运维审计系统定义.pdfVIP

Zendeep 神电运维审计系统 针对安然、世通等财务欺诈事件， 2002 年出台的《公众公司会计改革和投资者保护法 案》 （Sarbanes-Oxley Act ）对组织治理、财务会计、监管审计制定了新的准则，并要求组 织治理核心如董事会、 高层管理、 内外部审计在评估和报告组织内部控制的有效性和充分性 中发挥关键作用。 与此同时， 国内相关职能部门亦在内部控制与风险管理方面制定了相应的 指引和规范。由于信息系统的脆弱性、技术的复杂性、操作的人为因素，在设计以预防、减 少或消除潜在风险为目标的安全架构时， 引入运维管理与操作监控机制以预防、 发现错误或 违规事件， 对 IT 风险进行事前防范、 事中控制、 事后监督和纠正的组合管理是十分必要的。 IT 系统审计是控制内部风险的一个重要手段，但 IT 系统构成复杂，操作人员众多，如何有 效地对其进行审计，是长期困扰各组织的信息科技和风险稽核部门的一个重大课题。 系统的运维人员是系统的“特殊”使用团队，一般具有系统的高级权限，对运维人员的 行为审计日渐成为安全管理的必备部分， 尤其是目前很多企业为了降低网络与系统的维护成 本，采用租用网络或者运维外包的方式， 由企业外部人员管理网络， 由外部维护人员产生的 安全案例已经逐渐在上升的趋势。运维人员具有“特殊” 的权限， 又往往是各种业务审计关 注不到的地方， 网络行为审计可以审计运维人员经过网络进行的工作行为， 但对设备的直接 操作管理， 比如 Console 方式就没有记录。 运维审计的方式不同于其他审计， 尤其是运维人 员为了安全的要求，开始大量采用加密方式，如 RDP、SSL 等，加密口令在连接建立的时候 动态生成，通过链路镜像方式是无法审计的。所以运维审计是一种“制度 +技术”的强行审 计。一般是运维人员必须先登录身份认证的“堡垒机” ( 或通过路由设臵方式把运维的管理 连接全部转向运维审计服务器 ) ，所有运维工作通过该堡垒机进行，这样就可以记录全部的 运维行为。 由于堡垒机是运维的必然通道， 在处理 RDP等加密协议时， 可以由堡垒机作为加 密通道的中间代理，从而获取通讯中生成的密钥，也就可以对加密管理协议信息进行审计。 IT 运维人员一般应用命令行方式（ Telnet 、SSH）、和图形化方式（ RDP、VNC）、HTTP方 式或客户端软件等方式对数据中心的服务器进行管理， 这些方式虽然方便、 灵活， 但接入点 多，存在重大安全隐患，并难于管理，特别是，面对成千上万台的设备，一个 IT 经理或者 一个 CIO 如何能确保所有 IT 运维人员的操作都是安全的？倘若有违规操作， 如何发现并有 效阻止？若阻止不及，如何认定事故责任？ 一、 Zendeep “神电”运维审计系统概述 为了解决企业内部 IT 运维人员的管控问题， 泰然神州自主研发了神电运维审计系统 （以 下简称 Zendeep ）。 Zendeep 就像是信息系统和管理维护人员之间的一个 “操作录像机”。它 实时地、 完整地记录用户的操作， 并提供方便灵活的操作回放或查询检索的手段； 可以对基 于 Telnet 、SSH、RDP、VNC等协议的访问操作进行过程的抓取， 从而可以录像方式对所有运 维人员的所有操作进行记录，并具备强大的搜索功能，可对特定时段、 特定事件、