天玥网络安全审计系统技术方案

1、.PAGE ：.； XXXXX工程 网络平安审计部分技术建议书北京启明星辰信息技术Venus Information Technology(Beijing)二零一一年四月PAGE PAGE i目 次 TOC o 1-4 h z u HYPERLINK l _Toc274314732 1.综述 PAGEREF _Toc274314732 h 1 HYPERLINK l _Toc274314733 2.审计系统设计方案 PAGEREF _Toc274314733 h 2 HYPERLINK l _Toc274314734 2.1.设计方案及系统配置 PAGEREF _Toc274314734 h

2、4 HYPERLINK l _Toc274314735 2.2.主要功能引见 PAGEREF _Toc274314735 h 5 HYPERLINK l _Toc274314736 2.2.1.数据库审计 PAGEREF _Toc274314736 h 5 HYPERLINK l _Toc274314737 2.2.2.网络运维审计 PAGEREF _Toc274314737 h 6 HYPERLINK l _Toc274314738 2.2.3.OA审计 PAGEREF _Toc274314738 h 7 HYPERLINK l _Toc274314739 2.2.4.数据库呼应时间及前往码

3、的审计 PAGEREF _Toc274314739 h 7 HYPERLINK l _Toc274314740 2.2.5.业务系统三层关联 PAGEREF _Toc274314740 h 7 HYPERLINK l _Toc274314741 2.2.6.合规性规那么和呼应 PAGEREF _Toc274314741 h 8 HYPERLINK l _Toc274314742 2.2.7.审计报告输出 PAGEREF _Toc274314742 h 10 HYPERLINK l _Toc274314743 2.2.8.本身管理 PAGEREF _Toc274314743 h 11 HYPER

4、LINK l _Toc274314744 2.2.9.系统平安性设计 PAGEREF _Toc274314744 h 11 HYPERLINK l _Toc274314745 2.3.负面影响评价 PAGEREF _Toc274314745 h 12 HYPERLINK l _Toc274314746 2.4.交换机性能影响评价 PAGEREF _Toc274314746 h 13 HYPERLINK l _Toc274314747 3.资质证书 PAGEREF _Toc274314747 h 14网络平安审计系统技术建议书 北京启明星辰信息技术 第 PAGE 15页综述随着信息技术的开展，X

5、XX曾经建立了比较完善的信息系统，具有网络规模大、用户数多、系统全而复杂等特点。IT建立的中心义务是运用现代信息技术为企业整体开展战略的实现提供支撑平台并起到推进作用。信息平安作为IT建立的组成部分，中心义务是综合运用技术、管理等手段，保证企业IT系统的信息平安，保证业务的延续性。信息平安是XXX正常业务运营与开展的根底；是保证国家利益的根底；是保证用户利益的根底。根据国家的相关规范的指点意见，我们根据对XXX信息系统详细需求的分析，在对XXXXX进展平安建立时，我们所遵照的根本原那么是：1、业务保证原那么：平安建立的根本目的是可以更好的保证网络上承载的业务。在保证平安的同时，还要保证业务的正

6、常运转和运转效率。2、构造简化原那么：平安建立的直接目的和效果是要将整个网络变得更加平安，简单的网络构造便于整个平安防护体系的管理、执行和维护。3、生命周期原那么：平安建立不仅仅要思索静态设计，还要思索不断的变化；系统应具备适度的灵敏性和扩展性。 审计系统设计方案结合以上原那么，在审计系统的选择上，主要从以下7个方面进展思索：适用性:由于业务系统数据在数据库中进展集中存储，故对于数据库的操作审计需求细化到数据库指令、表名、视图、字段等，同时可以审计数据库前往的错误代码，这样可以在数据库出现关键错误时及时呼应，防止由于数据库缺点带来的业务损失； 独立性:审计系统应具备一致的战略、集中的审计，适用

7、于不同的设备、操作系统、数据库系统和运用系统的审计要求，并对这些系统不呵斥影响.灵敏性:审计系统应提供缺省的审计战略及自定义战略，可以对重要操作、重要表、重要字段进展定义并审计，可以根据用户的业务特点进展战略的编辑。易用性:审计系统应可以基于操作进展分析，可以提供主体标识即用户、操作行为、客体标识设备、操作系统、数据库系统、运用系统的分析和审计报表扩展性:当业务系统进展扩容时，审计系统可以平滑扩容。系统支持向第三方平台提供记录的审计信息。可靠性：审计系统应能提供足够的存储空间1000G以上，满足在线存储至少6个月的要求；审计系统应可以保证审计记录的时间的一致性，防止错误时间记录给追踪溯源带来的

8、影响。平安性：分权限管理，具有权限管理功能，可以对用户分级，提供不同的操作权限和不同的网络数据操作范围限制，用户只能在其权限内对网络数据进展审计和相关操作，具有本身平安审计功能。基于上述的情况，我公司提出了以天玥网络平安审计系统为中心，建立XXXXX审计方面的设计方案。下面首先对天玥系统的根本任务原理进展简单的引见。天玥网络平安审计系统基于“IP数据俘获运用层数据分析审计和呼应实现各项功能，设计中充分贯彻了平台化的思绪；由于采用旁路接入的任务方式，使得天玥系统在实现各种平安功能的同时，对原系统的绕动和影响降到最低。天玥网络平安审计系统主要实现以下平安功能：针对不同的运用协议，提供基于运用操作的

9、审计；提供数据库操作语义解析审计，实现对违规行为的及时监视和告警；提供上百种合规规那么，支持自定义规那么正那么表达式等，实现灵敏多样的呼应；提供基于硬件令牌、静态口令、Radius支持的强身份认证；根据设定输出不同的平安审计报告；设计方案及系统配置中心数据库Oracle系统经过主备方式接入网络，设计采用配置一台天玥审计数据中心，一台天玥旁路审计引擎，一台天玥在线审计引擎。详细部署如以下图所示：天玥系统部署图天玥审计数据中心: 部署一台天玥审计数据中心，该效力器具备一个2T的内置RAID5存储器，对天玥网络审计引擎进展管理和控制，实现对审计数据的存储和分析。天玥审计数据中心的管理端口需求接入网络

10、中，并分配一个合法的IP地址，以接纳天玥管理控制台的管理。天玥审计数据中心的“管理端口需求经过网络方式与天玥网络审计引擎的“管理端口进展衔接。天玥旁路审计引擎: 部署一台天玥网络审计引擎对中心交换机上的Oracle流量进展监控和审计。天玥网络审计引擎配置两个信息监听端口，该端口需求衔接到被监控交换机的“镜像目的端口上，以获取原始的通讯信息，从而实现各种审计和控制功能。天玥网络审计引擎需求设置一个“管理端口，这个端口需求接入网络，并分配一个合法的IP地址，以接纳天玥管理控制台的管理。天玥在线审计引擎：部署一台天玥旁路审计引擎，实现对运维区域的各种运维操作进展监控、审计和阻断，该引擎自带Bypas

11、s支持，通常采用透明方式进展接入，对效力器端和终端用户无影响。天玥管理控制台:在网络中的任何一台Windows计算机上采用阅读器进展管理。在本方案中同时部署了旁路审计引擎与在线审计引擎，这是由于这两种引擎属于互补关系，旁路审计引擎处理了在线审计引擎被绕过的风险，在线审计引擎处理了旁路引擎无法实现加密协议审计和事前阻断的风险，二者的关系如下：在线审计实现的根底为“建立独一访问途径，一切的行为均经过该途径进展访问，也就是说需求将一切被审计运维访问流量都要经过在线引擎才可以进展审计，这就牵涉到网络构造的变化或ACL的调整，在实践部署中，在线审计依赖外部设备的ACL控制比如交换机或FW，一旦这些访问控

12、制设备出现问题或ACL不够充分，就会存在绕过堡垒主机的操作行为，而此时这些绕过堡垒主机的行为是没有被审计的，由于恶意攻击者往往具备较高的技术程度，同时擅长寻觅平安系统的破绽，故不完善的ACL控制会让在线审计存在较大的部署风险。而旁路审计实现的根底为“一切网络访问行为均不可信进展部署的，故一切可识别的操作均被审计，这两种审计部署方式存在着很强的互补性，通常都会一同部署，从而实现控制与审计的完美结合。主要功能引见数据库审计天玥网络平安审计系统可以监视并记录对数据库效力器的各类操作行为，实时地、智能地解析对数据库效力器的各种操作，普通操作行为如数据库的登录，特定的操作如对数据库表的插入、删除、修正，

13、执行特定的存贮过程等，都可以被记录和分析，分析的内容要求可以准确到SQL操作语句一级。并记录这些操作的用户名、机器IP地址、操作时间等重要信息。系统可以对采用ODBC、JDBC、OLE-DB、命令行嵌入方式对数据库的访问进展审计和呼应。SQL语句的支持SQL92语法，主要包括以下几种类型的审计：DDL：Create ,Drop,Grant,RevokeDML：Update,Insert,DeleteDCL：Commit,Rollback,Savapoint其他：Alter System,Connect,Allocate存储过程目前，天玥网络平安审计系统支持以下数据库系统的审计，是业界支持数据库

14、种类最多的审计系统，可以满足不同用户、不同开展阶段情况下的数据库审计需求：OracleSQL-ServerDB2InformixSybaseTeradataMysqlPostgreSQLCache人大金仓Kingbase数据库达梦DM数据库南大通用GBase数据库网络运维审计天玥网络平安审计系统支持常用的运维协议及文件传输协议，可以全程记录用户在效力器上的各种操作。TelnetRloginFTPSCPSFTPX11NFSOA审计天玥网络平安审计系统支持HTTP、POP3、SMTP、Netbios的审计，可以记录网页URL、内容、发件人、收件人、邮件内容、网络邻居的各种操作等信息。数据库呼应时间

15、及前往码的审计天玥网络平安审计系统支持对SQL Server、DB2、Oracle、Informix等数据库系统的SQL操作呼应时间和前往码的审计。经过对呼应时间和前往码的审计，可以协助 用户对数据库的运用形状全面掌握、及时呼应缺点信息，特别是当新业务系统上线、业务忙碌、业务模块更新时，经过天玥网络平安审计系统对超长时间和关键前往码进展审计并实时报警有助于提高业务系统的运营程度，降低数据库缺点等带来的运维风险。目前天玥网络平安审计系统支持上述数据库系统合计13000多种前往码的知识库供用户快速查询和定位问题。业务系统三层关联当前业务系统普遍采用三层构造：阅读器客户端、Web效力器/中间件、数据

16、库效力器。通常的流程是：用户经过阅读器客户端，利用本人的帐户登录Web效力器，向效力器提交访问数据；Web效力器根据用户提交的数据构造SQL语句，并利用独一的帐户访问数据库效力器，提交SQL语句，接纳数据库效力器前往结果并前往给用户。在这种基于Web的业务行为访问方式下，传统的信息平安审计产品普通可审计从阅读器到Web效力器的前台访问事件，以及从Web效力器到数据库效力器的后台访问事件。但由于后台访问事件采用的是独一的帐户，对每个后台访问事件，难以确定是哪个前台访问事件触发了该事件。假设在后台访问事件中出现了越权访问、恶意访问等行为，难以定位到详细的前台用户上。举一个一个典型的例子，内部违规操

17、作人员利用前台的业务系统，以此作为跳板对后台数据库内容进展了篡改和窃取，这种情况下，通常审计产品只能发现某个数据库账号，而无法判别最终的发来源头。启明星辰研讨人员实现HTTP操作和数据库操作之间的关联计算，目前曾经恳求专利。专利称号为“一种Web效力器前后台关联审计方法和系统，专利受理号码：200710121669.6。三层关联逻辑部署图经过这种关联分析技术，可以将审计产品从基于事件的审计，逐渐晋级为基于用户业务行为的审计，在关联分析过程中采用自动建模技术，可以将前台Web业务操作和后台数据库操作行为进展对应，并构成业务访问行为方式库，同时，在该技术的根底上还可以进一步分析，发现能够的业务异常

18、及SQL异常。合规性规那么和呼应天玥网络平安审计系统的审计和呼应功能可以简单地描画为：“某个特定的效力如FTP、Telnet、SQL等可以或不可以被某个特定的用户主机怎样地访问，这使得它提供的审计和呼应具有很强的针对性和准确性。强大的数据库规那么系统可以根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库前往码等作为条件，对用户关怀的违规行为进展呼应，特别是针对重要表、重要字段的各种操作，可以经过简单的规那么定义，实现准确审计，降低过多审计数据给管理员带来的信息爆炸。定制审计事件规那么天玥网络平安审计系统提供了事件规那么用户自定义模块

19、，允许用户自行设定和调整各种平安审计事件的触发条件与呼应战略。例如，用户特别关注在telnet过程中出现rm、passwd、shutdown等命令的行为，那么用户就可以利用天玥网络平安审计系统定义相应的审计事件规那么。这样，天玥网络平安审计系统就可以针对网络中发生的这些行为进展呼应。基于业务特征的规那么库系统可以将审计员制定的多个符合业务特征的规那么进展汇总、编辑和命名，构成具备某种业务特征的规那么写入用户自定义的规那么库。这样，审计员在针对某个特定业务用户制定审计战略时，可以直观地运用自命名的规那么进展设置，方便了各种战略的制定和查询。特定账号行为跟踪系统可以实现对“用户网络环境中出现的特定

20、账号或特定账号执行某种操作后的场景进展账号跟踪，提供对后继会话和事件的审计。这样，管理员可以对出如今网络中的特权账号，比如root、DBA等，进展重点的监控，特别是哪些本不应出如今网络上的特权账号忽然出现的事件。多编码环境支持天玥网络平安审计系统适用于多种运用环境，特别是在异构环境中，比如IBM AS/400通常采用EBCDIC编码方式实现telnet协议的传输、某些数据库同时采用几种编码与客户端进展通讯，假设系统不能识别多种编码，会导致审计数据出现乱码，对多编码的支持是衡量审计系统环境顺应性的重要目的之一，目前天玥网络平安审计系统支持如下编码格式ASCIIUnicodeUTF-8UTF-16

21、GB2312EBCDIC多种呼应方式天玥网络平安审计系统提供了多种呼应方式，包括：在天玥审计效力器中记录相应的操作过程；在日常审计报告中标注；向天玥管理控制台发出告警信息；实时阻断会话衔接；管理人员经过本系统手工RST阻断会话衔接；经过Syslog方式进展告警经过SNMP Trap方式进展告警经过邮件方式进展告警实时跟踪和回放管理员可以经过审计显示中心实时地跟踪一个或多个网络衔接，经过系统提供的“时标明晰地显示不同网络衔接中每个操作的先后顺序及操作结果，当发现可疑的操作或访问时，可以实时阻断当前的访问。管理员也可以从审计数据中心中提取审计数据对通讯过程进展回放，便于分析和查找系统平安问题，并以

22、次为根据制定更符合业务特征和系统平安需求的平安规那么和战略。审计报告输出天玥审计系统从平安管理的角度出发，设计一套完善的审计报告输出机制。多种挑选条件天玥网络平安审计系统提供了强大、灵敏的挑选条件设置机制。在设置挑选条件时，审计员可基于以下要素的组合进展设置：时间、客户端IP、客户端端口号、效力端IP、效力端端口、关键字、事件级别、引擎名、业务用户身份、资源账号等条件。审计员可根据需求灵敏地设置审计报表的各种要素，迅速生本钱人希望看到的审计内容。同时系统提供了报表模板功能，审计员无需反复输入，只需求设置模板后，即可按模板进展报表生成。命令及字段智能分析系统可以根据审计协议的类型进展命令和字段的

23、自动提取，用户可以选择提取后的命令或字段作为重点对象进展分析。针对数据库类协议，可分析并构成数据库名、表名、命令等列表；针对运维类协议，可分析并构成命令等列表；针对文件操作类协议，可分析并构成文件名、操作命令等列表；经过该功能，可以简化用户对审计数据的分析过程，大大提高分析的效率。宏观事件到微观事件钻取天玥网络平安审计系统提供了从宏观报表到微观事件的关联，审计员可以在统计报表、取证报表中查看宏观的审计数据统计信息，经过点击相应链接即可逐渐下探到详细的审计事件。自动义务支持天玥网络平安系统提供报表义务功能，审计员可根据实践情况定制报表生成义务；系统支持HTML、EXCEL、CSV、PDF、Wor

24、d等多种文档格式的报表输出，可以经过邮件方式自动发送给审计员。 数据和报表备份天玥网络平安审计系统提供了审计数据和报表的手动和自动备份功能，可以将紧缩后的数据自动传输到指定的FTP效力器，提供每天、每周、每月、时辰的定义方式。本身管理平安管理天玥网络平安审计系统的管理控制中心提供了集中的管理控制界面，审计员经过管理控制台就能管理和综合分析一切审计引擎的审计信息和形状信息，并构成审计报表。天玥网络平安审计系统支持权限分级管理方式，可对不同的角色设定不同的管理权限。例如，超级管理员拥有一切的管理权限；而某些普通管理员那么能够仅拥有查看审计报表的权限，某些管理员可以拥有设置审计战略或平安规那么的权限

25、。系统提供专门的本身审计日志，记录一切人员对天玥系统的操作，方便审计员对日志进展分析和查看。形状管理天玥网络平安审计系统提供CPU、内存、磁盘形状、网口等运转信息，管理员可以很轻松的经过GUI界面实现对审计数据中心、审计引擎的任务形状进展查看。当出现错误信息时，比如Raid缺点、磁盘空间缺乏、引擎衔接问题，系统可自动邮件通知相关管理人员。时间同步管理天玥网络平安审计系统提供手工和NTP两种时间同步方式，经过对全系统本身的时间同步，保证了审计数据时间戳的准确性，防止了审计事件时间误差给事后审计分析任务带来的影响，提升了任务效率。系统平安性设计在天玥系统的设计中采用了严密的系统平安性设计，主要体系

26、在以下几个方面：操作系统平安性设计：天玥系统采用经裁减、加固的Linux操作系统。在设计过程中，结合天玥系统的功能要求和我公司在操作系统平安方面的技术和阅历，对Linux进展了精心的裁减和加固，包括补丁修补，取消危险的、无用的效力等。数据库平安性设计：天玥审计数据中心审计效力器的数据库是启明星辰根据天玥系统的功能要求自行设计的，在设计时曾经充分思索了平安性方面的问题。模块间的通讯：各功能模块之间的通讯均采用专门设计的通讯协议，这些通讯协议在设计时均采用了诸如CA认证、编码、签名、加密等平安技术。对于远程维护，那么采用了SSH加密传输协议。在产品出厂测试阶段，还将进展诸如破绽扫描之类的平安性测试

27、，因此，我们以为天玥系统具有很高的平安性。负面影响评价天玥系统基于“IP数据俘获运用层数据分析审计和呼应实现各项功能。在详细实现时，无需在网络通路中“跨接任何硬件设备，也不需求在审计对象中安装“审计代理，因此，天玥系统的安装运用，不会对原系统呵斥任何性能、稳定性方面的影响。天玥系统的硬件设备由“天玥审计数据中心和“天玥网络审计引擎构成。其中，天玥审计数据中心象一台主机设备一样安装用户的系统中，只需求为天玥审计数据中心分配合法的IP地址就可以了。因此，该设备不会对原系统呵斥任何性能、功能、可靠性、平安性方面的影响。天玥网络审计引擎需求安装在中心交换机的镜像端口上，用于俘获来往于后台主机和前台操作人员之间的通讯数据，然后经过对这些通讯数据的解析、匹配，到达审计和命令控制的目的。同时，天玥网络审计引擎实时地将俘获的原始数据传送给进展进一步的分析处置和存储。当天玥网络审计引擎发现违反规定的登录或操作命令时，会同时向该TCP会话的效力器和客户端发出“封锁TCP会话的IP报，从而到达阻断的目的。这种“封锁TCP会话的IP报是由天玥网络审计引擎伪造，并直接向效力器和客户端发送的，不需求网络设备的支持；而且，这种IP报，是按照规范的TCP协议构造的，不会对效力器或客户端呵斥任何负面的影响。由于，对于接纳到“封锁TCP会话IP报的一方而言，它觉得是通讯的对方自动发起了一个封锁TCP会话的