汉邦信息强审计系统.pdf

《汉邦信息强审计系统.pdf》由会员分享，可在线阅读，更多相关《汉邦信息强审计系统.pdf（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 目录 1.目录 1.系统概述.2系统概述.2 2.2.系统在网络信息安全管理中的作用.2系统在网络信息安全管理中的作用.2 3.3.系统组成.3系统组成.3 4.4.功能介绍.3功能介绍.3 4.1 主机/服务器审计监控子系统.34.1 主机/服务器审计监控子系统.3 4.2 网络审计监控子系统.54.2 网络审计监控子系统.5 4.3 数据库审计监控子系统.54.3 数据库审计监控子系统.5 4.4 应用审计监控子系统.64.4 应用审计监控子系统.6 5.5.系统的安全性.6系统的安全性.6 5.1 认证和传输方式.65.1 认证和传输方式.6 5.2 记录方式.65.2 记录方式.6

2、5.3 审计数据的完整性.65.3 审计数据的完整性.6 5.4 处理方式.65.4 处理方式.6 6.6.运行环境.7运行环境.7 6.1 审计中心配置要求.76.1 审计中心配置要求.7 6.2 主机传感器配置要求.76.2 主机传感器配置要求.7 7.7.产品特点.7产品特点.7 7.1 完善的安全审计功能.77.1 完善的安全审计功能.7 7.2 模块化设计.77.2 模块化设计.7 7.3 多级数据提取技术.77.3 多级数据提取技术.7 7.4 统一管理平台设计.77.4 统一管理平台设计.7 -1-8.8.技术特色.8技术特色.8 8.1 分布式.88.1 分布式.8 8.2 综

3、合性.88.2 综合性.8 8.3 扩展性.98.3 扩展性.9 9.9.重大课题.10重大课题.10 10.10.典型案例.11典型案例.11 11.11.安全集成及售后服务能力.13安全集成及售后服务能力.13 12.12.公司资质.14公司资质.14 1.1.系统概述 系统概述 汉邦信息安全综合强审计监控系统是一个能够监控、审查内部人员操作行为，保护内网主机、服务器、网络、数据库安全的管理工具，具有良好的可靠性和易用性。该产品可以广泛应用于电子党务、电子政务、电子商务、电子金融、数字化部队、武器装备科研生产单位、科研生产单位、传媒行业、大型企业、制造业等需要加强“内部人员”行为控制、加强

4、责任认定和完善授权管理的部门和领域。2.2.系统在网络信息安全管理中的作用 取证作用系统在网络信息安全管理中的作用 取证作用 对内网公务人员和工作人员的泄密、违规操作、误操作、失密、窃密、篡改、删除、非法拨号等行为提供责任认定查处的依据。防范作用防范作用 对光驱、软驱、USB 口、打印机、无线、蓝牙、1394 口、Modem、网络映射盘符驱动器等设备的使用进行授权。安全管理作用安全管理作用：安全管理模式经历了从“规章制度建设”到“三分技术、七分管理”再到目 -2-3-前的“技管并重”，综合强审计系统实质上是“技管并重”管理中的重要一环，初步实现了运用技术手段解决信息安全管理中的问题。3.3.系

5、统组成 系统组成 汉邦信息安全综合强审计系统采用分布式、模块化的设计思想，整个系统由软硬件组成，包括审计中心（软件）、主机传感器（软件）、网络引擎（硬件）。主机传感器 主机传感器 主机传感器直接安装于被审计的主机/服务器上，对主机/服务器的日志、网络操作、文件操作、重要资源使用等进行监控与审计。网络引擎 网络引擎 连接到网络中的数据汇聚点设备上（如：集线器、交换机等），它抓取网络中的数据包，并对抓到的数据包进行分析、匹配、统计，通过特定的协议规则，从而实现网络审计功能，并且将入侵的信息记录下来。审计中心 审计中心 审计中心提供图形化界面，方便用户使用。它是网络管理员操作审计系统的人机界面，通过

6、它可以设置各种审计规则；接收数据采集器发送来的报警信息，查看具体的报警信息，浏览历史数据，生成各种报表等。4.4.功能介绍 功能介绍 汉邦信息安全综合强审计监控系统分为主机/服务器审计监控子系统、网络审计监控子系统、数据库审计监控子系统、应用审计监控子系统。各系统的具体功能说明如下：4.1 4.1 主机/服务器审计监控子系统 主机/服务器审计监控子系统 主机/服务器审计监控采用主机传感器组件，安装于受控的主机、服务器系统中，通过对被审计主机、服务器资源和重要文件与信息的审计，起到审计和监控主机、服务器资源的作用。系统信息审计监控系统信息审计监控 对系统的配置信息和运行情况进行审计，包括机器名、

7、操作系统、网络配置、用户登录、进程情况、CPU 和内存使用情况、硬盘容量等。-4-非U 非U 网 单拨文系进打主盘法内外联监控拨文系进打主盘法内外联监控 通过 IP 地址、网络协议的控制以及对硬件设备、端口、双网卡的控制，阻止一切可能的非法手段连入内网或互联网并产生报警事件。盘监管系统 盘监管系统 络版：采用特有的控制方法、保证汉邦U盘在内网的使用可控、可查；可以基于工作职责的不同按工作组或部门分类，不同权限的U盘不能互用。机版：汉邦U盘结合身份认证技术，提高单机使用U盘的可控性；安全U盘划分出普通区和安全区，普通区方便使用，安全区不输入正确的密码或指纹无法打开。号审计监控号审计监控 通过设置

8、拨号规则进行拨号控制管理，允许或禁止用户通过拨号连接外网。同时，记录任何允许和禁止的拨号事件。件审计监控件审计监控 能够根据文件的扩展名、文件名、路径名，对各类文件的写入、拷贝、删除、创建、读取、覆盖、移动或重命名进行审计记录，出现违规操作能及时报警。统日志审计统日志审计 能对主机/服务器上的系统日志、安全日志、应用日志进行统一收集，集中管理。程审计监控程审计监控 集中收集主机/服务器上的进程信息，能够手动将进程设置为合法进程或非法进程，一旦主机/服务器上出现非法进程时，能及时报警。印审计监控印审计监控 对主机的打印操作进行审计监控。允许或禁止打印行为，同时能实现打印内容回放。机IP审计监控机

9、IP审计监控 允许或禁止被审计主机的 IP 地址修改行为，同时可以记录被审计主机 IP地址的修改信息。符审计监控符审计监控 -5-通过设置规则，允许或禁止用户使用计算机的软驱、光驱、安全模式等。邮件审计邮件审计 监控、记录被审计主机上通过 OUTLOOK、FOXMAIL 进行收发邮件的行为。4.2 4.2 网络审计监控子系统 网络审计监控子系统 网络审计监控子系统将网络引擎（独立硬件设备）连接到网络中的数据汇聚设备上（如：集线器、交换机等），它抓取网络中的数据包，并对抓到的包进行分析、匹配、统计，通过特定的协议算法，从而实现入侵检测、协议审计等功能。网络入侵检测 网络入侵检测 从网络中抓取数据

10、包进行协议分析，从中分析入侵行为。同时记忆基于连接的网络数据包前后状态，发现入侵可疑企图即产生报警事件。MAC 地址审计 MAC 地址审计 指定 IP 地址和 MAC 地址的对应关系，如果抓取到的数据包与此对应关系不符，则产生报警事件。流量审计 流量审计 对抓取的数据包进行归类统计，得到各种流量统计表或统计图。可以对某些地址的流量设定阀值，超过规定值时即产生报警事件。协议审计 协议审计 对应用协议的操作和内容进行分析，对有特殊内容或某些违规的操作产生报警事件，审计的协议类型包括：telnet、ftp、Http、Icmp、Snmp、Mail、Arp、Dns、Netbios 等等 非法计算机接入审

11、计监控 非法计算机接入审计监控 对通过非法途径接入网络的终端进行审计监控，并能及时阻断报警。4.3 4.3 数据库审计监控子系统 数据库审计监控子系统 数据库审计监控子系统采用旁路技术对数据库的远程连接操作进行分析，从数据库访问操作入手，对抓到的数据包进行语法分析（支持采用 SQL 语法的数据库），对违规操作行为产生报警事件。4.4 4.4 应用审计监控子系统 应用审计监控子系统 采用代理方式对应用系统进行审计，结合审计日志进行应用系统审计数据分析。（需根据用户的实际情况进行二次开发）5.5.系统的安全性 系统的安全性 5.1 认证和传输方式 审计数据的传输采用一次性密码认证的帧传输方式，一帧

12、包括帧头、内容和帧尾，对整个帧进行加密，并且增加了完整性校验。5.2 记录方式 各传感器启动时按最近的一次策略设置进行审计，如果与审计中心连接不成功，则审计数据加密后临时保存于本地，等与审计中心连接后这些信息再发往审计中心，同时本地信息删除；连接成功之后的日志事件信息直接发往审计中心。审计中心收到的日志事件信息存放于大型数据库中，采用专用的 API 接口对信息数据进行存取。对于保存于大型数据库中的审计数据都进行了加密处理，同时对大型数据库的访问增设密码，以禁止审计数据的非授权访问。5.3 审计数据的完整性 在向大型数据库写入数据时出现异常，例如数据库连接失败、数据库数据溢出等，则系统自动把加密

13、后的审计数据临时保存于本地并报警，等数据库恢复后自动把保存于本地的数据写入数据库，本地数据删除。5.4 处理方式 主机传感器在目标主机安装成功后，没有专门的反安装软件将不能卸载，在每次启动系统时自动启动并进行审计监控。传感器从审计中心接收到审计策略后保存于本地，启动时按最近的策略进行审计监控。用户可以在审计中心对每一个传感器定制审计策略。传感器并不提供任何报警信息，它把报警信息传送到审计中心，由审计中心决定是否要蜂鸣、发送邮件等。除了实时的事件处理外，通过报表统计模块对所有的日志事件信息进行查询、统计、分析等。-6-6.6.运行环境 运行环境 6.1 审计中心配置要求?处理器：奔腾 IV 以上

14、?内存：256MB（建议 512MB 以上）?操作系统：WinNT/2000/2003server?硬盘：80GB 以上 6.2 主机传感器配置要求?处理器：奔腾 II 以上?内存：128MB 及以上内存（RAM）?操作系统：WinNT/2000/XP/2003?硬盘:1G 以上 7.7.产品特点 产品特点 7.1 完善的安全审计功能 不仅可以收集到用户关心的多种审计数据，审计的结果也具有绝对的权威性，同时可以生成多种格式的报表。7.2 模块化设计 一旦系统安全管理员指定好安全策略并发布成功，各模块之间独立运行，整个系统运行效率非常高，同时也便于用户结合自身特点购买使用。7.3 多级数据提取技

15、术 可以设置多个层次的安全审计中心，每层审计中心可以制定个性化的审计策略。7.4 统一管理平台设计 集成各子系统的控制模块，实现对各子系统的集中管理，向子系统下达各种规则。-7-8.8.技术特色 技术特色 8.1 分布式 汉邦综合强审计系统以实现实时分散处理和集中统一审计为目的，对跨网段、跨区域的大规模网络环境，集中设置审计策略和获取审计日志，分级管理，大大提高了网络安全运行系数。汉邦综合强审计系统分布式架构示意图，如下所示：8.2 综合性 该系统是集主机审计、网络审计、数据库审计、应用审计于一体的审计监控系统。汉邦综合强审计系统综合架构示意图，如下所示：-8-8.3 扩展性 汉邦综合强审计系

16、统不只有事后责任认定的审计功能，还兼有绝大部分的授权功能。a)与PKI体系构建较为完善的信任体系。-9-b)以综合强审计监控系统为主轴或树干构建较为完整的信息安全管理监控平台。9.9.重大课题 重大课题 汉邦公司凭借多年对审计技术的深入研究，在国家重大课题的公开招标中一一胜出，承担了全部有关审计监控类的国家重大课题。汉邦信息安全综合强审计系统是国内唯一经国家重大课题成果转化的信息安全审计产品。相关课题如下：“中办、国办计算机网络综合审计系统”（“十五”重大信息安全课题）“分布式电子政务强审计系统”（国家“863”重大课题）“分布式电子政务强审计系统”（国家保密局）“信息安全基础平台（综合监控审

17、计系统）”（总参谋部）“信息安全综合强审计系统”（国家发改委重大安全信息邻域课题）“网络信息安全监控管理系统”（科技部重点新产品研发课题）“分布式电子政务强审计系统”（中央保密委员会）“基于自主代理的协同入侵检测系统”（国家“863”重大课题）“网络信息安全监管系统”（国家发改委产业化课题）“汉邦信息安全综合强审计系统”（国家重点新产品）“汉邦协同入侵检测系统 CoIDS”（科技部创新基金）“宽带网络信息安全实时保护管理系统”（浙江省科技厅、浙江省信息产业 -10-厅）10.10.典型案例 典型案例 汉邦信息安全综合强审计监控系统经过严格的兼容性与稳定性测试，并已经在多个大型复杂网络进行部署，

18、积累了丰厚的实施经验。产品在应用过程中不断完善，较目前国家审计产品采用的单层管理架构，更适合在大规模复杂网络全面部署，如：1、国办电子政务强审计系统示范工程 国办电子政务强审计系统示范工程是针对国办电子政务内网（国办内部办公网）与国办专网（连接 95 个国家机关单位与 47 个副省级以上单位）全面部署审计监控体系的大型示范工程。通过汉邦强审计监控体系的部署，建立多级响应、分布式预警的国办审计监控体系。该示范工程实施方案目前已通过了专家评审。2、国家发改委审计体系建设工程 国家发改委审计体系建设工程作为金宏工程（一期）的配套工程，已经在国家发改委内网进行了全面的部署，采用二级分布式管理架构，对全

19、网络的主机、网络和数据库进行立体式的监管。3、军队总参机要办公网 汉邦信息安全综合强审计系统在总参机要办公网已经进行了部署，在总参办公厅、六总部、七大军区部署了一级审计监控中心，在 20 个集团军部署了二级审计监控中心，三级审计监控中心已部署至 65 个正军级单位。当前已初步构建了三级联动、现代军队立体审计监控体系。4、江苏省发改委纵向网示范工程 江苏省发改委纵向网强审计示范，是涉及到江苏省省发改委、13 个地级市发改委，以及 106 个县（市、区）的大规模工程。强审计系统在江苏省省发改委部署审计监控总中心，在下属 13 个地级市发改委部署二级审计监控中心，在 106 个县（市、区）部署三级审

20、计监控中心，形成粒度细、覆盖面广，事件多级上报，较完善的审计监控体系。运行至今，系统稳定，得到了用户的高度肯定。5、上海市公务网 上海市公务网作为连接上海市所有政府机关单位的大型复杂网络。由于操作人员复杂，网络地域跨度大，具有严重的安全隐患，安全综合强审计系统在公务网管理中心，部署审计监控总中心，在公务连接单位部署二级中心，形成上下联动，实时响应迅速的 -11-审计监控体系。在上海市公务网的应用过程中，审计监控系统运行稳定，是上海市公务网信息安全保障体系的核心环节。6、国信办：信息安全等级保护制度试点示范工程 汉邦信息安全综合强审计系统是国家信息安全等级保护制度的核心支撑技术，在国信办主持进行

21、的信息安全等级保护制度试点示范工程中，扮演了重要的角色。汉邦信息安全综合强审计系统已在本次试点示范工程的两大城市，天津、重庆进行了应用，与还未正式启动试点示范工作的河南、广东达成了应用意向。7、税务系统 汉邦强审计系统在大型税务系统已有了成功部署经验，江西省税务系统由于其地域跨度较大，网络信息安全监管力度较弱，无法形成完善的监管体系。汉邦信息安全综合强审计系统分别在江西省、地市、县三级部署，形成了审计监管范围覆盖江西全省的立体化审计监管体系。在江西省税务系统网络运维过程中，发现了多项信息安全隐患。对于已发生的信息安全事件，迅速定位事件源、责任人等，是江西省税务系统信息安全保障体系的核心环节。8

22、、天津市电子政务 天津市电子政务系统地域跨度较大，网络信息安全监管力度较弱，无法形成完善的监管体系。汉邦信息安全综合强审计监控系统分别在天津市、区/县二级部署，形成了审计监管范围覆盖天津全市的立体化审计监管体系。在天津市电子政务系统网络运维过程中，发现了多项信息安全隐患。对于已发生的信息安全事件，迅速定位事件源、责任人等，是天津市电子政务网络系统信息安全保障体系的核心环节。9、浙江省电子党务 汉邦信息安全综合强审计监控系统是国家电子党务系统信息安全保护防护的核心支撑技术，在浙江省电子党务系统信息安全保障体系中，扮演了重要的角色。基于浙江省电子党务网安全要求较高、地域跨度较大、操作人员复杂等特性

23、，汉邦信息安全综合强审计监控系统将在浙江分阶段部署省、市、县三级审计监控体系，形成审计监控范围覆盖全省各市、县的监控体系，目前已建设完成两级审计监控体系。-12-汉邦信息安全强审计系统在多年的市场应用中已取得了良好的业绩，在政府、军工、军队、企业等行业树立了良好的用户口碑。部分重要如下：党办系统：党办系统：中共中央办公厅、中共中央组织部、中共中央对外联络部、中央警卫局、国家保密局等核心部门。国办系统：国办系统：国务院办公厅、国家发改委、农业部、卫生部、最高人民法院、最高人民检察院等。地方：地方：北京市委办公厅、北京市委组织部、上海市公务网、上海市政府办公厅、天津市委办公厅、河南省委、陕西省委、

24、辽宁省委、上海市委组织部、上海市纪委、上海市委统战部、浦东新区等要害部门、山西省委、安徽省委、浙江省委。军队系统：军队系统：总参谋部办公机要网与指挥网、六总部（总参、总政、总后、总装、二炮、国防科技大学）及七大军区、军区所辖 20 个集团军、65 个军等要害部门。军工单位：军工单位：中国船舶重工集团、中国航天一集团、中国核工业总公司、中国兵器装备集团、江南造船厂、航天一院 15 所、电子 8 所、中船重工 702 所、中航一集团 640 所、中核 202所、贵州云马飞机制造所、皖安机械厂、沈阳飞机制造厂等 企业：企业：三峡工程总公司、辽河油田、中油公司、山东体育学院、新疆克拉玛依油田、上海联洋

25、社区、升华拜克上市公司、镇江无线电厂、南京熊猫电器厂、湖南株洲电器总厂、洛阳轴承机械厂、无锡建筑设计院、河南电力公司、民生银行、农业银行总行等。在如上案例的应用过程中，为汉邦信息安全综合强审计积累了宝贵的系统改善与实施经验，系统在市场应用过程中，多次受到用户单位的好评，为实现用户单位对于网络内部操作行为监控、事件追查等方面建设奠定了坚实的基础。11.11.安全集成及售后服务能力 安全集成及售后服务能力 汉邦公司是国内首批获得“涉及国家秘密的计算机系统甲级资质”的涉密集成单位之一。公司始终坚持“积极防御，综合防范”的安全理念，综合考虑安全威胁、-13-系统脆弱性、安全风险，为用户提供多层次、多方位的网络安全解决方案，积累了丰厚的经验，培养出一批具有扎实专业技能的高素质技术队伍。出色的完成了包括国家卫生部内网、农业部内网、天津市电子政务专网安全系统建设、国信办电子政务信息安全试点（等级保护）等多个大型项目的系统集成工作。目前公司在上海、北京设立了应急响应中心，全国 17 个主要城市设立办事处，服务网络覆盖全国。12.12.公司资质 公司资质 -14-15-16-17-18-19-20-21-