◆張國梁 郭曉軍

（西藏民族大學(xué)信息工程學(xué)院 陜西 712000）

高校網(wǎng)絡(luò)運(yùn)維審計(jì)系統(tǒng)的應(yīng)用

◆張國梁 郭曉軍

（西藏民族大學(xué)信息工程學(xué)院 陜西 712000）

本文首先分析了高校網(wǎng)絡(luò)運(yùn)維現(xiàn)狀和面臨的風(fēng)險(xiǎn)，提出建立校園網(wǎng)絡(luò)運(yùn)維審計(jì)系統(tǒng)的必要性，并使用運(yùn)行審計(jì)系統(tǒng)（即內(nèi)控堡壘機(jī)）來解決面臨的問題。接著描述了運(yùn)維審計(jì)系統(tǒng)的結(jié)構(gòu)和主要功能，并進(jìn)行了實(shí)施和部署。通過在校園網(wǎng)中部署運(yùn)維審計(jì)系統(tǒng)解決高校網(wǎng)絡(luò)在運(yùn)維方面存在的問題，有效控制運(yùn)維風(fēng)險(xiǎn)。

運(yùn)維審計(jì)系統(tǒng)；內(nèi)控堡壘機(jī)；網(wǎng)絡(luò)管理

0 引言

校園網(wǎng)作為高校信息化重要的基礎(chǔ)設(shè)施，通過先進(jìn)的計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，構(gòu)建了一個(gè)全方位的數(shù)字空間，為高校校園提供了豐富的信息載體，對內(nèi)實(shí)現(xiàn)了資源的數(shù)字化和共享，對外成為信息交流的重要工具，在教學(xué)、科研、各項(xiàng)管理以及對外交流與合作中扮演了重要角色。高校網(wǎng)絡(luò)信息系統(tǒng)規(guī)模不斷擴(kuò)大，隨之而來的是不斷增長的運(yùn)維風(fēng)險(xiǎn)。一旦運(yùn)維操作出現(xiàn)安全問題將會給高校帶來不可估量的損失。

同時(shí)國家公安部《信息系統(tǒng)安全等級保護(hù)基本要求》中明確規(guī)定了二級（含）以上的重要信息系統(tǒng)網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全都需要具有安全審計(jì)功能。所以，根據(jù)等級保護(hù)要求以及單位的實(shí)際情況必須建立校園網(wǎng)的運(yùn)維審計(jì)系統(tǒng)。

1 高校網(wǎng)絡(luò)運(yùn)維風(fēng)險(xiǎn)分析

目前校園網(wǎng)主要采用傳統(tǒng)的三層架構(gòu)模式，各種服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備加一起數(shù)量龐大，日常運(yùn)維任務(wù)繁瑣而復(fù)雜。運(yùn)維環(huán)境日益復(fù)雜，運(yùn)維責(zé)任和挑戰(zhàn)愈來愈大，極大增加了校園網(wǎng)安全運(yùn)維的風(fēng)險(xiǎn)。究其原因如下：

（1）運(yùn)維人員構(gòu)成復(fù)雜。運(yùn)維人員大體上可分為三類：第一類網(wǎng)絡(luò)信息中心在內(nèi)部運(yùn)維人員；第二類為二級單位運(yùn)維人員；第三類為第三方廠商的臨時(shí)運(yùn)維人員。這三類人員多點(diǎn)登錄、分散管理。

（2）運(yùn)維人員操作不合規(guī)。信息系統(tǒng)具有結(jié)構(gòu)復(fù)雜、變更頻度高、技術(shù)難度大、實(shí)現(xiàn)技術(shù)多樣化等特點(diǎn)，在傳統(tǒng)的運(yùn)維管理模式下，由于缺乏有效的監(jiān)管，運(yùn)維人員普遍存在隨意操作、越權(quán)操作、不按流程操作、變更操作范圍等不合規(guī)的操作行為。

（3）賬號管理分配混亂?；趥鹘y(tǒng)的運(yùn)維管理模式，無論內(nèi)部還是外部運(yùn)維人員，都是直接采用系統(tǒng)賬號登錄目標(biāo)系統(tǒng)進(jìn)行操作，同一個(gè)系統(tǒng)多個(gè)用戶同時(shí)維護(hù)，共享同一賬號，如果發(fā)生誤操作或者惡意操作，將很難追查到責(zé)任人。

（4）無法有效的審計(jì)用戶操作。信息系統(tǒng)自身的日志審計(jì)功能無法全面記錄運(yùn)維人員的操作行為，無法第一時(shí)間發(fā)現(xiàn)并阻止違規(guī)的操作行為，難以追溯到不合規(guī)的操作源頭，更無法對違規(guī)操作行為進(jìn)行還原和復(fù)現(xiàn)，很難為相關(guān)事件的取證舉證提供充分的依據(jù)。

（5）運(yùn)維權(quán)限無法管理和控制。在傳統(tǒng)運(yùn)維模式下沒有對系統(tǒng)的運(yùn)維用戶賬戶進(jìn)行權(quán)限分配管理，各設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫多用戶賬戶多采用管理員權(quán)限，并未根據(jù)實(shí)際用戶的需求進(jìn)行最小權(quán)限的分配設(shè)置。這將導(dǎo)致運(yùn)維人員越權(quán)操作或惡意操作的隱患。

總之，現(xiàn)有運(yùn)維環(huán)境中的這些維護(hù)方法缺乏一個(gè)統(tǒng)一的平臺，對所有運(yùn)維用戶和賬號進(jìn)行統(tǒng)一管理，缺乏對設(shè)備所有操作記錄的審計(jì)功能，此外，對運(yùn)維人員的操作無法有效記錄，也無法記錄先前故障處理過程和追溯不合規(guī)的操作。

2 運(yùn)維審計(jì)系統(tǒng)

面對傳統(tǒng)運(yùn)維模式帶來的風(fēng)險(xiǎn)，加強(qiáng)對運(yùn)維人員操作行為的監(jiān)管與審計(jì)是信息安全發(fā)展的必然趨勢。在此背景之下，針對運(yùn)維操作管理與審計(jì)的堡壘機(jī)應(yīng)運(yùn)而生。運(yùn)維審計(jì)型堡壘機(jī)被部署在內(nèi)網(wǎng)中，對運(yùn)維人員的操作權(quán)限進(jìn)行控制，并對操作行為進(jìn)行審計(jì)。解決了運(yùn)維人員權(quán)限難以控制混亂局面，又可對違規(guī)操作行為進(jìn)行控制和審計(jì)，提升內(nèi)部風(fēng)險(xiǎn)控制水平。

運(yùn)維審計(jì)系統(tǒng)功能的設(shè)計(jì)：

運(yùn)維審計(jì)系統(tǒng)的主要功能模塊分為：用戶管理、主機(jī)管理、實(shí)時(shí)監(jiān)控、運(yùn)維管理和策略管理等五個(gè)模塊。運(yùn)行審計(jì)系統(tǒng)功能結(jié)構(gòu)如圖1所示。

圖1 運(yùn)維審計(jì)系統(tǒng)結(jié)構(gòu)

運(yùn)維審計(jì)系統(tǒng)中的用戶分為超級用戶，管理員用戶，運(yùn)維終端用戶。不同的用戶有著不同的權(quán)限。超級用戶是擁有最高權(quán)限用戶角色，可進(jìn)行所有的系統(tǒng)配置、用戶管理、權(quán)限授權(quán)以及操作審計(jì)等。管理員用戶的功能權(quán)限主要有：主機(jī)管理、策略管理、運(yùn)維管理，運(yùn)維終端用戶管理等，并為運(yùn)維終端用戶訪問主機(jī)關(guān)聯(lián)授權(quán)。運(yùn)維終端用戶權(quán)限最小，擁有被授權(quán)管理設(shè)備的權(quán)限和修改自身信息和登錄密碼的權(quán)限。

實(shí)時(shí)監(jiān)控實(shí)現(xiàn)對所有運(yùn)維過程的實(shí)時(shí)監(jiān)控，包括主機(jī)監(jiān)控、用戶監(jiān)控、會話監(jiān)控、異常會話監(jiān)控、操作監(jiān)控、異常操作監(jiān)控和系統(tǒng)監(jiān)控。

運(yùn)維審計(jì)實(shí)現(xiàn)對運(yùn)維過程事后審計(jì)，主要功能有字符終端審計(jì)、圖形終端審計(jì)、數(shù)據(jù)庫運(yùn)維審計(jì)等。并可以對運(yùn)維過程的多種檢索、審計(jì)報(bào)表等。

主機(jī)管理實(shí)現(xiàn)對主流服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和數(shù)據(jù)庫系統(tǒng)的統(tǒng)一管理，主要包括主機(jī)的添加，主機(jī)的刪除等功能。

策略管理主要實(shí)現(xiàn)對運(yùn)維終端用戶訪問主機(jī)授權(quán)的功能，并對所有授權(quán)策略進(jìn)行管理。通過策略授權(quán)運(yùn)維終端用戶就可以訪問指定設(shè)備。

3 實(shí)施和部署

運(yùn)維審計(jì)堡壘機(jī)采用物理旁路，邏輯串聯(lián)的模式，不需要改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不需要在終端安裝客戶端軟件，不改變管理員、運(yùn)維人員的操作習(xí)慣，也不影響正常業(yè)務(wù)運(yùn)行。部署方式如圖2所示。系統(tǒng)的實(shí)施過程，將運(yùn)維審計(jì)堡壘機(jī)及其應(yīng)用發(fā)布服務(wù)器的部署位置單獨(dú)剝離，劃分為管理區(qū)，把內(nèi)部網(wǎng)絡(luò)的其他設(shè)備如服務(wù)器、網(wǎng)絡(luò)設(shè)備數(shù)據(jù)庫等等劃分為業(yè)務(wù)區(qū)。在運(yùn)維審計(jì)堡壘機(jī)上架后，運(yùn)維人員將集中通過堡壘機(jī)對主機(jī)業(yè)務(wù)區(qū)的目標(biāo)設(shè)備進(jìn)行日常運(yùn)維操作。運(yùn)維人員只有通過堡壘機(jī)才訪問具體主機(jī)，并可以在堡壘機(jī)上對主機(jī)的單點(diǎn)登錄及會話進(jìn)行完整審計(jì)。

圖2 運(yùn)維審計(jì)系統(tǒng)部署

4 總結(jié)

運(yùn)維審計(jì)系統(tǒng)作為高校網(wǎng)絡(luò)安全體系建設(shè)中必不可少一部分。通過在校園網(wǎng)中部署運(yùn)維審計(jì)系統(tǒng)，可以對運(yùn)維人員、主機(jī)、網(wǎng)絡(luò)設(shè)備統(tǒng)一管理，統(tǒng)一授權(quán)和審計(jì)。滿足運(yùn)維審計(jì)過程的實(shí)時(shí)監(jiān)控、審計(jì)，并可以對操作過程進(jìn)行控制、記錄和回放。實(shí)時(shí)阻斷違規(guī)、越權(quán)的訪問行為，同時(shí)提供維護(hù)人員操作的全過程的記錄與報(bào)告。有效控制運(yùn)維風(fēng)險(xiǎn)。

[1]龐博.基于內(nèi)控堡壘主機(jī)的運(yùn)維審計(jì)實(shí)踐[J].科技資訊，2015.

[2]黃瑞濤，陳勁松.堡壘機(jī)在醫(yī)院信息系統(tǒng)的運(yùn)用[J].信息安全與技術(shù)，2011.

[3]韓榮杰，于曉宜.基于堡壘主機(jī)概念的運(yùn)維審計(jì)系統(tǒng)[J].信息化建設(shè)，2012.

[4]伍閩敏.建設(shè)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的必要性及其技術(shù)要求[J].信息安全與技術(shù)，2011.

[5]潘玉珣.新一代堡壘主機(jī)[J].信息安全與通信保密，2011.

第四期高校科研創(chuàng)新團(tuán)隊(duì)建設(shè)項(xiàng)目“藏區(qū)網(wǎng)絡(luò)空間安全與輿情智能監(jiān)管科研創(chuàng)新團(tuán)隊(duì)建設(shè)”，西藏自治區(qū)高校教師創(chuàng)新支持計(jì)劃項(xiàng)目（QCZ2016-41），西藏民族大學(xué)2016教改項(xiàng)目“面向區(qū)內(nèi)學(xué)生的《網(wǎng)絡(luò)安全技術(shù)》課程教學(xué)方法探索”。