《网络安全审计系统天玥技术方案.docx》由会员分享,可在线阅读,更多相关《网络安全审计系统天玥技术方案.docx(21页珍藏版)》请在课桌文档上搜索。
1、XXXXX项目网络安全审计部分技术提议书7品B口星辰北京启明星辰信息技术有限企业VenusInformationTechnology(Beijing)二零一一年四月1 .综述错误!未定义书签。2 .审计系统设计方案错误!未定义书签。2.1. 设计方案及系统配置错误!未定义书签。2.2.重要功能简介错误!未定义书签。2.2.1.数据库审计错误!未定义书签。2.2.2.网络运维审计错误!未定义书签。2.2.3.OA审计错误!未定义书签。2.2.4.数据库响应时间及返回码的审计错误!未定义书签。2.2.5.业务系统三层关联错误!未定义书签。2.2.6,合规性规则和响应错误!未定义书签。2.2.7.审
2、计汇报输出错误!未定义书签。2.2.8.自身管理错误!未定义书签。2.2.9.系统安全性设计错误!未定义书签。2.3.负面影响评价错误!未定义书签。2.4.互换机性能影响评价错误!未定义书签。3.资质证书错误!未定义书签。1.综述伴随信息技术的发展,XXX已经建立了比较完善B信息系统,具有网络规模大、顾客数多、系统全而复杂等特点。IT建设的关键任务是运用现代信息技术为企业整体发展战略0实现提供支撑平台并起到推进作用。信息安全作为IT建设B构成部分,关键任务是综合运用技术、管理等手段,保障企业IT系统B信息安全,保证业务B持续性。信息安全是XXX正常业务运行与发展的基础;是保证国家利益B基础;是
3、保障顾客利益的基础。根据国家的有关规范的指导意见,我们根据对XXX信息系统详细需求的分析,在对XXXXX进行安全建设时,我们所遵照的主线原则是:1、业务保障原则:安全建设B主线目B是可以更好的保障网络上承载B业务。在保证安全B同步,还要保障业务B正常运行和运行效率。2、构造简化原则:安全建设的直接目的和效果是要将整个网络变得愈加安全,简朴的网络构造便于整个安全防护体系的管理、执行和维护。3、生命周期原则:安全建设不仅仅要考虑静态设计,还要考虑不停的变化;系统应具有适度0灵活性和扩展性。2.审计系统设计方案结合以上原则,在审计系统的选择上,重要从如下7个方面进行考虑:实用性:由于业务系统数据在数
4、据库中进行集中存储,故对于数据库的操作审计需要细化到数据库指令、表名、视图、字段等,同步可以审计数据库返回的错误代码,这样可以在数据库出现关键错误时及时响应,防止由于数据库故障带来的业务损失;独立性:审计系统应具有统一的方略、集中的审计,合用于不一样的设备、操作系统、数据库系统和应用系统0审计规定,并对这些系统不导致影响.灵活性:审计系统应提供缺省的审计方略及自定义方略,可以对重要操作、重要表、重要字段进行定义并审计,可以根据顾客B业务特点进行方略的编辑。易用性:审计系统应可以基于操作进行分析,可以提供主体标识(即顾客)、操作(行为)、客体标识(设备、操作系统、数据库系统、应用系统)的分析和审
5、计报表扩展性:当业务系统进行扩容时,审计系统可以平滑扩容。系统支持向第三方平台提供记录的审计信息。可靠性:审计系统应能提供足够的存储空间(IoooG以上),满足在线存储至少6个月的规定;审计系统应可以保证审计记录的时间的一致性,防止错误时间记录给追踪溯源带来的影响。安全性:分权限管理,具有权限管理功能,可以对顾客分级,提供不一样的操作权限和不一样的网络数据操作范围限制,顾客只能在其权限内对网络数据进行审计和有关操作,具有自身安全审计功能。基于上述0状况,我企业提出了以天珥网络安全审计系统为关键,建设XXXXX审计方面B设计方案。下面首先对天珥系统的基本工作原理进行简朴的简介。天珥网络安全审计系
6、统基于“IP数据俘获T应用层数据分析T审计和响应”实现各项功能,设计中充足贯彻了平台化的思绪;由于采用旁路接入的工作模式,使得天珥系统在实现多种安全功能0同步,对原系统0绕动和影响降到最低。天班网络安全审计系统重要实现如下安全功能:针对不一样的应用协议,提供基于应用操作的审计;提供数据库操作语义解析审计,实现对违规行为的及时监视和告警;提供上百种合规规则,支持自定义规则(正则体现式等),实现灵活多样的响应;提供基于硬件令牌、静态口令、RadiUS支持的强身份认证;A根据设定输出不一样B安全审计汇报;2.1. 设计方案及系统配置关键数据库Oracle系统通过主备方式接入网络,设计采用配置一台天珥
7、审计数据中心,一台天珥旁路审计引擎,一台天班在线审计引擎。详细布署如下图所示:天用系统布署图天用审计数据中心:布署一台天班审计数据中心,该服务器具有一种2T0内置RAID5存储器,对天班网络审计引擎进行管理和控制,实现对审计数据B存储和分析。天班审计数据中心0管理端口需要接入网络中,并分派一种合法日勺IP地址,以接受天理管理控制台的管理。天珥审计数据中心的“管理端口”需要通过网络方式与天用网络审计引擎的“管理端口”进行连接。天班旁路审计引擎:布署一台天理网络审计引擎对关键互换机上BOracle流量进行监控和审计。天珥网络审计引擎配置两个信息监听端口,该端口需要连接到被监控互换机的“镜像目的端口
8、”上,以获取原始的通信信息,从而实现多种审计和控制功能。天阴网络审计引擎需要设置一种“管理端口”,这个端口需要接入网络,并分派一种合法的IP地址,以接受天明管理控制台的管理。天刃在线审计引擎:布署一台天殂旁路审计引擎,实现对运维区域B多种运维操作进行监控、审计和阻断,该引擎自带ByPaSS支持,一般采用透明方式进行接入,对服务器端和终端顾客无影响。天用管理控制台:在网络中B任何一台Windows计算机上采用浏览器进行管理。在本方案中同步布署了旁路审计引擎与在线审计引擎,这是由于这两种引擎属于互补关系,旁路审计引擎处理了在线审计引擎被绕过0风险,在线审计引擎处理了旁路引擎无法实现加密协议审计和事
9、前阻断的风险,两者的关系如下:在线审计实现B基础为“建立唯一访问途径,一切B行为均通过该途径进行访问”,也就是说需要将所有被审计运维访问流量都要通过在线引擎才可以进行审计,这就牵涉到网络构造的变化或ACLrJ调整,在实际布署中,在线审计依赖外部设备的JACL控制(例如互换机或FW),一旦这些访问控制设备出现问题或ACL不够充足,就会存在绕过堡垒主机的操作行为,而此时这些绕过堡垒主机0行为是没有被审计日勺,由于恶意袭击者往往具有较高0技术水平,同步善于寻找安全系统0漏洞,故不完善BACL控制会让在线审计存在较大0布署风险。而旁路审计实现的基础为“一切网络访问行为均不可信”进行布署的,故所有可识别
10、的操作均被审计,这两种审计布署方式存在着很强的互补性,一般都会一起布署,从而实现控制与审计0完美结合。2.2. 重要功能简介2.2.1. 数据库审计天班网络安全审计系统可以监视并记录对数据库服务器0各类操作行为,实时地、智能地解析对数据库服务器B多种操作,一般操作行为如数据库的登录,特定的操作如对数据库表B插入、删除、修改,执行特定的存贮过程等,都可以被记录和分析,分析的内容规定可以精确到SQL操作语句一级。并记录这些操作的顾客名、机器IP地址、操作时间等重要信息。系统可以对采用ODBC、JDBC、OLE-DB.命令行嵌入方式对数据库B访问进行审计和响应。SQL语句的支持SQL92语法,重要包
11、括如下几种类型日勺审计: DDL:Create,Drop,Grant,Revoke. DML:Update,Insert,Delete. DCL:Commit,Rollback,Savapoint. 其他:AlterSystem,Connect,Allocate. 存储过程目前,天珥网络安全审计系统支持如下数据库系统的审计,是业界支持数据库种类最多的审计系统,可以满足不一样顾客、不一样发展阶段状况下的数据库审计需求:Oracle SQL-Server DB2 Informix Sybase Teradata Mysql PostgreSQL Cache 人大金仓Kingbase数据库 达梦DM
12、数据库 南大通用GBase数据库2.2.2. 网络运维审计天珥网络安全审计系统支持常用0运维协议及文献传播协议,可以全程记录顾客在服务器上B多种操作。 Telnet Rlogin FTP SCP SFTP Xll NFS2.2.3. OA审计天班网络安全审计系统支持、P0P3、SMTPNetbiOs0审计,可以记录网页URL、内容、发件人、收件人、邮件内容、网络邻居的多种操作等信息。2.2.4. 数据库响应时间及返回码的审计天珥网络安全审计系统支持对SQLSerVer、DB2OracleInfOrmiX等数据库系统BzJSQL操作响应时间和返回码B审计。通过对响应时间和返回码的审计,可以协助顾
13、客对数据库B使用状态全面掌握、及时响应故障信息,尤其是当新业务系统上线、业务繁忙、业务模块更新时,通过天现网络安全审计系统对超长时间和关键返回码进行审计并实时报警有助于提高业务系统的运行水平,减少数据库故障等带来的运维风险。目前天阴网络安全审计系统支持上述数据库系统合计13000多种返回码的知识库供顾客迅速查询和定位问题。2.2.5. 业务系统三层关联目前业务系统普遍采用三层构造:浏览器客户端、Web服务器/中间件、数据库服务器。一般的流程是:顾客通过浏览器客户端,运用自己的帐户登录Web服务器,向服务器提交访问数据;Web服务器根据顾客提交的数据构造SQL语句,并运用唯一的帐户访问数据库服务
14、器,提交SQL语句,接受数据库服务器返回成果并返回给顾客。在这种基于Web0业务行为访问模式下,老式的信息安全审计产品一般可审计从浏览器到Web服务器日勺前台访问事件,以及从Web服务器到数据库服务器B后台访问事件。但由于后台访问事件采用B是唯一的帐户,对每个后台访问事件,难以确定是哪个前台访问事件触发了该事件。假如在后台访问事件中出现了越权访问、恶意访问等行为,难以定位到详细的前台顾客上。举一种一种经典的例子,内部违规操作人员运用前台的业务系统,以此作为跳板对后台数据库内容进行了篡改和窃取,这种状况下,一般审计产品只能发现来自某个数据库账号,而无法判断最终的发来源头。启明星辰研究人员实现操作
15、和数据库操作之间的关联计算,目前已经申请专利。专利名称为“一种Web服务器前后台关联审计措施和系统”,专利受理号码:.6。三层关联逻辑布署图通过这种关联分析技术,可以将审计产品从基于事件B审计,逐渐升级为基于顾客业务行为B审计,在关联分析过程中采用自动建模技术,可以将前台Web业务操作和后台数据库操作行为进行对应,并形成业务访问行为模式库,同步,在该技术的基础上还可以深入分析,发现也许0业务异常及SQL异常。2.2.6. 合规性规则和响应天珥网络安全审计系统的审计和响应功能可以简朴地描述为:“某个特定的服务(如FTP、TelnetSQL等)可以(或不可以)被某个特定B顾客(主机)怎样地访问”,
16、这使得它提供的审计和响应具有很强的针对性和精确性。 强大B数据库规则系统可以根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件,对顾客关怀的违规行为进行响应,尤其是针对重要表、重要字段的多种操作,可以通过简朴的规则定义,实现精确审计,减少过多审计数据给管理员带来的信息爆炸。 定制审计事件规则天班网络安全审计系统提供了事件规则顾客自定义模块,容许顾客自行设定和调整多种安全审计事件0触发条件与响应方略。例如,顾客尤其关注在telnet过程中出现ITn、passwdShUtdOWn等命令B行为,那么顾客就可以运用天珥网络安
17、全审计系统定义对应的审计事件规则。这样,天用网络安全审计系统就可以针对网络中发生的这些行为进行响应。 基于业务特性的规则库系统可以将审计员制定0多种符合业务特性0规则进行汇总、编辑和命名,形成具有某种业务特性的规则写入顾客自定义0规则库。这样,审计员在针对某个特定业务顾客制定审计方略时,可以直观地使用自命名的规则进行设置,以便了多种方略日勺制定和查询。 特定账号行为跟踪系统可以实现对“顾客网络环境中出现时特定账号或特定账号执行某种操作后”的场景进行账号跟踪,提供对后继会话和事件0审计。这样,管理员可以对出目前网络中0特权账号,例如root、DBA等,进行重点B监控,尤其是哪些本不应出目前网络上
18、的特权账号忽然出现B事件。 多编码环境支持天用网络安全审计系统合用于多种应用环境,尤其是在异构环境中,例如IBMAS/400一般采用EBCDIC编码方式实现telnet协议的传播、某些数据库同步采用几种编码与客户端进行通讯,若系统不能识别多种编码,会导致审计数据出现乱码,对多编码的支持是衡量审计系统环境适应性时重要指标之一,目前天用网络安全审计系统支持如下编码格式 ASCII Unicode UTF-8 UTF-16 GB2312 EBCDIC 多种响应方式天珥网络安全审计系统提供了多种响应方式,包括: 在天珥审计服务器中记录对应的操作过程; 在平常审计汇报中标注; 向天羽管理控制台发出告警信
19、息; 实时阻断会话连接; 管理人员通过本系统手工RST阻断会话连接; 通过Syslog方式进行告警 通过SNMPTrap方式进行告警 通过邮件方式进行告警 实时跟踪和回放管理员可以通过审计显示中心实时地跟踪一种或多种网络连接,通过系统提供的时标”清晰地显示不一样网络连接中每个操作的先后次序及操作成果,当发现可疑日勺操作或访问时,可以实时阻断目前的访问。管理员也可以从审计数据中心中提取审计数据对通信过程进行回放,便于分析和查找系统安全问题,并以次为根据制定更符合业务特性和系统安全需求的安全规则和方略。2.2.7. 审计汇报输出天珥审计系统从安全管理0角度出发,设计一套完善0审计汇报输出机制。 多
20、种筛选条件天珥网络安全审计系统提供了强大、灵活的筛选条件设置机制。在设置筛选条件时,审计员可基于如下要素的组合进行设置:时间、客户端IP、客户端端口号、服务端IP、服务端端口、关键字、事件级别、引擎名、业务顾客身份、资源账号等条件。审计员可根据需要灵活地设置审计报表的多种要素,迅速生成自己但愿看到日勺审计内容。同步系统提供了报表模板功能,审计员无需反复输入,只需要设置模板后,即可按模板进行报表生成。 命令及字段智能分析系统可以根据审计协议的类型进行命令和字段的自动提取,顾客可以选择提取后的J命令或字段作为重点对象进行分析。针对数据库类协议,可分析并形成数据库名、表名、命令等列表;针对运维类协议
21、,可分析并形成命令等列表;针对文献操作类协议,可分析并形成文献名、操作命令等列表;通过该功能,可以简化顾客对审计数据的分析过程,大大提高分析的效率。 宏观事件到微观事件钻取天珥网络安全审计系统提供了从宏观报表到微观事件的关联,审计员可以在记录报表、取证报表中查看宏观0审计数据记录信息,通过点击对应链接即可逐渐下探到详细的审计事件。 自动任务支持天为网络安全系统提供报表任务功能,审计员可根据实际状况定制报表生成任务;系统支持HTML、EXCELCSV、PDF、Word等多种文档格式日勺报表输出,可以通过邮件方式自动发送给审计员。 数据和报表备份天理网络安全审计系统提供了审计数据和报表的手动和自动
22、备份功能,可以将压缩后的数据自动传播到指定的FrP服务器,提供每天、每周、每月、时刻的定义方式。2.2.8. 自身管理 安全管理天用网络安全审计系统B管理控制中心提供了集中的管理控制界面,审计员通过管理控制台就能管理和综合分析所有审计引擎的审计信息和状态信息,并形成审计报表。天珥网络安全审计系统支持权限分级管理模式,可对不一样的角色设定不一样的管理权限。例如,超级管理员拥有所有的管理权限;而某些一般管理员则也许仅拥有查看审计报表的权限,某些管理员可以拥有设置审计方略或安全规则的权限。系统提供专门B自身审计日志,记录所有人员对天珥系统日勺操作,以便审计员对日志进行分析和查看。 状态管理天珥网络安
23、全审计系统提供CPU、内存、磁盘状态、网口等运行信息,管理员可以很轻松的通过GUl界面实现对审计数据中心、审计引擎的工作状态进行查看。当出现错误信息时,例如Raid故障、磁盘空间局限性、引擎连接问题,系统可自动邮件告知有关管理人员。 时间同步管理天加网络安全审计系统提供手工和NTP两种时间同步方式,通过对全系统自身B时间同步,保证了审计数据时间戳0精确性,防止了审计事件时间误差给事后审计分析工作带来B影响,提高了工作效率。2.2.9. 系统安全性设计在天珥系统的设计中采用了严密的系统安全性设计,重要体系在如下几种方面:1 .操作系统安全性设计:天珥系统采用经淘汰、加固的Linux操作系统。在设
24、计过程中,结合天羽系统日勺功能规定和我企业在操作系统安全面0技术和经验,对Linux进行了精心的淘汰和加固,包括补丁修补,取消危险的、无用的服务等。2 .数据库安全性设计:天明审计数据中心审计服务器的数据库是启明星辰根据天珥系统的功能规定自行设计的,在设计时已经充足考虑了安全性方面的问题。3 .模块间的通信:各功能模块之间的通信均采用专门设计的通信协议,这些通信协议在设计时均采用了诸如CA认证、编码、签名、加密等安全技术。对于远程维护,则采用了SSH加密传播协议。在产品出厂测试阶段,还将进行诸如漏洞扫描之类的安全性测试,因此,我们认为天珥系统具有很高的安全性。2. 3.负面影响评价天期系统基于
25、“IP数据俘获一应用层数据分析T审计和响应”实现各项功能。在详细实现时,无需在网络通路中“跨接”任何硬件设备,也不需要在审计对象中安装“审计代理”,因此,天珥系统0安装使用,不会对原系统导致任何性能、稳定性方面B影响。天珥系统的硬件设备由“天珥审计数据中心”和“天珥网络审计引擎”构成。其中,天珥审计数据中心象一台主机设备同样安装顾客的系统中,只需要为天珥审计数据中心分派合法的IP地址就可以了。因此,该设备不会对原系统导致任何性能、功能、可靠性、安全性方面的影响。天现网络审计引擎需要安装在关键互换机的镜像端口上,用于俘获来往于后台主机和前台操作人员之间0通信数据,然后通过对这些通信数据0解析、匹
26、配,到达审计和命令控制B目的。同步,天珥网络审计引擎实时地将俘获的原始数据传递给进行深入日勺分析处理和存储。当日珥网络审计引擎发现违反规定的登录或操作命令时,会同步向该TCP会话的服务器和客户端发出“关闭TCP会话BJIP报,从而到达阻断的目的。这种“关闭TCP会话”的IP报是由天珥网络审计引擎伪造,并直接向服务器和客户端发送的,不需要网络设备的支持;并且,这种IP报,是按照原则0TCP协议构造B,不会对服务器或客户端导致任何负面的影响。由于,对于接受到“关闭TCP会话”IP报日勺一方而言,它感觉是通信的对方积极发起了一种关闭TCP会话的祈求。总之,天阴系统的基本工作原理就像网络IDS系统同样
27、,通过旁路的方式接入到系统中,不会对原系统的性能、稳定性导致任何影响。2.4. 互换机性能影响评价为了安装使用天珥系统,需要在互换机上进行端口镜像,将网络流量拷贝到此外一种或多种互换机端口,使得天珥网络审计引擎能获取所有的通信信息,从而实现天理系统的各项安全功能。总体上讲,端口镜像可以划分为三种类型:1. Monitor:这种功能在某些低端B互换机中提供,例如CatalySt2900XL/3500XL。在这种状况下,当进行镜像设置时,所有数据将被互换机0内存缓存,直到这些数据被镜像接受端口发送完毕。因此,假如镜像接受端口发生拥塞,导致互换机不能及时清除内存,将影响互换机B性能。2. SPAN:
28、这种功能在绝大部分二层互换机中提供,例如Catalyst450040005500500065006000o在这种状况下,被镜像的J数据被拷贝到缓存器中,在缓存后,无论镜像接受端口与否发生拥塞,都将立即进行发送。因此,SPAN不会对互换机0性能导致影响。不过,假如发生拥塞,将出现镜像数据丢失B状况。3. PortSnooping:这种功能在三层互换机中提供。PortSnooping基于路由的原理实现,因此,POrtSnooP对互换机导致的影响相称于增长了一条路由。从个互换机厂商提供的公开的技术文献看,无论那种端口镜像方式,其镜像设置自身并不会对互换机性能导致影响;不过,在MOnitOr模式下,假
29、如镜像接受设备不能及时地读去缓存数据,也许大量消耗互换机的额内存,从而引起互换机性能0下降。由于Monitor仅在某些低端互换机上提供,互换机自身的处理能力比较低,而天殂网络审计引擎0处理能力远远高于这些互换机0互换能力,天用网络审计引擎能迅速地读去缓存的镜像数据,因此,在实际使用中,天珥系统不会对互换机的性能导致影响。3.资质证书本项目所选用产品具有如下资质:中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证中国信息安全测评中心的信息技术产品安全测评证书国家保密局颁发的涉密信息系统产品检测证书中国人民解放军信息安全评测中心颁发的军用信息安全产品认证证书中国信息安全认证中心颁发的产品认证证书(3C强制认证)
