网镜认证审计系统白皮书

1、PAGE 网镜业务认证审审计系统产品白皮书（2007年99月修订）四川赛贝卡信息息技术有限公公司 CREATEDATE yyyy年M月 * MERGGEFORMMAT 20007年四川赛贝卡信息技术有限公司第32页 共33页目 录TOC o 2-2 h z t 标题 1,1 HYPERLINK l _Toc178492379 1.体系结构构及系统构成成 PAGEREF _Toc178492379 h 2 HYPERLINK l _To1.1 网镜镜-Conssole控制制台 PAGEREF _Toc178492380 h 4 HYPERLINK l _Toc17849

2、2381 1.2 网镜-Serveer审计服务务器 PAGEREF _Toc178492381 h 4 HYPERLINK l _Toc178492382 1.3 网镜-Sensoor嗅探器 PAGEREF _Toc178492382 h 5 HYPERLINK l _Toc1784923883 1.4 网镜镜-Agennt认证代理理 PAGEREF _Toc178492383 h 5 HYPERLINK l _Toc178492384 1.5 策略库库（PL） PAGEREF _Toc178492384 h 6 HYPERLINK l _Toc178492385 2.主要功能能及特点 PAG

3、EREF _Toc178492385 h 6 HYPERLINK l _Toc178492386 2.1 集中管管理的强身份份认证 PAGEREF _Toc178492386 h 7 HYPERLINK l _Toc178492387 2.2 审计及及响应 PAGEREF _Toc178492387 h 8 HYPERLINK l _Toc178492388 2.3 系统性性能监控和辅辅助故障分析析 PAGEREF _Toc178492388 h 9 HYPERLINK l _Toc178492389 2.4 多种审审计报告输出出 PAGEREF _Toc178492389 h 11 HYPE

4、RLINK l _Toc178492390 2.5 历史分分析及安全趋趋势预测 PAGEREF _Toc178492390 h 12 HYPERLINK l _Toc178492391 2.6 集中统统一的安全管管理 PAGEREF _Toc178492391 h 13 HYPERLINK l _Toc178492392 3.策略库 PAGEREF _Toc178492392 h 13 HYPERLINK l _Toc178492393 3.1 数据库库审计及响应应（DB PPL） PAGEREF _Toc178492393 h 13 HYPERLINK l _Toc178492394 3.2

5、 FTPP/Telnnet审计及及响应（Maanagemment PPL） PAGEREF _Toc178492394 h 14 HYPERLINK l _Toc178492395 3.3 SSHH协议审计及及响应（网镜镜-Proxxy/UniixTermm） PAGEREF _Toc178492395 h 15 HYPERLINK l _Toc178492396 3.4 远程桌桌面终端（RRDP）操作作审计 PAGEREF _Toc178492396 h 16 HYPERLINK l _Toc178492397 4.典型应用用及成功案例例 PAGEREF _Toc178492397 h 16

6、 HYPERLINK l _Toc178492398 4.1 中小网网络应用 PAGEREF _Toc178492398 h 16 HYPERLINK l _Toc178492399 4.2 大型网网络应用 PAGEREF _Toc178492399 h 17体系结构及系统统构成网镜业务认证审审计系统集认认证、授权、安安全响应和安安全审计为一一体，为计算算机系统提供供了一个统一一、集中的授授权、访问控控制和审计平平台。典型的的系统配置和和部署如下图图所示。网镜系统典型配配置安全风险往往出出现在“不同”之中，出现现在“设想”之外。网镜业务认证审审计系统从多多角度显示系系统在怎样的的运行、后一一时

7、刻与前一一时刻的运行行有何不同，系系统的实际运运行状况与设设计（或设想想）的运行模模式有何不同同，并针对这这些不同作出出恰当的响应应。网镜业务认证审审计系统基于于“IP数据俘俘获强身份认证证应用层数据据分析审计和响应应”实现各项功功能，设计中中充分贯彻了了平台化的思思路，使得它它具备“安全认证和和审计工具”的特征，与与基于日志收收集的审计系系统有着很大大的区别。基于日志收集的的审计系统将将原系统中的的日志信息收收集起来，综综合形成审计计报告，审计计功能受限于于原系统的日日志功能和访访问控制功能能，在审计深深度、审计响响应的实时性性方面都难以以获得很好的的审计效果。在基本安全功能能的基础上，网网

8、镜业务认证证审计系统可可针对具体的的应用需求，如如FTP/TTelnett系统维护操操作、SQLL数据库维护护操作，制定定应用级别的的认证和审计计策略，使得得系统能针对对具体的应用用或业务系统统实现命令级级别、访问逻逻辑级别的的的认证和审计计。如果再辅辅以专业安全全服务商提供供的安全咨询询和服务，网网镜业务认证证审计系统可可以更及时、准准确地反映系系统的安全运运行状况，并并进行相应的的控制。网镜业务认证审审计系统主要要实现以下安安全功能：强身份认证和访访问控制：基基于CA数字字证书或一次性动态口口令对访问者者进行身份认认证，之后根根据经认证的的身份实现访访问控制，禁禁止非法用户户访问被保护护的

9、信息。应用级的安全审审计和响应：特有的“策略库（AAppliccationn Poliicy Liibraryy）”可以深入到到应用层协议议（如操作命命令、业务操操作过程）实实现详细的安安全审计，并并根据安全策策略采取诸如如记录、审计计、告警、阻阻断等响应。提供多视角的审审计报告：根根据实时记录录的网络访问问情况，提供供多种安全审审计报告，更更清晰地了解解系统的使用用情况以及安安全事件的发发生情况，并并可根据这些些安全审计报报告进一步修修改和完善“策略库（AAppliccationn Poliicy Liibraryy）”。网镜-Conssole管理理控制台：安安装于Winndows22000

10、操作作系统之上，提提供管理控制制界面。网镜-Servver认证审审计服务器：基于专门硬硬件构建，负负责安全策略略的生成、解解释、管理，审审计数据的记记录和整理。网镜-Senssor嗅探器器：基于专门门硬件构建，根根据安全策略略对俘获的数数据进行比对对、分析，并并做出响应动动作，如告警警、阻断等。网镜-Agennt认证代理理：安装于客客户端计算机机之上，配合合网镜-Seensor完完成用户的强强身份认证。网镜-PL（PPolicyy Librrary）策策略库：针对对不同的应用用协议、应用用（业务）系系统提供状命命令级的安全全策略支持。是是网镜系统中中最具特色、最最具价值的模模块。网镜系统独具特

11、特色的“策略库（PPolicyy Librrary）”设计，使得得网镜系统不不但具备了功功能强大的安安全审计功能能，更使得网网镜系统具备备了网络安全全分析工具及及“应用层IDDS”的特征。用用户可以自己己定义符合业业务特征的“策略库”，也可选用用针对特定业业务系统设计计的“策略库”。网镜系统的策略略库分为两类类：基础策略略库，和针对对具体应用、具具体业务的策策略库。基础策略库（BBasic PL）提供供了基于IPP报的安全策策略的制定功功能。用户可可以直接编辑辑安全策略，也也可利用网镜镜系统提供的的“录制”功能，在俘俘获的IP报报的基础上，提提炼出符合需需要的安全策策略。应用策略库则针针对不同

12、的通通信协议、业业务系统进行行设计，目前前提供了数据据库（DB）策策略库（PLL/DB）、Unixx主机策略库库（PL/UUMG），并提供了了专门的模块块，以支持SSSH协议和和远程桌面终终端登录（RRDP、33389协议）的的审计。针对不同协议或或业务系统的的应用 “策略库（PPolicyy Librrary）”使得用户可可以灵活地制制定数据俘获获、安全审计计及响应策略略，根据系统统实际的运行行情况输出恰恰当的审计报报告，更全面面、更有重点点地了解和掌掌握系统的运运行状况。随着研发工作的的不断深入，我我们还会根据据不同的应用用协议或应用用系统开发出出具备应用特特征、行业特特征的“策略库（PP

13、olicyy Librrary）”。这也是网网镜系统最具具生命力的特特点：随着网网镜系统的应应用和 “策略库（AAppliccationn Poliicy Liibraryy）”的及时更新新， 网镜系系统所提供的的功能将越来来越丰富、越越来越接近用用户的实际使使用需求。网镜-Conssole控制制台网镜-Conssole控制制台提供了一一个图形化的的管理、使用用、和维护的的界面。通过过网镜-Coonsolee控制台制定定的各种访问问控制和安全全审计策略将将自动下载到到网镜-Seerver执执行；访问控控制和安全审审计结果通过过网镜-Seerver收收集后，按照照用户设定的的输出内容、输输出方式

14、通过过网镜-Coonsolee形成最终的的安全审计报报告。网镜-Conssole控制制台支持Wiindowss2000/2003/XP操作系系统，一个系系统中可以配配置多个网镜镜-Conssole控制制台。网镜-Servver审计服服务器网镜-Serrver审计计服务器是整整个认证审计计系统的核心心部件，向上上接受网镜-Consoole管理控控制台制定的的各种安全策策略，并将这这些安全策略略贯彻到网镜镜-Senssor嗅探器器、网镜-AAgent；向下接收由由网镜-Seensor嗅嗅探器获取的的原始通信数数据并写入数数据库，形成成审计报告后后提供给网镜镜-Conssole管理理控制台。网镜-S

15、errver审计计服务器基于于赛贝卡自行行设计的硬件件平台构建，目目前有两种型型号的产品。型号网镜-Servver/M网镜-Servver/H使用环境大、中型网络大型网络管理会话数4.5万个9万个以太网接口10/100MM2；1000/10000M210/100MM2；1000/1000M2存储器标配1.5T Raid00/5，最高高2.0T标配2.0T Raid00/5，最高高3.2T外观2U19英尺尺标准机箱2U19英尺尺标准机箱供电标配单2200V，可选配配冗余2220V热备功能支持MTBF45,000小小时60,000小小时一台网镜-Seerver认认证审计服务务器可以同时时对多个网镜

16、镜-Senssor嗅探器器进行管理并并存储和整理理由这些嗅探探器传递来的的信息。网镜-Senssor嗅探器器网镜-Senssor嗅探器器对通信内容容进行扫描和和匹配检查，根根据安全策略略进行安全响响应。当发现访问者要要访问被保护护的信息时，要要求访问者基基于网镜-CConsolle控制台颁颁发的USBB进行身份认认证，如果访访问者不能通通过身份认证证，则拒绝访访问者对网络络进行访问。对正常通信的信信息，网镜-Sensoor嗅探器根根据网镜-SServerr发布的安全全审计策略对对应用操作进进行匹配和过过程分析，当当发现符合安安全规则（策策略）的通信信时，采取相相应的措施。网镜-Sennsor嗅

17、探探器基于赛贝贝卡自行设计计的硬件平台台构建，目前前有两种型号号的产品。型号网镜-Senssor/M网镜-Senssor/H使用环境中、小型网络大型网络审计并发会话数数1万个；可扩充充2万个；可扩充充以太网接口10/100MM2；1000/1000M210/100MM2；1000/1000M2热备工作模式支持支持MTBF60,000小小时60,000小小时外观2U19英尺尺标准机箱供电单220V；可选配冗余余电源网镜-Agennt认证代理理网镜-Agennt认证代理理安装于客户户端计算机之之上，负责实实现访问者与与网镜-Seensor之之间的身份认认证。当访问者需要访访问被保护的的信息时，在在

18、计算机的UUSB接口上上插入由网镜镜-Conssole颁发发的USB令令牌（CA证证书），网镜镜-Agennt负责从UUSB令牌中中提取出CAA证书，并与与网镜-Seensor共共同完成用户户的身份认证证。网镜-Agennt支持WiindowssNT/Mee/20000/20033/XP、LLinux操操作系统。策略库（PL）如果说网镜-CConsolle、网镜-Servver、网镜镜-Senssor、网镜镜-Agennt形成了网网镜系统的骨骨骼和躯干，那那么，策略库库则是网镜系系统的灵魂和和血液。不同的审计策略略库针对不同同的应用系统统和安全目的的进行设计。基础策略库（BBasic PL）提

19、供供了基于IPP报的安全策策略的制定功功能。用户可可以直接编辑辑安全策略，也也可利用网镜镜系统提供的的“录制”功能，在俘俘获的IP报报的基础上，提提炼出符合需需要的安全策策略。DB（数据库）策策略库（PLL/DB）提供供了基于SQQL命令的数数据库操作审审计及响应功功能，实现数数据库操作审审计、还原和和响应，支持持各个版本的的Inforrmix 、DDB2、Orracle、SSybasee 、MS SQL SServerr、MySQQL数据库系系统。Unix主机策策略库（PLL/UMG）提提供了FTPP/Telnnet/rllogin/RCP操作作审计及响应应功能，针对对FTP/TTelnet

20、t/rloggin/RCCP协议进行行命令、字符符级的访问控控制和审计，并并可回放FTTP/Tellnet/rrloginn/RCP的的操作过程及及结果；为每每个用户设定定特定的命令令子集，针对对FTP/TTelnett/rloggin/RCCP的具体应用用需求禁止或或允许某些特特定的操作。由于FTP/TTelnett/rloggin/RCCP协议通常常也被用于各各种网络设备备的维护操作作，因此，UUnix主机机策略库（PPL/UMGG）同样可以以对各种网络络设备的操作作进行审计和和访问控制。另外，网镜系统统也提供了专专门的软件模模块，对SSSH协议和远远程桌面协议议（RDP、33389协议议

21、）进行审计计和访问控制制。除了针对上述通通用的应用提提供策略库外外，网镜系统统还针对一些些行业的普遍遍应用设计了了策略库，例例如，针对移移动行业经营营决策系统、BBOSS系统统设计的策略略库。主要功能及特点点网镜认证审计系系统突出的三三大功能为：提供基于CA数数字证书或一一次性动态口口令的强身份份认证；针对不同的应用用协议，如数数据库操作，提提供基于应用用操作的审计计及响应；根据设定输出不不同的安全审审计报告。集中管理的强身身份认证身份认证是系统统安全中最基基本、也是最最重要的一个个环节。一般的网络设备备、主机系统统、业务系统统都提供了“UserNName+PPasswoord”的身份认证证机

22、制，然而而，这种身份份认证机制的的安全性越来来越受到置疑疑和挑战，网网镜系统在不不修改原系统统任何软件或或硬件配置的的基础上，提提供了额外的的、安全强度度更高的二次次身份认证机机制，可选择择的认证方式式包括：基于CA证书的的身份认证机机制；支持基于短信系系统传递一次次性动态口令令，进行动态态口令认证；在这种情况况下，需要用用户提供相应应的短信传输输接口，并进进行一定的客客户化定制开开发；基于Radiuus协议，与与任何第三方方的动态口令令系统、强身身份认证系统统集成。为了使用网镜提提供的强身份份认证功能，需需要在客户端端安装网镜-Agentt认证代理软软件，并配置置专门的USSB身份认证证令牌

23、。首先，系统管理理员需要通过过网镜-Coonsolee对用户的身身份及访问权权限等信息进进行设置：为用户产生一个个基于X.5509标准的的CA证书并并写入USBB令牌，之后后将该USBB令牌发放给给用户；设定该用户可以以访问的网络络资源及命令令权限，如IIP地址段、TTCP端口号号等；如果需要，可以以设定更高层层次的安全审审计及响应策策略；或者应应用由“策略库”提供的安全全策略。对用户而言，当当需要访问被被保护的信息息时，在计算算机中插入UUSB令牌并并输入正确的的USB保护护口令，网镜镜-Agennt将自动与与网镜-Seenor完成成对用户的强强身份认证。如如果用户没有有通过强身份份认证，则

24、拒拒绝用户对保保护信息的访访问；如果通通过了强身份份认证，则加加载相应的访访问控制、审审计及响应策策略，对访问问过程进行审审计和控制。网镜的强身份认认证功能提高高了原系统的身身份认证强度度，为系统安安全奠定了坚坚实的基础。在在此基础上，网网镜系统的其其它功能模块块，包括访问问控制、审计计及响应等，能能更有效、更更有针对性地地实施各种安安全策略；网网镜系统之外外的其它安全全系统，也可可以借助网镜镜提供的强身身份认证功能能，发挥出更更好的安全防防护效能。通过对特定通信信协议的解析析，网镜系统统还可以自动动获取用户的的系统身份；网镜系统可可以基于用户户的“网镜身份”和“系统身份”提供访问控控制、安全

25、审审计功能。在使用短信动态态口令进行身身份认证，或或者使用Raadius集集成第三方身身份认证时，用户的操作过程与上述CA认证过程类似。不同之处在于：无需使用USB令牌，在输入保护口令时，这些口令来自于其它介质提供的动态口令，如：一次性动态口令卡显示的动态口令，或者收到的短消息中给出的一次性动态口令。审计及响应网镜业务认证审审计系统基于于“IP数据俘俘获强身份认证证应用层数据据分析审计和响应应” 的模式提提供各项安全全功能，使得得它的审计功功能大大优于于基于日志收收集的审计系系统。基础策略库（BBasic PL）作为为必购模块包包含于网镜系系统软件包中中，它提供了了基本的审计计响应功能，这这些

26、功能同样样会沿用到选选配的其它策策略库之中。具具体的应用级级审计策略库库的详细介绍绍见“3. 策略略库”。面向服务和操作作者的审计和和响应网镜业务认证审审计系统的审审计和响应功功能所要完成成的任务可以以简单地描述述为： “某个特定的的服务（如FFTP、Teelnet、SSQL、SNNMP等）可可以（或不可可以）被某个个特定的用户户怎样地访问问”，这使得它它提供的审计计和响应具有有很强的针对对性和准确性性。础策略库（Baasic PPL）提供了了基于IP报报及其组合的的审计和策略略响应功能，用用户可针对具具体的业务系系统制定安全全审计及响应应策略，这些些策略可以基基于一个IPP报的，也可可以基于

27、多个个有业务逻辑辑的IP报，然然后将该策略略赋予对应的的访问者，由由此实现对应应用操作和访访问的精确审审计及响应。策略定制和样本本录制网镜业务认证审审计系统提供供了专门的策策略和规则定定义模块，使使得用户可以以自行设定和和调整各种安安全审计及响响应的策略。然而，在某些情情况下，用户户可能不是很很了解业务的的操作特征，针针对这种情况况，网镜业务务认证审计系系统提供了“样本录制及及规则提取”功能，使得得用户可以在在纷繁的操作作中提取规律律性的信息，进进一步提炼成成“安全规则”，然后将这这些规则整理理、编辑，并并加入“访问对象”、“审计响应动动作”、“操作时间”等信息后形形成最终的“安全策略”。“策

28、略定制和样样本录制”体现了这样样一种安全思思路：一种网网络行为是否否被判定为攻攻击，一定与与具体的业务务系统相关，也也一定与操作作者的身份及及当时的环境境相关。基于业务特征的的规则库用户可以通过手手工录入、样样本录制等方方式制定符合合业务特征的的规则，然后后将多个规则则进行汇总、编编辑和命名，形形成具备某种种业务特征的的规则写入用用户自定义的的规则库。这这样，用户在在针对某个特特定用户制定定认证审计策策略时，可以以直观地使用用自命名的规规则进行设置置，方便了各各种策略的制制定和查询。网镜业务认证审审计系统在形形成审计报告告时，也使用用用户自定义义的规则名或或策略名，这这样，用户在在阅读审计报报

29、告时，看到到的是直观的的业务操作，而而不是晦涩难难懂的网络术术语或杂乱无无章的IP数数据报。多种响应方式网镜业务认证审审计系统提供供了多种响应应方式，包括括：在网镜-Sevver审计服服务器中记录录相应的操作作过程；在日常审计报告告中标注；向网镜-Connsole控控制台发出告告警信息；向管理员手机发发出告警短消消息；实时阻断通信连连接。实时跟踪和回放放管理员可以通过过网镜-Coonsolee控制台实时时地跟踪一个个或多个网络络连接，通过过系统提供的的“时标”清晰地显示示不同网络连连接中每个操操作的先后顺顺序及操作结结果，当发现现可疑的操作作或访问时，可可以实时阻断断当前的访问问。管理员也可以

30、从从网镜-Seerver中中提取审计数数据对通信过过程进行回放放，便于分析析和查找系统统安全问题，并并以次为依据据制定更符合合业务特征和和系统安全需需求的安全规规则和策略。目目前，网镜业业务认证审计计系统支持FFTP、Teelnet两两种协议的过过程回放，随随着研发工作作的深入，还还将支持更多多协议的过程程回放。系统性能监控和和辅助故障分分析网镜系统在完成成审计的同时时，可以记录录每个访问请请求的时间，以以及该请求的的响应时间、响响应结果等。这这使得它具备备了系统性能能监控和辅助助故障分析的的能力。性能监控在网络、主机、服服务层次，网网镜系统提供供了诸如访问问流量、访问问次数、访问问用户数等信

31、信息，并通过过图形、表格格等形式进行行显示。通过过查看这些参参数，管理员员能对系统的的整体运行情情况有个概略略的了解。例如：对于某个个应用系统，动动态地显示了了它的流量情情况、访问次次数、访问用用户的分布情情况等；通过过查看这些实实时信息，并并将这些信息息于历史统计计数据进行比比对，就可基基本了解应用用系统当前是是否工作正常常。如果流量量情况、访问问次数、访问问用户的分布布出现较大的的波动，甚至至是中断，则则预示着系统统出现了故障障。在数据库层次，可可以对数据库库表、存储过过程等进行监监控和统计，并并设置报警阈阈值；也可以以对特别定义义的数据库访访问过程进行行监控和统计计，并设置报报警阈值。对

32、于数据库资源源，监控和统统计的结果包包括的访问量量、访问用户户的分布情况况、资源访问问的响应时间间等信息。对于数据库访问问过程，监控控和审计的结结果包括执行行次数、响应应成功率、响响应时间等信信息。例如，在在数据库系统统中，某个数数据库的操作作过程的响应应时间、访问问成功率可能能代表了整个个系统的运行行效率、运行行的稳定度；就可以针对对这个操作过过程设置匹配配规则，并进进行监控、统统计和告警。在业务系统层次次可以针对某某些关键的操操作过程定义义匹配规则，对对这些过程的的响应时间、响响应结果进行行监控和统计计，并设置报报警阈值。例如在业务系统统中，某个WWEB页面、某某个按钮、某某个菜单的响响应

33、时间、访访问成功率代代表了业务系系统的运行效效率、运行的的稳定度；就就可以针对这这个操作过程程设置匹配规规则，并进行行监控、统计计和告警。利用访问响应时时间的统计和和报警功能，管管理员能动态态地掌握数据据库系统、业业务系统的运运行效率；并并可根据经验验或历史统计计数据设置报报警阈值，当当响应时间超超过设定的阈阈值时，主动动发出告警信信息，使得系系统管理员有有充分的时间间进行故障排排查。辅助故障分析在发现系统出现现故障或性能能波动后，可可以利用网镜镜系统的审计计信息，以及及实时监控、过过程回放、审审计查询等功功能，查找引引起系统性能能波动或故障障的原因。例如，对于数据据库系统而言言，通过网镜镜系

34、统发现从从某一时刻起起，数据库的的运行效率下下降、访问的的响应时间变变长。在这种情况下，首首先，可以基基于时间、IIP地址、数数据库系统账账号等信息，查查找出该时间间段内的相关关TCP连接接。利用回放功能，可可以重现这些些数据库操作作过程，并显显示详细的数数据库操作语语句（SQLL）、操作对对象等。同时时，也可以使使用“命令查询”功能，主动动地查找可能能引起性能波波动的数据库库操作。在基本确定了怀怀疑对象后，如如某个SQLL语句或数据据库操作过程程，可以针对对怀疑对象过过程定义匹配配规则，并要要求网镜系统统精确记录这这些访问的次次数、响应时时间、响应成成功率等，启启动“实时监控”。在业务系系统

35、重再次进进行此类操作作，通过查看看网镜系统提提供的信息，验验证最初的怀怀疑。如果业务系统在在某一刻出现现致命性的错错误，甚至是是服务中断。在在这种情况下下，首先需要要分析可能引引起错误或服服务中断的原原因，如Unnix系统或或数据库系统统中执行了不不正确的操作作命令等，然然后在网镜系系统中进行查查询；同时，也也可以提取在在服务中断前前的TCP连连接进行分析析和查看，这这些TCP连连接可能是应应用系统发起起的，也可能能是管理员通通过SQL PLUS之之类的数据库库管理软件发发起的，也可可能是通过TTelnett发起的。综综合利用网镜镜的各种功能能，逐步缩小小怀疑的范围围，并最终确确定发生的原原因

36、。多种审计报告输输出网镜业务认证审审计系统从安安全管理的角角度出发，设设计一套完善善的审计报告告输出机制。围绕安全策略生生成审计报告告直观、便于理解解的审计报告告是一个审计计系统、甚至至是一个安全全系统设计是是否成功的关关键所在。一一些IDS系系统、系统漏漏洞扫描系统统、甚至是主主机的日志系系统，本身具具有很好的安安全功能，但但是由于审计计报告的不直直观、难以理理解，在实际际使用中往往往难以发挥有有效的作用。网网镜业务认证证审计系统围围绕安全策略略输出审计报报告，很好地地解决了这个个问题。系统管理员制定定的安全策略略本身就充分分体现了系统统管理员重点点关心的问题题，围绕安全全策略设定审审计输出

37、报告告，使得系统统管理员能迅迅速地得到自自己最关心的的信息。并且且，由于安全全策略本身是是系统管理员员自己定义的的，他（她）就就更容易理解解这些基于安安全策略生成成的审计报告告。多种筛选条件网镜业务认证审审计系统提供供了强大、灵灵活的筛选条条件设置机制制。在设置筛选条件件时，系统管管理员可基于于以下要素的的组合进行设设置：用户自自定义的过程程名称；访问问对象的内容容（如SQLL的表单名称称）；IP地地址；网段；应用端口号号；时间段；用户的身份份；安全策略略或安全规则则名称；访问问命令；IPP数据的传递递方向；审计计响应的动作作类型等。系统管理员可根根据需要灵活活地设置审计计报表的各种种要素，迅

38、速速地生成自己己希望看到的的审计内容。网镜业务认证审审计系统可以以实时地根据据系统管理员员设定的筛选选条件生成审审计报告，也也允许系统管管理员设定审审计报表的输输出时间，如如日报表、月月报表、年报报表等。系统管理员也可可将已经生成成的审计报表表作为生成新新的审计报表表的原始数据据，重新生成成精确度更高高的审计报表表。形式多样的审计计报表网镜业务认证审审计系统可以以生成形式多多样的审计报报告，满足不不同场合对审审计报表格式式及显示方式式的不同要求求。网镜业务认证审审计系统支持持生成HTMML格式的报报表文件，在在这些文件中中详细地列出出了用户希望望查看的系统统使用信息，并并对某些关键键的审计结果

39、果给出解释和和风险评估。网镜业务认证审审计系统也支支持基于柱型型图、饼图、曲曲线形式的图图形输出，直直观地显示出出系统的运行行状况，例如如某TCP端端口号的使用用情况、某个个应用层命令令的使用情况况等。历史分析及安全全趋势预测审计并不等同与与日志，更不不是事件的罗罗列；审计应应该基于真实实的事件记录录提供更高层层次的信息综综合分析，从从不同的侧面面展示审计对对象的运行状状况、使用情情况；审计的的目的并不仅仅仅是提供事事后的追踪，还还应该提供预预防措施和决决策依据。网镜业务认证审审计系统在真真实记录关键键事件的基础础上，提供了了强有力的“历史分析及及安全趋势预预测”功能。网镜系统的“历历史分析及

40、安安全趋势预测测”功能建立在在这样的安全全理念之上“上周期系统统运行是安全全的，如果本本周期系统的的运行特征与与上周期类似似，则可以基基本判定本周周期的运行是是安全、健康康的”。网镜系统统一方面可以以提供任何时时间段内被审审计系统的翔翔实的运行、使使用情况；另另一方面，也也可以提供不不同周期内运运行、使用情情况的变化情情况。通过网镜系统提提供的“报表及分析析向导”功能，系统统管理员可以以自行定义或或修改需要进进行分析和评评估的关键事事件，这些关关键事件包括括：网络流量量、TCP连连接数量、用用户登录/登登出、关键命命令或操作、匹匹配规则触发发情况等。网网镜系统强根根据所定义的的条件和内容容，提

41、供关键键事件的历史史分析，并对对系统的安全全性能进行预预测。在建立“报表及及分析向导”时，允许系系统管理员针针对不同的关关键事件设定定不同的“波动阈值”，当关键事事件的变化超超过了“波动阈值”时，将主动动向系统管理理员告警，提提示系统管理理员系统的运运行、使用出出现了异常情情况，这种异异常可能是安安全事故发生生的前兆。系系统管理员可可及时使用网网镜系统提供供的各项查询询、跟踪手段段对系统进行行安全诊断，以以判断这种异异常是否潜在在着安全风险险。如果评估估的结果是安安全风险比较较高，则可以以重点监控出出现异常的网网络行为；或或者及时地采采取相应的安安全防范措施施。除了网镜系统产产品本身提供供的“

42、历史分析及及安全趋势预预测”功能外，作作为长期从事事行业安全审审计产品开发发和安全服务务的提供商，赛赛贝卡积累了了丰富的行业业经验，对于于行业业务系系统的安全运运行特点有比比较深刻的了了解。利用这这些经验和积积累的行业安安全知识，赛赛贝卡可以帮帮助用户设置置比较恰当的的安全策略，使使得网镜系统统能尽快地发发挥出最大的的安全审计、安安全管理、安安全评估作用用。集中统一的安全全管理网镜业务认证审审计系统的网网镜-Connsole控控制台提供了了集中的管理理控制界面，系统管理员通过网镜-Console控制台就能管理和综合分析所有嗅探器的审计信息和状态信息，并形成审计报表。网镜业务认证审审计系统支持持

43、分级管理模模式，可对不不同的系统管管理员设定不不同的管理权权限。例如，超超级管理员拥拥有所有的管管理权限；而而某些普通管管理员则可能能仅拥有查看看审计报表的的权限，某些些管理员可以以拥有设置安安全策略或安安全规则的权权限。如果系统中配置置有多个网镜镜-Senssor嗅探器器，也可以把把不同的嗅探探器的管理权权限赋予不同同的系统管理理员。为了便于远程维维护，网镜业业务认证审计计系统支持一一套专门设计计的、安全的的远程维护协协议，使得维维护人员可以以通过网络对对系统进行远远程诊断和故故障维护。网网镜-Serrver及网网镜-Sennsor均支支持系统软件件的在线升级级和参数的备备份，在不中中断、不

44、影响响正常工作的的情况下对系系统软件进行行升级。策略库策略库（PL，AAppliccationn Poliicy Liibraryy）是网镜业业务认证审计计系统的核心心部件之一，除除了基础策略略库外，目前前提供数据库库策略库（DDB PL）、管管理协议策略略库（Mannagemeent PLL）两种通用用的策略库，以以及针对具体体业务系统的的专业策略库库，如移动行行业的经营决决策系统、BBOSS系统统的策略库。数据库审计及响响应（网镜-PL/DB）数据库策略库（DDB PL）基基于SQL-92协议集集定义了一套套丰富的安全全审计和响应应策略，支持持各个版本的的Inforrmix 、OOracl

45、ee、Sybaase 、DDB2、MSS SQL Serveer。数据库操作审计计网镜业务认证审审计系统支持持SQL-992命令集及及其对不同类类型的数据库库、不同版本本的数据库的的SQL语句句的扩展，支支持诸如查询询（Seleect）、插插入（Inssert）、删删除（Dellete）、创创建（Creeate）等等SQL命令令以及存储过过程的执行进进行审计和分分析。网镜业务认证审审计系统可以以根据基本SSQL命令和和存储过程进进行组合，形形成一个有实实际意义的访访问过程，并并对其进行显显示和查询；可以对指定定用户、指定定时间段内的的整个登录、操操作、退出的的完整访问过过程进行还原原、查看和分

46、分析。数据库操作的访访问控制当发现与登录者者身份不符合合的SQL命命令、应用操操作命令或流流程时，网镜镜-Senssor将及时时采用拆除连连接的方式阻阻断该访问，并并向系统管理理员发出告警警。告警方式式包括：图形形（告警对话话框）、声音音、E-Maail、手机机短信。网镜业务认证审审计系统可基基于指定的数数据库对象（如如数据库、表表、视图、存存储过程等）和和指定操作（如如创建、修改改、添加、删删除等）进行行访问控制和和审计；也可可基于管理员员自定义的关关键字进行访访问控制和审审计。面向操作和应用用的智能化分分析网镜业务认证审审计系统针对对数据库的使使用特点设计计了一套智能能化的审计输输出界面，

47、通通过对SQLL命令的截获获、分析和还还原，直观地地显示出关键键操作的结果果，并可对多多个操作进行行并发跟踪和和分析，便于于管理员分析析系统存在的的安全漏洞。用户可基于自定定义的过程名名称、命令进进行审计信息息的查询、跟跟踪和分析，使使得管理员能能基于对业务务系统的理解解对系统进行行审计跟踪，大大大地提高了了系统的易用用性。这些过过程可以包含含多个来往与与服务器和客客户端的SQQL命令、应应用系统命令令。Unix主机操操作审计及响响应（网镜-PL/UMMG）FTP、Tellnet、rlogiin、RCPP被广泛应用用于Unixx主机、路由由交换设备的的维护，这些协议的灵活活性、易用性性也正是它

48、们们的安全缺陷陷所在，网镜镜-PL/UUMG策略库库针对这些常常用的协议进进行了命令级级的访问控制制，使得在使使用FTP/Telneet/rloogin/RRCP等进行行维护时，系系统的安全性性有很大的提提高。细粒度访问控制制普通的FTP/Telneet/rloogin/RRCP系统的的访问控制粒粒度一般仅限限于文件和目目录的读、写写、删除等，无无法实现细粒粒度的访问控控制。网镜-PL/UUMG除了实实现对读、写写、删除的授授权和控制外外，还针对FFTP/Teelnet/rlogiin/RCPP协议进行命命令、字符级级的访问控制制，为每个用用户设定特定定的命令子集集，甚至可以以针对FTPP/T

49、elnnet/rllogin/RCP的具具体应用特征征限制或开放放某些特定的的字符串。系统管理员也可可以根据系统统维护的操作作特点设定由由若干个FTTP/Tellnet/rrloginn/RCP操操作命令组成成的、具有一一定业务特征征的操作过程程，对其进行行审计和控制制。网镜-PL/UUMG也支持持将FTP/Telneet/rloogin/RRCP命令与与操作对象进进行组合后形形成安全规则则，完成响应应的审计或控控制策略。审计和回放对于FTP/TTelnett/rloggin/RCCP协议，网镜-PL/UMMG除了提供供上面介绍的的认证审计功功能外，还提提供了实时操操作监控和过过程回放两种种功

50、能。所谓实时操作监监控，是指系系统管理员可可以实时地选选取一个或多多个在线的FFTP/Teelnet/rlogiin/RCPP会话过程，监监控其操作命命令及操作结结果。在网镜镜-Conssole控制制台的界面中中将出现与实实际FTP/Telneet/rloogin/RRCP操作完完全相同的显显示界面，当当发现非法的的操作时，系系统管理员可可以发出控制制命令来阻断断当前的FTTP/Tellnet/rrloginn/RCP会会话。过程回放是指网网镜-PL/UMG可以以从审计数据据库中调用一一个或多个FFTP/Teelnet/rlogiin/RCPP通信的原始始数据，在的的网镜-Coonsolee控制台中重重新显示当时时的操作过程程和服务器响响应情况。这这个功能尤其其适用于对安安全问题出现现的原因进行行事后分析和和定位。SSH协议审计计及响应（网网镜-Prooxy/UnnixTerrm）随着安全问题的的日益突出，人人们越来越多多地采用SSSH协议来替替换原来的TTelnett协议，以加加强远程登录录的安全性。由于SSH采用用了传输加密密技术，使得得网镜系统无无法解析出具具体的通信内内容，为