广西国税运维审计系统项目
需求功能说明书
目录
第 1 章 前言...........................................................................................................................................5
. 编写目的...................................................................................................................................5
. 项目背景...................................................................................................................................5
. 运维管理现状...........................................................................................................................5
. 存在问题...................................................................................................................................6
. 问题分析...................................................................................................................................6
. 带来的后果...............................................................................................................................7
. 参考文档...................................................................................................................................7
第 2 章 需求概述...................................................................................................................................7
. 系统建设需求...........................................................................................................................8
. 统一安全防护......................................................................................................................8
. 统一 IT 系统口令管理 .......................................................................................................8
. 身份认证和授权..................................................................................................................8
. 关键操作监控和报警..........................................................................................................8
. 操作审计..............................................................................................................................8
. 操作分析报表......................................................................................................................9
. 实现目标...................................................................................................................................9
. 提高操作透明度..................................................................................................................9
. 增强操作可控性..................................................................................................................9
. 具体目标..............................................................................................................................9
第 3 章 功能需求.................................................................................................................................10
. 集中管理.................................................................................................................................10
. 统一操作入口....................................................................................................................10
. 统一定制策略....................................................................................................................10
. 统一操作平台....................................................................................................................10
. 统一管理审计....................................................................................................................10
. 访问控制.................................................................................................................................10
. 四要素控制........................................................................................................................11
. 详细规则设置....................................................................................................................11
. 访问权限控制....................................................................................................................11
. 实时控制.................................................................................................................................11
. 实时监控............................................................................................................................11
. 实时阻断............................................................................................................................12
. 密码管理.................................................................................................................................12
. 密码托管............................................................................................................................12
. 自动改密............................................................................................................................12
. 自动告警.................................................................................................................................12
. 设备登录提醒....................................................................................................................13
. 命令操作告警....................................................................................................................13
. 图形操作告警....................................................................................................................13
. 操作审计.................................................................................................................................13
. 图形会话操作审计............................................................................................................14
. 字符命令操作(Telnet/SSH)的操作审计 ....................................................................14
. HTTP、HTTPS 操作审计(防火墙、IPS、IDS 等).................................................15
. 应用发布操作审计............................................................................................................15
. 键盘鼠标、剪贴板的操作审计........................................................................................15
. 文件传输操作(FTP/SFTP/SCP)审计 ..............................................................................16
. 数据库审计.............................................................................................................................16
. 直接登录到数据库服务器使用命令行的操作审计........................................................16
. 通过 web 进行的操作审计...............................................................................................16
. 使用客户端工具的操作审计............................................................................................16
. 会话过程回放.........................................................................................................................17
. 会话过程回放机制............................................................................................................17
. 历史记录查询.........................................................................................................................17
. 历史记录查询机制............................................................................................................17
. 日志搜索 ............................................................................................................................17
. 终端会话搜索机制............................................................................................................17
. 图形会话搜索机制............................................................................................................18
. 键盘输入内容搜索机制....................................................................................................18
. 综合审计报表 ....................................................................................................................18
. 自定义报表........................................................................................................................18
. 自动报表............................................................................................................................19
第1章 前言
. 编写目的
本文档是广西国税信息系统运维安全审计项目的需求功能说明书,主要描述
了运维安全审计系统(又称堡垒机系统,以下简称堡垒机)的处理和控制。本文
档是系统设计、编码、测试、验收的依据。
在项目实施过程中,系统的设计、开发必须以本文档为标准,如需对系统的
需求进行修改,则按照本项目计划书中需求变更流程执行。
本文档读者对象:
广西国税信息中心及其他监管部门。
广西国税信息中心负责系统设计、规划的有关人员。
广西国税项目组。
. 项目背景
根据国税总局上级监管机构对信息科技的审计要求,我局拟启动建设信息中
心运维审计系统。以有效监控我局信息中心内部运维管理人员的操作风险,同时
也便于风险管理部门对信息中心风险内控进行监督管理,通过该系统的建立,对
整个信息系统以及网络体系建立起有效的操作监控手段,规范日常的运维操作。
. 运维管理现状
广西国税信息中心部门主要负责应用系统以及信息系统基础平台的建设和
维护,以及局内网络的建设和维护。现有近百台各种各样的服务器,其日常运维
过程中都普遍存在以下现状:
访问方式以内部直接远程访问为主。其中运维操作的远程访问方式又以
ssh/telnet/RDP/VNC/http/https 远程访问为主,设备规模比较大;数据库远
程访问则以 PLSQL、SQLPLUS、OEM 等客户端工具为主;
维护人员比较多,并且随着运维规模的不断壮大,运维外包趋势日益明
显。目前部分非核心业务系统及设备的维护已经外包给了第三方代维厂
商;
凭借设备上的账号密码完成身份的认证和授权,难以保证账号的安全性;
密码管理复杂,无法有效落实密码定期修改的规定;
运维人员的操作行为无审计,事故发生后无法快速定位事故原因与责任
人;
对后台的数据库维护操作缺乏有效的管理手段,对数据库操作也无审计;
随着网络安全技术的快速发展,国家和行业对信息安全的要求不断提高,
主机的安全问题日益显现。
. 存在问题
运维人员身份不唯一,运维人员登录后台设备时,仍然可以使用共享账号
(root、administrator 等)访问,从而无法准确识别运维人员的身份;
缺乏严格的访问控制,任何人登录到后台其中一台设备后,就可以访问到
后台各种设备;
重复枯燥的密码管理工作,大大降低了工作效率的同时,人员的流动还会
导致密码存在外泄的风险;
难于限制运维人员登录到后台设备后的操作权限;
无法知道当前的运维状况,也不知道哪些操作是违规的或者有风险的;
缺乏有效的技术手段来监管代维人员的操作;
操作无审计,因操作引起设备故障的时候无法快速定位故障的原因和责任
人;
无法满足国家安全等级保护有关方面的要求,如审计、控制等;
. 问题分析
出现以上问题的主要原因在于:
运维操作不规范;
运维操作不透明;
运维操作风险不可控;
. 带来的后果
违规操作可能会导致设备/服务异常或者宕机;
恶意操作可能会导致系统上敏感数据/信息被篡改、被破坏;
当发生故障的时候,无法快速定位故障原因或者责任人;
. 参考文档
编号 资料名称 来源
第2章 需求概述
为了解决以上问题,为运维人员通过使用一种有效的管理平台,来解决对所
有运维操作的集中管理、单点登录、身份认证、操作审计等问题,最终达到降低
运维操作风险的目的。具体需求目前主要集中在以下几点:
实现运维操作的集中管理,提高操作管理效率;
通过目标设备密码托管功能,实现单点登录;
通过运维人员管理和系统帐号分离,实现运维人员身份唯一性管理;
运维人员认证要支持和现有的第三方的认证(如 LDAP、AD 域、
Radius)整合;
通过严格的访问控制来限制运维人员可访问的资源;
通过对关键指令的实时阻断和告警,实现对运维人员高危操作的主动控
制;
提供强大的操作审计功能,完整记录运维人员的所有操作行为,并可实
现对键盘鼠标等操作行为的深度审计;
可以实现对目标设备密码的定期批量自动修改,降低管理员的改密负担,
提高工作效率;
符合相关安全规范(如 SOX、ISO27001、BS7799 等);
. 系统建设需求
. 统一安全防护
所有对 IT 系统的运维操作必须通过统一的入口方可进行,在统一入口设置相关安全策
略,保证操作安全,降低 IT 操作风险。
. 统一 IT 系统口令管理
将 IT 系统的管理员口令进行统一管理,解决口令管理相关问题,实现口令定期自动修
改、口令安全管理等。
所有运维人员进行操作不再需要知道 IT 系统的帐户口令。
. 身份认证和授权
使用独立的身份认证管理实现对运维人员的身份认证、授权,保证只有合法运维人员才
能使用其拥有运维权限的关键资源。
. 关键操作监控和报警
能根据运维实际情况,制定特定运维操作监控和报警策略,对敏感操作或违规行为及时
发现,并实现实时报警和阻断。
. 操作审计
对常用运维协议 Telnet、FTP、SFTP、SSH、RDP、Xwindows 等网络会话的完成记录
和审计,并能提供基于图像的操作回放,方便、直观地将操作展现给审计人员。
. 操作分析报表
基于运维操作数据,能基于时间、资源、人员的操作、违规事件的统计报表,为安全人
员分析安全态势提供辅助数据。
. 实现目标
. 提高操作透明度
目前的运维操作类似一个“黑匣子”:首先不知道当前有哪些操作正在进行?
其次是在哪一台设备上进行的操作?更不知道是哪一个运维人员执行的操作?
因为所有的操作都不透明,更谈不上对操作进行跟踪和审计,只有将操作最大限
度的透明,随时知道目前的操作状况,才能让操作变的可以被管理。
. 增强操作可控性
在当前的运维操作过程中,一方面超级权限运维人员(Root,enable 等)的
操作是无法控制的,同时在日常的操作中会出现多个运维人员同时使用一个超级
权限运维人员的情况,只有通过更加细粒度的控制,让某些运维人员能操作什么
某些运维人员不能操作什么,即使多个运维人员获取同一个超级权限运维人员,
操作权限也完全不一样,才能真正的降低操作的风险。
. 具体目标
集中管理:集中所有待管理审计的重要系统进行统一管理。
身份管理:解决维护操作者的身份问题,准确定位操作责任人。
访问控制:限制合法操作者合法访问资源,有效降低未授权访问所带来的风
险。
权限控制:对于运维操作来说,权限控制是从操作层面控制操作者的权限,
因为操作是最核心的风险因素,只有真正控制住运维人员的操作权限,才能有效
的降低操作风险。
操作审计:操作审计要保证在出了事故以后快速定位操作者和事故原因,还
原事故现场和举证。另外一个方面操作审计做为一种验证机制,验证和保证集中
管理,身份管理,访问控制,权限控制策略的有效性。
第3章 功能需求
. 集中管理
. 统一操作入口
通过使用堡垒机的密码托管功能和相应的网络访问控制,堡垒机能够成为企
业运维的唯一操作入口。
. 统一定制策略
将操作人员、操作行为和目标设备集中到一个平台后,就可以对其进行统一
分组并统一定制相关策略。
. 统一操作平台
系统运维中,管理人员和操作人员要面对大量不同厂家不同类型的设备,从
硬件上看可以分成网络设备和服务器。
. 统一管理审计
使用统一操作入口,定制相关策略并完成相应操作及操作审计。把操作审计
工作通过统一的操作出入口的模式,使审计变得易于实现和不可逃避。
. 访问控制
堡垒机可实现“运维人员-系统-系统帐号”的对应关系,从而实现严格的访
问控制, 实现实体级的访问控制授权。设置完成后,运维人员只能按照规则设置
来访问相应资源,彻底杜绝了非授权访问所带来的问题。
. 四要素控制
如下图所示,规则包括运维人员帐号,目标设备,系统帐号和服务类型访问
这几个要素。编写规则就是将已有的信息选入相关栏目内,而且,此策略为 即
时生效 策略,相关要素一旦被关联入策略后,相应人员就能开始使用。一旦使
用完毕,管理员可以即刻取消关联,相应权利即被收回。
. 详细规则设置
针对每一条访问控制规则,可以创建一条或者几条详细的登录规则。
可以设置允许运维人员登录的 IP 范围;
可以设置允许运维人员登录的时间段,可具体到多少分钟;
. 访问权限控制
堡垒机通过命令防火墙对同一个系统账号进行权限再分配,使得可以让使用
同一个系统账号的不同运维人员拥有不同的权限。
可灵活配置权限控制规则,支持通配符设置,具有“允许、拒绝、禁止”等多
种功能。
. 实时控制
管理员可以在堡垒机的 WEB 界面,除了可以实时监控运维人员在后台设备
上的所有操作外,还可以实时监控运维人员正在目标设备上进行的任意操作,实
现操作透明,从而达到边操作边审计的目的。
. 实时监控
可查看运维人员的操作会话状态;
在 WEB 界面实现实时监控;
可以实时监控任意类型(图形操作和字符操作)的活动会话;
. 实时阻断
管理员在实时监管的过程中,如果发现运维人员正在做一些违规或有可能导
致设备宕机的高危操作时,可以直接在 WEB 界面切断此运维人员的会话连接。
. 密码管理
. 密码托管
对于目标设备的访问帐号密码,可以由堡垒机进行集中托管,只要配置管理
员在相应设备的密码管理中将目标设备的帐号密码添加上去即可;
使用了密码托管功能后,运维人员以后访问目标设备时,只需要记住自己的
上的帐号和密码,即可通过堡垒机自动登录目标设备。
. 自动改密
堡垒机可以灵活配置目标设备密码的修改策略,实现密码的批量定期自动修
改,修改后的结果可以以加密邮件方式发送给密码保管员,从而实现密码的集中
管理,同时密码保管员也可以随时在系统的 WEB 界面手动修改目标设备的密码,
并可以打包备份设备的密码到本地,提高改密功能可用性。
. 自动告警
设备登录告警:针对核心设备,可设置登录告警。当运维人员登录核心设备
时,会发一条告警信息给管理员;
命令操作告警:对于字符会话设备,运维人员在输入一些高危命令时,系统
在主动阻断的同时,还会发一条告警信息给管理员;
图形操作告警:对于图形会话设备,运维人员在通过键盘输入一些高危指令
时,系统会在第一时间发出告警信息给管理员;
. 设备登录提醒
当有运维人员登录到目标设备时,堡垒机会马上生成一条告警信息,以邮件
或短信的形式通知管理员。让管理员第一时间得知这台设备的具体情况。如果发
生操作事故时,可以通过登录人员人信息快速查找出事故原因及定位事故责任人。
登录提醒功能支持的操作类型包括:字符设备(Telnet/SSH)登录、图形设
备(RDP/VNC/Xwindow/HTTP/HTTPS)登录、文件传输设备(FTP/SFTP/SCP)
登录和数据库登录等。
. 命令操作告警
针对命令操作会话,如果运维人员触发了设置好的监控级别命令,堡垒机就
会把这些事件进行详细的记录并发邮件告知管理员,同时还可以支持 syslog 方式
和短信网关方式的告警信息发送。
. 图形操作告警
针对图形操作会话,如果运维人员触发了设置好的监控级别命令,堡垒机就
会把这些事件进行详细的记录并发邮件告知管理员,同时还可以支持 syslog 方式
和短信网关方式的告警信息发送。
. 操作审计
堡垒机可以完整记录运维人员的所有操作行为,具体体现在:
所见即所得:记录运维人员真实、原始的操作,而不是处理过的操作;
以人为本:基于运维人员身份和工作角色的双审计,保证操作审计到人;
关联分析:完整记录运维人员多次联系跳转的操作会话,准确分析关联操作;
支持基于 Http/Https 协议的操作审计;
深度审计
为了进一步增加运维操作的完善性,堡垒机可以记录图形操作的鼠标点击情
况和键盘输入情况,从而实现深度审计。
快速定位:
对历史字符操作会话,可以实现从任一命令点回放下面的操作。
对历史图形操作会话,还可以做到完整得在线回放和下载到本地回放,
回放方式支持拖拉定位、倍速回放和自动过滤静止会话。
. 图形会话操作审计
堡垒机可以完整记录普通运维人员的图形操作,对于审计结果的查看,可以
做到:
拖拉定位回放:堡垒机可以快速精确地定位播放点,可以对图形设备上进行
的操作录像进行无延时的拖拉定位回放;
静止会话自动过滤:堡垒机记录图形会话是以增量方式进行记录的,因此
对于没有任何操作的静止画面堡垒机会自动过滤掉,在播放的过程中会自
动跳过静止画面的时间段;
缩略图查看:对于大的会话,可以以缩略图分段显示;
根据时间定位回放:可以根据指定时间,从该时间点开始回放图形操作;
回放抓屏: 在回放的过程中,可以随时进行抓图;
. 字符命令操作(Telnet/SSH)的操作审计
堡垒机可以完整记录普通运维人员的字符命令操作,对于审计结果的查看,
可以做到:
输入命令和输出结果的智能分离: 对于命令行操作的审计结果查看,堡垒
机可以做到输入输出的智能分离:当打开审计界面的时候,默认是让管理
员只看到运维人员输入的命令;
定位回放:运维人员在查看命令行回放时,可以做到从任意命令点开始回
放。只需点开“P”,则马上可以从从这条命令开始回放运维人员的操作;
操作会话统计:执行的命令总数/被拒绝/被禁止的命令数量;
. HTTP、HTTPS 操作审计(防火墙、IPS、IDS 等)
针对使用 HTTP/HTTPS 管理的设备,如防火墙、IPS、IDS 等,可通过堡垒
机登录到被管理设备的 WEB 界面进行操作,所有的操作都可以实时监控、记录、
审计。
. 应用发布操作审计
针对通过 C/S 客户端工具(如 PL/SQL、SQLPLUS、TOAD、PCOM 等)的
运维操作,可使用堡垒机的应用发布,将需要的应用程序发布出来,所有的操作
过程都被记录下来。
. 键盘鼠标、剪贴板的操作审计
为了进一步完善运维操作的完整性,堡垒机具有图形操作的鼠标点击记录、
查询和审计功能;同样对于运维人员键盘输入的内容、通过剪贴板的复制粘贴内
容,堡垒机会以文本的形式记录在页面中;
鼠标审计:在查看审计记录时,在审计的页面中会有三个代表鼠标按键的
图标,分别代表着鼠标按键的左键、中键及右健。回放时,根据运维人员
点击鼠标不同的按键,所代表的图标就会以不同的颜色进行显示,并且改
变的次数与鼠标点击的次数形成对应关系;
键盘审计:可以完整记录运维人员的键盘输入操作,并将输入内容以文本
方式整理保存;
通过键盘搜索实现定位回放:支持通过对键盘输入内容进行搜索,以实现
定位回放;
. 文件传输操作(FTP/SFTP/SCP)审计
完整记录运维人员的操作过程,包括对文件的上传、下载、删除、修改权限
等等。并能通过时间、运维人员、服务、类型、结果等条件进行筛选搜索。
. 数据库审计
. 直接登录到数据库服务器使用命令行的操作审计
对于直接登录到数据库服务器上的命令行操作,堡垒机要求能够记录操作者
所有的 sql 语句和输出结果,并且能够在输入输出内容中进行文本搜索。
. 通过 web 进行的操作审计
对于使用 https/http 的 web 操作,堡垒机可以记录所有的操作过程,包括键
盘的输入内容和鼠标的点击(左右键,单双击),其中键盘的输入可以进行文本
搜索。
. 使用客户端工具的操作审计
1. 数据库客户端一定要集中管理,不允许随意在笔记本/台式机等操作终
端上安装客户端程序,客户端程序必须统一安装在 1 台/几台指定的
windows 服务器上;
2. 操作者必须通过堡垒机登录到指定的 Windows 服务器上,然后在这台
服务器上打开客户端程序进行操作;
3. 堡垒机完整的记录所有的图形操作过程,并且可以实时监控所有的数据
库操作,如果发现操作有风险,可以随时阻断;
4. 堡垒机 把各种 sql 输入语句以文本的方式展现,并能够进行关键词搜
索;
5. 堡垒机 把搜索出来的 SQL 语句根据时间和执行该操作的图形会话关
联起来进行上下文回放(单独的 sql 语句并不能帮助运维人员进行问题
确认,必须知道 sql 语句的上下文语义才能准确的判断出操作行为),
既能看到每一条 SQL 操作指令,又能根据当时执行指令的时间定位到
当时指令相关操作过程,真正方便运维人员进行快速排查问题;
. 会话过程回放
. 会话过程回放机制
可根据需要,在一定时间段以视频回放方式,重现运行维护人员对服务器的所
有操作过程,同时要能够抓取主要操作命令,回放过程要集成在堡垒机系统中,
无需另外安装播放软件。另外播放频率可以任意调节,支持随时暂停,停止,截
屏,倍速/低速播放,拖动,重播等功能,还要支持从特定命令或指令位置开始定
位回放。
. 历史记录查询
. 历史记录查询机制
可根据需要,在一定时间段以文本方式对历史事件进行查询,审计人员可以根
据时间、IP 地址、运维人员姓名、操作指令等信息对历史事件进行多条件组合精
确查询,快速定位目标记录,重现当时运行维护人员对服务器的操作过程,同时
查询结果要能使用 Excel 或文本方式导出。
. 日志搜索
.终端会话搜索机制
可根据时间段为条件对所有的操作记录进行搜索,时间可精确到分钟;
可根据运维人员帐号、操作时间、系统帐号、目标设备、会话类型等关
键条件对所有操作记录进行搜索;
针对输入或者输出的命令,进行全文搜索,查询结果高亮显示;
.图形会话搜索机制
可根据时间段为条件对所有的操作记录进行搜索,时间可精确到分钟;
可根据运维人员帐号、操作时间、系统帐号、目标设备、会话类型等关
键条件对所有操作记录进行搜索;
对于 WEB 操作的会话记录,可根据运维人员输入的 URL 为条件进行
搜索;
.键盘输入内容搜索机制
针对图形的操作会话,可以根据键盘输入的内容和复制粘贴的内容,可以进
行文本的搜索,以帮助运维人员快速进行操作定位;
. 综合审计报表
.自定义报表
运维人员可根据月份进行情况总管理员可以根据日期,运维人员,目标设
备,服务类型(终端命令,图形操作)自定义模版;
统计出来的结果以图形的方式展现出来,包括柱状图、饼状图,同时可以
转化为 excel 或文本形式打印出来;
报表可以以 excel 或文本形式导出;
随时手工生长报表。
支持以天、星期、月、季等周期跨度出报表。
.自动报表
堡垒机可以根据自身需求,自定义报表类型,并生成 HTML 与 EXCEL 格式
的报表;实现自动报表功能,定期向指定人员发送指定报表。
