天玥综合安全审计系统白皮书(共14页)

1、安全源自未雨绸缪，诚信贵在风雨同舟 启明星辰信息技术有限公司 PAGE 16地址：北京市海淀区中关村南大街12号188信箱电话真址：天玥网络(wnglu)安全(nqun)审计(shn j)系统产品白皮书（Network Security Audit System）北京启明星辰信息技术有限公司2003. 10版权(bnqun)声明启明星辰信息技术有限公司(yu xin n s) 2003版权所有，保留一切(yqi)权力。未经启明星辰书面同意不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本文档中的信息归启明星辰信息技术有限公司所

2、有并受中国知识产权法和国际公约的保护。“天玥”、“天阗”和“天镜”为启明星辰信息技术有限公司的注册商标，不得侵犯。信息更新本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提供信息，并且随时可由启明星辰信息技术有限公司（下称“启明星辰”）更改或撤回。信息反馈如有任何宝贵意见，请反馈：信箱：北京市海淀区中关村南大街12号188信箱电话真责条款根据适用法律的许可范围，启明星辰按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，启明星辰都不会对最终用户或任何第三

3、方因使用本文档造成的任何直接或间接损失或损坏负责，即使启明星辰明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。出版时间本文档由启明星辰信息技术有限公司2003年10月制作出版。目 录 TOC o 1-2 h z u HYPERLINK l _Toc52162343 1.产品简介 PAGEREF _Toc52162343 h 4 HYPERLINK l _Toc52162344 1.1.产品(chnpn)概述 PAGEREF _Toc52162344 h 4 HYPERLINK l _Toc5

4、2162345 1.2.产品(chnpn)定位和价值 PAGEREF _Toc52162345 h 4 HYPERLINK l _Toc52162346 2.产品(chnpn)架构 PAGEREF _Toc52162346 h 5 HYPERLINK l _Toc52162347 2.1.产品组成 PAGEREF _Toc52162347 h 5 HYPERLINK l _Toc52162348 2.2.产品结构 PAGEREF _Toc52162348 h 6 HYPERLINK l _Toc52162349 2.3.系统需求 PAGEREF _Toc52162349 h 7 HYPERLI

5、NK l _Toc52162350 3.产品功能 PAGEREF _Toc52162350 h 9 HYPERLINK l _Toc52162351 3.1.审计功能 PAGEREF _Toc52162351 h 9 HYPERLINK l _Toc52162352 3.2.管理功能 PAGEREF _Toc52162352 h 10 HYPERLINK l _Toc52162353 3.3.报表分析功能 PAGEREF _Toc52162353 h 11 HYPERLINK l _Toc52162354 4.产品特性 PAGEREF _Toc52162354 h 11 HYPERLINK l

6、 _Toc52162355 4.1.分布式部署灵活管理 PAGEREF _Toc52162355 h 11 HYPERLINK l _Toc52162356 4.2.客户化定制审计内容 PAGEREF _Toc52162356 h 11 HYPERLINK l _Toc52162357 4.3.高度的自身安全保障 PAGEREF _Toc52162357 h 11 HYPERLINK l _Toc52162358 4.4.广泛的联动响应支持 PAGEREF _Toc52162358 h 12 HYPERLINK l _Toc52162359 4.5.方便的统一管理平台 PAGEREF _Toc

7、52162359 h 12 HYPERLINK l _Toc52162360 5.服务支持 PAGEREF _Toc52162360 h 13产品简介产品(chnpn)概述天玥网络(wnglu)安全(nqun)审计系统（以下简称“天玥”）是启明星辰信息技术有限公司自行研制开发的网络安全审计系统。天玥通过旁路侦听的方式对网络数据流进行采集、分析和识别，实时监视网络系统的运行状态，记录网络事件，发现安全隐患，并对网络活动的相关信息进行存储，分析和审计回放。来自网络的安全威胁日益增多，很多威胁并不是以网络入侵的形式进行的，这些威胁事件多数是来自于内部合法用户的误操作或恶意操作，仅靠系统自身的日志功并

8、不能满足对这些网络安全事件的审计要求，网络安全审计系统正是在这样的安全审计需求下产生的。网络安全审计通常要求专门细致的协议分析技术，完整的跟踪能力，和数据查询过程回放功能。启明星辰凭借在入侵检测领域多年的技术积累和研发经验，推出了适用于百兆网络环境的天玥网络安全审计系统。产品定位和价值作为网络安全审计系统，天玥主要用于网络安全事件的事后查询和取证工作。天玥主要部署于用户网络环境中具有关键资产的网段，审计的对象通常为重要的服务器，如文件服务器、邮件服务器、计费服务器等。关键特性和价值防范内部合法用户的误操作和恶意操作完整回放网络会话过程和内容成熟的高速网络抓包技术和协议分析技术发现异常进行告警，

9、提醒安全管理员采取措施进行处理；预留接口，可纳入启明星辰的入侵管理平台进行统一管理。产品(chnpn)架构产品(chnpn)组成天玥网络安全审计(shn j)系统包括以下三个部分：网络探测引擎数据管理中心审计中心一个数据管理中心可以带多个网络探测引擎，每个网络探测引擎只能对应一个数据管理中心。审计中心可以连接多个数据管理中心。这三部分的连接示意图如图2.1所示：图2.1 天玥网络安全审计系统设计结构示意图网络探测引擎全面(qunmin)侦听网上的信息流，动态监视网络上流(shngli)过的所有数据包，进行检测和实时(sh sh)分析，并将分析结果发送给相应的数据库进行保存。数据管理中心包括三个

10、应用程序：数据库管理、引擎管理和配置管理。数据库管理程序设置数据库连接信息；引擎管理程序设置网络探测引擎的信息；配置管理可以对被审计对象进行客户化自定义，如制定黑白名单、自定义审计协议和设定异常端口审计。审计中心包括两个应用程序：审计控制台和用户管理。审计控制台可以实时显示网络审计信息，流量统计信息，并可以查询审计信息历史数据，并且对审计事件进行回放。用户管理程序可以对用户进行权限设定，限制不同级别的用户查看不同的审计内容。同时还可以对于每一种权限的使用人员的操作进行审计记录，可以由用户管理员进行查看，具有一定的自身安全审计功能。产品结构产品的管理和部署结构如图2.2所示：图2.2 天玥网络安

11、全审计系统基本部署图产品内部(nib)的功能架构如图2.3和图2.4所示图2.3 天玥审计探测引擎(ynqng)工作原理图图2.4 天玥审计数据管理中心(zhngxn)工作原理图系统需求网络探测引擎操作系统：Linux 2.4.18内核以上CPU：Pentium 4 2GHz或更高内存：不低于1G硬盘：不低于60G网卡2个Intel网卡其他设备：光盘驱动器一个数据管理中心(zhngxn)操作系统：Windows 2000（中文版），SP3以上数据库：SQLserver2000，SP3以上CPU：Pentium III 1GMHz或更高内存：不低于256M，建议512M以上空闲磁盘空间：不低于2

12、G其他设备：光盘驱动器、网卡、键盘、鼠标、显示器以上配置不包括对存放(cnfng)日志的MS SQL Server数据库服务器的要求(yoqi)。MS SQL Server数据库服务器的配置要求请参考微软公司提供的基本要求和建议配置。建议将天玥数据管理中心安装在一台专用的服务器上，不推荐将数据管理中心和其他的应用程序装在一起。审计中心操作系统：Windows 2000（中文版），SP2以上CPU：Pentium III 500MHz或更高内存：不低于256M，建议512M以上空闲磁盘空间：不低于1G，建议2G以上其他设备：光盘驱动器、网卡、键盘、鼠标、显示器审计中心可以单独(dnd)安装，也可

13、以和数据管理中心安装在同一台机器上。产品(chnpn)功能审计(shn j)功能典型网络应用协议审计天玥能够对典型的网络应用协议（http,ftp,smtp,pop3,telnet）进行详细审计，实时监控并记录网络用户对服务器的远程登录、读、写、添加、修改以及删除等操作，并可以对操作过程进行完整回放，比如对于http协议可以回放所浏览的网页内容，对smtp和pop3协议可以回放邮件正文的完整内容以及附件内容。文件共享审计天玥能够对Windows网络环境中基于netbios的文件共享服务进行审计，实时监控并记录网络用户对网络资源中的文件共享操作，并对文件共享操作命令进行回放。自定义协议审计天玥为

14、用户提供了客户化的自定义协议审计功能，对于用户网络中运行的特殊网络协议，用户可以根据协议的端口号和IP地址范围自行定义。天玥可以对用户自定义的各种网络协议的原始报文进行解析，实时监控并记录自定义协议的活动情况。数据库操作(cozu)审计天玥能够(nnggu)实时监控并记录网络用户对数据库服务器的读、写、查询、添加、修改(xigi)以及删除等操作，并可以对数据库操作命令进行回放。目前天玥只支持对SQL Server的审计。流量审计天玥能够根据不同协议和自定义模式，实时显示网络中流量数据的变化。流量分析典型实例流量监测IP-IP流量、TCP、UDP、ICMP等应用协议流量异常流量字节流量超标事件、

15、包流量超标事件、流量增量异常事件主机服务审计天玥为用户提供了主机异常端口定义功能，允许用户自定义要审计的主机和端口，通过对网络数据的分析，检测某些主机是否有异常端口服务开放，从而实现对主机服务的审计。制定黑白名单天玥为用户提供了黑白名单设置功能，用户可以根据自己网络的实际状况，把信任的主机列入白名单，重点审计主机列入黑名单。天玥对黑名单上的主机进行重点监控，并在审计控制台实时显示黑名单主机的活动情况。白名单上的主机是被充分信任的主机，天玥对于列入白名单的主机不进行审计。管理(gunl)功能实时(sh sh)报警响应天玥可以对审计(shn j)事件进行实时报警响应。目前支持的报警响应方式为屏幕报

16、警。用户管理为保证网络审计数据的安全性和隐私性，天玥系统采用多用户权限管理，特定用户只能对其权限内的审计内容进行审计操作。同时用户管理程序具有自审计功能，对于每一种权限的使用人员的操作都有详细的审计记录，可以由用户管理员进行查看。报表分析功能审计数据查询分析天玥能够根据存储记录和操作者的权限对审计数据进行查询、统计、管理、维护等操作。审计报表天玥为用户提供了审计报表生成功能，以自定义方式生成HTML或EXCEL形式的报表。产品特性分布式部署灵活管理天玥在设计上采用审计中心、数据管理中心和网络探测引擎三级结构，每个数据管理中心以一对多的方式连接管理多个网络探测引擎，审计中心和数据管理中心可以多对

17、多进行审计控制显示。天玥的三级结构设计满足了用户在大型网络环境中分布式部署网络安全审计系统的需求，同时审计中心控制台可以灵活安装在网络的不同位置，配合天玥的用户管理程序，满足不同级别的用户对审计数据的管理查询。客户化定制(dn zh)审计内容天玥为用户提供了多种自定义审计内容设置，如制定黑白名单，自定义协议审计，异常(ychng)端口审计等，方便了用户根据自身的网络结构和网络应用情况(qngkung)定制审计对象和审计内容。高度的自身安全保障天玥的设计充分考虑到了自身的安全保障问题，在网络探测引擎端采用基于Linux内核定制的安全操作系统，并用无IP网口对被审计网络进行旁路侦听。同时网络探测引

18、擎与数据管理中心进行互相认证，数据传输加密。在审计中心采用多用户分权限管理机制，既保证特定用户只能对其权限内的审计内容进行审计操作，同时用户管理程序具有自审计功能，对于每一种权限的使用人员的操作都有详细的审计记录。广泛的联动响应支持天玥具有全面的自主响应和联动响应方式，可以满足不同用户的需求。天玥通过自有VIP VIP：Venus Interaction Protocol，启明星辰专有的通用联动协议。协议族，可以充分实现和第三方安全产品以及网络设备的策略响应联动。目前主要的联动方式包括：防火墙联动（VIPFW）、扫描器联动（VIPSC）。用户可以根据网络现状进行有效地投资，实现动态防御体系。方便的统一(tngy)管理平台天玥网络安全审计(shn