Zendeep神电运维审计系统

针对安然、世通等财务欺诈事件，2002年出台的《公众公司会计改革和投资者保护法案》（Sarbanes-Oxley Act）对组织治理、财务会计、监管审计制定了新的准则，并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。与此同时，国内相关职能部门亦在内部控制与风险管理方面制定了相应的指引和规范。由于信息系统的脆弱性、技术的复杂性、操作的人为因素，在设计以预防、减少或消除潜在风险为目标的安全架构时，引入运维管理与操作监控机制以预防、发现错误或违规事件，对IT风险进行事前防范、事中控制、事后监督和纠正的组合管理是十分必要的。IT系统审计是控制内部风险的一个重要手段，但IT系统构成复杂，操作人员众多，如何有效地对其进行审计，是长期困扰各组织的信息科技和风险稽核部门的一个重大课题。
系统的运维人员是系统的“特殊”使用团队，一般具有系统的高级权限，对运维人员的行为审计日渐成为安全管理的必备部分，尤其是目前很多企业为了降低网络与系统的维护成本，采用租用网络或者运维外包的方式，由企业外部人员管理网络，由外部维护人员产生的安全案例已经逐渐在上升的趋势。运维人员具有“特殊”的权限，又往往是各种业务审计关注不到的地方，网络行为审计可以审计运维人员经过网络进行的工作行为，但对设备的直接操作管理，比如Console方式就没有记录。运维审计的方式不同于其他审计，尤其是运维人员为了安全的要求，开始大量采用加密方式，如RDP、SSL等，加密口令在连接建立的时候动态生成，通过链路镜像方式是无法审计的。所以运维审计是一种“制度+技术”的强行审计。一般是运维人员必须先登录身份认证的“堡垒机”(或通过路由设置方式把运维的管理连接全部转向运维审计服务器)，所有运维工作通过该堡垒机进行，这样就可以记录全部的运维行为。由于堡垒机是运维的必然通道，在处理RDP等加密协议时，可以由堡垒机作为加密通道的中间代理，从而获取通讯中生成的密钥，也就可以对加密管理协议信息进行审计。
软件人员一般应用命令行方式（Telnet、SSH）、和图形化方式（RDP、VNC）、HTTP方式或客户端软件等方式对数据中心的服务器进行管理，这些方式虽然方便、灵活，但接入点多，存在重大安全隐患，并难于管理，特别是，面对成千上万台的设备，一个IT经理或者一个CIO如何能确保所有IT 运维人员的操作都是安全的？倘若有违规操作，如何发现并有效阻止？若阻止不及，如何认定事故责任？

一、Zendeep“神电”运维审计系统概述
为了解决企业内部软件人员的管控问题，泰然神州自主研发了神电运维审计系统（以下简称Zendeep）。 Zendeep就像是信息系统和管理维护人员之间的一个“操作录像机”。它实时地、完整地记录用户的操作，并提供方便灵活的操作回放或查询检索的手段；可以对基于Telnet、SSH、RDP、VNC等协议的访问操作进行过程的抓取，从而可以录像方式对所有运维人员的所有操作进行记录，并具备强大的搜索功能，可对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取——从而达到真正意义上的审计与风险控制。
泰然神州神电运维审计系统不仅可以对软件人员应用带内管理工具（Telnet、SSH、RDP、VNC等协议）的管理进行全面的集中管理与审计，可以制定有效的控制策略，进行访问授权、访问阻断，另外也可以根据不同的参数搜索调用历史操作画面，并进行画面回放、查看审计日志、从而进行有效的安全防护。

二、神电运维审计系统架构
     泰然神州神电运维审计系统主要由管理平台、分析引擎两部分组成。下面是“神电”的系统架构图：

     
图 1神电运维审计系统架构图
    管理平台是Zendeep整个系统的管理界面、授权界面、系统审计界面，主要功能包括：
    提供对系统整体状况的监控、系统参数的配置；
    提供服务器主机、用户帐号的管理，并在这基础上提供用户对主机的访问控制策略；

 1/3    1 2 3 下一页 尾页