网络信息安全综合部署方案建议书
(堡垒机与数据库综合方案)
帕拉迪统一安全管理与综合审计系统(简称:PLDSEC SMS),通过规范运维权限管理、严密运维过程控制、透明化运维操作过程等手段,对运维工作中的人为风险进行防范、规避。
PLDSEC SMS以集中监控、SSO 单点登录和身份认证为基础,实现对以SSH,TELNET,FTP,SCP、SFTP、RDP、VNC、X11、HTTP、HTTPS等工具对服务器资源进行操作管理行为的统一入口、统一认证、统一授权、统一审计;实现对ORACLE,SYBASE,MS SQL,DB2,INFORMIX,MYSQL等商业数据库操作的集中审计和控制;实现组织环境业务应用运维、IP KVM控制台运维的集中审计和控制。
部署PLDSEC SMS后系统将断开操作用户与目标服务器之间的直接连接。用户对服务器的远程操作全部集中登陆到帕拉迪统一安全管理与综合审计系统上,通过二次跳转系统将用户直接连接到指定服务器,实现用户对服务器资源操作管理的集中人证、集中控制、集中审计。
PO-4逻辑模型图
2.1.2 DbXpert网络部署与工作原理帕拉迪数据库风险分析与安全监控审计系统(简称:DbXpert)作为国内外“流技术”数据库审计产品第一品牌,结合各类法案法规(如等级保护、组织内控管理、SOX法案、PCI等)对数据库审计的要求,运用当今最先进的流技术加以全协议解码,完成海量数据的完整审计与精准分析。
审计对象:DbXpert所指的审计对象是指DbXpert逻辑上能够审计的数据库服务器;DbXpert可以采用多级部署方式管理审计对象;并且在DbXpert内部可以按照多种方式来表示审计对象:如客户端的登录IP、登录用户名、登录主机名、登录程序、来源端口等;服务端的数据库类型、数据库端口、数据库账号等。
DbXpert侦听收集引擎全面监听网络连接到数据库的数据流,根据配置的策略,实时监视所有数据包进行分析记录,并将审计结果保存在DbXpert数据存储中心的相应数据库里;同时DbXpert侦听收集引擎接收并执行DbXpert控制管理中心的各种策略。
DbXpert数据存储中心主要用于各种数据保存,并提供各种数据查询。
DbXpert控制管理中心主要用于提供审计、管理等策略设置接口,如配置数据库服务器管理;程序升级等接口;DbXpert控制管理中心采用B/S架构,通过提供浏览器服务端,使管理人员很方便的通过网页浏览器对网络哨兵控制管理中心进行操作管理。
面对某金融的网络结构图,我们采用的是将PLDSEC SMS与DbXpert部署在内网的核心交换机
因为2台核心交换机启用了负载均衡,所以只需将PLDSEC SMS连接到其中一台核心交换机上即可。DbXpert的抓包口要连接到2台交换机的目标镜像端口上。
1、部署描述:
- 运维审计系统以逻辑网关的方式部署在运维区跟生产区(包含分支服务器)之间,所有的运维操作都不能绕过运维审计系统。
- 所有运维操作都必须在运维区连接到运维审计系统进行,且通过网络控制只有在运维区内才能访问运维审计系统。
- 用户登录认证采用堡垒机自带动态令牌认证系统和手机令牌认证系统。
- 专线在运维审计系统运行正常的情况下,不启用。
- 双机热备模式,一个虚拟地址,两个物理地址都可以访问;所有的访问、配置、操作过程记录都同时存储到两台系统上。
2、访问流程:
- SA、DBA、网络、应用维护人员使用实名制账号通过运维区域运维终端登录运维审计系统。
- 在堡垒机上配置认证方式,用户通过动态令牌或手机令牌认证登录。
- 认证成功后,运维审计系统将对应授权的资产展现给运维人员,运维人员直接选择连接进行系统维护操作。
- 在此阶段所有运维过程将实现实施监控和过程记录。
单纯的审计对用户帮助是非常有限的,因为审计是在风险事件发生之后,我们的目的是希望风险事件不要发生,那么如果没有对风险的事前控制、事中的监控,审计就失去了一个依靠的基石,很难完美的实现。
- 首先,运维操作面对的是各种各样的操作方式,有的是图形操作,有的是命令操作,有的是客户端操作,那么如何对各种操作方式进行统一管理?
- 其次,运维操作面对的是人,人永远是最大的风险,在目前的运维环境中,只是依赖设备上的系统账号是无法准确识别用户身份的,那么如何确保操作者和操作行为能够一一对应?
- 再次,操作有正在进行的操作和已经结束的操作,如何对这两种操作进行有效的管理?
- 最后,运维审计面对的是如何从那些海量记录的数据中快速寻找到最有价值的操作数据?
我们不能头疼医头脚疼医脚,必须找到问题的根源,首先须从能够产生风险的各个层面去降低风险,才能够彻底解决问题。为什么用户往往提出的都是操作审计需求,而不是安全管理需求,是因为操作审计其实是露出冰山上的那个角,更多的需求是隐藏在水面下的,不深入挖掘是很难发现。
我们解决问题的思路是风险从哪里来、存在于哪里,才能去解决。因为IT运维操作的风险来源于管理模式、用户、操作等各个方面,所以我们给用户提供的是一个对操作进行集中管理,对身份、访问、权限、审计进行控制,真正帮助用户降低运维操作风险的整体解决方案,而不是一个单纯的审计功能的产品。
专注于网络信息安全领域的帕拉迪科技,综合多年的IT运维管理建设的经验和业界信息安全建设的基础上,对于组织信息系统中“人”的管理方面进行了多年的研究,推出的PLDSEC SMS是一套综合管理组织信息系统中“人”的身份及访问安全管理的解决方案。从理顺、简化组织信息系统“人”的操作流程、规范,约束、控制组织信息系统“人”的网络权限、行为角度出发,结合组织业务系统的特点,按照信息系统“人”的管理角度进行组织信息系统“人”的综合治理。
集中管理是前提
管理模式是首要因素,管理是从一个很高的高度,综合考虑整体的情况,然后制定相应的策略,最后落实到技术实现上。管理解决的是面的问题,技术解决的是点的问题,管理的模式决定了管理的高度。
随着应用的发展,设备越来越多,维护人员也越来越多,当管理一个人员组成复杂、设备种类繁多(WINDOWS,UNIX,LINUX,网络设备)的复杂网络环境时,集中管理变得非常必要。只有集中才能够实现统一管理,也只有集中管理才能把复杂问题简单化,集中管理是技术运维管理思想发展的必然趋势,也是唯一的选择。
帕拉迪统一安全平台(PLDSEC SMS)提供统一的集中操作管理平台,完成对“你是谁”、“你能去哪里”、“你能做什么”、“你做了什么”的全程跟踪、控制与审计。
“集中管理”提供服务器统一操作管理平台,隔离“人(操作者)”和“主机设备等重要资源(操作对象)”直接连接,规范服务器操作管理行为,将管理、维护数据流和业务数据流分离,统一操作管理接口,完成和谐、规范、有序网络构建和资源使用行为控制,为随后的“集中认证”、“访问控制”、“权限控制”和“操作审计”打下坚实基础。
身份管理是基础
身份管理解决的是操作者的身份识别和工作角色的问题。用户的身份和工作的角色并不是一个概念,用户身份是用来识别和确认操作者的,工作角色是为了在目标设备上完成工作任务的,一个用户可以对应多个工作角色,一个工作角色也可以对应多个用户。
因为所有的操作都是维护人员进行的,如果我们连维护人员的身份和角色都无法确认,那么不管我们怎么控制、怎么审计都无法准确的定位操作责任人,所以身份管理是基础。
帕拉迪实现了“用户帐号”、“系统帐号”、“用户密码”、“系统帐号密码”的集中管理。实现了“用户帐号”与“系统帐号”关联,对于用户来说,每一个用户有一个主账号,而从账号是对应到每一个资源,解决了“共享帐号”难题;自动分发并管理系统帐号密码,有效降低设备密码管理的成本,提高管理效率。
用户通过支持强身份认证的单点登陆完成身份认证进入用户资源展现平台,即组织Portal。资源使用者可以在资源展现界面直接访问得到授权的资源,而资源管理者通过资源展现界面对组织资源进行配置和管理。
访问控制是手段
操作者身份确定后,下一个问题就是他能访问什么资源。如果操作者可以随心所欲访问任何资源,就等于没控制,所以需要通过访问控制确保合法操作者合法访问资源,有效降低未授权访问所带来的风险。
帕拉迪通过访问控制网关,实现用户的主机资产授权和资源帐号授权。用户访问控制策略根据“人”进行组织:
你是谁?(who),什么时候?(when)
去哪里?(where),做什么?(what)
权限控制是核心
对于运维操作来说,权限控制是从操作层面控制操作者的权限,因为操作是最核心的风险因素,只有真正控制住用户的操作权限,才能有效的降低操作风险。
帕拉迪采用类防火墙的命令控制策略,准确识别用户操作意图,识别用户输入操作命令,对违反命令策略的操作行为,能够实时阻断或给予警告;操作限制支持时间、用户原始IP地址、目标服务器地址、用户名称、系统帐号、使用的命令等策略因子。对高危命令要能自动阻断命令的执行,对越权操作行为要能及时警告。
操作审计是保证
风险管理和内控管理是现代组织不遗余力地投入资源进行建设的目标,而完备的、健全的、有效的集中审计系统就是通往这一目标的重要途径和手段。
一方面,集中审计可以帮助管理层和审计者审核信息系统的运行是否符合法律法规的要求和组织的安全策略;另一方面,这些宝贵的审计信息在信息系统出现故障和安全事故时,帮助调查者深入挖掘事件背后的情报,重建事件过程,直至完整的分析定位事件的本源,并部署进一步的措施来避免损失的再次发生。
帕拉迪服务器统一安全管理系统集中审计模块帮助记录发生在重要信息系统中各种各样的会话和事件,包括网络中的、主机操作系统中的以及应用系统中的如ORACLE数据库等。操作行为审计信息反映了信息系统、服务器资源运行的基本轨迹。
1、“细粒度”数据库审计:
- 深度解码数据库网络传输协议,完整、细粒度分析并再现用户数据库操作活动过程。完整记录用户数据库会话细节,包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视图、索引、过程 、函数、SQL DML操作影响行数、SQL SELECT操作返回行数、SQL语句执行时间、原始数据库记录包等。此功能国内唯一。
- 完整解析、记录、关联SQL操作语句绑定参数,可自动回溯重构完整SQL操作语句。
- 实时监控来自各个层面的所有数据库活动,包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求。
- 提供灵活的数据库访问行为来源限制,可选择忽略审计特定网络和主机产生的数据库SQL操作;亦可限制仅对特定“嫌疑”对象进行细粒度、全方位审计,包括记录整个数据库操作会话过程所有网络数据包。
- 覆盖主流商用数据库,包括:Oracle 8/9/10/11等、Sybase所有版本、SQL Server 2000/2005、Informix所有版本、DB2所有版本、Mysql所有版本。
2、灵活的数据库访问策略:
- 提供来源(客户端)登录IP异常探测、数据库登录用户名称异常探测、数据库操作源终端异常探测、数据库操作源程序名称异常探测、数据库操作源终端用户名称异常探测。
- 提供数据库SQL语句执行时间、数据库操作闲置时间策略报警,提供数据库DML操作影响行数策略报警,提供数据库SELECT SQL操作语句返回行数策略报警。
- 提供全方位的策略规则匹配,策略因子包括:数据库操作来源IP地址、数据库服务器IP/端口、数据库类型、数据库名称、数据库登录用户名称、数据库操作源程序名称、数据库操作源终端名称、数据库操作源终端用户名称、SQL操作语句(DDL、DML、DCL)、高级权限操作、存储过程、数据库表组(表、字段、值)、数据库SCHEMA、操作执行时间、操作返回条目大小等。
- 多形式的实时告警:当检测到可疑操作或违反审计规则的操作时,系统可以通过监控中心告警、短信告警、邮件告警、SYSLOG告警等方式通知数据库管理员。
- 根据设定的数据库策略,可选择对关键资源操作行为进行数据包录像、深度分析解析开关。
3、全面完整的数据库审计与操作回溯:
- 记录数据库会话详细细节,当发生数据库安全事件时,用户可根据数据库地址、源客户端地址、事件发生时间、数据库安全事件内容等,快速检索定位操作会话。
- 会话审计记录细致到每一次事务/查询的原始信息,记录所有的关键信息,至少包括以下各个方面:数据库服务器名称、数据库操作源IP地址、目的IP地址、原始的查询指令、关联参数绑定后的数据库SQL操作语句、源应用程序名称、数据库用户名称、访问源操作系统用户名称、访问源操作主机名称、高级权限操作、存储过程、目标数据库、SCHEMA、操作回应内容、操作返回的错误代码、操作回应的时间、操作回应条目大小、选定的原始数据包片段等。
- 提供完善的违规实时告警,包括异常告警、违反策略告警等。告警信息可根据数据库地址、数据库名称、访问源IP地址、用户名称、源程序名称、源终端名称等排序、统计
- 用户管理
用户管理的主要对象是使用“IT运维统一安全管理平台”的人员,它包括系统管理员、操作人员、开发人员以及第三方维护人员(比如计算机厂家技术人员、数据库厂家技术人员等)。对于大型组织机构或组织,其操作系统、应用系统、网络设备、安全设备众多,系统管理人员可能分属于不同的部门,因此,身份信息中包含了其他如人员归属部门、联系方式等信息,以方便在紧急事件发生时的联系、告警等。
用户管理还根据每个操作岗位来定义用户的角色。同一类用户还可以归结为用户组。
- 身份认证
对登录的身份验证,采取强认证方式。系统可以采用X509 V3数字证书的数字签名及验签功能实现用户身份认证,证书可存储在USB KEY中。同时系统支持动态口令身份认证机制,包括支持动态口令和静态密码结合的认证模式。
身份认证支持多种认证方式组合认证。
对登录认证失败采取限时登录控制。
- 单点登录
用户通过身份认证后,即可获得可访问资源(主机和数据库中的二级账号)列表,在用户请求访问资源时,可以通过自身远程连接工具或者通过B/S方式访问”IT运维统一安全管理平台”登录所访问的资源,从而实现单点登录(SSO)。
系统管理员在单点登录的条件下,不需要记忆众多二级帐号的密码,帐号密码也将按照密码管理策略进行定期更新,避免因为密码被破译而造成安全风险。同时客户端也不会出现明文密码传输。单点登录支持常见的Telnet、FTP、SSH、RDP、X11、VNC、Oracle、Sybase、SQL server等的单点登录,包括以主机为“跳板”的登录。
这里资源指的是各种主机(操作系统)、数据库、中间件、网络设备、安全设备等。
资源的描述采用标准标记进行描述,如主机的描述项主要有:访问协议、IP地址、服务器名称、别名、操作系统类型/版本等。其目的是便于对众多需要进行管理的资源进行分类保护、审计、管理。
目前”IT运维统一安全管理平台”支持管理的资源如表1。
UNIX
IBM-AIX
HP-UNIX
对资源的管理还包括:资源的变更、资源注销、资源编辑、下线等一系列运维管理的需求。
2.3.5帐号管理用户是指使用信息系统的组织内正式或临时的员工、来自合作伙伴或设备供应商的工作人员等。
账号是指具体使用系统和业务系统的主体,一个账号信息包括用户ID、用户名称、所属的组ID,一个账号可以属于多个不同的组。
用户与账号的关系是这样的:一个用户可以拥有信息系统中的一个或多个账号,也可以不拥有任何账号;账号一般与一个特定的用户相关联,也可以不属于任何一个用户(孤立的账号),甚至可以属于多个用户(多个用户共享同一账号)。为了分解这种复杂的应用关系,在我们的系统中账号的概念还要区分一级账号和二级账号:一级账号与用户关联,二级帐号存在于各种资源中。通过账号管理模块管理用户一级账号和二级账号之间的关系,并捆绑相关的访问策略。在账号管理中主要管理以下几个方面:
一级帐户管理
由于”IT运维统一安全管理平台”系统是采用数字证书认证模式,在管理系统中以员工或自然人为单位建立账户(一级账户),并进行集中的员工合法身份识别。
- 实现一级帐号的组织管理,建立相应树状目录用于合理组织主帐号。
- 实现一级帐号的组管理,建立相应的帐号组,用于对帐号集合进行集中维护。
- 实现对一级帐号生命周期管理,包括建立、激活、锁定、冻结、修改、删除等功能。
- 实现一级属性管理,用于对帐号的多种属性进行管理,包括帐号认证方式、时效性和其他属性的管理。
二级帐户管理
“IT运维统一安全管理平台”系统要求对信息支撑体系生产环境中所有服务器上各类操作系统、数据库、网络设备中的账号(以下简称二级账户)的访问行为实现认证,做到一次身份验证成功,按照权限定义可以登陆不同IT设施的不同二级账户,而无须再输入二级账户本身设置的密码。
二级帐户管理主要功能是:
- 实现对二级账户生命周期管理,包括同步、修改、删除等功能。
- 实现对二级账户属性管理,包括从帐号的密码等内容。
- 实现二级帐户的添加管理和编辑。
HA主机管理功能:关键业务系统会采取HA运行模式。由于HA模式与操作系统有关,不同的操作系统有不同的同步方式。系统目前支持:HP集群、IBM集群、SUN集群以及Linux、SUSZ集群账号管理的策略,那些主机的账号同步保持一致,均可以进行策略的定制,以满足HA主机的账号同步的需求。例如在资源的控制中我们可以设定主机A与主机B的二级账号管理策略完全一样,这样就有效的避免了HA系统切换后的浮动IP迁移造成的问题。
通过用户与权限的分离,使得权限管理方便灵活;通过用户与角色的指定,角色与权限的配置,又可使基于角色的访问控制达到所需的安全要求。在本系统中权限管理分几个层面:
- 系统实现分权管理:通过系统初始化授权,系统自身管理可以达到三权分立效果, 即平台管理员负责用户身份信息模块、资源模块等基础配置信息的管理;系统管理员负责资源授权、访问控制管理模块授权以及加载访问策略;审计管理员负责审计信息管理;并且通过角色互斥策略,可以防止一人同时担任多个管理员角色,真正实现三权分立。
- 平台管理员对使用本系统的操作人员进行角色定义和可访问资源范围的授权。
- 各业务系统的系统管理员(或者是网络管理员)负责自己管理范围内资源中二级帐号的访问授权和赋予相应的访问控制策略,比如建立黑白命令策略。
在实际应用中用户通过账号管理,完成一级账号和二级帐号、可访问资源的关联管理后,可根据用户的岗位角色来分类,再根据角色集中授权,这样可以实现不同的用户对不同的资源进行访问控制。集中授权管理分两个阶段,即统一权限分配阶段和访问授权阶段。
- 系统对主机设备的授权粒度包括:限制设备IP地址、限制设备IP地址段、定制用户在目标主机上的权限和限制(可至命令级),如:可用Shell命令和其它可执行程序等。
- 系统对网络设备的授权粒度包括:访问的设备IP地址、以管理员身份进行管理、限定特权用户和定制可用命令集等。
- 系统对数据库的授权粒度包括:限制的访问主机IP地址、数据库名、数据库表名,数据表项和数据库操作等。
- 系统支持对被访问资源的其他限制包括:访问时间段、访问频率、访问次数和IP地址等。
- 操作策略控制:系统不仅可以对操作命令定制相应的黑名单、白名单,同时对于重要的操作也进行相应的警示和控制,如删除系统中的重要文件,删除重要数据库表中的数据或表本身。系统不仅提供常规审计存储,而且将这些数据单独存储并每日提供分析报表,以便用户在发生数据安全事故时快速查找到事故原因。
在我们的系统管理中,密码管理是系统的核心,它主要是对资源中的二级帐号管理过程中起到接管控制作用,从而杜绝内部人员以及黑客通过木马等非法手段获取关键生产数据,提高了信息系统的安全等级。通过这种管理模式强化主机系统和数据库系统、网络设备的账号密码策略,可以提供高强度组合密码策略;集中管理密码的时间策略、位长策略。
- 能够通过TELNET、SSH,自动更新远程服务器密码
- 自动更新密码支持复杂密码,支持字母、数字、大写、特殊字符密码随意组合。
- 远程密码自动更新支持定时更新和周期更新
- 远程密码自动更新帐号可选择,能够对选定帐号进行自动更新,其它密码保持不变。
- 远程密码自动更新的同时不影响字符终端、图形终端、SFTP传输单点登陆功能,自动更新周期支持“秒”级单位。
- 通过密码自动更新功能,降低部署难度和复杂度。
在”IT运维统一安全管理平台”平台中的日志有两类来源:通过安全访问网关实时记录的日志信息,以及系统操作日志。对这些日志信息进行归类、整理、分析、统计、以及可疑事件的告警、回放、追踪,构成了日志管理分析子系统的主要内容。日志管理的主要功能包括:
日志收集保存
对上述两类日志进行处理、分类、存储。在结构上采用可靠性很高的消息传输机制,将访问控制、身份和授权管理与日志管理分析子系统从结构上解耦,使得整个系统更可靠、更稳定,而且可以确保日志信息不会因网络等意外而丢失。
日志查询
由于日志信息量大,因此好的查询功能非常重要。在本系统中,查询条件支持:目标主机地址、登录地址、网关帐号、主机帐号、起始日期、结束日期、起始时间、结束时间、用户命令等。查询支持用户原始操作数据以文本和录像方式展现。
准确识别用户操作意图,识别用户输入操作命令,并对用户操作进行限制。操作限制支持时间、用户原始IP地址、目标服务器地址、用户名称、系统帐号、使用的命令等策略因子。对高危命令要能自动阻断命令的执行,对越权操作行为要能及时警告。
用户通过SSH、TELNET、RDP、 X11、VNC 、FTP、SFTP、SCP等方式在服务器上的所有操作行为以及对Oracle、DB2、Sybase等数据库访问行为,都能做到全记录、全审计,可真实再现用户操作现场。
深度解码数据库网络传输协议,完整、细粒度分析并再现用户数据库操作活动过程。完整记录用户数据库会话细节,包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视图、索引、过程 、函数、SQL DML操作影响行数、SQL SELECT操作返回行数、SQL语句执行时间、原始数据库记录包等,此功能国内唯一。
完整解析、记录、关联SQL操作语句绑定参数,可自动回溯重构完整SQL操作语句。实时监控来自各个层面的所有数据库活动,包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求。提供灵活的数据库访问行为来源限制,可选择忽略审计特定网络和主机产生的数据库SQL操作;亦可限制仅对特定“嫌疑”对象进行细粒度、全方位审计,包括记录整个数据库操作会话过程所有网络数据包。
覆盖主流商用数据库,包括:Oracle 8/9/10/11等、Sybase所有版本、SQL Server 2000/2005、Informix所有版本、DB2所有版本、Mysql所有版本。
2.3.11报表管理IT运维统一安全管理平台提供下列报表:
- 字符操作报表:为系统管理员提供字符化主机各种账号管理的情况。
- 图形操作报表:为系统管理员提供图形化主机各种账号管理的情况。
- 文件传输报表:为系统管理员提文件服务器各种账号管理的情况。
- 统计报表:这是为审计提供的参考报表,反映用户运维相关操作记录汇总数据。
- 事件审计报表:提供安全审计人员参考,详细分析具体用户操作记录。
- 可以提供Excel、PDF等格式报表。
随着组织对内控和安全审计意识的不断增强、网络安全理念的不断更新,帕拉迪服务器管理审计系统也会随之成为服务器安全审计管理的一项有力工具和措施。整体项目实施完毕后可以为用户在服务器运维管理方面节省大量的人力、财力等,帮助用户构建更为安全、规范的IT运维环境。
- 满足IT内控、SOX、COBIT等法案法规合规性要求
- 规范管理,梳理管理数据流和业务数据流,做到对管理数据流进行操作审计,解决安全管理领域“人”的问题。
- 解决操作管理、重要应用、机密资料安全审计难题,通过“操作机”将使用者电脑变为“瘦客户机”,避免使用者电脑通过网络直接接触重要应用和机密资料,降低木马、间谍、内部安全威胁。
- 建立统一资源操作管理平台,完成服务器集群统一操作管理。管理行为不再“随时随地”,操作审计不再“若有若无”,用户行为不再“无法无天”,管理员从此摆脱网络管理“黑匣子”时代,对服务器上管理行为“了然于胸”。
- 操作审计方案完备,解决审计“死角”,解决图形审计难题,解决服务器间跳转操作(WINDOWS跳转到UNIX)进而逃避审计行为,不留审计漏洞,恶意用户无法逃避监控。
- 减轻管理员工作压力,提高工作效率,确保管理制度的顺利实施
- 完成对第三方代维、系统集成商现场施工的规范化管理,防范外来风险
- 如果发生事故,快速、准确的进行责任鉴定和安全事件追溯,采取补救措施
- 准确审计数据库SQL操作语句,防范ORACLE、SYBASE、MS SQL、INFORMIX、DB2、Mysql等数据库安全风险
- 可兼容管理所有支持(ssh/telnet、ftp标准协议) CLI命令方式管理的设备。
- 对高危命令的操作系统将实时阻断或给予警告(可手机短信通知信息主管人员)。
- 对授权用户操作的实时全程监控。
- 对第三方厂商程序开发人员、系统维护人员、数据库管理人员等多种角色进行身份的认证及操作监控。
- 规范用户操作习惯(防止授权用户的误操作、无用操作)。
- 全方位的主机信息安全保障,可以制定严格的策略和用户权限的分配做到事前预防,事中危险操作的实时阻断,事后的责任认定。
最细粒度的审计查询功能
- 用户可根据具体的操作命令、用户名、时间、IP地址等8个条件任意组合查询、定位操作日志。
- 对菜单向导类操作的智能审计并可对其操作过程实时的历史回放,如:informix数据库操作、smitty 命令。
- 对共用帐号的操作进行全记录全审计(如:对多个拥有root权限的操作人员做强身份识别)。
- 对用户在服务器间的跳转登录的全记录,每个跳转动作单独生成一个会话。
“零”影响部署
- 不影响任何业务数据流。
- 设备的部署不更改现有的网络拓扑。
- 不增加系统和网络性能的负载。
- 部署方式灵活多样,部署周期短。
- 不改变管理员操作习惯(不需要安装客户端工具)。
PLDSEC SMS与DbXpert综合平台的建设是为了集中管理,集中管理的好处就在于简化了系统的操作流程。最大好处就是PLDSEC SMS与DbXpert综合平台实现了系统资源、应用资源的单点登录。包括系统管理员、普通用户在内的所有系统用户,登录到PLDSEC SMS与DbXpert综合平台后,由PLDSEC SMS与DbXpert综合平台授权并列出用户可访问的所有系统,用户只需要点击按钮就可以登录到系统。这样用户就不需要输入账号、口令来进行系统间的切换,当用户可访问的系统较多时,单点登录就可以简化用户的切换流程、节约用户切换系统的时间,这将提高用户的系统访问效率。
帕拉迪统一安全管理与综合审计系统对用户实现统一的账号管理、统一的资源管理和统一的用户身份认证,这不仅实现了统一、集中的管理,而且相对于传统的系统管理方式,是一种质的提高。因为在传统计算机系统管理模式下,各个系统都单独有其账号管理、资源管理、身份认证的应用模块,当系统比较多时,这些模块就显得非常的繁杂,不同的系统需要有不同的人员进行管理和维护,并且维护工作量较大。当PLDSEC SMS与DbXpert综合平台建设完成后,对于这些模块可以基于统一平台开发,并且开发的接口可以是一直的,所以在后期新建应用系统时,一方面可以进行代码的移植,各新建系统直接采用统一的账号管理、资源管理、身份认证等程序模块;另一方面可以使开发人员的开发和调试周期大大缩短,相应的降低开发和管理成本。对于管理员来说,可以利用PLDSEC SMS与DbXpert综合平台统一管理各系统的接口,可以简化原有系统管理人员的数量,有效降低系统管理成本。
帕拉迪统一安全管理与综合审计系统的最终目标是在实现统一、集中的管理模式下,大力提高计算机系统的安全性。
对于系统资源和应用资源来说,在PLDSEC SMS与DbXpert综合平台下实现统一的账号管理,账号管理基本功能是对员工账号的全生命周期管理,即当用户入职时创建账号,当用户岗位变化时改变用户账号的属性,当用户离职时注销用户的账号;另外账号管理系统可以对用户的口令设置安全策略,例如,可以设置口令的最少长度、口令的复杂度、口令更改的频度等。PLDSEC SMS与DbXpert综合平台的统一身份认证功能,支持动态口令,这将有力的保证用户账号的口令不被暴力破解,使系统账号的安全性发生了质的提高。对于用户的访问控制,是PLDSEC SMS与DbXpert综合平台保证系统安全的防盗门,管理员可以对某一个账号进行权限的划分,使用户在最小权限内完成自己的工作,杜绝用户的越权访问。例如,可以对第三方的厂家、系统维护人员,限定可访问的范围、限定可执行的命令,这样就可以保证系统资源被正确的访问,而不发生越权行为,对于黑客的恶意攻击也是一种事前防范的措施。最后,PLDSEC SMS与DbXpert综合平台提供的安全审计功能,可以有效的记录用户的操作行为,提供有力的事后追踪依据。
在PLDSEC SMS与DbXpert综合平台的有效安全管理之下,系统资源和应用资源的安全性,必然发生质的飞跃。从而减少安全事件的发生,保证系统安全、稳定的运行,最终带来显性的经济效益。
PLDSEC SMS与DbXpert综合平台的报表系统是PLDSEC SMS与DbXpert综合平台的财富所在。PLDSEC SMS与DbXpert综合平台集中的审计数据库包括了系统资源、应 用资源所有的日志数据,是一个集中的掘金库,因为其数据的集中度是前所未有的,对于用户的行为审计和关联分析就成为非常容易的事情。我们知道,PLDSEC SMS与DbXpert综合平台要求每一个系统用户都有自己的一个主账号,用户登录各个资源所用的是从账号,这样的审计信息将包含用户主账号、从账号的信息,有力的维护了审计信息的抗抵赖性。
两套系统是基于自主开发的安全管理平台,报表系统可以根据用户的不同需求进行定制开发,从强大的审计数据库中掘取用户真正关心的数据。默认情况下,可以提供符合SOX法案要求的报表格式,这些报表可满足SOX审计的要求。对于用户个性化的报表,帕拉迪将为用户定制开发,真正做到有效、有用的报表。
DbXpert的应用,可以让客户对产品的应用体现出其真正价值所在,其产品优势有:数据库服务器的应用优化、数据库服务器的运维正常运行、敏感数据信息的泄密防护和法律责任的规避。
数据库服务器的应用优化
DbXpert的部署,管理员可以通过管理平台的各种流量排名工具,来发现网络中的异常访问网络服务器行为、从而优化数据库服务器的对外应用。
数据库服务器的运维正常运行
DbXpert的部署,运维人员以及管理人员可以通过DbXpert的详细审计信息、访问者操作数据库的指令等,用于当数据库因为外部操作出现异常、错误以及报警时,来判断错误原因和帮助恢复服务器的正常运行。
敏感数据信息的泄密防护
DbXpert的部署,运维人员以及管理员可以通过DbXpert中的数据库审计信息,来发现数据库中的内部敏感资料的外泄企图和事实。
法律责任的规避
DbXpert的部署,可以审计数据库的各种不符合当前法律所允许的内容,满足相关部门对使用数据库设备的备案审计要求。