运维安全管理与审计系统产品解决方案.pdfVIP

网神SecFox运维安全管理与审计系统产品解决方案

一、方案背景

随着云计算技术的迅速产业化，如何保障云安全已成为云产业的严峻挑战。

工信部在《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》

中指出，加强新技术新业务网络安全管理，其中要求对云计算、大数据等新技术

的网络安全问题进行跟踪研究，对涉及提供公共电信和互联网服务的基础设施和

业务系统要纳入通信网络安全防护管理体系。

二、面临问题

中国云产业联盟在《云计算技术与产业白皮书》指出，我国云安全法律法规

和监管体系不健全，云租户责任认定、恶意行为监测与取证、安全与隐私等技术

问题，以及云计算第三方评估、认证、审计等配套支持环节的不足已成为中国云

计算产业生态的缺失。云资源提供商迫切需要防止云平台被恶意利用，当出现安

全隐患时，能够准确地实施对恶意行为的定位、取证与追责，从而保护正常租户

和云平台提供商的正当权益，保障云产业的发展。

针对上述问题，本方案基于服务器虚拟化、虚拟机管理器的多样、异构性、

所有权和管理控制权分离、软件定义数据中心等云计算模式新特点，突破对租户

虚拟机透明的恶意行为监测、记录和审计，以及面向云计算模式的安全追责等核

心技术，研发云平台安全管控与审计系统——网神SecFox运维安全管理与审计

系统。该系统采用HTML5进行服务器运维的安全管理，不仅支持事后审计，而且

实现事中拦截和动态授权功能，能够无缝适配各大主流云平台，不改变现有云平

台管理系统，加固云安全管理。

本方案的实施，将有效地防止和避免云资源被恶意利用，为云计算第三方评

估、审计、仲裁等配套环节提供支持依据，填补国内针对云平台内部的安全产品

的技术空白。

网神SecFox运维安全管理与审计系统产品解决方案

三、方案目标

本方案建设主要体现在以下几个方面：

国内第一款通过HTML5进行服务器运维的安全管理系统

本方案采用HTML5进行前端界面开发，不同于传统的服务器运维系统。该技

术可以让网页自动适应不同大小的屏幕，根据屏幕宽度，自动调整布局。能够提

高系统的可用性并改进用户的友好体验，方便运维人员和云平台管理员的使用。

基于互可信域“黑匣子”方式的云平台问责与追溯机制

本方案通过类比飞机的黑匣子，提出一种基于互可信域“黑匣子”方式的云

平台问责与追溯机制。该机制在云提供商和租户之间相互信任区域记录系统日志

数据。当出现问题时，能够将“黑匣子”中记录的数据重放出来，以审计租户虚

拟机的行为，追溯到相关责任者。该机制包括：对云平台主要角色的责任和权限

进一步细分、可信的“黑匣子”日志记录、基于可信日志的重放和追溯等3个组

成部分。通过该机制，可有效划分和定位安全责任，并出具可信凭证。

不仅支持事后审计，而且实现事中拦截和动态授权，填补国内此项技术

的空白

目前，我国尚无此类产品入市，本方案具备此项技术的完整知识产权，本方

案将成为我国首个具有完全自主产权的面向云租户的事后审计和事中拦截云安

全产品，首次从云租户的行为监测与取证角度提供来自云平台内部的安全保证。

网神SecFox运维安全管理与审计系统支持三种部署模式：

采用“物理旁路，逻辑串联”的单机部署模式，只需将网神SecFox运维安

全管理与审计系统连接到企业内部局域网，确保能访问受管控的服务器与云平台，

并使运维人员正常访问网神SecFox运维安全管理与审计系统，即可实施有效管

控与追责。

采用HA部署模式，只需要两台堡垒机网络路由可达，即可配置HA双机热备。

网神SecFox运维安全管理与审计系统产品解决方案

四、详细方案内容

4.1架构设计

第三方机构需要对企业内部IT资产进行管理与使用，并通过日志进行审计

与分析，通过网神SecFox运维安全管理与审计系统的审计功能，企业内部能够

将其对IT资产进行管控所有过程记录下来，通过大数据审计平台可以随时获知

IT资产的操作日志，完成其审计与分析工作。

运维安全审计系统对外提供统一登录入口，用户可以通过任何支持HTML5

浏览器的终端设备，比如Mac、Windows、Linux来登录企业资源。登录用户的所

有操