| 运维安全审计产品是有关网络设备及服务器操作的审计系统。运维安全审计产品主要采集和记录IT系统维护过程中相关人员“在什么终端、什么时间、登录什么设备(或系统)、做了什么操作、返回什么结果、什么时间登出”等行为信息,为管理人员及时发现权限滥用、违规操作等情况,准确定位身份,以便追查取证。
|
|
|
| 运维安全审计产品的基本原理是通过网络流量信息采集或服务代理等技术方式,记录Telnet、FTP、SSH、tftp、HTTP等运维操作服务的活动信息,如下图所示。
|
|
|
|
|
|
|
| 运维安全审计产品的主要功能有字符会话审计、图形操作审计、数据库运维审计、文件传输审计、合规审计等。
|
|
|
| (1)字符会话审计,审计SSH、Telnet等协议的操作行为,审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作命令等。
|
|
|
| (2)图形操作审计,审计RDP、VNC等远程桌面以及HTTP/HTTPS协议的图形操作行为,审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作内容等。
|
|
|
| (3)数据库运维审计,审计Oracle、MS SQL Server、IBM DB2、PostgreSQL等各主流数据库的操作行为,审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作内容等。
|
|
|
| (4)文件传输审计,审计FTP、SFTP等协议的操作行为,审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、目标设备IP、协议类型、文件名称、危险等级和操作命令等。
|
|
|
| (5)合规审计,根据上述审计内容,参照相关的安全管理制度,对运维操作进行合规检查,给出符合性审查。
|
|
|
| 国内安全厂商的运维安全审计相关产品主要有绿盟安全审计系统-堡垒机、思福迪LogBase运维安全审计系统等。
|
|
|
