啟明星辰天玥網(wǎng)絡安全審計系統(tǒng)(數(shù)據(jù)庫審計.doc

WORD 格式可編輯 專業(yè)知識分享 X XX XX X項項目目 數(shù)數(shù)據(jù)據(jù)庫庫審審計計系系統(tǒng)統(tǒng) 技術建議書技術建議書 北京啟明星辰信息技術有限公司北京啟明星辰信息技術有限公司 VenusVenus InformationInformation Technology Beijing Technology Beijing 二零一零年十月二零一零年十月 WORD 格式可編輯 專業(yè)知識分享 目目 次次 1 綜述 1 2 需求分析 2 2 1 內(nèi)部人員面臨的安全隱患 2 2 2 第三方維護人員的威脅 2 2 3 最高權限濫用風險 2 2 4 違規(guī)行為無法控制的風險 3 2 5 系統(tǒng)日志不能發(fā)現(xiàn)的安全隱患 3 2 6 系統(tǒng)崩潰帶來審計結果的丟失 3 3 審計系統(tǒng)設計方案 3 3 1 設計思路和原則 3 3 2 系統(tǒng)設計原理 5 3 3 設計方案及系統(tǒng)配置 6 3 4 主要功能介紹 7 3 4 1 數(shù)據(jù)庫審計 7 3 4 2 網(wǎng)絡運維審計 8 3 4 3 OA 審計 9 3 4 4 數(shù)據(jù)庫響應時間及返回碼的審計 9 3 4 5 業(yè)務系統(tǒng)三層關聯(lián) 9 3 4 6 合規(guī)性規(guī)則和響應 10 3 4 7 審計報告輸出 12 3 4 8 自身管理 13 3 4 9 系統(tǒng)安全性設計 13 3 5 負面影響評價 14 3 6 交換機性能影響評價 15 4 資質證書 16 WORD 格式可編輯 專業(yè)知識分享 1 綜述 隨著計算機和網(wǎng)絡技術發(fā)展 信息系統(tǒng)的應用越來越廣泛 數(shù)據(jù)庫做 為信息技術的核心和基礎 承載著越來越多的關鍵業(yè)務系統(tǒng) 漸漸成為商 業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn) 數(shù)據(jù)庫的安全穩(wěn)定運行也直接決定 著業(yè)務系統(tǒng)能否正常使用 另外 隨著計算機技術的飛速發(fā)展 計算機技術也越來越廣泛地被應 用在醫(yī)院管理的各個方面 在國家對醫(yī)療衛(wèi)生行業(yè)投入不斷增加的大背景 下 以 金衛(wèi)工程 為代表的醫(yī)療衛(wèi)生行業(yè)信息化工程得到了快速發(fā)展 HIS 系統(tǒng)也在全國各大醫(yī)院廣泛應用 但是 隨著信息技術在各類醫(yī)療機 構大行其道之時 也給各醫(yī)療機構各信息系統(tǒng)的技術管理提出了更高的要 求 雖然各醫(yī)院采取了許多措施加強對醫(yī)院信息系統(tǒng)的管理 但由于多方 面的原因 醫(yī)院信息中心已成為醫(yī)藥購銷領域商業(yè)賄賂的重點科室 特別 是在醫(yī)療衛(wèi)生行業(yè)的藥品 器械銷售競爭日益激烈的大背景下 采用不正 當?shù)募夹g手段滲透到醫(yī)療衛(wèi)生行業(yè)中來 一些醫(yī)院內(nèi)部工作人員與醫(yī)藥營 銷人員內(nèi)外勾結 私自進行處方統(tǒng)計的行為 阻礙了醫(yī)療衛(wèi)生事業(yè)的改革 和發(fā)展 醫(yī)院的用藥信息泄漏給醫(yī)藥營銷人員以此來獲取經(jīng)濟利益的商業(yè) 賄賂行為 這種行為的存在不僅嚴重干擾了正常的醫(yī)療秩序 而且也增加 了患者的經(jīng)濟負擔 不利于和諧醫(yī)患關系的建設 從已發(fā)生的商業(yè)賄賂案 件來看 醫(yī)藥代表通過醫(yī)院信息中心工作人員的 統(tǒng)方 來掌握某個藥品 醫(yī)生每個月的實際處方量 是 統(tǒng)方 主要渠道 同時 衛(wèi)生部 中醫(yī)藥管理局針對部分醫(yī)務人員開單提成 收受 紅 包 藥品回扣等消極腐敗現(xiàn)象和不正之風 發(fā)布了 關于建立健全防控醫(yī) 藥購銷領域商業(yè)賄賂長效機制的工作方案 關于開展醫(yī)藥購銷領域不正 當交易行為自查自糾工作的指導意見 并成立了治理商業(yè)賄賂領導小組在 WORD 格式可編輯 專業(yè)知識分享 全國范圍內(nèi)開展治理商業(yè)賄賂專項工作 為此 一場醫(yī)療行業(yè)的反商業(yè)賄 賂風暴 已經(jīng)逐步深入開展 在信息化條件下 部署數(shù)據(jù)庫審計產(chǎn)品 防 范醫(yī)藥衛(wèi)生行業(yè)中各從業(yè)人員利用計算機進行職務犯罪的問題 解決行業(yè) 中審計手段隱蔽 不易取證等困難 成為醫(yī)療衛(wèi)生行業(yè)信息化工程中必不 可少的組成部分 2 需求分析 隨著信息技術的發(fā)展 XXX 已經(jīng)建立了比較完善的信息系統(tǒng) 數(shù)據(jù)庫 中承載的信息越來越受到公司相關部門 領導的重視 同時數(shù)據(jù)庫中儲存 著諸如 XXX 等極其重要和敏感的信息 這些信息一旦被篡改或者泄露 輕 則造成企業(yè)或者社會的經(jīng)濟損失 重則影響企業(yè)形象甚至社會安全 通過對 XXX 的深入調研 XXX 面臨的安全隱患歸納如下 2 1 內(nèi)部人員面臨的安全隱患 隨著企業(yè)信息化進程不斷深入 企業(yè)的業(yè)務系統(tǒng)變得日益復雜 由內(nèi) 部員工違規(guī)操作導致的安全問題變得日益突出起來 防火墻 防病毒 入 侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題 但對于內(nèi)部人員 的違規(guī)操作卻無能為力 2 2 第三方維護人員的威脅 企業(yè)在發(fā)展的過程中 因為戰(zhàn)略定位和人力等諸多原因 越來越多的 會將非核心業(yè)務外包給設備商或者其他專業(yè)代維公司 如何有效地管控設 備廠商和代維人員的操作行為 并進行嚴格的審計是企業(yè)面臨的一個關鍵 問題 2 3 最高權限濫用風險 因為種種歷史遺留問題 并不是所有的信息系統(tǒng)都有嚴格的身份認證和 WORD 格式可編輯 專業(yè)知識分享 權限劃分 權限劃分混亂 高權限賬號 比如 DBA 賬號 共用等問題一直 困擾著網(wǎng)絡管理人員 高權限賬號往往掌握著數(shù)據(jù)庫和業(yè)務系統(tǒng)的命脈 任何一個操作都可能導致數(shù)據(jù)的修改和泄露 最高權限的濫用 讓數(shù)據(jù)安 全變得更加脆弱 也讓責任劃分和威脅追蹤變得更加困難 2 4 違規(guī)行為無法控制的風險 管理人員總是試圖定義各種操作條例 來規(guī)范內(nèi)部員工的訪問行為 但 是除了在造成惡性后果后追查責任人 沒有更好的方式來限制員工的合規(guī) 操作 而事后追查 只能是亡羊補牢 損失已經(jīng)造成 2 5 系統(tǒng)日志不能發(fā)現(xiàn)的安全隱患 我們經(jīng)常從各種系統(tǒng)日志里面去發(fā)現(xiàn)是否有入侵后留下來的 蛛絲馬跡 來判斷是否發(fā)生過安全事件 但是 系統(tǒng)往往是在經(jīng)歷了大量的操作和變 化后 才逐漸變得不安全 另外的情況是 用戶通過登錄業(yè)務服務器來訪 問數(shù)據(jù)庫等核心資產(chǎn) 單純的分析業(yè)務系統(tǒng)或者數(shù)據(jù)庫系統(tǒng)的日志 都無 法對整個訪問過程是否存在風險進行判斷 從系統(tǒng)變更和應用的角度來看 網(wǎng)絡審計日志比系統(tǒng)日志在定位系統(tǒng)安全問題上更可信 2 6 系統(tǒng)崩潰帶來審計結果的丟失 一般來說 數(shù)據(jù)庫系統(tǒng)都會存儲操作日志 也能開啟審計模塊對訪問 進行審計 但是一旦有意外發(fā)生導致系統(tǒng)的崩潰 這些審計日志也隨之消 失 管理人員無法得知系統(tǒng)到底發(fā)生了什么 3 審計系統(tǒng)設計方案 3 1 設計思路和原則 圍繞數(shù)據(jù)庫的業(yè)務系統(tǒng)安全隱患如何得到有效解決 一直以來是 IT 治 理人員和 DBA 們關注的焦點 啟明星辰做為資深信息安全廠商 結合多年 WORD 格式可編輯 專業(yè)知識分享 的安全研究經(jīng)驗 提出如下解決思路 管理層面管理層面 完善現(xiàn)有業(yè)務流程制度 明細人員職責和分工 規(guī)范內(nèi)部員 工的日常操作 嚴格監(jiān)控第三方維護人員的操作 技術層面技術層面 除了在業(yè)務網(wǎng)絡部署相關的信息安全防護產(chǎn)品 如 FW IPS 等 還需要專門針對數(shù)據(jù)庫部署獨立安全審計產(chǎn)品 對關鍵的數(shù)據(jù)庫操作 行為進行審計 對統(tǒng)方行為進行審計 做到違規(guī)行為發(fā)生時及時告警 事 故發(fā)生后精確溯源 不過 審計關鍵應用程序和數(shù)據(jù)庫不是一項簡單工作 特別是數(shù)據(jù)庫系 統(tǒng) 服務于各有不同權限的大量用戶 支持高事務處理率 還必須滿足苛 刻的服務水平要求 商業(yè)數(shù)據(jù)庫軟件內(nèi)建的審計能力不能滿足獨立性的基 本要求 還會降低數(shù)據(jù)庫性能并增加管理費用 啟明星辰天玥網(wǎng)絡安全審計系統(tǒng) 既能獨立審計針對數(shù)據(jù)庫的各種訪 問行為 又不影響數(shù)據(jù)庫的高效穩(wěn)定運行 是專業(yè)的 有針對性的數(shù)據(jù)庫 審計系統(tǒng) 該系統(tǒng)主要從以下 7 個方面進行設計考慮 實用性 由于業(yè)務系統(tǒng)數(shù)據(jù)在數(shù)據(jù)庫中進行集中存儲 故對于數(shù)據(jù)庫 的操作審計需要細化到數(shù)據(jù)庫指令 表名 視圖 字段等 同時能 夠審計數(shù)據(jù)庫返回的錯誤代碼 這樣能夠在數(shù)據(jù)庫出現(xiàn)關鍵錯誤時 及時響應 避免由于數(shù)據(jù)庫故障帶來的業(yè)務損失 能夠將統(tǒng)方所涉 及到的藥品表 用戶賬號等進行翻譯 能夠直觀的給審計人員發(fā)現(xiàn) 統(tǒng)方行為 獨立性 審計系統(tǒng)應具備統(tǒng)一的策略 集中的審計 適用于不同的設 備 操作系統(tǒng) 數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)的審計要求 并對這些系統(tǒng) 不造成影響 靈活性 審計系統(tǒng)應提供缺省的審計策略及自定義策略 能夠對重要 操作 重要表 重要字段進行定義并審計 能夠根據(jù)用戶的業(yè)務特 WORD 格式可編輯 專業(yè)知識分享 點進行策略的編輯 易用性 審計系統(tǒng)應能夠基于操作進行分析 能夠提供主體標識 即用戶 操作 行為 客體標識 設備 操作系統(tǒng) 數(shù)據(jù)庫系 統(tǒng) 應用系統(tǒng) 的分析和審計報表 擴展性 當業(yè)務系統(tǒng)進行擴容時 審計系統(tǒng)可以平滑擴容 系統(tǒng)支持 向第三方平臺提供記錄的審計信息 可靠性 審計系統(tǒng)能提供足夠的存儲空間 1000G 以上 滿足在線 存儲至少 6 個月的要求 審計系統(tǒng)能夠保證審計記錄的時間的一致 性 避免錯誤時間記錄給追蹤溯源帶來的影響 安全性 分權限管理 具有權限管理功能 可以對用戶分級 提供 不同的操作權限和不同的網(wǎng)絡數(shù)據(jù)操作范圍限制 用戶只能在其權 限內(nèi)對網(wǎng)絡數(shù)據(jù)進行審計和相關操作 具有自身安全審計功能 3 2 系統(tǒng)設計原理 天玥網(wǎng)絡安全審計系統(tǒng)基于 IP 數(shù)據(jù)俘獲 應用層數(shù)據(jù)分析 審計和 響應 實現(xiàn)各項功能 設計中充分貫徹了平臺化的思路 由于采用旁路接 入的工作模式 使得天玥系統(tǒng)在實現(xiàn)各種安全功能的同時 對原系統(tǒng)的影 響降到最低 天玥網(wǎng)絡安全審計系統(tǒng)主要實現(xiàn)以下安全功能 針對不同的應用協(xié)議 提供基于應用操作的審計 提供數(shù)據(jù)庫操作語義解析審計 實現(xiàn)對違規(guī)行為的及時監(jiān)視和告警 提供上百種合規(guī)規(guī)則 支持自定義規(guī)則 包括正則表達式等 實現(xiàn) 靈活多樣的策略和響應 提供基于硬件令牌 靜態(tài)口令 Radius 支持的強身份認證 根據(jù)設定輸出不同的安全審計報告 WORD 格式可編輯 專業(yè)知識分享 3 3 設計方案及系統(tǒng)配置 核心數(shù)據(jù)庫 Oracle 系統(tǒng)通過主備方式接入網(wǎng)絡 設計采用配置一臺天玥審計數(shù)據(jù) 中心 一臺天玥旁路審計引擎 一臺天玥在線審計引擎 具體部署如下圖所示 天玥系統(tǒng)部署圖 天玥審計數(shù)據(jù)中心天玥審計數(shù)據(jù)中心 部署一臺天玥審計數(shù)據(jù)中心 該服務器具備一個 2T 的內(nèi)置 RAID5 存儲器 對天玥網(wǎng)絡審計引擎進行管理和控制 實現(xiàn)對審計數(shù)據(jù)的存儲和分析 天玥審 計數(shù)據(jù)中心的管理端口需要接入網(wǎng)絡中 并分配一個合法的 IP 地址 以接收天玥管理 控制臺的管理 天玥審計數(shù)據(jù)中心的 管理端口 需要通過網(wǎng)絡方式與天玥網(wǎng)絡審計引 擎的 管理端口 進行連接 天玥旁路審計引擎天玥旁路審計引擎 部署一臺天玥網(wǎng)絡審計引擎對核心交換機上的 Oracle 流量進行監(jiān) 控和審計 天玥網(wǎng)絡審計引擎配置兩個信息監(jiān)聽端口 該端口需要連接到被監(jiān)控交換機 WORD 格式可編輯 專業(yè)知識分享 的 鏡像目的端口 上 以獲取原始的通信信息 從而實現(xiàn)各種審計和控制功能 天玥 網(wǎng)絡審計引擎需要設置一個 管理端口 這個端口需要接入網(wǎng)絡 并分配一個合法的 IP 地址 以接收天玥管理控制臺的管理 天玥在線審計引擎 天玥在線審計引擎 部署一臺天玥旁路審計引擎 實現(xiàn)對運維區(qū)域的各種運維操作進行 監(jiān)控 審計和阻斷 該引擎自帶 Bypass 支持 通常采用透明方式進行接入 對服務器 端和終端用戶無影響 天玥管理控制臺天玥管理控制臺 在網(wǎng)絡中的任何一臺 Windows 計算機上采用瀏覽器進行管理 在本方案中同時部署了旁路審計引擎與在線審計引擎 這是因為這兩種引擎屬于互 補關系 旁路審計引擎解決了在線審計引擎被繞過的風險 在線審計引擎解決了旁路引 擎無法實現(xiàn)加密協(xié)議審計和事前阻斷的風險 二者的關系如下 在線審計實現(xiàn)的基礎為 建立唯一訪問路徑 一切的行為均通過該路徑進行訪問 也就是說需要將所有被審計運維訪問流量都要通過在線引擎才可以進行審計 這就牽涉 到網(wǎng)絡結構的變化或 ACL 的調整 在實際部署中 在線審計依賴外部設備的 ACL 控制 比如交換機或 FW 一旦這些訪問控制設備出現(xiàn)問題或 ACL 不夠充分 就會存在繞過 堡壘主機的操作行為 而此時這些繞過堡壘主機的行為是沒有被審計的 由于惡意攻擊 者往往具備較高的技術水平 同時善于尋找安全系統(tǒng)的漏洞 故不完善的 ACL 控制會讓 在線審計存在較大的部署風險 而旁路審計實現(xiàn)的基礎為 一切網(wǎng)絡訪問行為均不可信 進行部署的 故所有可識別的操作均被審計 這兩種審計部署方式存在著很強的互補性 通常都會一起部署 從而實現(xiàn)控制與審計的完美結合 3 4 主要功能介紹 3 4 1 3 4 1 數(shù)據(jù)庫審計數(shù)據(jù)庫審計 天玥網(wǎng)絡安全審計系統(tǒng)能夠監(jiān)視并記錄對數(shù)據(jù)庫服務器的各類操作行為 實時地 智能地解析對數(shù)據(jù)庫服務器的各種操作 一般操作行為如數(shù)據(jù)庫的登錄 特定的操作如 對數(shù)據(jù)庫表的插入 刪除 修改 執(zhí)行特定的存貯過程等 都能夠被記錄和分析 分析 的內(nèi)容要求可以精確到 SQL 操作語句一級 并記錄這些操作的用戶名 機器 IP 地址 操作時間等重要信息 系統(tǒng)能夠對采用 ODBC JDBC OLE DB 命令行嵌入方式對數(shù)據(jù)庫的訪問進行審計 WORD 格式可編輯 專業(yè)知識分享 和響應 SQL 語句的支持 SQL92 語法 主要包括以下幾種類型的審計 DDL Create Drop Grant Revoke DML Update Insert Delete DCL Commit Rollback Savapoint 其他 Alter System Connect Allocate 存儲過程 目前 天玥網(wǎng)絡安全審計系統(tǒng)支持以下數(shù)據(jù)庫系統(tǒng)的審計 是業(yè)界支持數(shù)據(jù)庫種類 最多的審計系統(tǒng) 能夠滿足不同用戶 不同發(fā)展階段情況下的數(shù)據(jù)庫審計需求 Oracle SQL Server DB2 Informix Sybase Teradata Mysql PostgreSQL Cache 人大金倉 Kingbase 數(shù)據(jù)庫 達夢 DM 數(shù)據(jù)庫 南大通用 GBase 數(shù)據(jù)庫 3 4 2 3 4 2 網(wǎng)絡運維審計網(wǎng)絡運維審計 天玥網(wǎng)絡安全審計系統(tǒng)支持常用的運維協(xié)議及文件傳輸協(xié)議 能夠全程記錄用戶在 服務器上的各種操作 Telnet Rlogin FTP SCP SFTP X11 NFS WORD 格式可編輯 專業(yè)知識分享 3 4 3 3 4 3 OAOA 審計審計 天玥網(wǎng)絡安全審計系統(tǒng)支持 HTTP POP3 SMTP Netbios 的審計 能夠記錄網(wǎng)頁 URL 內(nèi)容 發(fā)件人 收件人 郵件內(nèi)容 網(wǎng)絡鄰居的各種操作等信息 3 4 4 3 4 4 數(shù)據(jù)庫響應時間及返回碼的審計數(shù)據(jù)庫響應時間及返回碼的審計 天玥網(wǎng)絡安全審計系統(tǒng)支持對 SQL Server DB2 Oracle Informix 等數(shù)據(jù)庫系統(tǒng) 的 SQL 操作響應時間和返回碼的審計 通過對響應時間和返回碼的審計 可以幫助用戶 對數(shù)據(jù)庫的使用狀態(tài)全面掌握 及時響應故障信息 特別是當新業(yè)務系統(tǒng)上線 業(yè)務繁 忙 業(yè)務模塊更新時 通過天玥網(wǎng)絡安全審計系統(tǒng)對超長時間和關鍵返回碼進行審計并 實時報警有助于提高業(yè)務系統(tǒng)的運營水平 降低數(shù)據(jù)庫故障等帶來的運維風險 目前天玥網(wǎng)絡安全審計系統(tǒng)支持上述數(shù)據(jù)庫系統(tǒng)共計 13000 多種返回碼的知識庫供 用戶快速查詢和定位問題 3 4 5 3 4 5 業(yè)務系統(tǒng)三層關聯(lián)業(yè)務系統(tǒng)三層關聯(lián) 當前業(yè)務系統(tǒng)普遍采用三層結構 瀏覽器客戶端 Web 服務器 中間件 數(shù)據(jù)庫服 務器 通常的流程是 用戶通過瀏覽器客戶端 利用自己的帳戶登錄 Web 服務器 向服 務器提交訪問數(shù)據(jù) Web 服務器根據(jù)用戶提交的數(shù)據(jù)構造 SQL 語句 并利用唯一的帳戶 訪問數(shù)據(jù)庫服務器 提交 SQL 語句 接收數(shù)據(jù)庫服務器返回結果并返回給用戶 在這種基于 Web 的業(yè)務行為訪問模式下 傳統(tǒng)的信息安全審計產(chǎn)品一般可審計從瀏 覽器到 Web 服務器的前臺訪問事件 以及從 Web 服務器到數(shù)據(jù)庫服務器的后臺訪問事件 但由于后臺訪問事件采用的是唯一的帳戶 對每個后臺訪問事件 難以確定是哪個前臺 訪問事件觸發(fā)了該事件 如果在后臺訪問事件中出現(xiàn)了越權訪問 惡意訪問等行為 難 以定位到具體的前臺用戶上 舉一個一個典型的例子 內(nèi)部違規(guī)操作人員利用前臺的業(yè) 務系統(tǒng) 以此作為跳板對后臺數(shù)據(jù)庫內(nèi)容進行了篡改和竊取 這種情況下 通常審計產(chǎn) 品只能發(fā)現(xiàn)來自某個數(shù)據(jù)庫賬號 而無法判斷最終的發(fā)起源頭 啟明星辰研究人員實現(xiàn) HTTP 操作和數(shù)據(jù)庫操作之間的關聯(lián)計算 目前已經(jīng)申請專 利 專利名稱為 一種 Web 服務器前后臺關聯(lián)審計方法和系統(tǒng) 專利受理號碼 200710121669 6 WORD 格式可編輯 專業(yè)知識分享 三層關聯(lián)邏輯部署圖 通過這種關聯(lián)分析技術 能夠將審計產(chǎn)品從基于事件的審計 逐漸升級為基于用戶 業(yè)務行為的審計 在關聯(lián)分析過程中采用自動建模技術 可以將前臺 Web 業(yè)務操作和后 臺數(shù)據(jù)庫操作行為進行對應 并形成業(yè)務訪問行為模式庫 同時 在該技術的基礎上還 可以進一步分析 發(fā)現(xiàn)可能的業(yè)務異常及 SQL 異常 3 4 6 3 4 6 合規(guī)性規(guī)則和響應合規(guī)性規(guī)則和響應 天玥網(wǎng)絡安全審計系統(tǒng)的審計和響應功能可以簡單地描述為 某個特定的服務 如 FTP Telnet SQL 等 可以 或不可以 被某個特定的用戶 主機 怎樣地訪問 這使得它提供的審計和響應具有很強的針對性和準確性 強大的數(shù)據(jù)庫規(guī)則 系統(tǒng)能夠根據(jù)訪問數(shù)據(jù)庫的源程序名 登陸數(shù)據(jù)庫的賬號 數(shù)據(jù)庫命令 數(shù)據(jù)庫名 數(shù)據(jù)庫表名 數(shù)據(jù)庫字段名 數(shù)據(jù)庫字段值 數(shù)據(jù)庫返回碼等作為條件 對用戶關心的 違規(guī)行為進行響應 特別是針對重要表 重要字段的各種操作 能夠通過簡單的規(guī)則定 義 實現(xiàn)精確審計 降低過多審計數(shù)據(jù)給管理員帶來的信息爆炸 定制審計事件規(guī)則 天玥網(wǎng)絡安全審計系統(tǒng)提供了事件規(guī)則用戶自定義模塊 允許用戶自行設定和調整 各種安全審計事件的觸發(fā)條件與響應策略 例如 用戶特別關注在 telnet 過程中出現(xiàn) rm passwd shutdown 等命令的行為 那么用戶就可以利用天玥網(wǎng)絡安全審計系統(tǒng)定義相應的審計事件規(guī)則 這樣 天玥網(wǎng)絡 安全審計系統(tǒng)就可以針對網(wǎng)絡中發(fā)生的這些行為進行響應 基于業(yè)務特征的規(guī)則庫 WORD 格式可編輯 專業(yè)知識分享 系統(tǒng)可以將審計員制定的多個符合業(yè)務特征的規(guī)則進行匯總 編輯和命名 形成具 備某種業(yè)務特征的規(guī)則寫入用戶自定義的規(guī)則庫 這樣 審計員在針對某個特定業(yè)務用 戶制定審計策略時 可以直觀地使用自命名的規(guī)則進行設置 方便了各種策略的制定和 查詢 特定賬號行為跟蹤 系統(tǒng)能夠實現(xiàn)對 用戶網(wǎng)絡環(huán)境中出現(xiàn)的特定賬號或特定賬號執(zhí)行某種操作后 的 場景進行賬號跟蹤 提供對后繼會話和事件的審計 這樣 管理員能夠對出現(xiàn)在網(wǎng)絡中 的特權賬號 比如 root DBA 等 進行重點的監(jiān)控 特別是哪些本不應出現(xiàn)在網(wǎng)絡上的 特權賬號突然出現(xiàn)的事件 多編碼環(huán)境支持 天玥網(wǎng)絡安全審計系統(tǒng)適用于多種應用環(huán)境 特別是在異構環(huán)境中 比如 IBM AS 400 通常采用 EBCDIC 編碼方式實現(xiàn) telnet 協(xié)議的傳輸 某些數(shù)據(jù)庫同時采用幾種 編碼與客戶端進行通訊 若系統(tǒng)不能識別多種編碼 會導致審計數(shù)據(jù)出現(xiàn)亂碼 對多編 碼的支持是衡量審計系統(tǒng)環(huán)境適應性的重要指標之一 目前天玥網(wǎng)絡安全審計系統(tǒng)支持 如下編碼格式 ASCII Unicode UTF 8 UTF 16 GB2312 EBCDIC 多種響應方式 天玥網(wǎng)絡安全審計系統(tǒng)提供了多種響應方式 包括 在天玥審計服務器中記錄相應的操作過程 在日常審計報告中標注 向天玥管理控制臺發(fā)出告警信息 實時阻斷會話連接 管理人員通過本系統(tǒng)手工 RST 阻斷會話連接 通過 Syslog 方式進行告警 WORD 格式可編輯 專業(yè)知識分享 通過 SNMP Trap 方式進行告警 通過郵件方式進行告警 實時跟蹤和回放 管理員可以通過審計顯示中心實時地跟蹤一個或多個網(wǎng)絡連接 通過系統(tǒng)提供的 時標 清晰地顯示不同網(wǎng)絡連接中每個操作的先后順序及操作結果 當發(fā)現(xiàn)可疑的操 作或訪問時 可以實時阻斷當前的訪問 管理員也可以從審計數(shù)據(jù)中心中提取審計數(shù)據(jù) 對通信過程進行回放 便于分析和查找系統(tǒng)安全問題 并以次為依據(jù)制定更符合業(yè)務特 征和系統(tǒng)安全需求的安全規(guī)則和策略 3 4 7 3 4 7 審計報告輸出審計報告輸出 天玥審計系統(tǒng)從安全管理的角度出發(fā) 設計一套完善的審計報告輸出機制 多種篩選條件 天玥網(wǎng)絡安全審計系統(tǒng)提供了強大 靈活的篩選條件設置機制 在設置篩選條件時 審計員可基于以下要素的組合進行設置 時間 客戶端 IP 客戶端端口號 服務端 IP 服務端端口 關鍵字 事件級別 引擎名 業(yè)務用戶身份 資源賬號等條件 審計員可根據(jù)需要靈活地設置審計報表的各種要素 迅速生成自己希望看到的審計 內(nèi)容 同時系統(tǒng)提供了報表模板功能 審計員無需重復輸入 只需要設置模板后 即可 按模板進行報表生成 命令及字段智能分析 系統(tǒng)能夠根據(jù)審計協(xié)議的類型進行命令和字段的自動提取 用戶可以選擇提取后的 命令或字段作為重點對象進行分析 針對數(shù)據(jù)庫類協(xié)議 可分析并形成數(shù)據(jù)庫名 表名 命令等列表 針對運維類協(xié)議 可分析并形成命令等列表 針對文件操作類協(xié)議 可分 析并形成文件名 操作命令等列表 通過該功能 可以簡化用戶對審計數(shù)據(jù)的分析過程 大大提高分析的效率 宏觀事件到微觀事件鉆取 天玥網(wǎng)絡安全審計系統(tǒng)提供了從宏觀報表到微觀事件的關聯(lián) 審計員可以在統(tǒng)計報 表 取證報表中查看宏觀的審計數(shù)據(jù)統(tǒng)計信息 通過點擊相應鏈接即可逐步下探到具體 的審計事件 WORD 格式可編輯 專業(yè)知識分享 自動任務支持 天玥網(wǎng)絡安全系統(tǒng)提供報表任務功能 審計員可根據(jù)實際情況定制報表生成任務 系統(tǒng)支持 HTML EXCEL CSV PDF Word 等多種文檔格式的報表輸出 可以通過郵件方 式自動發(fā)送給審計員 數(shù)據(jù)和報表備份 天玥網(wǎng)絡安全審計系統(tǒng)提供了審計數(shù)據(jù)和報表的手動和自動備份功能 可以將壓縮 后的數(shù)據(jù)自動傳輸?shù)街付ǖ?FTP 服務器 提供每天 每周 每月 時刻的定義方式 3 4 8 3 4 8 自身管理自身管理 安全管理 天玥網(wǎng)絡安全審計系統(tǒng)的管理控制中心提供了集中的管理控制界面 審計員通過管 理控制臺就能管理和綜合分析所有審計引擎的審計信息和狀態(tài)信息 并形成審計報表 天玥網(wǎng)絡安全審計系統(tǒng)支持權限分級管理模式 可對不同的角色設定不同的管理權 限 例如 超級管理員擁有所有的管理權限 而某些普通管理員則可能僅擁有查看審計 報表的權限 某些管理員可以擁有設置審計策略或安全規(guī)則的權限 系統(tǒng)提供專門的自身審計日志 記錄所有人員對天玥系統(tǒng)的操作 方便審計員對日 志進行分析和查看 狀態(tài)管理 天玥網(wǎng)絡安全審計系統(tǒng)提供 CPU 內(nèi)存 磁盤狀態(tài) 網(wǎng)口等運行信息 管理員可以 很輕松的通過 GUI 界面實現(xiàn)對審計數(shù)據(jù)中心 審計引擎的工作狀態(tài)進行查看 當出現(xiàn)錯 誤信息時 比如 Raid 故障 磁盤空間不足 引擎連接問題 系統(tǒng)可自動郵件通知相關 管理人員 時間同步管理 天玥網(wǎng)絡安全審計系統(tǒng)提供手工和 NTP 兩種時間同步方式 通過對全系統(tǒng)自身的時 間同步 保證了審計數(shù)據(jù)時間戳的精確性 避免了審計事件時間誤差給事后審計分析工 作帶來的影響 提升了工作效率 3 4 9 3 4 9 系統(tǒng)安全性設計系統(tǒng)安全性設計 在天玥系統(tǒng)的設計中采用了嚴密的系統(tǒng)安全性設計 主要體系在以下幾個方面 WORD 格式可編輯 專業(yè)知識分享 1 操作系統(tǒng)安全性設計 天玥系統(tǒng)采用經(jīng)裁減 加固的 Linux 操作系統(tǒng) 在設計 過程中 結合天玥系統(tǒng)的功能要求和我公司在操作系統(tǒng)安全方面的技術和經(jīng)驗 對 Linux 進行了精心的裁減和加固 包括補丁修補 取消危險的 無用的服務 等 2 數(shù)據(jù)庫安全性設計 天玥審計數(shù)據(jù)中心審計服務器的數(shù)據(jù)庫是啟明星辰根據(jù)天 玥系統(tǒng)的功能要求自行設計的 在設計時已經(jīng)充分考慮了安全性方面的問題 3 模塊間的通信 各功能模塊之間的通信均采用專門設計的通信協(xié)議 這些通信 協(xié)議在設計時均采用了諸如 CA 認證 編碼 簽名 加密等安全技術 對于遠 程維護 則采用了 SSH 加密傳輸協(xié)議 在產(chǎn)品出廠測試階段 還將進行諸如漏洞掃描之類的安全性測試 因此 我們認為 天玥系統(tǒng)具有很高的安全性 3 5 負面影響評價 天玥系統(tǒng)基于 IP 數(shù)據(jù)俘獲 應用層數(shù)據(jù)分析 審計和響應 實現(xiàn)各項功能 在 具體實現(xiàn)時 無需在網(wǎng)絡通路中 跨接 任何硬件設備 也不需要在審計對象中安裝 審計代理 因此 天玥系統(tǒng)的安裝使用 不會對原系統(tǒng)造成任何性能 穩(wěn)定性方面 的影響 天玥系統(tǒng)的硬件設備由 天玥審計數(shù)據(jù)中心 和 天玥網(wǎng)絡審計引擎 構成 其中 天玥審計數(shù)據(jù)中心象一臺主機設備一樣安裝用戶的系統(tǒng)中 只需要為天玥審計數(shù)據(jù)中心 分配合法的 IP 地址就可以了 因此 該設備不會對原系統(tǒng)造成任何性能 功能 可靠 性 安全性方面的影響 天玥網(wǎng)絡審計引擎需要安裝在核心交換機的鏡像端口上 用于俘獲來往于后臺主機 和前臺操作人員之間的通信數(shù)據(jù) 然后通過對這些通信數(shù)據(jù)的解析 匹配 達到審計和 命令控制的目的 同時 天玥網(wǎng)絡審計引擎實時地將俘獲的原始數(shù)據(jù)傳遞給進行進一步 的分析處理和存儲 當天玥網(wǎng)絡審計引擎發(fā)現(xiàn)違反規(guī)定的登錄或操作命令時 會同時向該 TCP 會話的服 務器和客戶端發(fā)出 關閉 TCP 會話 的 IP 報 從而達到阻斷的目的 這種 關閉 TCP 會話 的 IP 報是由天玥網(wǎng)絡審計引擎?zhèn)卧?并直接向服務器和客戶端發(fā)送的 不需要 WORD