运维审计系统

产品简介

中安威士内网运维综合审计管理系统【简称：堡垒机】，是由中安威士（北京）科技有限公司开发的具有完全自主知识产权的。是集用户管理(Account)、授权管理(Authorization)、认证管理(Authentication)和综合审计(Audit)于一体的集中运维管理系统。该系统为企业提供了一套集中管理平台，能够对全面的用户和资源进行管理，减少系统维护工作、降低企业维护成本；能够帮助企业制定严格的资源访问策略，并采用强身份认证手段，全面保障系统资源的安全；能够详细记录用户对资源的访问及操作，达到对用户行为审计的需要。

产品功能

1、审计范围

目前，内网运维综合审计管理系统支持的协议类型如下：

2、单点登录

内网运维综合审计管理系统提供了基于B/S的应用系统。单点登录为具有多账号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令,同时由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。

3、集中账号管理

内网运维综合审计管理系统可实现对所有服务器、网络设备账号的集中管理。可以完成对账号整个生命周期的监控和管理，降低了管理大量用户账号的难度和工作量。同时，通过统一的管理还能够发现账号中存在的安全隐患，并且制定统一的、标准的用户账号安全策略。单位可以实现将账号与具体的自然人相关联。

4、集中身份认证

内网运维综合审计管理系统为用户提供统一的认证接口,支持多种认证方式。采用统一的认证接口对用户进行认证管理（支持AD域认证、LDAP认证、radius认证、数字证书认证），即方便了用户身份认证，又提高了认证的安全性和可靠性。

5、统一资源授权

内网运维综合审计管理系统提供统一的界面，对相应用户、角色及行为和资源进行授权，系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作等的细粒度授权，最大限度保护用户资源的安全。

6、集中访问控制

内网运维综合审计管理系统能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，用来分配给具体的用户限制其系统行为，管理员根据其自身的角色为其指定相应的控制策略来限定用户，真正做到who、where、when、what。然而更好的提高系统的安全性。做到运维用户多次登录失败自动锁定账号功能，支持限制运维用户访问源IP、访问时间段的功能。

7、集中操作审计

内网运维综合审计管理系统操作审计日志分为登录日志、会话日志和系统日志三部分，登录日志是对用户登录堡垒机的情况进行日志记录；会话日志记录用户对资源的访问及操作，支持指令识别和视频录像；系统日志是针对堡垒机自身的操作情况的审计，包括创建/删除、锁定/激活用户(组)、资产(组)、授权关系、策略等。生成的日志支持丰富的查询和操作方式。

8、工单审批

内网运维综合审计管理系统支持工单审批模式，第三方运维人员或普通运维用户访问特定的服务器设备必须经过管理员的临时审批授权才能进行运维操作，更好的提高运维流程简单并记录相应操作。

9、计划任务

内网运维综合审计管理系统支持建立计划任务，对被管资源进行口令修改(手动指定/随机生成)、账号同步、脚本执行等任务配置，方便运维人员对资源的维护，减少重复工作，提高运维效率。

部署架构

内网运维综合审计管理系统旁路部署在现有网络结构中，网络可达即可。不影响现有的网络结构，实现网络结构上的并联，逻辑结构上的串联，使得用户再访问系统内部各个服务器时，都需通过堡垒机。

部署优势：

1、    无需在被管理设备上安装代理程序；

2、    不改变原有网络拓扑结构；

3、    无需更改用户网络设备上的配置；

4、    不影响任何业务数据流；

5、    支持双机热备；

6、    快速部署、绿色上线。

产品特点

1、多元化的认证方式

提供密码认证、LDAP认证、AD域认证、Radius认证、数字证书认证等多种方式对系统用户进行认证，同时支持谷歌动态令牌及短信认证的双因子认证手段。支持组合认证，提高访问的安全性。

2、强大的资源管理能力

Ø  资源数量统计：资产柱状图方式查看系统中不同资源所占比例。

Ø  资源类型：支持资源类型丰富，工作站及服务器资源(Windows、Linux、Unix等)、部分数据库资源(oracle、MySQL、SQL Server、DB2、Sybase等)、网络资源及B/S架构的安全设备资源等。

3、全面的账号管理机制

Ø  部门管理：支持用户和资源的部门管理，采用树形结构，部门只能看到本部门及下一级部门的用户及资源。

Ø  完整的用户账号管理：实现账号的创建、编辑、锁定、激活、删除的全生命周期管理。

4、超强的授权管理功能

Ø  角色管理：支持自定义角色，可根据实际的运维需求创建定制角色。

Ø  资源授权：基于用户(组)的资源授权，用户仅可访问授权内的资源。

Ø  策略授权：支持密码策略（密码复杂度及变更周期）、访问控制策略（支持对访问日期、时间、源IP地址进行限制）、系统指令字对象（操作系统指令黑、白名单）、数据库指令字对象（数据库指令黑、白名单）及账号控制策略（登录失败次数及锁定时长）与用户、资源进行关联，限制用户对资源的操作。

5、完善的审计管理功能

Ø  审计结果支持多种展现方式，让操作得以完整还原。

Ø  审计结果可以录像回放，回放过程中支持前后拖拽，方便快速定位问题操作。

技术优势

1、产品不依赖第三方插件

堡垒机使用不依赖第三方插件，可以直接访问业务资源。

插件的问题：

1. 访问终端出现速度慢、卡顿等状态会让客户怀疑装插件导致。

2. 客户会怀疑厂商通过插件盗取客户信息。

举例：Xshell插件后门事件、ProFTPD插件后门事件等

2、逻辑命令自动识别技术

内网运维综合审计管理系统能够自动识别当前操作终端，对当前终端的输入输出进行控制，组合输入输出流，自动识别逻辑语义命令。系统会根据输入输出上下文，确定逻辑命令编辑过程，进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能，在传统键盘捕获与控制领域取得新的突破，可以更加准确的控制用户意图。

该技术能自动识别命令状态和编辑状态以及私有工作状态，准确捕获逻辑命令。

3、正则表达式匹配技术

内网运维综合审计管理系统采用正则表达式匹配技术，将正则表达式组合入树型可遗传策略结构，实现控制命令的自动匹配与控制。树型可遗传策略适合现代企业事业架构，对于服务器的分层分级管理与控制提供了强大的工具。

4、多进程/线程与同步技术

内网运维综合审计管理系统主体采用多进程/线程技术实现，利用独特的通信和数据同步技术，准确控制程序行为。多进程/线程方式逻辑处理准确，事务处理不会发生干扰，这有利于保证系统的稳定性、健壮性。

5、数据加密技术

内网运维综合审计管理系统在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性，防止恶意用户截获和篡改数据，充分保护用户在操作过程中不被恶意破坏。

6、审计查询检索技术

自从《萨班斯法案》的推出，企业内控得到了严格的审查，企业的内部审计显得非常重要。中安威士内网运维综合审计管理系统能够为企业内部网络提供完全的审计信息，这些审计信息能够为企业追踪用户行为，判定用户行为等，能够还原出用户的操作行为。

传统审计关联到IP，这本身是一个不确定的和不负责任的审计结果，因为IP信息不能够真实反应出真实的操作者是谁，从而企业内部网络出现问题不能追踪到操作者。中安威士内网运维综合审计管理系统能够对这些用户行为进行关联审计，就是说真正能够把每一次审计出的用户操作行为绑定到自然人身上，便于企业内部网络管理追踪到个人。

7、操作还原技术

操作还原技术是指将用户在系统中的操作行为在真实的环境中模拟显现出来，审计管理员可以根据操作还原技术还原出真实的操作，以判定问题出在哪里。

中安威士内网运维综合审计管理系统采用操作还原技术能够将用户的操作流程自动地展现出来，能够监控用户的每一次行为，判定用户的行为是否对企业内部网络安全造成危害。

8、运维命令的实时审计和拦截控制技术

内网运维综合审计管理系统支持对堡垒机上的所有用户及资源配置指令的黑白名单，将危险、高危命令控制起来，当用户登录到目标设备上进行操作使，可以做到边操作边审计，不允许用户使用高危命令，实时监控、智能拦截。遇到特殊情况需要执行高权命令时则可以通过工单系统进行申请。

9、数据库运维审计和控制技术

基于数据库协议精确解析能力，提供高精准度的事中管控。

内网运维综合审计管理系统旁路部署于服务器之间，基于数据库协议精确解析能力与语句模板匹配技术，将实际执行操作与申请操作进行对比分析，匹配失败即启动拦截，有效防止恶意操作及误操作。

内网运维综合审计管理系统支持对数据库加密类协议进行全面审计。可以记录操作命令、操作过程中的键盘事件，同时可以对操作过程进行实时监控、录像、回放，输入和输出完整审计。支持对高危数据库操作指令进行拦截控制。