天玥网络安全审计系统技术方案教学内容

  • 格式:doc
  • 大小:246.00 KB
  • 文档页数:17

XXXXX项目网络安全审计部分技术建议书北京启明星辰信息技术有限公司Venus Information Technology(Beijing)二零一一年四月目次1.综述 (1)2.审计系统设计方案 (2)2.1.设计方案及系统配置 (4)2.2.主要功能介绍 (5)2.2.1.数据库审计 (5)2.2.2.网络运维审计 (6)2.2.3.OA审计 (6)2.2.4.数据库响应时间及返回码的审计 (7)2.2.5.业务系统三层关联 (7)2.2.6.合规性规则和响应 (8)2.2.7.审计报告输出 (10)2.2.8.自身管理 (11)2.2.9.系统安全性设计 (11)2.3.负面影响评价 (12)2.4.交换机性能影响评价 (13)3.资质证书 (14)1.综述随着信息技术的发展,XXX已经建立了比较完善的信息系统,具有网络规模大、用户数多、系统全而复杂等特点。

IT建设的核心任务是运用现代信息技术为企业整体发展战略的实现提供支撑平台并起到推动作用。

信息安全作为IT建设的组成部分,核心任务是综合运用技术、管理等手段,保障企业IT系统的信息安全,保证业务的连续性。

信息安全是XXX正常业务运营与发展的基础;是保证国家利益的基础;是保障用户利益的基础。

根据国家的相关规范的指导意见,我们根据对XXX信息系统具体需求的分析,在对XXXXX进行安全建设时,我们所遵循的根本原则是:1、业务保障原则:安全建设的根本目标是能够更好的保障网络上承载的业务。

在保证安全的同时,还要保障业务的正常运行和运行效率。

2、结构简化原则:安全建设的直接目的和效果是要将整个网络变得更加安全,简单的网络结构便于整个安全防护体系的管理、执行和维护。

3、生命周期原则:安全建设不仅仅要考虑静态设计,还要考虑不断的变化;系统应具备适度的灵活性和扩展性。

2.审计系统设计方案结合以上原则,在审计系统的选择上,主要从以下7个方面进行考虑:➢实用性:由于业务系统数据在数据库中进行集中存储,故对于数据库的操作审计需要细化到数据库指令、表名、视图、字段等,同时能够审计数据库返回的错误代码,这样能够在数据库出现关键错误时及时响应,避免由于数据库故障带来的业务损失;➢独立性:审计系统应具备统一的策略、集中的审计,适用于不同的设备、操作系统、数据库系统和应用系统的审计要求,并对这些系统不造成影响.➢灵活性:审计系统应提供缺省的审计策略及自定义策略,能够对重要操作、重要表、重要字段进行定义并审计,能够根据用户的业务特点进行策略的编辑。

➢易用性:审计系统应能够基于操作进行分析,能够提供主体标识(即用户)、操作(行为)、客体标识(设备、操作系统、数据库系统、应用系统)的分析和审计报表➢扩展性:当业务系统进行扩容时,审计系统可以平滑扩容。

系统支持向第三方平台提供记录的审计信息。

➢可靠性:审计系统应能提供足够的存储空间(1000G以上),满足在线存储至少6个月的要求;审计系统应能够保证审计记录的时间的一致性,避免错误时间记录给追踪溯源带来的影响。

➢安全性:分权限管理,具有权限管理功能,可以对用户分级,提供不同的操作权限和不同的网络数据操作范围限制,用户只能在其权限内对网络数据进行审计和相关操作,具有自身安全审计功能。

基于上述的情况,我公司提出了以天玥网络安全审计系统为核心,建设XXXXX审计方面的设计方案。

下面首先对天玥系统的基本工作原理进行简单的介绍。

天玥网络安全审计系统基于“IP数据俘获→应用层数据分析→审计和响应”实现各项功能,设计中充分贯彻了平台化的思路;由于采用旁路接入的工作模式,使得天玥系统在实现各种安全功能的同时,对原系统的绕动和影响降到最低。

天玥网络安全审计系统主要实现以下安全功能:➢针对不同的应用协议,提供基于应用操作的审计;➢提供数据库操作语义解析审计,实现对违规行为的及时监视和告警;➢提供上百种合规规则,支持自定义规则(正则表达式等),实现灵活多样的响应;➢提供基于硬件令牌、静态口令、Radius支持的强身份认证;➢根据设定输出不同的安全审计报告;2.1.设计方案及系统配置核心数据库Oracle系统通过主备方式接入网络,设计采用配置一台天玥审计数据中心,一台天玥旁路审计引擎,一台天玥在线审计引擎。

具体部署如下图所示:天玥系统部署图天玥审计数据中心: 部署一台天玥审计数据中心,该服务器具备一个2T的内置RAID5存储器,对天玥网络审计引擎进行管理和控制,实现对审计数据的存储和分析。

天玥审计数据中心的管理端口需要接入网络中,并分配一个合法的IP地址,以接收天玥管理控制台的管理。

天玥审计数据中心的“管理端口”需要通过网络方式与天玥网络审计引擎的“管理端口”进行连接。

天玥旁路审计引擎: 部署一台天玥网络审计引擎对核心交换机上的Oracle流量进行监控和审计。

天玥网络审计引擎配置两个信息监听端口,该端口需要连接到被监控交换机的“镜像目的端口”上,以获取原始的通信信息,从而实现各种审计和控制功能。

天玥网络审计引擎需要设置一个“管理端口”,这个端口需要接入网络,并分配一个合法的IP 地址,以接收天玥管理控制台的管理。

天玥在线审计引擎:部署一台天玥旁路审计引擎,实现对运维区域的各种运维操作进行监控、审计和阻断,该引擎自带Bypass支持,通常采用透明方式进行接入,对服务器端和终端用户无影响。

天玥管理控制台:在网络中的任何一台Windows计算机上采用浏览器进行管理。

在本方案中同时部署了旁路审计引擎与在线审计引擎,这是因为这两种引擎属于互补关系,旁路审计引擎解决了在线审计引擎被绕过的风险,在线审计引擎解决了旁路引擎无法实现加密协议审计和事前阻断的风险,二者的关系如下:在线审计实现的基础为“建立唯一访问路径,一切的行为均通过该路径进行访问”,也就是说需要将所有被审计运维访问流量都要通过在线引擎才可以进行审计,这就牵涉到网络结构的变化或ACL的调整,在实际部署中,在线审计依赖外部设备的ACL控制(比如交换机或FW),一旦这些访问控制设备出现问题或ACL不够充分,就会存在绕过堡垒主机的操作行为,而此时这些绕过堡垒主机的行为是没有被审计的,由于恶意攻击者往往具备较高的技术水平,同时善于寻找安全系统的漏洞,故不完善的ACL控制会让在线审计存在较大的部署风险。

而旁路审计实现的基础为“一切网络访问行为均不可信”进行部署的,故所有可识别的操作均被审计,这两种审计部署方式存在着很强的互补性,通常都会一起部署,从而实现控制与审计的完美结合。

2.2.主要功能介绍2.2.1.数据库审计天玥网络安全审计系统能够监视并记录对数据库服务器的各类操作行为,实时地、智能地解析对数据库服务器的各种操作,一般操作行为如数据库的登录,特定的操作如对数据库表的插入、删除、修改,执行特定的存贮过程等,都能够被记录和分析,分析的内容要求可以精确到SQL操作语句一级。

并记录这些操作的用户名、机器IP地址、操作时间等重要信息。

系统能够对采用ODBC、JDBC、OLE-DB、命令行嵌入方式对数据库的访问进行审计和响应。

SQL语句的支持SQL92语法,主要包括以下几种类型的审计:❑DDL:Create ,Drop,Grant,Revoke…❑DML:Update,Insert,Delete…❑DCL:Commit,Rollback,Savapoint…❑其他:Alter System,Connect,Allocate…❑存储过程目前,天玥网络安全审计系统支持以下数据库系统的审计,是业界支持数据库种类最多的审计系统,能够满足不同用户、不同发展阶段情况下的数据库审计需求:❑Oracle❑SQL-Server❑DB2❑Informix❑Sybase❑Teradata❑Mysql❑PostgreSQL❑Cache❑人大金仓Kingbase数据库❑达梦DM数据库❑南大通用GBase数据库2.2.2.网络运维审计天玥网络安全审计系统支持常用的运维协议及文件传输协议,能够全程记录用户在服务器上的各种操作。

❑Telnet❑Rlogin❑FTP❑SCP❑SFTP❑X11❑NFS2.2.3.OA审计天玥网络安全审计系统支持HTTP、POP3、SMTP、Netbios的审计,能够记录网页URL、内容、发件人、收件人、邮件内容、网络邻居的各种操作等信息。

2.2.4.数据库响应时间及返回码的审计天玥网络安全审计系统支持对SQL Server、DB2、Oracle、Informix等数据库系统的SQL操作响应时间和返回码的审计。

通过对响应时间和返回码的审计,可以帮助用户对数据库的使用状态全面掌握、及时响应故障信息,特别是当新业务系统上线、业务繁忙、业务模块更新时,通过天玥网络安全审计系统对超长时间和关键返回码进行审计并实时报警有助于提高业务系统的运营水平,降低数据库故障等带来的运维风险。

目前天玥网络安全审计系统支持上述数据库系统共计13000多种返回码的知识库供用户快速查询和定位问题。

2.2.5.业务系统三层关联当前业务系统普遍采用三层结构:浏览器客户端、Web服务器/中间件、数据库服务器。

通常的流程是:用户通过浏览器客户端,利用自己的帐户登录Web服务器,向服务器提交访问数据;Web服务器根据用户提交的数据构造SQL语句,并利用唯一的帐户访问数据库服务器,提交SQL语句,接收数据库服务器返回结果并返回给用户。

在这种基于Web的业务行为访问模式下,传统的信息安全审计产品一般可审计从浏览器到Web服务器的前台访问事件,以及从Web服务器到数据库服务器的后台访问事件。

但由于后台访问事件采用的是唯一的帐户,对每个后台访问事件,难以确定是哪个前台访问事件触发了该事件。

如果在后台访问事件中出现了越权访问、恶意访问等行为,难以定位到具体的前台用户上。

举一个一个典型的例子,内部违规操作人员利用前台的业务系统,以此作为跳板对后台数据库内容进行了篡改和窃取,这种情况下,通常审计产品只能发现来自某个数据库账号,而无法判断最终的发起源头。

启明星辰研究人员实现HTTP操作和数据库操作之间的关联计算,目前已经申请专利。

专利名称为“一种Web服务器前后台关联审计方法和系统”,专利受理号码:200710121669.6。

三层关联逻辑部署图通过这种关联分析技术,能够将审计产品从基于事件的审计,逐渐升级为基于用户业务行为的审计,在关联分析过程中采用自动建模技术,可以将前台Web业务操作和后台数据库操作行为进行对应,并形成业务访问行为模式库,同时,在该技术的基础上还可以进一步分析,发现可能的业务异常及SQL异常。

2.2.6.合规性规则和响应天玥网络安全审计系统的审计和响应功能可以简单地描述为:“某个特定的服务(如FTP、Telnet、SQL等)可以(或不可以)被某个特定的用户(主机)怎样地访问”,这使得它提供的审计和响应具有很强的针对性和准确性。