运维行为管理VER001等级保护

4.7.4运维行为管理4.7.4.1运维行为管理需求描述近年来，国内有关数据库的安全事故可谓层出不穷，诸如银行内部数据信息泄露造成的账户资金失密、信用卡信息被盗用导致的信用卡伪造、企业内部机密数据泄露引起的竞争力下降等等，这些情况无不说明了实施企业数据库安全运维和安全审计的必要。随着电信科学技术第十研究所内部系统信息化的飞速发展，生产及业务系统不断丰富，越来越复杂。很多业务系统都存在着跨区域数据交换，这就对数据库的数据安全提出了非常高的要求。在总体网络安全结构不断完善，自身技术水平不断提高，制度管理规范不断落实的同时，数据库安全也成为电信科学技术第十研究所业务系统对于总体安全防范整改的重要关键点，对于如何有效保护、监控、审计、分析数据库信息等问题成为电信科学技术第十研究所信息安全重要思考的问题。在建立了一系列安全体系框架的前提下，电信科学技术第十研究所仍然面临很多问题：1、运维管理复杂，存在账号共享：运维管理中由于管理员角色及设备功能的不同，会存在同一个管理员同时管理多台设备，也会存在同一台设备被多个管理员共同管理；由于多个管理员需要登录同一台设备，因此该设备的账号密码是共用的，无法对账号密码进行有效管理；同时这样的交叉管理会造成管理员可能的违规操作和越权访问，并且无法实现有效的监管。2、运维操作不透明，缺少审计记录依据：由于IT运维操作的复杂度，致使我们无法知道管理员在过去和现在都对设备进行了哪些操作，这些操作是否会对设备及业务造成影响；而一旦出现问题，电信科学技术第十研究IT部门也无法追溯到是谁在什么时候以及做了哪些操作导致的问题；其实电信科学技术第十研究都有一定的制度来控制设备账号以及管理员权限，但由于没有技术保障，很难做到完全的执行。3、存在发生误操作、设备宕机、信息泄露的诸多因素：运维操作的复杂难免会造成管理员的误操作，这些误操作一旦涉及到敏感的操作命令，就有可能造成设备的宕机从而影响电信科学技术第十研究业务运行，也有可能导致电信科学技术第十研究核心数据的删除；另外多个管理员使用同一系统账号，一旦该账号从某个管理员处流失，都有可能造成电信科学技术第十研究敏感信息及核心数据的泄露。4、IT人员流动性及外包运维管理：随着信息化建设的不断深入，电信科学技术第十研究业务对IT的依赖不断增强，一方面，电信科学技术第十研究不断投资购建各种硬件、系统软件和网络，另一方面不断开发实施ERP、SCM、CRM、决策支持和知识管理等各种各样的。在这种情况下，电信科学技术第十研究不仅要求IT服务持续不间断地支持业务运营，而且要求IT服务能够创造更多的机会，使得业务部门能够更好地达到业务目标。因此引入了IT运维的外包，虽然IT运维外包带来了一定效率的提高，但电信科学技术第十研究无法直接有效管理外包人员，无法对外包人员的操作行为做到有效的控制和监管，甚至无法确保外包人员不会破坏或窃取电信科学技术第十研究系统设备数据。4.7.4.2运维行为管理功能说明设计思路运维行为管理系统通过建立UNIX类服务器、LINUX类服务器、Windows类服务器、网络\安全等重要设备、数据库的统一运行维护操作管理平台，对用户操作管理等网络访问行为进行控制，避免用户直接接触目标服务器重要资源，构建安全规范的服务器操作管理唯一通道。实现对“人（操作者）”在“服务器集群等重要资源（操作对象）”上的“操作行为（操作内容）”的集中管理、集中认证、实时控制和实时审计。1、集中管理：解决操作分散，无序的问题运维行为管理系统通过不改变用户现有的操作习惯与网络部署，在无需安装其它代理插件以及改变网络架构的情况下，简单的旁路在整个网络设备当中，便可以对所有的网络设备进行集中统一的管理，达到一个堡垒机模式的效果，使得用户分散无序的管理现状得以解决。2、统一的身份管理：解决操作者身份唯一的问题多人共同使用同一系统账号的问题，从本质上说，正是操作者身份不唯一的问题。运维行为管理系统将赋予操作运维人员一对唯一的登陆系统的帐号和密码，使得操作者的身份实名化，“你是谁”问题的解决，将确保操作管理的各项内容成为有根之木。同时，运维行为管理系统会定期更改系统密码，并将密码自动发送给密码保管员，使密码管理变得安全可靠且易于管理。3、访问控制：解决操作者合法访问操作资源的问题用户可以根据自己的要求通过运维行为管理系统为运维操作人员设置一个访问规则，规定哪些操作人员可以登陆哪些设备进行操作，通过对操作所能访问资源的严格控制与有效管理，确保操作者在其权限内合法访问操作资源，降低人为操作风险。4、权限控制：解决操作者操作权限的问题操作是最核心的风险因素，运维行为管理系统可以针对每一个不同的运维操作人员，根据用户对其设定的操作规则与权限，从操作层面解决操作者“能做什么”和“不能做什么”，同时针对某些危险级别较高的操作行为向审计人员发送告警邮件，对用户的操作权限做到真实有效的控制，最直接有效的降低人为操作风险。5、操作审计：解决操作事故责任认定的问题运维行为管理系统能够针对Unix、Linux、Windows主机、服务器以及网络设备等不同的平台协议，通过录象的方式对正在进行操作的运维人员进行实时监控，对期间发生的非法操作予以立即阻断或制止。同时，系统将会对运维操作人员的整个操作过程与内容做一个详细且准确的审计记录，确保事故发生后，快速定位操作者和事故原因，还原事故现场和举证。6、高精细度告警：解决数据安全威胁问题运维行为管理系统提供完善的违规实时告警，包括异常告警、策略告警等；告警信息可根据数据库地址、数据库名称、访问源IP地址、高危SQL命令、客户端网络地址、客户端应用程序、数据库用户名称、客户端主机名称、客户端系统名称、SELECT返回值以及数据库表组（关键表名、组名）等信息进行组合配置；7、异常告警、实时监控：解决数据库访问安全及业务数据分析问题运维行为管理系统提供完善的违规实时告警，包括异常告警、违反策略告警等。及时发现数据库非法接入、SQL注入、数据泄密等安全事件。多形式的实时告警：当检测到可疑操作或违反审计规则的操作时，系统可以通过WEB告警、邮件告警等方式通知数据库管理员。需要实时监控来自各个层面的所有数据库活动，包括网络流量、数据包、突发连接、并发连接、SQL语句的实时数量，并且提供实时的视图窗口查看数据库的运行状态。所以，需要从总体上对电信科学技术第十研究的数据库管理和运维建设进行综合规划，采纳业界标准，从人员、操作和技术三方面进行全面设计规划，建立完整的数据库安全管理和运维体系，提升电信科学技术第十研究IT服务质量，抗击信息系统安全风险。实现方法1)用户管理用户管理的主要对象是使用“IT运维统一安全管理平台”的人员，它包括系统管理员、操作人员、开发人员以及第三方维护人员（比如计算机厂家技术人员、数据库厂家技术人员等）。对于大型组织机构或企业，其操作系统、应用系统、网络设备、安全设备众多，系统管理人员可能分属于不同的部门，因此，身份信息中包含了其他如人员归属部门、联系方式等信息，以方便在紧急事件发生时的联系、告警等。用户管理还根据每个操作岗位来定义用户的角色。同一类用户还可以归结为用户组。2)身份认证对登录的身份验证，采取强认证方式。系统可以采用X509V3数字证书的数字签名及验签功能实现用户身份认证，证书可存储在USBKEY中。同时系统支持动态口令身份认证机制，包括支持动态口令和静态密码结合的认证模式。身份认证支持多种认证方式组合认证。对登录认证失败采取限时登录控制。3)单点登录用户通过身份认证后，即可获得可访问资源（主机和数据库中的二级账号）列表，在用户请求访问资源时，可以通过自身远程连接工具或者通过B/S方式访问”IT运维统一安全管理平台”登录所访问的资源，从而实现单点登录（SSO）。系统管理员在单点登录的条件下，不需要记忆众多二级帐号的密码，帐号密码也将按照密码管理策略进行定期更新，避免因为密码被破译而造成安全风险。同时客户端也不会出现明文密码传输。单点登录支持常见的Telnet、FTP、SSH、RDP、X11、VNC、Oracle、Sybase、SQLserver等的单点登录，包括以主机为“跳板”的登录。4)资源管理这里资源指的是各种主机(操作系统)、数据库、中间件、网络设备、安全设备等。资源的描述采用标准标记进行描述，如主机的描述项主要有：访问协议、IP地址、服务器名称、别名、操作系统类型/版本等。其目的是便于对众多需要进行管理的资源进行分类保护、审计、管理。目前”IT运维统一安全管理平台”支持管理的资源如表1。操作系统数据库网路设备WindowsORACLECisco路由器和交换机LinuxINFORMIX华为路由器和交换机FreeBSDSYSBASECheckPoint,Juniper、东软防火墙SUSZDB2KVMoverip交换机RH-LinuxMS-SQL其他网络设备SUNSolarisUNIXIBM-AIXHP-UNIX对资源的管理还包括：资源的变更、资源注销、资源编辑、下线等一系列运维管理的需求。5)帐号管理用户是指使用信息系统的企业内正式或临时的员工、来自合作伙伴或设备供应商的工作人员等。账号是指具体使用系统和业务系统的主体，一个账号信息包括用户ID、用户名称、所属的组ID，一个账号可以属于多个不同的组。用户与账号的关系是这样的：一个用户可以拥有信息系统中的一个或多个账号，也可以不拥有任何账号；账号一般与一个特定的用户相关联，也可以不属于任何一个用户（孤立的账号），甚至可以属于多个用户（多个用户共享同一账号）。为了分解这种复杂的应用关系，在我们的系统中账号的概念还要区分一级账号和二级账号：一级账号与用户关联，二级帐号存在于各种资源中。通过账号管理模块管理用户一级账号和二级账号之间的关系，并捆绑相关的访问策略。在账号管理中主要管理以下几个方面：一级帐户管理由于”IT运维统一安全管理平台”系统是采用数字证书认证模式，在管理系统中以员工或自然人为单位建立账户（一级账户），并进行集中的员工合法身份识别。实现一级帐号的组织管理，建立相应树状目录用于合理组织主帐号。实现一级帐号的组管理，建立相应的帐号组，用于对帐号集合进行集中维护。实现对一级帐号生命周期管理，包括建立、激活、锁定、冻结、修改、删除等功能。实现一级属性管理，用于对帐号的多种属性进行管理，包括帐号认证方式、时效性和其他属性的管理。二级帐户管理“IT运维统一安全管理平台”系统要求对信息支撑体系生产环境中所有服务器上各类操作系统、数据库、网络设备中的账号（以下简称二级账户）的访问行为实现认证，做到一次身份验证成功，按照权限定义可以登陆不同IT设施的不同二级账户，而无须再输入二级账户本身设置的密码。二级帐户管理主要功能是：实现对二级账户生命周期管理，包括同步、修改、删除等功能。实现对二级账户属性管理，包括从帐号的密码等内容。实现二级帐户的添加管理和编辑。HA主机管理功能：关键业务系统会采取HA运行模式。由于HA模式与操作系统有关，不同的操作系统有不同的同步方式。系统目前支持：HP集群、IBM集群、SUN集群以及Linux、SUSZ集群账号管理的策略，那些主机的账号同步保持一致，均可以进行策略的定制，以满足HA主机的账号同步的需求。例如在资源的控制中我们可以设定主机A与主机B的二级账号管理策略完全一样，这样就有效的避免了HA系统切换后的浮动IP迁移造成的问题。6)授权管理通过用户与权限的分离，使得权限管理方便灵活；通过用户与角色的指定，角色与权限的配置，又可使基于角色的访问控制达到所需的安全要求。在本系统中权限管理分几个层面：1)系统实现分权管理：通过系统初始化授权，系统自身管理可以达到三权分立效果，即平台管理员负责用户身份信息模块、资源模块等基础配置信息的管理；系统管理员负责资源授权、访问控制管理模块授权以及加载访问策略；审计管理员负责审计信息管理；并且通过角色互斥策略，可以防止一人同时担任多个管理员角色，真正实现三权分立。2)平台管理员对使用本系统的操作人员进行角色定义和可访问资源范围的授权