UMA运维审计系统 - 华为产品
正在建设中!

提示

您还没有登录,是否需要进入登录页面?

提示

您没有下载该文档的权限,抱歉!

申请权限 返回

免费注册下载营销资料

  • *
  • *
  • *
  • *
  • *
  • 我愿意华为公司代表与我联系
  • 我愿意通过电子邮件,接收来自华为的产品和资讯信息

如果您已有华为账号,请登陆下载

UMA运维审计系统

UMA(Unified Maintenance and Audit )是为运营商、政府、金融、电力、大企业等设计的统一IT核心资源运维管理与安全审计平台,通过对核心业务系统、操作系统、数据库、网络设备等各种IT资源的帐号、认证、授权和审计的集中管理和控制,实现了运维集中接入、集中认证、集中授权、集中审计功能,满足用户IT运维管理和IT内控外审的需求。


背景

调查结果表明,在可统计的安全事件中,70%以上都是由于内部人员所为,尤其是管理维护人员的操作,这其中包括了越权访问、误操作、滥用、恶意破坏等等行为。为防止内部人员对的误操作或错误操作行为造成重大损失,就必须建立完善的信息系统安全审计体系,对内部用户的访问行为进行严格审计。


随着SOX 法案的实施和国内等级保护体系的建设,对企业IT内控的要求也越来越高。对信息系统来说,内控的关键点和难点是对主机、网络、数据库的管理员的操作行为进行审计和控制,由于必须给相应的管理员一定的权限,管理员才能够完成正常的工作,但同时,管理员也可以利用这些权限很轻易的对关键数据、配置进行违规的访问、篡改,如果缺乏必要的维护行为控制和审计措施,那么我们就无法知道管理员、第三方维护人员到底在这些核心服务器里面做了什么,内控也就无法从根本上进行落实。


对系统内部高权限系统管理人员进行审计,是控制内部风险的一个重要手段,但大型机构的IT系统构成复杂,操作人员众多,如何有效地执行审计工作,是长期困扰各组织信息科技和风险稽核部门的一个重大课题。


对任何一个组织而言,采用基于计算机的审计技术或工具无疑是实现监管信息化、提升工作绩效的重要途径。但首先需要解决的问题是:组织需要关心哪些类型的审计信息?哪些信息或行为对组织尤为关键?目前通用的审计工具大多从网络层面或服务器日志层面获取较为庞杂的信息,往往会导致关键的管理信息或敏感操作湮没于日常业务数据中,或无法追溯操作行为轨迹、了解操作行为意图,可能影响审计的有效性或效率。



华为UMA运维审计系统

基于对IT运维审计的需求,华为集多年运维管理与安全服务的经验,结合行业最佳实践与合规性要求,推出运维审计系统(UMA),UMA运维审计系统是针对运维操作行为进行集中管理(Management)与细粒度审计(Audit)的相结合的管理系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人账号——资源——资源账号”对应关系,从而实现主账号到从账号的对应,实现自然人对资源的统一授权,同时,对授权人员的业务操作行为进行记录、分析、展现,从而实现事前预防、事中监控、违规响应、事后报告,针对于核心资产的运维管理,再现关键行为轨迹,探索操作意图,集全局实时监控与运维操作过程回放等功能特点,有效解决了信息化监管中的一个核心问题。


UMA 运维审计系统的用户通常拥有重要的业务系统或者网络基础设施,相应地具备如下需求中的部分或者全部:


1、需要保证重要/关键服务器、网络设备的安全;


2、希望对运维人员与核心资产进行集中管理,明确每个人员对核心资产的权限;


3、正在或将要开展内控工作,希望有效地控制操作风险;


4、需要记录或审计加密协议SSH的操作内容;


5、需要进行事后追查,但缺乏数据记录与追查方法。


UMA运维审计产品的核心价值体现在:完善业务系统的运维体系,满足组织机构内外部合规性要求,主要表现在:


  • 结合账号管理、资源管理、单点登录、身份认证、访问授权、操作审计等技术于一体,融合为有效实用的一体化的运维审计解决方案;
  • 当出现安全事件后,能根据翔实的审计记录,一步步地追查出攻击者;
  • 通过对客户关键信息资产的业务操作行为进行访问控制、避免核心资产损失;
  • 核心服务器与网络设备的账号口令定期修改,并通过安全的方式通知安全管理员;
  • 核心服务器与网络基础设备的实体内授权,用户登录设备之后的行为细粒度控制;
  • 帮助用户加强内外部网络行为监管、满足企业内部控制或者外部政策等合规性要求。

UMA运维审计基于“用户→目标设备→资源账号”的权限管理模式提供各项安全功能,主要体现在以下几个方面:


1、集中管理:对所有的自然人以及所有核心服务器、核心网络基础设施及其上面的账号进行统一集中管理与单点登录;


2、身份管理:有效解决传统的共享账号问题,通过自然人账号与资源账号的关联实现运维操作的实名制;


3、访问控制:管理员可自定义访问控制规则,给每个用户分配适当的网络资源;


4、权限控制:通过命令防火墙可进一步把用户的权限控制到命令级别,可有效限制root的操作权限;


5、操作审计:对所有自然人的访问信息,包括输入命令与输出结果进行记录并回放,能根据翔实的审计记录,一步步地追查出攻击者。


华为UMA运维审计系统的目标是为运维操作提供强有力的监控、审计手段,使其切实满足内控管理中的合规性要求。UMA 可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计,对策略配置、系统维护、内部访问等进行详细的记录,提供细粒度的审计,并支持操作过程的全程回放。UMA 弥补了传统审计系统的不足,将运维审计由事件审计提升为内容审计,并将身份认证、授权、审计有机地结合,保证只有合法用户才能使用其拥有运维权限的关键资源。


UMA可广泛应用于金融、政府、电信、证券、邮政、税务、海关、交通等安全需求较高的行业。华为UMA运维审计系统具备以下特点及优势:



UMA 支持各种运维环境

UMA 支持对常用运维协议TELNET、FTP、SFTP、SSH、RDP(Windows Terminal)、AS400、VNC、Xwindows等进行审计控制。


UMA操作审计支持各类各种主流操作系统,如Windows、Linux、BSD、AIX、Solaris、HP-UX等;同时也支持各类网络设备,如cisco、huawei路由器、交换机,以及多种安全设备以及各种数据库如ORACLE、SQLSERVER等。


UMA对于图形操作不仅能够录屏,而且能够对视频进行文本摘要处理,智能识别关键操作信息,方便用户对视频中的关键操作进行搜索和审计,就如百度一样从视频中搜索到关键操作的片段。


友商通常只能支持部分运维协议和操作系统,如对VNC、X11、KVM审计缺失,覆盖不完整,而且大部分友商不支持AS400这类的小型机等。UMA全面的运维环境的支持,帮助用户使用一套审计系统即可全面覆盖复杂运维场景,减少管理复杂性,降低用户投资,满足合规审计要求。



实现对所有运维过程的控制和记录审计

UMA运维内控审计系统能够针对每次操作会话进行记录和控制,详细记录整个操作过程,并以指令和回放文件两种方式对整个会话过程进行记录。对每次管理员维护服务器的操作会话,运维管理内控审计系统能够详细记录会话时间、用户名、源/目标IP、操作指令、操作结果等信息,并形成指令日志及回放文件。同时支持在操作过程中对操作行为的监控和控制。


很多友商只支持文本类的操作记录过程,不支持视频的记录,不利于对实时对各种危险操作进行控制,而UMA全面支持这两种模式,提供给客户更全面的运维操作过程,有效的避免恶意运维操作,实现责任定位,确保运维可见可控可查。


部署UMA运维审计系统,为用户提供唯一的运维接口,同时对运维的过程进行监控和记录,规范了整个运维过程,运维过程的规范,给用户带来巨大的价值和收益。


(一)满足合规性要求,顺利通过相关审计

目前,越来越多的单位面临一种或者几种合规性要求。比如,在美上市的公司就面临SOX法案的合规性要求,政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求等。UMA系统提供了一种独立的审计方案,有助于完善组织的IT内控与审计体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。


(二)有效减少核心信息资产的破坏和泄漏

对单位的业务系统来说,真正重要的核心信息资产往往存放在少数几个关键系统上,通过使用UMA系统,能够加强对这些关键系统的访问控制与审计,从而有效地减少核心信息资产的破坏和泄漏。


(三) 有效控制运维操作风险,便于事后追查原因与界定责任

一个单位里负责运维的部门通常拥有目标系统或者网络设备的最高权限(掌握root帐号的口令),因而也承担着很高的风险(误操作或者是个别人员的恶意破坏)。由于目标系统不能区别不同人员使用同一个帐号进行维护操作,所以不能界定维护人员的真实身份。UMA系统提供基于角色的访问控制与审计,不但能够有效地控制运维操作风险,还能够有效地区分不同维护人员的身份,便于事后追查原因与界定责任。


(四)实现独立审计与三权分立,完善IT内控机制

从内控的角度来看,IT系统的使用权、管理权与监控权必须分立。在分立的基础上实施内控与审计,有效地控制操作风险(包括业务操作风险与运维操作风险)。UMA系统通过将使用权、管理权和监控权分配给不同的人,实现了权利分立,从而完善IT内控机制。


产品型号 UMA一体机 UMA标准版 UMA企业版
面向客户 微型/小型企业 中小型企业 大型企业
硬件形态

主机(含应用发布中心功能)


主机


应用发布中心(选配)


主机


应用发布中心(选配)


主机硬件规格 尺寸:2U标准机架
CPU:1*英特尔4核E5-2403
内存:1*8G
电源风扇:1+1冗余电源、风扇
系统盘:2*300G SAS RAID1
数据盘:2*2T SATA RAID 1(可扩展到12*2T)
网络接口:集成6个GE口(可扩展14GE)
尺寸:2U标准机架
CPU:1*英特尔4核E5-2403
内存:1*8G
电源风扇:1+1冗余电源、风扇
系统盘:2*300G SAS RAID1
数据盘:2*2T SATA RAID 1(可扩展到12*2T)
网络接口:集成6个GE口(可扩展14GE)
尺寸:2U标准机架
CPU:2*英特尔4核E5-2403
内存:2*8G
电源风扇:1+1冗余电源、风扇
系统盘:2*300G SAS RAID1
数据盘:2*2T SATA RAID 1(可扩展到12*2T)
网络接口:集成6个GE口(可扩展14GE)
可管理设备数量 50/75/100 50/100/200/300 500/1000/更多(集群方式)
并发连接 字符并发:500
图形并发:200
字符并发:500
图形并发:200
字符并发:1000
图形并发:300
用户管理 支持用户权限分级,账号生命周期管理,用户组,批量导入等
认证管理 支持本地认证、Radius认证、AD域认证、证书认证等方式,并开放可扩展认证体系
设备管理 支持设备、设备组管理、设备账号管理
账号密码支持单次修改、定期修改、自动生成和发送等
授权管理 以[设备IP、协议类型、账号密码]三元组为单位,对用户授权
不同的配置管理员,只能看到自己有权限管理的设备
支持设备组、用户组的授权方式
终端交互管理 默认支持:
支持字符终端交互,包括ssh、telnet协议
支持图形终端交互,包括RDP、X11、VNC等
含应用发布中心支持:
支持数据库管理工具交互,包括Oracle、DB2、Sybase、SQLServer、Informix、MySQL、PostgreSQL等
支持远程图形控制工具交互,包括pcAnywhere、Radmin、DameWare、ESXI、AS400等
支持KVM终端交互
支持Web应用交互
支持企业应用交互
安全审计 支持命令行操作、图形视频、键盘命令、操作日志回放等
可定义高危命令策略,并自动识别与阻断、
支持实时监控与切断
部署模式 旁挂部署架构,不改变原有网络结构
支持单机、双机、集群、分级部署

一、高权限共享账号运维责任认定

客户挑战


在部署UMA前,所有人员包括移动办公人员、合作伙伴、运维外包人员、内部运维人员共同使用root或其他高权限帐号直接登录核心业务服务器进行各种管理操作,当核心业务数据被非法修改,或是执行了其他非法命令等,日志记录只能将操作关联到运维账号而非某个具体的员工,因而无法实现责任定位,在现有环境上很难定位到人,无法进行责任的认定和故障分析。


方案优势


在部署UMA后,每个自然人都对应一个主帐号(审计平台帐号),登录到核心业务服务器的从帐号root(目标主机帐号),两个帐号存在唯一对应关系,日志信息的记录是关联到真正的运维人员,这样当出现问题需要追溯事,很容易定位到操着者,实现了真正的责任定位,同时有利于安全问题的处理。审计人员可以很方便的从平台中查出是谁在什么时间登录哪台服务器做了什么操作,产生什么样的结果,很方便的实现责任认定和故障分析。



二、运维人员操作细粒度控制

客户挑战


在部署UMA前,在传统运维模式中,高权限的资源账号(如root)拥有系统所有权限,当采用该账号进行系统操作时,很容易造成误操作或者恶意操作,而一旦这样的操作出现时,都会给系统造成不可逆的后果。


方案优势


当采用UMA运维审计系统后,我们可以控制每个运维人员的权限,这样,通过UMA的控制,每个运维人员的权限是操作人员权限和运维账号权限的最小化集合,如我们限制操作人员的Reboot权限,当该操作人员登录到运维审计系统后,即使他选择ROOT账号对某个主机进行运维操作时,他也没有权限执行Reboot命令,这样就有效的屏蔽了各种错误的或者越权操作,保证系统的高可用性。


三、第三方代维监控

客户挑战


当前大型的机构的运维经常是采用厂家代维或者是某个服务公司进行代维,这样经常会发生各种超越权限的行为,如查看各种不该看的内容,执行不该执行的操作等。


方案优势


当采用UMA运维审计系统后,我们可以实时监控代维人员的操作,同时可以对代维人员的操作进行控制,如取消等,这样有效的控制了代维操作范围,同时有效的对运维人员进行监控,确保运维的有效性。



四、合规审计

客户挑战


SOA促使COSO《内部控制-综合框架》及其他框架作为内部控制的标准已获广泛认同。国内相关职能部门亦在指导行业内部控制与风险管理方面进行标准制定。如:内部控制审计准则的制定,商业银行、证券公司、保险公司、上市公司、中央企业等内部控制指引、合规风险管理或全面风险管理指引的颁布,都对IT系统运维提出运维审计的要求。


方案优势


UMA可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计,对策略配置、系统维护、内部访问等进行详细的记录,提供细粒度的审计,并支持操作过程的全程回放。为组织在IT操作风险控制、内控安全和合规性等方面提供一套完善、有效的审计手段, 切实满足内控管理中的合规性要求。


编码 项目描述
1.1 主设备
UMA-I-1C8G UMA一体机平台-1*四核CPU-8G内存-含应用发布中心-含HS存储节点控制板管理软件
UMA-1C8G UMA标准版平台-1*四核CPU-8G内存-含HS存储节点控制板管理软件
UMA-2C16G UMA企业版平台-2*四核CPU-16G内存-含HS存储节点控制板管理软件
UMA-APPBOX UMA APPBOX-含HS存储节点控制板管理软件
1.2 软件License
LIC-UMA-I-50-CN 软件运行-统一运维管理与审计系统(UMA)-含应用发布中心-50设备点Licenses-电子件License
LIC-UMA-I-50-CN 软件运行-统一运维管理与审计系统(UMA)-含应用发布中心-75设备点Licenses-电子件License
LIC-UMA-I-50-CN 软件运行-统一运维管理与审计系统(UMA)-含应用发布中心-100设备点Licenses-电子件License
LIC-UMA-50-CN 软件运行-统一运维管理与审计系统(UMA)-50设备点Licenses-电子件License
LIC-UMA-100-CN 软件运行-统一运维管理与审计系统(UMA)-100设备点Licenses-电子件License
LIC-UMA-200-CN 软件运行-统一运维管理与审计系统(UMA)-200设备点Licenses-电子件License
LIC-UMA-300-CN 软件运行-统一运维管理与审计系统(UMA)-300设备点Licenses-电子件License
LIC-UMA-500-CN 软件运行-统一运维管理与审计系统(UMA)-500设备点Licenses-电子件License
LIC-UMA-1000-CN 软件运行-统一运维管理与审计系统(UMA)-1000设备点Licenses-电子件License
LIC-UMA-Cluster-CN 软件运行-统一运维管理与审计系统(UMA)-集群Licenses-电子件License
LIC-UMA-HA-ST 软件运行-统一运维管理与审计系统(UMA)-标准版Licenses-电子件License
LIC-UMA-HA-TO-EN 软件运行-统一运维管理与审计系统(UMA)-升级至企业版Licenses-电子件License
LIC-UMA-APPBOX1-CN 软件运行-统一运维管理与审计系统(UMA)-应用发布Licenses-电子件License

文档中心 新闻中心 案例库 视频专区 电子期刊