UMA运维审计系统

    UMA（Unified Maintenance and Audit ）是为运营商、政府、金融、电力、大企业等设计的统一IT核心资源运维管理与安全审计平台，通过对核心业务系统、操作系统、数据库、网络设备等各种IT资源的帐号、认证、授权和审计的集中管理和控制，实现了运维集中接入、集中认证、集中授权、集中审计功能，满足用户IT运维管理和IT内控外审的需求。

一、产品概述

背景

    调查结果表明，在可统计的安全事件中，70%以上都是由于内部人员所为，尤其是管理维护人员的操作，这其中包括了越权访问、误操作、滥用、恶意破坏等等行为。为防止内部人员对的误操作或错误操作行为造成重大损失，就必须建立完善的信息系统安全审计体系，对内部用户的访问行为进行严格审计。

    随着SOX 法案的实施和国内等级保护体系的建设，对企业IT内控的要求也越来越高。对信息系统来说，内控的关键点和难点是对主机、网络、数据库的管理员的操作行为进行审计和控制，由于必须给相应的管理员一定的权限，管理员才能够完成正常的工作，但同时，管理员也可以利用这些权限很轻易的对关键数据、配置进行违规的访问、篡改，如果缺乏必要的维护行为控制和审计措施，那么我们就无法知道管理员、第三方维护人员到底在这些核心服务器里面做了什么，内控也就无法从根本上进行落实。

    对系统内部高权限系统管理人员进行审计，是控制内部风险的一个重要手段，但大型机构的IT系统构成复杂，操作人员众多，如何有效地执行审计工作，是长期困扰各组织信息科技和风险稽核部门的一个重大课题。

    对任何一个组织而言，采用基于计算机的审计技术或工具无疑是实现监管信息化、提升工作绩效的重要途径。但首先需要解决的问题是：组织需要关心哪些类型的审计信息？哪些信息或行为对组织尤为关键？目前通用的审计工具大多从网络层面或服务器日志层面获取较为庞杂的信息，往往会导致关键的管理信息或敏感操作湮没于日常业务数据中，或无法追溯操作行为轨迹、了解操作行为意图，可能影响审计的有效性或效率。

 华为UMA运维审计系统

    基于对IT运维审计的需求，华为集多年运维管理与安全服务的经验，结合行业最佳实践与合规性要求，推出运维审计系统（UMA），UMA运维审计系统是针对运维操作行为进行集中管理（Management）与细粒度审计（Audit）的相结合的管理系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人账号——资源——资源账号”对应关系，从而实现主账号到从账号的对应，实现自然人对资源的统一授权，同时，对授权人员的业务操作行为进行记录、分析、展现，从而实现事前预防、事中监控、违规响应、事后报告，针对于核心资产的运维管理，再现关键行为轨迹，探索操作意图，集全局实时监控与运维操作过程回放等功能特点，有效解决了信息化监管中的一个核心问题。

    UMA 运维审计系统的用户通常拥有重要的业务系统或者网络基础设施，相应地具备如下需求中的部分或者全部：

1、需要保证重要/关键服务器、网络设备的安全；

2、希望对运维人员与核心资产进行集中管理，明确每个人员对核心资产的权限；

3、正在或将要开展内控工作，希望有效地控制操作风险；

4、需要记录或审计加密协议SSH的操作内容；

5、需要进行事后追查，但缺乏数据记录与追查方法。

    UMA运维审计产品的核心价值体现在：完善业务系统的运维体系，满足组织机构内外部合规性要求，主要表现在：

1、结合账号管理、资源管理、单点登录、身份认证、访问授权、操作审计等技术于一体，融合为有效实用的一体化的运维审计解决方案；

2、当出现安全事件后，能根据翔实的审计记录，一步步地追查出攻击者；

3、通过对客户关键信息资产的业务操作行为进行访问控制、避免核心资产损失；

4、核心服务器与网络设备的账号口令定期修改，并通过安全的方式通知安全管理员；

5、核心服务器与网络基础设备的实体内授权，用户登录设备之后的行为细粒度控制；

6、帮助用户加强内外部网络行为监管、满足企业内部控制或者外部政策等合规性要求。

二、关键特性及价值

    UMA运维审计基于“用户→目标设备→资源账号”的权限管理模式提供各项安全功能，主要体现在以下几个方面：

1、集中管理：对所有的自然人以及所有核心服务器、核心网络基础设施及其上面的账号进行统一集中管理与单点登录；

2、身份管理：有效解决传统的共享账号问题，通过自然人账号与资源账号的关联实现运维操作的实名制；

3、访问控制：管理员可自定义访问控制规则，给每个用户分配适当的网络资源；

4、权限控制：通过命令防火墙可进一步把用户的权限控制到命令级别，可有效限制root的操作权限；

5、操作审计：对所有自然人的访问信息，包括输入命令与输出结果进行记录并回放，能根据翔实的审计记录，一步步地追查出攻击者。

    华为UMA运维审计系统的目标是为运维操作提供强有力的监控、审计手段，使其切实满足内控管理中的合规性要求。UMA 可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计，对策略配置、系统维护、内部访问等进行详细的记录，提供细粒度的审计，并支持操作过程的全程回放。UMA 弥补了传统审计系统的不足，将运维审计由事件审计提升为内容审计，并将身份认证、授权、审计有机地结合，保证只有合法用户才能使用其拥有运维权限的关键资源。

    UMA可广泛应用于金融、政府、电信、证券、邮政、税务、海关、交通等安全需求较高的行业。华为UMA运维审计系统具备以下特点及优势：

UMA 支持各种运维环境 

    UMA 支持对常用运维协议TELNET、FTP、SFTP、SSH、RDP（Windows Terminal）、AS400、VNC、Xwindows等进行审计控制。

    UMA操作审计支持各类各种主流操作系统，如Windows、Linux、BSD、AIX、Solaris、HP-UX等；同时也支持各类网络设备，如cisco、huawei路由器、交换机，以及多种安全设备以及各种数据库如ORACLE、SQLSERVER等。

    UMA对于图形操作不仅能够录屏，而且能够对视频进行文本摘要处理，智能识别关键操作信息，方便用户对视频中的关键操作进行搜索和审计，就如百度一样从视频中搜索到关键操作的片段。

    友商通常只能支持部分运维协议和操作系统，如对VNC、X11、KVM审计缺失，覆盖不完整，而且大部分友商不支持AS400这类的小型机等。UMA全面的运维环境的支持，帮助用户使用一套审计系统即可全面覆盖复杂运维场景，减少管理复杂性，降低用户投资，满足合规审计要求。

实现对所有运维过程的控制和记录审计 

    UMA运维内控审计系统能够针对每次操作会话进行记录和控制，详细记录整个操作过程，并以指令和回放文件两种方式对整个会话过程进行记录。对每次管理员维护服务器的操作会话，运维管理内控审计系统能够详细记录会话时间、用户名、源/目标IP、操作指令、操作结果等信息，并形成指令日志及回放文件。同时支持在操作过程中对操作行为的监控和控制。 

    很多友商只支持文本类的操作记录过程，不支持视频的记录，不利于对实时对各种危险操作进行控制，而UMA全面支持这两种模式，提供给客户更全面的运维操作过程，有效的避免恶意运维操作，实现责任定位，确保运维可见可控可查。

    部署UMA运维审计系统，为用户提供唯一的运维接口，同时对运维的过程进行监控和记录，规范了整个运维过程，运维过程的规范，给用户带来巨大的价值和收益。

（一）满足合规性要求，顺利通过相关审计

目前，越来越多的单位面临一种或者几种合规性要求。比如，在美上市的公司就面临SOX法案的合规性要求，政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求等。UMA系统提供了一种独立的审计方案，有助于完善组织的IT内控与审计体系，从而满足各种合规性要求，并且使组织能够顺利通过IT审计。

（二）有效减少核心信息资产的破坏和泄漏

对单位的业务系统来说，真正重要的核心信息资产往往存放在少数几个关键系统上，通过使用UMA系统，能够加强对这些关键系统的访问控制与审计，从而有效地减少核心信息资产的破坏和泄漏。

（三）有效控制运维操作风险，便于事后追查原因与界定责任

一个单位里负责运维的部门通常拥有目标系统或者网络设备的最高权限（掌握root帐号的口令），因而也承担着很高的风险（误操作或者是个别人员的恶意破坏）。由于目标系统不能区别不同人员使用同一个帐号进行维护操作，所以不能界定维护人员的真实身份。UMA系统提供基于角色的访问控制与审计，不但能够有效地控制运维操作风险，还能够有效地区分不同维护人员的身份，便于事后追查原因与界定责任。

（四）实现独立审计与三权分立，完善IT内控机制

从内控的角度来看，IT系统的使用权、管理权与监控权必须分立。在分立的基础上实施内控与审计，有效地控制操作风险（包括业务操作风险与运维操作风险）。UMA系统通过将使用权、管理权和监控权分配给不同的人，实现了权利分立，从而完善IT内控机制。