启明星辰天玥网络安全审计系统(数据库审计.pdf

《启明星辰天玥网络安全审计系统(数据库审计.pdf》由会员分享，可在线阅读，更多相关《启明星辰天玥网络安全审计系统(数据库审计.pdf（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 .word 教育资料 XXX项目 数据库审计系统 技术建议书 北京启明星辰信息技术有限公司 Venus Information Technology(Beijing)二零一零年十月 .word 教育资料 目 次 1.综述.1 2.需求分析.2 2.1.内部人员面临的安全隐患.2 2.2.第三方维护人员的威胁.2 2.3.最高权限滥用风险.2 2.4.违规行为无法控制的风险.3 2.5.系统日志不能发现的安全隐患.3 2.6.系统崩溃带来审计结果的丢失.3 3.审计系统设计方案.3 3.1.设计思路和原则.3 3.2.系统设计原理.5 3.3.设计方案及系统配置.6 3.4.主要功能介绍.7

2、3.4.1.数据库审计.7 3.4.2.网络运维审计.8 3.4.3.OA 审计.9 3.4.4.数据库响应时间及返回码的审计.9 3.4.5.业务系统三层关联.9 3.4.6.合规性规则和响应.10 3.4.7.审计报告输出.12 3.4.8.自身管理.13 3.4.9.系统安全性设计.13 3.5.负面影响评价.14 3.6.交换机性能影响评价.15 4.资质证书.16 .word 教育资料 1.综述 随着计算机和网络技术发展，信息系统的应用越来越广泛。数据库做为信息技术的核心和基础，承载着越来越多的关键业务系统，渐渐成为商业和公共安全中最具有战略性的资产，数据库的安全稳定运行也直接决定着

3、业务系统能否正常使用。另外，随着计算机技术的飞速发展，计算机技术也越来越广泛地被应用在医院管理的各个方面。在国家对医疗卫生行业投入不断增加的大背景下，以“金卫工程”为代表的医疗卫生行业信息化工程得到了快速发展，HIS系统也在全国各大医院广泛应用。但是，随着信息技术在各类医疗机构大行其道之时，也给各医疗机构各信息系统的技术管理提出了更高的要求。虽然各医院采取了许多措施加强对医院信息系统的管理，但由于多方面的原因，医院信息中心已成为医药购销领域商业贿赂的重点科室。特别是在医疗卫生行业的药品、器械销售竞争日益激烈的大背景下，采用不正当的技术手段渗透到医疗卫生行业中来，一些医院内部工作人员与医药营销人

4、员内外勾结，私自进行处方统计的行为，阻碍了医疗卫生事业的改革和发展。医院的用药信息泄漏给医药营销人员以此来获取经济利益的商业贿赂行为，这种行为的存在不仅严重干扰了正常的医疗秩序，而且也增加了患者的经济负担，不利于和谐医患关系的建设。从已发生的商业贿赂案件来看，医药代表通过医院信息中心工作人员的“统方”来掌握某个药品医生每个月的实际处方量，是“统方”主要渠道。同时，卫生部、中医药管理局针对部分医务人员开单提成、收受“红包”、药品回扣等消极腐败现象和不正之风，发布了关于建立健全防控医药购销领域商业贿赂长效机制的工作方案、关于开展医药购销领域不正当交易行为自查自纠工作的指导意见，并成立了治理商业贿赂

5、领导小组在全 .word 教育资料 国范围内开展治理商业贿赂专项工作。为此，一场医疗行业的反商业贿赂风暴，已经逐步深入开展。在信息化条件下，部署数据库审计产品，防范医药卫生行业中各从业人员利用计算机进行职务犯罪的问题，解决行业中审计手段隐蔽、不易取证等困难，成为医疗卫生行业信息化工程中必不可少的组成部分。2.需求分析 随着信息技术的发展，XXX已经建立了比较完善的信息系统，数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如 XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露，轻则造成企业或者社会的经济损失，重则影响企业形象甚至社会安全。通过对 XXX的深入调研，

6、XXX面临的安全隐患归纳如下：2.1.内部人员面临的安全隐患 随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作却无能为力。2.2.第三方维护人员的威胁 企业在发展的过程中，因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地管控设备厂商和代维人员的操作行为，并进行严格的审计是企业面临的一个关键问题。2.3.最高权限滥用风险 因为种种历史遗留问题，并不是所有的信息系统都有严格的身份认证和权限划分，权限划

7、分混乱，高权限账号（比如 DBA账号）共用等问题一直困 .word 教育资料 扰着网络管理人员，高权限账号往往掌握着数据库和业务系统的命脉，任何一个操作都可能导致数据的修改和泄露，最高权限的滥用，让数据安全变得更加脆弱，也让责任划分和威胁追踪变得更加困难。2.4.违规行为无法控制的风险 管理人员总是试图定义各种操作条例，来规范内部员工的访问行为，但是除了在造成恶性后果后追查责任人，没有更好的方式来限制员工的合规操作。而事后追查，只能是亡羊补牢，损失已经造成。2.5.系统日志不能发现的安全隐患 我们经常从各种系统日志里面去发现是否有入侵后留下来的“蛛丝马迹”来判断是否发生过安全事件。但是，系统往

8、往是在经历了大量的操作和变化后，才逐渐变得不安全。另外的情况是，用户通过登录业务服务器来访问数据库等核心资产，单纯的分析业务系统或者数据库系统的日志，都无法对整个访问过程是否存在风险进行判断。从系统变更和应用的角度来看，网络审计日志比系统日志在定位系统安全问题上更可信。2.6.系统崩溃带来审计结果的丢失 一般来说，数据库系统都会存储操作日志，也能开启审计模块对访问进行审计，但是一旦有意外发生导致系统的崩溃，这些审计日志也随之消失，管理人员无法得知系统到底发生了什么。3.审计系统设计方案 3.1.设计思路和原则 围绕数据库的业务系统安全隐患如何得到有效解决，一直以来是 IT 治理人员和 DBA们

9、关注的焦点。启明星辰做为资深信息安全厂商，结合多年的安全研究经验，提出如下解决思路：.word 教育资料 管理层面：完善现有业务流程制度，明细人员职责和分工，规范内部员工的日常操作，严格监控第三方维护人员的操作。技术层面：除了在业务网络部署相关的信息安全防护产品（如 FW、IPS等），还需要专门针对数据库部署独立安全审计产品，对关键的数据库操作行为进行审计，对统方行为进行审计，做到违规行为发生时及时告警，事故发生后精确溯源。不过，审计关键应用程序和数据库不是一项简单工作。特别是数据库系统，服务于各有不同权限的大量用户，支持高事务处理率，还必须满足苛刻的服务水平要求。商业数据库软件内建的审计能力

10、不能满足独立性的基本要求，还会降低数据库性能并增加管理费用。启明星辰天玥网络安全审计系统，既能独立审计针对数据库的各种访问行为，又不影响数据库的高效稳定运行。是专业的、有针对性的数据库审计系统。该系统主要从以下 7 个方面进行设计考虑：实用性:由于业务系统数据在数据库中进行集中存储，故对于数据库的操作审计需要细化到数据库指令、表名、视图、字段等，同时能够审计数据库返回的错误代码，这样能够在数据库出现关键错误时及时响应，避免由于数据库故障带来的业务损失；能够将统方所涉及到的药品表、用户账号等进行翻译，能够直观的给审计人员发现统方行为 独立性:审计系统应具备统一的策略、集中的审计，适用于不同的设备

11、、操作系统、数据库系统和应用系统的审计要求，并对这些系统不造成影响.灵活性:审计系统应提供缺省的审计策略及自定义策略，能够对重要操作、重要表、重要字段进行定义并审计，能够根据用户的业务特点进行策略的编辑。易用性:审计系统应能够基于操作进行分析，能够提供主体标识 .word 教育资料（即用户）、操作（行为）、客体标识（设备、操作系统、数据库系统、应用系统）的分析和审计报表 扩展性:当业务系统进行扩容时，审计系统可以平滑扩容。系统支持向第三方平台提供记录的审计信息。可靠性：审计系统能提供足够的存储空间（1000G以上），满足在线存储至少 6个月的要求；审计系统能够保证审计记录的时间的一致性，避免错

12、误时间记录给追踪溯源带来的影响。安全性：分权限管理，具有权限管理功能，可以对用户分级，提供不同的操作权限和不同的网络数据操作范围限制，用户只能在其权限内对网络数据进行审计和相关操作，具有自身安全审计功能。3.2.系统设计原理 天玥网络安全审计系统基于“IP 数据俘获应用层数据分析审计和响应”实现各项功能，设计中充分贯彻了平台化的思路；由于采用旁路接入的工作模式，使得天玥系统在实现各种安全功能的同时，对原系统的影响降到最低。天玥网络安全审计系统主要实现以下安全功能：针对不同的应用协议，提供基于应用操作的审计；提供数据库操作语义解析审计，实现对违规行为的及时监视和告警；提供上百种合规规则，支持自定

13、义规则（包括正则表达式等），实现灵活多样的策略和响应；提供基于硬件令牌、静态口令、Radius支持的强身份认证；根据设定输出不同的安全审计报告；.word 教育资料 3.3.设计方案及系统配置 核心数据库 Oracle系统通过主备方式接入网络，设计采用配置一台天玥审计数据中心，一台天玥旁路审计引擎，一台天玥在线审计引擎。具体部署如下图所示：天玥系统部署图 天玥审计数据中心:部署一台天玥审计数据中心，该服务器具备一个 2T 的内置 RAID5存储器，对天玥网络审计引擎进行管理和控制，实现对审计数据的存储和分析。天玥审计数据中心的管理端口需要接入网络中，并分配一个合法的 IP 地址，以接收天玥管理

14、控制台的管理。天玥审计数据中心的“管理端口”需要通过网络方式与天玥网络审计引擎的“管理端口”进行连接。天玥旁路审计引擎:部署一台天玥网络审计引擎对核心交换机上的Oracle流量进行监控和审计。天玥网络审计引擎配置两个信息监听端口，该端口需要连接到被监控交换机的 .word 教育资料“镜像目的端口”上，以获取原始的通信信息，从而实现各种审计和控制功能。天玥网络审计引擎需要设置一个“管理端口”，这个端口需要接入网络，并分配一个合法的 IP地址，以接收天玥管理控制台的管理。天玥在线审计引擎：部署一台天玥旁路审计引擎，实现对运维区域的各种运维操作进行监控、审计和阻断，该引擎自带 Bypass支持，通常

15、采用透明方式进行接入，对服务器端和终端用户无影响。天玥管理控制台:在网络中的任何一台 Windows计算机上采用浏览器进行管理。在本方案中同时部署了旁路审计引擎与在线审计引擎，这是因为这两种引擎属于互补关系，旁路审计引擎解决了在线审计引擎被绕过的风险，在线审计引擎解决了旁路引擎无法实现加密协议审计和事前阻断的风险，二者的关系如下：在线审计实现的基础为“建立唯一访问路径，一切的行为均通过该路径进行访问”，也就是说需要将所有被审计运维访问流量都要通过在线引擎才可以进行审计，这就牵涉到网络结构的变化或 ACL的调整，在实际部署中，在线审计依赖外部设备的 ACL控制（比如交换机或 FW），一旦这些访问

16、控制设备出现问题或 ACL不够充分，就会存在绕过堡垒主机的操作行为，而此时这些绕过堡垒主机的行为是没有被审计的，由于恶意攻击者往往具备较高的技术水平，同时善于寻找安全系统的漏洞，故不完善的 ACL控制会让在线审计存在较大的部署风险。而旁路审计实现的基础为“一切网络访问行为均不可信”进行部署的，故所有可识别的操作均被审计，这两种审计部署方式存在着很强的互补性，通常都会一起部署，从而实现控制与审计的完美结合。3.4.主要功能介绍 3.4.1.数据库审计 天玥网络安全审计系统能够监视并记录对数据库服务器的各类操作行为，实时地、智能地解析对数据库服务器的各种操作，一般操作行为如数据库的登录，特定的操作

17、如对数据库表的插入、删除、修改，执行特定的存贮过程等，都能够被记录和分析，分析的内容要求可以精确到 SQL操作语句一级。并记录这些操作的用户名、机器 IP 地址、操作时间等重要信息。系统能够对采用 ODBC、JDBC、OLE-DB、命令行嵌入方式对数据库的访问进行审计和 .word 教育资料 响应。SQL语句的支持 SQL92语法，主要包括以下几种类型的审计：DDL：Create,Drop,Grant,Revoke DML：Update,Insert,Delete DCL：Commit,Rollback,Savapoint 其他：Alter System,Connect,Allocate 存储

18、过程 目前，天玥网络安全审计系统支持以下数据库系统的审计，是业界支持数据库种类最多的审计系统，能够满足不同用户、不同发展阶段情况下的数据库审计需求：Oracle SQL-Server DB2 Informix Sybase Teradata Mysql PostgreSQL Cache 人大金仓 Kingbase数据库 达梦 DM 数据库 南大通用 GBase数据库 3.4.2.网络运维审计 天玥网络安全审计系统支持常用的运维协议及文件传输协议，能够全程记录用户在 服务器上的各种操作。Telnet Rlogin FTP SCP SFTP X11 NFS .word 教育资料 3.4.3.OA

19、审计 天玥网络安全审计系统支持HTTP、POP3、SMTP、Netbios的审计，能够记录网页 URL、内容、发件人、收件人、邮件内容、网络邻居的各种操作等信息。3.4.4.数据库响应时间及返回码的审计 天玥网络安全审计系统支持对 SQL Server、DB2、Oracle、Informix等数据库系统的 SQL操作响应时间和返回码的审计。通过对响应时间和返回码的审计，可以帮助用户对数据库的使用状态全面掌握、及时响应故障信息，特别是当新业务系统上线、业务繁忙、业务模块更新时，通过天玥网络安全审计系统对超长时间和关键返回码进行审计并实时报警有助于提高业务系统的运营水平，降低数据库故障等带来的运维

20、风险。目前天玥网络安全审计系统支持上述数据库系统共计 13000多种返回码的知识库供用户快速查询和定位问题。3.4.5.业务系统三层关联 当前业务系统普遍采用三层结构：浏览器客户端、Web服务器/中间件、数据库服务器。通常的流程是：用户通过浏览器客户端，利用自己的帐户登录 Web服务器，向服务器提交访问数据；Web服务器根据用户提交的数据构造 SQL语句，并利用唯一的帐户访问数据库服务器，提交 SQL语句，接收数据库服务器返回结果并返回给用户。在这种基于 Web的业务行为访问模式下，传统的信息安全审计产品一般可审计从浏览器到 Web服务器的前台访问事件，以及从 Web服务器到数据库服务器的后台

21、访问事件。但由于后台访问事件采用的是唯一的帐户，对每个后台访问事件，难以确定是哪个前台访问事件触发了该事件。如果在后台访问事件中出现了越权访问、恶意访问等行为，难以定位到具体的前台用户上。举一个一个典型的例子，内部违规操作人员利用前台的业务系统，以此作为跳板对后台数据库内容进行了篡改和窃取，这种情况下，通常审计产品只能发现来自某个数据库账号，而无法判断最终的发起源头。启明星辰研究人员实现 HTTP操作和数据库操作之间的关联计算，目前已经申请专利。专利名称为“一种 Web服务器前后台关联审计方法和系统”，专利受理号码：200710121669.6。.word 教育资料 三层关联逻辑部署图 通过这

22、种关联分析技术，能够将审计产品从基于事件的审计，逐渐升级为基于用户业务行为的审计，在关联分析过程中采用自动建模技术，可以将前台 Web业务操作和后台数据库操作行为进行对应，并形成业务访问行为模式库，同时，在该技术的基础上还可以进一步分析，发现可能的业务异常及 SQL异常。3.4.6.合规性规则和响应 天玥网络安全审计系统的审计和响应功能可以简单地描述为：“某个特定的服务（如FTP、Telnet、SQL等）可以（或不可以）被某个特定的用户（主机）怎样地访问”，这使得它提供的审计和响应具有很强的针对性和准确性。强大的数据库规则 系统能够根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库

23、名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件，对用户关心的违规行为进行响应，特别是针对重要表、重要字段的各种操作，能够通过简单的规则定义，实现精确审计，降低过多审计数据给管理员带来的信息爆炸。定制审计事件规则 天玥网络安全审计系统提供了事件规则用户自定义模块，允许用户自行设定和调整各种安全审计事件的触发条件与响应策略。例如，用户特别关注在 telnet过程中出现 rm、passwd、shutdown等命令的行为，那么用户就可以利用天玥网络安全审计系统定义相应的审计事件规则。这样，天玥网络安全审计系统就可以针对网络中发生的这些行为进行响应。基于业务特征的规则库 .word

24、教育资料 系统可以将审计员制定的多个符合业务特征的规则进行汇总、编辑和命名，形成具备某种业务特征的规则写入用户自定义的规则库。这样，审计员在针对某个特定业务用户制定审计策略时，可以直观地使用自命名的规则进行设置，方便了各种策略的制定和查询。特定账号行为跟踪 系统能够实现对“用户网络环境中出现的特定账号或特定账号执行某种操作后”的场景进行账号跟踪，提供对后继会话和事件的审计。这样，管理员能够对出现在网络中的特权账号，比如 root、DBA等，进行重点的监控，特别是哪些本不应出现在网络上的特权账号突然出现的事件。多编码环境支持 天玥网络安全审计系统适用于多种应用环境，特别是在异构环境中，比如 IB

25、M AS/400通常采用 EBCDIC编码方式实现 telnet协议的传输、某些数据库同时采用几种编码与客户端进行通讯，若系统不能识别多种编码，会导致审计数据出现乱码，对多编码的支持是衡量审计系统环境适应性的重要指标之一，目前天玥网络安全审计系统支持如下编码格式 ASCII Unicode UTF-8 UTF-16 GB2312 EBCDIC 多种响应方式 天玥网络安全审计系统提供了多种响应方式，包括：在天玥审计服务器中记录相应的操作过程；在日常审计报告中标注；向天玥管理控制台发出告警信息；实时阻断会话连接；管理人员通过本系统手工 RST阻断会话连接；通过 Syslog方式进行告警 .word

26、 教育资料 通过 SNMP Trap方式进行告警 通过邮件方式进行告警 实时跟踪和回放 管理员可以通过审计显示中心实时地跟踪一个或多个网络连接，通过系统提供的“时标”清晰地显示不同网络连接中每个操作的先后顺序及操作结果，当发现可疑的操作或访问时，可以实时阻断当前的访问。管理员也可以从审计数据中心中提取审计数据对通信过程进行回放，便于分析和查找系统安全问题，并以次为依据制定更符合业务特征和系统安全需求的安全规则和策略。3.4.7.审计报告输出 天玥审计系统从安全管理的角度出发，设计一套完善的审计报告输出机制。多种筛选条件 天玥网络安全审计系统提供了强大、灵活的筛选条件设置机制。在设置筛选条件时，

27、审计员可基于以下要素的组合进行设置：时间、客户端 IP、客户端端口号、服务端 IP、服务端端口、关键字、事件级别、引擎名、业务用户身份、资源账号等条件。审计员可根据需要灵活地设置审计报表的各种要素，迅速生成自己希望看到的审计内容。同时系统提供了报表模板功能，审计员无需重复输入，只需要设置模板后，即可按模板进行报表生成。命令及字段智能分析 系统能够根据审计协议的类型进行命令和字段的自动提取，用户可以选择提取后的命令或字段作为重点对象进行分析。针对数据库类协议，可分析并形成数据库名、表名、命令等列表；针对运维类协议，可分析并形成命令等列表；针对文件操作类协议，可分析并形成文件名、操作命令等列表；通

28、过该功能，可以简化用户对审计数据的分析过程，大大提高分析的效率。宏观事件到微观事件钻取 天玥网络安全审计系统提供了从宏观报表到微观事件的关联，审计员可以在统计报表、取证报表中查看宏观的审计数据统计信息，通过点击相应链接即可逐步下探到具体的审计事件。.word 教育资料 自动任务支持 天玥网络安全系统提供报表任务功能，审计员可根据实际情况定制报表生成任务；系统支持 HTML、EXCEL、CSV、PDF、Word等多种文档格式的报表输出，可以通过邮件方式自动发送给审计员。数据和报表备份 天玥网络安全审计系统提供了审计数据和报表的手动和自动备份功能，可以将压缩后的数据自动传输到指定的 FTP服务器，

29、提供每天、每周、每月、时刻的定义方式。3.4.8.自身管理 安全管理 天玥网络安全审计系统的管理控制中心提供了集中的管理控制界面，审计员通过管理控制台就能管理和综合分析所有审计引擎的审计信息和状态信息，并形成审计报表。天玥网络安全审计系统支持权限分级管理模式，可对不同的角色设定不同的管理权限。例如，超级管理员拥有所有的管理权限；而某些普通管理员则可能仅拥有查看审计报表的权限，某些管理员可以拥有设置审计策略或安全规则的权限。系统提供专门的自身审计日志，记录所有人员对天玥系统的操作，方便审计员对日志进行分析和查看。状态管理 天玥网络安全审计系统提供 CPU、内存、磁盘状态、网口等运行信息，管理员可

30、以很轻松的通过 GUI界面实现对审计数据中心、审计引擎的工作状态进行查看。当出现错误信息时，比如 Raid故障、磁盘空间不足、引擎连接问题，系统可自动邮件通知相关管理人员。时间同步管理 天玥网络安全审计系统提供手工和 NTP两种时间同步方式，通过对全系统自身的时 间同步，保证了审计数据时间戳的精确性，避免了审计事件时间误差给事后审计分析工作带来的影响，提升了工作效率。3.4.9.系统安全性设计 在天玥系统的设计中采用了严密的系统安全性设计，主要体系在以下几个方面：.word 教育资料 1.操作系统安全性设计：天玥系统采用经裁减、加固的 Linux操作系统。在设计过程中，结合天玥系统的功能要求和

31、我公司在操作系统安全方面的技术和经验，对 Linux进行了精心的裁减和加固，包括补丁修补，取消危险的、无用的服务等。2.数据库安全性设计：天玥审计数据中心审计服务器的数据库是启明星辰根据天玥系统的功能要求自行设计的，在设计时已经充分考虑了安全性方面的问题。3.模块间的通信：各功能模块之间的通信均采用专门设计的通信协议，这些通信协议在设计时均采用了诸如CA 认证、编码、签名、加密等安全技术。对于远程维护，则采用了 SSH加密传输协议。在产品出厂测试阶段，还将进行诸如漏洞扫描之类的安全性测试，因此，我们认为天玥系统具有很高的安全性。3.5.负面影响评价 天玥系统基于“IP 数据俘获应用层数据分析审

32、计和响应”实现各项功能。在具体实现时，无需在网络通路中“跨接”任何硬件设备，也不需要在审计对象中安装“审计代理”，因此，天玥系统的安装使用，不会对原系统造成任何性能、稳定性方面的影响。天玥系统的硬件设备由“天玥审计数据中心”和“天玥网络审计引擎”构成。其中，天玥审计数据中心象一台主机设备一样安装用户的系统中，只需要为天玥审计数据中心分配合法的 IP 地址就可以了。因此，该设备不会对原系统造成任何性能、功能、可靠性、安全性方面的影响。天玥网络审计引擎需要安装在核心交换机的镜像端口上，用于俘获来往于后台主机和前台操作人员之间的通信数据，然后通过对这些通信数据的解析、匹配，达到审计和命令控制的目的。

33、同时，天玥网络审计引擎实时地将俘获的原始数据传递给进行进一步的分析处理和存储。当天玥网络审计引擎发现违反规定的登录或操作命令时，会同时向该 TCP会话的服务器和客户端发出“关闭 TCP会话”的 IP 报，从而达到阻断的目的。这种“关闭 TCP会话”的 IP 报是由天玥网络审计引擎伪造，并直接向服务器和客户端发送的，不需要网络设备的支持；而且，这种 IP 报，是按照标准的 TCP协议构造的，不会对服务器或客户 .word 教育资料 端造成任何负面的影响。因为，对于接收到“关闭 TCP会话”IP 报的一方而言，它感觉是通信的对方主动发起了一个关闭 TCP会话的请求。总之，天玥系统的基本工作原理就像

34、网络 IDS系统一样，通过旁路的方式接入到系统中，不会对原系统的性能、稳定性造成任何影响。3.6.交换机性能影响评价 为了安装使用天玥系统，需要在交换机上进行端口镜像，将网络流量拷贝到另外一个或多个交换机端口，使得天玥网络审计引擎能获取所有的通信信息，从而实现天玥系统的各项安全功能。总体上讲，端口镜像可以划分为三种类型：1.Monitor：这种功能在一些低端的交换机中提供，比如 Catalyst 2900XL/3500XL。在这种情况下，当进行镜像设置时，所有数据将被交换机的内存缓存，直到这些数据被镜像接收端口发送完毕。因此，如果镜像接收端口发生拥塞，造成交换机不能及时清除内存，将影响交换机的

35、性能。2.SPAN：这 种 功 能 在 绝 大 部 分 二 层 交 换 机 中 提 供，比 如Catalyst 4500/4000/5500/5000/6500/6000。在这种情况下，被镜像的数据被拷贝到缓存器中，在缓存后，无论镜像接收端口是否发生拥塞，都将立即进行发送。因此，SPAN不会对交换机的性能造成影响。但是，如果发生拥塞，将出现镜像数据丢失的情况。3.Port Snooping：这种功能在三层交换机中提供。Port Snooping基于路由的原理实现，因此，Port Snoop对交换机造成的影响相当于增加了一条路由。从个交换机厂商提供的公开的技术文件看，无论那种端口镜像方式，其镜像

36、设置本身并不会对交换机性能造成影响；但是，在 Monitor模式下，如果镜像接收设备不能及时地读去缓存数据，可能大量消耗交换机的额内存，从而引起交换机性能的下降。由于 Monitor仅在一些低端交换机上提供，交换机本身的处理能力比较低，而天玥网络审计引擎的处理能力远远高于这些交换机的交换能力，天玥网络审计引擎能迅速地读去缓存的镜像数据，因此，在实际使用中，天玥系统不会对交换机的性能造成影响。.word 教育资料 4.资质证书 本项目所选用产品具有如下资质：中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证（增强级）中国信息安全测评中心的信息技术产品安全测评证书（EAL3）国家保密局颁发的涉密信息系统产品检测证书 中国人民解放军信息安全评测中心颁发的军用信息安全产品认证证书 中国信息安全认证中心颁发的产品认证证书（3C 强制增强级认证）