解决方案   Support
最新资讯   New
2022/5/16
企业数据泄密所带来的损失不可
2022/4/29
火绒安全登榜《2022年中国
2022/4/21
上网行为管理系统为泄密事件提
2022/4/14
2022-04微软漏洞通告
2022/4/7
如何保障外发U盘里的数据防泄
搜索   Search
你的位置:首页 > 解决方案 > 案例分析

网域IT运维审计系统在企业的解决方案

2014-01-24 08:39:06      点击:

业务特点

      随着数据大集中进程的日益加快,大型数据中心的规模扩大迅速——投入大量如服务器类、网络类、安全类等IT基础设施;同时,信息网络技术的应用层次不断深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,如ERP、CRM、资源管理系统、计费系统、办公自动化、电子运行维护系统、知识管理系统等企业核心业务的应用,其根本要求即稳定与安全,像类似于业务系统瘫痪,篡改信息或失窃之类的重大安全事故,都意味着巨大损失。

      本方案从运维角度出发提出IT设施运维审计管理,可归纳为四大运维主体(如网络、系统、服务器、数据库等)面临的五大运维风险(如越权访问、权限滥用、数据篡改、盗用数据、误操作等),通过“审计”与“控制”等监管手段对运维管理人员实现有效监管,保障机房运行安全。

需求分析

      企业对其信息安全建设一直比较重视,但是其运维安全管理、内控机制等方面也存在上述问题,因此针对运维管理的具体需求如下:

      支持日常维护人员针对AIX、Linux主机设备,主流网络设备、Windows服务器、Oracle进行的运行维护操作审计
      审计协议支持RDP、Telnet、SSH、Oracle数据库客户端(配合应用发布),同时支持SSO单点登录;
      详细的权限分配功能,可以根据时间、登录IP、目标资源等进行详细授权;
      审计结果以视频回访形式展现出来,并可以进行下载回放;
      设备支持硬件冗余方式,并支持HA。

      因此,为实时监控和记录运维人员网络活动,便于事后追溯,以及及时阻断违规、危险行为,保障各业务系统的安全运行。需要部署一套统一的运维堡垒机,对运维操作进行事前预防、事中控制、事后审计。

解决方案

系统部署和选型说明

      网域科技NSA运维审计系统支持单臂模式、串接模式两种部署方式,根据新冶钢的需求建议NSA运维审计系统采用单臂模式(堡垒机方式)接入网络,系统部署后不会对现有的业务系统、网络中的数据流向、带宽等产生负面影响,不需要调整任何网络架构,也不需要在设备、主机等被管设备上安装任何代理程序。

      部署拓扑图如下:

 

      部署和选型说明:

一、网域运维审计系统选型说明

      由于公司网络运维人员用户数为近100人,运维目标设备为200-500台以内,其中oracle数据库为10台左右,推荐采用2台NSA-300或者NSA-500型号运维审计设备HA方式部署以及NSA-H1应用发布硬件进行部署。

二、网域NSA运维审计系统部署说明

     1. 在计算机中心(运维用户)区域交换机上采用单臂模式接入NSA500运维审计设备,设备配置服务器区域网段合法IP,保证该IP能够访问所有被管理的服务器、网络设备和数据库等资源;

      2. 在NSA500上配置所有被管理设备的开放资源,包括IP、开放何种运维协议或工具(如Telent、SSH、RDP、Xwindow、以及各种协议或者客户端程序等)在堡垒机上配置所有运维用户的帐号,保证每个运维人员都能有一个独立的运维帐号与口令;

      3. 在NSA500上建立使用授权,通过配置实现不同类型运维人员只能够访问其相关的设备资源,同时配置授权规则,限制运维人员访问设备的IP、运维开始时间、运维时长等;

      4. 在NSA500上建立运维资源、运维人员与设备帐号的授权与关联,实现不同运维人员对不同设备的管理权限,同时能够保证对运维人员屏蔽设备口令,提升口令安全强度,做到运维用户的单点登录;

      5.在NSA500上配置命令行阻断策略,降低管理员误操作的风险;

      6.在计算机中心交换机区域前端防火墙配置访问控制策略,只允许来自其它区域的访问(Telent、SSH、RDP、Xwindow以及各种协议或者客户端程序等)只能够访问到NSA500的地址,确保运维人员只能通过运维审计系统访问各种设备;

      7.对于外来厂商人员或其他人员要运维服务器或者网络设备,运维管理员只需给相关人员访问堡垒机的权限即可;

      8. 双机热备模式下主设备宕机后,不需要管理员通知运维人员,即可通过备机进行运维,保障运维审计会话100%不丢失。

三、网域运维审计应用发布系统NSA-H1部署说明

      1. 在服务器区域交换机上采用单臂模式接入NSA-H1运维审计设备,设备配置服务器区域网段合法IP,保证该IP能够访问所有被管理的服务器以及网络、安全设备;

      2. 通过NSA500在NSA-H1上安装需要审计的管理工具软件,并对其进行配置;

      3. 通过配置NSA500实现对NSA-H1主机的管理,利用NSA-H1实现对使用客户端程序的审计、控制功能,控制其访问目的IP以及可能出现的利用该服务器跳转访问其它设备资源的情况出现。

方案特点

      通过引入NSA IT运维安全审计系统,审计信息、管理策略独立于现有系统,为运维管理提供一个统一、独立的运维安全审计解决方案;
      产品集认证、授权、管理和审计为一体,有效地保证了只有合法用户在拥有合适的权限下才能访问保护设施,提高了系统的整体安全;
      从技术上解决了目前常见的非授权访问、恶意破坏而无法监控、审计的问题,并为各项管理制度的落实提供技术保障;
      从管理角度,引入事中控制功能,尤其口令统一管理功能,能有效提高用户的安全管理效率,并能有效解决口令外泄的问题;
      从审计角度,较好地解决了“谁、何时、何手段、对谁、做何操作”的问题,同时能保证运维信息100%不丢失信息,符合基于内容的审计的要求;
      系统部署简单,对现有网络、系统不产生任何影响,运维客户端、保护设施上不安装任何软件;
      系统管理清晰、操作简便;
      采用硬件方式,能有效保证系统的性能和兼容性,并针对故障能快速替换;