下载文档原格式
网络卫士主机监控与审计系统技术白皮书目录第一章前言 (1)第二章产品概述 (1)2.1产品架构 (2)2.2设计依据 (3)第三章功能简介 (3)3.1统一安全策略管理 (3)3.2集中补丁管理及软件分发 (3)3.3终端行为监控 (3)3.4终端系统状态监控 (4)3.5非法外联监控 (5)3.6非法内联监控 (5)3.7终端设备监控 (5)3.8移动存储介质管控 (5)3.9文件监控及网络共享监视 (5)3.10终端敏感信息检查 (5)3.11终端流量监控 (6)3.12安全审计 (6)3.13安全报警 (6)3.14资产管理 (7)3.15与天融信TopAnalyzer的完美整合 (7)3.16系统管理责权分立 (7)第四章产品优势与特点 (7)第五章产品性能指标 (7)第六章运行环境与部署 (8)6.1运行环境 (8)6.2产品应用部署 (8)6.2.1局域网应用部署 (8)6.2.2广域网应用部署 (9)第七章产品资质 (10)第八章关于天融信 (10)第一章前言随着计算机网络技术的飞速发展与应用,各行业信息化办公已经得到普及。
各单位经过多年的信息化建设,单位内部网络应用日益复杂,主要体现在网络分布广泛、终端数量庞大、业务应用系统越来越多。
虽然大部分单位都部署了防火墙、漏洞扫描等网络边界安全设备,但是由于业务运行保密性需求越来越高,边界防御产品无法对员工的个人行为进行管制,网络中的终端PC的安全运行无法得到保障,使得单位内部网络想日常运营存在重大的安全隐患,内部网络中的大量敏感信息也受到严重威胁。
来自网络内部终端PC的安全威胁成为众多安全管理者需要面临的新问题,主要体现在以下几方面:1)移动办公设备、终端PC以及存储介质随意接入内网该如何防范。
2)内网中的涉密设备非法连接外网该如何防范。
3)网络中占用大量带宽的终端如何才能及时发现。
4)如何及时发现网络中的终端设备的系统漏洞并自动分发、安装补丁。
天融信产品白皮书网络卫士日志审计系统TA-L系列日志审计平台TA-L天融信网络卫士安全审计系统日志审计平台TA-L为不同的网设备及系统提供了统一的日志管理分析平台,打破了企业中不同设备及系统之间存在的信息鸿沟。
系统提供了强大监控能力,实现了从网络到设备直至应用系统的监控。
在对日志信息的集中、关联分析的基础上,有效地实现了全网的安全预警、入侵行为的实时发现、入侵事件动态响应,通过与其它设备的联动来实现动态防御。
天融信日志审计系统主要由日志代理、安全审计中心、日志数据库、审计系统管理器四个部分组成。
1.日志代理收集各种操作系统、网络设备、安全设备、应用程序,过滤后发送给安全审计中心处理。
2.日志审计中心接收日志代理和各种设备、系统转发的日志信息,集中保存在日志数据库,通过审计系统管理器将结果呈现给用户。
3.日志数据库保存各种日志信息、系统配置信息等。
4.审计系统管理器提供给用户一个方便、直观的管理接口。
通过管理器用户可以查看日志、报表等各种信息。
海量日志的集中处理工具全面支持安全设备 (如防火墙,IDS、AV)、网络设备 (如Router、Switch)、应用系统 (如WEB、Mail、F tp、Database)、操作系统 (如Windows、Linux、Unix) 等多种产品及系统日志数据的收集和分析。
安全状况的全面监控帮助管理员对网络事件进行深度的挖掘分析,系统提供多达300多种的报表模板,支持管理员从不同角度进行网络事件的可视化分析。
同时系统还支持对网络设备、主机、系统应用、多种网络服务的全面监视。
隐患漏洞的不断发现提供全局安全视图,帮助管理员发现网络、系统及应用中存在的安全漏洞和隐患,并进行不断改进。
安全事件的及时响应可自定义安全事件的危险级别,并实现基于EMAIL,铃声、手机短信等多种响应方式。
先进的多级架构设计TA-L采用业界领先的多级架构设计,系统具有良好的网络适应性和伸缩性;支持多套系统级联部署,上级系统能方便地管理下级系统,系统可以非常方便、快捷地部署在大型复杂的网络环境中,有效的解决了含有NAT等复杂网络中事件的收集和审计问题。
网络卫士安全审计系统TA-W用户手册天融信TOPSEC®北京市海淀区上地东路1号华控大厦4层100085电话:+8610-82776666传真:+8610-82776677服务热线:+8610-8008105119版权声明 本手册中的所有内容及格式的版权属于北京天融信公司所有。
未经北京天融信公司许可,任何人不得复制、拷贝、转译或任意引用。
版权所有不得翻印© 2005天融信公司商标声明 本手册中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC®天融信公司信息反馈目录网络卫士安全审计系统TA-W (1)1前言 (1)1.1文档目的 (1)1.2读者对象 (1)1.3文档基本内容 (2)1.4约定 (2)1.5相关文档 (3)1.6在线技术支持 (3)1.7技术服务体系 (4)2网络卫士安全审计系统简介 (5)2.1产品概述 (5)2.2系统架构 (6)2.3工作机制 (7)2.4基本概念 (7)3基本配置 (9)3.1登录系统 (9)3.2查看系统信息 (10)3.3数据中心管理 (11)3.3.1添加数据中心 (11)3.3.2维护数据中心 (12)3.4审计引擎管理 (15)3.5数据库管理 (18)3.5.1数据导出 (18)3.5.2数据导入 (19)3.5.3数据删除 (19)3.6审计引擎维护 (20)3.6.1引擎高级配置 (20)3.6.2引擎配置保存 (20)3.7用户管理 (21)4审计策略配置 (24)4.1对象定义 (24)4.1.1时间段设置 (25)4.1.2时间组设置 (26)4.1.3IP对象设置 (27)4.1.4IP组设置 (27)4.2采集策略配置 (28)4.2.1定义采集策略 (29)4.2.2下发采集策略 (31)4.3关键词策略配置 (32)4.4报警策略配置 (34)4.4.1定义响应方式 (34)4.4.2定义报警策略 (36)4.4.3下发报警策略 (37)4.5流量监控策略配置 (38)4.5.1定义流量监控策略 (38)4.5.2下发流量监控策略 (39)4.6策略管理 (40)5安全审计功能 (42)5.1行为审计 (42)5.2内容审计 (44)5.2.1内容回放 (44)5.2.2关键词审计 (46)5.3行为统计报表查看 (48)5.3.1综合统计分析 (49)5.3.2HTTP统计分析 (50)5.3.3FTP统计分析 (52)5.3.4TELNET统计分析 (54)5.3.5SMTP/POP3/WebMail统计分析 (56)5.3.6MSN/QQ统计分析 (58)5.3.7MMS/RTSP统计分析 (60)5.4流量统计报表查看 (61)5.4.1总体流量统计 (62)5.4.2传输层流量统计 (64)5.4.3应用层流量统计 (65)6实时监控功能 (68)6.1应用监控 (68)6.2流量监控 (70)6.3报警信息监控 (72)7系统日志管理 (74)7.1系统日志查看 (74)7.2查看通讯日志 (74)7.3系统日志导出 (75)7.4系统日志删除 (76)1前言本用户手册主要介绍了网络卫士安全审计系统TA-W的系统架构、配置、使用和管理。
天融信网络漏洞扫描系统白皮书目录1产品功能描述 (3)1.1漏扫扫描系统 (3)1.1.1系统概述 (3)1.1.2功能描述 (3)2产品硬件规格及性能参数 (6)2.1漏扫:TSC-71528 (6)3产品测试方案 (7)3.1漏洞扫描系统测试方案 (7)3.1.1测试目的 (7)3.1.2测试环境 (8)3.1.3功能测试 (9)3.1.4专项测试 (32)3.1.5漏洞测试 (37)3.1.6压力测试 (55)3.1.7测试结论 (57)1 产品功能描述1.1 漏扫扫描系统1.1.1 系统概述网络系统的安全性取决于网络系统中最薄弱的环节,然而策略的制订和实施在实际应用中相差甚远,网络系统的安全性是一个动态的过程,系统配置的不断更改,攻击技术的不断提高,网络系统的安全系数也会不断的变化,如何及时发现网络系统中最薄弱环节?如果最大限度地保证网络系统的安全?最有效的方式就是定期对网络系统进行安全性分析并及时发现并查找漏洞并进行修改。
因此需要建立一套漏扫主动发现的手段完善企业网络安全。
漏洞扫描系统即是漏洞发现与评估系的统,作用是模拟扫描攻击,通过对系统漏洞、服务后门等攻击手段多年的研究积累,总结出了智能主机服务发现,可以通过智能遍历规则库和多种扫描选项的组合手段,深入检测出系统中存在的漏洞和弱点,最后根据扫描结果,提供测试用例来辅助验证漏洞的准确性,同时提供整改方法和建议,帮助管理员修补漏洞,全面提升整体安全性。
1.1.2 功能描述漏洞扫描管理设计扫描管理漏洞扫描一般采用渐进式扫描分析方法,融合操作系统指纹识别、智能端口服务识别等技术,能够准确识别被扫描对象的各种信息,发现其弱点和漏洞,并提出安全解决建议。
任务管理中心为用户扫描操作提供了方便,可以使用默认扫描策略也可以使用自定义扫描策略,来创建任务扫描计划,创建扫描任务时也可调整执行方式,建立定时任务、周期任务、标准任务等,从而具体针对性的进行脆弱性扫描。
天融信产品白皮书网络卫士安全管理平台TopAnalyzer系列安全运维管理中心TopAnalyzer随着信息安全建设的不断发展,信息网络和应用业务系统的安全涉及越来越多的方面,既涉及到防火墙、防病毒、入侵检测等系统安全方面的措施,同时也涉及到如何在全网的用户、网络资源之间进行合理授权及访问控制等一系列应用安全问题。
一个综合的、复杂的信息网络系统,它的运行情况、应用系统的服务器和数据库资源是否存在安全漏洞,安全策略的适用性等很多方面,都需要强大的支持系统为运行维护和管理者提供辅助支持和帮助。
同时,由于安全相关的数据量越来越大,有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没,一些全局性的、影响重大的问题很难被分析和提炼出来。
因此,想要使这些信息网络安全设施能最大限度地发挥其安全保障功能,就必须要有一个良好的综合安全管理平台、有效的安全审计和评估系统,从全局的角度进行安全策略的管理,实时的事件监控及响应,为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告和风险分析报告,从而使决策者能及时调整安全防护策略,恰当地进行网络优化,及时地部署安全措施,消除网络和系统中的问题和安全隐患。
只有这样,信息网络和业务应用系统才能真正地实现安全运行。
统一的网络与安全管理平台网络管理与安全管理无缝集成,为用户提供统一管理平台,有效降低客户总体拥有成本(TCO)。
系统支持全面的拓扑管理,包括自动的拓扑发现,网元状态监控,网元维护,集成的风险与事件展现界面。
同时支持多级管理,可对大规模的分层系统进行统一的管理。
集成的威胁与风险识别综合运用事件归一化与归并技术,关联分析,专家决策系统等不同层面的技术方案,为用户提供了一个集成化的威胁与风险识别的平台。
事件归一化与归并技术可将用户的海量数据大幅缩减,为进一步的数据挖掘做准备;基于状态机的实时关联检测技术通过使用状态机来抽象和描述攻击的过程与场景,状态机间的状态转换的条件由不同安全事件触发,可有效地帮助用户准确、实时的进行高精度威胁识别,并透过专家决策系统选择优化的解决方案。
天融信网络审计系统TA-SAG用户操作手册运维管理北京天融信公司二O一三年六月六日TA-SAG用户操作手册——运维管理目录第一章前言 (4)1.1简介 (4)1.2文档目的 (4)1.3读者对象 (4)第二章登录系统 (5)2.1静态口令认证登录 (5)2.2字证书认证登录 (5)2.3动态口令认证登录 (6)2.4LDAP域认证登录 (7)2.5单点登录工具 (8)第三章单点登录 (9)3.1单点登录 (9)3.2单点登录工具支持列表 (9)3.3单点登录界面介绍 (10)第四章授权列表 (13)4.1Windows资源类(域内主机\域控制器\windows2003\2008) (13)4.2Unix\Linux资源类 (14)4.3数据库(独立)资源类 (17)4.4ORACLE_PLSQL单点登录 (18)4.5ORACLE_SQLDeveleper单点登录 (20)4.6MSSQLServer2000查询分析器单点登录 (21)4.7MSSQLServer2000 企业管理器单点登录 (23)4.8SQL Server 2005 Management Studio单点登录 (24)4.9SQL Server 2008 Management Studio单点登录 (25)4.10Sybase Dbisqlg单点登录 (26)4.11SQL-Front单点登录 (28)4.12数据库(系统)资源类单点登录(DB2/informix) (29)4.13网络设备(RADIUS\local\其他)资源类 (31)4.14Web应用资源类 (32)4.15会同登录 (33)4.16一次性会话号 (38)第五章工单 (40)第六章工作计划 (43)第七章消息 (45)第八章自维护 (47)第九章控件下载 (49)第一章前言1.1 简介TA-SAG运维管理是TA-SAG中使用最为频繁的一个平台。
它面向的对象是,企业的运维人员。
天融信产品白皮书网络卫士入侵检测系统 TopSentry系列网络卫士入侵检测 TopSentry天融信网络卫士入侵检测系统TopSentry经过多年的技术积累与创新,已成为天融信既防火墙和VPN之后的又一主力产品线。
据权威数据机构统计,网络卫士入侵检测系统国内市场占有率近两年来一直处于领先地位。
用户已覆盖能源、金融、烟草、电信等多个行业,并得到良好赞誉。
网络卫士入侵检测系统TopSentry采用多重检测、多层加速等多项天融信专有安全技术,更出色的降低了IDS产品的误报率、漏报率,有效提高了IDS的分析能力,使达到线速包捕获率成为可能。
天融信IDS研发团队通过加强对蠕虫攻击以及隐含在加密数据流中攻击的检测能力,极大地突破了目前IDS产品普遍存在的瓶颈问题。
多重检测技术综合使用误用检测、异常检测、智能协议分析、会话状态分析、实时关联检测等多种入侵检测技术,保证IDS检测准确性,极大地降低了漏报率与误报率。
◆误用检测(Misuse Detection ):指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。
因为很大一部分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。
◆异常检测(Anomaly Detection):指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测。
◆智能协议分析技术:天融信的智能协议分析技术充分利用了网络协议的高度有序性,使用这些知识快速检测某个攻击特征的存在。
与非智能化的模式匹配相比,协议分析减少了误报的可能性。
与模式匹配系统中传统的穷举分析方法相比,在处理数据包和会话时更迅速、有效。
◆会话检测技术:按照客户-服务器间的通信内容,把数据包重组为连续的会话流,在此基础上进行检测分析。
而基于数据包的入侵检测技术只对每个数据包进行检查。
与基于数据包的入侵检测技术相比,准确率高。
天融信产品白皮书网络卫士内容与行为审计平台TA-NET系列
内容与行为审计平台TA-NET
天融信网络卫士安全审计系统内容审计平台TA-W是专用于防止非法信息恶意传播,避免国家机密、商业信息、科研成果泄漏的产品;并可实时监控网络资源使用情况,提高整体工作效率。
该产品适用于需实施内容审计与行为监控的网络环境,尤其是按等级进行计算机信息系统安全保护的相关单位或部门。
内容和行为审计系统具有实时的网络数据采集能力、智能的信息处理能力、强大的审计分析功能。
该产品基于天融信公司具有自主知识产权的安全操作系统TOS (Topsec Operating System),采用开放性的系统架构及模块化的设计,是一款安全高效,易于管理和扩展的网络安全审计产品。
产品可实现:
◆ 对用户的网络行为监控、网络传输内容审计 (如员工是否在工作时间上网冲浪、聊天,是否访问不健康网站,是否通过网络泄漏了公司的机密信息,是否通过网络传播了反动言论等)
◆ 掌握网络使用情况,提高工作效率
◆ 网络传输信息的实时采集、海量存储、统计分析
◆ 网络行为后期取证,对网络潜在威胁者予以威慑
部署方式简便
旁路模式接入,不改变用户的网络拓扑结构,对用户的网络性能没有任何影响。
独立部署,方便灵活。
提供基于Rich Client技术的WEB管理界面。
兼具B/S模式的便捷与C/S模式的高效、易用。
高速的数据采集
分布式部署数据采集引擎,优化的数据采集技术,直接从内核中采集数据包。
延迟小、效率高、实时性强。
智能包重组和流重组
具有强大的IP碎片重组(IP Fragments Reassembly)能力和TCP流重组(TCP Stream Reassembl y)能力,任何基于协议碎片的逃避检测手段对本产品无效。
自适应深度协议分析
从链路层到应用层对协议进行深度分析。
自动识别基于HTTP协议的邮件、论坛等操作行为。
根据内容自动识别各个连接的应用协议类型。
保障审计的准确性
数据海量存储和备份
系统内置海量数据存储空间,支持百兆、千兆网络环境下,高速、大流量数据的采集、存储。
灵活的远程备份功能,可以在不丢弃数据的同时保证系统持续稳定运行。
强大的数据挖掘功能
采用以相关度为核心,引入向量模型、查询串重构等技术的匹配算法,大大提高了全文检索的速度。
对用户选定时间范围内的发件内容,根据预先设定的关键词库,自动快速的进行全文检索,匹配成功的内容将以醒目的字体颜色显示。
完善的自定义分析统计功能,可以实时统计任意一种网络行为属性,随时把握网络利用状况。
高度安全性和可靠性
系统管理平台提供基于 SSL 加密的 WEB管理方式。
分权、分级、分角色的用户管理。
提供完善的系统日志审计功能
对于管理者IP白名单以外的地址自动隐藏系统IP。
系统的良好可扩展性
分布式部署,集中式管理,使系统具有良好的可扩展性。
系统根据用户规模,可通过增加和减少机器方便的扩容。
面向对象的设计,减少对象间的耦合性,提高模块的独立性,在出现问题时,尽量减小问题涉及的范围。
友好易用的界面设计
应用界面美观大方,操作方便。
功能描述
支持多种应用协议的监控、还原和审计1.Web浏览( HTTP):能完全截获、记录、回放、归档被监测网络中所有用户
浏览的WEB内容。
2.Web发布( HTTP):能完全截获、记录、回放、归档被监测网络中所有用户
通过WEB发表的内容。
3.电子邮件(POP3、SMTP、WEB MAIL):能完全截获、记录、回放、归档被监
测网络中所有用户收发的电子邮件。
4.文件下载 (FTP):能记录、查询访问FTP服务器的用户名、口令,回放用户
在服务器上的操作过程,还原用户传输的数据。
5.即时聊天(MSN、QQ等):能完全记录用户登录时间、离开时间,用户登录
IP地址、目的IP地址,聊天时使用的用户名;还可以监视用户聊天频率、M SN可还原用户聊天内容。
6.远程登录(TELNET):能记录和查询访问服务器上TELNET的用户名和口令
字;能记录和回放用户在服务器上的操作过程。
7.P2P(BT,eMule)能记录进行BT操作的源、目的IP、访问时间与流量。
8.独立开发应用协议自动识别技术,实现完整监控。
9.支持Sybase、DB2、SQL Server、Oracle、Mysql、Informix等多种主流数
据库监控与审计,实现用户数据库操作与结果跟踪。
10.支持数据库操作过程跟踪,绑定变量识别。
强大的流量监控与统计功能1.对重要IP进行流量监测,并绘制出直观的流量曲线图、柱状图,有效发现
网上出现的异常流量。
2.支持对历史流量统计分析。
3.可以对各种应用的流量进行统计,以曲线图直观显示。
4.可以统计各个主机流量详情。
5.可以分析网络各个时间点的主机负载,立即发现网络瓶颈
强大的报表与统计功能1.支持多种条件的统计分析。
2.提供多种专业化报表和分析图表。
支持多种审计方式1.实时监控:对网络中各种应用进行实时监控分析。
2.行为监控:可以完全记录、回放用户的网络行为。
3.内容查看审计:支持网络数据内容的完全还原,后期可以进行内容审计、取
证。
4.流量监控:通过流量监控,有效发现网上出现的异常流量。
5.报表统计:通过统计分析,发现网络中潜在的危险。
6.对应事件到人:可以确定各个IP所在地。
高速、完整、海量信息处理能力1.零拷贝高速抓包。
2.强大的包重组和流重组能力,可以监控各种基于协议碎片的逃避检测行为。
增强的自身安全性1.基于SSL协议的加密数据传输。
2.支持基于CA的身份认证。
3.审计引擎不对外开放端口。
4.分权、分级、分角色的用户管理。
5.系统日志审计功能。
6. 特有
IP 隐藏功能,最大化保障系统安全性。
旁路方式接入网络
1. 使用交换机镜像口、共享式HUB 接入网络,不影响网络部署方式,不影响网
络性能。
2. 即插即用,安装非常简单。
强大便捷的部署、管理方式
1. 提供功能强大的串口管理功能。
2. 友好易用的界面,易于上手使用。
3. 提供详细的帮助,极大地减轻了管理员的负担。
网络行为审计
通过在核心交换机上部署TA-W 系统可以对内网用户的所有上网行为进行记录与监控。
同时通过强大的审计分析功能可以准确定位网络行为历史事件的详情,并进行回放,可以在事件发生后第一时间定位到责任人。
通过内置多样化的报表,可以给出当前网络的利用情况,统计分析出多种组合条件的Top 排名。
利用TA-W 系统的流量分析功能,可以了解当前网络的带宽占用情况,可以实现“应用/IP/时间/接口”四个维度的流量统计分析与报表生成。
业务系统审计
TA-W 从数据库服务器所在的主交换机镜像口取得网络中所有对于数据库访问的数据包,并对数据包进行重组与协议解析还原。
通过对解析结果的再分析实现对数据库访问的监控与审计。
TA-W系统内置自身审计与IP隐藏等安全防护功能,可以有效防止非法用户访问TA-W系统或恶意删除、篡改监控日志。
通过用户定义的规则,TA-W系统可以对访问事件进行危险级别划分,对于不同危险级别的事件可以提供多种报警响应方式,及时通知用户。
TA-W在内容审计的同时还为用户提供了网络流量分析、并发连接数据分析功能,可以让用户深入了解数据库系统的应用与负载情况。
通过统计分析功能,用户可以统计访问事件中任意一个字段的发生频率,如源IP访问频率,目的IP 访问频率,数据库访问频率,不同操作类别的访问频率。
通过这一功能,用户可以了解业务系统的应用情况与系统瓶颈。
产品型号名称描述
TA-508-NET 内容与行为审计平台2U机架式,2个10/100/1000BASE-TX管理口,4个SFP插槽,4个1000BASE电口采集口,1T存储空间。
适用于千兆网络环境
TA-424-NET 内容与行为审计平台
2U机架式,2个10/100/1000BASE-TX管理口,2个SFP插槽,2个1000BASE电口采集口,500G存
储空间。
适用于百兆网络环境
◆ 公安部颁发的《计算机信息系统安全专用产品销售许可证》
◆ 中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》
◆ 国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》◆ 中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》
◆ 国家版权局《计算机软件著作权登记证书》
天融信(C)版权所有V1.0
文档维护:吴青松
E-MAIL:wuqs@
声明:非官方文档,仅供参考。
