运维安全审计系统hac产品使用手册

运维安全审计系统hac产品使用手册内容摘要：

C 栋 1003 室 电话 (Tel):(86 20)85533289 传真 (Fax):(86 20)85530160 邮编 ():510665 4 开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。 第一百一十八条商业银行应当明确计算机信息系统开发人员、管理人员与操作人员的岗位职责，做到岗位之间的相互制约，各岗位之间不得相互兼任。 各级机构应当配备计算机安全管理人员，明确计算机安全管理人员的职责。 第一百二十六条商业银行的网络设备、操作系统、数据库系统、应用程序等均应当设置必要的日志。 日志应当能够满足各类内 部和外部审计的需要。 第一百二十八条商业银行运用计算机处理业务，应当具有可复核性和可追溯性，并为有关的审计或检查留有接口。 国家标准： 我国颁布的安全等级保护技术要求，在确立为第二级（指导保护级）以及以上级的信息系统中必须建立并保存下面的各种访问日志：  网络（网络安全审计 ）  主机（安全审计 ）  应用（安全审计 ） 安全实践 安全管理业界标准 ISO27001: 2020，  条款 明确要求必须保护组织的运行记录。 条款 则要求信息系统经理必须确保所有 负责的安全过程都在正确执行，符合安全策略和标准的要求。 产品简介 江南科友 HAC 目标是为 IT 基础架构关键资源的运维操作提供强有力的监控、审计手段，切实满足企业内控管理的合规性要求。 运维安全审计系统（ HAC）着眼于解决关键 IT 基础设施运维安全问题。 它能够对 Unix和 Windows 服务器、网络与安全设备上的数据访问进行安全、有效的操作审计，支持实时监控、实时告警和事后全程回放审计。 HAC 弥补了传统审计系统的不足，将运维审计由事件审计提升为内容审计，集认证、授权、管理、审计为一体，有效地实现了事前预防、事中控制和事后审计。 运维安全审计系统产品使用手册 广州江南科友科技股份有限公司 地址 (Add):广州市天河区科韵路 16 号广州信息港 C 栋 1003 室 电话 (Tel):(86 20)85533289 传真 (Fax):(86 20)85530160 邮编 ():510665 5 HAC主要功能  完整的身份管理和认证 为了确保合法用户才能访问其拥有权限的后台资源，解决 IT 系统中普遍存在的交叉运维而无法定位到具体人的问题，满足审计系统 ―谁做的 ‖要求，系统提供一套完整的身份管理和认证功能。  支持运维用户静态口令、动态口令 、 LDAP、 AD 域 认证方式；  支持管理员静态口令、动态口令、证书 KEY 等认证方式；  支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能；  支持用户分组管理；  支持用户信息导入导出，方便批量处理。  灵活、细粒度的授权 系统提供基于用户、运维协议、目标 主机、运维时间段（年、月、日、周、时间）、会话时长、运维客户端 IP 等组合的授权功能，实现细粒度授权功能，满足用户实际授权的需求。  提供基于用户到资源的授权  提供基于用户组到资源的授权  提供基于用户到资源组的授权  提供基于用户组到资源组的授权  后台资源自动登陆 后台资源自动登陆功能是运维人员通过 HAC 认证和授权后， HAC 根据配置策略实现后台资源的自动登录。 此功能提供了运维人员到后台资源帐户的一种可控对应，同时实现了对后台资源帐户的口令统一保护。 针对不同主机、网 络和安全设备的特性， HAC 提供托管和只托不管两 种 方式实现运维用户自动登录后台资源。 托管方式实现自动登录后台资源  HAC 自动获取后台资源帐户信息；  根据口令安全策略， HAC 定期自动修改后台资源帐户口令；  根据管理员配置，实现运维用户与后台资源帐户对应，限制帐户的越权使用；  运维用户通过 HAC 认证和授权后， HAC 根据分配的帐户实现自动登录后台资源。 运维安全审计系统产品使用手册 广州江南科友科技股份有限公司 地址 (Add):广州市天河区科韵路 16 号广州信息港 C 栋 1003 室 电话 (Tel):(86 20)85533289 传真 (Fax):(86 20)85530160 邮编 ():510665 6 只托不管方式实现自动登录后台资源  管理员将后台资源帐户及口令配置到 HAC 中；  根据管理员配置，实现运维用户与后台资源帐户对应，限制帐户的越权使用；  运维用 户通过 HAC 认证和授权后， HAC 根据分配的 帐户实 现自动登录后台资源。  实时监控  监控正在运维的会话，信息包括运维用户、运维客户端地址、资源地址、协议、开始时间等；  监控后台资源被访问情况；  提供在线运维的操作的实时监控功能。 针对命令交互性协议可以图像方式实时监控正在运维的各种操作，其信息与运维客户端所见完全一致。  违规操作实时告警与阻断 针对运维过程中可能存在潜在操作风险， HAC 根据用户配置的安全策略实施运维过程中的违规操作检测，对违规操作提供实时告警和阻断，从而达到降低操作风险及提高安全管理与控制的能力。  提供用户可配置的告警规则，告警规则支持告警级别 、告警分类和与后台资源绑定；  在具有自动登录功能的 HAC 上，可实现告警规则与后台资源的帐户级别进行绑定，针对不同用户实施不同的规则，从而提供更细粒度的操作控制；  告警动作支持会话阻断、审计平台告警和邮件告警等。  完整记录网络会话过程  系统提供运维协议 Tel、 FTP、 SSH、 SFTP、 RDP（ Windows Terminal）、 AS400、XWIN 和 VNC 等网络会话的完整会话记录，完全满足内容审计中信息百分百不丢失的要求。  会话信息包括运维用户、运维地址、后台资源地址、资源名、协议、起始时间、终止时间、 流量大小信息；  会话信息包括运维过程中所有进出后台资源的数据。  详尽的会话审计与回放  运维操作审计以会话为单位，提供当日和条件查询定位。 条件查询支持按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字 运维安全审计系统产品使用手册 广州江南科友科技股份有限公司 地址 (Add):广州市天河区科韵路 16 号广州信息港 C 栋 1003 室 电话 (Tel):(86 20)85533289 传真 (Fax):(86 20)85530160 邮编 ():510665 7 等组合方式。  针对命令交互方式的协议，提供逐条命令及相关操作结果的显示；  提供图像形式的回放，真实、直观、可视地重现当时的操作过程；  回放提供快放、慢放、拖拉等方式，方便快速定位和查看；  针对命令交互方式的协议，提供按命令进行定位回放；  针对 RDP、 XWIN 和 VNC 协议，提供按时间进行 定位回放。  完备的审计报表功能 HAC 提供运维人员操作，管理员操作以及违规事件等多种审计报表。  提供日常报表，包括今日会话、今日自审计、用户信息、资源信息、权限信息、规则信息、管理员角色信息等报表；  提供会话报表，可根据用户选定时间、用户、资源形成会话报表；  自审计操作报表，可根据用户选定时间、管理员、模块形成自审计报表；  告警报表，可根据告警类别、级别、资源、运维用户、协议、时间等条件形成报表；  综合统计报表，可根据时间、资源、用户等条件形成综合统计报表，报表中包括概要信息、每个用户操作信息、每个资源被操 作信息等。  其他功能 系统提供双机热备、日志手工和自动备份、网络维护和性能监控、系统日志重定向、 NTP、SNMP、变更工单号、双人符合、密函打印等功能 支持。 HAC系统特点  支持 Unix 和 Windows 平台下运维操作审计 领先地解决了 SSH、 RDP 等加密运维协议的审计，满足用户在 Unix 和 Windows 环境的运维操作审计需求。  更严格的审计管理 系统集认证、授权、管理和审计有机地集成为一体，有效地实现了事前预防、事中控制和事后审计。  分权管理机制 系统提供设备管理员、运维管理员和审计员三种管理角色，并支持灵 活地配置更细的角 运维安全审计系统产品使用手册 广州江南科友科技股份有限公司 地址 (Add):广州市天河区科韵路 16 号广州信息港 C 栋 1003 室 电话 (Tel):(86 20)85533289 传真 (Fax):(86 20)85530160 邮编 ():510665 8 色，从技术上保证系统管理安全。  部署灵活、操作方便  系统支持单臂、串接部署模式  支持基于 B/S 实现系统管理、配置  审计平台提供了功能齐全、操作方便、展现良好的审计管理功能  完善的系统安全设计  精简的内核和优化的 TCP/IP 协议栈  基于 HTTPS/SSL 的自身安全管理与审计  严格的安全访问控制和管理员身份认证支持强认证  审计信息加密存储  完善的审计信息备份机制  支持双机热备 应用环境 HAC 支持 TELNET、 FTP、 SFTP、 SSH、 RDP、 AS400、 XWIN 和 VNC 等多种 协议，支持 IBM AIX、 HP UNIX、 SUN Solaris、 SCO UNIX、 LINUX、 WINDOWS 等多种操作系统。 可广泛应用于金融、政府、电信、证券、 社会保障、邮政、税务、海关、交通 等安全需求较高的行业。 系统组成 HAC 系统的组成如下图： 运维安全审计系统产品使用手册 广州江南科友科技股份有限公司 地址 (Add):广州市天河区科韵路 16 号广州信息港 C 栋 1003 室 电话 (Tel):(86 20)85533289 传真 (Fax):(86 20)85530160 邮编 ():510665 9 为了保证 HAC 管理安全和只有可信用户才能对后台资源进行运维， HAC 引入两大类用户： HAC 管理员和运维人员。 运维人员是对后台资源进行运维的人员。 HAC 管理员是对 HAC 进行操作，以实现对 HAC 管理、配置及完成审计功能的人员。 系统默认三种角色：系统管理员、运维管理员和审计员。 系统管理员是对 HAC 设备进行配置和管理人员；运维管理员是配置 HAC，建立运维人员帐户、保护资源及授权等；审计员是对运维人员的操作进行审计和 HAC 管理员对 HAC 进行操作的审计。 系统管理员和运维管理员通过 HTTPS 方式访问 HAC 进行操作和配置。 审计员通过 HAC 审计平台软件实施审计。 HAC 工作要求 由于 HAC 实施审计条件是所有对被保护资源的运维流量均需要流经 HAC，所以保证HAC 工作正常应具备以下要求：  当 HAC 为单臂部署模式时，为了让运维人员访问被保护资源的流量流经 HAC，需要在交换机或安全设备上配置安 全策略如访问控制列表，确保运维人员不能直接访问被保护资源，只有 HAC 能访问被保护资源。  HAC 能访问保护资源。 如果 HAC 到保护资源之间设置了安全策略，需根据所用协议端口开放相关端口。 开放端口根据运维协议和保护资源服务端口而定，具体情况如下： 运维安全审计系统产品使用手册 广州江南科友科技股份有限公司 地址 (Add):广州市天河区科韵路 16 号广州信息港 C 栋 1003 室 电话 (Tel):(86 20)85533289 传真 (Fax):(86 20)85530160 邮编 ():510665 10  采用 Tel 协议运维：需开放 HAC 到保护资源的 23 端口（ 23 端口为保护资源Tel 服务端口，如果修改请根据实际进行修改，下同）。  采用 SSH、 SFTP 协议运维：需开放 HAC 到保护资源的 22 端口。  采用 FTP 协议运维：需开放 HAC 到保护资源的 21 端口、 20 端口和 1024 以上端口 （若 FTP 采用主动模式，则只需开放 2 20 端口；若采用被动模式，则需开放 2 1024 以上端口）。  采用 RDP 协议运维：需开放 HAC 到保护资源的 3389 端口。  采用 XWIN 协议运维：需开放 HAC 到保护资源的 UDP177 端口和 6000 以上端口。  采用 VNC 协议运维：需开放 HAC 到保护资源的 5900 以上端口 （根据 VNC 服务器的定义，一般为 5900 以上端口）。  采用 AS400 专用客户端运维 AS400 主机：需开放 HAC 到保护资源的 44 23 端口和 8470—8479 相关端口 （ 8470—8479 是动态 协商的，不同主机可能用其中部分端口）。  运维人员能访问 HAC。 如果运维人员和 HAC 之间设置安全策略，需根据所用协议端口开 放 相关端口。 具体情况如下： 。