下载文档原格式
网御网络审计系统-运维安全管控型(LA-OS)方案模板北京网御星云信息技术有限公司文档修订记录目录项目概述 (5)1安全现状分析 (5)1.1内部人员操作的安全隐患 (5)1.2第三方维护人员安全隐患 (5)1.3高权限账号滥用风险 (6)1.4系统共享账号安全隐患 (6)1.5违规行为无法控制的风险 (6)2运维安全管控系统方案设计 (6)2.1建设原则 (6)2.2总体目标 (7)2.3建设思路 (8)3运维管控系统解决方案 (8)3.1系统总体设计 (8)3.1.1系统概述 (8)3.1.2系统组成 (9)3.1.3技术架构 (10)3.2系统主要功能 (11)3.2.1用户认证与SSO (11)3.2.2自动改密 (12)3.2.3访问授权管理 (12)3.2.4二次审批 (13)3.2.5告警与阻断 (14)3.2.6实时操作过程监控 (15)3.2.7历史回放 (15)3.2.8审计报表 (16)3.2.9审计存储 (16)3.3系统功能特点 (16)3.3.1运维协议支持广 (17)3.3.2对用户网络影响最小 (17)3.3.3多种部署方式,适应多变业务场景 (17)3.3.4友好的用户交互体验 (17)3.4系统部署 (17)3.4.1单台部署 (18)3.4.2双机部署 (19)3.4.3分布式部署 (20)4项目实施计划 (20)4.1投入技术力量 (20)4.1.1项目人员组织结构 (21)4.1.2项目实施人员情况 (23)4.2项目实施计划 (24)4.2.1成立项目小组 (26)4.2.2第一次工程协调会 (26)4.2.3设备交货 (26)4.2.4到货验收 (27)4.2.5施工准备 (28)4.2.6第二次工程协调会 (28)4.2.7系统实施 (28)4.2.8文档整理和现场培训 (29)4.2.9终验 (29)4.2.10技术支持 (29)4.2.11培训计划 (30)5项目管理方案 (32)5.1项目管理标准 (32)5.2质量管理 (32)5.2.1质量管理的方法 (32)5.2.2不合格品管理 (33)5.2.3质量统计分析工具 (33)5.2.4质量改进 (33)5.2.5变更控制管理 (34)5.2.6项目沟通管理 (36)5.2.7项目成本管理 (37)5.2.8项目风险管理 (37)6项目咨询方案 (40)6.1.1现场安装需求调研 (40)6.1.2制定详细的实施技术方案 (41)项目概述随着XXXX企业信息化应用的迅速发展,企业内部的各种业务和经营支撑系统不断增加,网络规模也迅速扩大。
2018适用范围:内部运维人员使用手册网御网络审计系统V3.0运维安全管控型精细控制合规审计北京网御星云信息技术有限公司目录目录 (2)1概述 (1)1.1关于本手册 (1)2用户登录 (1)2.1WEB方式 (1)2.1.1WEB访问方式 (1)2.1.2相关资料下载 (2)2.2运维客户端 (2)2.3登录认证 (3)3环境准备 (6)3.1环境检测 (6)3.2安装JAVA控件 (7)3.3浏览器设置 (9)3.4配置本地工具 (11)3.5修改密码 (13)4运维说明 (14)4.1RDP/VNC访问 (14)4.2Telnet/SSH/Rlogin访问 (15)4.3FTP访问 (16)4.4数据库访问 (17)4.5批量登录主机 (18)4.6工单操作 (19)4.6.1工单申请 (19)4.6.2工单运维 (22)4.7最近访问资源 (23)4.8高级搜索 (24)4.9菜单模式 (24)4.9.1命令行方式 (24)4.9.2图形方式 (29)5FAQ (32)5.1登录提示应用程序被阻止 (32)5.2登录设备报错 (32)5.3提示Java过时需要更新 (33)5.4调用应用发布工具失败 (34)5.5使用dbvis提示JAVA环境变量 (34)1概述1.1关于本手册网御网络审计系统V3.0(运维安全管控型)(以下简称网御LA-OS),是网御星云综合内控系列产品之一。
本手册详细介绍了网御LA-OS进行运维操作过程的使用方法,用户可参考本手册,通过网御LA-OS进行各种运维操作。
2用户登录运维用户可选择通过以下方式使用网御LA-OS进行运维操作:(1)WEB方式(依赖JAVA 环境);(2)运维客户端方式(不依赖JAVA环境);(3)客户端工具直连模式(不依赖浏览器和JAVA环境,目前支持运维SSH、TELNET、RDP、VNC,使用方法参见本手册4.9章节)。
2.1WEB方式2.1.1WEB访问方式通过浏览器访问网御LA-OS系统,如图2.1所示:(默认URL:https://网御LA-OS系统的IP,如果web服务端口不是默认的443,登录URL地址需要加上web服务当前的端口号,例如:https://172.16.67.231:10443)。
联想网御内网安全管理系统联想网御内网安全管理系统是联想网御安全管理系统的重要组成部分,采用TTM可信终端管理技术,保护企业内部资源和网络的安全性。
内网安全管理系统,由终端管理系统、补丁管理系统和文件保密管理系统组成。
终端管理系统帮助用户实现桌面行为监管、外设和接口管理、准入控制、非法外联监控和终端资产管理功能。
补丁管理系统帮助用户实现系统漏洞分析、补丁自动分发、分发策略管理和分发流量控制功能。
文件保密管理系统帮助用户实现对文件、目录、磁盘和U盘的保密管理功能。
产品组成联想网御内网安全管理系统由服务器、客户端和控制台三部分组成。
●服务器:用于管理终端计算机的资产和系统信息、漏洞补丁数据、所应用的安全策略等,并向终端计算机的客户端发送监控指令等。
●客户端:安装在每台被管理的终端计算机上,用于收集终端计算机的数据信息,执行来自服务器模块的指令,完成对终端计算机的监控等。
●控制台:是对服务器进行操作的控制界面,用于监控每台安装有客户端的终端计算机,制定安全策略,下达对终端计算机的监控指令等。
产品优势终端隐患一网打尽系统采用底层监控技术对终端用户的外设接口使用行为进行控制,可以禁止使用USB存储设备、打印机、红外接口等外设和接口,同时支持对敏感文件进行加密,防止重要数据外泄。
系统支持对终端用户的程序使用、文件访问、上网行为、端口通信、网络共享、资产变更等行为进行监控、审计和管理,消除终端安全隐患。
系统补丁统一分发系统通过对终端计算机进行自动漏洞分析,统一向终端下发所需系统补丁,确保终端计算机方便快捷地修补系统漏洞,增强终端安全性。
系统支持补丁分发策略管理、分发流量控制、级联分发、自定义补丁管理、补丁增量更新、补丁回退等功能,帮助客户省时、省力、省带宽地完成对终端的"查遗补漏"。
安全策略强制执行系统以强制执行内部安全策略为核心,通过在服务器端统一编辑安全策略并下发到内部各终端计算机上强制执行,完成对终端计算机集中的安全防护和行为监管,防止用户对内部资源的非授权访问和重要信息外泄,提高终端自身安全性,实现终端从自主安全管理到强制安全管理的飞跃,保证内网用户行为的合规性。
联想网御深入推进“下一代安全架构”记者7月18日最新报道,继2007年4月联想网御成功发布“下一代安全架构”安全理念之后,近日,基于下一代安全架构三大核心之一的“业务导向的安全管理”体系,联想网御已形成安全设备管理系统、异常流量管理系统、终端管理系统、补丁管理系统、文件保密管理系统、安全审计系统和应用安全管理系统等全系列安全管理产品及应用方案,代表了目前在国内安全管理领域领先的理念和技术成果,成为渠道商和用户积极关注的热点之一。
联想网御基于从边界安全到全网安全、从平台安全到业务安全的发展思路,构建了以业务为导向的安全管理体系,在对企业的网络平台和终端系统进行统一的安全管理的基础上,进一步对企业的业务系统进行安全管理,可有效地保障企业业务系统的稳定运行,促进企业的健康发展。
该体系由核心技术、安全管理产品和应用解决方案组成。
联想网御业务导向的安全管理体系构建在三项核心技术之上,分别是关联安全标准(CSC:Correlative Security Criterion)、可信终端管理(TTM:Trusted Terminal Management)和应用安全仿真(ASE:Application Security Emulation)。
关联安全标准技术通过安全管理协议、安全联动协议、安全审计协议等关联安全协议实现了对多种类、多系列、多厂商的安全设备集中管理,完成了设备与设备之间、设备与终端之间、设备与应用之间的协同防御,并可以对网络中的各种安全设备和系统进行集中的、可视的综合审计,从而有效地帮助用户构建深度安全防御体系。
可信终端管理技术以解决计算机资源应用的可信问题,构建企业内部可信计算环境为目标,基于可信计算平台和可信网络接入理论,结合终端控制、保护、加密技术,实现企业内网可信接入控制,为终端计算平台提供可信保护,对终端计算机数据进行可信处理,对终端计算机行为进行可信管理,从而实现对终端计算机的可信管理。
网御网络审计系统(数据库审计型)产品宣传手册网御网络审计系统(数据库审计型)是一款专业的数据库审计系统,不但可以对数据库操作行为和内容进行审计,还可以对业务运维操作行为进行细粒度的合规性审计和管理。
系统通过对被内部人员的数据库操作及运维操作等网络行为进行解析、分析、记录、汇报,可以帮助用户进行事前规划预防、事中实时监视、事后合规报告、事故追踪溯源,加强内外部网络行为监管。
进而完善业务系统的安全防范体系,满足组织机构内外部合规性要求,全面体现管理者对业务系统信息资源的全局把控和调度能力。
产品特点完善的数据库审计网御网络审计系统(数据库审计型)全面对支持各种常见商业数据库、开源数据库及国产数据库系统的审计,Oracle、DB2、Sybase、Informix、SQL Server、Teradata、MySQL、PostgreSQL、Cache、人大金仓Kingbase、南大通用GBase及达梦数据库等多个版本的数据库系统,能够实现绑定变量、SQL命令和字段级的审计,能够满足不同用户、不同发展阶段情况下的数据库审计需求。
全面的协议覆盖能力除数据库审计功能外,针对运维操作审计,网御网络审计系统(数据库审计型)支持包括,Telnet、FTP、Rlogin、X11、Radius等协议,能够实现命令级和过程级的内容审计;针对OA操作审计,支持包括Netbios、SMTP、POP3、HTTP等协议,能够实现URL、邮件内容的审计。
多编码环境支持网御网络审计系统(数据库审计型)适用于多种应用环境,特别是在异构环境中,比如IBM AS/400通常采用EBCDIC 编码方式实现Telnet 协议的传输、某些数据库同时采用几种编码与客户端进行通讯,若系统不能识别多种编码,会导致审计数据出现乱码,对多编码的支持是衡量审计系统环境适应性的重要指标之一,目前网御网络审计系统(数据库审计型)系统支持如下编码格式:❑ ASCII❑ Unicode❑ UTF-8❑ UTF-16❑ GB2312❑ EBCDIC支持多种响应方式网御网络审计系统(数据库审计型)系统提供了多种响应方式,支持包括记录、忽略、定级、界面告警、RST 阻断、Syslog 、SNMP Trap 、邮件等技术手段,并可与第三方管理平台进行联动(如SOC 平台、4A 平台等),以帮助用户实时掌握审计信息。
联想网御安全管理系统产品白皮书联想网御科技(北京)有限公司版权信息版权所有 2008-2012,联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属联想网御科技(北京)有限公司所有,受国家有关产权及版权法保护。
如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可,不得以任何方式复制或引用本文档的任何片段。
商标信息网御、联想网御、leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标,受商标法和有关国际公约的保护。
第三方信息本文档中所涉及到的产品名称和商标,属于各自公司或组织所有。
联想网御科技(北京)有限公司Lenovo Security Technologies Inc.北京市海淀区中关村南大街6号中电信息大厦8层1000868/F Zhongdian Information Tower No.6 Zhongguancun South Street,Haidian District, Beijing电话(TEL):传真(FAX):010-技术热线(Customer Hotline):400-810-7766,电子信箱(E-mail):1引言1.1传统安全管理系统重点解决的用户需求安全管理系统(SOC,Security Operations Center)是继网管系统(NOC,Network Operation Center)之后,在管理领域兴起的新一代产品。
网管系统强调对客户网络进行集中化、全方位的监控、分析与响应,实现体系化的网络运行维护,安全管理系统则结合网管的功能,从安全的角度去管理整个网络和系统。
传统安全管理系统被定义为:以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
当今,企业和政府中大量运用了信息技术和网络技术来构筑业务运行的基础设施,但是黑客、蠕虫病毒、后门漏洞等安全威胁的存在,使得用户的关键业务暴露在危险之中。
联想网御事件服务器配置使用手册联想信息安全服务事业部声明本手册所含内容若有任何改动,恕不另行通知。
在法律法规的最大允许范围内,联想(北京)有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
在法律法规的最大允许范围内,联想(北京)有限公司对于您的使用或不能使用本产品而发生的任何损坏(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失),不负任何赔偿责任。
本手册含受版权保护的信息,未经联想(北京)有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。
联想(北京)有限公司中国北京海淀区上地信息产业基地创业路6号目录目录 (3)第一章 前言 (5)1. 导言 (5)2. 本书适用对象 (5)3. 本书适合的产品 (5)4. 手册章节组织 (5)第二章 系统安装 (5)第三章 启动和配置 (5)1. 事件服务启动和配置 (6)1.1. 事件服务启动 (6)1.2. 事件服务配置 (6)1.3. 关闭事件服务配置 (11)2. 控制台启动和用户登录 (11)2.1. 控制台启动 (11)2.2. 登录说明 (11)3. 审计系统登录 (12)第四章 设备管理 (12)1. 设备管理 (12)1.1. 设备 (13)1.2. 添加管理设备 (14)1.3. 删除管理设备 (17)1.4. 查看和修改设备属性 (17)2. 设备监控 (18)2.1. 安全事件监控 (18)2.2. 设备状态监控 (20)2.3. 配置设备监控的参数 (22)3. 主机管理 (23)3.1. 主要概念 (23)3.2. 功能详细描述 (23)第五章 系统管理功能 (27)1. 用户管理 (27)1.1. 基本概念 (27)1.2. 功能操作描述 (27)2. 系统日志 (30)2.1. 浏览日志 (30)2.2. 查询日志 (31)2.3. 清空日志 (32)第六章 安全审计 (32)1. 安全事件查询 (32)1.1. 主要概念 (33)1.2. 主要功能 (35)2. 安全信息分析 (37)2.1. 主要概念 (38)2.2. 主要功能 (39)2.3. 各个安全信息分析的条件和结果含义 (41)3. 系统配置 (41)3.1. 系统参数配置 (41)4. 帮助和退出 (42)第七章 相关软件安装 (42)第一章 前言1. 导言《网御事件服务器配置使用手册》是联想网御事件服务器文档中的一本,用来说明联想网御事件服务器安装和配置的方法。
联想网御
安全审计系统
联想网御安全审计系统作为集中的日志审
计分析平台,遵循CSC关联安全标准,负
责收集各类安全设备、网络设备和主机系
统的安全日志和安全事件信息,并进行统
一的存储、备份、管理与统计分析,能够
协助用户实时监测网络中的安全攻击,调
整安全策略,防范安全风险,从而实现用
户网络的整体安全。
产品组成:
联想网御安全审计系统是联想网御安全管理系统的重要子系统,由日志服务器、日志审计WEB服务组成。
●日志服务器:作为后台运行程序,实现日志接收、解析入库、实时分析和网络预警等各
项功能。
●日志审计WEB服务:提供WEB管理服务,支持用户通过浏览器进行日志审计管理。
用户
只需登录WEB浏览器就可以方便、快捷地完成日志审计管理工作。
联想网御安全审计系统总体结构图
产品优势
种类丰富的事件审计
系统可以对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行日志查询、统计、分析等审计操作,并提供了几十种可以定制的审计报表模板,可以针对访问行为、入侵攻击事件、流量信息、安全设备管理信息等各类日志生成分析报表和趋势图,帮助管理员发现系统漏洞和安全事件发生规律。
海量可信的日志管理
系统能够处理每秒钟2000条的日志流量,日志审计中间数据压缩率达到90%,并提供了可靠的日志导入导出机制,导出数据压缩率达到99%。
系统能够周期性地对日志数据进行备份,并可在数据达到设定阈值时自动对数据进行备份及清除,确保数据完整性和可靠性。
强大的日志在线分析
系统可以通过定义在线分析规则,对各种日志进行实时分析,发现频繁攻击探测、CC连接耗尽攻击等多种攻击行为,并产生告警信息。
通过在线分析所产生的告警信息,可以采用邮件、SYSLOG等多种形式自动发送。
日志在线分析功能可以帮助管理员尽早发现安全威胁,采取相应措施。
分布式安全审计管理
系统支持安全审计管理的级联部署方式。
在分布式网络体系中,下级安全审计管理中心可以将本地日志或汇总数据发送给上级安全审计管理中心,上级管理中心在收到各下级管理中心传送的日志数据后,可以进行统一日志入库、全局日志分析和集中日志统计,实现统一的安全审计功能。
产品部署
联想网御安全审计系统具有多种典型的应用模式,可以适应从简单到复杂的各种用户网络环境,提供全面的安全审计服务。
对于结构复杂的组织,可根据需要划分为多个层次,各分部可以部署安全审计系统实现本分部的安全审计工作,同时为总部安全审计系统提供日志数据,保证全网日志数据一致性。
联想网御安全审计系统级联部署图
产品性能指标:
产品特性与功能。
