信息安全等保要求下广播电视IT系统KVM与运维审计结合的应用
- 来源:传播与制作
- 关键字:电视台,机房建设
- 发布时间:2015-08-17 09:42
【摘要】KVM是各领域IT机房建设中不可或缺的组成部分,是系统工作人员用于运维的主要设备。根据信息系统安全等级保护的要求,通常广电系统是依靠安全类设备进行对外攻击防护,依靠运维审计对内部操作进行回溯。审计内容需要做到对系统内设备操作记录的全覆盖,以便事后查看。审计的目的除了能够纠正误操作以外,还可以对一些恶意操作进行追责。而广电IT系统中常用的几类KVM设备都存在着一定程度的安全漏洞,而单独依靠运维审计也存在着审计盲区。本文提出了一个基于安全等保要求,广电IT系统中将KVM Over IP、运维审计与跳转机相结合的应用方案,可以从技术角度规避恶意违规操作,并且实现运维过程中的审计范围全覆盖。
【关键词】机架式KVM、矩阵式KVM、KVM Over IP、安全等级保护、运维审计
目前大多数电视台都会建设以服务器、工作站、虚拟机、数据库等基础资源为主的IT数据中心、存储中心机房,用以支撑台内的节目生产管理、各制作岛、媒资、播出、总控等诸多应用业务。大多数IT机房建设方案都会采用KVM(Keyboard Video Mouse)多电脑切换器,目的是利用少数公共的鼠标、键盘和显示器实现操控多台终端主机界面,这样可以减少机房布线的复杂度、节省机柜空间、提高系统的可管理性、提高系统运维人员的工作效率。
机架式KVM、矩阵式KVM与KVM over IP是广电IT系统常用的几种KVM设备,随着机房建设的规模日益庞大,运行维护的难度逐步增加以及信息系统安全等级保护的要求越来越高,这几类KVM在日常使用中都有各自的优缺点。
一.KVM的应用
1.机架式KVM
机架式KVM是IT机房建设中应用最广泛的设备之一,可以实现用一套键盘、鼠标、显示器控制更多主机的目的。机架式KVM价格便宜、通用性强、安装简便、易于规划、可以串接纵向扩展等特点使得它至今仍是大多数中小型IT机房建设的首选。
虽然机架式KVM的市场占有率很高,但是机架式KVM在实际应用中存在着一些缺点:例如KVM设备不利于管理,连接主机需要使用专用连接线缆,且线缆的长度有限,对主机的分辨率有要求等问题使得它在一些特殊应用环境下的缺陷需要通过其他方式来弥补。
2.矩阵式KVM
矩阵式KVM是基于TCP/IP网络架构的专业数据中心管理设备,它可以通过部署多个控制终端实现远程管控多台主机的功能。远程控制终端的数量可根据需求弹性扩充。矩阵式KVM相比较机架式KVM来说,功能性上有所增强,矩阵式KVM通过转换模块将KVM模拟信号转换为IP信号进行传输,增强了信号的安全性,同时还可以将信号进行放大,使得KVM到主机间的连接距离可扩展至40米。矩阵式KVM使用以太网线使得布线安装变得更加灵活,主机连接的密度也相对较高,使用远程控制终端可以将操作人员与KVM之间的操作距离延伸至300米,这样可以实现机房内设备的远距离多点分散控制,避免了管理人员来回在机房内不同机柜之间进行操作,减少机房出入次数,提高了系统运维效率与主机的安全性。
矩阵式KVM远程控制终端便捷的主机访问方式改变了机架式KVM的操作模式,使得运维人员可以在机房外完成大多数的操作,但由于矩阵式KVM在主机端和远程控制接收端传输的都是模拟信号,只是信号传输介质发生了变化,这与机架式KVM在工作原理上是一样的。
3.KVMOver IP
KVM Over IP是将主机的键盘、鼠标和显示卡的输出通过转换模块进行数字化,然后进行加密与压缩并使用IP技术传输KVM数据的一种技术。KVM Over IP传输的信号是加密的数字信号,不易被破解,这是与机架式KVM、矩阵式KVM一个不同的地方。KVM Over IP在访问时不需要像矩阵式KVM一样的远程控制端,它是基于B/S架构进行管理的,Web浏览器是访问KVM Over IP最主要的应用程序。通过设定KVM Over IP以太网口的IP地址,只要网络可达,便可实现对KVM over IP的管理以及其连接的主机进行访问,因此控制端通过KVM over IP连接主机,在距离上不受限制。
与机架式KVM、矩阵式KVM另一个区别是KVM Over IP有集中管理平台,不仅能管理域内多台同型号的KVM,方便系统的扩展;同时还可实现对主机的访问过程进行录屏,录屏的数据采用了图像变化采集方式,从进入主机的操作界面时开始记录,在没有操作的时候不记录,直到退出主机的操作界面后停止。由于记录的过程并不基于主机的操作系统,只与主机的显示卡输出有关。因此,KVM over IP可以对主机的启动过程、BIOS层面操作以及蓝屏故障信息进行记录。而且KVM over IP具有人员三权分立管理功能,这方便对运维人员的访问权限和资产进行管理。
二.信息系统安全等级保护要求下审计方式的考虑根据《广播电视相关信息系统安全等级保护基本要求》规定,信息系统应该对系统内的网络设备、重要终端、系统中的接口服务器、Web服务器、应用服务器、数据库服务器等重要服务器的操作系统和数据库进行审计,审计的颗粒度为用户级,因此在信息系统建设之初就应尽量考虑到各个操作环节的审计方式及覆盖范围。
我们以四级系统为例列举系统的安全审计要求,其中主要包括:
(1)系统应能提供覆盖到每个用户的审计功能;
(2)审计内容应包括用户登录、修改配置、核心业务操作等重要行为,以及系统资源的异常使用等;
(3)审计记录至少应包括事件的日期和时间、事件类型、客户端IP地址、描述和结果等;
(4)应保证无法单独中断审计进程;
(5)提供安全审计记录存储与保护等功能,审计记录应无法被删除、修改或覆盖等;
(6)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能;
(7)应为安全管理中心提供集中管理的接口。
为了满足信息系统安全等级保护中对安全审计的要求,广电IT系统引入了运维审计。
1.什么是运维审计
运维审计起源于跳转机。而跳转机原本是一台通用服务器,系统运维人员通常通过跳转机远程登录到系统内的主机来进行集中化管理。然而跳转机没有审计功能,对误操作与违规操作无法进行回溯追查,这些不足使得运维审计应运而生。运维审计可以管理系统内以RDP(Remote Desktop Protocol)、VNC(Virtual Network Computer)、SSH(Secure Shell)、Telnet等方式登陆的资产设备,操作的功能与跳转机类似。运维审计可以根据不同协议类型访问的设备采用不同的记录方式记录操作全过程,例如以RDP、VNC方式访问的设备用录屏的方式进行记录,以SSH和Telnet方式访问的设备以记录命令行及输出结果的方式进行记录等。运维审计记录的内容需满足安全等级保护的要求。
运维审计管理的理念是:
(1)通过控制,从源头上解决对主机的操作问题;
(2)有时主机通用的账号无法确认操作人员的身份,通过运维审计的账号管理来实现操作人员的定位;
(3)审计能够帮助管理员找出操作中产生的问题。
运维审计也具有人员三权分立管理功能,运维审计设立用户、管理员及审计员三种角色,对于操作记录的过程只有审计员才有权回放,用户及管理员的操作都会详细记录在案。运维审计系统支持基于B/S架构的单点登录系统,单点登录系统采用与访问授权相结合方式进行,用户登录运维审计系统后,只能够访问已获得授权的设备。运维人员无需记忆繁多的目标服务器IP、账号、密码等信息,只需要记住自己登陆运维审计的账号、密码即可,这能够有效地提高运维人员的工作效率。
2.单独使用KVM时的审计漏洞
机架式KVM与矩阵式KVM无审计功能,运维人员对主机所做的操作都没有记录,如果遇到操作人员的非法操作或误操作所引发的问题,则不能回溯之前的操作过程,无法提供参考依据。更具风险的是运维人员可以通过KVM去直接操作主机,从而绕过运维审计,这样就无法避免一些人员对主机的恶意操作及无痕操作。对于登录账号为管理员的主机,机架式KVM和矩阵式KVM均无法对操作人员的身份进行判别并管理,这对于出现问题后续追查相关责任人具有一定的困难;我们可以通过增加一些机房行为监控来记录人员的操作,但是监控主机操作界面的效果还是很有限的。
如果应用KVM over IP的集中管理平台,建立应用KVM over IP的审计系统,可以解决机架式KVM、矩阵式KVM无审计的问题。然而在广电IT系统当中还有大量的网络、安全等设备,像播出、主控系统中还包含大量的专业的视音频处理设备、存储设备等,有些设备的访问方式采用的是B/S或C/S架构,需要通过客户端的Web浏览器或安装客户端软件来进行管理,有些设备需要通过串口连接进行访问。针对这些特殊的设备,KVM Over IP不能访问,无法实现对系统操作记录的全覆盖。
3.单独使用运维审计时的审计漏洞
运维审计登录主机需要依赖于目标主机操作系统的正常运行,当主机操作系统出现故障时,运维审计便无法访问主机,只有在主机操作系统恢复正常后才能继续登录操作。而在播出、主控及数据中心系统当中有很多设备是基于Windows和Linux等操作系统平台开发的专业设备,在设备启动的过程中,需要关注很多信息,尤其是由于设备硬件故障导致无法正常启动时BIOS层的信息,这对于运维人员排查故障来说尤为重要。如因硬件故障导致无法启动至操作系统,单独依靠运维审计则无法对设备进行维护。
与KVM over IP一样,运维审计对于访问方式采用的是B/S、C/S架构和串口连接的设备,也无法进行管理,通常对于上述这几类设备的操作是用便携式PC和设备之间用网线或串口直连,再使用相对应的访问工具软件来完成后续操作。然而这样直连的方式也不符合信息安全等级保护要求中的规定:系统应启用访问控制功能,依据安全策略控制用户对资源的访问。而便携式PC与设备直连,绕开了网络中的访问控制和审计设备,同时还存在传播病毒的风险,出于对系统安全的考虑,不应采用便携式PC来进行直连管理。
4.运维审计与KVM并存时审计的问题
当运维审计与KVM并存时,对于B/S、C/S架构及串口访问设备,两者都无法直接访问。对于这类设备的操作会有审计盲区。而KVM与运维审计对主机的访问分别建立了各自的访问路径,对于系统运维人员来说,在主机运行正常的情况下,使用任何一种方式都可以完成对主机的操作。为了避免因运维审计故障而无法访问主机的特殊情况出现,KVM的存在还是很有必要的。但是在KVM与运维审计并存的系统中,两者应用的定位应当有所区别,KVM主要应用于主机上线前的调试以及故障后的应急维护,运维审计应承担对主机的日常操作和审计工作。二者的主要区别是通过运维审计会留下操作痕迹,而有些系统的运维人员担心自己的操作可能会引起主机的故障,影响系统的稳定运行,从而不愿意通过运维审计去做运维,因此更多的选择直接通过KVM来完成对主机的操作。因此需要用技术手段来弥补审计盲区,同时限制对主机的访问方式,避免产生无痕操作。
三.KVM over IP、运维审计与跳转机结合的解决方案
针对上述结合广电特性的IT系统中几类KVM以及运维审计的优势与存在的问题,如何解决各类操作的审计盲区,同时又避免无法追查和不安全连接的操作行为,我们提出了一个将KVM over IP、运维审计与跳转机相结合的解决方法:如图1所示:
我们需要在系统中设立一台Windows操作系统的跳转机,在跳转机上安装Web浏览器、串口通讯软件以及一些C/S架构设备私有的客户端软件等,目的是用跳转机来解决运维审计和KVM Over IP对某些特殊设备无法直接访问的问题,同时将跳转机划入运维审计的资产管理范围,凡是通过跳转机的所有操作,都由运维审计来进行记录。
对于因主机硬件所引起的操作系统启动故障过程的审计,需要对BIOS层信息进行检查的操作,就只能通过KVM来实现,KVM Over IP的录屏功能,可以记录主机的启动过程及BIOS层的信息。而登录KVM Over IP也需要通过跳转机的Web浏览器。这台Windows跳转机,成为解决系统运维审计访问盲点的一个关键环节,从而达到对系统内所有设备操作审计的全覆盖。三者的结合还可以将KVM over IP的集中管理平台省去,不必重复建立两套审计系统,节省成本。
从安全的角度考虑,对运维审计、KVM Over IP以及Windows跳转机的访问应有严格的把控,我们需要通过规章制度来规范日常的操作流程;同时也需要用技术的手段对恶意操作加以防范,其中包括设置网络层的访问控制列表,用以限制系统内设备间通信的IP地址及端口;还可以通过跳转机的操作系统安全设置,限定所能登录的设备IP及用户,必要的情况下可以将跳转机做主机操作系统加固并加入到终端安全管理的范围内来加强管控。
在安全等级保护要求较高的系统,还应设立身份认证系统,给系统使用人员发放个人秘钥,结合双因素认证来防止发生通过登录密码来伪造身份的事情,这样才能做到对主机的每一步操作都可追根溯源。
将KVM over IP、运维审计与跳转机结合实现对操作过程记录的全覆盖的同时,存在另一个问题:跳转机所连接的设备种类较多,运维审计在录制跳转机操作过程时,只能记录是由操作跳转机所发生的动作,并不能够做到将每次操作按照跳转机访问的设备再进一步明确分类,这对于筛选、查询、定位由跳转机所产生的审计内容增加了一些难度。
目前运维审计还不具备串口访问、Web浏览器功能,若运维审计能够将虚拟机集成在产品中,通过虚拟机来完成跳转机的功能,则可以省去跳转机这一环节,对于简化系统结构,减少故障点而言,是很有意义的。
四.总结
针对文中列举的几类常用的KVM在机房使用过程中的优缺点,并结合广电信息系统安全等级保护审计的要求,本文提出了KVM Over IP、运维审计与跳转机结合的方案,可以实现系统内各类操作审计的全覆盖,对于信息系统的安全运行提供了更好的保障。同时信息系统的安全防护措施除了用文中提到的技术手段来实现以外,制度的建设也很重要。KVM Over IP与运维审计相结合的方案从成本上相对比较高一些,但是对于安全等级保护要求较高的信息系统而言,通过增加一些投入而解决来自系统内部的一些安全隐患也是值得的,我们也期待着有新产品可以实现对系统内各类设备的操作及审计实现全面覆盖,简化系统结构,减少故障点,提高系统整体稳定性。
参考文献:
《广播电视相关信息系统安全等级保护基本要求》
文/王汗青·中央电视台
关注读览天下微信,
100万篇深度好文,
等你来看……
