運維安全管理系統方案的設計范文

本站小編為你精心準備了運維安全管理系統方案的設計參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《辦公自動化雜志》2015年第三期

一、IT需求解決方案

1、產品選型通過市場調研，發現江南科友的HAC1000堡壘機系統能夠實現大部分功能，在此基礎上進行定制開發，實現企業其它需求。

2、系統部署運維區人員通過瀏覽器連接到運維安全系統，在瀏覽器中可以通過telnet或ssh等命令行模式連接到后臺業務主機，也可以通過windows2003使用plsql等客戶端工具連接到后臺業務主機。根據HAC支持的部署方式和用戶網絡結構，考慮HAC產品引入盡可能減少對現有網絡結構的改變，一般采用單臂部署模式。具體部署位置建議部署在運維區域。所有的運維均通過HAC的認證后方可訪問IT基礎設施，包括主機、服務器、網絡與安全設備等。

3、運維操作流程（1）運維客戶端通過https訪問HAC系統；（2）HAC接收到運維請求后，則會要求運維人員輸入HAC用戶名和驗證密碼，或者是其它身份驗證方式。當身份驗證通過后，HAC將顯示其擁有權限的目標資源；（3）用戶在頁面選擇目標服務器點擊運維即發起訪問后臺服務器的請求，并等待審核人員審批；（4）審核人員在系統中審批運維客戶的申請，同意后運維人員才能進入目標服務器運維；（5）運維客戶端顯示后臺服務器桌面，即可進行各種運維操作；（6）HAC將記錄運維的所有操作和結果。

二、系統實現功能

1、設備密碼管理為了保證運維安全管理，系統將IT系統帳號、口令進行統一管理，并支持系統帳號分配和口令自動修改等功能。（1）口令管理①實現Windows、Unix系統、網絡/安全設備帳號口令統一管理；②支持對IT系統帳號的口令實施自動定期修改和人工重置功能；③實現運行中心維護人員通過Telnet/SSH/FTP/SFTP/RDP/Xwindows協議訪問IT系統的自動登錄功能。（2）帳號管理①提供Unix系統帳號的收集、過濾及管理功能；②提供Windows系統帳號錄入及管理功能；③提供IT系統帳號到運維用戶的分配功能；④支持IT系統帳號級別設置，通過帳號級別與敏感操作告警與阻斷關聯。

2、運維用戶認證管理HAC系統提供一套運維用戶管理功能，實現“誰做了的問題”。具體功能如下：（1）提供用戶建立和維護的功能；（2）支持用戶組的設置；（3）支持用戶多種認證方式，支持雙因素動態令牌認證（短信發送）；（4）支持用戶口令密碼強度、口令長度、口令嘗試死鎖、口令有效期等安全策略；（5）提供用戶是否激活的管理；（6）提供用戶信息的導入導出功能。

3、資源管理HAC提供對IT系統資源進行管理，具體功能如下：（1）提供IT系統的建立和維護功能；（2）可細分IT系統提供的不同服務；（3）支持資源組設置，以滿足不同業務系統管理的需要。

4、授權管理授權管理是實現運維用戶獲取訪問IT系統資源權限的管理。（1）提供用戶到資源、用戶組到資源、用戶到資源組、用戶組到資源組的授權；（2）提供基于客戶端地址、訪問時間、訪問時段的授權規則；（3）支持授權規則模版。

5、運維操作運維操作是用戶基于Telnet/FTP/SSH/SFTP/RDP/Xwin-dows協議通過HAC對IT系統進行維護和變更操作。（1）Telnet/FTP/SSH/SFTP運維操作①支持通過Telnet/FTP/SSH/SFTP協議對IT系統的運維操作；②針對Telnet/SSH協議，提供按序號、IP地址、資源名選擇需要訪問的IT系統，也提供根據資源組（業務系統）方式進行過濾；③針對FTP/SFTP協議，提供方便的運維操作。（2）RDP運維操作①支持通過RDP對Windows2000/2003/2008Server、WindowsXP等Windows環境的服務器的運維操作；②支持Windows服務器本地用戶和域用戶登錄；③支持以會話或Console方式登錄Windows服務器；④提供用戶可設置是否啟用磁盤映射和剪貼板的功能；⑤提供方便的選擇Windows服務器方式，支持按資源組、資源名通配、IP過濾；可按資源名、IP、資源組等進行排序。（3）Xwindows運維操作①支持通過Xwindows對Unix服務器的運維操作；②提供方便的選擇Unix服務器方式，支持按資源組、資源名通配、IP過濾；可按資源名、IP、資源組等進行排序。（4）雙人操作支持對于關鍵的運維操作，從安全管理上要求必須雙人在場方可操作。系統支持以下兩種情況下的雙人操作：①操作開始就需要雙人在場操作；②運維人員在操作過程中，針對有些操作需要雙人，可請求雙人操作。

6、敏感操作告警與阻斷（1）針對命令交互性協議提供敏感操作的設置；（2）敏感操作響應方式支持告警和阻斷方式；（3）告警支持郵件告警、審計平臺告警、聲音告警；（4）郵件告警信息包括會話基本信息、敏感操作內容等；（5）結合帳號級別，可實現不同用戶級執行不同響應方式；（6）對當前存在告警的會話操作，允許管理員強行中斷會話；（7）阻斷命令和強行中斷會話在客戶端有良好的提示。7、運維操作監控（1）提供正在活動會話情況的監控；（2）提供當前活動用戶情況監控；（3）提供當前被訪問資源情況監控；（4）提供當前操作的會話操作實時監控（圖形協議除外）；（5）允許管理員強行中斷某一個活動會話，并在客戶端有良好的提示。

三、審計功能設計開發

1、運維操作審計（1）提供當天會話操作顯示，并針對存在敏感操作的會話進行標識，并且根據敏感操作級別采用不同顏色進行標識；（2）提供基于用戶、客戶端地址、資源名、資源地址、時間和操作關鍵字（RDP協議除外）進行會話檢索功能；（3）提供會話圖形化的回放功能，回放支持快進、慢放、暫停、拖拉等功能，對命令交互式協議支持按命令進行定位回放，對圖形協議支持按時間進行定位回放；（4）針對命令交互式協議，支持逐條命令及其結果顯示的審計方式，并能基于關鍵字進行檢索；（5）對已審計的會話操作具有標識；（6）提供運維操作統計，可支持根據時間、用戶、資源、用戶組、資源組進行運維操作的統計，提供列表、餅圖、直方圖和曲線圖，并可關聯到具體的會話操作。

2、告警審計（1）在審計平臺上實時顯示今日發生的告警，并依據告警級別用不同顏色進行標識；（2）支持告警類別、級別、資源、用戶、協議、時間進行告警檢索；（3）對于正在會話的告警，可關聯到運維操作監控中的實時監控功能；（4）對于已完成的會話告警，可關聯到運維操作審計。

3、系統自審計（1）系統記錄系統管理員對HAC的操作進行記錄，記錄內容包括時間、管理員、客戶端地址、操作模塊、操作內容等信息；（2）能顯示今日管理操作記錄，并支持根據模塊、管理員進行過濾；（3）支持根據模塊、管理員、時間進行管理操作的查詢；（4）提供運維用戶操作權限審計功能，支持用戶名、資源名過濾；（5）提供管理員角色、用戶情況、資源情況和授權規則的審計。

四、統計與報表

1、提供基于日、月、年和用戶自定義條件為單位的運維操作統計報表功能，具有總操作數、敏感操作總數、流量總量等情況，資源被操作top10、資源被操作反top10、資源被操作情況分布（操作次數、敏感操作發生次數、流量）、用戶操作top10、用戶操作情況分布（操作次數、敏感操作發生次數、流量）、協議分布情況（操作次數、敏感操作發生次數、流量）、時間分布情況（以小時為單位，以操作開始時間為準次數、敏感操作次數）等；

2、提供系統管理操作統計報表功能，具有操作總數，各模塊操作分布情況、管理員操作情況分布、時間分布情況等；

3、提供系統管理操作查詢報表功能，支持按時間、模塊、管理員等進行查詢形成報表；

4、提供敏感操作統計報表功能，具有發生總數、按級別分布情況、按資源分布情況、按用戶分布情況，按時間分布情況；

5、提供資源、用戶、權限等系統配置情況查詢報表功能；

6、提供相關報表的定時產生功能。

五、應用效果

系統投入運行后，滿足了IT審計的合規性，規避了IT操作風險。主要體現在：

1、任何操作有記錄：運維人員的任何操作行為有詳細記錄，包括用戶、時間、IP、對象、內容和審批信息等等，符合IT審計要求。

2、任何操作可追索：運維人員對服務器的各種操作，都有錄像保存，選擇回放，可以把運維人員的每一動作看的清清楚楚。

3、提供定制各種分析報表。

作者：劉冬喜單位：南車成都機車車輛有限公司信息中心