冰之眼安全审计系统在企业中的应用(共46页).ppt

1、 2010 绿盟科技冰之眼安全审计系统日常使用、配置相关审计系统SAS常见维护4审计系统SAS上线配置2审计系统SAS简介1审计策略配置3SAS 产品简介本资料来源国家颁布的安全等级保护技术要求，在确立为第二级（指导保护级）以及以上级的信息系统中必须建立并保存下面的各种访问日志明确要求互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态，监测互联网安全事件 在美国上市公司必须遵循的“萨班斯(SOX)法案” 中要求对企业内部网络信息系统进行评估，其中涉及对业务系统操作、数据库访问等业务行为的审计面临的主要问题等级保护萨班斯法案公安部82号令绿盟科技安全审计产品功能示意部署示意产

2、品架构网络引擎安全中心/WEB控制台升级站点产品上线配置冰之眼SAS配置-Web登录端口默认的IP地址为192.168.端口号.1/24Web登录：（默认用户/密码：webadmin/webadmin)冰之眼SAS配置-导入证书证书（License）控制系统工作模式控制有效工作口数控制正常升级期限导入解压证书文件导入sensor文件夹中文件即可按照提示操作(重启引擎)，生效配置设备管理地址修改对应接口的IP即可对应安全区为【带外管理】配置管理地址对应的网关（可省略）配置监听口的安全区对应安全区为【监听】冰之眼SAS配置-配置网络接口例如上图中ETH1为审计数据口，ETH0为设备管理口冰之眼SA

3、S配置-系统控制策略配置生效网络配置更改生效通过系统控制，将配置更改生效应用配置：策略配置生效重启引擎：网络接口配置生效，有瞬断现象安全中心：设备统一管理+日志分析安全中心的安装确认没有安装IIS、apache 和postgresql 应用服务，如果已安装必须先卸载或者进行特殊配置安装的硬盘分区格式必须是NTFS双击setup.exe文件进行安装安装完毕可以通过双击桌面图标和浏览器远程访问（地址）2种方式，用账号admin/admin登录冰之眼SAS配置-安全中心安全中心配置：冰之眼管理添加需要管理的SAS引擎引擎配置安全中心地址，完成数据日志发送本机地址：SAS的管理地址主安全中心地址：安全

4、中心服务器地址一号安全中心地址：安全中心服务器地址冰之眼SAS配置-管理配置小结网络接口分配(如：eth0管理，eth2 监听)探测器的安装：浏览器进行初始配置登录：webadmin/webadminsensor证书导入：系统-证书管理网络配置：网络-接口接口IP地址改变添加路由 （探测器与控制台不在一个子网；起三层模式）网络配置：系统配置-安全中心连接保存、重起引擎安全中心的安装确认没有安装IIS、apache 和postgresql 应用服务，如果已安装必须先卸载或者进行特殊配置安装的硬盘分区格式必须是NTFSadmin/admin登录，添加需管理的探测器审计策略配置图示策略完全基于对象组

5、成配置要点内容审计策略的核心是审计对象审计对象聚焦于您的关注点数据库审计上网行为审计网上应用审计服务器操作审计.审计对象的核心是关键字关键字越精确，审计效果越好存在部分审计对象，基于规则，如视频/P2P系统审计对象自定义审计/审计组审计策略通过对审计对象的组合实现不同的审计要求审计对象实现上网行为审计网站访问审计HTTP_访问普通站点HTTP_访问特定站点网页内容审计HTTP_搜索引擎提交关键字HTTP_访问页面包含特定关键字HTTP_论坛发贴子包含特定关键字TELNET_论坛发贴子包含特定关键字信息泄漏审计邮件审计SMTP_邮件发送POP3_邮件接收WEBMAIL_邮件发送审计的附件包括wo

6、rd/pdf/文本文件即时通信工具审计MSN_发送/接收消息QQ_发送/接收消息文件传输审计HTTP_文件上传、下载FTP_文件传输数据库审计典型数据库审计策略如下：包含多种操作命令审计业务操作审计默认对FTP/TELNET 操作进行审计策略包含审计对象如下所示：业务操作命令审计其他审计要求：资源滥用对使用网络的行为进行审计ANY_在线视频ANY_在线游戏ANY_IM聊天ANY_股票软件关键字关键字的类型常规关键字正则表达式：regex_16进制关键字：hex_关键字的匹配原则关键字的设置关键字字段关键字列表文件高级功能：协议还原系统支持对若干重要对象提供协议还原功能，支持的对象包括：例子1

7、例子2实时论坛发帖记录发帖内容全面还原协议还原配置方法在内容审计规则上配置协议还原审计对象支持协议还原时才会出现相关选项组对象与多选对象不支持协议还原还原信息查看方法Web界面在事件报表中进行查看带有还原信息的事件以粗体显示事件摘要中包含还原文件的链接还原信息查看方法安全中心在日志分析中进行查看在系统-系统设置-协议还原文件接收设置 可以进行内容管理事件协议还原文件的接收设置，包括帐号、密码和协议还原文件的存放目录。还原信息查看方法还原文件的格式HTTP协议还原文件为html格式可以直接在浏览器中查看SMTP&POP3协议还原文件为eml格式可以保存到本地后双击查看Telnet&FTP协议还原文件为txt格式可以直接在浏览器中查看还原信息同步还原信息通过FTP同步到安全中心需要在引擎上配置同步信息服务器地址用户名密码同步时间需要在安全中心上配置FTP服务器同步用户的根目录需设置到安全中心的安装目录常见维护安全中心之 日志分析 日志查询 报表 日志维护日志分析安全中心之： 日志分析 日志查询 报表 日志维护日志分析安全中心之： 日志分析 日志查询 报表 日志维护 备份 恢复 清除 自动备份日志分析升级相关设备升级访问，即可获取最新的升级文