构筑内网安全的铜墙铁壁解决方案
——德讯科技网内运维审计解决方案介绍
在本文开始之前,先跟大家分享一个代维人员引发的案例:
程某,大学毕业后一直从事软件研发,曾为哈尔滨、辽宁、西藏等多家移动公司做过技术代维工作。从2005年3月至7月,程某先后4次侵入北京移动数据库,修改充值卡的时间和金额,将已充值的充值卡状态改为未充值,共修改复制出上万个充值卡密码。他还将盗出的充值卡密码在网上出售,共获利370余万元。
在对公安机关的供述中,程某称,他入侵北京移动数据库仅仅是因为“好玩”,仅仅是“突然想测试一下中国移动网络安全系统的安全程度”。
随即,程某利用他为西藏移动做技术时使用的密码(此密码自其离开后一直没有更改)轻松进入了西藏移动的服务器;通过西藏移动的服务器又跳转到了北京移动数据库,取得了数据库的最高权限,并通过读取数据库日志文件,反推破译出密码。
直到2005年7月,由于一次“疏忽”,程某出售一批充值卡时忘了修改使用期限,购买到这批充值卡的用户因无法使用便投诉到北京移动,北京移动才发现有6600张充值卡被非法复制,立即报警。
2005年8月24日,程某在深圳被抓获,所获赃款全部起获。
原本大有前途的IT精英沦落为阶下囚,固然有其贪念作祟的原因,可是如果企业在防范内网安全漏洞方面加大力度,不给运维人员和代维人员以漏洞和机会,也许这样的悲剧也不会上演。
随着信息技术应用的快速深入,企业用户对IT系统的依赖性越来越强,IT系统的运营、维护和管理的难度不断加大。值得深思的是,许多用户都非常注重来自企业外部的安全风险,不遗余力地将大量资金投入到诸如杀毒软件、防火墙等外部防范的建设中去,恰恰忽略了来自企业内部的安全隐患和问题。
基于此,德讯科技推出ICS网内运维审计解决方案,其体系架构由数据展现层、数据处理层及设备控制层构成,主要能够实现两大功能体系:运维人员对设备控制层集中运维操作体系;审计人员对设备控制层操作安全审计管理体系。
图1 网内运维审计解决方案体系架构图
数据展现层:为运维人员提供运维与管理入口,通过B/S模式的运维管理控制台(WEB管理平台),可实现运维、认证、策略部署、安全审计等管理操作;
数据处理层:通过网络运维安全网关(ICS2000)及虚拟运维网关(VOS)的组合部署,实现(Telnet/FTP/Rlogin/HTTP/HTTPS/SSH/SFTP/RDP/VNC/Xwindows等)多协议会话代理、(PL-SQL、MS查询分析器、DB2Quest、Radmin、PCAnywhere、ERP等)多种类应用程序发布、运维操作审计、报文处理等服务;
设备控制层:由数据中心机房服务器、网络安全、存储、路由等IT基础设备组成,基于WEB管理平台进行统一集中控管。
本套网内运维审计解决方案将ICS2000+VOS联合部署于数据中心IT运营网络中,无需调整和变动数据中心原有的网络体系架构,即可实现对运维管理员运维操作的集中化管理及运维全过程的安全审计,能够为数据中心建立全面的IT基础设施网内运维审计体系。
图2 IT基础设施网内运维审计体系图
该网内运维审计体系主要通过以下四方面,保证数据中心IT业务系统的稳定运行以及数据信息的安全可靠:
第一,变分散运维操作为集中运维管理
目前许多数据中心原先通过分散客户端实现对目标设备运维的模式,该模式存在很大的弊端:其一,必须在每台运维客户端预装所有C/S架构的运维工具;其二,运维工具版本需要更新时,只能逐一对每台运维客户端进行升级操作。
针对现有数据中心运维工具种类多、运维人员不集中、区域分散、跨网络等管理特点,本方案采用ICS2000与VOS联合部署平台,实现对众多运维工具、多类客户端程序的统一安装部署与集中管理。该银行运维人员仅需通过B/S模式的WEB管理平台入口,建立与相应运维通道的连接,即可实现对数据中心所有目标管理设备的集中化、一站式运维服务。这种集中运维管理模式极大减轻了运维人员工作压力,显著提高了数据中心的运维管理效率。
第二,运维前主动防控――身份认证
本方案提供了一套非常完善的身份管理与认证机制,把握和控制数据中心WEB管理平台访问入口,逐一验证所有登陆用户身份的有效性和合法性,加强操作源头的安全防范,真正实现操作访问前的主动防控管理,大大降低了重要业务信息数据的泄露风险。本方案支持用户本地(WEB管理平台)与第三方(如Radius、RSASecureID认证、LDAP/AD域)两种认证渠道,在保证安全防范操作的同时,提高了用户操作的灵活性与便捷性,更体现出系统强大的兼容性与扩展性。
第三,运维中实时监控――桌面监控
本方案提供代理、旁路侦听等多种会话访问管理方式,能够积极、主动、直接地实现对数据中心运维人员业务操作行为的安全管控。对于核心业务操作或关键目标设备,运维人员通过监控窗口可以实现单台或多台设备桌面的实时在线监看,并支持多路监视画面矩阵窗口轮巡切换播放,监看过程中如发生异常或违规操作,运维人员可立即切换至设备接管状态,通过强制“中断”结束非法会话。方案采用对访问会话过程实时监看、非法操作及时阻断的操作策略,有效将数据中心网内操作引起的安全风险扼杀于萌芽状态,从根本上杜绝了危害的扩张与蔓延。
第四,运维后操作审计――安全审计
本方案支持对WEB管理平台内一切运维行为(如协议类运维、WEB访问、客户端访问以及数据库访问等)的远程图形化安全审计,会话过程中所有的操作步骤和操作细节均以录像形式呈现给数据中心审计人员。同时支持关键字定位、数据库关键语句与审计录像关联回放,实现运维操作过程的快速定位、精确跟踪以及真实重现,有助于审计人员对非法运维操作节点的排查及故障责任的追溯,促进数据中心实现运维安全管理的精细化、规范化。
通过本方案的应用,能够最大程度满足用户在不同维度的内网安全需求,减轻用户的内网运维审计操作复杂度和工作强度,保障大型数据中心和各类企事业单位运维安全,将隐患消灭于无形。