過去的資訊安全防護偏重在一般使用者的管控,這幾年以來,對於握有過高使用權限帳號的使用者,許多企業也意識到必須設法納入監管,於是有些公司開始導入針對特權使用者的專屬管理系統,而這些IT系統包含好幾種類型,有的協助保護帳號密碼,有的則會全程記錄這些使用者登入電腦或各種應用系統期間的操作歷程,漢領國際所代理的ObserveIT安全系統即屬於後者。

不過,ObserveIT的長處在於全程監控,可協助事後稽核,對於事前的預防,例如驗證使用者身分與授予系統存取權限的流程管理作業,較力有未逮。漢領後來基於ObserveIT系統開發出的加值方案——OITicket工單流程系統,開始提供更多關於主動管理特權使用者的功能。

OITicket原本是為了進一步協助企業用戶的進階應用而生,它提供了一套制式的工單核准流程,企業能依照資安政策與帳號權限來訂定,如此一來,可監控與管理外部協力廠商遠端登入自家系統,以及對方進行維護作業的歷程。

使用者登入OITicket系統之後,可看到目前負責工單進行狀態,在左側功能主選單,可點選新增工單的連結以提出申請。

可透過工單流程申請與審批的作業,管制能登入電腦或伺服器的管理者只能在特定時間內進行工作

這套系統提供的作業流程很簡單,想要存取公司特定IT系統的使用者,必須先登入OITicket以申請新工單。接著,OITicket會寄出電子郵件通知擔任主管角色的使用者,當主管點選郵件中的系統網址、登入後,即可執行裁決。當他確認該張工單的確可行,可按下核准鍵,反之,則按下否決鍵,此時,OITicket會自動寄出電子郵件,通知工單申請之後的許可與否。

若通過核准程序,使用者即可開啟遠端登入連線。而在漢領示範的整體防護解決方案設計上,特別搭配了該公司所代理的遠端桌面服務解決方案Ericom,作為例子展示。在該環境中,使用者可連到指定的入口網站,以自己在OITicket上的帳號密碼登入,並點選開放的伺服器項目之後,接著會跳出視窗,要求你輸入當初申請的工單編號,若驗證無誤,即可順利遠端存取指定的電腦或伺服器。

除了適用於遠端桌面集中控管方案的環境,若使用者透過VPN搭配RDP協定的程式遠端登入,或是以直接登入本機,只要該臺電腦受到OITicket監控,登入的使用者不只是要通過帳號、密碼的身分驗證程序,接著還必須輸入先前申請到的工單編號,確認該工作是由這位使用者執行,以及是在許可時間內後,才能真正得到授權,進入該臺電腦的桌面。

這麼一來,就能強制特權帳號工單申請人,一定要依照先前核准的工單編號登入所申請執行工作的主機,而且只能連到該臺主機,無法擅自連至其他未經主管授權(核准工單)的主機上。

等到使用者完成工作或遇問題無法繼續而打算終止,也要登入OITicket系統,回覆該份作業進行的狀態。在對應的工單項目,他可以按下「已完成」鍵,通知主管工作已順利結束,或者按下「已終止」鍵,告訴主管工作臨時取消。

當使用者完成工單上要求的工作後,需重新回到OITicket系統上,填寫狀態,在此頁面,也可調閱自己操作過程中受到ObserveIT側錄的畫面連結。

整合操作畫面側錄與調閱功能

這個頁面同時提供了工作階段、工作階段內容、異動歷程、展延紀錄、註記等分頁,值得注意的是,在工作階段、工作階段內容這兩個分頁上,使用者或主管都可以點選「側錄畫面」這一欄,即可開啟ObserveIT系統的入口網頁介面,驗證使用者身分與操作的電腦無誤後,即可檢視該名使用者在受控電腦執行的各種動作歷程。

在那些顯示為正在進行狀態的工單項目下,也特別提供了一個「申請展延」的超連結,可增加流程進行的彈性。顧名思義,使用者可藉此向主管提出作業時間延長的申請流程;同樣地,主管也會收到對應的電子郵件,提醒有人提出工單展延的申請,此時,可打開該份工單項目上,接著點選當中的「展延紀錄」分頁,即可看到對方申請的時間、原因,以滑鼠點入後,即跳出展延申請的處理畫面,主管可按下否決鍵,或者重新選定作業截止的時間期限,再按下同意鍵。

進行工作時,若發生無法如期完成、需延期的狀況,使用者可在OITicket的網頁介面上,申請展延,之後這個申請會由主管來決定,決定同意或退回其申請。

值得注意的是,目前這些受控端環境,還有一些先決條件要注意——那就是這些電腦或伺服器的作業系統,需為Windows或Windows Server,而且必須預先安裝ObserveIT的代理程式、納入ObserveIT管理。未來,漢領將會針對Unix或Linux系統,提供相關支援。這支代理程式會透過Web Services的方式,與後臺溝通,也會對應到ObserveIT和OITicket的資料庫系統。

提供用戶自定部分項目的彈性

由於不同企業的作業方式與需求有異,OITicket在自身系統管理功能頁面當中,也提供了一些針對整個企業需求而須自行調整的設定,例如能針對工作項目執行新增、刪除與更名,也可以設定工單編號的格式,像是調整6位數流水號的前置字元。

在OITicket的系統管理設定裡面,不只是設定系統的網站位址、資料庫、AD與郵件通知,用戶可以修改工單編號的格式。

從這裡的管理設定,也可以發現OITicket的部分設定,相當仰賴Windows Active Directory的整合,像是能登入該系統提出申請或審核流程的使用者帳號、開放讓其他人登入操作的電腦或伺服器,都是來自於此,無法從這裡新增、刪除。

除了全域設定,OITicket管理者還可以設定自動發出即時警訊功能,可透過預先設定的規則,一旦出現符合規則條件的情況,就會立即通知負責監督該工作的人員,這裡可以設定的條件,包括處理程序名稱、應用程式、視窗標題、執行命令、用戶端 IP位址,以及警示時段。

產品資訊

●原廠:漢領國際(02)8228-6983

●建議售價:廠商未提供

●主要伺服器元件:網站伺服器、應用伺服器、OITicket

●主要伺服器硬體需求:2顆Xeon四核心處理器、8GB記憶體、100GB硬碟空間、Windows Server 2008 R2

●資料庫伺服器元件:ObserveIT DB Server、OITicket DB

●資料庫伺服器系統需求:SQL Server 2008標準版以上、Windows Server 2008 R2


Advertisement

更多 iThome相關內容