尚思卓越堡垒机技术白皮书

尚思卓越操作风险管理系统SW2100 技术白皮书尚思卓越堡垒机（操作风险管理系统）SW2100技术白皮书运维操作风险管控卓越之道尚思卓越（北京）科技有限公司目 录1现状和需求11.1运维安全风险11.2同类产品现状32产品介绍42.1产品理念52.2特色优势72.3系统架构102.4产品功能102.4.1身份认证管理102.4.2灵活粒度授权112.4.3设备凭证管理112.4.4运维实时监控112.4.5违规告警阻断122.4.6会话过程记录122.4.7会话审计回放122.4.8审计报表展现132.4.9快速定制开发132.4.10多级架构管理132.4.11其它产品功能142.4.12产品功能列表142.5产品技术特点172.5.1开放单一端口172.5.2灵活访问控制182.5.3精确命令识别182.5.4凭证托管改密182.5.5人员设备管理192.5.6实时数据同步192.5.7分权管理机制192.5.8分布集群架构202.5.9多级集控架构202.6部署方式203型号说明231 现状和需求1.1 运维安全风险随着企业信息化地不断深入发展，企业和机构对信息系统的依赖性将日益增强。信息系统的安全运行直接关系企业效益，构建一个强健的IT运维安全管理体系对企业信息化的发展至关重要，对运维的安全性提出了更高要求。然而，依据IDC在一项报告中指出，随着IT系统变得日益庞大和复杂，大中型企业和机构中系统运行和维护的难度将与日俱增。虽然企业及用户对自身信息安全的维护和管理日趋重视，但是因为缺乏对网络系统中主机、网络、设备和应用程序等方面的管理和控制，运维人员往往无法及时发现系统瓶颈及漏洞，致使企业面临一系列运维安全风险。1. 帐号管理混乱。随着企业的信息化网络规模的扩大，设备及相应的管理人员也相应增多。由于运维人员角色及设备功能的不同，往往会存在同一个运维人员同时管理多台设备的情况，对账号密码缺乏有效监管，使得系统密码的混乱，违规操作、越权访问操作等隐患普遍存在。同时，多个运维人员共用一个系统账号，一旦该账号从某个人员处流失，就有可能造成企业敏感信息及核心数据泄露的隐患。2. 运维误操作频繁。目前大中型企业和机构所使用的IT运维设备和应用系统种类繁多、操作十分复杂，难免会造成运维人员的误操作，这些误操作一旦涉及到敏感的操作命令，就有可能造成设备的宕机从而影响企业业务运行，也有可能导致企业核心数据被破坏或泄漏。3. 第三方代维人员带来安全隐患。目前，越来越多的企业选择将非核心业务外包给设备商或代维公司，在享受便利的同时，由于代维人员流动性大、对操作行为缺少监控带来的风险日益凸显。企业无法对外包人员的操作行为做到有效的控制和监管，IT运维外包商服务管理体系的规范性、服务质量等也是企业顾虑和担心的问题。对于企业机密数据的安全也产生了潜在的威胁。4. 粗放式权限管理，安全性难以保证。大多数企事业单位的IT运维均采用设备、操作系统自身的授权系统，授权功能分散在各设备和系统中。管理人员的权限大多是粗放式管理，由于缺少统一的运维操作授权策略，授权粒度粗，无法基于最小权限分配原则管理用户权限，难以与业务管理要求相协调。因此，出现运维人员权限过大、内部操作权限滥用等诸多问题，如果不及时解决，信息系统的安全性难以充分保证。5. 设备自身日志粒度粗，难以有效定位安全事件。在运维工作中，大多是通过各网络设备、操作系统的系统日志进行监控审计，但是由于各系统自身审计日志分散、内容深浅不一，且无法根据业务要求制定统一审计策略；因此，难以通过系统自身审计及时发现违规操作行为和追查取证。6. 传统网络安全审计系统已无法满足运维审计和管理的要求。传统网络安全审计的技术实现方式和系统架构主要通过旁路镜像方式，分析网络数据包进行审计，只能对一些非加密的运维操作协议（如Telnet）进行审计，而无法对维护人员经常使用的SSH、RDP等加密协议、远程桌面等进行内容审计，无法有效解决对运维人员操作行为的监管问题。此外，大多数网络安全审计系统，只能审计到IP地址，难以将IP地址与具体人员身份准确关联，导致发生安全事故后，追查责任人成为新的难题。7. 面临合规性要求的压力。为加强信息系统风险管理，政府、金融、运营商等陆续发布信息系统管理规范和要求，如“信息系统等级保护”、“商业银行信息科技风险管理指引”、“企业内部控制基本规范”等。企业自身却没有有效的技术手段来实现信息系统的风险内控与审计。上述风险带来的运维安全风险和审计监管问题，已经成为企业信息系统安全运行的严重隐患，制约业务发展，影响企业效益。因此，必须防范各类运维操作潜在隐患和重大威胁，对各个关键环节进行全面系统性地梳理，加强行为规范，提升管理意识，并引入技术保障手段。运维操作安全审计是一种防范运维操作风险的重要技术手段，它着手于事前规范、事中管控和事后审计三方面，能够非常有效地达到梳理、规范、防范、监控、管理和审计等目的。1.2 同类产品现状当前，市场上不断涌现出了各种运维操作安全审计产品。它们多数都能够做到运维操作过程中的防范、监控和审计功能，但同时也存在管理性难、维护成本高、适应性差和安全问题（高可用性和安全漏洞）等诸多不足。Ø 跳板机跳板机属于内控堡垒机范畴，是一种用于单点登陆的主机应用系统。2000年左右，高端行业用户为了对运维人员的远程登录进行集中管理，会在机房里部署跳板机。跳板机就是一台服务器，维护人员在维护过程中，首先要统一登录到这台服务器上，然后从这台服务器再登录到目标设备进行维护。但跳板机并没有实现对运维人员操作行为的控制和审计，使用跳板机过程中还是会有误操作、违规操作导致的操作事故，一旦出现操作事故很难快速定位原因和责任人。此外，跳板机存在严重的安全风险，一旦跳板机系统被攻入，则将后端资源风险完全暴露无遗。同时，对于个别资源（如telnet）可以通过跳板机来完成一定的内控，但是对于更多更特殊的资源（ftp、rdp等）来讲就显得力不从心了。Ø 运维堡垒机人们逐渐认识到跳板机的不足，需要更新、更好的安全技术理念来实现运维操作管理，需要一种能满足角色管理与授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制要求，并生成一些统计报表配合管理规范来不断提升IT内控的合规性的产品。在这些理念的指导下，2005年前后，运维堡垒机开始以一个独立的产品形态被广泛部署，有效地降低了运维操作风险，使得运维操作管理变得更简单、更安全。然而，解决运维操作风险问题难度大、涉及面多（人员、设备、资源、应用、账户、操作等），技术面广且难点多，难以有效统一管控。如果产品设计和实现不到位，容易造成管理复杂且使用不便，难以适应实际环境和发展需要。目前部分运维堡垒机厂商的产品普遍存在以下问题：1. 运维堡垒机的账户系统未能与设备系统账户完全分离。运维堡垒机要求所有应用访问均通过代理机制完成，而不应有“落地”行为。然而，有些厂商号称是运维堡垒机，但仍然遗留了很多跳板机的设计，即运维操作用户名都建立在系统上，而不是独立的数据库，这种情况下就无法建立“root”名的运维用户名。2. 运维堡垒机成为了新的系统脆弱点。由于运维堡垒机是连接前后端的唯一途径，首当其冲成为了被攻击的重要目标，风险加大。因此应该尽量减少系统加载的服务或模块，从而尽可能减少可被攻击的风险。3. 部署困难，管理繁琐，用户操作体验不佳。综上，为了便于用户能够很好地解决运维操作风险，又能便捷支持各类运维终端应用，达到部署简单使用方便，迫切需要一款优秀的运维操作安全审计产品。尚思卓越认为一款优秀的运维操作安全审计产品，应遵循以下三个方面的要求：首先，产品应当以人为本：在技术上要尽量适应运维操作实际环境，具有较好的兼容性和适应性，而不是改造或降低用户现有操作体验，技术应充分做到为人服务。其次，产品不能引入新的安全风险：从定位上来讲应采用运维堡垒机代理机制，而非仅仅是一台改进的跳板机，要能够做好看门者的角色，杜绝潜在的新的安全风险。最后，产品应当满足智能化需求：从设计上应尽可能减少用户的部署和管理成本，化繁为简，以人性化和智能化提升自身系统的可配置性和可维护性，能够满足人员、应用和设备的不断变化和发展要求。2 产品介绍北京尚思卓越科技本着市场为先、技术为本的指导思想，创新性地推出了运维操作风险管控一体化平台：尚思卓越操作风险管理系统SW2100。SW2100是市场上可完全解决运维操作安全审计的一体化平台，采用全Portal方式访问和管理，无需定制即可兼容和支持现有各类运维终端应用协议审计，独创地智能化设计，方便用户根据自身环境做到快速部署和快捷管理。尚思卓越操作风险管理系统SW2100是一款采用新的设计理念，经过我公司精心研制的新一代运维堡垒机系统。可以实现人员集中认证、访问授权控制、操作识别回放和账户集中管理等功能，支持UNIX、LINUX、WINDOWS服务器以及各类网络设备。SW2100产品整合了我们长期积淀的产品化和客户应用等方面经验，来源于包括金融、电力、电信、企业、烟草、石化、医疗等行业实践经验，并使产品在稳定性、性能等方面实现了质的飞跃。可以让企业和主管有效规范员工、客户和合作合伴，以指定的用户方式，受控地安全访问企业的信息资产，同时做到实时有效地监管重要信息资产的操作过程，是企业提高工作效率、保障信息安全、降低IT操作风险的最佳选择。2.1 产品理念北京尚思卓越提出了智慧的运维操作风险管理这一产品理念。智慧的运维风险管理的核心是通过利用新一代运维堡垒机技术，以一种更智慧的方法来改变运维人员和IT设备交互的方式，以便提高交互的安全性、合规性、效率、灵活性和响应速度。通过尚思卓越智慧的风险管理解决方案，使得风险管理设备与IT基础设施的完美结合，运维人员可以进行更高效的操作，做出更明智的决策，降低运维操作风险，提高企业工作效率，保障信息安全。智慧的运维风险管理主要体现在以下四个方面：Ø 更透彻的感知更透彻的感知是指可以时刻测量、捕获和传递运维操作信息，通过使用专用硬件设备，快速获取运维操作信息并进行分析，便于立即采取应对措施和进行长期规划。例如：l 支持对所有主流运维协议的监控，包括文本类、文件类、图形类、Web类、数据库类和应用类等多种协议（如SSH、TELNET、RDP、VNC、X11、(S)FTP、HTTP(S)、ORACLE、InforMix、DB2、MSSQL、Sybase、MYSQL）的监控。l 支持多类设备和系统，包括主机服务器、网络设备、安全设备及数据库系统等。l 系统具有业界最强的协议转发处理能力，摒弃业界常用的协议转发“黑盒子”，能够对Telnet、FTP、SSH、SFTP、RDP（Windows Terminal）、Xwindows、VNC、AS400、HTTP、HTTPS协议进行完整的透明转发，特别是对图形化操作协议的转发性能远远优于其它同类型产品，并具有横向无缝扩展能力。Ø 更全面的可见性更全面的可见性是指通过运维堡垒机，使得管理者能更方便的了解当前的运维情况，更好地对运维操作状况进行实时监控，从全局的角度分析风险并实时审计，从而帮助管理者完成安全可控的IT运维。l SW2100提供基于数据包的协议分析、还原虚拟化技术可以实现操作界面模拟，将所有的操作转换为图形化界面予以展现，实现100%审计信息不丢失。l SW2100提供多种类型操作信息回放展现，除针对运维操作图形化审计功能的展现外，同时还