启明星辰天玥网络安全审计系统-白皮书_第1页
启明星辰天玥网络安全审计系统-白皮书_第2页
启明星辰天玥网络安全审计系统-白皮书_第3页
启明星辰天玥网络安全审计系统-白皮书_第4页
启明星辰天玥网络安全审计系统-白皮书_第5页
已阅读5页,还剩17页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

天玥网络安全审计系统产品白皮书北京启明星辰信息技术有限公司 PAGE4

启明星辰

天玥网络安全审计系统

产品白皮书(版本2.0)北京启明星辰信息技术有限公司2009年9月版权声明北京启明星辰信息技术有限公司©2009版权所有,保留一切权利。未经北京启明星辰信息技术有限公司(以下简称启明星辰)书面同意不得擅自传播、复制、泄露或复写本文档的全部或部分内容。本文档中的信息归启明星辰所有并受中国知识产权法和国际公约的保护。信息更新本文档及与之相关的计算机软件程序(以下称为文档)用于为最终用户提供信息,并且随时可由启明星辰更改或撤回。发布日期:2009年9月。适用范围:《天玥网络安全审计系统V6.0》信息反馈如有任何意见或建议,请按如下联系方式反馈给启明星辰。邮政地址:北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮政编码:100094电话:86-10-82779088 传真:86-10-82779000E-mail:cpyj@免责条款根据适用法律的许可范围,启明星辰按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下,启明星辰都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使启明星辰明确得知这些损失或损坏,这些损失或损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。产品主要功能天玥网络安全审计系统基于“IP数据俘获→强身份认证(可选)→应用层数据分析→审计和响应”的模式提供各项安全功能,使它的审计功能明显优于目标系统依靠自主保护策略提供的审计功能。主要体现在以下几个方面:与目标系统的状态无关无论目标系统是否遭到入侵,安全机制是否正常运转,天玥的审计结果仍然是可信的;能够审计到更细的粒度天玥审计的最小粒度为命令级,而一般操作系统提供的日志受日志来源限制,往往只能到进程级或者会话级;能够进行更灵活的自定义审计天玥可以根据用户业务系统的不同提供强大的自定义审计功能,而一般操作系统提供的日志完全取决于自身审计功能,不支持用户自定义;天玥网络安全审计系统主要功能如下:针对不同的应用协议,提供基于应用操作的审计;提供数据库操作语义解析审计,实现对违规行为的及时监视和告警;提供上百种合规规则,支持自定义规则(正则表达式等),实现灵活多样的响应;提供基于硬件令牌、静态口令、Radius支持的强身份认证;根据设定输出不同的安全审计报告;面向业务的审计数据库审计天玥网络安全审计系统能够监视并记录对数据库服务器的各类操作行为,实时地、智能地解析对数据库服务器的各种操作,一般操作行为如数据库的登录,特定的操作如对数据库表的插入、删除、修改,执行特定的存贮过程等,都能够被记录和分析,分析的内容要求可以精确到SQL操作语句一级。并记录这些操作的用户名、机器IP地址、操作时间等重要信息。系统能够对采用ODBC、JDBC、OLE-DB、命令行嵌入方式对数据库的访问进行审计和响应。SQL语句的支持SQL92标准,主要包括以下几种类型的审计:DDL:Create,Drop,Grant,Revoke…DML:Update,Insert,Delete…DCL:Commit,Rollback,Savapoint…其他:AlterSystem,Connect,Allocate…存储过程 目前,天玥网络安全审计系统支持以下数据库系统的审计OracleSQL-ServerDB2InformixSybaseTeradataMysqlPostgreSQLCache网络运维审计天玥网络安全审计系统支持常用的运维协议,比如Telnet、FTP、Rlogin、X11、Radius等协议的审计,能够全程记录用户在服务器上的各种操作(包括命令行操作、交互菜单操作、业务系统操作),并且可以实现类似窗口录像回放形式的还原。OA审计天玥网络安全审计系统支持HTTP、POP3、SMTP、Netbios、NFS协议的审计,能够记录网页URL、内容、发件人、收件人、邮件内容、网络邻居的各种操作等信息。数据库响应时间及返回码的审计天玥网络安全审计系统支持对SQLServer、DB2、Oracle、Informix等数据库系统的SQL操作响应时间和返回码的审计。通过对响应时间和返回码的审计,可以帮助用户对数据库的使用状态全面掌握、及时响应故障信息,特别是当新业务系统上线、业务繁忙、业务模块更新时,通过天玥网络安全审计系统对超长时间和关键返回码进行审计并实时报警有助于提高业务系统的运营水平,降低数据库故障等带来的运维风险。细粒度审计规则和响应定制审计事件规则天玥网络安全审计系统提供了事件规则用户自定义模块,允许用户自行设定和调整各种安全审计事件的触发条件与响应策略。例如,用户特别关注在telnet过程中出现rm、passwd、shutdown等命令的行为,那么用户就可以利用天玥网络安全审计系统定义相应的审计事件规则。这样,天玥网络安全审计系统就可以针对网络中发生的这些行为进行响应。特定账号行为跟踪系统能够实现对“用户网络环境中出现的特定账号或特定账号执行某种操作后”的场景进行账号跟踪,提供对后继会话和事件的审计。这样,管理员能够对出现在网络中的特权账号,比如root、DBA等,进行重点的监控,特别是哪些本不应出现在网络上的特权账号突然出现的事件。强大的数据库规则系统能够根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件,对用户关心的违规行为进行响应,特别是针对重要表、重要字段的各种操作,能够通过简单的规则定义,实现精确审计,降低过多审计数据给管理员带来的信息爆炸。多编码环境支持天玥网络安全审计系统适用于多种应用环境,特别是在异构环境中,比如IBMAS/400通常采用EBCDIC编码方式实现telnet协议的传输、某些数据库同时采用几种编码与客户端进行通讯,若系统不能识别多种编码,会导致审计数据出现乱码,对多编码的支持是衡量审计系统环境适应性的重要指标之一,目前天玥网络安全审计系统支持如下编码格式ASCIIUnicodeUTF-8UTF-16GB2312EBCDIC多种响应方式天玥网络安全审计系统提供了多种响应方式,包括:在天玥审计服务器中记录相应的操作过程;在日常审计报告中标注;向天玥管理控制台发出告警信息;实时RST阻断会话连接;管理人员通过本系统手工RST阻断会话连接;通过Syslog方式进行告警通过SNMPTrap方式进行告警通过邮件方式进行告警强身份认证传统的网络安全审计系统通过网络层捕获实现审计数据的解析,对网络行为的定位往往局限于IP地址和MAC地址,在某些场景,比如要求自然人和网络行为关联的情况下,由于IP地址或MAC地址不具备源头可信任,追踪稽查效果大打折扣。针对这种情况,启明星辰公司的天玥网络安全审计系统提供了USB硬件令牌、静态口令、Radius支持三种方式进行认证,用户可选择适合自身使用习惯的认证方式实现对自然人的绑定,当自然人在进行网络操作时,其真实身份将会和网络行为进行关联,从而实现对自然人的追踪和稽查。审计报告输出天玥审计系统从安全管理的角度出发,设计一套完善的审计报告输出机制。多种筛选条件天玥网络安全审计系统提供了强大、灵活的筛选条件设置机制。在设置筛选条件时,审计员可基于以下要素的组合进行设置:时间、客户端IP、客户端端口号、服务端IP、服务端端口、关键字、事件级别、引擎名、业务用户身份、资源账号等条件。审计员可根据需要灵活地设置审计报表的各种要素,迅速生成自己希望看到的审计内容。同时系统提供了报表模板功能,审计员无需重复输入,只需要设置模板后,即可按模板进行报表生成。自动任务支持天玥网络安全系统提供报表任务功能,审计员可根据实际情况定制报表生成任务;系统支持HTML、EXCEL、CSV、PDF、Word等多种文档格式的报表输出,可以通过邮件方式自动发送给审计员。数据和报表备份天玥网络安全审计系统提供了审计数据和报表的手动和自动备份功能,可以将压缩后的数据自动传输到指定的FTP服务器,提供每天、每周、每月、时刻的定义方式。自身管理安全管理天玥网络安全审计系统的管理控制中心提供了集中的管理控制界面,审计员通过管理控制台就能管理和综合分析所有审计引擎的审计信息和状态信息,并形成审计报表。天玥网络安全审计系统支持权限分级管理模式,可对不同的角色设定不同的管理权限。例如,超级管理员拥有所有的管理权限;而某些普通管理员则可能仅拥有查看审计报表的权限,某些管理员可以拥有设置审计策略或安全规则的权限。系统提供专门的自身审计日志,记录所有人员对天玥系统的操作,方便审计员对日志进行分析和查看。状态管理天玥网络安全审计系统提供CPU、内存、磁盘状态、网口等运行信息,管理员可以很轻松的通过GUI界面实现对审计数据中心、审计引擎的工作状态进行查看。当出现错误信息时,比如Raid故障、磁盘空间不足、引擎连接问题,系统可自动邮件通知相关管理人员。时间同步管理天玥网络安全审计系统提供手工和NTP两种时间同步方式,通过对全系统自身的时间同步,保证了审计数据时间戳的精确性,避免了审计事件时间误差给事后审计分析工作带来的影响,提升了工作效率。关键特性与客户收益关键特性审计事件入库达到每秒8000条以上,能够满足高性能情况下对审计系统的要求,避免性能不足导致事件不完整给事后审计追查带来的问题。支持主流商用数据库,实现细粒度的审计,能够审计时间、级别、目的IP、源IP、源端口、目的端口、源MAC、目的MAC、资源账号、数据库名、数据库表名、数据库命令、数据库字段及其对应值、SQL语句等信息。支持众多的数据库关键特性审计,包括SQL返回行数、SQL响应时间、数据库账号登陆失败、数据库服务无法连接、数据库操作成功、数据表空间不足、数据库并发会话数超限、数据库并发进程数超限、数据库并发用户数超限、数据库并发游标数超限、数据库并发事务数超限、数据库锁超限、数据库死锁状况、数据库错误次数超限、数据库操作权限不足等多种情况的审计。支持灵活的审计规则,定制条件包括时间IP、端口、账号名称、事件级别、内容等,能够以精确匹配、模糊匹配、正则表达式匹配方式对审计事件进行匹配,帮助用户对关键操作进行及时响应。支持IP黑白名单、账号黑白名单、账号发现、账号跟踪审计、账号行为事件分级等多种特性,便于在实际审计过程中进行灵活设置。全面考虑数据库系统的审计点,除了数据库SQL访问审计外,系统还提供了Telnet、Rlogin、FTP、NFS、Netbios等主机远程嵌入访问数据库、文件方式访问数据库的行为进行审计。提供足够的存储空间(1000G以上),满足在线存储至少6个月的要求;支持NTP同步和自同步,能够保证审计记录的时间的一致性,避免错误时间记录给追踪溯源带来的影响。客户收益满足合规性要求,顺利通过IT审计目前,越来越多的单位面临一种或者几种合规性要求。比如,在美上市的中国移动集团公司及其下属分子公司就面临SOx法案的合规性要求;而商业银行则面临Basel协议的合规性要求;政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。天玥系统提供了一种独立的审计方案,有助于完善组织的IT内控与审计体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。有效减少核心信息资产的破坏和泄漏对单位的业务系统来说,真正重要的核心信息资产往往存放在少数几个关键系统上(如数据库服务器、应用服务器等),通过使用天玥系统,能够加强对这些关键系统的审计,从而有效地减少对核心信息资产的破坏和泄漏。追踪溯源,便于事后追查原因与界定责任一个单位里负责运维的部门通常拥有目标系统或者网络设备的最高权限(掌握DBA帐号的口令),因而也承担着很高的风险(误操作或者是个别人员的恶意破坏)。由于目标系统不能区别不同人员使用同一个帐号进行维护操作,所以不能界定维护人员的真实身份。天玥系统提供基于角色的审计,能够有效地区分不同维护人员的身份,便于事后追查原因与界定责任。直观掌握业务系统运行的安全状况业务系统的正常运行需要一个安全、稳定的网络环境。对管理部门来说,网络环境的安全状况事关重大。天玥系统提供业务流量监控与审计事件统计分析功能,能够直观地反映网络环境的安全状况。实现独立审计与三权分立,完善IT内控机制从内控的角度来看,IT系统的使用权、管理权与监督权必须三权分立。天玥系统基于网络旁路监听的方式实现独立的审计与三权分立,完善了IT内控机制。部署与使用部署方式天玥采用旁路部署方式对原有网络不造成影响,设备故障不影响现有网络的正常运行。一般部署方式如下:1、根据不同的审计范围部署一到多台天玥审计引擎;2、部署一台天玥审计数据中心;3、通过IEl浏览器进行访问和管理;天玥审计系统部署示意图

(注意:天玥审计引擎需连接在交换机镜像端口并且恰当配置)使用注意事项明确需要审计的对象,以数据库审计为例,需要明确数据库系统、数据库系统所依赖的主机系统、交换机等设备需要审计的端口和协议,形成审计业务表明确审计系统部署的位置和审计事件采集的方式,形成网络部署结构图对需要审计的应用上所存在的账号访问行为制定审计规则,尤其是特权账号的访问行为、关键表关键字段的访问行为等,备份已完成的策略文件制定回退计划,实现审计系统上线的切割。依照相关管理制度,完成定期生成审计报表、定期数据备份等日常维护工作清单,备份相关配置文件、备份审计系统的相关账号和密码信息产品型号CA300E审计引擎百兆引擎、1U上架专用设备、1个100M电口监听口、1个1000M电口管理口、监听口不可扩充抓包性能:100Mbps每秒入库性能:8000条/秒CA500E审计引擎百兆引擎、1U上架专用设备、2个100M电口监听口、1个1000M电口管理口、监听口不可扩充CA500S审计数据中心百兆引擎的审计数据中心、2U上架专用设备、支持4个百兆引擎、1个1000M电口管理口、1个1000M备用电口、数据存储量1.5T、支持RAID5CA2300E审计引擎千兆引擎、1U上架专用设备、2千兆电口监听、4个SFP千兆插槽、1个千兆管理口、最大支持4个监听口抓包性能:1000Mbps每秒入库性能:16000条/秒CA2300S审计数据中心千百兆引擎的审计数据中心、2U上架专用设备、支持2个审计引擎、1个1000M电口管理口、1个1000M备用电口、数据存储量2T、支持RAID5CA2800E审计引擎千兆引擎、1U上架专用设备、2千兆电口监听、4个SFP千兆插槽、1个千兆管理口、最大支持4个监听口抓包性能:1000Mbps每秒入库性能:32000条/秒CA2800S审计数据中心千百兆引擎的审计数据中心、2U上架专用设备、支持4个审计引擎、1个1000M电口管理口、1个1000M备用电口、数据存储量2T、支持RAID5产品资质天玥网络安全审计系统具有如下资质:中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证国家信息安全测评认证中心颁发的产品型号证书国家保密局颁发的涉密信息系统产品检测证书中国人民解放军信息安全评测中心颁发的军用信息安全产品认证证书服务支持公司总部北京市海淀区东北旺西路8号中关村软件园21号启明星辰大厦邮编:100193 电话传真/p>

分支机构联系方式:北京市西城区南闹市口大街1号长安中心5层#4-5B 邮编:100031 电话传真海市浦东新区张江高科技园区碧波路177号A区1层101室 邮编:201203 电话传真州市万塘路317号华星世纪大楼10楼1003室 邮编:310013 电话:0571-8586504085874060 传真京市珠江路88号新世界中心A座2702室 邮编:210008 电话:025-8453045084530460 传真999安徽省合肥市长江中路177号花样年华1502室 邮编:230000 电话传真圳市福田区深南中路2号新闻大厦14层 邮编:518027 电话传真州市天河区中山大道西华景路1号南方通信大厦9楼 邮编:510640 电话传真西南宁市七星路137号外贸大厦23层2305室 邮编:530022 电话传真州市五四路151号宏运帝豪国际大厦10层1023室 邮编:350003 电话传真庆市高新区科园一街73号科技发展大厦F座5-7 邮编:400039 电话1007 传真都市高新区天府大道南延线高新孵化园1号楼A座4楼D-5号附1、2号 邮编:610041 电话85336982 传真8008贵阳市沙河街印刷厂宿舍65号3楼5号 邮编:550000 电话传真明市北京路广场金色年华B座1603室邮编:650031 电话真阳市和平区文化路19号金科大厦910室 邮编:110004 电话真春市西安大路8号新世纪鸿源广场1号公寓1531室 邮编:130061 电话 传真:0431-861888

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论