服务器运维安全管理和审计的方案比较
1、传统安全防护手段
传统安全防护手段包括防火墙、IDS、IPS等。
防火墙技术:工作在网络第三层,能阻断不需要的应用和数据包,屏蔽内网结构,是边界防护类产品。
IDS/IPS:它是基于数据包特征,检测网络流是否存在安全隐患和网络***等,达到网络安全预警。
传统安全防护手段是边界防护的重要手段,但应用在运维领域,由于它们不去理解操作内容,仅从网络层是无法判别运维操作的合规性。
2、传统审计
传统审计包括:网络行为审计、日志审计、系统自审计等。
网络行为审计:是基于旁路方式获取网络数据包,经协议分析、组包、存储提供审计。它记录的信息一般包括协议、源目的IP地址、源目的MAC地址、时间等,信息以数据包为单位。
日志审计:它是通过收集IT设施的系统日志经格式化、归类、分析和展现来实现审计的。
系统自审计:有些IT系统提供自审计功能,以帮助维护人员排查问题和故障。
在运维审计领域,网络行为审计存在加密协议无法还原操作内容、不能保证信息100%不丢失和信息单位太细的问题;日志审计存在间接获取信息不能完全保证其真实性,IT设施种类繁多、日志信息颗粒度不统一而造成审计展现不统一,日志信息一般不包括操作具体内容等问题;系统自审计存在信息不独立、影响系统性能等问题。
3、智能KVM
智能KVM是基于IP的KVM,是目前主流的运维操作方式。由于其引入身份认证、授权、记录操作内容等功能,是比较好的运维安全操作方式。
它与会话审计系统有以下优势:
Ø 带外管理,主机不需要开放服务端口,更安全;
Ø 紧急情况下如网络不通或系统没有正常启动等,是一种有效的方式;
Ø 产品成熟,适应好。
它与会话审计系统存在以下不足:
Ø 通过带外方式访问IT设施,安全等级为0级(最高级,即与直接到主机控制台上操作级别一样),风险大;
Ø 记录的信息比较繁杂,查询和检索不方便,没有回放;
Ø 对于图像方式的操作,系统本身无法实现,一般通过外挂第三方录屏方式解决;
Ø 它是独占方式,即有一个用户登录后其他用户均无法登录此设备;
Ø 设备定位在共享键盘、鼠标和显示,所以其安全审计和管理功能弱且不灵活;
Ø 系统成本较高。
4、录屏方式
录屏方式是通过在维护客户端和IT设施上安装专用软件,客户端软件负责将运维操作的屏幕记录下来发给审计系统来实现的。它能有效地解决了运维操作何时、做了什么的问题。这种方式前几年比较流行,南京金鹰在金融行业有部分案例。但存在以下不足:
Ø 无论操作还是不操作,系统均做记录而导致存储数据量大,并对现有网络负载有较大影响;
Ø 检索和定位功能非常弱;
Ø 无法解决谁和能做什么的问题;
Ø 无法做到事中安全控制;
Ø 部署麻烦,在IT设施上安装软件风险大。
5、会话审计
会话审计一般是基于代理技术实现的,通过认证、授权、协议分析等实现操作审计。
它的优势有:
Ø 以会话为单位,记录每次运维过程的所有信息;
Ø 能很好地解决对加密协议运维的审计;
Ø 能保证信息100%不丢失;
Ø 易实现多层次的安全管理与控制功能,集事前、事中和事后为一体安全防护功能;;
Ø 审计方便,提供回放功能,提供基于运维用户、源地址、目标地址、协议、时间和操作关键字等组合进行检索和定位。
