启明星辰天玥网络规划项目安全审计系统白皮书.doc

,. 启明星辰 天玥网络安全审计系统 产品白皮书 （版本2.0） 北京启明星辰信息技术有限公司 2009年9月 版权声明 北京启明星辰信息技术有限公司2009版权所有，保留一切权利。 未经北京启明星辰信息技术有限公司（以下简称启明星辰）书面同意不得擅自传播、复制、泄露或复写本文档的全部或部分内容。本文档中的信息归启明星辰所有并受中国知识产权法和国际公约的保护。 信息更新 本文档及与之相关的计算机软件程序（以下称为文档）用于为最终用户提供信息，并且随时可由启明星辰更改或撤回。 发布日期：2009年9月。 适用范围：《天玥网络安全审计系统V6.0》 信息反馈 如有任何意见或建议，请按如下联系方式反馈给启明星辰。 邮政地址：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦 邮政编码：100094 电话：86-10-82779088 传真：86-10-82779000 E-mail：cpyj@venustech.com.cn 免责条款 根据适用法律的许可范围，启明星辰按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，启明星辰都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使启明星辰明确得知这些损失或损坏，这些损失或损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。 本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。 目录 1 产品概述 2 1.1 产品简介 2 1.2 适用场景 2 1.3 核心价值 2 2 用户需求（面临的问题） 3 2.1 内部人员操作安全隐患 3 2.2 第三方维护人员安全隐患 3 2.3 最高权限用户安全隐患 3 3 产品主要功能 4 3.1 面向业务的审计 4 3.2 数据库响应时间及返回码的审计 5 3.3 细粒度审计规则和响应 6 3.3.1 定制审计事件规则 6 3.3.2 特定账号行为跟踪 6 3.3.3 强大的数据库规则 6 3.3.4 多编码环境支持 6 3.3.5 多种响应方式 7 3.4 强身份认证 7 3.5 审计报告输出 7 3.5.1 多种筛选条件 7 3.5.2 自动任务支持 8 3.5.3 数据和报表备份 8 3.6 自身管理 8 3.6.1 安全管理 8 3.6.2 状态管理 8 3.6.3 时间同步管理 9 4 关键特性与客户收益 10 4.1 关键特性 10 4.2 客户收益 10 4.2.1 满足合规性要求，顺利通过IT审计 10 4.2.2 有效减少核心信息资产的破坏和泄漏 11 4.2.3 追踪溯源，便于事后追查原因与界定责任 11 4.2.4 直观掌握业务系统运行的安全状况 11 4.2.5 实现独立审计与三权分立，完善IT内控机制 11 5 部署与使用 12 5.1 部署方式 12 5.2 使用注意事项 12 6 产品型号 14 7 产品资质 15 8 服务支持 16 1 产品概述 1.1 产品简介 天玥网络安全审计系统，以下简称天玥，是启明星辰网络安全审计系列产品之一。 天玥网络安全审计系统是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报，以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，加强内外部网络行为监管、促进核心资产（数据库、服务器、网络设备等）的正常运营。 1.2 适用场景 天玥的用户通常拥有重要的业务应用系统或者网络基础设施，相应地具备如下需求中的部分或者全部： 1、需要满足各种合规要求，比如等级保护、分级保护、SOX等要求； 2、需要对重要/关键数据的访问进行审计； 3、需要对重要/关键服务器的访问进行审计； 4、希望有效地控制操作风险； 5、需要进行事后追查，但缺乏数据记录与追查方法。 1.3 核心价值 天玥的核心价值体现在：完善业务系统的安全防范体系，满足组织机构内外部合规性要求，全面体现管理者对业务系统信息资源的全局把控和调度能力。 主要表现在： 1、如同不知疲倦的网络警察，时刻监视着对重要资源的访问； 2、当出现安全事件后，能根据翔实的审计记录，一步步地追查出攻击者； 3、找出导致安全事件、性能波动的真正原因； 4、帮助用户加强内外部网络行为监管、满足企业内部控制或者外部政策等合规性要求。 2 用户需求（面临的问题） 2.1 内部人员操作安全隐患 随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作却无能为力。根据最新统计资料，对企业造成严重攻击中的70％是来自于组织里的内部人员。 2.2 第三方维护人员安全隐患 企业在发展的过程中，因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地监视设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。 2.3 最高权限用户安全隐患 一般来说，我们都是从各种系统日志里面去发现是否有入侵后留下来的“蛛丝马迹”来判断是否发生过安全事件。但是，系统是在经历了大量的操作和变化后，才逐渐变得不安全。从系统变更的角度来看，网络审计日志比系统日志在定位系统安全问题上更可信。（比如，系统的最高权限用户root/Administrators等长期以来一直处于不可管理的状态。） 3 产品主要功能 天玥网络安全审计系统基于“IP数据俘获→强身份认证（可选）→应用层数据分析→审计和响应” 的模式提供各项安全功能，使它的审计功能明显优于目标系统依靠自主保护策略提供的审计功能。主要体现在以下几个方面： q 与目标系统的状态无关 无论目标系统是否遭到入侵，安全机制是否正常运转，天玥的审计结果仍然是可信的； q 能够审计到更细的粒度 天玥审计的最小粒度为命令级，而一般操作系统提供的日志受日志来源限制，往往只能到进程级或者会话级； q 能够进行更灵活的自定义审计 天玥可以根据用户业务系统的不同提供强大的自定义审计功能，而一般操作系统提供的日志完全取决于自身审计功能，不支持用户自定义； 天玥网络安全审计系统主要功能如下： q 针对不同的应用协议，提供基于应用操作的审计； q 提供数据库操作语义解析审计，实现对违规行为的及时监视和告警； q 提供上百种合规规则，支持自定义规则（正则表达式等），实现灵活多样的响应； q 提供基于硬件令牌、静态口令、Radius支持的强身份认证； q 根据设定输出不同的安全审计报告； 3.1 面向业务的审计 l 数据库审计 天玥网络安全审计系统能够监视并记录对数据库服务器的各类操作行为，实时地、智能地解析对数据库服务器的各种操作，一般操作行为如数据库的登录，特定的操作如对数据库表的插入、删除、修改，执行特定的存贮过程等，都能够被记录和分析，分析的内容要求可以精确到SQL操作语句一级。并记录这些操作的用户名、机器IP地址、操作时间等重要信息。 系统能够对采用ODBC、JDBC、OLE-DB、命令行嵌入方式对数据库的访问进行审计和响应。 SQL语句的支持SQL92标准，主要包括以下几种类型的审计： q DDL：Create ,Drop,Grant,Revoke… q DML：Update,Insert,Delete… q DCL：Commit,Rollback,Savapoint… q 其他：Alter System,Connect,Allocate… q 存储过程 目前，天玥网络安全审计系统支持以下数据库系统的审计 q Oracle q SQL-Server q DB2 q Informix q Sybase q Teradata q Mysql q PostgreSQL q Cache l 网络运维审计 天玥网络安全审计系统支持常用的运维协议，比如Telnet、FTP、Rlogin、X11、Radius 等协议的审计，能够全程记录用户在服务器上的各种操作（包括命令行操作、交互菜单操作、业务系统操作），并且可以实现类似窗口录像回放形式的还原。 l OA审计 天玥网络安全审计系统支持HTTP、POP3、SMTP、Netbios、NFS协议的审计，能够记录网页URL、内容、发件人、收件人、邮件内容、网络邻居的各种操作等信息。 3.2 数据库响应时间及返回码的审计 天玥网络安全审计系统支持对SQL Server、DB2、Oracle、Informix等数据库系统的SQL操作响应时间和返回码的审计。通过对响应时间和返回码的审计，可以帮助用户对数据库的使用状态全面掌握、及时响应故障信息，特别是当新业务系统上线、业务繁忙、业务模块更新时，通过天玥网络安全审计系统对超长时间和关键返回码进行审计并实时报警有助于提高业务系统的运营水平，降低数据库故障等带来的运维风险。 3.3 细粒度审计规则和响应 3.3.1 定制审计事件规则 天玥网络安全审计系统提供了事件规则用户自定义模块，允许用户自行设定和调整各种安全审计事件的触发条件与响应策略。 例如，用户特别关注在telnet过程中出现rm、passwd、shutdown等命令的行为，那么用户就可以利用天玥网络安全审计系统定义相应的审计事件规则。这样，天玥网络安全审计系统就可以针对网络中发生的这些行为进行响应。 3.3.2 特定账号行为跟踪 系统能够实现对“用户网络环境中出现的特定账号或特定账号执行某种操作后”的场景进行账号跟踪，提供对后继会话和事件的审计。这样，管理员能够对出现在网络中的特权账号，比如root、DBA等，进行重点的监控，特别是哪些本不应出现在网络上的特权账号突然出现的事件。 3.3.3 强大的数据库规则 系统能够根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件，对用户关心的违规行为进行响应，特别是针对重要表、重要字段的各种操作，能够通过简单的规则定义，实现精确审计，降低过多审计数据给管理员带来的信息爆炸。 3.3.4 多编码环境支持 天玥网络安全审计系统适用于多种应用环境，特别是在异构环境中，比如IBM AS/400通常采用EBCDIC编码方式实现telnet协议的传输、某些数据库同时采用几种编码与客户端进行通讯，若系统不能识别多种编码，会导致审计数据出现乱码，对多编码的支持是衡量审计系统环境适应性的重要指标之一，目前天玥网络安全审计系统支持如下编码格式 q ASCII q Unicode q UTF-8 q UTF-16 q GB2312 q EBCDIC 3.3.5 多种响应方式 天玥网络安全审计系统提供了多种响应方式，包括： q 在天玥审计服务器中记录相应的操作过程； q 在日常审计报告中标注； q 向天玥管理控制台发出告警信息； q 实时RST阻断会话连接； q 管理人员通过本系统手工RST阻断会话连接； q 通过Syslog方式进行告警 q 通过SNMP Trap方式进行告警 q 通过邮件方式进行告警 3.4 强身份认证 传统的网络安全审计系统通过网络层捕获实现审计数据的解析，对网络行为的定位往往局限于IP地址和MAC地址，在某些场景，比如要求自然人和网络行为关联的情况下，由于IP地址或MAC地址不具备源头可信任，追踪稽查效果大打折扣。针对这种情况，启明星辰公司的天玥网络安全审计系统提供了USB硬件令牌、静态口令、Radius支持三种方式进行认证，用户可选择适合自身使用习惯的认证方式实现对自然人的绑定，当自然人在进行网络操作时，其真实身份将会和网络行为进行关联，从而实现对自然人的追踪和稽查。 3.5 审计报告输出 天玥审计系统从安全管理的角度出发，设计一套完善的审计报告输出机制。 3.5.1 多种筛选条件 天玥网络安全审计系统提供了强大、灵活的筛选条件设置机制。 在设置筛选条件时，审计员可基于以下要素的组合进行设置：时间、客户端IP、客户端端口号、服务端IP、服务端端口、关键字、事件级别、引擎名、业务用户身份、资源账号等条件。 审计员可根据需要灵活地设置审计报表的各种要素，迅速生成自己希望看到的审计内容。同时系统提供了报表模板功能，审计员无需重复输入，只需要设置模板后，即可按模板进行报表生成。 3.5.2 自动任务支持 天玥网络安全系统提供报表任务功能，审计员可根据实际情况定制报表生成任务；系统支持HTML、EXCEL、CSV、PDF、Word等多种文档格式的报表输出，可以通过邮件方式自动发送给审计员。 3.5.3 数据和报表备份 天玥网络安全审计系统提供了审计数据和报表的手动和自动备份功能，可以将压缩后的数据自动传输到指定的FTP服务器，提供每天、每周、每月、时刻的定义方式。 3.6 自身管理 3.6.1 安全管理 天玥网络安全审计系统的管理控制中心提供了集中的管理控制界面，审计员通过管理控制台就能管理和综合分析所有审计引擎的审计信息和状态信息，并形成审计报表。 天玥网络安全审计系统支持权限分级管理模式，可对不同的角色设定不同的管理权限。例如，超级管理员拥有所有的管理权限；而某些普通管理员则可能仅拥有查看审计报表的权限，某些管理员可以拥有设置审计策略或安全规则的权限。 系统提供专门的自身审计日志，记录所有人员对天玥系统的操作，方便审计员对日志进行分析和查看。 3.6.2 状态管理 天玥网络安全审计系统提供CPU、内存、磁盘状态、网口等运行信息，管理员可以很轻松的通过GUI界面实现对审计数据中心、审计引擎的工作状态进行查看。当出现错误信息时，比如Raid故障、磁盘空间不足、引擎连接问题，系统可自动邮件通知相关管理人员。 3.6.3 时间同步管理 天玥网络安全审计系统提供手工和NTP两种时间同步方式，通过对全系统自身的时间同步，保证了审计数据时间戳的精确性，避免了审计事件时间误差给事后审计分析工作带来的影响，提升了工作效率。 4 关键特性与客户收益 4.1 关键特性 q 审计事件入库达到每秒8000条以上，能够满足高性能情况下对审计系统的要求，避免性能不足导致事件不完整给事后审计追查带来的问题。 q 支持主流商用数据库，实现细粒度的审计，能够审计时间、级别、目的IP、源IP、源端口、目的端口、源MAC、目的MAC、资源账号、数据库名、数据库表名、数据库命令、数据库字段及其对应值、SQL语句等信息。 q 支持众多的数据库关键特性审计，包括SQL返回行数、SQL响应时间、数据库账号登陆失败、数据库服务无法连接、数据库操作成功、数据表空间不足、数据库并发会话数超限、数据库并发进程数超限、数据库并发用户数超限、数据库并发游标数超限、数据库并发事务数超限、数据库锁超限、数据库死锁状况、数据库错误次数超限、数据库操作权限不足等多种情况的审计。 q 支持灵活的审计规则，定制条件包括时间IP、端口、账号名称、事件级别、内容等，能够以精确匹配、模糊匹配、正则表达式匹配方式对审计事件进行匹配，帮助用户对关键操作进行及时响应。 q 支持IP黑白名单、账号黑白名单、账号发现、账号跟踪审计、账号行为事件分级等多种特性，便于在实际审计过程中进行灵活设置。 q 全面考虑数据库系统的审计点，除了数据库SQL访问审计外，系统还提供了Telnet、Rlogin、FTP、NFS、Netbios等主机远程嵌入访问数据库、文件方式访问数据库的行为进行审计。 q 提供足够的存储空间（1000G以上），满足在线存储至少6个月的要求；支持NTP同步和自同步，能够保证审计记录的时间的一致性，避免错误时间记录给追踪溯源带来的影响。 4.2 客户收益 4.2.1 满足合规性要求，顺利通过IT审计 目前，越来越多的单位面临一种或者几种合规性要求。比如，在美上市的中国移动集团公司及其下属分子公司就面临SOx法案的合规性要求；而商业银行则面临Basel协议的合规性要求；政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。 天玥系统提供了一种独立的审计方案，有助于完善组织的IT内控与审计体系，从而满足各种合规性要求，并且使组织能够顺利通过IT审计。 4.2.2 有效减少核心信息资产的破坏和泄漏 对单位的业务系统来说，真正重要的核心信息资产往往存放在少数几个关键系统上（如数据库服务器、应用服务器等），通过使用天玥系统，能够加强对这些关键系统的审计，从而有效地减少对核心信息资产的破坏和泄漏。 4.2.3 追踪溯源，便于事后追查原因与界定责任 一个单位里负责运维的部门通常拥有目标系统或者网络设备的最高权限（掌握DBA帐号的口令），因而也承担着很高的风险（误操作或者是个别人员的恶意破坏）。由于目标系统不能区别不同人员使用同一个帐号进行维护操作，所以不能界定维护人员的真实身份。天玥系统提供基于角色的审计，能够有效地区分不同维护人员的身份，便于事后追查原因与界定责任。 4.2.4 直观掌握业务系统运行的安全状况 业务系统的正常运行需要一个安全、稳定的网络环境。对管理部门来说，网络环境的安全状况事关重大。天玥系统提供业务流量监控与审计事件统计分析功能，能够直观地反映网络环境的安全状况。 4.2.5 实现独立审计与三权分立，完善IT内控机制 从内控的角度来看，IT系统的使用权、管理权与监督权必须三权分立。天玥系统基于网络旁路监听的方式实现独立的审计与三权分立，完善了IT内控机制。 5 部署与使用 5.1 部署方式 天玥采用旁路部署方式对原有网络不造成影响，设备故障不影响现有网络的正常运行。一般部署方式如下： 1、根据不同的审计范围部署一到多台天玥审计引擎； 2、部署一台天玥审计数据中心； 3、通过IEl浏览器进行访问和管理； 图1. 天玥审计系统部署示意图 （注意：天玥审计引擎需连接在交换机镜像端口并且恰当配置） 5.2 使用注意事项 l 明确需要审计的对象，以数据库审计为例，需要明确数据库系统、数据库系统所依赖的主机系统、交换机等设备需要审计的端口和协议，形成审计业务表 l 明确审计系统部署的位置和审计事件采集的方式，形成网络部署结构图 l 对需要审计的应用上所存在的账号访问行为制定审计规则，尤其是特权账号的访问行为、关键表关键字段的访问行为等，备份已完成的策略文件 l 制定回退计划，实现审计系统上线的切割。 l 依照相关管理制度，完成定期生成审计报表、定期数据备份等日常维护工作清单，备份相关配置文件、备份审计系统的相关账号和密码信息 6 产品型号 CA300E审计引擎 百兆引擎、1U上架专用设备、1个100M电口监听口、1个1000M电口管理口、监听口不可扩充 抓包性能：100Mbps 每秒入库性能：8000条/秒 CA500E审计引擎 百兆引擎、1U上架专用设备、2个100M电口监听口、1个1000M电口管理口、监听口不可扩充 CA500S审计数据中心 百兆引擎的审计数据中心、2U上架专用设备、支持4个百兆引擎、1个1000M电口管理口、1个1000M备用电口、数据存储量1.5T、支持RAID5 CA2300E审计引擎 千兆引擎、1U上架专用设备、2千兆电口监听、4个SFP千兆插槽、1个千兆管理口、最大支持4个监听口 抓包性能：1000Mbps 每秒入库性能：16000条/秒 CA2300S审计数据中心 千百兆引擎的审计数据中心、2U上架专用设备、支持2个审计引擎、1个1000M电口管理口、1个1000M备用电口、数据存储量2T、支持RAID5 CA2800E审计引擎 千兆引擎、1U上架专用设备、2千兆电口监听、4个SFP千兆插槽、1个千兆管理口、最大支持4个监听口 抓包性能：1000Mbps 每秒入库性能：32000条/秒 CA2800S审计数据中心 千百兆引擎的审计数据中心、2U上架专用设备、支持4个审计引擎、1个1000M电口管理口、1个1000M备用电口、数据存储量2T、支持RAID5 7 产品资质 天玥网络安全审计系统具有如下资质： 中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证 国家信息安全测评认证中心颁发的产品型号证书 国家保密局颁发的涉密信息系统产品检测证书 中国人民解放军信息安全评测中心颁发的军用信息安全产品认证证书 8 服务支持 公司总部 ★ 北京市海淀区东北旺西路8号中关村软件园21号启明星辰大厦 邮编：100193 电话：010-82779088 传真：010-82779000 分支机构联系方式： ★ 北京市西城区南闹市口大街1号长安中心5层#4-5B 邮编：100031 电话：010-58528588 传真：010-58528518 ★ 上海市浦东新区张江高科技园区碧波路177号A区1层101室 邮编：201203 电话：021-50801133 传真：021-50803515 ★ 杭州市万塘路317号华星世纪大楼10楼1003室 邮编：310013 电话：0571-85865040 85874060 传真：0571-85865040 ★ 南京市珠江路88号新世界中心A座2702室 邮编：210008 电话：025-84530450 84530460 传真：025-84530450-999 ★ 安徽省合肥市长江中路177号花样年华1502室 邮编：230000 电话：0551-2619117 传真：0551-2619117 ★ 深圳市福田区深南中路2号新闻大厦14层 邮编：518027 电话：0755-25951188 传真：0755-25951088 ★ 广州市天河区中山大道西华景路1号南方通信大厦9楼 邮编：510640 电话：020-38638218 传真：020-38637486 ★ 广西南宁市七星路137号外贸大厦23层2305室 邮编：530022 电话：0771-5335686 传真：0771-5335686 ★ 福州市五四路151号宏运帝豪国际大厦10层1023室 邮编：350003 电话：0591-87872910 传真：0591-87872910 ★ 重庆市高新区科园一街73号科技发展大厦F座5-7 邮编：400039 电话：023-68621006/1007 传真：023-68620006 ★ 成都市高新区天府大道南延线高新孵化园1号楼A座4楼D-5号附1、2号 邮编：610041 电话：028-85336981/85336982 传真：028-85336981-8008 ★ 贵阳市沙河街印刷厂宿舍65号3楼5号 邮编：550000 电话：0851-6753996 传真：0851-6753996 ★ 昆明市北京路广场金色年华B座1603室 邮编：650031 电话：0871-5741067 传真：0871-5741067 ★ 沈阳市和平区文化路19号金科大厦910室 邮编：110004 电话：024-23898819 传真：024-23898922 ★ 长春市西安大路8号新世纪鸿源广场1号公寓1531室 邮编：130061 电话：0431-86188875 传真：0431-86188875 ★ 大连市西岗区新开路72号大连泓榆大酒店419室 邮编：116011 电话：0411-83655149 传真：041183655149 ★ 哈尔滨市南岗区文库街16号智力大厦511室 邮编：150040 电话：0451-87555540 传真：0451-87555540 ★ 呼和浩特市大学东路99号(桥华世纪村东150米)内蒙古医药研究所五楼 邮编：010010 电话：0471-2335159 传真：0471-2335159 ★ 陕西省西安市南二环中段396号秦电国际大厦0735室 邮编：710061 电话：029-83133318 传真：029-83133318-22 ★ 宁夏银川市金凤区学绒花园8号楼2单元401室 邮编：750021 电话：0951-5074123 甘肃兰州市城关区武都路人民银行家属员702室 邮编：730030 电话：0931-4600233 ★ 新疆乌鲁木齐市新民路5号晨报大厦2313室 邮编：830092 电话：0991-7721212 ★ 武汉市洪山区武珞路717号兆富国际大厦3005室 邮编：430072 电话：027-59818900 传真：027-87862896 ★ 长沙市人民东路9号港岛路东方公寓829室 邮编：410000 电话/传真：0731-3860055 ★ 山东省济南市山大路178号银座数码广场903室 邮编：250013 电话：0531-82397996 传真：0531-82397996 ★ 郑州市金水区农业路72号国际企业中心A座2602室 邮编：450002 电话：0371-65720028、65706262 传真：0371-65706262 ★ 山西省太原南内环街339号财大北校11号高层4272室 邮编：030012 电话：0351－7668039 传真：0351－7668038 ★ 石家庄市桥西区康乐街14号祥源大厦1207房间 邮编：050051 电话：0311-89630398 89630397