【文章內(nèi)容簡介】 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 4 開發(fā)部門、管理部門與應(yīng)用部門的職責(zé)，建立和健全計算機信息系統(tǒng)風(fēng)險防范的制度，確保計算機信息系統(tǒng)設(shè)備、數(shù)據(jù)、系統(tǒng)運行和系統(tǒng)環(huán)境的安全。 第一百一十八條商業(yè)銀行應(yīng)當(dāng)明確計算機信息系統(tǒng)開發(fā)人員、管理人員與操作人員的崗位職責(zé)，做到崗位之間的相互制約，各崗位之間不得相互兼任。各級機構(gòu)應(yīng)當(dāng)配備計算機安全管理人員，明確計算機安全管理人員的職責(zé)。 第一百二十六條商業(yè)銀行的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用程序等均應(yīng)當(dāng)設(shè)置必要的日志。日志應(yīng)當(dāng)能夠滿足各類內(nèi) 部和外部審計的需要。 第一百二十八條商業(yè)銀行運用計算機處理業(yè)務(wù)，應(yīng)當(dāng)具有可復(fù)核性和可追溯性，并為有關(guān)的審計或檢查留有接口。 國家標(biāo)準(zhǔn)： 我國頒布的安全等級保護技術(shù)要求，在確立為第二級（指導(dǎo)保護級）以及以上級的信息系統(tǒng)中必須建立并保存下面的各種訪問日志： ? 網(wǎng)絡(luò)（網(wǎng)絡(luò)安全審計 ） ? 主機（安全審計 ） ? 應(yīng)用（安全審計 ） 安全實踐 安全管理業(yè)界標(biāo)準(zhǔn) ISO27001: 2020， ? 條款 明確要求必須保護組織的運行記錄。 條款 則要求信息系統(tǒng)經(jīng)理必須確保所有 負(fù)責(zé)的安全過程都在正確執(zhí)行，符合安全策略和標(biāo)準(zhǔn)的要求。 產(chǎn)品簡介 江南科友 HAC 目標(biāo)是為 IT 基礎(chǔ)架構(gòu)關(guān)鍵資源的運維操作提供強有力的監(jiān)控、審計手段，切實滿足企業(yè)內(nèi)控管理的合規(guī)性要求。 運維安全審計系統(tǒng)（ HAC）著眼于解決關(guān)鍵 IT 基礎(chǔ)設(shè)施運維安全問題。它能夠?qū)?Unix和 Windows 服務(wù)器、網(wǎng)絡(luò)與安全設(shè)備上的數(shù)據(jù)訪問進行安全、有效的操作審計，支持實時監(jiān)控、實時告警和事后全程回放審計。 HAC 彌補了傳統(tǒng)審計系統(tǒng)的不足，將運維審計由事件審計提升為內(nèi)容審計，集認(rèn)證、授權(quán)、管理、審計為一體，有效地實現(xiàn)了事前預(yù)防、事中控制和事后審計。 運維安全審計系統(tǒng)產(chǎn)品使用手冊 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 5 HAC主要功能 ? 完整的身份管理和認(rèn)證 為了確保合法用戶才能訪問其擁有權(quán)限的后臺資源，解決 IT 系統(tǒng)中普遍存在的交叉運維而無法定位到具體人的問題，滿足審計系統(tǒng) ―誰做的 ‖要求，系統(tǒng)提供一套完整的身份管理和認(rèn)證功能。 ? 支持運維用戶靜態(tài)口令、動態(tài)口令 、 LDAP、 AD 域 認(rèn)證方式； ? 支持管理員靜態(tài)口令、動態(tài)口令、證書 KEY 等認(rèn)證方式； ? 支持密碼強度、密碼效期、口令嘗試死鎖、用戶激活等安全管理功能； ? 支持用戶分組管理； ? 支持用戶信息導(dǎo)入導(dǎo)出，方便批量處理。 ? 靈活、細(xì)粒度的授權(quán) 系統(tǒng)提供基于用戶、運維協(xié)議、目標(biāo) 主機、運維時間段（年、月、日、周、時間）、會話時長、運維客戶端 IP 等組合的授權(quán)功能，實現(xiàn)細(xì)粒度授權(quán)功能，滿足用戶實際授權(quán)的需求。 ? 提供基于用戶到資源的授權(quán) ? 提供基于用戶組到資源的授權(quán) ? 提供基于用戶到資源組的授權(quán) ? 提供基于用戶組到資源組的授權(quán) ? 后臺資源自動登陸 后臺資源自動登陸功能是運維人員通過 HAC 認(rèn)證和授權(quán)后， HAC 根據(jù)配置策略實現(xiàn)后臺資源的自動登錄。此功能提供了運維人員到后臺資源帳戶的一種可控對應(yīng)，同時實現(xiàn)了對后臺資源帳戶的口令統(tǒng)一保護。 針對不同主機、網(wǎng) 絡(luò)和安全設(shè)備的特性， HAC 提供托管和只托不管兩 種 方式實現(xiàn)運維用戶自動登錄后臺資源。 托管方式實現(xiàn)自動登錄后臺資源 ? HAC 自動獲取后臺資源帳戶信息； ? 根據(jù)口令安全策略， HAC 定期自動修改后臺資源帳戶口令； ? 根據(jù)管理員配置，實現(xiàn)運維用戶與后臺資源帳戶對應(yīng)，限制帳戶的越權(quán)使用； ? 運維用戶通過 HAC 認(rèn)證和授權(quán)后， HAC 根據(jù)分配的帳戶實現(xiàn)自動登錄后臺資源。 運維安全審計系統(tǒng)產(chǎn)品使用手冊 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 6 只托不管方式實現(xiàn)自動登錄后臺資源 ? 管理員將后臺資源帳戶及口令配置到 HAC 中； ? 根據(jù)管理員配置，實現(xiàn)運維用戶與后臺資源帳戶對應(yīng)，限制帳戶的越權(quán)使用； ? 運維用 戶通過 HAC 認(rèn)證和授權(quán)后， HAC 根據(jù)分配的 帳戶實 現(xiàn)自動登錄后臺資源。 ? 實時監(jiān)控 ? 監(jiān)控正在運維的會話，信息包括運維用戶、運維客戶端地址、資源地址、協(xié)議、開始時間等； ? 監(jiān)控后臺資源被訪問情況； ? 提供在線運維的操作的實時監(jiān)控功能。針對命令交互性協(xié)議可以圖像方式實時監(jiān)控正在運維的各種操作，其信息與運維客戶端所見完全一致。 ? 違規(guī)操作實時告警與阻斷 針對運維過程中可能存在潛在操作風(fēng)險， HAC 根據(jù)用戶配置的安全策略實施運維過程中的違規(guī)操作檢測，對違規(guī)操作提供實時告警和阻斷，從而達到降低操作風(fēng)險及提高安全管理與控制的能力。 ? 提供用戶可配置的告警規(guī)則，告警規(guī)則支持告警級別 、告警分類和與后臺資源綁定； ? 在具有自動登錄功能的 HAC 上，可實現(xiàn)告警規(guī)則與后臺資源的帳戶級別進行綁定，針對不同用戶實施不同的規(guī)則，從而提供更細(xì)粒度的操作控制； ? 告警動作支持會話阻斷、審計平臺告警和郵件告警等。 ? 完整記錄網(wǎng)絡(luò)會話過程 ? 系統(tǒng)提供運維協(xié)議 Tel、 FTP、 SSH、 SFTP、 RDP（ Windows Terminal）、 AS400、XWIN 和 VNC 等網(wǎng)絡(luò)會話的完整會話記錄，完全滿足內(nèi)容審計中信息百分百不丟失的要求。 ? 會話信息包括運維用戶、運維地址、后臺資源地址、資源名、協(xié)議、起始時間、終止時間、 流量大小信息； ? 會話信息包括運維過程中所有進出后臺資源的數(shù)據(jù)。 ? 詳盡的會話審計與回放 ? 運維操作審計以會話為單位，提供當(dāng)日和條件查詢定位。條件查詢支持按運維用戶、運維地址、后臺資源地址、協(xié)議、起始時間、結(jié)束時間和操作內(nèi)容中關(guān)鍵字 運維安全審計系統(tǒng)產(chǎn)品使用手冊 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 7 等組合方式。 ? 針對命令交互方式的協(xié)議，提供逐條命令及相關(guān)操作結(jié)果的顯示； ? 提供圖像形式的回放，真實、直觀、可視地重現(xiàn)當(dāng)時的操作過程； ? 回放提供快放、慢放、拖拉等方式，方便快速定位和查看； ? 針對命令交互方式的協(xié)議，提供按命令進行定位回放； ? 針對 RDP、 XWIN 和 VNC 協(xié)議，提供按時間進行 定位回放。 ? 完備的審計報表功能 HAC 提供運維人員操作，管理員操作以及違規(guī)事件等多種審計報表。 ? 提供日常報表，包括今日會話、今日自審計、用戶信息、資源信息、權(quán)限信息、規(guī)則信息、管理員角色信息等報表； ? 提供會話報表，可根據(jù)用戶選定時間、用戶、資源形成會話報表； ? 自審計操作報表，可根據(jù)用戶選定時間、管理員、模塊形成自審計報表； ? 告警報表，可根據(jù)告警類別、級別、資源、運維用戶、協(xié)議、時間等條件形成報表； ? 綜合統(tǒng)計報表，可根據(jù)時間、資源、用戶等條件形成綜合統(tǒng)計報表，報表中包括概要信息、每個用戶操作信息、每個資源被操 作信息等。 ? 其他功能 系統(tǒng)提供雙機熱備、日志手工和自動備份、網(wǎng)絡(luò)維護和性能監(jiān)控、系統(tǒng)日志重定向、 NTP、SNMP、變更工單號、雙人符合、密函打印等功能 支持 。 HAC系統(tǒng)特點 ? 支持 Unix 和 Windows 平臺下運維操作審計 領(lǐng)先地解決了 SSH、 RDP 等加密運維協(xié)議的審計，滿足用戶在 Unix 和 Windows 環(huán)境的運維操作審計需求。 ? 更嚴(yán)格的審計管理 系統(tǒng)集認(rèn)證、授權(quán)、管理和審計有機地集成為一體，有效地實現(xiàn)了事前預(yù)防、事中控制和事后審計。 ? 分權(quán)管理機制 系統(tǒng)提供設(shè)備管理員、運維管理員和審計員三種管理角色，并支持靈 活地配置更細(xì)的角 運維安全審計系統(tǒng)產(chǎn)品使用手冊 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 8 色，從技術(shù)上保證系統(tǒng)管理安全。 ? 部署靈活、操作方便 ? 系統(tǒng)支持單臂、串接部署模式 ? 支持基于 B/S 實現(xiàn)系統(tǒng)管理、配置 ? 審計平臺提供了功能齊全、操作方便、展現(xiàn)良好的審計管理功能 ? 完善的系統(tǒng)安全設(shè)計 ? 精簡的內(nèi)核和優(yōu)化的 TCP/IP 協(xié)議棧 ? 基于 HTTPS/SSL 的自身安全管理與審計 ? 嚴(yán)格的安全訪問控制和管理員身份認(rèn)證支持強認(rèn)證 ? 審計信息加密存儲 ? 完善的審計信息備份機制 ? 支持雙機熱備 應(yīng)用環(huán)境 HAC 支持 TELNET、 FTP、 SFTP、 SSH、 RDP、 AS400、 XWIN 和 VNC 等多種 協(xié)議，支持 IBM AIX、 HP UNIX、 SUN Solaris、 SCO UNIX、 LINUX、 WINDOWS 等多種操作系統(tǒng) 。可廣泛應(yīng)用于金融、政府、電信、證券、 社會保障、郵政、稅務(wù)、海關(guān)、交通 等安全需求較高的行業(yè) 。 系統(tǒng)組成 HAC 系統(tǒng)的組成如下圖： 運維安全審計系統(tǒng)產(chǎn)品使用手冊 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 9 為了保證 HAC 管理安全和只有可信用戶才能對后臺資源進行運維， HAC 引入兩大類用戶： HAC 管理員和運維人員。 運維人員是對后臺資源進行運維的人員。 HAC 管理員是對 HAC 進行操作，以實現(xiàn)對 HAC 管理、配置及完成審計功能的人員。系統(tǒng)默認(rèn)三種角色：系統(tǒng)管理員、運維管理員和審計員 。系統(tǒng)管理員是對 HAC 設(shè)備進行配置和管理人員；運維管理員是配置 HAC，建立運維人員帳戶、保護資源及授權(quán)等；審計員是對運維人員的操作進行審計和 HAC 管理員對 HAC 進行操作的審計。 系統(tǒng)管理員和運維管理員通過 HTTPS 方式訪問 HAC 進行操作和配置。 審計員通過 HAC 審計平臺軟件實施審計。 HAC 工作要求 由于 HAC 實施審計條件是所有對被保護資源的運維流量均需要流經(jīng) HAC，所以保證HAC 工作正常應(yīng)具備以下要求： ? 當(dāng) HAC 為單臂部署模式時，為了讓運維人員訪問被保護資源的流量流經(jīng) HAC，需要在交換機或安全設(shè)備上配置安 全策略如訪問控制列表，確保運維人員不能直接訪問被保護資源，只有 HAC 能訪問被保護資源。 ? HAC 能訪問保護資源。如果 HAC 到保護資源之間設(shè)置了安全策略，需根據(jù)所用協(xié)議端口開放相關(guān)端口。開放端口根據(jù)運維協(xié)議和保護資源服務(wù)端口而定，具體情況如下： 運維安全審計系統(tǒng)產(chǎn)品使用手冊 廣州江南科友科技股份有限公司 地址 (Add):廣州市天河區(qū)科韻路 16 號廣州信息港 C 棟 1003 室 電話 (Tel):(86 20)85533289 傳真 (Fax):(86 20)85530160 郵編 ():510665 10 ? 采用 Tel 協(xié)議運維：需開放 HAC 到保護資源的 23 端口（ 23 端口為保護資源Tel 服務(wù)端口，如果修改請根據(jù)實際進行修改，下同）。 ? 采用 SSH、 SFTP 協(xié)議運維：需開放 HAC 到保護資源的 22 端口。 ? 采用 FTP 協(xié)議運維：需開放 HAC 到保護資源的 21 端口、 20 端口和 1024 以上端口 （若 FTP 采用主動模式，則只需開放 2 20 端口；若采用被動模式，則需開放 2 1024 以上端口）。 ? 采用 RDP 協(xié)議運維：需開放 HAC 到保護資源的 3389 端口。 ? 采用 XWIN 協(xié)議運維：需開放 HAC 到保護資源的 UDP177 端口和 6000 以上端口 。 ? 采用 VNC 協(xié)議運維：需開放 HAC 到保護資源的 5900 以上端口 （根據(jù) VNC 服務(wù)器的定義，一般為 5900 以上端口）。 ? 采用 AS400 專用客戶端運維 AS400 主機：需開放 HAC 到保護資源的 44 23 端口和 8470—8479 相關(guān)端口 （ 8470—8479 是動態(tài) 協(xié)商的，不同主機可能用其中部分端口）。 ? 運維人員能訪問 HAC。如果運維人員和 HAC 之間設(shè)置安全策略，需根據(jù)所用協(xié)議端口開 放 相關(guān)端口。具體情況如下： ?