作为信息化水平相对较高、发展较快的行业用户,金融、电信运营商、电力等行业数据中心用户对建设和发展信息安全系统有着高度统一的认识。并且,这些用户已经受到诸如“信息系统等级保护”、“萨班斯法案”等法规政策的约束。因此,运维操作审计需求将显得尤为突出。
目前,数据中心行业用户纷纷部署了防火墙、IPS、网络防病毒系统、漏洞扫描系统等安全产品,建立了较为完善的信息安全防护体系,取得了一定效果。但网络安全故障仍时有发生,造成这些不合规、不合法的行为很多来源于内部“合法”的用户操作。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题,但对于内部人员的违规操作而导致数据误删除、数据破坏、数据泄密等致使企业利益、公众利益和国家利益受损的行为,却无能为力。
因此,采取行之有效的运维操作审计措施,弥补这一信息化安全管理的盲区,是当前各级企业数据中心信息安全建设的当务之急。
目前被广泛采用的运维操作审计形式是通过运维审计型堡垒机进行审计。运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前端,对运维人员的操作权限进行控制和操作行为审计。
针对数据中心用户的业务需求及业务现状,德讯科技提供了一套IT设施运维操作审计(堡垒主机)解决方案,采用“DCLive+ICS”联合部署模式,为各地市级运维人员提供一个统一的操作平台,突破地域、时空、时间的限制,基于WEB浏览器即可实现如字符型会话、图形访问、数据库管理及其他应用类运维操作等相关运维需求。
此外,方案为数据中心管理人员提供一个集中化的审计平台:事中可实时监视系统内所有会话访问与操作行为,事后第一时间可及时审查整个运维过程。该方案从技术上保障了电信行业数据中心“分布式运维操作,集中式监控审计”的安全管理目标。
本方案部署如图1所示:
图1 德讯科技运维操作审计(堡垒主机)解决方案部署图
德讯科技IT设施运维操作审计(堡垒主机)解决方案具备以下五大部署特点:
1.利用原有网络拓扑架构,安装部署简便,无需加装任何客户端代理,不影响任何业务数据流;
2.将ICS设备分布式部署于各地级市,实现本地化运维,独立化操作,互不干扰;
3.部署两台ICS设备,共同分担局域网内并发会话的压力,实现各分支网络负载均衡;
4.将DCLive管理平台部署于省级中心机房,实现对下级分支机构所有运维过程的集中监视、控制、管理与审计;
5.HA部署主备两台DCLive设备,以保障数据完整性以及整个系统的防灾恢复。
通过本方案的应用,能够实现以下应用价值:
一、为数据中心用户提供了统一的运维平台。
方案提供统一的WEB管理入口,对登陆用户身份的合法性实施统一认证;系统自带字符类/图形类/应用类多种运维工具,无需运维客户端即可自行安装,避免运维过程中出现工具不全面,版本不兼容等问题;支持会话代理访问通道的建立,改变原有本地客户端直接发起会话的运维模式,实现对运维过程的有效监控与审计。
二、实现双人授权访问控制,保障运维安全。
依据行业安全等级保护标准,方案能够实现双人授权访问控制策略管理。权限范围内的任何一人登陆运维平台,即使通过身份认证,也不能独自执行会话操作,必须要得到策略内另一用户的授权。系统支持本地口令输入及远程身份认证两种授权方式。主要通过提升授权管理的细粒度,保障核心设备、关键业务以及第三方运维操作的合规性、安全性。
三、提供事后全面审计,保证操作留痕。
方案提供网内运维管理全生命周期的审计,即采用流媒体形式记录运维人员登陆运维网关至登出运维网关的全过程,支持对字符、图形、数据库、WEB应用等多种类型会话的全面审计。审计结果以操作日志及录像相结合的形式呈现,符合4W (When/Where/Who/What)原则。同时,支持录像回放、SQL语句、关键字符与审计录像关联定位与检索,实现运维操作过程的快速定位、精确跟踪以及真实重现,协助审计人员对非法运维操作节点的排查及故障责任的追溯,提升数据中心精细化、规范化的运维安全管理水平。
德讯科技运维操作审计(堡垒主机)解决方案在运维人员与IT设施之间设置了一道屏障,可以有效提高服务器等重要信息基础架构的安全级别,辅助对信息安全故障和安全事件的全面记录和事后追溯定位,能够有效帮助数据中心用户弥补安全漏洞、完善系统安全防护体系,提高信息系统运行的安全性和事件的追溯能力。