SecFox-NBA网络行为审计系统(业务审计型)v2.5介绍(精华版)

1、SecFox-NBA网络行为审计系统(业务审计型)v2.5介绍(精华版)SecFox-NBA网络行为审计系统(业务审计型)v2.5介绍(精华版) 用户面临的挑战 系统特点 系统简介 产品价值和优势 网御神州SecFox安全管理体系及其解决方案目录 几个故事：高科技犯罪 某移动公司的神州行充值卡盗用事件 美国TJX公司信用卡信息泄漏事件 交通违章信息非法抹除事件 非法窃取公司财务数据库重要数据，CRM系统的重要客户资料 医院HIS系统医疗信息、病患信息泄漏事件当前面临的挑战案例：某移动公司的神州行充值卡盗用事件案例：美国TJX公司信用卡信息泄漏事件案例：交通违章信息内部违规篡改对于非法连入内网的

2、计算机的直接入侵和内部人员利用合法权限进行的违规操作，没有任何防范措施。 启示： 内部员工犯罪，非法获取、修改数据库中的重要数据 外包人员犯罪，利用职务之便留下后门修改和伪造数据 黑客攻击，窃取核心机密当前面临的挑战当前面临的挑战信息系统安全等级化保护基本要求信息系统安全等级化保护基本要求二级以上二级以上小节小节企业内部控制基本规范企业内部控制基本规范第第41条条银行业信息科技风险管理指引银行业信息科技风险管理指引第第25、26、27条条证券公司内部控制指引证券公司内部控制指引第一百一十七条第一百一十七条互联网安全保护技术措施规定互联网安全保护技术措施规定第八条第八条萨班斯（萨班斯（SOX）法

3、案）法案第第404款款国家和行业法律法规都有安全审计的要求！国家和行业法律法规都有安全审计的要求！当前面临的挑战：刑法第七修正案 全国人大常委会在202X年2月28日通过了刑法修正案(七)的表决，并且从颁布之日起实施。刑法修正案(七)第二百五十三条规定： 国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。 窃取、收买或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。 单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人

4、员和其他直接责任人员，依照各相应条款的规定处罚。主管主管: :我该怎么办我该怎么办? ? 业务系统缺乏必要的数据安全保护，传统安全设备力不从心 业务系统信息泄漏隐患严重 审计成本居高不下，审计效率难以提升 国家法规(刑法第七修正案)、行业规定(内控)的要求当前面临的挑战SecFox-NBA!我们真正需要的是?面向业务系统的安全审计面向业务系统的安全审计提供容易使用且单一管理控制台能够对全提供容易使用且单一管理控制台能够对全网的安全状况进行审计网的安全状况进行审计异常和违规行为追踪异常和违规行为追踪提供集中化监控、审计、告警、分析及报提供集中化监控、审计、告警、分析及报表管理功能表管理功能提供可

5、视化的审计手段提供可视化的审计手段仅需投入少量资源可以得到最大效益仅需投入少量资源可以得到最大效益符合国家和行业的审计要求符合国家和行业的审计要求 用户面临的挑战 系统特点 系统简介 产品价值和优势 成功案例 网御神州SecFox安全管理体系及其解决方案目录 旁路部署，对网络和业务系统无任何影响 全方位的数据库审计 数据库操作实时监控、过程回放 敏感信息的屏蔽，帐号、数据表资源转换 内置数据库防攻击策略 快速响应和跨设备协同防御 事后分析、调查取证 面向业务的安全审计 安全审计报表报告 出具合规审计报表报告系统特点（帮助用户解决什么问题？）旁路部署共享共享HubHub端口镜像端口镜像TAPTA

6、P分接分接旁路部署、即插即用，对业务网络没旁路部署、即插即用，对业务网络没有任何影响有任何影响高适用高适用数据库审计：审计各种数据库系统运行平台202X/202XOracle 8/9/10 DB2 7/8/9MySQL 国产国产数据数据库库操作行为操作行为内容和描述内容和描述用户行为用户行为数据库用户的登录、注销数据库用户的登录、注销数 据 定 义 语 言数 据 定 义 语 言（DDL）操作）操作CREATE，ALTER，DROP等创建、修改或者删除等创建、修改或者删除数据库对象（表、索引、视图、存储过程、触发器、数据库对象（表、索引、视图、存储过程、触发器、域，等等）的域，等等）的SQL指令

7、指令数 据 操 作 语 言数 据 操 作 语 言（DML）操作）操作SELECT，DELETE，UPDATE，INSERT等用于检等用于检索或者修改数据的索或者修改数据的SQL指令指令数 据 控 制 语 言数 据 控 制 语 言（DCL）操作）操作GRANT，REVOKE等定义数据库用户的权限的等定义数据库用户的权限的SQL指令指令其它操作其它操作包括包括EXECUTE、COMMIT、ROLLBACK等事务操等事务操作指令作指令细粒度细粒度数据库审计：审计各种操作类型数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参

8、数调用参数，任何细小改动都，任何细小改动都“难逃法网难逃法网”。 数据库服务器全方位全方位数据库审计：审计各种访问方式SQL*PlusPL/SQLODBC/JDBCWEB应用客户端程序OLEDB/ADO本地操作企业管理控制台TOADOracle操作日志TNSTNSFTP/TELNETFTP/TELNET可视化可视化数据库审计：多种可视化的审计手段审计首页审计首页智能监控频道可以自定义智能监控频道可以自定义用户行为分析图用户行为分析图数据库审计 审计VNC、Telnet、网上邻居和定制的主机协议的登录、注销和一般操作等行为 审计FTP操作行为，包括登录、注销，以及访问和上传/下载的目录及其文件名

9、主机审计主机FTPTELNETVNC网上邻居网上邻居主机审计 审计HTTP协议 审计SMTP、POP3协议应用审计应用系统（WEB服务器、邮件服务器）HTTPSMTP/POP3 基于会话的行为分析技术，对当前网络中所有访问者进行基于时间的审查 真正做到4W1H： 对“谁、什么时间段内、对什么（数据）、进行了哪些操作、结果如何”的全程审计 基于时间的操作回放数据库操作实时监控、过程回放 SecFox-NBA（业务审计型）支持敏感信息的屏蔽，防止审计人员看到不归他管的敏感数据；当用户所属角色没有敏感信息查看的权限时，则该用户在查看事件明细时，将无法查看【操作内容】、【返回信息】、【原始消息】三个可

10、能包含敏感内容的字段。敏感信息的屏蔽语句转换 内置典型防攻击策略 SQL insert 注入攻击 SQL exec 注入攻击 SQL update 注入攻击 IBM DB2数据库xmlquery缓冲区溢出尝试 Oracle安全备份命令exec_qr注入攻击 Oracle BEA WebLogic Apache连接器HTTP版本拒绝服务攻击 Oracle安全备份POST exec_qr注入攻击 Oracle安全备份msgid 0 x901用户名字段缓冲区溢出尝试 .数据库和网络异常行为检测实时告警、应急响应、设备联动可以与各种第三方的网络设备、安全设备进行策略联动，形成管理的闭环可以与各种第三方

11、的网络设备、安全设备进行策略联动，形成管理的闭环丰富的响应方式响应方式响应方式说明说明设置告警属性设置告警属性设置通过规则引擎生成的关联事件的告警属性设置通过规则引擎生成的关联事件的告警属性运行参数应用程序脚本运行参数应用程序脚本运行用户指定的某个程序的运行用户指定的某个程序的CLICLI脚本，并能够将告警脚本，并能够将告警属性作为参数传递给属性作为参数传递给CLICLI程序程序设备联动设备联动自动执行一组针对第三方网络设备或者安全设备的联自动执行一组针对第三方网络设备或者安全设备的联动指令动指令发送电子邮件发送电子邮件发送一封电子邮件给指定人发送一封电子邮件给指定人发送发送SNMP Trap

12、SNMP Trap发送发送SNMP trapSNMP trap信息到指定信息到指定IPIP发送一个事件到网管系统发送一个事件到网管系统例如发送给例如发送给HP OpenView NNMHP OpenView NNM发送一个事件到服务台系发送一个事件到服务台系统统例如发送给例如发送给HP Service DeskHP Service Desk，或者，或者BMCBMC直接阻断直接阻断设备直接发出阻断连接指令，阻断网络中可疑的数据设备直接发出阻断连接指令，阻断网络中可疑的数据通讯通讯 为什么需要面向业务的安全审计？ 用户需求的必然 业务审计是数据库审计技术发展的必然：下一代数据库审计面向业务的安全审

13、计 从业务系统的组成说起为什么需要面向业务的安全审计？目标主机的telnet操作审计目标主机的ftp操作审计基于数据库协议（SQL）的操作审计基于客户端的数据库操作审计目标主机的网络流量审计催生面向业务审计，而不是单纯面向主机或者数据库的审计业务行为审计 业务审计的关键特点 以业务系统的数据保护和操作合规为目标 以业务系统为审计对象 面向业务的审计策略 二次审计与实时关联分析怎样才算一个业务审计系统？ 数据访问审计 数据变更审计 用户操作审计 违规访问行为审计 恶意攻击审计业务审计的关键特点：以业务系统为保护目标业务审计的关键特点：以业务系统为审计对象OA业务系统业务系统 = 前端前端FTP服

14、务服务 + HTTP服务服务 + Linux主机主机 + 后台后台Oracle数据库数据库 通过对组成OA业务系统的主机、数据库、服务等的网络行为进行审计，从而从业务的角度来保护整个OA系统的运行安全通过业务拓扑视图将业务系统各个组成部分联系起来，一并进行通过业务拓扑视图将业务系统各个组成部分联系起来，一并进行审计。不仅审计数据库，还审计相关的服务和网络访问行为审计。不仅审计数据库，还审计相关的服务和网络访问行为业务审计视图 PK 传统审计界面都有数据库审计、主机审计、都有数据库审计、主机审计、HTTPHTTP、emailemail等应用的审计等应用的审计业务审计视图可以看到组成部分及其业务审

15、计视图可以看到组成部分及其关系关系传统的审计界面只是将这些被审计对传统的审计界面只是将这些被审计对象罗列出来，之前没有关联象罗列出来，之前没有关联面向业务的审计，业务相关的违规行面向业务的审计，业务相关的违规行为都能够审计到，并清晰呈现出来为都能够审计到，并清晰呈现出来单纯面向数据库的审计，业务相关的单纯面向数据库的审计，业务相关的违规行为不能清晰呈现出来违规行为不能清晰呈现出来 面向业务的审计策略 网御神州独有 一条策略就包含了针对与业务相关的主机、网络和数据库审计策略业务审计的关键特点：面向业务的审计策略ERP运行审计策略示例运行审计策略示例 传统的单纯数据库审计产品都只能做基于审计策略的

16、分析：操作审计 SecFox-NBA（业务审计型）在“操作审计”的基础上还提供了二次审计功能：将数据库审计记录与主机、服务和应用的审计记录整合到一起，通过网御神州获得发明专利的实时关联分析引擎进行跨事件关联分析，进一步帮助用户进行违规行为的定位行为审计业务审计的关键特点：二次审计和实时关联分析整体审计报表自动生成周报、月报、季报，并自动投递报表给管理员，用户可以自定义报表自动生成周报、月报、季报，并自动投递报表给管理员，用户可以自定义报表 用户面临的挑战 系统特点 系统简介 产品价值和优势 成功案例 网御神州SecFox安全管理体系及其解决方案目录系统简介：产品型号型号规格指标SecFox-N

17、BA（业务审计型）-G2-千兆1U标准机架式，2个千兆电口-事务处理性能可达到2000事务数/秒（TPS，Transactions per Second）-自带500GB硬盘-可审计3个数据库-支持Console口管理SecFox-NBA（业务审计型）-G31-千兆2U标准机架式，默认2个千兆电口，可扩展6个(电口/光口)-事务处理性能可达到3000事务数/秒（TPS，Transactions per Second）-自带大容量硬盘，支持Raid，硬盘容量可以扩展-支持外接存储，例如DAS、NAS、SAN等；支持光纤接口-支持Console口管理-可扩展冗余电源SecFox-NBA（业务审计型

18、）-G41-千兆2U标准机架式，默认2个千兆电口，可扩展6个(电口/光口)-事务处理性能可达到6000事务数/秒（TPS，Transactions per Second）-自带大容量硬盘， 采用Raid5数据保护机制，硬盘容量可以扩展-支持外接存储，例如DAS、NAS、SAN等；支持光纤接口-支持Console口管理-可扩展冗余电源系统简介：软件型产品运行环境管理中心客户端浏览器基本要求Windows 2000 Server，Windows XP Professional, Windows Server 2003系列（安装service pack），RedHat Enterprise Linu

19、x 5，Pentium 4 以上CPUIE 7+内存要求2GB以上512MB以上硬盘要求200G以上 单一硬件产品形态，功能全内置 系统采用旁路侦听方式工作 部署十分方便，即插即用，不必对业务网络配置做任何更改，对业务网络没有任何影响 支持多个侦听口，可以同时审计多个不同的网段 支持级联，实现对大规模业务网络的审计部署和运行：旁路侦听模式部署和运行：多端口侦听网御神州 版权所有43 旁路监听方式，事务处理性能根据硬件配置从202XTPS*到6000TPS； 事务存储量根据硬件配置从10亿条到40亿条 控制台登录管理中心的用户最大并发连接数：50个产品性能*事务数每秒，简称TPS，即Transa

20、ction per Second，是指网络行为审计系统每秒钟能够记录的并发事务个数。该指标数值越高，表示系统的审计性能越强。系统简介：系统自身健康监控 863科研成果，完全自主研发，申请三项专利 拥有齐全的产品资质 CCID统计SecFox 产品在202X年至20XX年国内销量排名连续三年位居第一系统简介：产品荣誉 用户面临的挑战 系统特点 系统简介 产品价值和优势 成功案例 网御神州SecFox安全管理体系及其解决方案目录 完全自主开发，针对中国客户需求和管理习惯 真正面向业务的安全审计 全面审计、一机多能内置数据库审计、主机审计、流量审计、应用审计 部署方便、即插即用、维护简单、操作便捷价值和优势 区别于普通数据库审计的6大特点面向业务的安全审计，数据库审计仅仅是必要的一环多种审计4合一 主机审计、数据库审计、应用审计、流量审计具有异常流量审计功能超强的事务处理能力