– 支持运维用户到后台资源帐户分配
– 支持各种主机、安全设备、网络设备以及Windows系统 – 支持通过定制脚本添加托管各类Unix、Linux系统帐号
– 口令支持下载、邮件和直接密函打印
产品功能：事中监控
• 实时监控
– 监控正在运维的会话，活动用户突出显示
– 监控后台资源被访问情况 – 可实时终止异常在线运维会话
– 可依据用户要求快速实现新应用的发布和审计。
产品功能：其他辅助功能
• 维护管理：
对HAC系统的本身维护和管理，表现为： – 远程重启、关机； – 审计日志自动、手动备份；
• HAC系统特点：
– – – – – 产品稳定、安全性高 高效、精简的安全内核 性能高，支持并发用户量大 支持HA高可用性 分权管理机制
• 系统组成
• 应用环境：
支持IBM AIX、HP UX、SUN Solaris、SCO UNIX、 LINUX、WINDOWS等多种操作系统。 可广泛应用于金融、政府、电信、证券、邮政、税 务、海关、交通等安全需求较高的行业。
• 2.2部署方式
单臂部署：不改变客户网络环境，对客户网络透明； 串联接入：可灵活根据网络环境串联路由接入，起 安全审计和访问控制的作用。
1.3安全实践 – 安全管理业界标准ISO27001: 2005 • 条款A15.1.3明确要求必须保护组织的运行记录。 • 条款A15.2.1则要求信息系统经理必须确保所有 负责的安全过程都在正确执行，符合安全策略和 标准的要求。
（2）科友解决方案 江南科友 “运维安全审计系统 （HAC）”是针对于用户核心资产的运维 操作，再现关键行为轨迹，探索操作意图， 集全局实时监控与敏感过程回放等功能特 点，有效解决了信息化监管中的一个关键 问题 。 以操作为核心，从操作层入手，实现 对人、设备、操作的统一管理，做到事前 防范、事中控制、事后监督和纠正的组合， 从而帮助用户最小化人为操作风险。
产品型号：
HAC成功案例
HAC 资质
• 1、国家保密局认证。 • 2、中国信息安全测评中心认证。 • 3、计算机软件著作权登记证书。
谢 谢
• • •
– 金融机构应定期检测所有关键设备和系统软件的工 作状态，审查其工作日志 商业银行内部控制指引－银监会：2006 – 记录要清晰、易于识别和检索，以提供追溯证据。 《新资本协议》、SOX法案 国家标准： – 我国颁布的安全等级保护技术要求信息系统中必须 建立并保存下面的各种访问日志： • 网络（网络安全审计8.1.2.4） • 主机（安全审计8.1.3.3） • 应用（安全审计8.1.4.3）
– 提供在线运维的操作的实时监控功能
• 敏感操作实时告警与阻断
– 根据安全策略实施运维过程敏感操作检测，对违规操作提供 实时告警和阻断 – 支持用户分级，并针对不级别采取不同响应方式 – 告警与会话实时监控、会话审计与回放关联
产品功能：会话审计
• 完整记录网络会话过程
系统提供运维协议Telnet、FTP、SSH、SFTP、RDP等网络会话的完整会
• 支持命令Del、TAB、上下键等编辑过程的准确识别。 • 可基于命令定位会话。
• 会话内容可折叠显示，使用更方便。
产品功能：审计报表
• 完备的审计报表功能
– 提供日常报表、会话报表、自审计操作报表、 告警报表
– 提供综合统计报表，报表中包括概要信息、 每个用户操作信息、每个资源被操作信息等
产品功能：变更工单、双人操作支持
部署模式一：单臂模式:
核心服务器区 网络区（组网） 远程运维
Internet
厂商技术支持或 外包人员
Intranet
HAC
分支机构
பைடு நூலகம்
操作及网管区
HAC具体功能
1. 身份认证与授权
2. 账户托管、SSO
3. 事中监控 4. 会话审计、审计报表 5. 变更工单、双人操作支持 6. 应用发布审计 7. 其他功能
HAC 带来的安全价值
提升声誉 满足合规性要求，顺利通过等级检查、IT审计 有效减少业务系统核心信息资产的破坏和泄漏
降低损失
取证免责
有效控制运维操作风险，便于事后追查原因与界定责任
把控全局
有效控制业务运行风险，直观掌握业务系统安全状况
完善机制
实现独立审计管理、配置管理、运维管理的三权分立，完善 IT内控机制
综上所述： • 企业IT系统构成复杂，操作人员众多，对 其进行有效审计，是控制内部风险的一个 重要手段。
• 运维管理安全需求
– 如何解决共享帐号后操作身份不唯一的问题？
– 如何控制操作人员操作权限？
– 如何实时跟踪操作者的操作行为？
– 如何监控和定位非法操作行为？ – 如何对已经发生的非法操作行为进行举证？
• 可支持ITSM（IT服务管理）
– HAC可与ITSM相结合，为其优化变更管理流程，加强对变更 管理中的风险控制。 – 支持对变更工单录入操作，实现变更过程的监控和审计。 – 支持对现有运维变更管理系统快速集成。 – 支持变更工单号事后审计功能。
• 可支持双人符合操作
– 支持运维过程对双人操作流程介入。 – 支持会话日志记录双人符合操作审批人、时间、操作符合命 令。
• 灵活、细粒度的授权
提供基于用户、运维协议、目标主机、运维时间段、会话时长、运维客户端 IP等组合的授权功能，实现细粒度授权，满足用户实际应用的需要。
产品功能：账户托管、SSO
• 口令统一管理与自动登陆
运维人员通过HAC认证和授权后，HAC根据配置策略实现后台资
源的自动登录代理，提供托管和只托不管两种方式。 – 支持后台资源口令统一管理
• 2.1 HAC介绍及产品定位
外形如下：
• HAC—Host Audit Control，运维安全审计系统，设备
• HAC是以实现审计为目标，集认证、授权、审计为一 •
•
体的安全设备。 实现原理： – 基于协议解码，来达到监控、记录数据的目的，目 前支持协议有Telnet、FTP、SFTP、SSH、RDP （Remote Desktop Protocol）等多种通信协议。 审计对象： – 针对内部运行维护人员； – 针对服务外包人员； – 针对厂商或集成商等技术支持人员。
产品功能：应用发布审计
• 各类应用运维操作审计功能
– 业界首创的（VDH, Virtual Desktop Host）虚拟桌面主机安全 操作系统设备，完全符合运维安全审计要求。 – 运维操作全程可控，可做到授权后应用只能访问指定服务， 最大降低对后台目标服务集群的可能安全风险。
– 可对整个运维操作过程进行完整记录，实现详尽的会话审计 和回放。
1.2 相关政策规范和标准 • 中国银监会于2007年5月紧急发布的<<商业银行操作风 险管理指引>>中明确要求： – 第十七条 商业银行应当将加强内部控制作为操作风 险管理的有效手段，与此相关的内部措施至少应当包 括： • （一）部门及操作人员之间应权限分离； • （二）密切监测风险限额或权限的情况。 • （三）对接触和使用银行资产的记录进行安全监控。 • 电子银行业务管理办法－银监会：2006 – 金融机构应在物理和软件控制两个方面，建立对进入 系统的识别、处理和报告机制
话记录，完全满足内容审计中信息百分百不丢失的要求。
• 详尽的会话审计与回放
– 支持按运维用户、运维地址、后台资源地址、协议、起始时间、结
束时间和操作内容中关键字等组合方式； – 提供图像形式的回放，真实、直观、可视地重现当时的操作过程； – 回放提供快放、慢放、拖拉等方式，方便快速定位和查看 – 支持文本协议操作命令和结果回显功能
真实案例
案例1：银行系统开发商内部作案 • 某商行开发核心业务系统，开发商某工程师在试运行维护 期间内部新增一个隐藏帐户，且将其帐户金额锁死，以致 后期该人频繁通过该帐户取款，无人发现，直至银行经过 长时间对帐，仔细比对和核查，才找到问题原因。 案例2：外包人员作案，ATM资金丢失 • 某银行ATM机服务外包给厂商，某厂商工程师利用工作便 利，在ATM系统中安装了一个抓包工具，将许多储户的密 码偷偷抓取到，并通过伪造卡的方式盗取大量资金。经过 长时间排查，和查找ATM监控录像才发现作案人员。
运维安全审计系统
HAC
广州江南科友科技股份有限公司 2010年7月
目录
• 安全现状及审计需求 • 科友解决方案
• HAC具体功能
• 成功案例
（1）安全审计需求
1.1 审计的必要性、迫切性 • 银行计算机犯罪以每年30%速度增长，涉案金额越来 越大。具有如下特点： – 犯罪主体以内部或内外勾结为主； – 作案目的以盗窃资金为主； – 发案原因多是由于缺乏内部风险控制机制为主。 • 介绍目前几个真实案例
产品功能：身份认证、授权
• 完整的身份管理和认证
解决身份问题，满足审计系统“谁做的”要求。
– 运维用户：静态口令、动态口令、证书KEY、RADIUS、LADP、AD认证 方式；管理员：静态口令、动态口令、证书KEY认证方式。 – 支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能。 – 支持运维用户用户分组管理，方便的增、删、改、查操作，支持用户信 息导入导出，方便批量处理 。