启明星辰天玥网络安全审计系统-白皮书

1、天玥网络安全审计系统 产品白皮书北京启明星辰信息技术有限公司PAGE 19启明星辰天玥网络安全审计系统产品白皮书（版本2.0）北京启明星辰信息技术有限公司2009年9月版权声明北京启明星辰信息技术有限公司2009版权所有，保留一切权利。未经北京启明星辰信息技术有限公司（以下简称启明星辰）书面同意不得擅自传播、复制、泄露或复写本文档的全部或部分内容。本文档中的信息归启明星辰所有并受中国知识产权法和国际公约的保护。信息更新本文档及与之相关的计算机软件程序（以下称为文档）用于为最终用户提供信息，并且随时可由启明星辰更改或撤回。发布日期：2009年9月。适用范围：天玥网络安全审计系统V6.0信息反馈如

2、有任何意见或建议，请按如下联系方式反馈给启明星辰。邮政地址：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮政编码：100094电话：86-10-82779088 传真：86-10-82779000E-mail：cpyj免责条款根据适用法律的许可范围，启明星辰按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，启明星辰都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使启明星辰明确得知这些损失或损坏，这些损失或损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。本文档中所有引用产品的使

3、用及本文档均受最终用户可适用的特许协议约束。目录 TOC o 2-3 t 标题 1,1 1产品概述 PAGEREF _Toc316547156 h 21.1产品简介 PAGEREF _Toc316547157 h 21.2适用场景 PAGEREF _Toc316547158 h 21.3核心价值 PAGEREF _Toc316547159 h 22用户需求（面临的问题） PAGEREF _Toc316547160 h 32.1内部人员操作安全隐患 PAGEREF _Toc316547161 h 32.2第三方维护人员安全隐患 PAGEREF _Toc316547162 h 32.3最高权限用户

4、安全隐患 PAGEREF _Toc316547163 h 33产品主要功能 PAGEREF _Toc316547164 h 43.1面向业务的审计 PAGEREF _Toc316547165 h 43.2数据库响应时间及返回码的审计 PAGEREF _Toc316547166 h 53.3细粒度审计规则和响应 PAGEREF _Toc316547167 h 63.3.1定制审计事件规则 PAGEREF _Toc316547168 h 63.3.2特定账号行为跟踪 PAGEREF _Toc316547169 h 63.3.3强大的数据库规则 PAGEREF _Toc316547170 h 63.

5、3.4多编码环境支持 PAGEREF _Toc316547171 h 63.3.5多种响应方式 PAGEREF _Toc316547172 h 73.4强身份认证 PAGEREF _Toc316547173 h 73.5审计报告输出 PAGEREF _Toc316547174 h 73.5.1多种筛选条件 PAGEREF _Toc316547175 h 73.5.2自动任务支持 PAGEREF _Toc316547176 h 83.5.3数据和报表备份 PAGEREF _Toc316547177 h 83.6自身管理 PAGEREF _Toc316547178 h 83.6.1安全管理 PAG

6、EREF _Toc316547179 h 83.6.2状态管理 PAGEREF _Toc316547180 h 83.6.3时间同步管理 PAGEREF _Toc316547181 h 94关键特性与客户收益 PAGEREF _Toc316547182 h 104.1关键特性 PAGEREF _Toc316547183 h 104.2客户收益 PAGEREF _Toc316547184 h 104.2.1满足合规性要求，顺利通过IT审计 PAGEREF _Toc316547185 h 104.2.2有效减少核心信息资产的破坏和泄漏 PAGEREF _Toc316547186 h 114.2.3

7、追踪溯源，便于事后追查原因与界定责任 PAGEREF _Toc316547187 h 114.2.4直观掌握业务系统运行的安全状况 PAGEREF _Toc316547188 h 114.2.5实现独立审计与三权分立，完善IT内控机制 PAGEREF _Toc316547189 h 115部署与使用 PAGEREF _Toc316547190 h 125.1部署方式 PAGEREF _Toc316547191 h 125.2使用注意事项 PAGEREF _Toc316547192 h 126产品型号 PAGEREF _Toc316547193 h 147产品资质 PAGEREF _Toc316

8、547194 h 158服务支持 PAGEREF _Toc316547195 h 16产品概述产品简介天玥网络安全审计系统，以下简称天玥，是启明星辰网络安全审计系列产品之一。天玥网络安全审计系统是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报，以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，加强内外部网络行为监管、促进核心资产（数据库、服务器、网络设备等）的正常运营。适用场景天玥的用户通常拥有重要的业务应用系统或者网络基础设施，相应地具备如下需求中的部分或者全部：1、需要满足各种合规要求，

9、比如等级保护、分级保护、SOX等要求；2、需要对重要/关键数据的访问进行审计；3、需要对重要/关键服务器的访问进行审计；4、希望有效地控制操作风险；5、需要进行事后追查，但缺乏数据记录与追查方法。核心价值天玥的核心价值体现在：完善业务系统的安全防范体系，满足组织机构内外部合规性要求，全面体现管理者对业务系统信息资源的全局把控和调度能力。主要表现在：1、如同不知疲倦的网络警察，时刻监视着对重要资源的访问；2、当出现安全事件后，能根据翔实的审计记录，一步步地追查出攻击者；3、找出导致安全事件、性能波动的真正原因；4、帮助用户加强内外部网络行为监管、满足企业内部控制或者外部政策等合规性要求。用户需求

10、（面临的问题）内部人员操作安全隐患随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作却无能为力。根据最新统计资料，对企业造成严重攻击中的70是来自于组织里的内部人员。第三方维护人员安全隐患企业在发展的过程中，因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地监视设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。最高权限用户安全隐患一般来说，我们都是从各种系统日志里面去发现是否有入

11、侵后留下来的“蛛丝马迹”来判断是否发生过安全事件。但是，系统是在经历了大量的操作和变化后，才逐渐变得不安全。从系统变更的角度来看，网络审计日志比系统日志在定位系统安全问题上更可信。（比如，系统的最高权限用户root/Administrators等长期以来一直处于不可管理的状态。）产品主要功能天玥网络安全审计系统基于“IP数据俘获强身份认证（可选）应用层数据分析审计和响应” 的模式提供各项安全功能，使它的审计功能明显优于目标系统依靠自主保护策略提供的审计功能。主要体现在以下几个方面：与目标系统的状态无关无论目标系统是否遭到入侵，安全机制是否正常运转，天玥的审计结果仍然是可信的；能够审计到更细的粒

12、度天玥审计的最小粒度为命令级，而一般操作系统提供的日志受日志来源限制，往往只能到进程级或者会话级；能够进行更灵活的自定义审计天玥可以根据用户业务系统的不同提供强大的自定义审计功能，而一般操作系统提供的日志完全取决于自身审计功能，不支持用户自定义；天玥网络安全审计系统主要功能如下：针对不同的应用协议，提供基于应用操作的审计；提供数据库操作语义解析审计，实现对违规行为的及时监视和告警；提供上百种合规规则，支持自定义规则（正则表达式等），实现灵活多样的响应；提供基于硬件令牌、静态口令、Radius支持的强身份认证；根据设定输出不同的安全审计报告；面向业务的审计数据库审计天玥网络安全审计系统能够监视并

13、记录对数据库服务器的各类操作行为，实时地、智能地解析对数据库服务器的各种操作，一般操作行为如数据库的登录，特定的操作如对数据库表的插入、删除、修改，执行特定的存贮过程等，都能够被记录和分析，分析的内容要求可以精确到SQL操作语句一级。并记录这些操作的用户名、机器IP地址、操作时间等重要信息。系统能够对采用ODBC、JDBC、OLE-DB、命令行嵌入方式对数据库的访问进行审计和响应。SQL语句的支持SQL92标准，主要包括以下几种类型的审计：DDL：Create ,Drop,Grant,RevokeDML：Update,Insert,DeleteDCL：Commit,Rollback,Savap

14、oint其他：Alter System,Connect,Allocate存储过程目前，天玥网络安全审计系统支持以下数据库系统的审计OracleSQL-ServerDB2InformixSybaseTeradataMysqlPostgreSQLCache网络运维审计天玥网络安全审计系统支持常用的运维协议，比如Telnet、FTP、Rlogin、X11、Radius等协议的审计，能够全程记录用户在服务器上的各种操作（包括命令行操作、交互菜单操作、业务系统操作），并且可以实现类似窗口录像回放形式的还原。OA审计天玥网络安全审计系统支持HTTP、POP3、SMTP、Netbios、NFS协议的审计，能

15、够记录网页URL、内容、发件人、收件人、邮件内容、网络邻居的各种操作等信息。数据库响应时间及返回码的审计天玥网络安全审计系统支持对SQL Server、DB2、Oracle、Informix等数据库系统的SQL操作响应时间和返回码的审计。通过对响应时间和返回码的审计，可以帮助用户对数据库的使用状态全面掌握、及时响应故障信息，特别是当新业务系统上线、业务繁忙、业务模块更新时，通过天玥网络安全审计系统对超长时间和关键返回码进行审计并实时报警有助于提高业务系统的运营水平，降低数据库故障等带来的运维风险。细粒度审计规则和响应定制审计事件规则天玥网络安全审计系统提供了事件规则用户自定义模块，允许用户自行

16、设定和调整各种安全审计事件的触发条件与响应策略。例如，用户特别关注在telnet过程中出现rm、passwd、shutdown等命令的行为，那么用户就可以利用天玥网络安全审计系统定义相应的审计事件规则。这样，天玥网络安全审计系统就可以针对网络中发生的这些行为进行响应。特定账号行为跟踪系统能够实现对“用户网络环境中出现的特定账号或特定账号执行某种操作后”的场景进行账号跟踪，提供对后继会话和事件的审计。这样，管理员能够对出现在网络中的特权账号，比如root、DBA等，进行重点的监控，特别是哪些本不应出现在网络上的特权账号突然出现的事件。强大的数据库规则系统能够根据访问数据库的源程序名、登陆数据库的

17、账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件，对用户关心的违规行为进行响应，特别是针对重要表、重要字段的各种操作，能够通过简单的规则定义，实现精确审计，降低过多审计数据给管理员带来的信息爆炸。多编码环境支持天玥网络安全审计系统适用于多种应用环境，特别是在异构环境中，比如IBM AS/400通常采用EBCDIC编码方式实现telnet协议的传输、某些数据库同时采用几种编码与客户端进行通讯，若系统不能识别多种编码，会导致审计数据出现乱码，对多编码的支持是衡量审计系统环境适应性的重要指标之一，目前天玥网络安全审计系统支持如下编码格式ASCIIUnicod

18、eUTF-8UTF-16GB2312EBCDIC多种响应方式天玥网络安全审计系统提供了多种响应方式，包括：在天玥审计服务器中记录相应的操作过程；在日常审计报告中标注；向天玥管理控制台发出告警信息；实时RST阻断会话连接；管理人员通过本系统手工RST阻断会话连接；通过Syslog方式进行告警通过SNMP Trap方式进行告警通过邮件方式进行告警强身份认证传统的网络安全审计系统通过网络层捕获实现审计数据的解析，对网络行为的定位往往局限于IP地址和MAC地址，在某些场景，比如要求自然人和网络行为关联的情况下，由于IP地址或MAC地址不具备源头可信任，追踪稽查效果大打折扣。针对这种情况，启明星辰公司的

19、天玥网络安全审计系统提供了USB硬件令牌、静态口令、Radius支持三种方式进行认证，用户可选择适合自身使用习惯的认证方式实现对自然人的绑定，当自然人在进行网络操作时，其真实身份将会和网络行为进行关联，从而实现对自然人的追踪和稽查。审计报告输出天玥审计系统从安全管理的角度出发，设计一套完善的审计报告输出机制。多种筛选条件天玥网络安全审计系统提供了强大、灵活的筛选条件设置机制。在设置筛选条件时，审计员可基于以下要素的组合进行设置：时间、客户端IP、客户端端口号、服务端IP、服务端端口、关键字、事件级别、引擎名、业务用户身份、资源账号等条件。审计员可根据需要灵活地设置审计报表的各种要素，迅速生成自

20、己希望看到的审计内容。同时系统提供了报表模板功能，审计员无需重复输入，只需要设置模板后，即可按模板进行报表生成。 自动任务支持天玥网络安全系统提供报表任务功能，审计员可根据实际情况定制报表生成任务；系统支持HTML、EXCEL、CSV、PDF、Word等多种文档格式的报表输出，可以通过邮件方式自动发送给审计员。 数据和报表备份天玥网络安全审计系统提供了审计数据和报表的手动和自动备份功能，可以将压缩后的数据自动传输到指定的FTP服务器，提供每天、每周、每月、时刻的定义方式。自身管理安全管理天玥网络安全审计系统的管理控制中心提供了集中的管理控制界面，审计员通过管理控制台就能管理和综合分析所有审计引

21、擎的审计信息和状态信息，并形成审计报表。天玥网络安全审计系统支持权限分级管理模式，可对不同的角色设定不同的管理权限。例如，超级管理员拥有所有的管理权限；而某些普通管理员则可能仅拥有查看审计报表的权限，某些管理员可以拥有设置审计策略或安全规则的权限。系统提供专门的自身审计日志，记录所有人员对天玥系统的操作，方便审计员对日志进行分析和查看。状态管理天玥网络安全审计系统提供CPU、内存、磁盘状态、网口等运行信息，管理员可以很轻松的通过GUI界面实现对审计数据中心、审计引擎的工作状态进行查看。当出现错误信息时，比如Raid故障、磁盘空间不足、引擎连接问题，系统可自动邮件通知相关管理人员。时间同步管理天

22、玥网络安全审计系统提供手工和NTP两种时间同步方式，通过对全系统自身的时间同步，保证了审计数据时间戳的精确性，避免了审计事件时间误差给事后审计分析工作带来的影响，提升了工作效率。关键特性与客户收益关键特性审计事件入库达到每秒8000条以上，能够满足高性能情况下对审计系统的要求，避免性能不足导致事件不完整给事后审计追查带来的问题。支持主流商用数据库，实现细粒度的审计，能够审计时间、级别、目的IP、源IP、源端口、目的端口、源MAC、目的MAC、资源账号、数据库名、数据库表名、数据库命令、数据库字段及其对应值、SQL语句等信息。支持众多的数据库关键特性审计，包括SQL返回行数、SQL响应时间、数据

23、库账号登陆失败、数据库服务无法连接、数据库操作成功、数据表空间不足、数据库并发会话数超限、数据库并发进程数超限、数据库并发用户数超限、数据库并发游标数超限、数据库并发事务数超限、数据库锁超限、数据库死锁状况、数据库错误次数超限、数据库操作权限不足等多种情况的审计。支持灵活的审计规则，定制条件包括时间IP、端口、账号名称、事件级别、内容等，能够以精确匹配、模糊匹配、正则表达式匹配方式对审计事件进行匹配，帮助用户对关键操作进行及时响应。支持IP黑白名单、账号黑白名单、账号发现、账号跟踪审计、账号行为事件分级等多种特性，便于在实际审计过程中进行灵活设置。全面考虑数据库系统的审计点，除了数据库SQL访

24、问审计外，系统还提供了Telnet、Rlogin、FTP、NFS、Netbios等主机远程嵌入访问数据库、文件方式访问数据库的行为进行审计。提供足够的存储空间（1000G以上），满足在线存储至少6个月的要求；支持NTP同步和自同步，能够保证审计记录的时间的一致性，避免错误时间记录给追踪溯源带来的影响。客户收益满足合规性要求，顺利通过IT审计目前，越来越多的单位面临一种或者几种合规性要求。比如，在美上市的中国移动集团公司及其下属分子公司就面临SOx法案的合规性要求；而商业银行则面临Basel协议的合规性要求；政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。天玥系统提供了一种独立的审计

25、方案，有助于完善组织的IT内控与审计体系，从而满足各种合规性要求，并且使组织能够顺利通过IT审计。有效减少核心信息资产的破坏和泄漏对单位的业务系统来说，真正重要的核心信息资产往往存放在少数几个关键系统上（如数据库服务器、应用服务器等），通过使用天玥系统，能够加强对这些关键系统的审计，从而有效地减少对核心信息资产的破坏和泄漏。追踪溯源，便于事后追查原因与界定责任一个单位里负责运维的部门通常拥有目标系统或者网络设备的最高权限（掌握DBA帐号的口令），因而也承担着很高的风险（误操作或者是个别人员的恶意破坏）。由于目标系统不能区别不同人员使用同一个帐号进行维护操作，所以不能界定维护人员的真实身份。天玥

26、系统提供基于角色的审计，能够有效地区分不同维护人员的身份，便于事后追查原因与界定责任。直观掌握业务系统运行的安全状况业务系统的正常运行需要一个安全、稳定的网络环境。对管理部门来说，网络环境的安全状况事关重大。天玥系统提供业务流量监控与审计事件统计分析功能，能够直观地反映网络环境的安全状况。实现独立审计与三权分立，完善IT内控机制从内控的角度来看，IT系统的使用权、管理权与监督权必须三权分立。天玥系统基于网络旁路监听的方式实现独立的审计与三权分立，完善了IT内控机制。部署与使用部署方式天玥采用旁路部署方式对原有网络不造成影响，设备故障不影响现有网络的正常运行。一般部署方式如下：1、根据不同的审计

27、范围部署一到多台天玥审计引擎；2、部署一台天玥审计数据中心；3、通过IEl浏览器进行访问和管理；天玥审计系统部署示意图（注意：天玥审计引擎需连接在交换机镜像端口并且恰当配置）使用注意事项明确需要审计的对象，以数据库审计为例，需要明确数据库系统、数据库系统所依赖的主机系统、交换机等设备需要审计的端口和协议，形成审计业务表明确审计系统部署的位置和审计事件采集的方式，形成网络部署结构图对需要审计的应用上所存在的账号访问行为制定审计规则，尤其是特权账号的访问行为、关键表关键字段的访问行为等，备份已完成的策略文件制定回退计划，实现审计系统上线的切割。依照相关管理制度，完成定期生成审计报表、定期数据备份等

28、日常维护工作清单，备份相关配置文件、备份审计系统的相关账号和密码信息 产品型号CA300E审计引擎百兆引擎、1U上架专用设备、1个100M电口监听口、1个1000M电口管理口、监听口不可扩充抓包性能：100Mbps每秒入库性能：8000条/秒CA500E审计引擎百兆引擎、1U上架专用设备、2个100M电口监听口、1个1000M电口管理口、监听口不可扩充CA500S审计数据中心百兆引擎的审计数据中心、2U上架专用设备、支持4个百兆引擎、1个1000M电口管理口、1个1000M备用电口、数据存储量1.5T、支持RAID5CA2300E审计引擎千兆引擎、1U上架专用设备、2千兆电口监听、4个SFP千

29、兆插槽、1个千兆管理口、最大支持4个监听口抓包性能：1000Mbps每秒入库性能：16000条/秒CA2300S审计数据中心千百兆引擎的审计数据中心、2U上架专用设备、支持2个审计引擎、1个1000M电口管理口、1个1000M备用电口、数据存储量2T、支持RAID5CA2800E审计引擎千兆引擎、1U上架专用设备、2千兆电口监听、4个SFP千兆插槽、1个千兆管理口、最大支持4个监听口抓包性能：1000Mbps每秒入库性能：32000条/秒CA2800S审计数据中心千百兆引擎的审计数据中心、2U上架专用设备、支持4个审计引擎、1个1000M电口管理口、1个1000M备用电口、数据存储量2T、支持

30、RAID5产品资质天玥网络安全审计系统具有如下资质：中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证国家信息安全测评认证中心颁发的产品型号证书国家保密局颁发的涉密信息系统产品检测证书中国人民解放军信息安全评测中心颁发的军用信息安全产品认证证书服务支持公司总部北京市海淀区东北旺西路8号中关村软件园21号启明星辰大厦邮编：100193电话真支机构联系方式：北京市西城区南闹市口大街1号长安中心5层#4-5B 邮编：100031电话真海市浦东新区张江高科技园区碧波路177号A区

31、1层101室 邮编：201203电话真州市万塘路317号华星世纪大楼10楼1003室 邮编：310013电话85874060传真京市珠江路88号新世界中心A座2702室 邮编：210008电话84530460传真999安徽省合肥市长江中路177号花样年华1502室 邮编：230000电话真圳市福田区深南中路2号新闻大厦14层 邮编：518027电话：0755-25951

32、188传真州市天河区中山大道西华景路1号南方通信大厦9楼 邮编：510640电话真西南宁市七星路137号外贸大厦23层2305室 邮编：530022电话真州市五四路151号宏运帝豪国际大厦10层1023室 邮编：350003电话真庆市高新区科园一街73号科技发展大厦F座5-7 邮编：400039电话1007传真都市高新区天府大道南延线高新孵化园1号楼A座4楼D-5号附1、2号 邮编：610041电话：028-