión de operación y mantenimiento reproduce trayectorias de comportamiento clave, explora intenciones operativas, integra monitoreo global en tiempo real y reproducción sensible de procesos y resuelve de manera efectiva un problema clave en la supervisión de la información.
Funciones del sistema
Autenticación y gestión de identidad completa
Para garantizar que los usuarios legítimos puedan acceder a sus recursos de back-end autorizados, resuelve operaciones cruzadas y mantenimiento en sistemas de TI El problema común de no poder localizar a una persona específica satisface el requisito de "quién lo hizo" en el sistema de auditoría, y el sistema proporciona un conjunto completo de funciones de autenticación y gestión de identidad. Admite múltiples métodos de autenticación, como contraseñas estáticas, contraseñas dinámicas, LDAP, claves de certificado de dominio AD;
Autorización flexible y detallada
El sistema proporciona protocolos basados en usuarios, operación y mantenimiento , objetivos Función de autorización basada en la combinación de host, período de tiempo de operación y mantenimiento (año, mes, día, semana, hora), duración de la sesión, IP del cliente de operación y mantenimiento, etc. , realizando así funciones de autorización detalladas y satisfaciendo las necesidades de autorización reales de los usuarios.
Inicio de sesión automático de recursos en segundo plano
La función de inicio de sesión automático de recursos en segundo plano es que después de que el personal de operación y mantenimiento pasa la autenticación y autorización de HAC, HAC realiza el inicio de sesión automático de recursos en segundo plano de acuerdo con el política de configuración. Esta función proporciona una correspondencia controlable entre el personal de operación y mantenimiento y las cuentas de recursos de back-end, e implementa una protección con contraseña unificada para las cuentas de recursos de back-end.
Monitoreo en tiempo real
Proporciona función de monitoreo en tiempo real para operación y mantenimiento en línea. El protocolo de interacción de comandos puede monitorear varias operaciones de operación y mantenimiento en tiempo real en forma de imágenes, y la información es exactamente la misma que ve el cliente de operación y mantenimiento.
Alarma en tiempo real y previene operaciones ilegales
En respuesta a posibles riesgos operativos durante el proceso de operación y mantenimiento, HAC implementa detección de operaciones ilegales durante el proceso de operación y mantenimiento de acuerdo con las normas de seguridad. política configurada por el usuario y detecta operaciones ilegales durante el proceso de operación y mantenimiento. Proporciona advertencias y bloqueos en tiempo real de operaciones ilegales, reduciendo así los riesgos operativos y mejorando las capacidades de gestión y control de seguridad.
Graba completamente el proceso de sesión de red.
El sistema proporciona registros completos de sesiones de Telnet, FTP, SSH, SFTP, RDP (Windows Terminal), Xwindows, VNC, AS400 y otras sesiones de red, cumpliendo plenamente con el requisito de auditoría de contenido de pérdida del 100 % de información.
Reproducción y auditoría detallada de la sesión
HAC proporciona una interfaz de auditoría de reproducción de vídeo para reproducir el proceso de operación de forma real, intuitiva y visual.
Función completa de informe de auditoría
HAC proporciona varios informes de auditoría, como operaciones del personal de operación y mantenimiento, operaciones del administrador y eventos de infracción.
Funciones de auditoría para diversas operaciones de aplicaciones y operaciones de mantenimiento
HAC proporciona funciones de auditoría para la operación y el mantenimiento de varias aplicaciones y puede proporcionar una solución completa de auditoría de seguridad de operación y mantenimiento. Las nuevas aplicaciones se pueden lanzar y revisar rápidamente según las necesidades del usuario.
Combinado con ITSM (Gestión de Servicios de TI)
HAC se puede combinar con ITSM para optimizar el proceso de gestión de cambios y fortalecer el control de riesgos en la gestión de cambios.
Características del sistema
Soporta auditoría de protocolos de operación y mantenimiento cifrados.
Tomó la iniciativa en la solución de la auditoría de protocolos de cifrado como SSH y RDP, atendiendo las necesidades de auditoría de operación y mantenimiento de los usuarios en entornos Unix y Windows.
Mecanismo de gestión descentralizada
El sistema proporciona tres roles de gestión: administrador de equipos, administrador de operación y mantenimiento y auditor, que técnicamente garantiza la seguridad de la gestión del sistema.
Gestión de auditorías más estricta
El sistema combina orgánicamente certificación, autorización y auditoría, logrando de manera efectiva la prevención previa al evento, el control durante el evento y la auditoría posterior al evento
Implementación flexible y operación sencilla
El sistema admite modos de implementación en serie y de brazo único; admite administración, configuración y auditoría basadas en el modo B/S.
Diseño de seguridad del sistema
Kernel simplificado y pila de protocolo TCP/IP optimizada
Motor de procesamiento basado en el estado del kernel
Copia de seguridad en caliente de doble máquina
Estricto control de acceso de seguridad
Gestión, configuración y auditoría de acceso segura basada en HTTPS
Almacenamiento cifrado de la información de auditoría
Mejora de la copia de seguridad y mecanismo de recuperación de información de auditoría
Implementación del sistema
En vista de la complejidad de la red empresarial y la arquitectura de administración, el sistema HAC proporciona un modo de implementación flexible, que se puede realizar a través del modo serie o modo de un solo brazo para conectarse a la intranet corporativa. Cuando se implementa en modo serie, HAC tiene un cierto grado de función de control de red, lo que puede mejorar la seguridad del acceso al servidor central; cuando se implementa en modo de brazo único, la topología de la red no cambia y el proceso de instalación y depuración es simple; puede basarse de manera flexible en la situación real de la arquitectura de acceso a la red empresarial.
Ya sea en modo serie o en modo de brazo único, las operaciones de acceso a los recursos de servicios básicos de TI a través de HAC se registrarán y almacenarán en detalle como datos básicos para la auditoría. La implementación de HAC no tendrá un impacto negativo en indicadores importantes como el tráfico de datos y el ancho de banda en los sistemas y redes comerciales, y no requiere la instalación de ningún sistema de software o hardware en el servidor central o el cliente operativo.
Certificación
El "Sistema de Auditoría de Seguridad de Operación y Mantenimiento (HAC)" ha obtenido la licencia de venta para productos específicos de seguridad de sistemas de información informática emitida por el Ministerio de Seguridad Pública y ha pasó la confidencialidad de la Oficina de Seguridad Nacional Probado por el Centro de Evaluación de Seguridad del Sistema de Información y obtuvo un certificado de prueba de producto del sistema de información confidencial. Aprobó la evaluación nacional de seguridad de la información y obtuvo el certificado de evaluación de seguridad de productos de tecnología de la información.