万联DAKS运维安全审计解决方案论文

万联DAKS运维平台身份安全审计解决方案陈珂博士常州万联网络数据信息安全股份有限公司江苏常州.2130000519-86892126,dchen@macrounion.com摘要：随着数据中心IT基础设施规模的不断扩大，因系统或平台的异构性、运维手段的多样性而产生的统一管理需求日益显现。同时，因运维人员众多、角色复杂、账号共享和运维过程不透明而导致的运维风险也不可忽视。关键词：统一管理，登录账号，身份审计，运维风险作者：陈珂博士，男，常州万联网络数据信息安全股份有限公司董事长一、引言随着数据中心IT基础设施规模的不断扩大，因系统或平台的异构性、运维手段的多样性而产生的统一管理需求日益显现。同时，因运维人员众多、角色复杂、账号共享和运维过程不透明而导致的运维风险也不可忽视。二、不同运维系统管理中的风险实际运维过程中，数据中心管理者一直在被以下问题困扰着：管理员身份被恶意冒用，执行非法操作，出现问题无法进行身份确认责任追查;运维管理人员所管理的机器数量和帐号数量均异常众多，往往导致密码策略的实施流于形式;对用户名和密码的授权方式不可控;管理员的越权访问、误操作将导致业务系统工作中断;第三方代维人员在运维过程中一旦执行危险操作或私自下载，将导致系统瘫痪和机密信息泄露;事故发生后无法定位问题、追溯源由、紧急恢复和追查责任。据统计，仅2011年至2012年期间，因数据中心内部IT运维人员的误操作或越权访问，给数据中心管理者所带来的损失就高达数百亿元。因此，数据中心运营管理者们，提出了以下风险控管需求：解决数据中心分散的IT运维问题，提高运维管理效率;解决运维人员的帐号共享问题，实现人员与行为对应;解决多用户角色密码管理问题，提高密码管理安全性;建立有效的运维监管措施，防范潜在的运维操作风险;建立完善的风险控管体系，符合行业法规对安全需求。三、万联DAKS运维平台身份审计解决方案万联针对以上的管控需要，在实际中提出了一种IT关键基础设备日常运维操作审计解决方案(DAKS网络双认证动态密钥系统)，针对数据中心用户的业务需求及业务现状，采用“系统常规认证+动态密钥认证”联合部署模式，为各级运维人员提供一个统一的操作平台，突破地域、时空、时间的限制，基于WEB浏览器即可实现如字符型会话、图形访问、数据库管理及其他应用类运维操作等相关运维需求。此外，方案为数据中心管理人员提供一个集中化的登录身份审计平台：事中可实时监视系统内所有会话访问与操作行为，事后第一时间可及时审查整个运维过程。该方案从技术上保障了数据中心“分布式运维操作，集中式监控审计”的安全管理目标。图1DAKS身份审计系统解决方案示意图四、万联DAKS运维平台身份审计方案的部署特点万联DAKS运维平台身份审计解决方案具备以下四大部署特点1)DAKS系统采用边缘接入方式部署，无需改变原有网络架构，安装部署简便，无需加装任何客户端代理，不影响任何业务数据流;2)DAKS系统采用动态密钥加常规密码双认证模式，登录账户与手机号码绑定，大大提高密码的安全性；3)DAKS系统将所需应用集中到统一的B/S登录平台，支持权限浏览，既方便了管理员的运维管理操作，又提高了系统的安全性；4)DAKS系统具有集中审计功能，实时记录登录状况，具备管理员登录查询功能。DAKS系统支持任何形式的IP网络部署及登录，同时DAKS作为代理网关有效保障了后端应用服务器的数据安全性。五、身份审计解决方案的应用价值通过本方案的应用，能够实现以下应用价值：1)为数据中心用户提供了统一的运维平台。方案提供统一的WEB管理入口，对登陆用户身份的合法性实施统一认证;系统可集成各种B/S及C/S类软件，无需安装客户端;支持会话代理访问通道的建立，改变原有客户机对服务器直接发起会话的运维模式，有效提高服务器的安全性，同时实现对运维过程的有效监控与审计。2)实现双认证访问控制，保障运维安全。依据行业安全等级保护标准，方案能够实现双认证访问控制策略管理。权限范围内的任何一人登陆运维平台，需通过用户密码身份认证及手机动态认证，同时通过访问控制策略，登录的账户将只能访问到权限范围内的业务软件或服务器主机。有效保障核心设备、关键业务以及第三方运维操作的合规性、安全性。3)提供事后全面审计，保证操作留痕。方案提供网内运维管理登录操作审计，审计结果以操作日志的形式呈现，符合4W原则(When/Where/Who/What)。实现运维操作过程的快速定位、精确跟踪，协助审计人员对非法运维操作节点的排查及故障责任的追溯，提升数据中心精细化规范化的运维管理水平。六、结论万联DAKS运维平台身份审计解决方案（即：网络动态密钥认证系统解决方案）在运维人员与IT设施之间设置了一道屏障，可以有效提高服务器等重要信息基础架构的安全级别，辅助对信息安全故障和安全事件的全面记录和事后追溯定位，能够有效帮助数据中心用户弥补安全漏洞、完善系统安全防护体系，提高信息系统运行的安全性和事件的追溯能力。