网络安全审计系统天玥技术方案.docx

《网络安全审计系统天玥技术方案.docx》由会员分享，可在线阅读，更多相关《网络安全审计系统天玥技术方案.docx（21页珍藏版）》请在优知文库上搜索。

1、XXXXX项目网络安全审计部分技术提议书7品B口星辰北京启明星辰信息技术有限企业VenusInformationTechnology(Beijing)二零一一年四月1 .综述错误!未定义书签。2 .审计系统设计方案错误!未定义书签。2.1. 设计方案及系统配置错误!未定义书签。2.2.重要功能简介错误!未定义书签。2.2.1.数据库审计错误!未定义书签。2.2.2.网络运维审计错误!未定义书签。2.2.3.OA审计错误!未定义书签。2.2.4.数据库响应时间及返回码的审计错误!未定义书签。2.2.5.业务系统三层关联错误!未定义书签。2.2.6,合规性规则和响应错误!未定义书签。2.2.7.审

2、计汇报输出错误!未定义书签。2.2.8.自身管理错误!未定义书签。2.2.9.系统安全性设计错误!未定义书签。2.3.负面影响评价错误!未定义书签。2.4.互换机性能影响评价错误!未定义书签。3.资质证书错误!未定义书签。1.综述伴随信息技术的发展，XXX已经建立了比较完善B信息系统，具有网络规模大、顾客数多、系统全而复杂等特点。IT建设的关键任务是运用现代信息技术为企业整体发展战略0实现提供支撑平台并起到推进作用。信息安全作为IT建设B构成部分，关键任务是综合运用技术、管理等手段，保障企业IT系统B信息安全，保证业务B持续性。信息安全是XXX正常业务运行与发展的基础；是保证国家利益B基础；是

3、保障顾客利益的基础。根据国家的有关规范的指导意见，我们根据对XXX信息系统详细需求的分析，在对XXXXX进行安全建设时，我们所遵照的主线原则是：1、业务保障原则：安全建设B主线目B是可以更好的保障网络上承载B业务。在保证安全B同步，还要保障业务B正常运行和运行效率。2、构造简化原则：安全建设的直接目的和效果是要将整个网络变得愈加安全，简朴的网络构造便于整个安全防护体系的管理、执行和维护。3、生命周期原则：安全建设不仅仅要考虑静态设计，还要考虑不停的变化；系统应具有适度0灵活性和扩展性。2.审计系统设计方案结合以上原则，在审计系统的选择上，重要从如下7个方面进行考虑：实用性:由于业务系统数据在数

4、据库中进行集中存储，故对于数据库的操作审计需要细化到数据库指令、表名、视图、字段等，同步可以审计数据库返回的错误代码，这样可以在数据库出现关键错误时及时响应，防止由于数据库故障带来的业务损失；独立性:审计系统应具有统一的方略、集中的审计，合用于不一样的设备、操作系统、数据库系统和应用系统0审计规定，并对这些系统不导致影响.灵活性:审计系统应提供缺省的审计方略及自定义方略，可以对重要操作、重要表、重要字段进行定义并审计，可以根据顾客B业务特点进行方略的编辑。易用性:审计系统应可以基于操作进行分析，可以提供主体标识（即顾客）、操作（行为）、客体标识（设备、操作系统、数据库系统、应用系统）的分析和审

5、计报表扩展性:当业务系统进行扩容时，审计系统可以平滑扩容。系统支持向第三方平台提供记录的审计信息。可靠性：审计系统应能提供足够的存储空间（IoooG以上），满足在线存储至少6个月的规定；审计系统应可以保证审计记录的时间的一致性，防止错误时间记录给追踪溯源带来的影响。安全性：分权限管理，具有权限管理功能，可以对顾客分级，提供不一样的操作权限和不一样的网络数据操作范围限制，顾客只能在其权限内对网络数据进行审计和有关操作，具有自身安全审计功能。基于上述0状况，我企业提出了以天珥网络安全审计系统为关键，建设XXXXX审计方面B设计方案。下面首先对天珥系统的基本工作原理进行简朴的简介。天珥网络安全审计系

6、统基于“IP数据俘获T应用层数据分析T审计和响应”实现各项功能，设计中充足贯彻了平台化的思绪；由于采用旁路接入的工作模式，使得天珥系统在实现多种安全功能0同步，对原系统0绕动和影响降到最低。天班网络安全审计系统重要实现如下安全功能：针对不一样的应用协议，提供基于应用操作的审计；提供数据库操作语义解析审计，实现对违规行为的及时监视和告警；提供上百种合规规则，支持自定义规则（正则体现式等），实现灵活多样的响应；提供基于硬件令牌、静态口令、RadiUS支持的强身份认证；A根据设定输出不一样B安全审计汇报;2.1. 设计方案及系统配置关键数据库Oracle系统通过主备方式接入网络，设计采用配置一台天珥

7、审计数据中心，一台天珥旁路审计引擎，一台天班在线审计引擎。详细布署如下图所示：天用系统布署图天用审计数据中心：布署一台天班审计数据中心，该服务器具有一种2T0内置RAID5存储器，对天班网络审计引擎进行管理和控制，实现对审计数据B存储和分析。天班审计数据中心0管理端口需要接入网络中，并分派一种合法日勺IP地址，以接受天理管理控制台的管理。天珥审计数据中心的“管理端口”需要通过网络方式与天用网络审计引擎的“管理端口”进行连接。天班旁路审计引擎：布署一台天理网络审计引擎对关键互换机上BOracle流量进行监控和审计。天珥网络审计引擎配置两个信息监听端口，该端口需要连接到被监控互换机的“镜像目的端口

8、”上，以获取原始的通信信息，从而实现多种审计和控制功能。天阴网络审计引擎需要设置一种“管理端口”，这个端口需要接入网络，并分派一种合法的IP地址，以接受天明管理控制台的管理。天刃在线审计引擎：布署一台天殂旁路审计引擎，实现对运维区域B多种运维操作进行监控、审计和阻断，该引擎自带ByPaSS支持，一般采用透明方式进行接入，对服务器端和终端顾客无影响。天用管理控制台:在网络中B任何一台Windows计算机上采用浏览器进行管理。在本方案中同步布署了旁路审计引擎与在线审计引擎，这是由于这两种引擎属于互补关系，旁路审计引擎处理了在线审计引擎被绕过0风险，在线审计引擎处理了旁路引擎无法实现加密协议审计和事

9、前阻断的风险，两者的关系如下：在线审计实现B基础为“建立唯一访问途径，一切B行为均通过该途径进行访问”,也就是说需要将所有被审计运维访问流量都要通过在线引擎才可以进行审计，这就牵涉到网络构造的变化或ACLrJ调整，在实际布署中，在线审计依赖外部设备的JACL控制（例如互换机或FW）,一旦这些访问控制设备出现问题或ACL不够充足，就会存在绕过堡垒主机的操作行为，而此时这些绕过堡垒主机0行为是没有被审计日勺，由于恶意袭击者往往具有较高0技术水平，同步善于寻找安全系统0漏洞，故不完善BACL控制会让在线审计存在较大0布署风险。而旁路审计实现的基础为“一切网络访问行为均不可信”进行布署的，故所有可识别

10、的操作均被审计，这两种审计布署方式存在着很强的互补性，一般都会一起布署，从而实现控制与审计0完美结合。2.2. 重要功能简介2.2.1. 数据库审计天班网络安全审计系统可以监视并记录对数据库服务器0各类操作行为，实时地、智能地解析对数据库服务器B多种操作，一般操作行为如数据库的登录，特定的操作如对数据库表B插入、删除、修改，执行特定的存贮过程等，都可以被记录和分析，分析的内容规定可以精确到SQL操作语句一级。并记录这些操作的顾客名、机器IP地址、操作时间等重要信息。系统可以对采用ODBC、JDBC、OLE-DB.命令行嵌入方式对数据库B访问进行审计和响应。SQL语句的支持SQL92语法，重要包

11、括如下几种类型日勺审计： DDL：Create,Drop,Grant,Revoke. DML：Update,Insert,Delete. DCL：Commit,Rollback,Savapoint. 其他：AlterSystem,Connect,Allocate. 存储过程目前，天珥网络安全审计系统支持如下数据库系统的审计，是业界支持数据库种类最多的审计系统，可以满足不一样顾客、不一样发展阶段状况下的数据库审计需求：Oracle SQL-Server DB2 Informix Sybase Teradata Mysql PostgreSQL Cache 人大金仓Kingbase数据库 达梦DM

12、数据库 南大通用GBase数据库2.2.2. 网络运维审计天珥网络安全审计系统支持常用0运维协议及文献传播协议，可以全程记录顾客在服务器上B多种操作。 Telnet Rlogin FTP SCP SFTP Xll NFS2.2.3. OA审计天班网络安全审计系统支持、P0P3、SMTPNetbiOs0审计，可以记录网页URL、内容、发件人、收件人、邮件内容、网络邻居的多种操作等信息。2.2.4. 数据库响应时间及返回码的审计天珥网络安全审计系统支持对SQLSerVer、DB2OracleInfOrmiX等数据库系统BzJSQL操作响应时间和返回码B审计。通过对响应时间和返回码的审计，可以协助顾

13、客对数据库B使用状态全面掌握、及时响应故障信息，尤其是当新业务系统上线、业务繁忙、业务模块更新时，通过天现网络安全审计系统对超长时间和关键返回码进行审计并实时报警有助于提高业务系统的运行水平，减少数据库故障等带来的运维风险。目前天阴网络安全审计系统支持上述数据库系统合计13000多种返回码的知识库供顾客迅速查询和定位问题。2.2.5. 业务系统三层关联目前业务系统普遍采用三层构造：浏览器客户端、Web服务器/中间件、数据库服务器。一般的流程是：顾客通过浏览器客户端，运用自己的帐户登录Web服务器，向服务器提交访问数据；Web服务器根据顾客提交的数据构造SQL语句，并运用唯一的帐户访问数据库服务

14、器，提交SQL语句，接受数据库服务器返回成果并返回给顾客。在这种基于Web0业务行为访问模式下，老式的信息安全审计产品一般可审计从浏览器到Web服务器日勺前台访问事件，以及从Web服务器到数据库服务器B后台访问事件。但由于后台访问事件采用B是唯一的帐户，对每个后台访问事件，难以确定是哪个前台访问事件触发了该事件。假如在后台访问事件中出现了越权访问、恶意访问等行为,难以定位到详细的前台顾客上。举一种一种经典的例子，内部违规操作人员运用前台的业务系统，以此作为跳板对后台数据库内容进行了篡改和窃取，这种状况下，一般审计产品只能发现来自某个数据库账号，而无法判断最终的发来源头。启明星辰研究人员实现操作

15、和数据库操作之间的关联计算，目前已经申请专利。专利名称为“一种Web服务器前后台关联审计措施和系统”，专利受理号码：.6。三层关联逻辑布署图通过这种关联分析技术，可以将审计产品从基于事件B审计，逐渐升级为基于顾客业务行为B审计，在关联分析过程中采用自动建模技术，可以将前台Web业务操作和后台数据库操作行为进行对应，并形成业务访问行为模式库，同步，在该技术的基础上还可以深入分析，发现也许0业务异常及SQL异常。2.2.6. 合规性规则和响应天珥网络安全审计系统的审计和响应功能可以简朴地描述为：“某个特定的服务（如FTP、TelnetSQL等）可以（或不可以）被某个特定B顾客（主机）怎样地访问”，这使得它提供的审计和响应具有很强的针对性和精确性。 强大B数据库规则系统可以根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件，对顾客关怀的违规行为进