运维审计

盛威中创SUOC安全运维管控平台(以下简称“SUOC”)是新一代运维审计系统,它采用软硬件一体化设计,通过B/S方式(https)进行管理,其主要功能为:能够将主机、网络设备、数据库、应用等实施统一认证、授权、审计、分析;具有与身份认证系统无缝结合的接口;实现对操作过程的全程监控与审计,支持账户开通申请与审批的流程管理,以及对违规操作行为的实时阻断。
该产品采用先进的设计理念,支持对多种远程维护方式的支持,如字符终端方式(SSH、Telnet)、图形方式(RDP)、文件传输(FTP、SFTP)以及多种主流数据库的访问操作, 完整的审计报告,可针对各种不同日志信息生成不同的审计报告,还可对关联日志信息生成关联审计报告,综合有效利用日志信息为网管提供IT网络的整体运行现状。完全可满足电信、金融、政府、电力等行业客户的审计要求。
3.1产品主要功能
3.1.1单点登录
SUOC提供了基于 B/S 的单点登录系统,用户通过一次登录系统后,就可以无需认证的访问被授权的多种基于 B/S 和 C/S 的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录用户 ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高工作效率。同时,由于系统自身是采用强认证(动态口令)的系统,从而提高了用户认证环节的安全性。单点登录可以实现与用户授权管理的无缝链接,可以通过对用户、角色、行为和资源的授权,增加对资源的保护和对用户行为的监控及审计。
3.1.2 集中帐号管理
集中帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理,而且还降低了管理大量用户帐号的难度和工作量。同时,通过统一的管理还能够发现帐号中存在的安全隐患,并且制定统一的、标准的用户帐号安全策略。
通过建立集中帐号管理,企业可以实现将帐号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足审计的需要。

3.1.3 身份认证
SUOC为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。 
集中身份认证提供静态密码、一次性口令和生物特征等多种认证方式,其中,内置一次性口令认证系统,而且系统具有灵活的定制接口,可以方便的与第三方认证服务器对接。
3.1.4 资源授权
SUOC提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。
在集中访问授权里强调的“集中”是逻辑上的集中,而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能,管理员也由各自的归口管理部门委派,但是这些管理员在SUOC上,可以对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以限制用户的操作,以及在什么时间进行操作等的细粒度授权。
3.1.5 访问控制
SUOC能够提供细粒度的访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其系统行为,管理员会根据其自身的角色为其指定相应的控制策略来限定用户。
访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。
3.1.6 操作审计
操作审计管理主要审计操作人员的帐号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后,操作审计能更好地对帐号的完整使用过程进行追踪。
内控堡垒主机系统通过系统自身的用户认证系统、用户授权系统,以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方。