帕拉迪网络科技有限公司-4A-方案建议书V2

帕拉迪网络科技有限公司

2010年5月

1现状分析

随着信息技术的飞速发展，网络信息应用无处不在。电子商务、电子政务、网上银行、信息高速公路等新兴生产、生活模式的出现不仅大大提高了我们的生产效率，而且对人类社会生活的影响已经上升到了生产关系和社会上层建筑的层面，人类社会开始真正进入信息社会。在各种网络信息应用中，服务器都充当了极其重要的角色，如何管理和维护好服务器，如何保证服务器的安全等就成了首先需要解决的问题。

面对系统和网络安全性、IT运维管理和IT内控外审的挑战，管理人员需要有效的技术手段，按照行业标准进行精确管理、事后追溯审计、实时监控和警报。如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，已经成为越来越困扰这些企业的问题。

1.1关键服务器管理风险分析

关键服务器所面临的安全风险是多方面的，主要有以下几种现象值得关注：

对服务器构成的安全风险中，有近80%是发生在系统内部。

服务器的应用相当复杂，维护起来非常困难，当然服务器操作系统也是一样的复杂，配置和管理都需要充足的专业知识。而企业中众多的服务器管理人员的技术水平参差不齐，在管理和维护的过程中，难免会有不当的操作。或是给服务器的安全留下隐患，或是对服务器运行造成影响。更可怕的还有商业间谍可能伪装成第三方厂商维护人员，从而轻易的从系统内部窃取商业机密，给企业造成巨大的损失。

身份认证及授权使用问题。

不同级别、不同行业的众多管理人员，对于某些核心资源，如重要的应用系统及数据库系统，不同级别不同岗位的领导或管理员具有不同的访问权限，管理人员的身份越权或假冒将会造成非授权使用的问题，同时将给办公系统造成重大混乱和损失。

比如：由于生产的特殊性，常常需要用户具有ROOT账户权限。这就造成生产和管理的矛盾，临时ROOT权限分发可以解决ROOT权限生产问题，但是，这极大增大管理的复杂性和不安全性，稍有疏忽，就可能造成管理的混乱。不分发ROOT权限，可能导致生产不能正常进行，至少影响生产效率。

分散的多点登录管理方式，无法准确的身份认证和授权控制。

多点登录的分散管理方式无法进行强有效的授权控制，致使用户的登录操作难以管理、难以审计。

有规范、规章制度，但没有相应的过程监控手段去监督。

虽然企业内部制定了一系列的操作规范和管理制度，但管理人员有没有严格地按照规范、规章去执行，我们无从知道。当发生安全事件时无法进行责任鉴定和事件追溯。

大型、异构的网络环境难于统一、准确的对用户的行为进行审计和控制。

企业因为业务发展需要，不断更新或升级网络，从而造成自身用户环境差异较大，整个网络系统平台参差不齐，在服务器端Unix/Linux和Windows操作系统共存形成异构网络，甚至于许多相异的网络设备都具有不同安全设置，而至今还没有一个即定的方法来解决这个问题。

黑客对服务器的攻击。

黑客攻击对服务器所造成的破坏往往是不可估量的。黑客为了炫耀其高超的技术，或是为了谋取不正当的利益，都会妨害服务器的正常运行，修改服务器配置，破坏服务器的数据，严重影响服务器的正常运行，给企业和部门造成重大影响。

木马、间谍窃取机密数据。

针对中国的网络间谍攻击正变得越来越多，中国的从来没有像现在这样与网络密切相关。目前境外有数万个木马控制端IP紧盯着中国被控制的电脑，数千个僵尸网络控制服务器也针对着地区，甚至有境外间谍机构设立数十个网络情报据点，疯狂采用“狼群战术”、“蛙跳攻击”等对我进行网络窃密和情报渗透。

中国是木马、间谍战的最大受害国。中国的互联网正处在一个普及阶段的大规模扩张时期，网络安全比较脆弱，安全意识淡薄，缺乏真正有效的安全管理手段。而且，网络管理、使用不规范，涉密电脑、非涉密电脑混杂使用，内部工作网和没有真正物理隔离，机密资料可以随意接触，随便使用，安全漏洞百出。

1.2关键服务器用户操作风险分析

UNIX/LINUX类字符操作系统，命令的复杂性、脚本的隐蔽性等等因素使的我们很难对用户的行为做有效的深层审计。

1）用户可能使用长命令、冷僻命令做一些非法操作，甚至将一些高危命令用alias命令以别名的方式去执行，刻意避开一些简单审计工具监控。

2）对于菜单式操作管理，由于技术上的难度，很少有审计工具可以做到完整的记录和操作过程日志的回放。比如：AIX 中SMITTY命令操作、 INFORMIX DBACCESS数据库前端操作。

3）别有用心的用户，可能会将一些非法的命令操作编辑为shell脚本去执行，达到逃避监控的目的。

图形化界面中用户操作的不透明性，使得事后审计难以进行。

RDP、X11、VNC等远程图形化窗口操作的不透明性，使得审计人员无法准确的对管理人员操作的审计，从而，对资源的滥用和泄露机密信息，以及管理维护的误操作等问题的鉴定工作带来了很大的困难。

文件传输安全审计，是最让信息主管头疼的问题。

使用FTP、TFTP等工具进行的文件的上传、下载操作是最容易引发密的方式之一。如果使用加密方式的SFTP、SCP等命令更是无法进行有效审计。

服务器之间跳转嵌套登录操作。

当用户已经登录到一台服务器上操作之后，可能为了便捷不退出当前的系统而直接以SSH、RDP等方式跳转登录到另外一台服务器去做管理操作。

基于网络的IDS/IPS 开始成熟，可以对部分明文协议进行审计，但面对加密协议却为力。

为了远程管理和维护的可靠性，SSH、RDP(远程桌面的协议)等都是加密的通信协议，尤其是RDP（Remote Desktop Protocol远程桌面协议）作为Microsoft公司的自有协议，并未公开其协议内容。要审计这些加密的通信协议，还是要费一番功夫的。

1.3数据库运维风险分析

数据库身份管理、权限管理混乱，数据库业务账号与运维账号混乱，致使数据库敏感数据泄密事件时常发生。

业务系统用户常常通过数据库运维管理工具，直接登录数据库后台，查询、修改甚至下载数据库内数据，致使企业敏感数据时常外泄，给企业造成重大经济损失，有时甚至危害。

企业业务快速发展，企业数据库规模越发庞大，审计人为非法操作，堪比大海捞针。

由于业务系统也要对数据库进行大量正常的数据库协议访问，目前流行的数据库协议审计系统无法区分正常数据库业务行为和数据库人为运维行为，造成“噪音”过多，致使要审计的数据库非法操作行为，“淹没”在大量正常的业务数据库访问审计数据中，数据库审计系统形同虚设。

数据库后台运维手段多样，数据库人为非法操作既可以在数据库宿主系统上发生，也会通过数据库远程运维工具直接修改数据库数据发生，有时甚至可以通过业务系统后门或者业务系统设计缺陷发生，给数据库操作审计带来巨大难题。

数据库协议审计系统仅能部分解决数据库远程运维工具造成的运维风险，对数据库宿主机上发生的数据库直接修改行为，为力。

数据库中间件大量使用，给数据库行为审计“雪上加霜”。

数据库中间件通常采用固定的账号登录数据库，无法区分数据库操作行为真实操作者身份，操作者主体不明，针对数据操作者的行为审计和责任鉴定，也就失去了意义，没有任何价值。

1.4“人机”运维操作行为风险综合分析

按照人机操作行为划分，运维管理方式基本包含三大类：

1）控制台类：直接通过物理键盘、鼠标、监视器进行操作，控制台类人机行为控制可以通过KVM Over IP解决

2）远程终端访问类：通过TELNET、SSH、FTP、SFTP、RDP、VNC、X11远程登录目标设备操作系统，在目标设备上，通过远程访问协议，操作目标设备

3）各种应用的B/S、C/S管理配置客户端，如针对ORACLE数据库，有SQLPLUS、TOAD、PL/SQL Development Tools、Oracle Enterprise Management Center等，针对INFORMIX，有DBACCESS等管理工具

企业应用的这些远程配置管理工具，可以直接远程登录应用，管理和配置应用，实现配置的远程修改及变更。但是运维管理的远程操作是把双刃剑，为我们工作带来便利、节省成本的同时，又隐藏着巨大的人为操作风险，越权操作、误操作、恶意操作时有发生。

如何提高系统运维管理水平，满足相关标准要求，跟踪主机设备、服务器、数据库等重要资源上用户操作行为，降低运维成本，提供控制和审计依据，实现运维操作的规范化管理及风险防范与规避，已经成为每一位企业管理者需要认真考虑和面临的管理上的问题。

2相关法规

由于服务器安全的重要性日益突出，其安全防护要求也越来越高；而现有的、传统的安全审计工具不论是在功能上、还是在可用性以及稳定性等方面均存在很多不足之处。与此同时，国际、国内的很多标准和规范要求组织对建设审计系统，并保证审计信息的安全性、完整性以及唯一性。

1、在CC标准（信息技术通用评估准则，Common Criteria for Information Technology Security Evaluation）中，安全审计是其安全功能要求中最重要的组成部分，同时也是信息系统安全体系中必备的一个措施，它是评判一个系统是否真正安全的重要尺码。

2、国际安全管理标准及最佳实践ISO27001:2005

条款A10.10.1要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便为安全事件的调查和取证；

条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为；

条款A15.1.3明确要求组织必须保护其信息系统中的运行记录；

条款A15.2.1则要求组织信息系统负责人（CIO）必须确保所有的安全程序和过程都在正确执行，以符合组织安全策略和标准的要求。

3、美国上市公司需要遵循的萨班斯法案（简称SOX法案，Sarbanes Oxley），其合规性要求建立严格、完整的企业内控体系，而从IT内控（或IT治理）的框架和技术要求来看，安全审计是内控体系中必不可少的环节。

图：1.0 SOX法案对公司不同部门的影响程度

4、国家颁布的安全等级保护技术要求中明确规定，第二级（指导保护级）以及以上级的信息系统中必须记录并保存的各种访问日志：

网络（网络安全审计8.1.2.4）

主机（安全审计8.1.3.3）

应用（安全审计8.1.4.3）

从上述标准和规范要求中可以看出，组织必须要建立完备、有效和可靠的安全审计系统，以通过技术手段来验证其内部人员的行为是否符合其安全策略和标准的要求，辅助实现其IT内控和风险管理的业务目标。从安全审计的范畴来看，数据库安全审计和应用审计是密不可分的，而且是安全审计中其最核心、最重要的一个部分。

3部署方式

3.1物理部署图

3.2逻辑部署图

4建设目标

4A管理平台的建设目的是将业务支撑系统中的帐号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit) 整合成集中、统一的系统，简称4A管理平台。

提供统一的基础安全服务技术架构，使新的应用可以很容易的集成到4A管理平台中。通过该平台对业务支撑系统各种IT资源（包括应用和系统）进行集中管理，为各个业务系统提供集中4A安全服务，提升业务支撑系统安全性和管理能力。

4A管理平台的主要目标如下：

●实现对业务支撑系统系统、以及操作系统、数据库、网络设备等各种IT资源的帐号、认证、授权和审计的集中控制和管理。有效地保障业务支撑系统安全可靠地运行。为业务支撑系统提供机制统一、多样化的认证与授权安全服务，实现平滑过渡并实现与其他4A管理平台之间的数据交互。

●实现集中化、基于角色的的主从帐号管理，实现角色属性级别的细粒度权限分配和管理。自然人与其拥有的主帐号关联，统一规划用户身份信息和角色，对不同系统中的帐号进行创建、分配、同步，最终建立业务支撑系统中自然人的单一视图（主帐号管理）、建立业务支撑系统中资源的单一视图（从帐号管理）。

●实现集中化的身份认证和访问入口。根据安全需要选择不同的身份认证方式，在不更改或只对应用进行有限更改的情况下，即可在原来只有弱身份认证手段的应用上，增加强身份认证手段。最终实现认证手段和应用的相对隔离和灵活使用。

●实现集中访问授权，基于集中管控安全策略的访问控制和角色的授权管理。对用户使用业务支撑系统中资源的具体情况进行合理分配，实现不同用户对不同部分实体资源的访问。最终建立完善的资源对自然人的授权管理。

●实现集中安全审计管理，收集、记录用户对业务支撑系统关键重要资源的使用情况。便于统计自然人对资源的访问情况，在出现安全事故时，可以责任追踪。对人员的登录过程、操作行为进行审计和处理。最终建立完善针对“自然人→资源”访问过程的完整审计。

5解决方案

5.1身份管理

建立基于每位自然人对应一个主账号的身份管理体系，是整个安全审计系统的基石。“自然人——账号”对应模型能将审计日志与操作人员准确关联。在此基础上，还会面临两个问题：

1）如何体现自然人的不同角色。

自然人由于岗位、职务的不同，在整个安全审计体系中居于不同的角色地位。例如，对于整个安全审计系统，需要有一位（或多位）资源管理者，他（们）负责系统中资源权限的发布、授权。

2）如何与IT环境中已有身份认证系统的整合。

身份管理不仅是安全审计系统的基石，也是整个IT设施的基石。在广东电网IT建设过程中，身份认证系统已经先期建立起来，如基于Windows系统的AD域认证，Radius认证，PKI认证等。IT运维审计系统作为整个IT体系建设中重要一环，应当支持与原有的认证系统无缝结合。

5.1.1用户分级

针对问题一，帕拉迪4A系统在系统层面将自然人账号划分为六大类角色，如下表所示。

5.1.2身份认证

帕拉迪4A系统内部采用高度灵活的体系架构，具备极强的可扩展性。在身份认证功能模块，即可以本地身份认证，也支持外部认证方式。目前已支持的外部认证方式包括：windows系统AD域认证，Radius认证，PKI认证。完全满足广东电力公司的系统整合要求。

5.2账号管理

账号管理与单点登录是安全审计系统的必要功能，在实际的用户环境中有以下问题需要特别考虑：

其一：资源账号的集中管理和分散管理，两种管理模式如何共存。

资源账号的集中管理，是指普通用户可用的运维资源账号，由资产管理员统一进行授权，由密码管理员统一进行密码管理，普通运维用户本人不掌握资源账号的密码，当其需要登录资源进行运维操作时，由系统为其进行单点登录。分散管理模式，是由普通运维人员本人直接掌握资源账号密码，当其需要登录资源时再次输入账号密码。在实际IT环境中，对关键业务系统的账号，基于分散安全风险的角度考虑，可能采用分散管理模式；对其他周边支撑系统的账号，基于易用性考虑，可能采用集中管理模式。

其二：数据库运维，账号密码被记录如何解决。

数据库运维单点登录功能对数据库审计的整体功能有重大影响。一般安全审计产品，都会对图形界面提供键盘记录功能。如果产品不支持单点登录，首先，则无法支持账号的集中管理；另一方面，用户打开数据库客户端需手动配置数据库连接字符串，包括手工输入数据库用户名、密码等，此时键盘记录功能将会记录用户的账号信息，当审计管理员审阅审计日志时，就造成了账号泄露。

其三：特殊账号的单点登录如何实现。

除了一般的“用户名-密码”对形式的普通账号，还存在各种特殊特殊账号。例如，交换机设备广泛存在的Enable账号，它是交换机的账号，但是使用它无法直接登录设备，只能使用一般账号登录后再转换到enable账号。还有一些网络设备无需输入账号即可登录。

5.2.1统一账号管理模式

帕拉迪4A系统总结多年安全审计项目经验，实现了一套创新的账号管理模式（帕拉迪统一账号管理），其具有如下特点：

统一了集中管理模式与分散管理模式。对任意资产，可以使用任意一种管理模式，或两种模式的组合。提供了极大的管理灵活性。

产品的内部实现统一采用单点登录方式。无论是账号集中管理还是分散管理模式，当用户登录目标资产时，在系统内部统一采用单点登录方式。这种内部实现方式统一了用户使用方式，简化了系统实现复杂度，也在系统架构层面解决了上述提出的问题二。

帕拉迪统一账号管理的核心（用户界面）是“unused”特殊标识账号。当在帕拉迪4A系统界面配置资源账号时，如果某资产需要用户自己输入“用户名——密码”，则只需在资产账号设置页面将用户名与密码都设置为“unused”特殊标识即可。如下图所示：

当运维用户登录后，即可看到一条对应的运维资产记录。如下图：

用户点击运维按钮后，系统弹出一个对话框，提示用户输入资产用户名和密码。如下图。

系统随后执行统一单点登录过程，直接登录目标系统。用户无需在数据库客户端作任何手动配置，不需要输入用户名密码。

5.2.2Enable账号与NULL账号

对特殊账号，帕拉迪4A系统提供了完整的解决方案。对于交换机enable账号，如cisco设备的enable账号，H3C设备的sys账号，管理员在账号设置页面做如下设置即可。对于无需账号的资产，只需在用户名和密码框内输入null特殊标识账号。

5.3单点登录

5.3.1登录门户

帕拉迪4A系统登录门户是用户登录唯一入口，在统一安全管理平台构建后，这也是用户登录应用系统、登录主机、网络设备等资源的统一入口。用户需要利用登录门户实现单点登录，访问授权，即当用户登录登录门户时，只需要输入一次主账号和口令，则登录门户将会列出用户所能访问的所有资源，这些资源包括应用系统、主机、网络设备、数据库，这就实现了对这个用户进行统一授权的功能；另外，当用户需要访问某一个资源时，只需要点击这个资源对应的登录按钮就可以，由统一安全管理平台统一进行从账号与口令的代填，不需要用户再次输入账号及口令，这就实现了重要的单点登录功能。

用户登录流程如下图所示：

当用户输入正确的账号及口令，点击登录时，登录门户将对用户进行授权，并提供单点登录的界面，列出用户可以访问的资源，当用户点击登录按钮时，由统一安全管理平台系统为用户代填账号及口令，登录到这个资源，不需要再次输入账号及口令，可提高用户访问系统的效率。

5.3.2B/S运维平台单点登录

运维用户拥有访问管理被授权设备权限，经过授权，运维用户有权使用字符终端平台管理LINUX/UNIX类设备，有权通过图形终端平台管理和访问RDP、VNC、X11服务器，有权通过文件传输平台进行文件传输，有权通过数据库运维平台操作和管理企业数据库，有权通过KVM运维平台带外运维，可以通过KVM OVER IP设备，直接登录物理控制台进行运维操作。

字符终端B/S运维平台如下图所示：

图形终端B/S运维平台如下图所示，用户可以通过该平台，单点登录目标系统，管理RDP、VNC、X11服务器。

如果用户拥有文件传输权限，用户登录B/S门户后，可以得到如下图所示的文件传输平台。

数据库运维平台是帕拉迪4A系统对用户的重大奉献，数据库运维平台通过帕拉迪多业务应用发布平台，集中发布数据库客户端运维工具，并完成单点登录和操作录像以及数据库SQL语句审计。数据库运维平台界面如下图所示：

帕拉迪4A系统数据库运维平台、WEB运维平台、企业环境应用运维平台和KVM运维平台，统一通过帕拉迪多业务应用发布平台（PLDSEC SMS APPBOX）和帕拉迪统一终端管理平台（PLDSEC SMS UTM）配合实现，“应用中心”包含数据库运维平台、WEB运维平台、企业环境应用运维平台三类平台的应用发布、单点登录和操作审计。

5.4字符终端审计

5.4.1主机服务器系统

主机服务器是应用系统的核心平台，其安全管理是基于主机本身安全的管理，包括服务器操作系统、进程、服务、文件系统、访问控制、用户操作审计等内容。帕拉迪在主机系统接口改造上，主要考虑到主机的稳定运行，确保主机性能不受影响的基础上增强主机的访问控制和安全审计。实践中，帕拉迪采用访问管理网关作为主机安全管理的执行单元，统一执行统一安全管理平台的安全策略。这样的接口方式，不需要在主机上安装任何客户端软件，统一由访问管理网关执行统一安全管理平台下发的安全策略，并且可以实现单点登录、账号集中管理、统一认证、集中授权和集中审计。其中集中审计的信息可以细化到某一条命令，也可以做到命令级的授权，其特点就在于不干扰主机的情况下进行细粒度的授权和审计，并能够实现单点登录和账号集中管理，是一个非常有效的主机管理接口。

对于主机的访问控制，包括进程、服务、文件系统等，访问管理网关可以灵活的组合命令，将一组命令的组合（这里称为命令集）赋予某个用户账号，从而可以达到控制用户访问系统进程、服务、文件系统的作用，可以对系统用户做权限的细分，例如root用户，可以在网关上配置命令集，以细分超级管理员账号的操作权限。访问管理网关目前对于Unix主机、Linux主机都可以完成安全管理，管理范围已覆盖了主机的所有类型，在此方案的实际应用当中，访问管理网关运行稳定、可靠，管理效果非常明显，所以建议主机的管理接口重点考虑这一方案。

5.4.2网络/安全设备

网络/安全设备的接口改造，在项目实施当中，我们可以利用统一安全管理平台，采用telnet/或SSH远程连接执行账号创建、修改、删除的命令，来实现网络设备与统一安全管理平台账号的同步和管理。这里支持的设备类型包括主流的：CISCO、JUNIPER、华为等。

网络设备的管理接口实现从实施的角度来看，比较简单，不需要增加额外的适配层，也不需要增加二次开发，只需要在统一安全管理平台和网络设备上做相应的配置就可以完成网络设备的统一安全管理。

实践中，帕拉迪采用访问管理网关作为网络设备安全管理的执行单元，统一执行统一安全管理平台的安全策略。这样的接口方式，不需要在网络设备上安装任何客户端软件，统一由访问管理网关执行统一安全管理平台下发的安全策略，并且可以实现单点登录、账号集中管理、统一认证、集中授权和集中审计。其中集中审计的信息可以细化到某一条命令，也可以做到命令级的授权，其特点就在于不干扰网络设备的情况下进行细粒度的授权和审计，并能够实现单点登录和账号集中管理，是一个非常有效的网络设备管理接口。

5.4.3字符终端管理网关

访问字符终端管理网关的登录流程如下图所示：

访问管理网关的登录界面如下图所示： 

使用SSH登录网关；

输入账号及口令；

网关对用户进行访问授权，列出用户可访问的资源列表。

选择要访问的资源编号，再选择一个登录到这个资源的账号，也可以手工输入，显示登录到目标资源。

网关的命令级授权

管理员可以事先在统一安全管理平台配置网关的访问命令集，这个命令集是由管理员自定义的若干条命令的组合，管理员可以配置允许或禁止某个账号执行这个命令集内的命令，从而控制用户在主机上执行的命令。

命令集的配置如下图所示：

用户账号授权如下图所示：

管理员通过配置命令集并把命令集授予一个用户或用户组的形式达到对用户访问权限的控制；这里的命令集可以自由组合命令和命令参数，对于主机、数据库的后台操作控制有极大的优势。

5.5图形终端审计

随着软件巨头微软力推Windows Server系统在企业的应用，以及X11，VNC等其他图形运维工具的发展，越来越多的主机运维任务从纯字符界面转移到了图形界面。因此图形终端的审计是整个安全审计架构的重要组成部分。图形终端审计技术作为近几年新发展起来的审计技术，业界厂商还存在如下问题：

其一，图形服务器版本与客户端版本支持是否全面，相关功能是否缺失。

最主要的图形终端服务器是微软的终端服务（Terminal Service），对应的RDP协议从WindowsNT的RDP 4.0发展到最新Windows2008R2的RDP 7.0。作为Windows自带的RDP客户端，“远程桌面连接（mstsc.exe）”，本身提供了十分丰富的功能。例如可以将本地的磁盘映射到远程服务器上，用户在远程桌面窗口内即可操作本地磁盘，大大方便了本地与服务器间的文件操作。其他各种本地资源，如剪贴板、COM端口等都可以映射到远程服务器。如果安全审计系统不使用Windows自带客户端，或者虽然使用，但是版本、功能支持不全，就会极大地影响用户原有的使用习惯，损害安全审计的整体效果。

其二，图形服务器的单点登录能否实现。

图形终端，特别是VNC或X11如果不能实现单点登录，也会造成账号泄密，背离安全审计初衷，影响审计整体效果。

5.5.1完备的RDP版本、功能支持

帕拉迪作网络科技作为运维操作审计领域领导厂商，多年来紧跟Windows发展步伐，尊重用户使用习惯，采用Windows自带RDP客户端作为图形终端运维客户端。支持全系列Windows（从Windows2000到最新Windows 2008R2）RDP客户端，及其功能。

在某些特殊的运维环境，严格禁止客户端与服务器间的直接文件拷贝、传输。针对这种情况，帕拉迪4A系统提供细粒度授权，为相关管理制度的实施提供了技术保障。如下图所示：

5.5.2图形终端单点登录

帕拉迪4A系统完整支持各个版本RDP、VNC、X11单点登录。特别是针对VNC和X11，结合unused账号，完美实现单点登录。登录过程如下图所示：

输入账号及口令；

网关对用户进行访问授权，列出用户可访问的资源列表，选择要访问的资源，也可以手工输入，显示登录到目标资源。

5.6数据库运维审计

真正核心的IT资产是各类应用系统所依托的后台数据库。服务器操作系统、网络设备系统只是整个IT的基础。如果一套安全审计系统无法对数据库操作进行审计，那将是毫无意义的。

从内部实现原理看，大多数厂商采用的是前置机审计的方法来实现对数据库运维操作的间接审计。所谓“前置机审计”，是指使用一台可以运行相关数据库客户端的硬件系统（用户环境中原有的前置操作机，或者安全审计系统自带设备），将其作为前置机，用户首先登录前置机，再在其上运行数据库客户端进行数据库运维操作。安全审计系统虽然可以通过审计用户在前置机上的操作，间接达到数据库审计的目标，但是存在的问题也十分严重。

其一，增大了安全风险。

前置机直接接入用户网络，暴露在网络中，容易成为各种攻击的目标、跳板。

其二，用户行为不可控。

用户登录前置机后，是否进行预期的数据库运维操作无法从技术手段进行控制。用户可以随意操作前置上的程序、文件，只能进行事后审计，无法事前控制。

其三，无法实现数据库的单点登录，泄露数据库账号密码。

其四，无法准确还原用户对数据库的真实操作。

对前置机的审计，虽然可以记录用户的操作，但是用户对数据库的实际动作无法准确记录。例如，用户可以将操作窗口拖动到桌面以外，或者执行数据库脚本以规避审计。

其五，无数据库敏感数据安全防范机制。

5.6.1敏感数据保护

针对数据库运维审计，有两点必须得到高度重视，即一方面要实现敏感数据安全保护，防止复制、另存等方式的信息泄露；另一方面需要对人员的登录过程、操作行为进行审计和处理，最终建立完善针对“自然人→资源”访问过程的完整审计。

帕拉迪统一安全管理平台与综合审计系统（PLDSEC SMS）提供统一的集中操作管理平台，完成对“你是谁”、“你能去哪里”、“你能做什么”、“你做了什么”的全程跟踪、控制与审计。统一安全平台首先通过三步控制实现“自然人→资源→账号”集中管理，首先是通过主从账号管理，主账号对应自然人，从账号对应系统，确定操作者的身份和角色；其次通过针对人身份的访问控制措施确保合法操作者合法访问资源，有效降低未授权访问所带来的风险；再者通过操作层面控制操作者的权限确保授权用户做符合其身份的操作，有效的降低操作风险。例如：保存、复制权限控制。最后通过“自然人→资源→系统账号”三要素匹配通道开启、关闭管理控制策略，实现对人、系统、账号对应关系的细颗粒度控制措施，从源头上控制住信息的泄露。

针对保存、复制等问题由统一安全管理平台的通道控制方案解决；针对数据库系统级的操作权限由数据库账号权限整改解决，详情如下：

表一：统一安全管理平台的通道控制解决方案

表二：数据库账号权限整改办法

统一管理平台的建设对数据库的接口改造主要考虑，登录接口、账号权限、通道控制、审计接口。登录接口比较简单，一般情况下都是利用数据库登录客户端进行登录，这里我们把数据库认为是C/S模型应用程序，统一由PLDSEC SMS 登录门户进行单点登录。登录时从PLDSEC SMS 登录门户利用配置文件修改工具配置需要调用的客户端就可以实现单点登录，这一接口的实现比较简单，可操作性强。

对于账号权限，我们本着对现有业务支撑系统改造最小、风险最小的原则，建议采用现有系统中账号管理的功能，账号的实际细粒度的授权由业务支撑系统系统完成。这样做的好处在于对于数据库不做任何开发和改动，有利于数据库系统的稳定运行并且影响数据库本身的性能。在实施过程中，易于集成、易于实现。

通道控制，一方面统一安全管理平台（PLDSEC SMS）提供统一的集中操作管理平台，通过“自然人→资源→系统账号”三要素匹配通道开启、关闭管理控制策略，实现对人、系统、账号对应关系的细颗粒度控制措施；另一方面通过数据库账号权限整改，通过“资源→系统账号→库→操作权限”，实现数据库系统级的操作权限控制；最后通过二者结合达到从源头上控制住信息泄露目标。

审计接口，数据库的直接修改有如下几种情况：

一种是通过Telnet、SSH直接登录数据库所在操作系统，在数据库宿主机上，启动客户端程序，直接修改。这种情况我们可以通过PLDSEC SMS字符终端的命令捕获功能对用户的命令交互过程进行动态捕获以录像的形式还原操作现场；

另外一种是利用数据库远程管理工具，通过数据库协议， 在远端直接登录数据库，进行登录修改，这里我们把数据库认为是C/S模型应用程序，由帕拉迪4A系统的AppBox应用发布中心集中发布，用户只需要集中登录PLDSEC SMS 管理平台即可选择调用相应的客户端实现单点登录，同时实现对用户操作进行录像，又能识别用户SQL操作指令，并同时支持7大商业数据库的SQL语句实时提取，SQL语句和用户操作录像关联，可根据SQL语句查找操作录像，定位安全事件。

5.6.2SQL语句审计

帕拉迪统一安全管理平台与综合审计系统对数据库操作的审计，不但能够完整再现用户操作现场过程，还能够记录用户实际执行的SQL语句。这不同于简单的键盘敲击记录，而是审计实际发往数据库服务器的SQL语句。因此不管是用户的手动输入，还是执行数据库脚本，或是使用可视化数据库工具通过鼠标操作修改数据库内容，都能够准确完整的记录下来。

5.6.3数据库运维审计平台

准确识别用户操作意图，识别用户输入操作命令，并对用户操作进行。操作支持时间、用户原始IP地址、目标服务器地址、用户名称、系统帐号、使用的命令等策略因子。对高危命令要能自动阻断命令的执行，对越权操作行为要能及时警告。

用户通过SSH、TELNET、RDP、 X11、VNC 、FTP、SFTP、SCP等方式在服务器上的所有操作行为以及对Oracle、DB2、Sybase等数据库访问行为，都能做到全记录、全审计，可真实再现用户操作现场。

5.6.4细粒度数据库审计

深度解码数据库网络传输协议，完整、细粒度分析并再现用户数据库操作活动过程。完整记录用户数据库会话细节，包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视图、索引、过程 、函数、SQL DML操作影响行数、SQL SELECT操作返回行数、SQL语句执行时间、原始数据库记录包等，此功能国内唯一。

完整解析、记录、关联SQL操作语句绑定参数，可自动回溯重构完整SQL操作语句。实时监控来自各个层面的所有数据库活动，包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求。提供灵活的数据库访问行为来源，可选择忽略审计特定网络和主机产生的数据库SQL操作；亦可仅对特定“嫌疑”对象进行细粒度、全方位审计，包括记录整个数据库操作会话过程所有网络数据包。

覆盖主流商用数据库，包括：Oracle 8/9/10/11等、Sybase所有版本、SQL Server 2000/2005、Informix所有版本、DB2所有版本、Mysql所有版本。

5.7KVM运维审计

KVM over IP可以对所有连接的服务器和串行设备进行BIOS级的控制，因此相对于常规带内运维方式（字符终端或图形终端）具有更高的权限，迫切需要进行运维操作的安全审计。

KVM运维审计应当满足以下要求：

其一，KVM原有功能应当完整支持。

如KVM单光标模式，若在进行审计后不支持单光标模式或者效果不佳，会极大用户体验，降低运维效率。

其二，安全审计对KVM性能影响应尽可能小，操作流畅。

安全审计应当对KVM操作性能影响较小，应当不影响KVM并发操作性能。

帕拉迪统一安全管理平台与综合审计系统通过帕拉迪多业务应用发布平台（PLDSEC SMS APPBOX）实现KVM运维审计，完美支持单光标模式，KVM操作流畅，对KVM性能影响小于5%。

用户连接KVM运维

KVM播放审计

5.8Web、企业应用运维审计

帕拉迪多业务应用发布平台（PLDSEC SMS APPBOX）是帕拉迪4A系统的重要子系统，在设计之初即针对数据库运维审计功能实现，同时其具备优秀的可扩展架构，目前帕拉迪4A系统的HTTP/HTTPS WEB运维平台、KVM运维平台、企业应用运维平台都是通过帕拉迪多业务应用发布平台（PLDSEC SMS APPBOX）实现。帕拉迪多业务应用发布平台（PLDSEC SMS APPBOX）架构可以针对不同的数据库及其客户端、HTTP/HTTPS、企业应用运维客户端实现单点登录。

普通用户进行WEB、企业应用运维操作时，只需点击相应运维资源按钮，系统即自动发布和启动相应WEB、企业应用客户端，并自动登陆目标服务器。运维操作过程中，用户只能在当前已打开的WEB、企业应用客户端上操作设定的资源，无法任意运行其他程序、或访问其他应用。当用户关闭当前客户端后，系统即自动结束本次回话。WEB、企业应用运维选择如下：

5.9Syslog日志输出

帕拉迪4A系统完全支持用户IT 体系建设要求，在输入接口方面开放RADIUS、AD域和PKI认证接口；输出集成整合方面，帕拉迪4A系统准确识别用户操作意图，识别用户操作命令、操作结果以及数据库SQL操作语句，并将所有识别结果和相关登录、告警信息，实时SYSLOG日志输出，支持用户IT体系整合、关联建设要求。