SAS如何进行运维安全的"上网行为管理"

如今,网络中内部人员的误操作导致敏感数据泄露、违规操作等安全事件愈演愈烈,为企业带来了巨大的损失。无论是企业内网还是数据中心的服务器,严格的审计和身份认证工作让企业CTO/CIO们伤透脑筋。

目前企业的数据中心经常会遇到的运维安全问题:

1.系统维护人员对业务应用系统的越权访问、违规操作,损害业务系统的运行安全;

2.数据中心敏感的数据库,被黑客或系统维护人员篡改牟利、外泄,给企业造成巨大损失。

3.等级保护要求。公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计;

4.萨班斯(SOX)法案。在美国上市公司必须遵循的“萨班斯(SOX)法案” 中要求对企业内部网络信息系统进行评估,其中涉及对业务系统操作、数据库访问等业务行为的审计。

虽然很多企业已经采用了防火墙、入侵检测、防毒软件等措施,但对上述安全事件并没有什么很好的效果。如何准确定位事件源头,有效监控业务系统访问行为和敏感信息传播,掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求,是企业迫切需要解决的问题。

做好管理和审计必不可少

要是在公司内网,用个“上网行为管理”系统即可解决很多问题,远在数据中心的服务器集群,如何集中管理和审计呢?

业内普遍使用的方式有两种:

1、采用Nagios或其他软件对网络和系统进行监控和检查,优点是成本低,可拓展性好。但缺点是配置起来极其复杂,所以Nagios又有“难够死”一绰号。而默认部署下的Nagios是不具备管理功能的,需要自己开发或购买另外的插件方能实现。

2、采用业内专门的SAS运维安全审计系统,以硬件为载体,管控和审计整个网络中的操作和数据访问信息等等。将所有的运维审计活动提供唯一的入口,管理更加规范化、简单化,运维风险变的可控。

这个SAS运维安全审计系统到底是什么呢?

估计看到本文标题的时候就会有人纳闷,一直在传统企业内网使用的“上网行为管理”系统,怎么跟数据中心扯上关系了?大家不要着急,这里只是借着最近火热的“上网行为管理”打个比方,让大家来认识一下数据中心里的“行为管理”者,同时也是数据中心里不可忽视的大管家——SAS运维安全审计系统。

以智恒联盟的SAS系统举例,该系统是一个集中化管理的运维安全审计的平台。能够审计多种协议,包括但不限于:

1、命令行:telnet、Ssh 、Ftp、Scp、Sftp

2、图形操作:RDP(windows远程终端)、VNC、X11

3、数据库:主流数据库协议(ORACLE、MYSQL、SQL-SERVER等)

如果说“上网行为管理”更专注于内网员工的行为管理,这里的SAS运维安全审计系统就是专注于技术人员对数据中心服务器的操作管理和审计了。它可以通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,为事前身份认证和事后操作审计提供支持。

下面用一张拓扑图来说明一下这个系统的工作原理。普通运维人员和管理员在做服务器操作的时候,将会首先被SAS所审计和管理,然后SAS安全审计系统系统根据当前用户的身份等级来分配不同的权限,并且记录该用户的所有操作。

部署方式是物理旁路;综合运维管理审计系统的IP地址与被测试的设备之间IP可达,协议可访问;综合运维管理审计系统是用户操作目标设备的唯一入口,做到集中管理;登录过程是用户用唯一的用户账号登录,运维安全审计系统会根据配置管理员预先设置好的访问控制权限,提示用户选择可以访问的目标设备和相应系统账号,用户选择完成后会自动登录到目标操作系统或网络设备。

SAS运维安全审计系统的意义

智恒联盟产品总监沈贺磊说过:随着企事业单位IT系统的不断发展,网络规模和设备数量迅速扩大,对传统网络安全管理架构也提出了全新的挑战,运维队伍复杂造成网络访问的不可控,账户和授权不能分离;各个应用系统形成信息访问安全的孤岛;传统安全运维审计性能低下。

改变传统的安全管理架构构建一个高性能的主动防御、集中监控、统一管理平台成为一个亟需解决的问题。SAS运维安全审计产品,正是面对运维审计面临的以上诸多安全挑战而推出,真正实现了“高效集成性管控”。