运维安全审计管理制度.docx

1、运维安全审计管理制度运维安全审计管理制度篇一：运维安全审计 运维安全审计 配置运维审计整体解决方案 1. 概述. 3 2. 解决方案介绍 . 4 2.1业务目标 . 4 2.2解决方案 . 4 2.3方案亮点 . 6 3. 典型应用场景 . 7 1. 概述 据权威机构统计，80%的系统和系统故障与配置的漏洞和变更有关；在有计划的系统变更中，有60%的系统故障因系统配置的缺陷引起。系统的配置指挥着系统如何的运行，如果配置出现差错，系统故障是随之而来的。 但是，面对各类繁杂、数量众多的IT设备，如何才能高效、合理的管理设备和应用的配置却不是一件简单的事情。主要体现在如下几个方面： ? 很多同类型的

2、设备需要重复性的去配置，每次巡检的时候，需要人工进行逐一核查。效率低下，而且极易出错。 ? 设备数量和类型众多，配置文件的存在形式，操作方式，配置项目都不一样。管理起来非常的复杂。 ? 配置的变更如何控制？如何检测非法的配置变更，管理人员也没有一个完整的视图来观察设备配置的变化情况，变化趋势。 ? 配置的备份都放到管理员自己的电脑上，特别是多人配置的时候，会有不同的配置版本出来，当出现故障进行恢复的时候，一是都找不到最后正常运行时候的配置文件。 ? ? 行业法规，企业法规的遵从上，也无法进行定期的检查。 设备的配置效果如何，是否存在安全上的漏洞，新的漏洞发布了后，涉及到配置上的更改是否及时进行

3、了。都无从强制的贯彻下去。 秉承着”客户的困难就是我们的困难，客户的成功就是我们的成功”的理念，我们推出了IT设备与系统配置管理的方案。本解决方案可以帮助您建立集中的自动化管理平台，实现对服务器，IT系统，应用的统一操作和管理，有效的减低认为操作的失误，保姆式的监控和管理IT系统的配置状况和对系统设备配置的非法操作，配置的合理性等多个方面。 它针对各种开放平台（Windows, AIX, HP-UX, SUSE, Redhat, Solaris 等），中间件，网络设备，应用提供一站式的配置管理服务，实现完整生命周期的自动化管理。 2. 解决方案介绍 2.1业务目标 通过实施本方案，你可以从如下

4、几个方面获得收益： 效率：提高你工作的效率，通过本方案的实施，您可以大大的节省平时设备管理员的日常工作。可以支持做日常的设备巡检，集中制定策略并批量配置设备，大大减轻运维的重复性工作，轻设备运维人员的压力，可以节省您在这部分人力投入的50%的工作量。 管理：规范了设备的管理方式。作为企业和组织的设备负责人，您能非常清晰的看到谁，什么时间，对您的那些设备和系统，做了哪些操作。和监控系统进行结合，可以整合分析有多少事故是由于我们对设备和系统的误操作造成的？另外，通过本系统可以对各种设备的配置做到强制策略执行，将领导和专家的规范，行业的先进管理经验贯彻下去。并定期做符合性的检查。 风险：当设备出现故

5、障的时候，您可以很快的调用备用设备，直接导入以前的设备，使其快速的恢复到故障之前设备运行的状况。在设备进行配置的时候，通过HAC做到细颗粒的权限控制，并对整个过程进行全面的审计。 2.2解决方案 本方案主要针对IT系统，设备，应用系统，中间件等IT基础单元的配置进行集中，智能管理的方案。方案不仅能对设备的配置过程进行精细化的控制与审计，实现细粒度的配置权限管理，而且还能维护设备配置的版本，比对不同版本的历史差异，实现配置操作的可管，可控。更能智能化的分析配置信息，分析配置的安全风险，对配置自动合规，发现非法修改配置，进行配置调优。还能批量维护设备等自动化的功能。使您的设备高效，安全的运行。如下

6、图所示： 图 1 IT系统设备全生命周期配置管理方案 该方案将HAC堡垒机，配置审计系统进行无缝的整合。有效的解决您对系统和设备配置管理上存在的困惑。每个产品各司其职，发挥自己的特长，又互联互通，紧密协作。他们共同结合，可以很完美的完成对整个设备和系统的配置的管理： 配置过程的管控 HAC侧重与设备配置活动的管理，实现一个对设备进行配置的运维管理的操作平台，管理员对设备的操作过程都在HAC的管控之下，给对整个操作的过程进行完整的审计。是一个面向配置过程的管理工具。 配置的分析： 配置审计侧重于配置的结果的分析与管理，对当前运行之中的配置信息进行详细的分析，并对不同时期设的配置变化进行详细的跟踪

7、与追溯，并对每个时期的配置进行快照，以便在必要的时候进行配置的修复，也供台分析管理对象配置变化的规律，配置的合规性，配篇二：运维安全审计系统 运维安全审计系统篇三：IT运维安全审计 IT运维安全审计 派拉IT运维安全管理中心是针对企业IT运维的信息安全平台性产品。该产品是对企业内部IT基础架构资源的安全管理。通过清晰的帐号，认证，权限审批流程实现对IT基础设施帐号的申请、审批、操作进行有效的安全控制。并提供单点登录的功能，简化管理员的访问过程，实现操作审计，在增强安全性的同时，提高管理员的工作效率。OSC产品还具备特权使用管理的功能，在操作人员不知道特权账户口令的情况下，在授权时限内进行高权限

8、操作，并全程审计。随着企业各项业务的发展，支撑企业业务运行的IT资源例如：服务器、数据库也越来越多，服务器帐号、个人帐号的数量、种类都在不停的增加。由于各个服务器所要求的密码安全策略各不相同，系统用户就会需要掌握多个帐号的用户名、密码，在更新密码的时候还需要去区分不同的服务器对应的不同的密码安全要求，在登录不同的系统时需要多次输入口令。一旦登录之后，进行非法命令操作，将不能进行有效的命令权限控制。 目前对这些帐号的管理仍然停留在手工操作阶段，对整个用户帐号生命周期的创建、调整、注销、密码的更新等都是由对应服务器管理员、数据库管理员、网络管理员手动管理，存在工作量繁重，维护艰难，安全漏洞多等问题

9、。对于这些日常操作，缺乏有效手段对这些日常工作的流程进行规范。同时，需要对这些用户帐号进行事前审批、事中监控、事后审计等合规性要求。 很多企业都急迫的希望通过一个IT运维安全平台来进行统一的管理，来提高人员工作效率，保证信息系统稳定、安全、高效运行。通过多种策略和技术手段实现多种系统帐号的统一管理、实现日常化操作的流程、实现合规审计的规范化，从而实现帐号资源的自动化管理配置、优化、有效提高其安全性、可控性及可用性。整合资源，实现流程、人员、合规、审计的有机结合，通过提供理论、方法、技术、应用的一整套完整的解决方案，建立一套较为完整的身份管理体系，提高运维管理的整体效能。 1.账号集中管理： 对

10、操作系统、数据库、网络设备等各种IT资源的帐号的集中控制和管理。实现账户，组的查询、创建、修改和删除。 2. 统一认证管理： 用户只需要记住一个主帐号，可自动实现单点登录访问有权限访问的资源，且客户端无需安装任何客户端工具，这样便统一了登录的入口。支持多种认证方式：RSA、CA证书、PKI、Ukey、短消息一次性口令（OTP）、AD域、Ldap、静态口令等。 3. 统一认证管理： 用户只需要记住一个主帐号，可自动实现单点登录访问有权限访问的资源，且客户端无需安装任何客户端工具，这样便统一了登录的入口。支持多种认证方式：RSA、CA证书、PKI、Ukey、短消息一次性口令（OTP）、AD域、Ld

11、ap、静态口令等。 4. 统一审计管理：集中收集、记录用户对业务支撑系统关键重要资源的使用情况。主要表现形式有：字符审计、图形化审计等；主要审计内容有：管理审计、操作行为审计、访问审计(字符审计、视频审计)、密码审计等。 5. 统一授权管理： 基于集中资源访问策略、用户访问策略和角色的授权管理。对用户使用业务支撑系统中资源的具体情况进行合理分配，实现不同用户对不同部分实体资源的访问。例如对客户端IP、限制命令、可访问周期、可访问协议进行限定，也可以限定申请人使用特权帐号的周期。当周期结束，系统将强制退出 6. 账号密码管理： 为企业建立统一的密码策略管理机制，实现受管系统运维账号密码定期定时密

12、码过期提示，过期自动修改等策略。定期检查平台密码库和受管系统上账号密码的一致性，并为不一致的情况提供处理机制。对用普通用户提供密码自服务功能，户自服务修改受管系统运维账号密码，指定密码或随机生成密码。 7. 特权身份管理： 包含特权密码管理、特权会话管理、特权命令的管理。 派拉IT运维安全管理平台在实现企业传统的安全行为审计的基础上，进一步提出“账号管理、认证管理、审批管理、特权管理”的产品理念，从管理方法、管理对象以及管理流程等方面，实现企业从传统审计管理到集中化、统一化安全管理的战略转变。从企业管理对象角度来看，实现了企业中与IT资源相关的人的管理、操作行为的管理、设备信息的管理，如下：

13、1. 完整的生命周期管理解决方案。涵盖IT运维安全管理的所有领域，真正实现 “事前审 批”，“事中控制”和“事后审计”的安全保护； 2. 扩展能力优越。支持RSA认证集成、AD集成、Tivoli监控集成、硬件设备帐号的LDAP 集成等功能，这是硬件盒子类产品无法比拟的； 3. 接口丰富。支持SSH、RDP、JDBC、HTTP、FTP、AD、LDAP、File、Web Service等几十 种接口，可定制集成其它设备和软件； 4. 系统自身安全。系统按照严格的安全标准进行设计与研发，系统无单点故障，保障整个 IT运维环境的安全性。 5. 满足安全规范要求。满足我国颁发的信息安全等级保护条例、企业

14、内部控制基本规范， 以及美国颁发的萨班斯法案（SOX）等，提供全面的安全控制与审计功能（文字审计、视频审计）。 6. 提高IT运维帐号管理效率。实现自动化、流程化、集中化的IT帐号管理，简化管理员 工作，降低用户忘记密码情况，提高用户工作效率； 7. 避免信息安全事故。避免IT运维人员造成的信息安全事故（无意、恶意）。 1. 涉及对象用户：管理员、维护人员、代维人员等 2. 设备：主机服务器、网络设备、数据库等 3. 管理范围：账号管理、权限管理、认证管理、各种运维操作行为监控等 4. 协议类型：Telnet、SSH、FTP、SFTP、VNC、RDP、X11以等 5. 安装部署：采用物理旁路、逻辑串联的方式，不需要在终端安装软件，用户通过IT运 维安全管理平台访问所需要管理设备，不改变运维人员的操作习惯，不影响业务的正常运行。