服务器运维安全管理和审计的方案比较

服务器运维安全管理和审计的方案比较

1、传统安全防护手段

传统安全防护手段包括防火墙、IDS、IPS等。

防火墙技术：工作在网络第三层，能阻断不需要的应用和数据包，屏蔽内网结构，是边界防护类产品。

IDS/IPS：它是基于数据包特征，检测网络流是否存在安全隐患和网络攻击等，达到网络安全预警。

传统安全防护手段是边界防护的重要手段，但应用在运维领域，由于它们不去理解操作内容，仅从网络层是无法判别运维操作的合规性。

2、传统审计

传统审计包括：网络行为审计、日志审计、系统自审计等。

网络行为审计：是基于旁路方式获取网络数据包，经协议分析、组包、存储提供审计。它记录的信息一般包括协议、源目的IP地址、源目的MAC地址、时间等，信息以数据包为单位。

日志审计：它是通过收集IT设施的系统日志经格式化、归类、分析和展现来实现审计的。

系统自审计：有些IT系统提供自审计功能，以帮助维护人员排查问题和故障。

在运维审计领域，网络行为审计存在加密协议无法还原操作内容、不能保证信息100%不丢失和信息单位太细的问题；日志审计存在间接获取信息不能完全保证其真实性，IT设施种类繁多、日志信息颗粒度不统一而造成审计展现不统一，日志信息一般不包括操作具体内容等问题；系统自审计存在信息不独立、影响系统性能等问题。

3、智能KVM

智能KVM是基于IP的KVM，是目前主流的运维操作方式。由于其引入身份认证、授权、记录操作内容等功能，是比较好的运维安全操作方式。

它与会话审计系统有以下优势：

Ø  带外管理，主机不需要开放服务端口，更安全；

Ø  紧急情况下如网络不通或系统没有正常启动等，是一种有效的方式；

Ø  产品成熟，适应好。

它与会话审计系统存在以下不足：

Ø  通过带外方式访问IT设施，安全等级为0级（最高级，即与直接到主机控制台上操作级别一样），风险大；

Ø  记录的信息比较繁杂，查询和检索不方便，没有回放；

Ø  对于图像方式的操作，系统本身无法实现，一般通过外挂第三方录屏方式解决； 

Ø  它是独占方式，即有一个用户登录后其他用户均无法登录此设备；

Ø  设备定位在共享键盘、鼠标和显示，所以其安全审计和管理功能弱且不灵活；

Ø  系统成本较高。

4、录屏方式

录屏方式是通过在维护客户端和IT设施上安装专用软件，客户端软件负责将运维操作的屏幕记录下来发给审计系统来实现的。它能有效地解决了运维操作何时、做了什么的问题。这种方式前几年比较流行，南京金鹰在金融行业有部分案例。但存在以下不足：

Ø  无论操作还是不操作，系统均做记录而导致存储数据量大，并对现有网络负载有较大影响；

Ø  检索和定位功能非常弱；

Ø  无法解决谁和能做什么的问题；

Ø  无法做到事中安全控制；

Ø  部署麻烦，在IT设施上安装软件风险大。

5、会话审计

会话审计一般是基于代理技术实现的，通过认证、授权、协议分析等实现操作审计。

它的优势有：

Ø  以会话为单位，记录每次运维过程的所有信息；

Ø  能很好地解决对加密协议运维的审计；

Ø  能保证信息100%不丢失；

Ø  易实现多层次的安全管理与控制功能，集事前、事中和事后为一体安全防护功能；；

Ø  审计方便，提供回放功能，提供基于运维用户、源地址、目标地址、协议、时间和操作关键字等组合进行检索和定位。