網域IT運維安全審計產品是一款基于B/S架構的操作行為安全審計系統���,主要功能是對主機���、服務器、網絡設備��、安全設備等的管理維護進行安全���、有效�����、直觀的操作審計��,支持IT運維人員對多種遠程維護方式���,如字符終端方式(SSH��、Telnet��、Rlogin)��、圖形方式(RDP���、X11、VNC���、Radmin�����、PCAnywhere)�����、文件傳輸(FTP�����、SFTP)以及多種主流數據庫的的詳細記錄和提供細粒度的審計��,并支持操作過程的全程回放�����。網域IT運維安全審計產品彌將運維審計由事件審計提升為內容審計��,并將身份認證���、授權、管理�����、審計有機地結合���,保證只有合法用戶才能使用其擁有運維的權限關鍵資源��。
設備集中統一管理
運維用戶通過一個統一的平臺就能登錄所有的目標設備��,包括Unix���、Linux、Windows服務器以及各類網絡設備�����,并且運維用戶不需要知道目標設備的賬戶密碼;同時目標設備的密碼可以依據企業策略定期自動修改�����。
根據策略實現對操作的控制管理
根據企業的策略���,控制哪些運維用戶��、可以通過什么樣的權限�����、在什么時間��、訪問哪些目標設備���,從而能夠有效的控制運維用戶的操作權限,降低運維操作的復雜度���。
實時的操作告警及審計機制
運維操作的復雜難免會造成運維用戶的誤操作���,企業需要避免由此帶來的風險��,并能有問題追溯機制。這就要求能對運維用戶的所有操作進行實時的控制��、告警及監控�����,避免由于一些敏感的操作導致網絡中斷或企業信息泄露���,同時能記錄所有操作并能隨時根據審計的需要查詢任何時候任何人員所做的任何操作��,并有詳盡的報表��。
符合法律法規
針對安然�����、世通等財務欺詐事件���,2002年出臺的《公眾公司會計改革和投資者保護法案》(Sarbanes‐Oxley Act)對組織治理、財務會計��、監管審計制定了新的準則,并要求組織治理核心如董事會���、高層管理�����、內外部審計在評估和報告組織內部控制的有效性和充分性中發揮關鍵作用���。與此同時,國內相關職能部門亦在內部控制與風險管理方面制定了相應的指引和規范��。
由于信息系統的脆弱性��、技術的復雜性��、操作的人為因素�����,在設計以預防��、減少或消除潛在風險為目標的安全架構時���,引入運維管理與操作監控機制以預防�����、發現錯誤或違規事件��,對IT風險進行事前防范�����、事中控制��、事后監督和糾正的組合管理是十分必要的�����。
一�����、集中訪問控制
1.身份管理和認證:
(1) 支持運維用戶口令認證��、LADP認證��、AD域認證���、Raduis認證��、POP3認證方式�����。
(2) 支持密碼強度��、密碼有效期�����、口令嘗試死鎖���、用戶激活等安全管理功能。
(3) 支持用戶分組管理�����。
(4) 支持用戶信息導入導出�����,方便批量處理���。
2. 授權:
(1) 系統提供基于用戶��、運維協議���、目標主機��、運維時間段���、運維客戶端IP等組合的授權功能,實現細粒度授權功能��,滿足用戶實際授權的需求�����。
(2) 提供基于用戶到資源的授權��。
(3) 提供基于用戶組到資源的授權���。
(4) 提供基于用戶到資源組的授權。
(5) 提供基于用戶組到資源組的授權�����。
二��、審計功能
事中審計與控制:
1、實時監控?
(1) 監控正在運維的會話��,信息包括運維用戶�����、運維客戶端地址��、資源地址�����、協議��、開始時間等��。
(2) 監控后臺資源被訪問情況���。
(3) 提供在線運維操作的實時監控功能���。針對命令交互性協議可以圖像方式實時監控正在運維的各種操作,其信息與運維客戶端所見完全一致���。
2���、違規操作實時告警與阻斷:
(1) 針對運維過程中可能存在潛在操作風險�����,IT運維安全審計產品根據用戶配置的安全策略實施運維過程中的違規操作檢測��,對違規操作提供實時告警和阻斷��,從而達到降低操作風險及提高安全管理與控制的能力��。
(2) 非字符型協議的操作能夠實時阻斷��,字符型協議的操作可以通過命令行配置進行規則匹配實現告警與阻斷�����。
(3) 提供用戶可配置的告警規則。
(4) 告警規則支持告警級別��、告警分類和與后臺資源綁定���。
(5) 在具有自動登錄功能的IT運維安全審計產品上�����,可實現告警規則與后臺資源的賬戶級別進行綁定��,針對不同用戶實施不同的規則��,從而提供更細粒度的操作控制
(6) 告警動作支持會話阻斷�����、審計平臺告警�����、郵件告警��、Syslog告警�����、SNMP TRAP告警等���。
3���、事后審計與報表:
1、完整記錄網絡會話過程
(1) 系統提供運維協議Telnet、FTP��、SSH�����、SFTP�����、RDP(Windows Terminal)���、Xwindows�����、VNC��、AS400��、Http、Https等網絡會話的完整會話記錄���,完全滿足內容審計中信息百分百不丟失的要求��。
(2) 會話信息包括運維用戶���、運維地址���、后臺資源地址、資源名�����、協議��、起始時間��、終止時間��、流量大小信息�����。
(3) 會話信息包括運維過程中所有進出后臺資源的數據�����。
2���、詳盡的會話審計與回放
(1) 運維操作審計以會話為單位���,提供當日和條件查詢定位�����。條件查詢支持按運維用戶���、運維地址、后臺資源地址��、協議���、起始時間���、結束時間和操作內容中關鍵字等組合方式。針對命令交互方式的協議�����,提供逐條命令及相關操作結果的顯示���。
(2) 提供圖像形式的回放,真實、直觀��、可視地重現當時的操作過程�����。
(3) 回放提供快放��、慢放��、拖拉等方式��,方便快速定位和查看���。
(4) 針對命令交互方式的協議���,提供按命令進行定位回放。
(5) 針對RDP���、Xwindows��、VNC協議��,提供按時間進行定位回放���。
3���、完備的審計報表功能
(1) IT運維安全審計產品提供運維人員操作,管理員操作以及違規事件等多種審計報表�����。
(2) 提供日常報表���,包括今日會話��、今日審計��、用戶信息���、資源信息、權限信息���、規則信息�����、管理員角色信息等報表�����。
(3) 提供會話報表�����,可根據用戶選定時間���、用戶、資源形成會話報表���。
(4) 自審計操作報表�����,可根據用戶選定時間���、管理員、模塊形成自審計報表���。
(5) 告警報表�����,可根據告警類別�����、級別��、資源��、運維用戶�����、協議��、時間等條件形成報表��。
(6) 綜合統計報表���,可根據時間�����、資源�����、用戶等條件形成綜合統計報表��,報表中包括概要信息��、每個用戶操作信息�����、每個資源被操作信息等���。
三、統一修改密碼策略
后臺資源自動登陸功能是運維人員通過IT運維安全審計產品認證和授權后���,IT運維安全審計產品根據配置策略實現后臺資源的自動登錄���。此功能提供了運維人員到后臺資源賬戶的一種可控對應,同時實現了對后臺資源賬戶的口令統一保護���。
四��、權限統一控制
四權分立��,系統管理員��、運維管理員���、口令管理員和審計員���,可定制管理員角色。
五�����、HA支持
IT運維安全審計產品支持雙機模式���,雙機模式下設備宕機后���,運維人員只需重新建立運維會話即可;如未采用雙機模式��,IT運維安全審計產品宕機后需要管理員通知運維人員���,保證運維人員能夠直接登錄后臺目標設備�����。
六�����、內置審計平臺
內置專用審計平臺��,無需安裝外置的審計平臺���。
七���、網絡接入模式
支持網橋模式和旁路模式接入。
點擊圖片查看原圖
