绿盟安全审计系统.pdfVIP

绿盟安全审计系统

绿盟安全审计系统-堡垒机产品白皮书

IT运维安全管理的变革刻不容缓

随着信息化的发展，企事业单位IT系统不断发展，网络规模迅速

扩大设备数量激增，建设重点逐步从网络平台转向深化应用、提升效

益为特征的运行维护阶段；IT系统运维与安全管理正逐渐走向融合。

信息系统的安全运行直接关系企业效益，构建一个强健的IT运维安全

管理体系对企业信息化的发展至关重要，对运维的安全性提出更高要

求。

目前，面对日趋复杂的ＩＴ系统，不同背景的运维人员已给企业

信息系统安全运行带来较大潜在风险，主要表现在：

1.账号管理无序，暗藏巨大风险

2.多个用户混用同一个账号

这种情况主要出现在同一工作组中，由于工作需要，同时系统管

理账号唯一，因此只能多用户共享同一账号。如果发生安全事故，不

仅难以定位账号的实际使用者和责任人，而且无法对账号的使用范围

进行有效控制，存在较大安全风险和隐患。

一个用户使用多个账号

目前，一个维护人员使用多个账号是较为普遍的情况，用户需要

记忆多套口令同时在多套主机系统、网络设备之间切换。如果设备数

量达到几十

目前，一个维护人员使用多个账号是较为普遍的情况，用户需要

记忆多套口令同时在多套主机系统、网络设备之间切换。如果设备数

量达到几十甚至上百时，维护人员进行一项简单的配置需要分别逐一

登录相关设备，其工作量和复杂度成倍增加，直接导致的后果是工作

效率低下、管理繁琐甚至出现误操作，影响系统正常运行。

用户与账号的关系现状

粗放式权限管理,安全性难以保证

大多数企事业单位的IT运维均采用设备、操作系统自身的授权系

统，授权功能分散在各设备和系统中。管理人员的权限大多是粗放式

管理，由于缺少统一的运维操作授权策略，授权粒度粗，无法基于最

小权限分配原则管理用户权限，难以与业务管理要求相协调；因此,导

致出现如：运维人员权限过大和内部操作权限滥用等诸多问题，如果

不及时解决，信息系统的安全性难以充分保证。

设备自身日志粒度粗，难以有效定位安全事件

在运维工作中,大多是通过各网络设备、操作系统的系统日志进行

监控审计,但是由于各系统自身审计日志分散、内容深浅不一,且无法根

据业务要求,制定统一审计策略；因此,难以及时通过系统自身审计发现

违规操作行为和追查取证。

第三方代维人员带来安全隐患

目前，越来越多的企业选择将非核心业务外包给设备商或代维公

司，在享受便利的同时，由于代维人员流动性大、对操作行为缺少监

控带来的风险日益凸现；因此，需要通过严格的权限控制和操作行为

审计，加强对代维人员的行为管理，从而达到消隐患、避风险的目的。

传统网络安全审计系统已无法满足运维审计和管理的要求

无法审计运维加密协议、远程桌面内容

为了加强信息系统风险内控管理，一些企业已部署网络安全审计

系统，希望达到对运维人员操作行为监控的目的。由于传统网络安全

审计的技术实现方式和系统架构（主要通过旁路镜像或分光方式，分

析网络数据包进行审计）,导致该系统只能对一些非加密的运维操作协

议进行审计,如telnet；却无法对维护人员经常使用的SSH、RDP等加

密协议、远程桌面等进行内容审计，无法有效解决对运维人员操作行

为的监管问题。

基于IP的审计，难以准确定位责任人

大多数网络安全审计系统，只能审计到IP地址，难以将IP与具体

人员身份准确关联，导致发生安全事故后，如何追查责任人，反而又

成为新的难题。

面临法规遵从的压力

为加强信息系统风险管理，政府、金融、运营商等陆续发布信息

系统管理规范和要求，如“信息系统等级保护”、“商业银行信息科

技风险管理指引”、“企业内部控制基本规范”等均要求采取信息系

统风险内控与审计，但其自身确没有有效的技术手段。

上述风险带来的运维安全风险和审计监管问题，已经成为企业信

息系统安全运行的严重隐患，制约业务发展，影响企业效益。企业IT

运维安全管理的变革已刻不容缓!

目标

绿盟安全审计系统-堡垒机系列（NSFOCUSSAS-HSeries,以下

简称堡垒机或SAS-H）提供一套先进的运维安全管控与审计解决方案，

目标是帮助企业转变传统