【文章內(nèi)容簡(jiǎn)介】 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 4 開(kāi)發(fā)部門、管理部門與應(yīng)用部門的職責(zé)，建立和健全計(jì)算機(jī)信息系統(tǒng)風(fēng)險(xiǎn)防范的制度，確保計(jì)算機(jī)信息系統(tǒng)設(shè)備、數(shù)據(jù)、系統(tǒng)運(yùn)行和系統(tǒng)環(huán)境的安全。 第一百一十八條商業(yè)銀行應(yīng)當(dāng)明確計(jì)算機(jī)信息系統(tǒng)開(kāi)發(fā)人員、管理人員與操作人員的崗位職責(zé)，做到崗位之間的相互制約，各崗位之間不得相互兼任。各級(jí)機(jī)構(gòu)應(yīng)當(dāng)配備計(jì)算機(jī)安全管理人員，明確計(jì)算機(jī)安全管理人員的職責(zé)。 第一百二十六條商業(yè)銀行的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用程序等均應(yīng)當(dāng)設(shè)置必要的日志。日志應(yīng)當(dāng)能夠滿足各類內(nèi) 部和外部審計(jì)的需要。 第一百二十八條商業(yè)銀行運(yùn)用計(jì)算機(jī)處理業(yè)務(wù)，應(yīng)當(dāng)具有可復(fù)核性和可追溯性，并為有關(guān)的審計(jì)或檢查留有接口。 國(guó)家標(biāo)準(zhǔn)： 我國(guó)頒布的安全等級(jí)保護(hù)技術(shù)要求，在確立為第二級(jí)（指導(dǎo)保護(hù)級(jí)）以及以上級(jí)的信息系統(tǒng)中必須建立并保存下面的各種訪問(wèn)日志： ? 網(wǎng)絡(luò)（網(wǎng)絡(luò)安全審計(jì) ） ? 主機(jī)（安全審計(jì) ） ? 應(yīng)用（安全審計(jì) ） 安全實(shí)踐 安全管理業(yè)界標(biāo)準(zhǔn) ISO27001: 2020， ? 條款 明確要求必須保護(hù)組織的運(yùn)行記錄。 條款 則要求信息系統(tǒng)經(jīng)理必須確保所有 負(fù)責(zé)的安全過(guò)程都在正確執(zhí)行，符合安全策略和標(biāo)準(zhǔn)的要求。 產(chǎn)品簡(jiǎn)介 江南科友 HAC 目標(biāo)是為 IT 基礎(chǔ)架構(gòu)關(guān)鍵資源的運(yùn)維操作提供強(qiáng)有力的監(jiān)控、審計(jì)手段，切實(shí)滿足企業(yè)內(nèi)控管理的合規(guī)性要求。 運(yùn)維安全審計(jì)系統(tǒng)（ HAC）著眼于解決關(guān)鍵 IT 基礎(chǔ)設(shè)施運(yùn)維安全問(wèn)題。它能夠?qū)?Unix和 Windows 服務(wù)器、網(wǎng)絡(luò)與安全設(shè)備上的數(shù)據(jù)訪問(wèn)進(jìn)行安全、有效的操作審計(jì)，支持實(shí)時(shí)監(jiān)控、實(shí)時(shí)告警和事后全程回放審計(jì)。 HAC 彌補(bǔ)了傳統(tǒng)審計(jì)系統(tǒng)的不足，將運(yùn)維審計(jì)由事件審計(jì)提升為內(nèi)容審計(jì)，集認(rèn)證、授權(quán)、管理、審計(jì)為一體，有效地實(shí)現(xiàn)了事前預(yù)防、事中控制和事后審計(jì)。 運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊(cè) 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號(hào)廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 5 HAC主要功能 ? 完整的身份管理和認(rèn)證 為了確保合法用戶才能訪問(wèn)其擁有權(quán)限的后臺(tái)資源，解決 IT 系統(tǒng)中普遍存在的交叉運(yùn)維而無(wú)法定位到具體人的問(wèn)題，滿足審計(jì)系統(tǒng) ―誰(shuí)做的 ‖要求，系統(tǒng)提供一套完整的身份管理和認(rèn)證功能。 ? 支持運(yùn)維用戶靜態(tài)口令、動(dòng)態(tài)口令 、 LDAP、 AD 域 認(rèn)證方式； ? 支持管理員靜態(tài)口令、動(dòng)態(tài)口令、證書(shū) KEY 等認(rèn)證方式； ? 支持密碼強(qiáng)度、密碼效期、口令嘗試死鎖、用戶激活等安全管理功能； ? 支持用戶分組管理； ? 支持用戶信息導(dǎo)入導(dǎo)出，方便批量處理。 ? 靈活、細(xì)粒度的授權(quán) 系統(tǒng)提供基于用戶、運(yùn)維協(xié)議、目標(biāo) 主機(jī)、運(yùn)維時(shí)間段（年、月、日、周、時(shí)間）、會(huì)話時(shí)長(zhǎng)、運(yùn)維客戶端 IP 等組合的授權(quán)功能，實(shí)現(xiàn)細(xì)粒度授權(quán)功能，滿足用戶實(shí)際授權(quán)的需求。 ? 提供基于用戶到資源的授權(quán) ? 提供基于用戶組到資源的授權(quán) ? 提供基于用戶到資源組的授權(quán) ? 提供基于用戶組到資源組的授權(quán) ? 后臺(tái)資源自動(dòng)登陸 后臺(tái)資源自動(dòng)登陸功能是運(yùn)維人員通過(guò) HAC 認(rèn)證和授權(quán)后， HAC 根據(jù)配置策略實(shí)現(xiàn)后臺(tái)資源的自動(dòng)登錄。此功能提供了運(yùn)維人員到后臺(tái)資源帳戶的一種可控對(duì)應(yīng)，同時(shí)實(shí)現(xiàn)了對(duì)后臺(tái)資源帳戶的口令統(tǒng)一保護(hù)。 針對(duì)不同主機(jī)、網(wǎng) 絡(luò)和安全設(shè)備的特性， HAC 提供托管和只托不管兩 種 方式實(shí)現(xiàn)運(yùn)維用戶自動(dòng)登錄后臺(tái)資源。 托管方式實(shí)現(xiàn)自動(dòng)登錄后臺(tái)資源 ? HAC 自動(dòng)獲取后臺(tái)資源帳戶信息； ? 根據(jù)口令安全策略， HAC 定期自動(dòng)修改后臺(tái)資源帳戶口令； ? 根據(jù)管理員配置，實(shí)現(xiàn)運(yùn)維用戶與后臺(tái)資源帳戶對(duì)應(yīng)，限制帳戶的越權(quán)使用； ? 運(yùn)維用戶通過(guò) HAC 認(rèn)證和授權(quán)后， HAC 根據(jù)分配的帳戶實(shí)現(xiàn)自動(dòng)登錄后臺(tái)資源。 運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊(cè) 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號(hào)廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 6 只托不管方式實(shí)現(xiàn)自動(dòng)登錄后臺(tái)資源 ? 管理員將后臺(tái)資源帳戶及口令配置到 HAC 中； ? 根據(jù)管理員配置，實(shí)現(xiàn)運(yùn)維用戶與后臺(tái)資源帳戶對(duì)應(yīng)，限制帳戶的越權(quán)使用； ? 運(yùn)維用 戶通過(guò) HAC 認(rèn)證和授權(quán)后， HAC 根據(jù)分配的 帳戶實(shí) 現(xiàn)自動(dòng)登錄后臺(tái)資源。 ? 實(shí)時(shí)監(jiān)控 ? 監(jiān)控正在運(yùn)維的會(huì)話，信息包括運(yùn)維用戶、運(yùn)維客戶端地址、資源地址、協(xié)議、開(kāi)始時(shí)間等； ? 監(jiān)控后臺(tái)資源被訪問(wèn)情況； ? 提供在線運(yùn)維的操作的實(shí)時(shí)監(jiān)控功能。針對(duì)命令交互性協(xié)議可以圖像方式實(shí)時(shí)監(jiān)控正在運(yùn)維的各種操作，其信息與運(yùn)維客戶端所見(jiàn)完全一致。 ? 違規(guī)操作實(shí)時(shí)告警與阻斷 針對(duì)運(yùn)維過(guò)程中可能存在潛在操作風(fēng)險(xiǎn)， HAC 根據(jù)用戶配置的安全策略實(shí)施運(yùn)維過(guò)程中的違規(guī)操作檢測(cè)，對(duì)違規(guī)操作提供實(shí)時(shí)告警和阻斷，從而達(dá)到降低操作風(fēng)險(xiǎn)及提高安全管理與控制的能力。 ? 提供用戶可配置的告警規(guī)則，告警規(guī)則支持告警級(jí)別 、告警分類和與后臺(tái)資源綁定； ? 在具有自動(dòng)登錄功能的 HAC 上，可實(shí)現(xiàn)告警規(guī)則與后臺(tái)資源的帳戶級(jí)別進(jìn)行綁定，針對(duì)不同用戶實(shí)施不同的規(guī)則，從而提供更細(xì)粒度的操作控制； ? 告警動(dòng)作支持會(huì)話阻斷、審計(jì)平臺(tái)告警和郵件告警等。 ? 完整記錄網(wǎng)絡(luò)會(huì)話過(guò)程 ? 系統(tǒng)提供運(yùn)維協(xié)議 Tel、 FTP、 SSH、 SFTP、 RDP（ Windows Terminal）、 AS400、XWIN 和 VNC 等網(wǎng)絡(luò)會(huì)話的完整會(huì)話記錄，完全滿足內(nèi)容審計(jì)中信息百分百不丟失的要求。 ? 會(huì)話信息包括運(yùn)維用戶、運(yùn)維地址、后臺(tái)資源地址、資源名、協(xié)議、起始時(shí)間、終止時(shí)間、 流量大小信息； ? 會(huì)話信息包括運(yùn)維過(guò)程中所有進(jìn)出后臺(tái)資源的數(shù)據(jù)。 ? 詳盡的會(huì)話審計(jì)與回放 ? 運(yùn)維操作審計(jì)以會(huì)話為單位，提供當(dāng)日和條件查詢定位。條件查詢支持按運(yùn)維用戶、運(yùn)維地址、后臺(tái)資源地址、協(xié)議、起始時(shí)間、結(jié)束時(shí)間和操作內(nèi)容中關(guān)鍵字 運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊(cè) 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號(hào)廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 7 等組合方式。 ? 針對(duì)命令交互方式的協(xié)議，提供逐條命令及相關(guān)操作結(jié)果的顯示； ? 提供圖像形式的回放，真實(shí)、直觀、可視地重現(xiàn)當(dāng)時(shí)的操作過(guò)程； ? 回放提供快放、慢放、拖拉等方式，方便快速定位和查看； ? 針對(duì)命令交互方式的協(xié)議，提供按命令進(jìn)行定位回放； ? 針對(duì) RDP、 XWIN 和 VNC 協(xié)議，提供按時(shí)間進(jìn)行 定位回放。 ? 完備的審計(jì)報(bào)表功能 HAC 提供運(yùn)維人員操作，管理員操作以及違規(guī)事件等多種審計(jì)報(bào)表。 ? 提供日常報(bào)表，包括今日會(huì)話、今日自審計(jì)、用戶信息、資源信息、權(quán)限信息、規(guī)則信息、管理員角色信息等報(bào)表； ? 提供會(huì)話報(bào)表，可根據(jù)用戶選定時(shí)間、用戶、資源形成會(huì)話報(bào)表； ? 自審計(jì)操作報(bào)表，可根據(jù)用戶選定時(shí)間、管理員、模塊形成自審計(jì)報(bào)表； ? 告警報(bào)表，可根據(jù)告警類別、級(jí)別、資源、運(yùn)維用戶、協(xié)議、時(shí)間等條件形成報(bào)表； ? 綜合統(tǒng)計(jì)報(bào)表，可根據(jù)時(shí)間、資源、用戶等條件形成綜合統(tǒng)計(jì)報(bào)表，報(bào)表中包括概要信息、每個(gè)用戶操作信息、每個(gè)資源被操 作信息等。 ? 其他功能 系統(tǒng)提供雙機(jī)熱備、日志手工和自動(dòng)備份、網(wǎng)絡(luò)維護(hù)和性能監(jiān)控、系統(tǒng)日志重定向、 NTP、SNMP、變更工單號(hào)、雙人符合、密函打印等功能 支持 。 HAC系統(tǒng)特點(diǎn) ? 支持 Unix 和 Windows 平臺(tái)下運(yùn)維操作審計(jì) 領(lǐng)先地解決了 SSH、 RDP 等加密運(yùn)維協(xié)議的審計(jì)，滿足用戶在 Unix 和 Windows 環(huán)境的運(yùn)維操作審計(jì)需求。 ? 更嚴(yán)格的審計(jì)管理 系統(tǒng)集認(rèn)證、授權(quán)、管理和審計(jì)有機(jī)地集成為一體，有效地實(shí)現(xiàn)了事前預(yù)防、事中控制和事后審計(jì)。 ? 分權(quán)管理機(jī)制 系統(tǒng)提供設(shè)備管理員、運(yùn)維管理員和審計(jì)員三種管理角色，并支持靈 活地配置更細(xì)的角 運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊(cè) 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號(hào)廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 8 色，從技術(shù)上保證系統(tǒng)管理安全。 ? 部署靈活、操作方便 ? 系統(tǒng)支持單臂、串接部署模式 ? 支持基于 B/S 實(shí)現(xiàn)系統(tǒng)管理、配置 ? 審計(jì)平臺(tái)提供了功能齊全、操作方便、展現(xiàn)良好的審計(jì)管理功能 ? 完善的系統(tǒng)安全設(shè)計(jì) ? 精簡(jiǎn)的內(nèi)核和優(yōu)化的 TCP/IP 協(xié)議棧 ? 基于 HTTPS/SSL 的自身安全管理與審計(jì) ? 嚴(yán)格的安全訪問(wèn)控制和管理員身份認(rèn)證支持強(qiáng)認(rèn)證 ? 審計(jì)信息加密存儲(chǔ) ? 完善的審計(jì)信息備份機(jī)制 ? 支持雙機(jī)熱備 應(yīng)用環(huán)境 HAC 支持 TELNET、 FTP、 SFTP、 SSH、 RDP、 AS400、 XWIN 和 VNC 等多種 協(xié)議，支持 IBM AIX、 HP UNIX、 SUN Solaris、 SCO UNIX、 LINUX、 WINDOWS 等多種操作系統(tǒng) ?？蓮V泛應(yīng)用于金融、政府、電信、證券、 社會(huì)保障、郵政、稅務(wù)、海關(guān)、交通 等安全需求較高的行業(yè) 。 系統(tǒng)組成 HAC 系統(tǒng)的組成如下圖： 運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊(cè) 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號(hào)廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 9 為了保證 HAC 管理安全和只有可信用戶才能對(duì)后臺(tái)資源進(jìn)行運(yùn)維， HAC 引入兩大類用戶： HAC 管理員和運(yùn)維人員。 運(yùn)維人員是對(duì)后臺(tái)資源進(jìn)行運(yùn)維的人員。 HAC 管理員是對(duì) HAC 進(jìn)行操作，以實(shí)現(xiàn)對(duì) HAC 管理、配置及完成審計(jì)功能的人員。系統(tǒng)默認(rèn)三種角色：系統(tǒng)管理員、運(yùn)維管理員和審計(jì)員 。系統(tǒng)管理員是對(duì) HAC 設(shè)備進(jìn)行配置和管理人員；運(yùn)維管理員是配置 HAC，建立運(yùn)維人員帳戶、保護(hù)資源及授權(quán)等；審計(jì)員是對(duì)運(yùn)維人員的操作進(jìn)行審計(jì)和 HAC 管理員對(duì) HAC 進(jìn)行操作的審計(jì)。 系統(tǒng)管理員和運(yùn)維管理員通過(guò) HTTPS 方式訪問(wèn) HAC 進(jìn)行操作和配置。 審計(jì)員通過(guò) HAC 審計(jì)平臺(tái)軟件實(shí)施審計(jì)。 HAC 工作要求 由于 HAC 實(shí)施審計(jì)條件是所有對(duì)被保護(hù)資源的運(yùn)維流量均需要流經(jīng) HAC，所以保證HAC 工作正常應(yīng)具備以下要求： ? 當(dāng) HAC 為單臂部署模式時(shí)，為了讓運(yùn)維人員訪問(wèn)被保護(hù)資源的流量流經(jīng) HAC，需要在交換機(jī)或安全設(shè)備上配置安 全策略如訪問(wèn)控制列表，確保運(yùn)維人員不能直接訪問(wèn)被保護(hù)資源，只有 HAC 能訪問(wèn)被保護(hù)資源。 ? HAC 能訪問(wèn)保護(hù)資源。如果 HAC 到保護(hù)資源之間設(shè)置了安全策略，需根據(jù)所用協(xié)議端口開(kāi)放相關(guān)端口。開(kāi)放端口根據(jù)運(yùn)維協(xié)議和保護(hù)資源服務(wù)端口而定，具體情況如下： 運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊(cè) 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號(hào)廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 10 ? 采用 Tel 協(xié)議運(yùn)維：需開(kāi)放 HAC 到保護(hù)資源的 23 端口（ 23 端口為保護(hù)資源Tel 服務(wù)端口，如果修改請(qǐng)根據(jù)實(shí)際進(jìn)行修改，下同）。 ? 采用 SSH、 SFTP 協(xié)議運(yùn)維：需開(kāi)放 HAC 到保護(hù)資源的 22 端口。 ? 采用 FTP 協(xié)議運(yùn)維：需開(kāi)放 HAC 到保護(hù)資源的 21 端口、 20 端口和 1024 以上端口 （若 FTP 采用主動(dòng)模式，則只需開(kāi)放 2 20 端口；若采用被動(dòng)模式，則需開(kāi)放 2 1024 以上端口）。 ? 采用 RDP 協(xié)議運(yùn)維：需開(kāi)放 HAC 到保護(hù)資源的 3389 端口。 ? 采用 XWIN 協(xié)議運(yùn)維：需開(kāi)放 HAC 到保護(hù)資源的 UDP177 端口和 6000 以上端口 。 ? 采用 VNC 協(xié)議運(yùn)維：需開(kāi)放 HAC 到保護(hù)資源的 5900 以上端口 （根據(jù) VNC 服務(wù)器的定義，一般為 5900 以上端口）。 ? 采用 AS400 專用客戶端運(yùn)維 AS400 主機(jī)：需開(kāi)放 HAC 到保護(hù)資源的 44 23 端口和 8470—8479 相關(guān)端口 （ 8470—8479 是動(dòng)態(tài) 協(xié)商的，不同主機(jī)可能用其中部分端口）。 ? 運(yùn)維人員能訪問(wèn) HAC。如果運(yùn)維人員和 HAC 之間設(shè)置安全策略，需根據(jù)所用協(xié)議端口開(kāi) 放 相關(guān)端口。具體情況如下： ?