XXXX年3月13日TA、TD培训文档_TOPSEC(共35张)

1、内容行为审计系统TopAudit-Watch主要内容 TA-W产品简介产品简介 数据处理过程数据处理过程 主要功能主要功能 配置与管理配置与管理TA-W产品简介产品需求 客户通常需要对网络行为的内容进行深入分析 违规操作发现、各种应用流量、服务器负载情况、客户机上网情况统计分析审计系统与行为控制产品的区别 网络审计系统不影响用户现有网络与应用 网络审计系统提供更为高级的分析能力 网络审计系统可用于后期取证，对网络潜在威胁者予以威慑 网络审计系统的监控是无法逃避的 行为控制产品只能面向小型网络实现原理 根据跟踪检测、协议还原技术开发 旁路、透明接入，获取并还原通讯数据 提供强大的内容审计功能 网

2、络通信的监测、审查、调查取证InternetInternet内网用户内网用户邮件邮件服务器服务器源镜像区域源镜像区域核心交换机核心交换机TA-WWeb管理界面管理界面监听口监听口管理口管理口内网区域内网区域ftp服务器服务器数据库数据库服务器服务器TA-W3.0 特点 系统集审计服务器、审计探针于一体，内置存储。 百兆设备内置500G存储 千兆设备内置1T存储 支持网络行为审计 支持数据库行为审计 详细的流量统计TA-W3.0 特点 线速抓包、高速审计查询、快速报表 B/S管理界面，支持https加密，支持串口、SSH下的CLI管理 完善的用户管理、支持CA证书认证应用环境 政府、军队机关的网

3、络管理部门 公安、保密、司法等国家授权的网络安全监察部门 金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心 大中型企业网络管理中心 数据处理过程审计事件发现 通过交换机镜像获取数据 基于IP地址与端口、数据包内容的协议协议识别 审计事件记录内容包括事件发生时间、源目的IP、源目的MAC、源目的端口、VLAN ID与各个协议的详细信息 支持IP地址与人员映射 支持IP地址与IP归属地映射数据捕获数据捕获流量统计流量统计HTTP(WebMail)SMTPPOP3FTPP2PMSNQQTELNETSQL SERVERORACLEDB2SYBASEMYSQLINFORMIX接口流量统

4、计接口流量统计数据过滤数据过滤协议流量统计协议流量统计协议识别协议识别统计各应用协议的数据流量，统计各应用协议的数据流量，应用协议流量策略中配置了要应用协议流量策略中配置了要统计的协议名称统计的协议名称应用协议流量统计应用协议流量统计数据捕获数据捕获流量统计流量统计解析还原解析还原接口流量统计接口流量统计数据过滤数据过滤协议流量统计协议流量统计协议识别协议识别应用协议流量统计应用协议流量统计编码转换编码转换事件获取事件获取文件还原文件还原数据库表名数据库表名字段名字段名数据库规则数据库规则Ip用户名映射用户名映射数据捕获数据捕获流量统计流量统计解析还原解析还原事件输出事件输出数据呈现数据呈现编

5、码转换编码转换事件解析事件解析文件还原文件还原数据库表名数据库表名字段名字段名数据库规则数据库规则Ip用户名映射用户名映射事件入库事件入库实时监视数据实时监视数据统计分析数据统计分析数据安全审计安全审计实时监视实时监视统计分析统计分析流量监控流量监控流量统计数据流量统计数据主要功能安全审计安全审计实时监视实时监视流量统计流量统计审计分析审计分析统计报表统计报表审计策略审计策略配置管理配置管理系统日志（系统日志（Web、CLI）报报 警警联联 动动磁盘空间管理磁盘空间管理备份还原备份还原计划任务计划任务用户管理用户管理访问控制访问控制主要功能模块主要功能模块数据包捕获处理数据包捕获处理数据管理数

6、据管理实时监视 界面显示最新的n条事件（n的取值范围1-50） 支持手动刷新、定时刷新 支持源、目的地址过滤 页面显示列可配置实时监控界面安全审计 根据审计条件从数据库中查询 可以灵活配置审计条件 数据分批查询，快速返回查询结果 审计详情还原协议内容 审计结果保存功能可将查询结果写入pdf文件，打包导出 支持网络协议字段和内容的关键字审计安全审计流量监控 接口、协议、应用流量统计 监听域内主机流量、忙闲时段分析 接口负载分析 接口连接数分析 Vlan信息 丰富的图表、flash，形象的展示统计结果流量监控统计报表 应用协议报表、数据库报表、流量报表 灵活的报表条件 报表10秒内未生成会转入后台

7、执行，完成后可在统计报表列表中下载 目前只支持pdf格式，数据量大时生成报表的时间较长，报表内容还不够丰富数据库审计分析 支持历史与当前关联分析 支持统计与明细关联分析 支持统计与排名关联分析 支持统计与主机关联分析数据库审计分析用户管理 角色管理 提供对所有系统功能细粒度的权限控制 用户组管理 拥有角色，实现对一组用户的统一管理 用户 用户优先继承自身角色的权限，当自身角色权限未指定时，继承所在用户组的角色权限 用户登录安全管理 控制允许用户错误登录的次数，实现对错误登录用户的锁定和解锁功能配置与管理配置 安装完成后，需在CLI中配置管理口IP，系统会自动添加一条路由，默认监听口是eth1，

8、之后的配置可在界面完成 在【系统管理-网络管理】界面中可以进行监听口和路由的配置 在策略管理模块完成其他配置 策略管理 ：协议识别的策略 流量策略 ：流量监视的IP范围 应用协议流量策略：进行流量监视的应用协议 ftpdata 、bittorrent、edonkey需手动添加 协议匹配：BT和电驴匹配开关 Webmail：WebMail模板配置 审计级别：控制网络协议的还原程度，数据库协议部分字段还原配置过程管理功能管理功能主要集中在系统管理模块 系统状态：监视磁盘空间、CPU、内存等使用情况 网络配置：接口、路由相关配置 服务器配置：设备名、DNS、FTP、SMTP、防火墙服务器配置 联动规则配置：防火墙联动配置 访问规则配置：配置可访问设备的地址范围 报警处理规则配置：根据事件危险级别进行报警的相关配置 服务管理：系统主要服务的管理 数据备份与还原：数据库备份和还原功能 磁盘空间管理策略：依据磁盘利用率触发的管理操作 系统配置管理：配置保存、导入、导出、恢复，设备重启、关机 系统计划任务：配置定期自动执