徐鐵軍，李宏波

（青海省電力公司信息通信公司，西寧，810008)

1 運(yùn)維審查系統(tǒng)含義

1.1 運(yùn)維審查系統(tǒng)的定義

運(yùn)維審查系統(tǒng)，即運(yùn)維審計(jì)系統(tǒng)，是以實(shí)現(xiàn)企業(yè)對(duì)運(yùn)維人員操作過(guò)程具備事前防范、事中管控、事后審計(jì)能力為目標(biāo)，通過(guò)全面審計(jì)和監(jiān)控企業(yè)內(nèi)部人員的操作行為的方式，以彌補(bǔ)傳統(tǒng)審計(jì)系統(tǒng)中的不足，是最有效的企業(yè)IT內(nèi)控管理平臺(tái)。

1.2 運(yùn)維審計(jì)系統(tǒng)的功能

（1）統(tǒng)一用戶(hù)身份認(rèn)證。維護(hù)人員利用SSO功能只需一次登錄運(yùn)維審計(jì)系統(tǒng)，即可訪問(wèn)所有被授權(quán)的服務(wù)器系統(tǒng)。

（2）訪問(wèn)權(quán)限控制。運(yùn)維審計(jì)系統(tǒng)可以根據(jù)人員、時(shí)間、系統(tǒng)賬戶(hù)、操作指令等內(nèi)容設(shè)定訪問(wèn)權(quán)限對(duì)運(yùn)維人員進(jìn)行細(xì)粒度的權(quán)限控制管理。

（3）服務(wù)器密碼管理。管理員可以通過(guò)設(shè)定改密周期、密碼強(qiáng)度策略等在對(duì)服務(wù)器密碼進(jìn)行周期性自動(dòng)修改的同時(shí)保證密碼復(fù)雜程度與密碼文件的安全保管。

（4）會(huì)話(huà)同步監(jiān)控

運(yùn)維人員通過(guò)運(yùn)維審計(jì)系統(tǒng)對(duì)在所有遠(yuǎn)程訪問(wèn)目標(biāo)服務(wù)器上做的vi、smit以及圖形化的RDP、VNC、X11等操作均可實(shí)現(xiàn)同步過(guò)程監(jiān)視和管控。

（5）異常行為告警

運(yùn)維審計(jì)系統(tǒng)內(nèi)置的安全事件規(guī)則庫(kù)具備根據(jù)企業(yè)內(nèi)部管理需求，靈活擴(kuò)充規(guī)則功能，對(duì)用戶(hù)的操作過(guò)程進(jìn)行實(shí)時(shí)檢測(cè)，對(duì)發(fā)現(xiàn)的違規(guī)操作行為，可以通過(guò)短信、郵件等方式向?qū)徲?jì)人員及時(shí)發(fā)送告警信息或自動(dòng)中止操作會(huì)話(huà)。

（6）操作行為記錄

對(duì)所有經(jīng)過(guò)審計(jì)系統(tǒng)的操作行為，運(yùn)維審計(jì)系統(tǒng)完整并長(zhǎng)久保留包括操作時(shí)間、IP地址、用戶(hù)賬號(hào)、服務(wù)器賬號(hào)、操作指令、操作結(jié)果等信息的所有操作記錄，為日后安全審計(jì)提供客觀依據(jù)。

（7）會(huì)話(huà)過(guò)程重放

為實(shí)現(xiàn)對(duì)操作行為的完全審計(jì)，內(nèi)控堡壘審計(jì)系統(tǒng)利用倍速低速播放、拖動(dòng)、暫停、停止、重新或定位播放等功能，通過(guò)采用WEB在線回放方式，重現(xiàn)維護(hù)人員的所有操作過(guò)程。

（8）歷史記錄查詢(xún)

審計(jì)人員可以根據(jù)時(shí)間、IP地址、用戶(hù)名、操作指令等友好的查詢(xún)界面對(duì)以前發(fā)生過(guò)的歷史事件多條件組合查詢(xún)，直接導(dǎo)出為excel文件，并快速定位目標(biāo)記錄。

（9）綜合審計(jì)報(bào)表

運(yùn)維審計(jì)系統(tǒng)內(nèi)置大量的安全審計(jì)報(bào)表模板，以天、星期、月為周期通過(guò)郵件自動(dòng)送達(dá)或手工生成并按所需自定義方式擴(kuò)充報(bào)表內(nèi)容。

2 運(yùn)維審計(jì)系統(tǒng)系統(tǒng)發(fā)展存在的問(wèn)題

2.1 現(xiàn)狀分析

國(guó)內(nèi)外發(fā)展現(xiàn)狀

60年代初，歐美國(guó)家提出了安全審計(jì)概念，即開(kāi)始發(fā)展IT運(yùn)維管理技術(shù)，目前信息系統(tǒng)審計(jì)在金融、電信等領(lǐng)域已被普遍應(yīng)用，運(yùn)維審計(jì)技術(shù)也獲得了長(zhǎng)足發(fā)展。在美國(guó)，作為上市公司必須遵循的薩班斯(SOX)法案即要求對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)業(yè)務(wù)系統(tǒng)操作、數(shù)據(jù)庫(kù)訪問(wèn)等業(yè)務(wù)行為進(jìn)行評(píng)估，如今超過(guò)60%均已經(jīng)部署了信息安全管理、安全事件、法規(guī)遵從、網(wǎng)絡(luò)行為審計(jì)、身份識(shí)別及網(wǎng)絡(luò)管理之類(lèi)的安全審計(jì)分析平臺(tái)。

2008年，中國(guó)移動(dòng)完成全國(guó)的運(yùn)維審計(jì)部署。2010年，中國(guó)建設(shè)銀行、中國(guó)國(guó)稅、中國(guó)人壽等經(jīng)濟(jì)金融單位相繼完成了全國(guó)的運(yùn)維審計(jì)部署。

優(yōu)點(diǎn)：國(guó)內(nèi)運(yùn)維審計(jì)技術(shù)對(duì)各項(xiàng)運(yùn)維管理任務(wù)實(shí)現(xiàn)了集中管理、身份管理、訪問(wèn)控制、權(quán)限控制等，并具備了字符操作、文件操作、圖形操作等運(yùn)維協(xié)議的審計(jì)功能，發(fā)展快，成熟度高。

缺點(diǎn)：日漸龐大復(fù)雜的信息系統(tǒng)對(duì)運(yùn)維審計(jì)的要求越來(lái)越高，目前，國(guó)內(nèi)運(yùn)維審計(jì)產(chǎn)品部署方式相對(duì)單一的產(chǎn)品部署方式、較為粗糙報(bào)表統(tǒng)計(jì)，對(duì)大規(guī)模網(wǎng)絡(luò)環(huán)境運(yùn)維審計(jì)支持，日益捉襟見(jiàn)肘。

2.2 主要問(wèn)題

（1）運(yùn)維操作行為審批程序不完善，不能對(duì)違規(guī)行為及時(shí)發(fā)現(xiàn)并警告

（2）無(wú)法針對(duì)違規(guī)操作及時(shí)阻斷和迅速定位責(zé)任人及地點(diǎn)

（3）無(wú)法對(duì)出現(xiàn)的運(yùn)維安全事件提供詳盡的審查依據(jù)。

（4）各省、地市的各類(lèi)主機(jī)服務(wù)器管理范圍、方式和方法不明確，造成管理紊亂和職責(zé)不明。

因此，公司信息安全統(tǒng)一管控，迫切需要信息安全審計(jì)系統(tǒng)。

3 構(gòu)建運(yùn)維審計(jì)系統(tǒng)的方案

3.1 構(gòu)建目標(biāo)

按照規(guī)則、時(shí)間等維度，對(duì)收集的審計(jì)數(shù)據(jù)進(jìn)行分類(lèi)，實(shí)現(xiàn)對(duì)全網(wǎng)范圍內(nèi)的運(yùn)維安全審計(jì)事件提供查詢(xún)、追溯、回放等的功能。

3.2 構(gòu)建原則

（1）以經(jīng)過(guò)驗(yàn)證的、技術(shù)成熟的SoTower平臺(tái)作為基礎(chǔ)

（2）根據(jù)系統(tǒng)的特點(diǎn)，靈活設(shè)計(jì)

（3）通過(guò)簡(jiǎn)便的一體化軟硬件設(shè)計(jì)編寫(xiě)的代碼，易于維護(hù)。

（4）建立和完善維護(hù)的相關(guān)管理辦法，是最大化發(fā)揮系統(tǒng)效能的有效手段。

3.3 構(gòu)建方案

（1）設(shè)計(jì)原理

A.運(yùn)維審計(jì)技術(shù)原理

B.運(yùn)維審計(jì)實(shí)現(xiàn)原理

運(yùn)維審計(jì)系統(tǒng)審計(jì)分為字符終端的操作類(lèi)型（如:Telnet，SSH）、圖形終端的測(cè)試類(lèi)型（如：RDP，X11）、文件傳輸類(lèi)型（如：FTP）三個(gè)類(lèi)型，主要有SSH、Telnet、RDP、VNC、X11、FTP、SFTP等代理協(xié)議。

(2)總體架構(gòu)設(shè)計(jì)

以實(shí)現(xiàn)全網(wǎng)統(tǒng)一實(shí)施部署和監(jiān)控分析為目標(biāo)，從網(wǎng)省運(yùn)維現(xiàn)狀出發(fā)，對(duì)運(yùn)維審計(jì)系統(tǒng)進(jìn)行總體架構(gòu)設(shè)計(jì)。描述如下。

運(yùn)維審計(jì)系統(tǒng)實(shí)現(xiàn)系統(tǒng)管理員、運(yùn)維人員等相關(guān)人員通過(guò)系統(tǒng)自身提供的遠(yuǎn)程訪問(wèn)協(xié)議登陸到各種服務(wù)器、網(wǎng)絡(luò)設(shè)備上等進(jìn)行遠(yuǎn)程操作進(jìn)行實(shí)時(shí)記錄、監(jiān)控、阻斷、審計(jì)、回放、統(tǒng)計(jì)分析等功能。

（3）系統(tǒng)架構(gòu)設(shè)計(jì)

審計(jì)平臺(tái)給運(yùn)維人員提供檢索、操作、分析的各種手段，是國(guó)網(wǎng)總部與網(wǎng)省管理人員分析管理的操作平臺(tái)。

運(yùn)維審計(jì)子系統(tǒng)既直接面對(duì)運(yùn)維對(duì)象，又是運(yùn)維人員將日常運(yùn)維操作審計(jì)數(shù)據(jù)上報(bào)審計(jì)平臺(tái)的登錄平臺(tái)，對(duì)日常運(yùn)維操作進(jìn)行審計(jì)管理。

數(shù)據(jù)采集與審計(jì)子系統(tǒng)之間通過(guò)各種數(shù)據(jù)接口交互數(shù)據(jù)。

（4）部署架構(gòu)

A.運(yùn)維審計(jì)系統(tǒng)部署架構(gòu)

由于信息安全審計(jì)信息數(shù)量巨大，運(yùn)維審計(jì)系統(tǒng)分為總部平臺(tái)和網(wǎng)省運(yùn)維審計(jì)子系統(tǒng)兩級(jí)部署，將數(shù)據(jù)處理和存儲(chǔ)在網(wǎng)省層面予以解決 。

設(shè)計(jì)具有靈活性，一般總部平臺(tái)注重對(duì)總體的判斷和對(duì)宏觀趨勢(shì)的把握，網(wǎng)省注重微觀事件風(fēng)險(xiǎn)處置。

B.運(yùn)維審計(jì)子系統(tǒng)部署架構(gòu)

1）部署方式：將運(yùn)維審計(jì)系統(tǒng)作為唯一入口，在防火墻上設(shè)置訪問(wèn)控制策略，把物理旁路，邏輯網(wǎng)關(guān)，系統(tǒng)旁路部署在防火墻之后的交換機(jī)上。

2）部署條件：運(yùn)維審計(jì)子系統(tǒng)和被管理設(shè)備間的IP地址可達(dá)。

3）登錄過(guò)程：用戶(hù)通過(guò)運(yùn)維審計(jì)子系統(tǒng)這個(gè)唯一入口登錄，然后根據(jù)授權(quán)關(guān)系表所表明的可以訪問(wèn)的目標(biāo)設(shè)備和相應(yīng)系統(tǒng)，運(yùn)維審計(jì)子系統(tǒng)會(huì)提示用戶(hù)選擇登錄目標(biāo)設(shè)備上的賬戶(hù)，并實(shí)現(xiàn)單點(diǎn)登錄。

（5）關(guān)鍵點(diǎn)

A.實(shí)時(shí)監(jiān)控技術(shù)

B.身份認(rèn)證技術(shù)

包括單點(diǎn)登錄技術(shù)、用戶(hù)賬號(hào)管理、RADIUS集中認(rèn)證

C.訪問(wèn)控制技術(shù)

最小化人為操作風(fēng)險(xiǎn)控制技術(shù)、類(lèi)防火墻權(quán)限控制技術(shù)

（6）難點(diǎn)

A.運(yùn)維審計(jì)指令協(xié)議的截取模式

如何依據(jù)運(yùn)維審計(jì)指令協(xié)議的截取模式的實(shí)現(xiàn)是完成運(yùn)維審計(jì)操作的一個(gè)重要關(guān)鍵點(diǎn)。

建議：a.對(duì)Linux內(nèi)核級(jí)模塊Pam的載入模塊的指令跳轉(zhuǎn)模式進(jìn)行研究。

b.以RDP協(xié)議為重點(diǎn)的同時(shí)，利用RDP兼容其它圖形終端的訪問(wèn)協(xié)議對(duì)目前最常用的圖形終端遠(yuǎn)程訪問(wèn)協(xié)議進(jìn)行研究。

c.為進(jìn)一步做好FTP協(xié)議指令截取的原型程序的開(kāi)發(fā)工作，研究FTP網(wǎng)絡(luò)協(xié)議的指令傳輸。

B.數(shù)據(jù)分布式存儲(chǔ)和集中式管理

滿(mǎn)足二級(jí)分支和總部?jī)筛鲗用鎸?duì)審計(jì)數(shù)據(jù)的管理要求是對(duì)整個(gè)系統(tǒng)架構(gòu)設(shè)計(jì)的內(nèi)在要求。

建議：為使整體運(yùn)維審計(jì)系統(tǒng)既能滿(mǎn)足各子系統(tǒng)自身的審計(jì)需要，又能夠及時(shí)準(zhǔn)確的統(tǒng)計(jì)出各子系統(tǒng)的運(yùn)維數(shù)據(jù)，深入分析分布式系統(tǒng)的技術(shù)實(shí)現(xiàn)方式是必不可少的，關(guān)鍵是利用分布式緩存機(jī)制實(shí)現(xiàn)數(shù)據(jù)采集存儲(chǔ)與傳遞，并及時(shí)準(zhǔn)確傳遞到審計(jì)平臺(tái)予以展現(xiàn)告警等。

4 研究運(yùn)維審計(jì)系統(tǒng)的意義

運(yùn)維審計(jì)系統(tǒng)的建立和完善對(duì)有效提高企業(yè)審計(jì)工作的信息化水平以及社會(huì)和經(jīng)濟(jì)效益方面都將產(chǎn)生積極的影響。主要體現(xiàn)在如下方面：

（1）效能方面：在統(tǒng)一標(biāo)準(zhǔn)化的工作平臺(tái)、強(qiáng)化分散數(shù)據(jù)的集中管控和全過(guò)程運(yùn)維監(jiān)管方面意義重大。

（2）效益方面：差旅費(fèi)和人力投入隨著全網(wǎng)整體審計(jì)水平的提升以及先進(jìn)技術(shù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)遠(yuǎn)程監(jiān)控的實(shí)現(xiàn)而減少。

（3）效率方面： 通過(guò)部署運(yùn)維審計(jì)系統(tǒng)，運(yùn)維子系統(tǒng)與總部運(yùn)維審計(jì)平臺(tái)因?yàn)檫\(yùn)維審計(jì)系統(tǒng)通過(guò)統(tǒng)一管理設(shè)置不同權(quán)限的角色而形成一個(gè)統(tǒng)一高效系統(tǒng)，實(shí)現(xiàn)各個(gè)級(jí)別的運(yùn)維安全審計(jì)。在調(diào)查運(yùn)維操作安全事件，準(zhǔn)確定位并及時(shí)落實(shí)相關(guān)責(zé)任人方面作用明顯，企業(yè)運(yùn)維操作安全管理的工作效率也將極大提高。

5 結(jié)語(yǔ)

企業(yè)通過(guò)運(yùn)維審計(jì)系統(tǒng)，使運(yùn)維人員在操作過(guò)程中的所有行為，被全面跟蹤、控制、記錄、回放；運(yùn)維人員因?yàn)榧?xì)粒度訪問(wèn)權(quán)限的設(shè)置，違規(guī)和越權(quán)操作行為被實(shí)時(shí)阻斷而無(wú)法訪問(wèn)，并且個(gè)人操作全程的記錄和報(bào)告也將通過(guò)運(yùn)維審計(jì)系統(tǒng)被上報(bào)；系統(tǒng)大量使用動(dòng)態(tài)生成的口令等加密方式與支持圖形協(xié)議進(jìn)行審計(jì)，消除了傳統(tǒng)行為審計(jì)的盲點(diǎn)通過(guò)大量運(yùn)用加密與圖形協(xié)議等方式，作為最有力的平臺(tái)，有力支撐了對(duì)IT系統(tǒng)內(nèi)部控制管理。

[1] 林秀 IT安全管理與綜合審計(jì)系統(tǒng)應(yīng)用探討[J];電信技術(shù);2011年06期。

[2] 袁萌;一種提高企業(yè)內(nèi)部文檔輸出安全性的途徑——文檔輸出監(jiān)控與審計(jì)系統(tǒng)綜述[J];信息安全與通信保密;2011年07期。

[3] 王純;探析防火墻技術(shù)[J];無(wú)線互聯(lián)科技;2011年06期。[4] 宋穎;防火墻技術(shù)與網(wǎng)絡(luò)安全[J];中國(guó)新技術(shù)新產(chǎn)品;2011年18期。