HAC运维安全审计系统介绍.ppt

单击此处编辑母版标题样式,,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,,,*,,单击此处编辑母版标题样式,,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,,*,,运维安全审计系统,HAC,广州江南科友科技股份有限公司,,2010,年,7,月,目 录,安全现状及审计需求,,,科友解决方案,,,HAC,具体功能,,,成功案例,（,1,）安全审计需求,1.1,审计的必要性、迫切性,,银行计算机犯罪以每年,30%,速度增长，涉案金额越来越大具有如下特点：,,犯罪主体以内部或内外勾结为主；,,作案目的以盗窃资金为主；,,发案原因多是由于缺乏内部风险控制机制为主介绍目前几个真实案例,真实案例,案例,1,：银行系统开发商内部作案,,某商行开发核心业务系统，开发商某工程师在试运行维护期间内部新增一个隐藏帐户，且将其帐户金额锁死，以致后期该人频繁通过该帐户取款，无人发现，直至银行经过长时间对帐，仔细比对和核查，才找到问题原因案例,2,：外包人员作案，,ATM,资金丢失,,某银行,ATM,机服务外包给厂商，某厂商工程师利用工作便利，在,ATM,系统中安装了一个抓包工具，将许多储户的密码偷偷抓取到，并通过伪造卡的方式盗取大量资金。

经过长时间排查，和查找,ATM,监控录像才发现作案人员综上所述：,,企业,IT,系统构成复杂，操作人员众多，对其进行有效审计，是控制内部风险的一个重要手段运维管理安全需求,,如何解决共享帐号后操作身份不唯一的问题？,,如何控制操作人员操作权限？,,如何实时跟踪操作者的操作行为？,,如何监控和定位非法操作行为？,,如何对已经发生的非法操作行为进行举证？,,1.2,相关政策规范和标准,,中国银监会于,2007,年,5,月紧急发布的,<<,商业银行操作风险管理指引,>>,中明确要求：,,第十七条　商业银行应当将加强内部控制作为操作风险管理的有效手段，与此相关的内部措施至少应当包括：,,（一）部门及操作人员之间应权限分离；,,（二）密切监测风险限额或权限的情况三）对接触和使用银行资产的记录进行安全监控电子银行业务管理办法－银监会：,2006,,金融机构应在物理和软件控制两个方面，建立对进入系统的识别、处理和报告机制,,金融机构应定期检测所有关键设备和系统软件的工作状态，审查其工作日志,,商业银行内部控制指引－银监会：,2006,,记录要清晰、易于识别和检索，以提供追溯证据《,新资本协议,》,、,SOX,法案,,国家标准：,,我国颁布的安全等级保护技术要求信息系统中必须建立并保存下面的各种访问日志：,,网络（网络安全审计）,,主机（安全审计）,,应用（安全审计）,,1.3,安全实践,,安全管理业界标准,ISO27001: 2005,,条款明确要求必须保护组织的运行记录。

条款则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求2,）科友解决方案,,江南科友 “运维安全审计系统（,HAC,）”是针对于用户核心资产的运维操作，再现关键行为轨迹，探索操作意图，集全局实时监控与敏感过程回放等功能特点，有效解决了信息化监管中的一个关键问题 以操作为核心，从操作层入手，实现对人、设备、操作的统一管理，做到,事前防范、事中控制、事后监督和纠正,的组合，从而帮助用户最小化人为操作风险2.1 HAC,介绍及产品定位,,HAC,—,Host Audit Control,，,运维,安全审计系统，设备外形如下：,,,,HAC,是以实现审计为目标，集认证、授权、审计为一体的安全设备实现原理：,,基于协议解码，来达到监控、记录数据的目的，目前支持协议有,T,elnet,、,FTP,、,SFTP,、,SSH,、,RDP,（,Remote Desktop Protocol,）等多种通信协议审计对象：,,针对内部运行维护人员；,,针对服务外包人员；,,针对厂商或集成商等技术支持人员系统组成,应用环境：,,支持,IBM AIX,、,HP UX,、,SUN Solaris,、,SCO UNIX,、,LINUX,、,WINDOWS,等多种操作系统。

可广泛应用于金融、政府、电信、证券、邮政、税务、海关、交通等安全需求较高的行业2.2,部署方式,,单臂部署：不改变客户网络环境，对客户网络透明；,,串联接入：可灵活根据网络环境串联路由接入，起安全审计和访问控制的作用部署模式一：单臂模,式,:,HAC,具体功能,,身份认证与授权,,,账户托管、,SSO,,,,事中监控,,,会话审计、审计报表,,,变更工单、双人操作支持,,,应用发布审计,,,其他功能,完整的身份管理和认证,,,解决身份问题，满足审计系统,“,谁做的,”,要求运维用户：静态口令、动态口令、证书,KEY,、,RADIUS,、,LADP,、,AD,认证方式；管理员：静态口令、动态口令、证书,KEY,认证方式支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能支持运维用户用户分组管理，方便的增、删、改、查操作，支持用户信息导入导出，方便批量处理 灵活、细粒度的授权,,,提供基于用户、运维协议、目标主机、运维时间段、会话时长、运维客户端,IP,等组合的授权功能，实现细粒度授权，满足用户实际应用的需要产品功能：,身份认证、授权,,口令统一管理与自动登陆,,,运维人员通过,HAC,认证和授权后，,HAC,根据配置策略实现后台资源的自动登录代理，提供托管和只托不管两种方式。

支持后台资源口令统一管理,,支持运维用户到后台资源帐户分配,,支持各种主机、安全设备、网络设备以及,Windows,系统,,支持通过,定制脚本,添加托管各类,Unix,、,Linux,系统帐号,,口令支持下载、邮件和直接,密函打印,,产品功能：账户托管、,SSO,实时监控,,监控正在运维的会话，活动用户突出显示,,监控后台资源被访问情况,,可实时终止异常运维会话,,提供运维的操作的实时监控功能,,敏感操作实时告警与阻断,,根据安全策略实施运维过程敏感操作检测，对违规操作提供实时告警和阻断,,支持用户分级，并针对不级别采取不同响应方式,,告警与会话实时监控、会话审计与回放关联,,产品功能：,事中监控,完整记录网络会话过程,,,,系统提供运维协议,Telnet,、,FTP,、,SSH,、,SFTP,、,RDP,等网络会话的完整会话记录，完全满足内容审计中信息百分百不丢失的要求详尽的会话审计与回放,,支持按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式；,,提供图像形式的回放，真实、直观、可视地重现当时的操作过程；,,回放提供快放、慢放、拖拉等方式，方便快速定位和查看,,支持文本协议操作命令和结果回显功能,,支持命令,Del,、,TAB,、上下键等编辑过程的准确识别。

可基于命令定位会话会话内容可折叠显示，使用更方便产品功能：会话,审计,完备的审计报表功能,,提供日常报表、会话报表、自审计操作报表、告警报表,,提供综合统计报表，报表中包括概要信息、每个用户操作信息、每个资源被操作信息等,产品功能：,审计报表,可支持,ITSM,（,IT,服务管理）,,HAC,可与,ITSM,相结合，为其优化变更管理流程，加强对变更管理中的风险控制支持对变更工单录入操作，实现变更过程的监控和审计支持对现有运维变更管理系统快速集成支持变更工单号事后审计功能可支持双人符合操作,,支持运维过程对双人操作流程介入支持会话日志记录双人符合操作审批人、时间、操作符合命令产品功能：,变更工单、双人操作支持,各类应用运维操作审计功能,,业界首创的（,VDH, Virtual Desktop Host,）虚拟桌面主机安全操作系统设备，完全符合运维安全审计要求运维操作全程可控，可做到授权后应用只能访问指定服务，最大降低对后台目标服务集群的可能安全风险可对整个运维操作过程进行完整记录，实现详尽的会话审计和回放可依据用户要求快速实现新应用的发布和审计产品功能：,应用发布审计,维护管理：,,对,HAC,系统的本身维护和管理，表现为：,,远程重启、关机；,,审计日志自动、手动备份；,,,HAC,系统特点：,,产品稳定、安全性高,,高效、精简的安全内核,,性能高，支持并发用户量大,,支持,HA,高可用性,,分权管理机制,产品功能：,其他辅助功能,,HAC,带来的安全价值,,,,,,,,提升声誉,降低损失,取证免责,把控全局,完善机制,满足合规性要求，顺利通过等级检查、,IT,审计,有效减少业务系统核心信息资产的破坏和泄漏,有效控制运维操作风险，便于事后追查原因与界定责任,有效控制业务运行风险，直观掌握业务系统安全状况,实现独立审计管理、配置管理、运维管理的三权分立，完善,IT,内控机制,产品型号：,,,HAC,成功案例,HAC,资质,1,、国家保密局认证。

2,、中国信息安全测评中心认证3,、计算机软件著作权登记证书谢 谢,。