帕拉迪统一安全管理与综合审计系统技术说明书

目录一．主机平安现状分析 31.1 网络服务器平安隐患 3 企业网络平安风险分析 3 严格分权管理问题 41.2 SOX(萨班斯法案)与IT运维管理 4二．帕拉迪网络平安管理系统产品优势 52.1超强的规范管理实力 62.2最细粒度的审计查询功能 62.3“零”影响部署 7三．帕拉迪网络平安管理系统功能介绍 73.1帕拉迪网络服务器平安管理系统理念 7可视 7可控 8可管理 8可跟踪 8可鉴定 83.2帕拉迪网络服务器平安管理系统应用 8内部网络行为管理 8对网络边界网关设备的管理 9对数据库的管理 9对黑客行为的防范 93.3产品采纳的关键技术 9程序重用与限制技术 9逻辑吩咐自动识别技术 10分布式处理技术 10实时监控技术 10日志转储技术 10加密传输技术 10多进程/线程与同步技术 11自动报表生成技术 113.4帕拉迪网络服务器平安管理系统功能 11产品组件 11细粒度策略限制功能 11精确日志查询检索功能 12菜单类操作回放审计功能 13密码代填 13帐号密码的平安管理 14标准Radius认证接口 15扩展吩咐 15 FTP/SFTP文件平安传输 16跳转登录操作的智能审计 16支持标准SYSLOG日志 17日志格式多样化 17图形操作审计 18双机热备 20服务器集群 21操作“现场回放” 213.5帕拉迪网络服务器平安管理系统应用 22平安管理ISO17799 22 IT运维管理ITIL 23 IT内控和SOX/COBIT 23四．PLDSECSMS典型部署模型 234.1网关方式部署 234.2服务器方式部署 24一．主机平安现状分析当前随着信息技术的发展和信息化建设的高速推动，业务应用、办公系统的不断开发和投入运行。而支撑这些系统的运行平台网络/Linux主机被广泛应用，在电信运营商、财税、公安、金融、电力、大型公司和闻名门户网站，更是运用数量众多的网络/Linux主机来运行关键业务，供应电子商务、数据库应用、运维管理、ERP和协同工作群件等等的服务。网络服务器平安隐患由于缺乏相应的先进工具和手段，企业无法保证系统管理员严格依据规范来进行管理，如无法保证系统管理员的真实管理行为/管理报告和规章制度要求一样，造成企业网络及服务器常处于不行信、不行控、不行视状态。面对系统和网络平安性、IT运维管理和IT内控外审的挑战，管理人员须要有效的技术手段，依据行业标准进行精确管理、事后追溯审计、实时监控和警报。如何提高系统运维管理水平，满意相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，供应限制和审计依据，已经成为越来越困扰这些企业的问题。企业网络平安风险分析网络管理人员须要监控第三方程序操作和吩咐用户登录系统，执行mysql、oracle等吩咐，简单产生数据破坏或者网络攻击，全部的这些操作须要被跟踪和限制。大型集中应用环境不易统一监控、管理和快速响应对于大型应用环境，网络管理员要管理和配置大量网络/LINUX服务器，大量事故响应，网络管理人员不堪重负。无法供应对网络通信设备的操作，修改等行为审计网络通信设备经常在网络/LINUX系统上通过ssh远程登录进行管理，对网络通信设备的操作无法审计，埋下平安隐患。网络管理人员须要统一的手段，对服务器组进行平安爱护网络管理人员常用防火墙，IDS等设备，针对网段进行隔离和操作限制，因此，网络管理人员须要不同手段，对外网/内网用户应用不同平安爱护策略，应用和实施麻烦，简单疏忽造成隐患。服务器及其集群的运行状态监控已及性能调控现有服务器监控软件基本上都是单机、单服务器方式运行，须要高素养管理人才进行管理。将服务器状态信息集中化，发觉企业服务器运行状态及瓶颈，成为网络应用比较急迫和关切的问题。严格分权管理问题严格分权管理属于多用户多账号管理方式，用户在自己权限下生产和工作，但是，由于生产的特别性，经常须要用户具有ROOT账户权限。这就造成生产和管理的冲突，临时ROOT权限分发可以解决ROOT权限生产问题，但是，这极大增大管理的困难性和担心全性，稍有疏忽，就可能造成管理的混乱。不分发ROOT权限，可能导致生产不能正常进行，至少影响生产效率。现有操作系统存在很多平安隐患，暴力破解、溢出攻击、社会工程等攻击方式，都可能使一般用户或者黑客获得ROOT账户权限，进而执行一般用户权限外的操作，产生破坏。严格分权管理管理负担比较重，管理员要对权限的安排和服务器上行为负责，同时，用户在服务器上行为对管理员来说不行视，不行审计，出现问题，没人负责。SOX(萨班斯法案)与IT运维管理SOX是Sarbanes-OxleyAct简称，正式名为PublicCompanyAccountingReformandInvestorProtectionActof2002。于二零零二年由总统布什通过成为法例。此法案针对当年一连串上市公司(Enron、ArthurAndersen、WorldCom等)的财务丑闻而立。它为在美上市公司内部财务的管理定下了一些规范，以保障投资者和公司职员。因为，企业的经营活动，企业管理、项目和投资基本建立在IT基础之上，以下两点就显得特别重要。如图1.2302节：要求行政人员证明他们公司设计和执行了适当的限制，以保证全部财务报表都牢靠而且付合公认会计准则(GAAP)。404节：要求全部在302节中所限制的过程都有可信的财务报表。这法令要求IT经理对全部有关财务报表的产生过程负责。404节规定外国在美的上市公司必需在零五七月十五日前完成有关的更改，零五三月美国证券交易委员会将这死线推迟了一年至零六年七月十五日。ITIL是InformationTechnologyInfrastructureLibrary的缩写，最早由英国商务部开发，是为了应对行业不断增长地对IT服务的要求，供应IT管理最佳实践。ITIL融合全球最佳实践，是IT部门用于安排、研发、实施和运维的高质量的服务准则，是目前全球IT服务领域最受认可的系统而好用的结构化方法。全球10,000多家在各行业处于领先地位的组织都在运用ITIL流程改进IT服务的效率和沟通，大量的胜利实践表明实施ITSM可以提高IT部门营运效率25-300%。ITIL自1980年头起先发展，经过行业专家、顾问和实施者的共同努力，已经成为IT服务管理领域最佳实践事实上的国际标准。ITIL可以与ISO9001兼容，供应IT组织服务质量。二．帕拉迪网络平安管理系统产品优势帕拉迪网络服务器平安管理系统（PLDSECSMS）是杭州帕拉迪网络科技有限公司，经过长时间的技术积累和攻关研发，于2005年Q3推出针对网络服务器平安管理、审计，业界领先并且拥有自主学问产权的一款产品。帕拉迪网络服务器平安管理系统（PLDSECSMS）主要用于网络服务器系统平安防护，让网络服务器的操作、管理和运行更加可视、可控、可管理、可跟踪、可鉴定，解决网络服务器系统级别的平安问题、平安威逼，为国家重要部门和企业网络服务器的正常有序运行，供应牢靠的平安保障。另外，也可以对数据库，网络设备，平安设备等各种IT设备进行操作行为管理。2.1超强的规范管理实力可兼容管理全部支持（ssh/telnet、ftp标准协议）CLI吩咐方式管理的设备。对高危吩咐的操作系统将实时阻断或赐予警告（可手机短信通知信息主管人员）。对授权用户的吩咐操作实时全程监控。对第三方厂商程序开发人员、系统维护人员、数据库管理人员等多种角色进行身份的认证及操作监控。规范用户操作习惯（防止授权用户的误操作、无用操作）。全方位的主机信息平安保障，可以制定严格的策略和用户权限的安排做到事前预防，事中危急操作的实时阻断，事后的责任认定。2.2最细粒度的审计查询功能用户可依据详细的操作吩咐、用户名、时间、IP地址等8个条件随意组合查询、定位操作日志。对菜单向导类操作的智能审计并可对其操作过程实时的历史回放，如：informix数据库操作、smitty吩咐。对共用帐号的操作进行全记录全审计（如：对多个拥有root权限的操作人员做强身份识别）。对用户在服务器间的跳转登录的全记录，每个跳转动作单独生成一个Session。2.3“零”影响部署不影响任何业务数据流。设备的部署不更改现有的网络拓扑。不增加系统和网络性能的负载。部署方式敏捷多样，适合任何构架的网络环境.部署周期短。不变更管理员操作习惯（不须要安装客户端工具）。三．帕拉迪网络平安管理系统功能介绍3.1帕拉迪网络服务器平安管理系统理念帕拉迪产品平安管理理念可视PLDSECSMS能够动态实时的捕获网络系统用户运用的操作吩咐，真正做到让网络服务器上的操作和行为可视。系统管理员可以直观的了解服务器上发生过的操作吩咐及其运行结果，结束网络服务器操作管理的黑匣子时代。PLDSECSMS可以实时监控系统管理员操作过程，供应实时监控中心和值班中心，可以集中实时的监控全部用户的操作行为和过程。可控PLDSECSMS动态实时的捕获系统管理员操作行为，并可以对其进行策略审计，违反平安策略的用户吩咐，将被禁止执行，运用危急吩咐的用户，将被剔出系统。这样，网络服务器将增加一层平安防护功能，即运用户（恶意用户、黑客）取得吩咐的操作权限，该吩咐也不能生效，进而爱护网络服务器上关键资源和重要服务。可管理PLDSECSMS可以依据须要对指定用户或全部用户绽开监控，可以限制和管理可疑用户行为，真正让网络服务器摆脱操作和运用的黑匣子状态，监控和管理网络服务器上用户操作行为。同时，PLDSECSMS还对CPU、MEM、DISK、PROCESS和网络I/O进行监控管理，并通过图形化方式直观的显示服务器运行状态，可以对网络服务器进行故障诊断。可跟踪PLDSECSMS通过远程日志服务器保存全部用户操作行为和运行结果，可以通过对用户操作行为及其结果进行回放，跟踪用户在服务器上的操作过程，查看用户在服务器上的全部操作行为，精确无误的了解用户的行为意图。PLDSECSMS日志服务器供应日志动态查询功能，支持特色化报表生胜利能，可以依据用户环境进行报表定制，刚好直观的报告用户所关切的资源运用状况。可鉴定PLDSECSMS运用二次日志记录系统，保存用户操作行为过程。日志文件不行修改，不行杜撰，通过对用户操作行为日志的分析，可以鉴定用户行为，并进行责任认定。二次日志记录加强了原始日志材料的防伪防杜撰功能，通过对比保存于两台日志服务器上的日志材料，可以精确牢靠的进行故障鉴定和责任认定。3.2帕拉迪网络服务器平安管理系统应用帕拉迪网络服务器平安管理系统特别适合于企事业加强对网络服务器的平安管理，减轻和防止企事业的网络系统平安级别威逼。PLDSECSMS应用领域特别广袤，产品多种部署方式，可以特别敏捷的兼容于企事业现有平安架构。内部网络行为管理严峻的攻击来自系统内部(75%来自内部攻击)，帕拉迪网络服务器主要应用于内部用户行为管理，保证内部用户的操作和行为可控、可视、可管理、可跟踪、可鉴定，防止内部人员对机密材料的非法获得和运用，爱护企事业核心机密。对网络边界网关设备的管理网络边界平安设备是企事业网络平安防护系统的重要组成部分，网络边界平安设备的平安策略，对企事业内部网络平安，起着特别重要的作用。PLDSECSMS可以记录管理员对这些平安设备的配置过程，保证平安策略的一样性，其生成的日志系统，可以比较便利的集成到企事业现有平安策略管理架构中。对数据库的管理数据库是企事业核心机密的重中之重，PLDSECSMS可以记录用户对数据库（如：MYSQL，Oracle）的操作过程，防止用户人为修改数据库数据记录，防止用户删除数据记录。PLDSECSMS可以还原用户操作过程，对于重要数据库的防护，有特别重要的价值。对黑客行为的防范黑客经常通过手段（如：社会工程、恶意程序、系统设置漏洞、缓冲区溢出程序等）获得用户权限，然后运用该权限登陆系统。PLDSECSMS可以记录该黑客的操作过程，对于事后查证和数据复原，有特别好的适用价值。PLDSECSMS还可以通过地址邦定功能对黑客行为进行限制，即使黑客取得系统权限，也不能对系统做任何操作。3.3产品采纳的关键技术帕拉迪网络服务器平安管理系统采纳系列先进技术，胜利实现吩咐捕获与限制，为网络系统平安运行，供应强有力的武器。程序重用与限制技术帕拉迪网络服务器平安管理系统采纳先进的程序重用与限制技术，可以启用和限制任何网络程序。通过程序重用与限制技术，可以完全利用现有程序的先进功能，避开重新开发，同时，在重用的过程中，可以限制重用程序的行为，实现新的功能需求。如：通过重用bash，可以实现对bash吩咐行的限制功能。帕拉迪网络服务器平安管理系统限制被重用程序的输入与输出，再通过高效同步技术，完备重用和限制现成网络类程序，同时，对程序现有功能进行扩充，变更现有程序行为，增加现有程序功能。该技术还可以进行自定义扩充，如：截获数据、自动输入、隐藏或者变更输出等，达到自动限制程序运行效果。逻辑吩咐自动识别技术帕拉迪网络服务器平安管理系统自动识别当前操作终端，对当前终端的输入输出进行限制，组合输入输出流，自动识别逻辑语义吩咐。系统会依据输入输出上下文，确定逻辑吩咐编辑过程，进而自动捕获出用户运用的逻辑吩咐。该项技术解决了逻辑吩咐自动捕获功能，在传统键盘捕获与限制领域取得新的突破，可以更加精确的限制用户意图。该技术能自动识别吩咐状态和编辑状态以及私有工作状态，精确捕获逻辑吩咐，现在该技术已经申请专利。分布式处理技术帕拉迪网络服务器平安管理系统采纳分布式处理架构进行处理，启用吩咐捕获引擎机制，通过策略服务器完成策略审计，通过日志服务器存储操作审计日志，并通过实时监视中心，实时察看用户在服务器上行为。这种分体式设计有利于策略的正确执行和操作记录日志的平安。同时，各组件之间采纳平安连接进行通信，防止策略和日志被篡改。各组件可以独立工作，可以分布于不同的服务器上，亦可全部组件安装于一台服务器。实时监控技术帕拉迪网络服务器平安管理系统实现远程值班中心和实时监控中心，集团网络服务器运行状态监控可以实时进行。实时监控中心干脆和吩咐捕获引擎通信，避开日志服务器和策略服务器的运行负载，有利于系统实时性的提高。日志转储技术帕拉迪网络服务器平安管理系统供应日志本地存储和异地存储，本地存储干脆保存在本机上，异地存储是与专业存储设备对接实现异地存储功能，确保监控日志平安。通过多种存储技术，实现日志冗余目的，解决了日志单一存储丢失的问题，为事故责任鉴定供应有力依据。加密传输技术帕拉迪网络服务器平安管理系统全部组件之间采纳平安连接技术，避开数据在传输过程中被监听，修改。系统采纳3-DES算法进行加密。另外，系统还采纳rc2和rc4等加密算法，实现日志的保密处理。多进程/线程与同步技术帕拉迪网络服务器平安管理系统主体采纳多进程/线程技术实现，利用独特的通信和数据同步技术，精确限制程序行为。多进程/线程方式逻辑处理精确，事务处理不会发生干扰，这有利于保证系统的稳定性、健壮性。自动报表生成技术帕拉迪网络服务器平安管理系统利用正则表达式，通过规则文件方式，实现WEB自动报表功能。每个规则文件定义须要自动报告的特征和正则表达式，描述输出形式。嵌入WEB服务器依据该规则文件，自动生成WEB报表。自动报表技术可以产生一个数字的报告，如：登陆用户数目统计，也可以产生长篇累牍的报表，其中，报表列数，报表标题，报表字段颜色等，都可以在规则文件内自定义。3.4帕拉迪网络服务器平安管理系统功能产品组件帕拉迪网络服务器平安管理系统由吩咐捕获引擎、策略服务器、日志服务器、用户接入和集中配置服务器等五大模块组成。各模块之间相互关系如下图：各模块处理关系3.4.2细粒度策略限制功能策略采纳类防火墙策略，利用正则表达式进行模式匹配，符合通常运用习惯，支持对登陆地址、服务器地址、用户名、操作时间、操作吩咐等元素进行策略审计。策略支持“非”逻辑。限制策略定义精确日志查询检索功能PLDSECSMS供应了人性化的日志管理、查询功能。管理人员可以依据：用户吩咐、主机地址、主机帐号、时间范围等多项条件随意组合，进行快速、精确的日志定位查询。日志查询菜单类操作回放审计功能PLDSECSMS支持AIXSMITTY操作审计，支持INFORMIXDBACCESS数据库前端操作审计，支持SQLPLUS数据库操作审计，支持文件内容修改审计。IBM、HP等服务器操作系统，运用自身供应的集中管理工具管理服务器，这些管理工具基于图形菜单设计，审计“图形”菜单操作行为，便利后期管理查询和审计，是帕拉迪网络服务器平安管理系统的一大特色。菜单操作历史回放密码代填为了增加主机帐号密码平安，帕拉迪网络平安管理系统供应密码代填功能。在网络服务器平安管理系统WEB限制台上，管理员为每台主机资产添加帐号与密码。用户通过二次跳转的方式登录目标主机进行操作，只要输入一次网关用户登录密码，然后选择目标资产编号和账号编号就完成目标主机登录任务，目标主机帐号密码对用户透亮有效防止主机密码的泄漏，同时也便利了用户操作服务器。密码代填帐号密码的平安管理主机账号密码自动分发，自动依据固定时间和更新周期，更新目标主机账号密码，削减管理员工作量。大型异构网络，密码管理成为管理员特别头痛的事情。帕拉迪网络平安管理系统可以自动依据管理员要求，定时或者周期更改远程主机相关账号密码，增大密码更新频度，避开密码长时间不变被泄露，造成平安隐患。同时，系统支持密码推送结构邮件分发和密码管理员WEB下载功能（须要二次身份验证），最新密码副本可以平安的分发到管理员手中，避开密码丢失风险。邮件服务设置帐号动态密码设置标准Radius认证接口PLDSECSMSUTM支持标准的Radius认证协议，能够很便利的和身份认证产品集成，提升产品平安性和扩展性。用户认证配置扩展吩咐用户操作服务器重复输入某些吩咐的状况时有发生，帕拉迪网络服务器平安管理系统针对这一状况供应了扩展吩咐功能，用户如要在某台服务器上重复执行吩咐集，只需将重复执行的吩咐添加到扩展吩咐表中，当用户通过二次跳转方式登录目标主机时，网络服务器平安管理系统对用户自定义吩咐集进行预处理。扩展吩咐管理FTP/SFTP文件平安传输为了提高平安性，在部署PLDSECSMS后系统将断开操作用户与目标服务器之间的连接，为便利服务器的维护和文件传输的平安，帕拉迪推出两种文件传输方式，一种是FTP代理，一种是SFTP一站式传输，用户干脆将文件通过网络平安管理系统，将文件SFTP到目标主机，中间没有停留，干脆到站。整个运用FTP/SFTP方式传输文件的过程，都会被PLDSECSMS实时完整的记录下来。FTP/SFTP审计设置跳转登录操作的智能审计用户行为跳转分析，每次跳转（TELNET、SSH方式登录目的服务器）会自动生成新的操作SESSION，便利管理员干脆查询目标服务器上行为，支持多重嵌套跳转。跳转分析可以便利用户行为跟踪，管理员可以干脆查询目标服务器上发生的操作行为，节约管理员精力和时间。支持标准SYSLOG日志支持标准SYSLOG日志输出，便利与第三方日志分析类产品集成整合，用户可以实时直观的在线监控服务器操作管理行为.SYSLOG输出事务包括：用户登录事务、用户退出事务、用户操作吩咐、用户屏幕。标准Syslog日志日志格式多样化网络服务器平安管理系统日志支持多种格式的输出，包括txt、pdf、xls，用户可以依据自己的须要进行审计日志的查看。txt格式输出日志pdf格式输出日志xls格式输出日志图形操作审计针对图形终端的远程操作，帕拉迪网络服务器平安管理系统推出特有的图形操作审计功能。用户对Windows、网络服务器的远程桌面操作全部集中登陆到PLDSECSMSUTM系统上，再通过二次跳转的方式对服务器进行远程操作，系统将依据用户的权限安排给用户可访问的资源，实现用户远程桌面操作强审计，且审计结果不行更改、不行杜撰。用户运用帕拉迪RDP审计客户端连接网络服务器平安管理系统进行图形操作日志下载、播放，日志播放支持快进、暂停、播放点定位等功能，便利管理员追溯关键操作。RDP审计客户端网络服务器平安管理系统支持图形界面操作审计包括：RDP、X-WINDOW、VNCRDP日志播放X-WINDOW日志播放双机热备随着业务数据重要性的增加，企业对网络系统运行的牢靠性提出了更高的要求。发生单点故障是用户不能容忍的，双机热备解决方案的出现免除了用户对单点故障的顾虑。正常状况下主机处于工作状态，备机处于监控状态，主备之间监控运用“心跳线”和“参考地址”方式实现。当主机出现故障时，备机主动接管主机的工作并自动升级为主机身份。故障主机复原正常后处于备机状态，不供应服务，只负责监控工作主机的状态。当主机再次发生故障，备机同样主动接管主机的全部工作，保证服务的不间断运行，实现高可用性。热备配置服务器集群服务器集群功能的实现彻底缓解了单台服务器的工作压力，网络服务器平安管理系统采纳分级部署实现集群管理功能。集群中心负责全部配置和调度工作，其中包含监控的统一启用与停止以及为各节点安排管理资产，各节点负责供应实际的审计工作。集群配置操作“现场回放”服务器操作WEB播放功能可再现用户操作全过程，特地用来即时监控用户在服务器上操作行为，让管理员可以实时察看用户执行的吩咐、吩咐结果等。可以用来监控第三方维护人员、一般用户在服务器、网关等设备上的操作，刚好发觉、阻断非法用户和授权用户的恶意操作行为。用户操作WEB播放WEB播放须要JAVA运行环境的支持。3.5帕拉迪网络服务器平安管理系统应用平安管理ISO17799帕拉迪网络服务器平安管理系统特别适合于企事业加强对网络服务器的平安管理，做到对服务器上行为的可视、可控、可管理、可跟踪、可鉴定，减轻企业