你的位置:首页 > 解决方案 > 案例分析

网域IT运维安全审计产品在证券行业的解决方案

2013-12-13 08:37:07      点击:

业务特点

      随着信息化建设的快速发展,某证券已经建立起一定规模的信息化系统,它们都非常重要,涉及证券业务运营、日常办公等方方面面。

      网络中已经部署了防火墙、IDS、防病毒等各类安全产品和设备,并且采用了如网络边界划分、强化边界访问控制等多种防护手段。证券会有明文规定,要降低“老鼠仓”发生的可能,实际上对现有的各种审计和控制措施提出新的要求。

      某证券IT系统主要在证通机房和总部机房,日常运维人员管理对象包括各核心业务系统、防火墙、交换机、路由器、服务器。常用的运维协议于工具包括telnet、SSH、ftp、SFTP、http/https、Radmin、RDP、VNC、PcAnywhere等。

      目前的管理模式为分布式管理,运维人员从各自电脑设备发起对需要维护的设备进行操作。

需求分析

账号安全

      多人使用同一账号,系统运维部门工程师众多,按照管理类型分为系统管理员、网络管理员、数据库管理员、安全管理员等,它们都可能会具有每台主机的管理权限,一旦主机出现因为运维导致的故障或数据丢失等问题,无法明确具体责任人,也无法快速定位问题原因,迅速恢复故障,以致带来巨大的损失。

密码安全

      目前证劵业IT系统的密码管理存在以下安全隐患:

(1) 简单密码,容易破解和猜测

      目前证劵业的IT系统中,大量主机、网络设备的管理员密码都由运维人员管理,难以控制密码强度,难以满足证监会等相关机构对于系统密码复杂度的要求;

(2) 定期修改密码的管理策略难以执行

      目前证劵业的IT系统中,一般都有定期修改管理员密码的相关制度,但每次修改密码都涉及各台设备,执行起来工作量大也十分繁琐;修改后的密码最终以文本形式存放,存在泄漏的隐患。密码掌握在运维人员手中,本身就不安全;大量的密码掌握在各类系统维护人员手里,本身就存在滥用、泄漏等安全隐患。

操作安全

(1) 操作权限无法控制

      证券的核心业务系统除本公司运维人员本地运维外,还需接受来自营业部及分支机构运维人员的远程登入管理;同时还有来自互联网的运维访问,主要由厂家工程师和本公司运维人员远程VPN接入参与运维和紧急故障处理;存在运维人员严重不可控以及参与运维人员复杂而众多的现实情况,导致运维行为无法监控,不能及时了解所有登陆设备的详细运维情况。

(2) 无意执行了危险操作

      业务网设备如果在交易时间发生服务停止、重启等动作,将严重影响某证券的业务运营,而目前对运维人员无意执行的危险操作(如重启系统)无任何提醒和限制手段。

(3) 越权操作

      只要知道系统管理员账号,就可以做任何操作,而无法精细控制该管理员的执行权限,即无法定义每个运维人员的操作权限,从而也无法控制越权操作。

远程维护

(1) PC直接远程连接关键服务器,容易遭受攻击、病毒传染

      目前在办公网、交易网的PC都是通过网络直接与服务器的,一旦PC感染蠕虫等网络型病毒,极易对服务器产生影响。

(2) 远程维护地点无法控制

      目前对运维人员连接服务器时的来源地址无控制手段,也就很难控制在系统管理员密码被泄露或外部支持人员远程维护时,登录系统的实际用户身份。

运维操作行为安全

      运维人员在什么时间、什么地点访问服务器,都在服务器上做了哪些操作?现有审计手段无法准确定位事故原因。目前针对系统运维管理人员的审计只能定位到登陆服务器的IP地址、用户、时间等基本信息,无法准确了解运维人员登陆服务器后的具体操作行为,无法达到对运维行为进行操作留痕的审计基本要求。

外部人员访问安全

(1) 外包人员权限如何控制

      证劵业的IT系统运维人员中还有部分是第三方厂家的运维人员,他们在做系统维护时,通常是由内部人员帮其输入管理员密码,而此后他们对系统所做的操作缺乏应用的控制和审计。

(2) 外包人员维护账号泄漏

      有少量长期合作的第三方外包运维人员,他们掌握了一部分系统的管理员密码,他们只要能接入内网,就能登录到各系统,如果他们所掌握的管理员密码泄漏,则存在极大的安全风险。

      还有部分的第三方运维人员和设备厂商定期巡检的技术支持人员,对这些非本系统运维人员的运维行为非常有必要进行监控以及审计,满足对外来人员访问核心系统操作的知情权。

(3) 离职人员恶意行为

      对于在本单位工作过但已离职的运维人员,如果他们所掌握的管理员密码泄漏,则存在极大的安全风险。
总结起来,可将证券业的运维安全问题概括为认证、授权和审计三个方面。
因此,为实时监控和记录运维人员网络活动,便于事后追溯,以及及时阻断违规、危险行为,保障各业务系统的安全运行。需要部署一套统一的运维堡垒机,对运维操作进行事前预防、事中控制、事后审计。

解决方案

      根据某证券系统运维安全审计的需求,推荐使用XX公司的运维堡垒机系统。

系统部署架构

      在服务器区域核心分别部署1台网域NSA IT运维安全审计产品和1台VDH;
      部署方式均为单臂旁路模式,连接在核心交换机上;
      部署的唯一条件是网域NSA IT运维安全审计产品、VDH与被管理的设备之间IP可达,协议可访问;

      网域NSA IT运维安全审计产品是运维操作的唯一入口,使用访问控制策略(防火墙、ACL等)限制运维用户只能访问网域NSA IT运维安全审计产品,不能直接访问后台主机。

      运维用户使用唯一的用户账号登录网域NSA IT运维安全审计产品,然后网域NSA IT运维安全审计产品根据配置管理员预先设置好的访问控制规则,提示用户选择可以访问的目标设备和相应系统账号,用户选择完成后会自动登录到目标设备。

      VDH设备上可以发布需要审计的系统工具,如:IE、Radmin、VNC、Pcanywhere等,并在网域NSA IT运维安全审计产品上对用户进行授权和审计

VDH有以下主要功能和特点:

      (1)  与网域NSA IT运维安全审计产品配合,能很好地支持各种协议或应用,能实现认证、授权;
      (2)  对图形界面的会话操作,可对键盘输入或界面文字进行基于关键字的查询检索;
      (3)  具有很好扩展性,通过对VDH的加装应用,支持各种应用;
      (4)  系统自身有厂商维护和加固,有很好的安全性。

      在整个过程中,运维人员的所有操作都被网域NSA IT运维安全审计产品安全记录下来,并可实现了数据重组和视频回放,完全再现了操作内容和行为轨迹。

功能实施

统一安全防护

      所有对IT系统的运维操作必须通过统一的入口(运维堡垒机)方可进行,在统一入口设置相关安全策略,保证操作安全,降低IT操作风险。

统一IT系统口令管理

      将IT系统的管理员口令进行统一管理,解决口令管理相关问题。所有运维人员进行操作不再需要知道IT系统的账户口令。

身份认证和操作授权

      可根据行政组织结构将运维用户划分到对应的用户组,方便于管理和查询。

      使用独立的身份认证管理实现对运维人员的身份认证、操作授权,保证只有合法用户才能使用其拥有运维权限的关键资源。

关键操作监控和报警

      能根据运维实际情况,制定特定运维操作监控和报警策略,对敏感操作或违规行为及时发现,并实现实时报警和阻断。

操作审计

      对常用运维协议Telnet、FTP、SFTP、SSH、RDP、Xwindows等网络会话的完成记录和审计,并能提供基于图像的操作回放,方便、直观地将操作展现给审计人员。

操作分析报表

      基于运维操作数据,能基于时间、资源、人员的操作、违规事件的统计报表,为安全人员分析安全态势提供辅助数据。

双机热备

      网域NSA IT运维安全审计产品支持HA双机热备功能,实时同步配置信息,实时监测自身健康程度。一旦主机出现故障,备机自动接管服务,保证系统的可用性。

方案特点

      (1)实现统一运维认证账号分配、统一应用系统账号管理、统一对运维人员授权;

      (2)实现运维账号认证,集成LDAP、动态口令、证书等认证方式;可访问资源列表、系统账号托管(运维人员无须知道后台系统密码),可控制访问资源时间、对敏感操作的实时阻断和告警;

      (3)运维行为审计、报表;操作录像;针对命令行的操作索引和回放;