【IT168 應用】如今,網絡中內部人員的誤操作導致敏感數據洩露、違規操作等安全事件愈演愈烈。為企業帶來了巨大的損失。無論是企業內網還是數據中心的伺服器,嚴格的審計和身份認證工作讓企業CTO/CIO們傷透腦筋。
目前企業的數據中心經常會遇到的運維安全問題:
1. 系統維護人員對業務應用系統的越權訪問、違規操作,損害業務系統的運行安全;
2. 數據中心敏感的資料庫,被黑客或系統維護人員篡改牟利、外洩,給企業造成巨大損失。
3. 等級保護要求。公安部國家電子政務等級保護、國家保密局BMB17-2006號文件中要求政府、涉密單位必須對與涉密敏感信息、業務系統相關的網絡行為進行安全審計;
4. 薩班斯(SOX)法案。在美國上市公司必須遵循的「薩班斯(SOX)法案」 中要求對企業內部網絡信息系統進行評估,其中涉及對業務系統操作、資料庫訪問等業務行為的審計。
雖然很多企業已經採用了防火牆、入侵檢測、防毒軟體等措施,但對上述安全事件並沒有什麼很好的效果。如何準確定位事件源頭,有效監控業務系統訪問行為和敏感信息傳播,掌握網絡系統的安全狀態,及時發現違反安全策略的事件並實時告警、記錄,同時進行安全事件定位分析,事後追查取證,滿足合規性審計要求,是企業迫切需要解決的問題。
做好管理和審計必不可少
要是在公司內網,用個「上網行為管理」系統即可解決很多問題,遠在數據中心的伺服器集群,如何集中管理和審計呢?
業內普遍使用的方式有兩種:
1、 採用Nagios或其他軟體對網絡和系統進行監控和檢查,優點是成本低,可拓展性好。但缺點是配置起來極其複雜,所以Nagios又有「難夠死」一綽號。而默認部署下的Nagios是不具備管理功能的,需要自己開發或購買另外的插件方能實現。
2、 採用業內專門的SAS運維安全審計系統,以硬體為載體,管控和審計整個網絡中的操作和數據訪問信息等等。將所有的運維審計活動提供唯一的入口,管理更加規範化、簡單化,運維風險變的可控。
這個SAS運維安全審計系統到底是什麼呢?
估計看到本文標題的時候就會有人納悶,一直在傳統企業內網使用的「上網行為管理」系統,怎麼跟數據中心扯上關係了?大家不要著急,這裡只是借著最近火熱的「上網行為管理」打個比方,讓大家來認識一下數據中心裡的「行為管理」者,同時也是數據中心裡不可忽視的大管家——SAS運維安全審計系統。
以智恆聯盟的SAS系統舉例,該系統是一個集中化管理的運維安全審計的平臺。能夠審計多種協議,包括但不限於:
1、命令行:telnet、Ssh 、Ftp、Scp、Sftp
2、圖形操作:RDP(windows遠程終端)、VNC、X11
3、資料庫:主流資料庫協議(ORACLE、MYSQL、SQL-SERVER等)
如果說「上網行為管理」更專注於內網員工的行為管理,這裡的SAS運維安全審計系統就是專注於技術人員對數據中心伺服器的操作管理和審計了。它可以通過網絡數據的採集、分析、識別,實時動態監測通信內容、網絡行為和網絡流量,發現和捕獲各種敏感信息、違規行為,實時報警響應,全面記錄網絡系統中的各種會話和事件,為事前身份認證和事後操作審計提供支持。
下面用一張拓撲圖來說明一下這個系統的工作原理。普通運維人員和管理員在做伺服器操作的時候,將會首先被SAS所審計和管理,然後SAS安全審計系統系統根據當前用戶的身份等級來分配不同的權限,並且記錄該用戶的所有操作。
部署方式是物理旁路;綜合運維管理審計系統的IP位址與被測試的設備之間IP可達,協議可訪問;綜合運維管理審計系統是用戶操作目標設備的唯一入口,做到集中管理;登錄過程是用戶用唯一的用戶帳號登錄,運維安全審計系統會根據配置管理員預先設置好的訪問控制權限,提示用戶選擇可以訪問的目標設備和相應系統帳號,用戶選擇完成後會自動登錄到目標作業系統或網絡設備。
SAS運維安全審計系統的意義
智恆聯盟產品總監沈賀磊說過:隨著企事業單位IT系統的不斷發展,網絡規模和設備數量迅速擴大,對傳統網絡安全管理架構也提出了全新的挑戰,運維隊伍複雜造成網絡訪問的不可控,帳戶和授權不能分離;各個應用系統形成信息訪問安全的孤島;傳統安全運維審計性能低下。
改變傳統的安全管理架構構建一個高性能的主動防禦、集中監控、統一管理平臺成為一個亟需解決的問題。SAS運維安全審計產品,正是面對運維審計面臨的以上諸多安全挑戰而推出,真正實現了「高效集成性管控」。