HIT专家网
来源:HIT专家网 作者:郭幽燕
录屏审计功能,是运维安全管理的“刚需”。但只录屏不可快速检索,是目前部分堡垒机产品的“软肋”。本文结合笔者所在医院实践,介绍一种基于集中数据安全平台的可视化安全审计和追踪机制,可实现对录屏结果的快速检索。
一、只录屏不可检索的运维安全管理,难以发挥实际作用
“超过3个小时的录屏结果,是不会有人去一帧帧地查看的。堡垒机的录屏审计功能,在实践中很难产生实际效果。”很多用过或在用堡垒机的IT安全管理人员对此颇有同感。
堡垒机作为一种常见的安全运维管理设备,可管理运维人员身份和运维权限,也可对运维过程进行安全审计。目前很多公司提供此类产品,功能大同小异。
可对某些运维过程进行录屏,原是堡垒机的亮点功能之一。过程录屏的目的是在出现安全事件时,使运维人员能够对运维过程进行回放,以查找运维过程中是否存在违规和非法操作。由于视频回放比文本类审计更加贴近原始操作过程,更能真实揭示运维人员的操作目的和结果,因此受到网络安全管理部门的欢迎。
但实际使用过程中发现,该录屏功能离用户需求仍有相当大差距。当需追踪运维过程时,如果录屏结果超过一定时长,将很难集中精力对录屏结果进行逐帧回放。因此本应作为堡垒机的亮点功能,在实践中难免成为鸡肋。
二、集中数据安全平台可视化,支持对录屏结果的快速检索,保障高效安全运维管理
认识到堡垒机录屏功能的局限性后,首都医科大学附属北京安贞医院(以下简称:安贞医院)信息中心与合作厂商一起对这一问题展开研究。
安贞医院一直非常重视数据安全工作。为防止数据被非法窃取和泄露,医院建设了集中数据安全平台,将系统安全运维、第三方人员安全管控等应用迁移到平台内。运维人员和第三方人员认证后,需先进入集中数据安全平台,通过平台对医院系统进行运维,或开展驻场开发测试等工作。
安贞医院信息技术团队和合作厂商研究后决定,在医院集中数据安全平台中开发可视化安全审计功能,即在平台内对运维人员的操作进行全过程录屏,将录屏结果进行集中存放,并开发基于录屏结果的可视化安全审计检索和追踪功能。这样设计无需在运维终端上部署安全代理,从而简化了安全运维管理结构。
由于运维屏幕显示的内容不仅包含运维人员的输入命令(操作),还包含运维操作的结果,因此将屏幕显示内容作为录屏结果的检索条件,成为理所当然的选择。通过对录屏显示内容的检索,可快速获知运维人员操作过程和操作结果,以及运维人员违规浏览敏感信息等行为。
可视化安全审计和追踪功能上线后,通过安贞医院集中数据安全平台,安全管理人员可以基于用户身份、时间范围和屏幕显示文本等条件,对运维人员操作过程的录屏结果进行快速检索。可视化安全审计中的录屏记录所占用的存储空间小于3MB/每人每分钟,折合一个40TB的磁盘容量可以保存150个人、每人每天8小时,总共180天的操作录屏记录;几十万小时的录屏结果,平均检索时间小于2秒。不仅如此,医院集中数据安全平台还支持堡垒机的其他安全功能,如运维用户身份管理、运维权限管理、口令代填等。
相比基于文本的安全审计功能,可视化安全审计机制在安全管理中更直观、更方便、更准确。当然,文本类审计也有其优势,如可以记录和发现更深层次的安全行为。在实践中,这两种安全审计机制缺一不可,互为补充。
三、可视化安全审计和追踪机制的其他用途
可视化安全审计和追踪机制来源于安全运维管理的需求,但同样适合于其他网络安全和数据安全保护场景,为安全事件溯源及分析、责任认定提供帮助。比如在第三方人员安全管理过程中,可以用来对驻场服务人员的违规操作和违规访问行为进行追踪、查证和告警。
在大数据安全共享过程中,数据提供者希望被共享的数据只能被数据处理模型访问,但不希望被数据处理方的操作人员查看。由于操作人员违规查看共享数据一定会表现在其显示屏幕中,因此可视化安全审计和追踪机制可以用于识别操作人员的查看内容,对违规访问进行告警或阻断,或提供事后追踪证据,真正落实“数据可用不可见”的安全目标。
四、主要实践经验
在可视化安全审计和追踪机制的提出、部署和应用过程中,安贞医院总结出以下一些实践经验:
1.一定要对医院集中数据安全平台的用户群体进行规划,对需要可视化安全审计和追踪的用户数量进行统计,计算可视化安全审计所需要的存储容量,确定是否需要长期保存录屏记录。
2.可视化安全审计对原应用场景(比如运维操作)的性能影响大概在10%,要基于这个性能指标和使用人员的操作体验,对医院集中数据安全平台的硬件配置进行合理估算。
3.可视化安全审计机制在磁盘容量用完后,可以根据预先配置好的安全策略,选择写覆盖最老旧磁盘区域,或转存其他磁盘。
【作者简介】
郭幽燕,研究员,CHIMA委员,PHITA理事,PHISTA网络与数据安全专委会副主任委员,北京网络信息安全创新产业联盟委员会专家,首都医科大学硕士生导师。
电子邮件:1277692955@qq.com;地址:首都医科大学附属北京安贞医院,信息中心,100029,北京市朝阳区安贞路2号。
精彩不容错过!
我们将尽快与您联系!
【责任编辑:晓青】
评论前必须登录!
注册