帕拉迪统一安全管理与综合审计系统技术说明书(共25页).doc

《帕拉迪统一安全管理与综合审计系统技术说明书(共25页).doc》由会员分享，可在线阅读，更多相关《帕拉迪统一安全管理与综合审计系统技术说明书(共25页).doc（25页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上目 录专心-专注-专业一主机安全现状分析当前随着信息技术的发展和信息化建设的高速推进，业务应用、办公系统的不断开发和投入运行。而支撑这些系统的运行平台网络/Linux主机被广泛应用，在电信运营商、财税、公安、金融、电力、大型公司和著名门户网站，更是使用数量众多的网络/Linux主机来运行关键业务，提供电子商务、数据库应用、运维管理、ERP和协同工作群件等等的服务。1.1 网络服务器安全隐患由于缺乏相应的先进工具和手段，企业无法保证系统管理员严格按照规范来进行管理，如无法保证系统管理员的真实管理行为/管理报告和规章制度要求一致，造成企业网络及服务器常处于不可信、不可控、

2、不可视状态。面对系统和网络安全性、IT运维管理和IT内控外审的挑战，管理人员需要有效的技术手段，按照行业标准进行精确管理、事后追溯审计、实时监控和警报。如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，已经成为越来越困扰这些企业的问题。 1.1.1 企业网络安全风险分析 网络管理人员需要监控第三方程序操作和命令用户登录系统，执行mysql、oracle 等命令，容易产生数据破坏或者网络攻击，所有的这些操作需要被跟踪和限制。 大型集中应用环境不易统一监控、管理和快速响应对于大型应用环境，网络管理员要管理和配置大量网络/L

3、INUX服务器，大量事故响应，网络管理人员不堪重负。 无法提供对网络通信设备的操作，修改等行为审计网络通信设备常常在网络/LINUX系统上通过ssh远程登录进行管理，对网络通信设备的操作无法审计，埋下安全隐患。 网络管理人员需要统一的手段，对服务器组进行安全保护网络管理人员常用防火墙，IDS等设备，针对网段进行隔离和操作限制，因此，网络管理人员需要不同手段，对外网/内网用户应用不同安全保护策略，应用和实施麻烦，容易疏忽造成隐患。 服务器及其集群的运行状态监控已及性能调控现有服务器监控软件基本上都是单机、单服务器方式运行，需要高素质管理人才进行管理。将服务器状态信息集中化，发现企业服务器运行状态

4、及瓶颈，成为网络应用比较急切和关心的问题。1.1.2 严格分权管理问题 严格分权管理属于多用户多账号管理方式，用户在自己权限下生产和工作，但是，由于生产的特殊性，常常需要用户具有ROOT账户权限。这就造成生产和管理的矛盾，临时ROOT权限分发可以解决ROOT权限生产问题，但是，这极大增大管理的复杂性和不安全性，稍有疏忽，就可能造成管理的混乱。不分发ROOT权限，可能导致生产不能正常进行，至少影响生产效率。 现有操作系统存在许多安全隐患，暴力破解、溢出攻击、社会工程等攻击方式，都可能使普通用户或者黑客获取ROOT账户权限，进而执行普通用户权限外的操作，产生破坏。 严格分权管理管理负担比较重，管理

5、员要对权限的分配和服务器上行为负责，同时，用户在服务器上行为对管理员来说不可视，不可审计，出现问题，没人负责。1.2 SOX(萨班斯法案)与IT运维管理SOX是Sarbanes-Oxley Act简称，正式名为 Public Company Accounting Reform and Investor Protection Act of 2002。于二零零二年由总统布什通过成为法例。此法案针对当年一连串上市公司(Enron、Arthur Andersen、WorldCom等)的财务丑闻而立。它为在美上市公司内部财务的管理定下了一些规范，以保障投资者和公司职员。因为，企业的经营活动，企业管理、项

6、目和投资基本建立在IT基础之上，以下两点就显得格外重要。如图1.2 302节：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。 404节：要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。404节规定外国在美的上市公司必须在零五七月十五日前完成有关的更改，零五三月美国证券交易委员会将这死线推迟了一年至零六年七月十五日。 ITIL是Information Technology Infrastructure Library的缩写，最早由英国商务部开发，是为了应对行业不断增长地对IT服务的

7、要求，提供IT管理最佳实践。ITIL融合全球最佳实践，是IT部门用于计划、研发、实施和运维的高质量的服务准则，是目前全球IT服务领域最受认可的系统而实用的结构化方法。全球10,000多家在各行业处于领先地位的组织都在使用ITIL流程改进IT服务的效率和沟通，大量的成功实践表明实施ITSM可以提高IT部门营运效率25-300%。ITIL自1980年代开始发展，经过行业专家、顾问和实施者的共同努力，已经成为IT服务管理领域最佳实践事实上的国际标准。ITIL可以与ISO 9001兼容，提供IT组织服务质量。二帕拉迪网络安全管理系统产品优势帕拉迪网络服务器安全管理系统（PLDSEC SMS）是杭州帕拉

8、迪网络科技有限公司，经过长时间的技术积累和攻关研发，于2005年Q3推出针对网络服务器安全管理、审计，业界领先并且拥有自主知识产权的一款产品。帕拉迪网络服务器安全管理系统（PLDSEC SMS）主要用于网络服务器系统安全防护，让网络服务器的操作、管理和运行更加可视、可控、可管理、可跟踪、可鉴定，解决网络服务器系统级别的安全问题、安全威胁，为国家重要部门和企业网络服务器的正常有序运行，提供可靠的安全保障。另外，也可以对数据库，网络设备，安全设备等各种IT设备进行操作行为管理。2.1 超强的规范管理能力 可兼容管理所有支持（ssh/telnet、ftp标准协议） CLI命令方式管理的设备。 对高危

9、命令的操作系统将实时阻断或给予警告（可手机短信通知信息主管人员）。 对授权用户的命令操作实时全程监控。 对第三方厂商程序开发人员、系统维护人员、数据库管理人员等多种角色进行身份的认证及操作监控。 规范用户操作习惯（防止授权用户的误操作、无用操作）。 全方位的主机信息安全保障，可以制定严格的策略和用户权限的分配做到事前预防，事中危险操作的实时阻断，事后的责任认定。2.2 最细粒度的审计查询功能 用户可根据具体的操作命令、用户名、时间、IP地址等8个条件任意组合查询、定位操作日志。 对菜单向导类操作的智能审计并可对其操作过程实时的历史回放，如：informix数据库操作、smitty 命令。 对共

10、用帐号的操作进行全记录全审计（如：对多个拥有root权限的操作人员做强身份识别）。 对用户在服务器间的跳转登录的全记录，每个跳转动作单独生成一个Session 。2.3 “零”影响部署 不影响任何业务数据流。 设备的部署不更改现有的网络拓扑。 不增加系统和网络性能的负载。 部署方式灵活多样，适合任何构架的网络环境.部署周期短。 不改变管理员操作习惯（不需要安装客户端工具）。三帕拉迪网络安全管理系统功能介绍3.1帕拉迪网络服务器安全管理系统理念帕拉迪产品安全管理理念3.1.1可视PLDSEC SMS能够动态实时的捕获网络系统用户使用的操作命令，真正做到让网络服务器上的操作和行为可视。系统管理员可

11、以直观的了解服务器上发生过的操作命令及其运行结果，结束网络服务器操作管理的黑匣子时代。PLDSEC SMS可以实时监控系统管理员操作过程，提供实时监控中心和值班中心，可以集中实时的监控所有用户的操作行为和过程。3.1.2可控PLDSEC SMS动态实时的捕获系统管理员操作行为，并可以对其进行策略审计，违反安全策略的用户命令，将被禁止执行，使用危险命令的用户，将被剔出系统。这样，网络服务器将增加一层安全防护功能，即使用户（恶意用户、黑客）取得命令的操作权限，该命令也不能生效，进而保护网络服务器上关键资源和重要服务。 3.1.3可管理PLDSEC SMS可以根据需要对指定用户或所有用户展开监控，可

12、以限制和管理可疑用户行为，真正让网络服务器摆脱操作和使用的黑匣子状态，监控和管理网络服务器上用户操作行为。同时，PLDSEC SMS还对CPU、MEM、DISK、PROCESS和网络I/O进行监控管理，并通过图形化方式直观的显示服务器运行状态，可以对网络服务器进行故障诊断。3.1.4可跟踪PLDSEC SMS通过远程日志服务器保存所有用户操作行为和运行结果，可以通过对用户操作行为及其结果进行回放，跟踪用户在服务器上的操作过程，查看用户在服务器上的所有操作行为，准确无误的了解用户的行为意图。PLDSEC SMS日志服务器提供日志动态查询功能，支持特色化报表生成功能，可以根据用户环境进行报表定制，

13、及时直观的报告用户所关心的资源使用情况。3.1.5可鉴定PLDSEC SMS使用二次日志记录系统，保存用户操作行为过程。日志文件不可修改，不可杜撰，通过对用户操作行为日志的分析，可以鉴定用户行为，并进行责任认定。二次日志记录加强了原始日志材料的防伪防杜撰功能，通过对比保存于两台日志服务器上的日志材料，可以准确可靠的进行故障鉴定和责任认定。3.2帕拉迪网络服务器安全管理系统应用帕拉迪网络服务器安全管理系统非常适合于企事业加强对网络服务器的安全管理，减轻和防止企事业的网络系统安全级别威胁。PLDSEC SMS应用领域非常广阔，产品多种部署方式，可以非常灵活的兼容于企事业现有安全架构。3.2.1内部

14、网络行为管理严重的攻击来自系统内部(75%来自内部攻击)，帕拉迪网络服务器主要应用于内部用户行为管理，保证内部用户的操作和行为可控、可视、可管理、可跟踪、可鉴定，防止内部人员对机密材料的非法获取和使用，保护企事业核心机密。3.2.2对网络边界网关设备的管理网络边界安全设备是企事业网络安全防护系统的重要组成部分，网络边界安全设备的安全策略，对企事业内部网络安全，起着非常重要的作用。PLDSEC SMS可以记录管理员对这些安全设备的配置过程，保证安全策略的一致性，其生成的日志系统，可以比较方便的集成到企事业现有安全策略管理架构中。对数据库的管理数据库是企事业核心机密的重中之重，PLDSEC SMS

15、可以记录用户对数据库（如：MYSQL，Oracle）的操作过程，防止用户人为修改数据库数据记录，防止用户删除数据记录。PLDSEC SMS可以还原用户操作过程，对于重要数据库的防护，有非常重要的价值。对黑客行为的防范黑客常常通过手段（如：社会工程、恶意程序、系统设置漏洞、缓冲区溢出程序等）获取用户权限，然后使用该权限登陆系统。PLDSEC SMS可以记录该黑客的操作过程，对于事后查证和数据恢复，有非常好的适用价值。PLDSEC SMS还可以通过地址邦定功能对黑客行为进行限制，即使黑客取得系统权限，也不能对系统做任何操作。3.3产品采用的关键技术帕拉迪网络服务器安全管理系统采用系列先进技术，成功

16、实现命令捕获与控制，为网络系统安全运行，提供强有力的武器。3.3.1程序重用与控制技术帕拉迪网络服务器安全管理系统采用先进的程序重用与控制技术，可以启用和控制任何网络程序。通过程序重用与控制技术，可以完全利用现有程序的先进功能，避免重新开发，同时，在重用的过程中，可以控制重用程序的行为，实现新的功能需求。如：通过重用bash，可以实现对bash命令行的控制功能。帕拉迪网络服务器安全管理系统控制被重用程序的输入与输出，再通过高效同步技术，完美重用和控制现成网络类程序，同时，对程序现有功能进行扩充，改变现有程序行为，增加现有程序功能。该技术还可以进行自定义扩充，如：截获数据、自动输入、隐藏或者改变

17、输出等，达到自动控制程序运行效果。3.3.2逻辑命令自动识别技术帕拉迪网络服务器安全管理系统自动识别当前操作终端，对当前终端的输入输出进行控制，组合输入输出流，自动识别逻辑语义命令。系统会根据输入输出上下文，确定逻辑命令编辑过程，进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能，在传统键盘捕获与控制领域取得新的突破，可以更加准确的控制用户意图。该技术能自动识别命令状态和编辑状态以及私有工作状态，准确捕获逻辑命令，现在该技术已经申请专利。3.3.3分布式处理技术帕拉迪网络服务器安全管理系统采用分布式处理架构进行处理，启用命令捕获引擎机制，通过策略服务器完成策略审计，通过日志服

18、务器存储操作审计日志，并通过实时监视中心，实时察看用户在服务器上行为。这种分体式设计有利于策略的正确执行和操作记录日志的安全。同时，各组件之间采用安全连接进行通信，防止策略和日志被篡改。各组件可以独立工作，可以分布于不同的服务器上，亦可所有组件安装于一台服务器。3.3.4实时监控技术帕拉迪网络服务器安全管理系统实现远程值班中心和实时监控中心，集团网络服务器运行状态监控可以实时进行。实时监控中心直接和命令捕获引擎通信，避免日志服务器和策略服务器的运行负载，有利于系统实时性的提高。3.3.5日志转储技术帕拉迪网络服务器安全管理系统提供日志本地存储和异地存储，本地存储直接保存在本机上，异地存储是与专

19、业存储设备对接实现异地存储功能，确保监控日志安全。通过多种存储技术，实现日志冗余目的，解决了日志单一存储丢失的问题，为事故责任鉴定提供有力依据。3.3.6加密传输技术帕拉迪网络服务器安全管理系统所有组件之间采用安全连接技术，避免数据在传输过程中被监听，修改。系统采用3-DES算法进行加密。另外，系统还采用rc2和rc4等加密算法，实现日志的保密处理。3.3.7多进程/线程与同步技术帕拉迪网络服务器安全管理系统主体采用多进程/线程技术实现，利用独特的通信和数据同步技术，准确控制程序行为。多进程/线程方式逻辑处理准确，事务处理不会发生干扰，这有利于保证系统的稳定性、健壮性。3.3.8自动报表生成技

20、术帕拉迪网络服务器安全管理系统利用正则表达式，通过规则文件方式，实现WEB自动报表功能。每个规则文件定义需要自动报告的特征和正则表达式，描述输出形式。嵌入WEB服务器根据该规则文件，自动生成WEB报表。自动报表技术可以产生一个数字的报告，如：登陆用户数目统计，也可以产生长篇累牍的报表，其中，报表列数，报表标题，报表字段颜色等，都可以在规则文件内自定义。3.4帕拉迪网络服务器安全管理系统功能3.4.1产品组件帕拉迪网络服务器安全管理系统由命令捕获引擎、策略服务器、日志服务器、用户接入和集中配置服务器等五大模块组成。各模块之间相互关系如下图：各模块处理关系3.4.2细粒度策略控制功能策略采用类防火

21、墙策略，利用正则表达式进行模式匹配，符合通常使用习惯，支持对登陆地址、服务器地址、用户名、操作时间、操作命令等元素进行策略审计。策略支持“非”逻辑。控制策略定义3.4.3准确日志查询检索功能PLDSEC SMS提供了人性化的日志管理、查询功能。管理人员可以根据：用户命令、主机地址、主机帐号、时间范围等多项条件任意组合，进行快速、准确的日志定位查询。日志查询3.4.4菜单类操作回放审计功能PLDSEC SMS支持AIX SMITTY操作审计，支持INFORMIX DBACCESS数据库前端操作审计，支持SQL PLUS数据库操作审计，支持文件内容修改审计。IBM、HP等服务器操作系统，使用自身提

22、供的集中管理工具管理服务器，这些管理工具基于图形菜单设计，审计“图形”菜单操作行为，方便后期管理查询和审计，是帕拉迪网络服务器安全管理系统的一大特色。菜单操作历史回放3.4.5密码代填为了增加主机帐号密码安全，帕拉迪网络安全管理系统提供密码代填功能。在网络服务器安全管理系统WEB控制台上，管理员为每台主机资产添加帐号与密码。用户通过二次跳转的方式登录目标主机进行操作，只要输入一次网关用户登录密码，然后选择目标资产编号和账号编号就完成目标主机登录任务，目标主机帐号密码对用户透明有效防止主机密码的泄漏，同时也方便了用户操作服务器。密码代填3.4.6帐号密码的安全管理主机账号密码自动分发，自动根据固

23、定时间和更新周期，更新目标主机账号密码，减少管理员工作量。大型异构网络，密码管理成为管理员非常头痛的事情。帕拉迪网络安全管理系统可以自动根据管理员要求，定时或者周期更改远程主机相关账号密码，增大密码更新频度，避免密码长时间不变被泄露，造成安全隐患。同时，系统支持密码推送结构邮件分发和密码管理员WEB下载功能（需要二次身份验证），最新密码副本可以安全的分发到管理员手中，避免密码丢失风险。邮件服务设置帐号动态密码设置3.4.7标准Radius认证接口PLDSEC SMS UTM支持标准的Radius认证协议，能够很方便的和身份认证产品集成，提升产品安全性和扩展性。用户认证配置3.4.8扩展命令用户

24、操作服务器重复输入某些命令的情况时有发生，帕拉迪网络服务器安全管理系统针对这一情况提供了扩展命令功能，用户如要在某台服务器上重复执行命令集，只需将重复执行的命令添加到扩展命令表中，当用户通过二次跳转方式登录目标主机时，网络服务器安全管理系统对用户自定义命令集进行预处理。扩展命令管理3.4.9 FTP/SFTP文件安全传输为了提高安全性，在部署PLDSEC SMS后系统将断开操作用户与目标服务器之间的连接，为方便服务器的维护和文件传输的安全，帕拉迪推出两种文件传输方式，一种是FTP代理，一种是SFTP一站式传输，用户直接将文件通过网络安全管理系统，将文件SFTP到目标主机，中间没有停留，直接到站

25、。整个使用FTP/SFTP方式传输文件的过程，都会被PLDSEC SMS实时完整的记录下来。FTP/SFTP审计设置3.4.10跳转登录操作的智能审计用户行为跳转分析，每次跳转（TELNET、SSH方式登录目的服务器）会自动生成新的操作SESSION，方便管理员直接查询目标服务器上行为，支持多重嵌套跳转。跳转分析可以方便用户行为跟踪，管理员可以直接查询目标服务器上发生的操作行为，节省管理员精力和时间。3.4.11支持标准SYSLOG日志支持标准SYSLOG日志输出，方便与第三方日志分析类产品集成整合，用户可以实时直观的在线监控服务器操作管理行为.SYSLOG输出事件包括：用户登录事件、用户退出

26、事件、用户操作命令、用户屏幕。标准Syslog日志3.4.12日志格式多样化网络服务器安全管理系统日志支持多种格式的输出，包括txt、pdf、xls，用户可以根据自己的需要进行审计日志的查看。txt格式输出日志pdf格式输出日志xls格式输出日志3.4.13图形操作审计针对图形终端的远程操作，帕拉迪网络服务器安全管理系统推出特有的图形操作审计功能。用户对Windows、网络服务器的远程桌面操作全部集中登陆到PLDSEC SMS UTM系统上，再通过二次跳转的方式对服务器进行远程操作，系统将根据用户的权限分配给用户可访问的资源，实现用户远程桌面操作强审计，且审计结果不可更改、不可杜撰。用户使用帕

27、拉迪RDP审计客户端连接网络服务器安全管理系统进行图形操作日志下载、播放，日志播放支持快进、暂停、播放点定位等功能，方便管理员追溯关键操作。RDP审计客户端网络服务器安全管理系统支持图形界面操作审计包括：RDP、X-WINDOW、VNCRDP日志播放X-WINDOW日志播放3.4.14双机热备随着业务数据重要性的增强，企业对网络系统运行的可靠性提出了更高的要求。发生单点故障是用户不能容忍的，双机热备解决方案的出现免除了用户对单点故障的顾虑。正常情况下主机处于工作状态，备机处于监控状态，主备之间监控使用“心跳线”和“参考地址”方式实现。当主机出现故障时，备机主动接管主机的工作并自动升级为主机身份

28、。故障主机恢复正常后处于备机状态，不提供服务，只负责监控工作主机的状态。当主机再次发生故障，备机同样主动接管主机的所有工作，保证服务的不间断运行，实现高可用性。热备配置3.4.15服务器集群服务器集群功能的实现彻底缓解了单台服务器的工作压力，网络服务器安全管理系统采用分级部署实现集群管理功能。集群中心负责所有配置和调度工作，其中包含监控的统一启用与停止以及为各节点分配管理资产，各节点负责提供实际的审计工作。集群配置3.4.16操作“现场回放”服务器操作WEB播放功能可再现用户操作全过程，专门用来即时监控用户在服务器上操作行为，让管理员可以实时察看用户执行的命令、命令结果等。可以用来监控第三方维

29、护人员、普通用户在服务器、网关等设备上的操作，及时发现、阻断非法用户和授权用户的恶意操作行为。用户操作WEB播放WEB播放需要JAVA运行环境的支持。3.5帕拉迪网络服务器安全管理系统应用3.5.1安全管理ISO17799帕拉迪网络服务器安全管理系统非常适合于企事业加强对网络服务器的安全管理，做到对服务器上行为的可视、可控、可管理、可跟踪、可鉴定，减轻企业的系统安全级别威胁。针对企事业应用，帕拉迪网络服务器安全管理系统具有如下鲜明特点： 防范来自内部/外部的安全风险。 不可擦除的精确管理会话审计使管理操作能够被完全监控。 精确的事故过程和责任审计。 简化用户权限管理，降低系统风险。 集中管理异

30、构的网络环境(solaris, hpux, aix, irix, linux, etc.)。 系统快速部署，降低部署的顾问实施费用。 不影响业务系统的运行稳定性和运行效率。 集中快速高效方便的确定安全威胁，将网络/LINUX用户操作变为可视，可核实，阻止黑客和恶意用户的安全威胁。3.5.2 IT 运维管理ITIL通过部署PLDSEC SMS 记录配置变更过程，记录运维过程，设置主机的唯一入口点，所有telnet, ssh, tty, ftp都被监控，拦截，审计日志。发现配置过程导致的问题，界定责任。覆盖的范围广，从主机到网络设备等。通过SYSLOG转发日志。3.5.3 IT 内控和SOX/CO

31、BITPLDSEC SMS为满足IT内控的审计和控制要求，提供了足够的日志资料，记录操作的过程，提供独立的日志，满足COBIT审计的要求，另外， 控制功能，起到了SESSION WALL的作用，控制命令行会话，转播并根据策略拦截会话，策略内容包括，访问地址，访问时间和访问位置。四PLDSEC SMS典型部署模型4.1网关方式部署网关方式部署帕拉迪网络服务器安全管理系统应用比较广泛，这种方式不但可以完成对服务器的操作进行审计，还可以完成对交换机、路由器、防火墙等边界网关的策略配置行为进行审计，加强边界网关的策略的正确配置，保证企事业内部安全。经过配置，该部署方式不但可以用于内网安全，也可以用于监

32、控外部用户在内部网络的活动，达到防止黑客捣乱的目的。4.2服务器方式部署服务器部署是帕拉迪网络服务器安全管理系统的经典部署方式，该方式全方位接管服务器上所有用户操作行为，即使管理员用键盘终端进行管理，也将被监控。服务器方式部署时，还可以利用pldrun的分权控制功能，方便管理员使用。同时，该部署方式还可以与帕拉迪服务器状态监控与诊断产品相结合，对服务器进行全方位安全保护。服务器方式部署逻辑图如下：服务器方式部署还可以起到防黑的作用，任何用户不管以任何手段获得ROOT账户权限，如果登陆服务器进行操作，都将被监控。结合帕拉迪网络服务器安全管理系统的用户名/地址绑定功能，即便权限被黑客或者不法内部用户获得，也不能进行任何相关服务器操作，保证服务器的系统级别的绝对安全。