运维审计系统解决方案.pptVIP

? 2006 AVOCENT CORPORATION IT运维审计解决方案介绍 追溯运维安全事件源头 降低核心操作系统风险 IT运维审计解决方案介绍 为什么需要操作安全审计 需要怎样的操作安全审计 统一运维审计管理平台的实现 客户价值总结 ?为什么需要IT操作安全审计 文本 文本 文本 文本 IT运维现状123 信息安全相关标准、法案 IT运维现状1 ?多点登录、分散管理 服务器资源 IT运维现状2 ?交叉异构、帐号共享 第三方厂家 开发人员 管理人员 系统帐号 IT运维现状3 ?人为操作风险，责任无法追溯 来自企业内部的非法威胁 高权限操作风险不透明 违规操作导致敏感信息泄露 误操作导致服务异常甚至宕机 来自企业外部的非法威胁 操作风险不可控 黑客盗用帐号实施恶意攻击 无法有效监管操作、无法有效取证/举证 内部用户 外部用户 资源设备 权限滥用 恶意访问 误操作 权力限用 系统管理员 网管员 安全管理员 软件系统开发人员 黑客 代维厂商 合作伙伴 企业临时用户 目前数据中心IT设施运维方式分析 带内方式：对数据中心PC服务器、Unix/Linux服务器、网络设备、存储等各类IT设备，应用RDP、VNC等软件方式实现图形化操作，应用Telnet、SSH等常用工具实现字符操作，利用数据库管理工具管理Oracle、DB2等数据库，利用FTP、SFTP实现文件的上传/下载； 带外方式：采用低端或者数字KVM方式对数据中心进行维护。 问题1：所有的这些维护方式缺乏一个平台的整合，缺乏一种对关键主机所 有操作记录的审计。 问题2：外包厂商人员的操作无法记录，自身维护人员也无从学习故障处理 过程 用户身份信息分散于各个系统，形成身份信息的孤岛 维护人员同时对多个系统进行维护，工作复杂度会成倍增加 独立的用户数据库 身份信息孤岛 用户权限无法集中管理，越权事件时有发生 缺乏集中统一的资源授权管理平台 身份的混乱，帐号多人共用，难于确定帐号的实际使用者， 难于对帐号的扩散范围进行控制，容易造成安全漏洞 自然人身份和业务系统帐号重叠 切换系统登录时，都需要输入用户名和口令进行登录。 给工作带来不便，影响了工作效率 自然人对多系统的访问频繁切换 无法对支撑系统进行综合分析，不能及时发现入侵行为进行安全 预警和数据责任追踪，增加操作风险 独立的审计，缺乏关联分析 问题分析 ?信息安全相关标准、法案 文本 文本 文本 文本 ISO27001标准 条款A10.10.1要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便为安全事件的调查和取证； 条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为； 条款A15.1.3明确要求必须保护组织的运行记录； 条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。 CC标准 信息技术通用评估准则 （ Common Criteria for Information Technology Security Evaluation）中，安全审计是其安全功能要求中最重要的组成部分，同时也是信息系统安全体系中必备的一个措施，它是评判一个系统是否真正安全的重要尺码。 SOX法案 302节：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。 404节：要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。 需要怎样的IT运维审计 文本 文本 文本 文本 操作管理统一化 管理流程规范化 操作风险最小化 操作管理统一化 ?统一操作管理平台理念构建 数据库 管理人员 开发人员 操作 代维人员 服务器 统一认证 统一授权 统一审计 网络设备 管理流程规范化 ?规范管理流程的实行 1.实时监控 2.操作记录 3.操作回放 4.操作搜索 5.统计报表 1.角色划分 2.帐号管理 3.密码管理 4.权限管理 5.访问控制 1.帐号管理 2.密码定期 自动修改 人的管理 操作管理 设备管理 操作风险最小化 ?最小化操作风险来源于管理模式 集 中 管 理 模 式 你做了什么？ 你能做什么？ 你去哪？ 你是谁？ 访问控制管理 帐号授权管理 资产帐号管理 统一身份管理 安全审计管理 可用帐号？ 统一运维审计管理平台的实现 文本 文本 文本 文本 设计理念 解决方案 审计方向 产品部署 实施效果 设计理念 解决方案 ?企业信息系统中”人”的综合治理 安全审计管理 统一身份管理 资源帐号管理 访问控制管理