近年来数据安全事故频发,包括斯诺登事件、希拉里邮件丑闻以及携程宕机事件等,数据安全与防止泄露成为政府和企业都非常关心的议题。越来越多的企业安装部署堡垒机,堡垒机的基本思想是在技术,管理,操作,人的几个层面上,去建立安全防护体系的。通俗易懂来说就是主要用于信息安全运维领域,可对运维人员的操作进行录像和统一的登录入口。
那问题来了,堡垒机是如何在数据安全事件的责任定位到具体的某个人呢?
在实际部署过程中,堡垒机旁挂在在网络交换机节点上,实现运维人员远程访问维护服务器的跳板,即物理上并联,逻辑上串联。简单的说,就是服务器运维管理人员原先是直接通过远程访问技术进行服务器维护和操作,这期间不免有一些误操作或者越权操作,而“堡垒机”作为远程运维的跳板,使运维人员间接通过堡垒机进行对远程服务的的运维操作。如原来使用微软的远程桌面RDP进行windows服务器的远程运维,现在先访问到堡垒机,再由堡垒机访问远程windows服务器。这期间,运维人员的所有操作都被记录下来,可以以屏幕录像、字符操作日志等形式长久保存。在服务器发生故障时,就可以通过保存的记录对之前的操作进行审计。
现在我们来看一下网域堡垒机NSA是如何实现运维事件的“事后审计”?
完整记录网络会话过程
系统提供运维协议Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、VNC、AS400、Http、Https等网络会话的完整会话记录,完全满足内容审计中信息百分百不丢失的要求。
会话信息包括运维用户、运维地址、后台资源地址、资源名、协议、起始时间、终止时间、流量大小信息;会话信息包括运维过程中所有进出后台资源的数据。
详尽的会话审计与回放
运维操作审计以会话为单位,提供当日和条件查询定位。条件查询支持按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式。
针对命令交互方式的协议,提供逐条命令及相关操作结果的显示;
提供图像形式的回放,真实、直观、可视地重现当时的操作过程;
回放提供快放、慢放、拖拉等方式,方便快速定位和查看;
针对命令交互方式的协议,提供按命令进行定位回放;
针对RDP、Xwindows、VNC协议,提供按时间进行定位回放。
完备的审计报表功能
IT运维安全审计产品提供运维用户操作,管理员操作以及违规事件等多种审计报表。
提供日常报表,包括今日会话、今日自审计、用户信息、资源信息、权限信息、规则信息、管理员角色信息等报表;
提供会话报表,可根据用户选定时间、用户、资源形成会话报表;
提供自审计操作报表,可根据用户选定时间、管理员、模块形成自审计报表;
提供告警报表,可根据告警类别、级别、资源、运维用户、协议、时间等条件形成报表;
提供综合统计报表,可根据时间、资源、用户等条件形成综合统计报表,报表中包括概要信息、每个用户操作信息、每个资源被操作信息等。
