银行证券电信移动电力

• 业务特点

  目前某银行日常运维的安全现状如下：

  1)目前对服务器的缺乏必要的审计手段，仅能通过监控录像、双人分段或专人保存密码、操作系统日志结合手工记录操作日志等管理办法，无法追溯操作人员在服务器上的操作过程、了解操作人员行为意图，并且这样的管理成本很高，很难做到长期照章执行。

  2)对服务器的维护和管理依赖于操作系统的口令认证，口令具有可被转授、被窥探及易被遗忘等弱点，另外，在实际环境中还存在多人共用一个账号甚至经常多人掌握Root权限帐户密码等现象，使得管理存在很大的安全漏洞，直接威胁服务器安全。

  3)针对许多外包服务商、厂商技术支持人员、项目集成商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时，无法有效的记录其操作过程、维护内容，极容易泄露核心机密数据或遭到潜在的恶意破坏。

   

  需求分析

  某银行对其信息安全建设一直比较重视，处于同行业较高水平，但是其运维安全管理、内控机制等方面也存在上述问题，因此针对运维管理的具体需求如下：

  1)支持日常维护人员针对AIX、Linux主机设备，主流网络设备、Windows服务器的进行的运行维护操作审计；

  2)审计协议支持SSH、SFTP、RDP等，同时支持SSO登录；

  3)详细的权限分配功能，可以根据时间、登录IP、目标资源等进行详细授权，并可集成行里双因素认证；

  4)对于被审计系统、设备支持密码安全管理功能；

  5)支持按时间、用户名、被审计设备、命令等进行的定制报表，并可以导出Excel或PDF等格式报表；

  6)审计结果以视频回访形式展现出来，并可以根据需求定位到某特定命令；

  7)设备支持硬件冗余方式，并支持HA。

   

  解决方案

  根据江南科友HAC支持的部署模式，结合某银行目前网络及安全现状，其逻辑部署如下：

         部署说明：

  *针对运维审计对安全的特殊要求，推荐在某银行DC核心交换机或二层接入交换上划分出“安全运维网段”，并使该网段路由可达到任何区域；

  *在安全运维网段部署2台HAC 1000E，单臂模式，实现HA，保障设备的高可用性；

  *在核心PIX作严格的安全策略，只允许主机、网络、安全等维护人员（行内、行外）通过HAC访问服务器、各区域，而不允许直接访问这些关键资源；

  *另外，在该安全运维网段可以部署运维管理主机，作为远程操作终端，用户经过HAC后，到达该管理主机，管理主机访问后台服务器。

   

  Ø  针对主机服务器、网络安全设备的审计

      实现过程为：

  1) 主机维护人员（行内、行外）首先经过HAC进行身份认证；

  2) HAC身份认证通过后，进行授权，指定该主机维护人员可以访问的后台资源；

  3) HAC将访问请求自动转发到后台资源。

      在这个过程中，运维人员的所有操作都被HAC安全记录下来，并可实现了数据重组和视频回放，完全再现了操作内容和行为轨迹。

   

  Ø  其他特殊客户端运维审计

      实现过程为：

  1) 针对特殊客户端（如IBM专用客户端、数据库客户端）维护人员（行内、行外）首先经过HAC进行身份认证；

  2) HAC身份认证通过且授权后，通过RDP或其他协议访问到运维管理主机（windows服务器或Unix服务器，该服务器上安装特殊运维客户端软件）；

  3) 运维管理主机访问后台特殊应用资源。

  在这个过程中，运维人员的所有操作都被HAC安全记录下来，并可实现了数据重组和视频回放，完全再现了操作内容和行为轨迹。

   

  方案特点

  Ø  为用户IT基础设施口令统一管理提供一种有效的解决方案，提高了口令管理员的工作效率；

  Ø  针对用户复杂的IT环境，提供了一种完备、有效的运维安全管理手段，最小化降低IT操作风险；

  提供一种有效技术手段满足信息安全、IT系统运维管理、企业遵规三个方面的要求。

• 业务特点

      随着信息化建设的快速发展，某证券已经建立起一定规模的信息化系统，它们都非常重要，涉及证券业务运营、日常办公等方方面面。

  网络中已经部署了防火墙、IDS、防病毒等各类安全产品和设备，并且采用了如网络边界划分、强化边界访问控制等多种防护手段。证券会有明文规定，要降低“老鼠仓”发生的可能，实际上对现有的各种审计和控制措施提出新的要求。

  某证券IT系统主要在证通机房和总部机房，日常运维人员管理对象包括各核心业务系统、防火墙、交换机、路由器、服务器。常用的运维协议于工具包括telnet、SSH、ftp、SFTP、http/https、Radmin、RDP、VNC、PcAnywhere等。

  目前的管理模式为分布式管理，运维人员从各自电脑设备发起对需要维护的设备进行操作。

   

  需求分析

  1、帐号安全

     多人使用同一账号，系统运维部门工程师众多，按照管理类型分为系统管理员、网络管理员、数据库管理员、安全管理员等，它们都可能会具有每台主机的管理权限，一旦主机出现因为运维导致的故障或数据丢失等问题，无法明确具体责任人，也无法快速定位问题原因，迅速恢复故障，以致带来巨大的损失。

  2、密码安全

      简单密码，容易破解和猜测

  ----目前我公司大量主机、网络设备的管理员密码都由运维人员管理，难以控制密码强度，难以满足证监会等相关机构对于系统密码复杂度的要求；

      定期修改密码的管理策略难以执行

  ----我公司有定期修改管理员密码的相关制度，但每次修改密码都涉及各台设备，执行起来工作量大也十分繁琐；

      修改后的密码最终以文本形式存放，存在泄漏的隐患

  ----密码掌握在运维人员手中，本身就不安全；大量的密码掌握在各类系统维护人员手里，本身就存在滥用、泄漏等安全隐患。

  3、操作安全

      操作权限无法控制

  ----某证券的核心业务系统除本公司运维人员本地运维外，还需接受来自营业部及分支机构运维人员的远程登入管理；同时还有来自互联网的运维访问，主要由厂家工程师和本公司运维人员远程VPN接入参与运维和紧急故障处理；存在运维人员严重不可控以及参与运维人员复杂而众多的现实情况，导致运维行为无法监控，不能及时了解所有登陆设备的详细运维情况；

      无意执行了危险操作，如：重启

  ----业务网设备如果在交易时间发生服务停止、重启等动作，将严重影响某证券的业务运营，而目前对运维人员无意执行的危险操作无任何提醒和限制手段；

      越权操作

  ----只要知道系统管理员帐号，就可以做任何操作，而无法精细控制该管理员的执行权限，即无法定义每个运维人员的操作权限，从而也无法控制越权操作。

  4、远程维护

      PC直接远程连接关键服务器，容易遭受攻击、病毒传染

  ----目前在办公网、交易网的PC都是通过网络直接与服务器的，一旦PC感染蠕虫等网络型病毒，极易对服务器产生影响。

      远程维护地点无法控制

  ----目前对运维人员连接服务器时的来源地址无控制手段，也就很难控制在系统管理员密码被泄露或外部支持人员远程维护时，登录系统的实际用户身份。

  5、运维操作行为安全

      运维人员在什么时间、什么地点访问服务器，都在服务器上做了哪些操作？现有审计手段无法准确定位事故原因。目前针对系统运维管理人员的审计只能定位到登陆服务器的IP地址、用户、时间等基本信息，无法准确了解运维人员登陆服务器后的具体操作行为，无法达到对运维行为进行操作留痕的审计基本要求。

  6、外部人员访问安全

      外包人员权限如何控制

  ----我公司系统运维人员中还有部分的第三方运维人员，他们在做系统维护时，通常是由内部人员帮其输入管理员密码，而此后他们对系统所做的操作缺乏应用的控制和审计。

      外包人员维护帐号泄漏

  ----还有少量长期合作的第三方运维人员，他们掌握了一部分系统的管理员密码，他们只要能接入内网，就能登录到各系统，如果他们所掌握的管理员密码泄漏，则存在极大的安全风险。

      离职人员恶意行为

  ----我公司系统运维人员中还有部分的第三方运维人员和设备厂商定期巡检的技术支持人员，对这些非本系统运维人员的运维行为非常有必要进行监控以及审计，满足对外来人员访问核心系统操作的知情权。

    

      总结起来，我们将我公司运维安全问题概括为认证、授权和审计三个方面。

   

  解决方案

      根据某证券系统运维安全审计的需求，我方推荐使用江南科友的运维安全审计系统HAC 1000与运维审计应用发布系统HAC1000-V。

  系统部署架构

      在服务器区域核心分别部署1台HAC 1000和1台HAC1000-V，部署的具体情况如下：

  部署方式均为单臂旁路模式，连接在核心交换机上；

  部署的唯一条件是HAC 1000、HAC1000-V与被管理的设备之间IP可达，协议可访问；

  HAC 1000是运维操作的唯一入口，使用访问控制策略（防火墙、ACL等）限制运维用户只能访问HAC 1000，不能直接访问后台主机；

  运维用户使用唯一的用户账号登录HAC 1000A，然后HAC 1000A根据配置管理员预先设置好的访问控制规则，提示用户选择可以访问的目标设备和相应系统账号，用户选择完成后会自动登录到目标设备。

  HAC设备也可选择双机负载均衡方式

  VDH设备上可以发布需要审计的系统工具，如：IE、Radmin、VNC、Pcanywhere等，并在HAC上对用户进行授权和审计。

  VDH有以下主要功能和特点：

  *与HAC配合，能很好地支持各种协议或应用，能实现认证、授权；

  *对图形界面的会话操作，可对键盘输入或界面文字进行基于关键字的查询检索；

  *具有很好扩展性，通过对VDH的加装应用，支持各种应用；

  *系统自身有厂商维护和加固，有很好的安全性。

  与OA系统交互

  HAC能够与OA系统进行交互，OA系统进行变更工单的管理，HAC根据变更工单的内容控制用户对服务器资源的操作访问，结合HAC，改善原有变更管理流程，将变更工单申请、执行和审核流程结合到HAC中。

  变更工单申请过程读取HAC的配置，从中选择运维用户、访问资源和账户等信息，加入到变更工单申请内容中；

  变更工单执行过程分为：传输、转换、运行和反馈四个子过程；

  变更工单审核过程通过HAC的审计平台来实现。

   

  方案特点

  *实现统一运维认证账号分配、统一应用系统账号管理、统一对运维人员授权；

  *实现运维账号认证，集成LDAP、动态口令、证书等认证方式；可访问资源列表、系统账号托管（运维人员无须知道后台系统密码）、可控制访问资源时间、对敏感操作的实时阻断和告警；

  *运维行为审计、报表；操作录像；针对命令行的操作索引和回放；

  *通过HAC的主-主模式，实现2个机房的互为冗余备份；正常工作时，各自区域运维用户通过本地HAC登录，当某个机房HAC出现故障时，该区域运维用户自动切换到另外一个机房的HAC进行登录；两套HAC之间的配置自动进行同步；

  HAC能够与OA系统进行交互，OA系统进行变更工单的管理，HAC根据变更工单的内容控制用户对服务器资源的操作访问，结合HAC，改善原有变更管理流程，将变更工单申请、执行和审核流程结合到HAC中。

• 业务特点

     某移动公司网管网系统包括：OSS系统、智能网、IOD系统、软交换系统等十几套网管系统。网管人员管理对象包括：各业务系统服务器（Unix系统、Linux系统和Windows系统等）和网络设备（路由器、交换机、防火墙等）。

     根据安全域划分原则，某移动公司网管网可以划分为下列安全域：

  Ø 网络交换区 包括核心交换机，实现各个区域之间的高速互联互通

  Ø 核心生产区 各种生产系统，主要包括十几套网管系统

  Ø DMZ应用区 各种网管系统服务器

  Ø 日常办公区 各种管理终端

  Ø 互联接口区 与移动其它系统互联的接口，包括OA、第三方接入、省网管网等

  Ø 管理服务区 各种安全相关系统，如防病毒服务器、补丁服务器、接入认证服务器、AD域服务器等

  网管人员的日常操作模式为：使用公用终端登录DMZ应用区的网管网服务器，再通过该类服务器登录后台各种网元设备；或者使用公用终端直接登录后台各种网元设备。

  日常运维人员100人左右，每个人员基本上同时登录多套网元系统。

   

  需求分析

  网络运维人员一般具有“特殊”的权限，其操作行为又往往得不到实时监控、阻断和记录。特别是第三方外包维护人员，对其产生误操作、违规操作和恶意操作导致系统运行异常或敏感信息泄露等问题，无法追溯并定位真实的操作者，致使运维管理中存在不可控和不透明操作风险。运维审计系统通过对用户的所有操作行为以及行为的详细内容进行审计，使安全管理人员能清晰地了解用户对系统的操作情况。另外，随着系统的不断发展，所有对系统的运营管理必然流程化、规范化。

  因此，为实时监控和记录运维人员网络活动，便于事后追溯，以及及时阻断违规、危险行为，保障各业务系统的安全运行。需要部署一套统一运维安全审计系统，对运维操作进行访问前预防、访问中控制、访问后审计。

   

  解决方案

  为解决网管网自身设备管理的问题，部署一套运维安全审计系统HAC1000。

  具体部署时采用2台HAC1000和多台HAC1000-V的模式，2台HAC1000实现冗余备份。多台VDH实现负载功能，HAC1000自动把不同的登录用户负载到相应的HAC1000-V上，保证所有用户的运行稳定。

  运维安全审计系统工作为单臂模式，设备直接连接在网管网安全管理区交换机上。运维人员管理主机、网络设备、网管系统时，先登录到运维安全审计系统，再登录后台目标设备，如上图中的红色虚箭头线所示。

  运维安全审计系统的管理对象包括：各网管网服务器、Unix主机、Windows主机、路由器、交换机、防火墙。

  运维安全审计系统支持Telnet、SSH、FTP、SFTP、RDP、VNC、Xwindows等常用运维协议，对于其它协议能够通过虚拟终端的方式实现审计功能。

  运维安全审计系统支持的常用协议包括Telnet、SSH、FTP、SFTP、RDP、VNC、Xwindows等，对于非常用协议例如http/https、PCAnywhere、各网管终端等使用虚拟终端的方式也能实现审计和控制功能。

  虚拟终端工作模式如下图：

   

  用户C访问运维审计系统，然后访问虚拟终端服务器HAC1000-V，再从虚拟终端服务器访问后台目标服务器S。

  目前使用的各类网管终端如OSS系统、智能网等终端安装在虚拟终端服务器HAC1000-V上，运维人员操作电脑上无需再安装此类网管终端软件。进行维护操作时，通过https方式登录运维审计系统，选择使用的虚拟终端服务器，即可以使用各种网管软件登录后台设备进行日常维护。

  用户登录虚拟服务器时采用Windows Terminal(RDP)方式，并且操作界面能够全屏显示，而不是采用其他软件模式以小窗口方式显示，影响运维操作。

  目前使用各种网管软件，包括华为M2000（每客户端占用内存500M），平均下来每个客户端使用各种网管软件占用HAC1000-V资源为200M。一台HAC1000-V设备（4G内存+缓存空间），在只使用M2000的客户端理论上可以支持10个并发用户。

  运维用户可以通过HAC1000-V实现各种访问控制。可以限制某个运维用户只能使用M2000网管软件，不能使用其他网管软件。除此之外，还能限制运维人员通过该网管软件可以登录的后台主机IP，限制只能访问该授权设备。

   

  方案特点

  *在不改变现有维护手段情况下，有效地解决了内部运维和第三方运维的安全审计问题；

  *通过HAC的事前预防、事中控制和事后审查和纠正多种手段降低IT人为操作风险；

  *通过HAC提供的口令代理功能提高了系统口令管理安全性和日常管理效率；

  *通过VDH的使用实现了各种网管应用例如华为M2000的审计；

  提供一种有效技术手段满足信息安全、IT系统运维管理、企业遵规三个方面的要求。

• 业务特点

      某省电网公司已建成覆盖全省21个地区的综合业务数据网，综合业务数据网具有独立的骨干网和城域网，直属各供电局综合业务数据网以数据中心（IDC）机房为核心，通过城域网连接下属各部门及分支机构的综合业务数据网。IDC机房整合了公司的各种信息数据和硬件资源，为公司本部、各单位综合业务数据网的数据处理与存储基础设施，机房内包括主机、网络、应用、数据等设备和系统，各种类型如下：

  设备类型	具体品牌
  服务器	Windows、Linux、AIX、HP-UX、Solaris等操作系统
  数据库	Oracle、Sybase、SQL、MySQL、DB2、PostgreSQL
  中间件	Weblogic、Sagent、Brio、Tomcat、IIS、Apache、Domino
  网络设备	交换机、路由器、负载均衡，包括北电、Cisco、H3C、华为等品牌
  安全设备	各类品牌的防火墙、IPS/IDS、VPN、防病毒，包括Juniper、启明星辰、Nokia、check point、深信服、天融信、易尚、Symantec

  某省省电网公司已经部署了PKI/CA、OA系统、邮件系统、IT服务管理系统、短信平台等应用安全系统。

  某省省电网公司包括公司本部和21个地市公司，公司本部的设备数量为350台，其它地市公司设备数量在150到300之间。全网设备节点数大致为5000个。

   

  需求分析

  依据国家信息安全等级保护基本技术要求，国资委、电监会、南方电网公司对信息安全审计要求，结合公司信息安全现状和当前信息安全审计先进技术，建设IT运维审计系统，规范和完善公司IT运维审计，落实IT运维人员实名制，加强对主机、网络、数据库等系统的运维操作审计，规范IT运维人员操作行为，提升对IT运维操作的监管能力，提高公司网络与信息安全管理与运维水平。

  l  实现维护接入的集中化管理。对运行维护进行统一管理，包括设备账号管理、运维人员身份管理。

  l  实现运维人员统一权限管理，解决操作者合法访问操作资源的问题，避免可能存在的越权访问，建立有效的访问控制。

  l  实现运维日志记录，记录运维操作的日志信息，包括对被管理资源的详细操作行为。

  l  实现运维操作审计，对运维人员的操作进行全程监控和记录，实现运维操作的安全审计，满足信息安全审计要求。

  l  与现有安全系统的整合，如AD域、PKI系统、短信平台系统、邮件系统。

   

  解决方案

  根据某省省电网应用现状，采用统一采购、统一部署的方式，解决本部、各个地市分公司的运维管理问题。全网一次统配24台1000P、24台1000V。

  IT运维审计体系结构包括三大部分：运维人员、运维对象、IT审计系统下图是每个节点的部署示意图。

  运维人员包括公司内部运行维护人员，IT基础设施供应商、IT应用系统供应商、IT运维服务供应商等第三方服务和开发人员。

  在部署IT运维审计系统的同时需要给每一个运维人员建立唯一的自然人账号，配置要管辖的主机资源，建立主机的资源账号，根据业务需要，配置访问控制策略，每个人能以什么身份访问主机，建立自然人与主机账号的对应关系。

  运维人员要登录主机服务器进行运维操作时，首先登录到IT运维审计系统，IT运维审计系统根据登录用户的权限，提供该用户所能访问的主机与网络设备列表。

  运维人员选择要维护的运维对象，包括主机、设备等，IT运维审计系统根据运维人员在该运维对象的帐号权限，完成后续的登录过程后，运维人员方可进行维护操作。

  IT运维审计系统的部署方式优先采用堡垒机方式，且满足不会对公司的业务系统、网络中的数据流向、带宽等产生负面影响，不需要调整任何网络架构，也不需要在设备、主机等被管设备上安装任何代理程序。

  堡垒机方式部署架构示意如下图：

  在进行维护操作时，运维人员首先登录到IT运维审计系统，IT运维审计系统根据登录用户的权限，提供该用户所能访问的主机与网络设备列表，运维人员被管的对象进行运维操作，IT运维审计系统根据预先设置好的审计规则，自动捕获相关数据并保存。

  除基本功能外，HAC1000与现有的安全平台进行了有效整合，如AD域、PKI系统，实现了统一的身份认证问题；与短信平台系统、邮件系统进行整合，解决了运行维护的告警等信息实时发现管理员，实现动态管理。另外提供相关的API接口，可以协助实现与其它系统地接口连接。

   

  方案特点

  Ø  全网范围统一采购部署，保证了形成统一的安全审计规范和流程，对网络设备、主机服务器、数据库的操作运维审计形成相同的安全策略；

  Ø  与现有的AD域、PKI、短信平台系统、邮件系统等进行有效整合，解决了集中身份认证、告警信息发送等问题；

  Ø  提供一个针对用户所有运维手段的完备审计解决方案；

  Ø  引入运维审计系统，审计信息、管理策略独立于现有系统，为运维管理提供一个统一、独立的运维安全审计解决方案；

  Ø  产品集认证、授权和审计为一体，有效地保证了只有合法用户在拥有合适的权限下才能访问保护设施，提高了系统的整体安全；

  Ø  从技术上解决了目前常见的非授权访问、恶意破坏而无法监控、审计的问题，并为各项管理制度的落实提供技术保障；

  Ø  从审计角度，较好地解决了“谁、何时、何手段、对谁、做何操作”的问题，同时能保证运维信息100%不丢失信息，符合基于内容的审计的要求；

  Ø  系统部署简单，对现有网络、系统不产生任何影响，运维客户端、保护设施上不安装任何软件；

  Ø  系统管理简便。