UNIX 服务器终端审计 - Audit Term 上海昶旭信息科技有限公司 021-65869189 65469636 MSN:hanson0214@hotmail.com 1, 产品概述
UNIX服务器终端审计Audit Term,以文本方式记录用户登录UNIX终端后所有进行的工作,日后我们可以象电影回放一样去查看这些操作,这种查看包含了每一个键盘操作,也包括了每个终端屏幕输出。
如下图所示,就是对操作的一个回放过程。
2,审计需求 财税行业、公安行业、电信和移动行业、金融行业、电力行业、大型公司和著名门户网站,通常选择Unix/Linux主机来运行关键业务,企业数据中心通常拥有数量众多的Unix/Linux主机来运行电子商务、数据库应用、运维管理、ERP和协同工作群件等。企业内部甚至有数百台Linux/Unix主机、大量的数据库系统应用、系统软件和复杂的网络系统。 面对系统和网络安全性、IT运维管理和IT内控外审的挑战,管理人员需要有效的技术手段,按照行业标准进行精确管理、事后追溯审计、实时监控和警报。
由于缺乏相应的先进工具和手段,企业无法保证系统管理员严格按照规范来进行管理,如无法保证系统管理员的真实管理行为/管理报告和规章制度要求一致,造成企业网络及服务器常处于不可信、不可控、不可视状态。
另外,由于服务器众多,系统管理员压力太大等因素,人为误操作的可能性时有发生,这会对部门或者企业声誉造成重大影响,并严重影响其经济运行效能。黑客/恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。如何提高系统运维管理水平,满足相关标准要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,越来越成为企业关心的问题。
当前,在IT安全规范和标准内,都对主机系统安全审计的需求进行了专门的约束,包括:
1 普遍接受的安全管理业界标准ISO27001: 2005,
条款A15.1.3明确要求必须保护组织的运行记录,
条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行,符合安全策略和标准的要求。
2 美国公众上市公司需要遵循的萨班斯(Sarbanes Oxley)法案,其合规性要求建立严肃的、完备的企业内控体系,而信息系统的安全审计又是内控体系的重中之重。
3 国家颁布的安全等级保护技术要求,在确立为第二级(指导保护级)以及以上级的信息系统中必须建立并保存下面的各种访问日志:
网络(网络安全审计8.1.2.4)
主机(安全审计8.1.3.3)
应用(安全审计8.1.4.3)
3,Audit Term的审计能力
Audit Term产品提供基于UNIX主机的操作审计能力。它能够捕获所有系统管理员以及操作员在UNIX服务器终端上所作的操作。如下图所示,该产品支持AIX, Solaris, HP-UX以及Linux系统平台的审计。这些服务器的所有终端操作将被记录下来,并传送到一个基于Linux的终端审计服务器上。我们可以在终端审计服务器上查询、回放所有这些终端操作。
简单讲,当我们一个管理员登录到UNIX服务器上,输入各种命令,进行各种管理操作,这些输入以及UNIX的输出都将被传送、记录在一个专门的设备里。通过这些记录我们可以查询到:
1,
哪些管理员使用了什么身份对这些UNIX服务器进行了登录;
2,
是从哪个PC上登录到了这个UNIX服务器上;还是直接通过串口或者终端屏幕进行了UNIX服务器管理操作;
3,
登录行为是什么时间开始、至什么时间结束。
同时,通过这些记录,我们还可以对整个操作过程进行回放。我们可以看到一个当时操作过程的一个类似电影播放的完全回放。我们可以准确地看到几点几分几秒该操作员在做什么,以及系统输出了什么。
4,Audit Term的特性 在系统审计方面,现在一些基于网络监听的产品也支持对操作日志的部分记录。但在以下方面,基于网络的产品无法对系统操作做到全面记录:
1,
当管理员直接从串口或者系统控制台上登录时,所作的操作并不通过网络传送,所以,基于网络的产品无法记录这些行为;
2,
当系统通过SSH等加密方式进行操作的情况下,基于网络的产品无法记录这些行为。
Audit Term基本特性为,
1,
支持AIX, HP-UX, Solaris等目前主流UNIX平台;
2,
可以记录用户基本操作及操作输出;
3,
可以记录用户通过终端(telnet或者终端)进行的数据库操作,包括create/ insert / delete /update / drop等操作的SQL交互;
4,
可以记录用户通过vi等编辑脚本进行执行的过程;
5,
支持SSH、TELNET、终端、串口连接等访问方式。
6,
产品附增一些已经录制好的配置和管理操作,作为课件赠送客户。客户可以通过这些课件学习AIX平台的管理、HACMP的安装、Oracle的安装配置、DB2的日常管理、MQ的日常管理等内容。
7,
系统配备专门的记录回放器,使用该回放器支持快速定位、反复播放、时间确认等功能。
5,用户案例Ø
中国海关信息中心
中国海关信息中心在其业务系统上部署了该软件,其平台为AIX, 业务软件为ORACLE等,运行过程中有关部门进行检查,对该软件效果进行了非常肯定的评价。
Ø
在测试的一些客户
包括山东农村信用合作银行、北京建行等客户都在测评该款软件,准备着进一步的合作。
| 
