绿盟冰之眼安全审计系统

1、冰之眼安全审计系统,日常使用、配置相关,SAS 产品简介,国家颁布的安全等级保护技术要求，在确立为第二级（指导保护级）以及以上级的信息系统中必须建立并保存下面的各种访问日志 明确要求互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态，监测互联网安全事件 在美国上市公司必须遵循的“萨班斯(SOX)法案” 中要求对企业内部网络信息系统进行评估，其中涉及对业务系统操作、数据库访问等业务行为的审计,面临的主要问题,等级保护,萨班斯法案,公安部82号令,绿盟科技安全审计,产品功能示意,部署示意,产品架构,网络引擎 安全中心/WEB控制台 升级站点,产品上线配置,冰之眼SAS配置-We

2、b登录,端口默认的IP地址为192.168.端口号.1/24 Web登录：https:/192.168.x.1（默认用户/密码：webadmin/webadmin),冰之眼SAS配置-导入证书,证书（License） 控制系统工作模式 控制有效工作口数 控制正常升级期限,导入 解压证书文件 导入sensor文件夹中文件即可 按照提示操作(重启引擎)，生效,配置设备管理地址 修改对应接口的IP即可 对应安全区为【带外管理】 配置管理地址对应的网关（可省略） 配置监听口的安全区 对应安全区为【监听】,冰之眼SAS配置-配置网络接口,例如上图中ETH1为审计数据口，ETH0为设备管理口,冰之眼SAS

3、配置-系统控制,策略配置生效,网络配置更改生效,通过系统控制，将配置更改生效 应用配置：策略配置生效 重启引擎：网络接口配置生效，有瞬断现象,安全中心：设备统一管理+日志分析 安全中心的安装 确认没有安装IIS、apache 和postgresql 应用服务，如果已安装必须先卸载或者进行特殊配置 安装的硬盘分区格式必须是NTFS 双击setup.exe文件进行安装 安装完毕可以通过双击桌面图标和浏览器远程访问（https:/IP地址）2种方式，用账号admin/admin登录,冰之眼SAS配置-安全中心,安全中心配置：冰之眼管理,添加需要管理的SAS引擎,引擎配置安全中心地址，完成数据日志发送

4、 本机地址：SAS的管理地址 主安全中心地址：安全中心服务器地址 一号安全中心地址：安全中心服务器地址,冰之眼SAS配置-管理配置,小结,网络接口分配(如：eth0管理，eth2 监听) 探测器的安装：浏览器进行初始配置 登录：webadmin/webadmin sensor证书导入：系统-证书管理 网络配置：网络-接口 接口IP地址改变 添加路由 （探测器与控制台不在一个子网；起三层模式） 网络配置：系统配置-安全中心连接 保存、重起引擎 安全中心的安装 确认没有安装IIS、apache 和postgresql 应用服务，如果已安装必须先卸载或者进行特殊配置 安装的硬盘分区格式必须是NTFS

5、 admin/admin登录，添加需管理的探测器,审计策略配置,图示,策略完全基于对象组成,配置要点,内容审计策略的核心是审计对象 审计对象聚焦于您的关注点 数据库审计 上网行为审计 网上应用审计 服务器操作审计 . 审计对象的核心是关键字 关键字越精确，审计效果越好 存在部分审计对象，基于规则，如视频/P2P,系统审计对象 自定义审计/审计组 审计策略通过对审计对象的组合实现不同的审计要求,审计对象,实现上网行为审计,网站访问审计 HTTP_访问普通站点 HTTP_访问特定站点 网页内容审计 HTTP_搜索引擎提交关键字 HTTP_访问页面包含特定关键字 HTTP_论坛发贴子包含特定关键字

6、TELNET_论坛发贴子包含特定关键字,信息泄漏审计,邮件审计 SMTP_邮件发送 POP3_邮件接收 WEBMAIL_邮件发送 审计的附件包括word/pdf/文本文件 即时通信工具审计 MSN_发送/接收消息 QQ_发送/接收消息 文件传输审计 HTTP_文件上传、下载 FTP_文件传输,数据库审计,典型数据库审计策略如下： 包含多种操作命令审计,业务操作审计 默认对FTP/TELNET 操作进行审计 策略包含审计对象如下所示：,业务操作命令审计,其他审计要求：资源滥用,对使用网络的行为进行审计 ANY_在线视频 ANY_在线游戏 ANY_IM聊天 ANY_股票软件,关键字,关键字的类型

7、常规关键字 正则表达式：regex_ 16进制关键字：hex_ 关键字的匹配原则 关键字的设置 关键字字段 关键字列表文件,高级功能：协议还原,系统支持对若干重要对象提供协议还原功能， 支持的对象包括：,例子1,例子2,实时论坛发帖记录 发帖内容全面还原,协议还原配置方法,在内容审计规则上配置协议还原 审计对象支持协议还原时才会出现相关选项 组对象与多选对象不支持协议还原,还原信息查看方法,Web界面 在事件报表中进行查看 带有还原信息的事件以粗体显示 事件摘要中包含还原文件的链接,还原信息查看方法,安全中心 在日志分析中进行查看 在系统-系统设置-协议还原文件接收设置 可以进行内容管理事件协

8、议还原文件的接收设置，包括帐号、密码和协议还原文件的存放目录。,还原信息查看方法,还原文件的格式 HTTP协议 还原文件为html格式 可以直接在浏览器中查看 SMTP&POP3协议 还原文件为eml格式 可以保存到本地后双击查看 Telnet&FTP协议 还原文件为txt格式 可以直接在浏览器中查看,还原信息同步,还原信息通过FTP同步到安全中心 需要在引擎上配置同步信息 服务器地址 用户名 密码 同步时间 需要在安全中心上配置FTP服务器 同步用户的根目录需设置到安全中心的安装目录,常见维护,安全中心之 日志分析,日志查询 报表 日志维护,日志分析,安全中心之： 日志分析,日志查询 报表 日志维护,日志分析,安全中心之： 日志分析,日志查询 报表 日志维护 备份 恢复 清除 自动备份,日志分析,升级相关,设备升级 访问 登陆设备web