安全审计系统产品白皮书
天融信网络卫士日志审计系统TA-L产品白皮书
天融信产品白皮书网络卫士日志审计系统TA-L系列日志审计平台TA-L天融信网络卫士安全审计系统日志审计平台TA-L为不同的网设备及系统提供了统一的日志管理分析平台,打破了企业中不同设备及系统之间存在的信息鸿沟。
系统提供了强大监控能力,实现了从网络到设备直至应用系统的监控。
在对日志信息的集中、关联分析的基础上,有效地实现了全网的安全预警、入侵行为的实时发现、入侵事件动态响应,通过与其它设备的联动来实现动态防御。
天融信日志审计系统主要由日志代理、安全审计中心、日志数据库、审计系统管理器四个部分组成。
1.日志代理收集各种操作系统、网络设备、安全设备、应用程序,过滤后发送给安全审计中心处理。
2.日志审计中心接收日志代理和各种设备、系统转发的日志信息,集中保存在日志数据库,通过审计系统管理器将结果呈现给用户。
3.日志数据库保存各种日志信息、系统配置信息等。
4.审计系统管理器提供给用户一个方便、直观的管理接口。
通过管理器用户可以查看日志、报表等各种信息。
海量日志的集中处理工具全面支持安全设备 (如防火墙,IDS、AV)、网络设备 (如Router、Switch)、应用系统 (如WEB、Mail、F tp、Database)、操作系统 (如Windows、Linux、Unix) 等多种产品及系统日志数据的收集和分析。
安全状况的全面监控帮助管理员对网络事件进行深度的挖掘分析,系统提供多达300多种的报表模板,支持管理员从不同角度进行网络事件的可视化分析。
同时系统还支持对网络设备、主机、系统应用、多种网络服务的全面监视。
隐患漏洞的不断发现提供全局安全视图,帮助管理员发现网络、系统及应用中存在的安全漏洞和隐患,并进行不断改进。
安全事件的及时响应可自定义安全事件的危险级别,并实现基于EMAIL,铃声、手机短信等多种响应方式。
先进的多级架构设计TA-L采用业界领先的多级架构设计,系统具有良好的网络适应性和伸缩性;支持多套系统级联部署,上级系统能方便地管理下级系统,系统可以非常方便、快捷地部署在大型复杂的网络环境中,有效的解决了含有NAT等复杂网络中事件的收集和审计问题。
1-北信源主机监控审计系统白皮书
北信源主机监控审计系统产品白皮书北京北信源软件股份有限公司版权声明本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
1.产品概述北信源公司是一家长期专注于信息安全领域的高科技企业,是中国领先的终端安全管理产品及解决方案供应商。
北信源公司提供的安全管理产品及解决方案具有典型的行业代表性和技术领先性,多年占据市场领先地位,可有效的解决由于终端管理不善引发的各种安全问题,为用户建立可控的安全管理平台,提升用户的安全形象。
主机监控审计系统是北信源公司在多年潜心研究终端安全管理的技术基础上,专门针对终端数据安全、行为审计、访问控制研发出的一款安全管理产品,是北信源公司全方位、立体化安全管理体系的重要组成部分。
产品遵循网络防护与端点防护并重理念,从终端状态、行为、事件三个方面来进行防御,有效防止终端通过各种途径主动、被动泄密,形成了对终端、终端应用、终端操作者、终端使用单位等多方位的管理体系,构筑了终端信息安全保密的钢铁长城。
2.产品结构北信源主机监控审计系统由7部分组成:WinPcap程序、SQL Server管理信息库、Web中央管理配置平台、区域管理器、客户端注册程序、管理器主机保护模块、报警中心模块。
1.WinPcap程序:嗅探驱动软件,监听共享网络上传送的数据。
NSFRODSASHV产品白皮书V
绿盟安全审计系统-堡垒机产品白皮书【绿盟科技】■文档编号产品白皮书■密级完全公开■版本编号■日期2013-1-8■撰写人刘敏■批准人段小华2020 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■版本变更记录时间版本说明修改人2011-12-13新建,根据更新内容刘敏2013-1-8根据V版本更新内容刘敏2013-7-19根据版本特性更新内容赵永2014-2-12根据版本特性更新内容刘敏目录插图索引一. IT安全运维管理的变革刻不容缓随着信息化的发展,企事业单位IT系统不断发展,网络规模迅速扩大、设备数量激增,建设重点逐步从网络平台建设,转向以深化应用、提升效益为特征的运行维护阶段, IT系统运维与安全管理正逐渐走向融合。
信息系统的安全运行直接关系企业效益,构建一个强健的IT运维安全管理体系对企业信息化的发展至关重要,对运维的安全性提出了更高要求。
目前,面对日趋复杂的IT系统,不同背景的运维人员已给企业信息系统安全运行带来较大潜在风险,主要表现在:1.账号管理无序,暗藏巨大风险多个用户混用同一个账号这种情况主要出现在同一工作组中,由于工作需要,同时系统管理账号唯一,因此只能多用户共享同一账号。
不仅在发生安全事故时难以定位账号的实际使用者和责任人,而且无法对账号的使用范围进行有效控制,存在较大安全隐患。
一个用户使用多个账号目前,一个维护人员使用多个账号是较为普遍的情况,用户需要记忆多套口令同时在多套主机系统、网络设备之间切换。
如果设备数量达到几十甚至上百台时,维护人员进行一项简单的配置需要分别逐一登录相关设备,其工作量和复杂度成倍增加,直接导致的后果是工作效率低下、管理繁琐甚至出现误操作,影响系统正常运行。
图 1.1 用户与账号的关系现状2.粗放式权限管理,安全性难以保证大多数企事业单位的IT运维均采用设备、操作系统自身的授权系统,授权功能分散在各设备和系统中。
-天珣内网安全风险管理与审计系统技术白皮书
天珣内网安全风险管理与审计系统技术白皮书目录1. 背景22. 系统介绍33. 功能简介43.1天珣内网安全风险管理与审计系统基本功能43.2客户端软、硬件资产管理43.3客户端行为管理53.4客户端网络访问管理53.5客户端安全漏洞管理63.6客户端补丁分发管理63.7客户端审计和报表功能73.8客户端快速部属安装、认证功能73.9系统所需软硬件配置74. 系统架构81. 背景常规安全防御理念局限在防火墙、IPS、防病毒网关等网络边界处的防御,安全设施大都部属于网络入口处,在这些"铁将军"的严密把守之下,来自网络外部的安全威胁大大减小.但是,根据多数网络管理人员所反映的问题是,繁杂而琐碎的安全问题,大都来自网络内部.事实表明,解决了网络内部的安全问题,效果接近于排除了一半的安全忧患,因此,内部网络安全必须作为整体安全管理的一个重要组成部分来对待.启明星辰信息技术##针对政府机关、##机构、军队、金融、企业网络等内部网络实际管理要求,在总结十多年对国家部委、集团、中小企业网络的安全管理、安全现场保障基础上专门研制开发了天珣内网安全风险管理与审计系统,并经严格测试通过公安部、国家##局等相关主管部门的认证."震荡波"病毒爆发后,很多部委、企业单位所面临着6大突出问题:1. 如何进行补丁自动分发部署和补丁控制<微软公司SUS/SMS存在功能不足>;2. 如何进行外来笔记本电脑随意接入控制;3. 如何防范网络物理隔离泄漏;4. 如何对未安装防病毒软件的终端进行统计;5. 如何对感染蠕虫病毒的计算机快速定位,并强制其断开网络连接;6. 如何有效进行网络IP设备资源管理;7. 如何对终端的安全策略进行统一配置管理;8. 如何审计终端的各种违规行为.天珣内网安全风险管理与审计系统全面提供针对上述问题的解决方案,协助网络管理人员全面实现网络资源、设备资源、客户端资源和应用资源等方面的管理控制,进行网络隔离度检测、入网设备监控、系统软件〔补丁〕自动检测分发和违规事件发现、安全事件源〔病毒等〕定位分析等操作.2. 系统介绍天珣内网安全风险管理与审计系统协助网络管理人员进行网络和设备资源、客户端软硬件资源、客户端行为和客户端病毒和补丁方面的管理控制,如网络隔离度检测、入网设备监控、系统软件〔补丁〕检测和违规事件发现、安全事件源〔网络病毒等〕定位分析等,应用构架支持局域网、广域网,使用效果最佳.真正意义上的解决:1、移动设备〔笔记本电脑等〕和新增设备未经过安全检查和处理违规接入内部网络,未经允许擅自接入电脑设备会给网络带来病毒传播、黑客入侵等不安全因素;2、内部网络用户通过model、红外设备、无线设备或蓝牙设备等进行在线违规拨号上网、违规离线上网等行为;3、违反规定将专网专用的计算机带出网络进入到其他网络;4、网络出现病毒、蠕虫攻击等安全问题后,不能做到安全事件源的实时、快速、精确定位、远程阻断隔离操作.安全事件发生后,网管一般通过交换机、路由器或防火墙可以进行封堵,但设置复杂,操作风险大,而且绝大多数普通交换机并没有被设置成SNMP可管理模式,因此不能够方便地进行隔离操作;5、大规模蠕虫或木马病毒事件发生后,网管无法确定病毒黑客事件源头、无法找到网络中的薄弱环节,无法做到事后分析、加强安全预警;6、静态IP地址的网络由于用户原因造成使用管理混乱、网管人员无法知道IP地址的使用、IP同MAC地址的绑定情况以与网络中IP分配情况;7、自动检测网络计算机系统漏洞,弱口令等问题,并能够自动将系统所需要补丁分发到网络每一台计算机,为计算机自动打补丁.8、各种软件自动分发功能,脚本定制开发;9、大型网络系统中区域结构复杂,不能明确划分管理责任范围,进行多用户管理;10、网络中计算机设备硬件设备繁多,不能做到精确统计,实现节点桌面控制;11、控制用户随意使用各种USB移动设备而导致的##文件外漏.3. 功能简介3.1 天珣内网安全风险管理与审计系统基本功能⏹客户端分组管理功能:可按客户端各种软、硬件特征、IP范围、注册信息等进行进行分组管理.⏹策略管理功能:可根据时间段和时间点定制策略使用或禁止使用的触发条件.并可根据创建区域、自定义组、操作系统、IP范围、和按照条件搜索的设备进行策略分组分发管理.⏹日志功能:记录系统登陆、操作与客户端违规日志,可进行模糊查询,并支持按管理员自定义字段进行报表导出.⏹全网统一升级:管理中心升级后,全网客户端程序即自动升级.⏹转发代理功能:为在软件分发〔或补丁分发〕的过程,尽量减少消耗网络资源,保证客户端可从其他客户端下载分发软件.⏹终端代理扫描功能:各个VLAN中的注册客户端可触发扫描功能发现网络中的设备信息,并上报到服务器,减小了网络复杂性带来的部署难度,并可发现安装个人防火墙的非法接入设备.⏹多级部署:管理中心可多级部署,由上级管理中心统一配置管理策略,由下级管理中心将违规报警信息的级联上报.3.2 客户端软、硬件资产管理⏹硬件资产管理功能:自动收集网络中各种硬件设备的精确配置信息,包括CPU型号与主频、内存型号与大小、硬盘型号与大小、设备标识、主板信息等硬件信息,并可手工添加硬件设备的描述信息.⏹硬件设备控制功能:控制外设的使用,如对软驱、光驱、USB移动存储、USB全部接口、打印机、Model、串口、并口、1394控制器和红外设备进行启用或禁用等操作.⏹软件清单管理:自动收集安装在每台计算机上的每种应用程序信息,包括安装的操作系统和应用软件种类、版本号以与安装时间等信息.⏹软件安装黑白控制:可制定软件安装和进程的黑白,并对安装未经许可的应用软件的问题计算机进行告警、断网等处理,对运行未经许可的进程进行查杀,同时将违规日志上报服务器,并支持按条件查询.⏹软件分发安装:向指定客户端〔用户组〕分发文件,可进行后台安装〔或根据软件的运行参数执行〕,同时将文件分发和安装的状态上报服务器,并支持按条件查询.3.3 客户端行为管理⏹移动设备行为审计:可控制移动设备〔USB存储、USB光驱或USB软驱〕的读、写操作,并对拷进、拷出的文件进行审计处理,同时支持违规日志的条件查询.⏹IE访问检查:审计用户访问的URL地址,同时将违规日志上报服务器,并支持违规日志的条件查询.⏹终端安全策略检查:检查终端设备的开##码是否为弱口令、口令强度、屏保状态、密码保留周期等安全要求,并可实时监控用户或用户组权限的变化与注册表的变化,对于不符合安全要求的行为进行警告或上报服务器,并支持违规日志的条件查询.⏹打印输出审计:设置不允许打印的文件扩展名⏹网络共享输出:可禁止将指定扩展名的文件拷贝到网络盘.⏹文件内容检查:审计终端设备上的文件内容,对于包含管理员制定的黑上关键字的文件可进行警告或上报服务器,并支持违规日志的条件查询.⏹IP-MAC绑定:对被控终端设备和非被控终端设备进行IP-MAC绑定,并实时阻断非法篡改IP或MAC地址的非法主机,或对被控终端进行IP、MAC与网关地址的恢复,同时将违规日志上报服务器,并支持违规日志的条件查询.3.4 客户端网络访问管理⏹违规入网管理:对未经允许、擅自接入网络的设备进行实时的警告和阻断,防止病毒传播、黑客入侵等不安全因素.⏹违规外联管理:实时监测终端设备通过model、红外设备、无线设备或蓝牙设备等进行非法外联的行为,可对其进行实时阻断、警告等处理,同时将违规日志上报服务器,并支持按条件查询.⏹内建个人防火墙:系统内建个人防火墙,可对终端设备的本地端口、远程端口、TCP、UDP、ICMP等网络应用进行全网的统一管理,并可进行IP区域的访问控制.3.5 客户端安全漏洞管理⏹终端流量管理:实时监测终端流量阈值和并发数,对超过设定阈值和并发数的终端进行实时阻断、警告等处理,同时将违规日志上报服务器,并支持按条件查询.⏹客户端防病毒软件监控:可监控主流防病毒厂商的防病毒软件在客户端的安装情况并以图表的形式直观表示,报警未安装杀毒软件客户端.⏹客户端运维情况监控:检测终端设备的CPU、硬盘<含每个硬盘分区>、内存等的资源占用情况,可自主设定阈值,以确定终端系统资源占用是否达到上限,是否应该升级.⏹进程异常:对未响应进程和意外退出进程进行〔如退出、退出并重起等〕处理.⏹客户端脚本分发:可自定义xml脚本操作并进行分发,修改客户端如注册表等配置,以便实现特定管理操作.3.6 客户端补丁分发管理⏹集成补丁下载服务器:可对补丁集中下载,并针对物理隔离的内网,使用增量式补丁自动分离技术,在外网分离出已安装、未安装补丁,分类导入,即仅对内网的补丁进行"增量式"的升级,减少拷贝工作量.⏹内建补丁分析器:自动建立补丁库,支持补丁库信息查询.针对下载的补丁进行归类存放,按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类,帮助管理人员快速识别补丁.⏹补丁自动/手动分发:支持用户自定义补丁策略自由配置分发,基于补丁级别、补丁类型〔系统补丁、IE补丁、应用程序补丁〕以与网管自定义补丁等制订策略,自动或手动发送至客户端后统一执行.⏹补丁下载代理转发:系统提供补丁自动代理转发功能,提高补丁下发效率,减少网络带宽的占用率,节省网络资源.⏹补丁安全性测试:补丁分发前测试,支持网管测试组定义进行补丁安全性测试,提高打补丁的成功性、安全性、可靠性.3.7 客户端审计和报表功能⏹能够自动生成操作系统软件安装、补丁管理、硬件资产管理等日通报:通报汇总操作系统软件、补丁安装与报警情况.用户可通过固定表格和定制模版〔组态报表〕两种方式得到报表.固定报表提供基础的、重要的报表,而定制模版可以由用户自定义,产生用户所需要的统计报表.⏹系统报警统计报表功能:网管可以按照报警种类选择性接收系统报警信息,并提供多种报警方式通知网管.⏹级联管理报表报警:支持设备信息级联管理、违规报警信息级联上报,为实现多级管理提供扩展.⏹报表打印、输出:能够将所有信息按照各种组合查询灵活生成报表、提供多种形式的输出、打印功能.3.8 客户端快速部属安装、认证功能⏹采用级联式网页分发注册,网络中的客户端访问本地的WEB进行在线或离线透明注册安装.⏹客户端程序占用资源均极小,CPU占用率小于5%、内存占实际内存约18M、虚拟内存2M.⏹系统本身具备认证功能,客户端通过服务器认证后才可正常使用.⏹管理员可以远程批量卸载客户端程序.3.9 系统所需软硬件配置⏹系统管理主机:专用服务器或高档PC服务器,Windows2000 Server〔SP4〕以上操作系统〔安装IIS〕,SQL SERVER 数据库.基本配置:P4 2.0G 以上CPU,512 M以上内存,硬盘40G.建议配置:P4 2.8G 以上CPU,1G以上内存,硬盘40G以上.⏹用户管理控制台:安装在系统管理主机上,IE6.0<SP1>以上版本.⏹终端用户:P2 300MHZ 以上CPU,128M以上内存,4G硬盘以上;WIN98以上操作系统.4. 系统架构天珣内网安全风险管理与审计系统组成:SQLserver数据库模块、web网页管理平台〔管理配置、报警界面〕、区域管理器<RegionManage>等.图-2SQLserver数据库模块:建立内网安全管理系统的初始化数据库和表,表中字段包括:网络客户端设备属性信息,如IP、MAC、所属部门、使用人##、联系方式、计算机硬件信息等;区域管理器IP、管理范围、区域设备扫描器配置字段,将网络中所有注册的机器信息全部列出,对于非法入网、随意改变IP、MAC、更换硬盘、内存等硬件设备的计算机,区域管理器将会从数据库中进行遍历搜索对比,将扫描获得最新设备信息实时上报.WEB网页管理平台:本系统的网络管理配置界面,其中包括了应用系统整体策略,管理区域管理器、注册客户端、察看全网络设备信息等情况.区域管理器:为系统策略控制与数据接收处理中心,具有控制完成系统相关的动作行为处理功能;同时与本级数据库系统连接,统一接收注册程序提供的用户信息,将用户信息〔用户填写的计算机使用人##、联系、E-mail等,计算机IP、MAC地址、硬盘、CPU、内存等其它硬件信息均为自动采集〕并行存入数据库,管理员以WEB日志形式察看.对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,系统数据提供逐级上报模式.客户端程序功能:探测本机是否有违规联网行为,在内网web平台报警;进行本机IP、MAC地址变化探测;同时连结内外网探测;内存、网卡、硬盘等硬件属性信息变化监视;接受Web管理平台的管理;阻断本机非法外联行为等.。
天融信内容与行为审计平台TA-NET产品白皮书
天融信产品白皮书网络卫士内容与行为审计平台TA-NET系列内容与行为审计平台TA-NET天融信网络卫士安全审计系统内容审计平台TA-W是专用于防止非法信息恶意传播,避免国家机密、商业信息、科研成果泄漏的产品;并可实时监控网络资源使用情况,提高整体工作效率。
该产品适用于需实施内容审计与行为监控的网络环境,尤其是按等级进行计算机信息系统安全保护的相关单位或部门。
内容和行为审计系统具有实时的网络数据采集能力、智能的信息处理能力、强大的审计分析功能。
该产品基于天融信公司具有自主知识产权的安全操作系统TOS (Topsec Operating System),采用开放性的系统架构及模块化的设计,是一款安全高效,易于管理和扩展的网络安全审计产品。
产品可实现:◆ 对用户的网络行为监控、网络传输内容审计 (如员工是否在工作时间上网冲浪、聊天,是否访问不健康网站,是否通过网络泄漏了公司的机密信息,是否通过网络传播了反动言论等)◆ 掌握网络使用情况,提高工作效率◆ 网络传输信息的实时采集、海量存储、统计分析◆ 网络行为后期取证,对网络潜在威胁者予以威慑部署方式简便旁路模式接入,不改变用户的网络拓扑结构,对用户的网络性能没有任何影响。
独立部署,方便灵活。
提供基于Rich Client技术的WEB管理界面。
兼具B/S模式的便捷与C/S模式的高效、易用。
高速的数据采集分布式部署数据采集引擎,优化的数据采集技术,直接从内核中采集数据包。
延迟小、效率高、实时性强。
智能包重组和流重组具有强大的IP碎片重组(IP Fragments Reassembly)能力和TCP流重组(TCP Stream Reassembl y)能力,任何基于协议碎片的逃避检测手段对本产品无效。
自适应深度协议分析从链路层到应用层对协议进行深度分析。
自动识别基于HTTP协议的邮件、论坛等操作行为。
根据内容自动识别各个连接的应用协议类型。
保障审计的准确性数据海量存储和备份系统内置海量数据存储空间,支持百兆、千兆网络环境下,高速、大流量数据的采集、存储。
网御星云日志审计系统产品白皮书V
网御星云日志审计系统产品白皮书VDocument number:BGCG-0857-BTDO-0089-2022密级:公开产品白皮书网御安全管理系统-日志审计系统目录11.1日志审计需求分析日志,是对IT系统在运行过程中产生的事件的记录。
通过日志,IT 管理人员可以了解系统的运行状况。
而通过对安全相关的日志的分析,IT管理者可以检验信息系统安全机制的有效性,这就是安全日志审计,简称日志审计。
而日志的产生、收集、审计分析和存储的全过程称作日志管理。
日志审计需求主要源自于两个方面的驱动力。
一方面,从企业和组织自身安全的需要出发,日志审计能够帮助用户获悉信息系统的安全运行状态,识别针对信息系统的攻击和入侵,以及来自内部的违规和信息泄露,能够为事后的问题分析和调查取证提供必要的信息。
有研究指出,69%的攻击行为实际上都有日志留存,而根据国际著名的安全研究与教育组织SANS发布的《2011年度日志管理调查报告》显示,在受访的747个大中小规模的组织中,超过89%的组织都进行了日志管理。
而他们进行日志管理的首要原因是监测与跟踪可疑的行为,例如非授权访问、内部信息泄露,等等。
另一方面,从国家法律法规、行业标准和规范的角度出发,日志审计已经成为了满足合规与内控需求的必备功能,例如:GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》对于二级以上信息系统,在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计。
而日志审计是符合这些要求的基本手段。
《互联网安全保护技术措施规定》(公安部82号令)第八条要求具备“记录、跟踪网络运行状态,监测、记录用户各种信息、网络安全事件等安全审计功能”。
《商业银行内部控制指引》第一百二十六条指出“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。
日志应当能够满足各类内部和外部审计的需要”。
《银行业信息科技风险管理指引》第第二十七条要求银行业应制定相关策略和流程,管理所有生产系统的日志,以支持有效的审核、安全取证分析和预防欺诈。
天珣内网安全风险管理与审计系统白皮书
天珣内网安全风险管理与审计系统白皮书Company Document number:WUUT-WUUY-WBBGB-BWYTT-1982GT天珣内网安全风险管理和审计系统产品白皮书(6.6.9)北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.2008年7月版权声明北京启明星辰信息技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其着作权或其他相关权利均属于北京启明星辰信息技术有限公司。
未经北京启明星辰信息技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。
“天珣”为启明星辰信息技术有限公司的注册商标,不得侵犯。
免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。
北京启明星辰信息技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任信息反馈如有任何宝贵意见,请反馈:信箱:北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编:100193您可以访问启明星辰网站:获得最新技术和产品信息。
目录1 内网安全挑战根据CSI/FBI等权威机构公布的数据,在所有已经发生的安全事件中,超过80%的安全事件都发生在企业内网中,内网安全面临前所未有的挑战。
内网安全面临的挑战,集中表现在以下两个方面:内网安全控制挑战1.终端未经安全认证和授权即可随意接入内网;2.内部终端存在的安全漏洞不能及时修复;3.终端接入后对内网的非授权访问难以管理;4.被动防御蠕虫病毒及木马的破坏和传播;5.蠕虫攻击导致网络或系统瘫痪,影响核心业务的运作;6.用户随意改动IP地址,对网络审计带来困难;7.用户随意安装和运行软件,随意占用有限带宽资源。
Leadsec-ISM V1.1 白皮书
内网安全管理系统产品白皮书Leadsec-ISM V1.1全面的终端运维管理终端主机可进行全面的安全保护、监控、审计和管理,功能不分模块销售。
实名制的管理与审计管理策略根据人员身份制定,做到策略到人,控制到人,审计到人,解决一机多人、一人多机的难题。
三级联防的准入控制体系系统采用端点控制、局域接入控制、边界网关控制三级接入控制体系,可最大程度上适应用户网络环境,提供方便的准入管理。
数据防泄漏数据信息及信息交换做到可加密、可控制、可审计。
文件保密设置简单,移动存储加密保护,可保证私人专用要求。
全面协同防护协同防火墙产品可实现终端的准入控制协同IDS/IPS产品可实现入侵行为的阻断协同SAG产品可实现远程用户的准入控制和身份的策略管理地址:北京海淀区中关村南大街6号中电信息大厦8层(100086) 公司电话:010-********服务热线:400-810-7766(7X24小时) 2目录一、内网安全管理系统背景 (5)1.1内网安全概述 (6)1.2内网安全管理的重要性 (8)1.2.1内网威胁 (8)1.2.2如何加强内网安全 (10)二、内网安全管理系统概述 (12)三、内网安全管理系统架构 (13)四、内网安全管理系统功能 (17)4.1产品九大功能 (17)4.1.1准入控制管理 (17)4.1.2数据防泄漏 (18)4.1.3实名制管理 (21)4.1.4终端维护管理 (22)4.1.5补丁分发管理 (25)4.1.6终端资产管理 (26)4.1.7上网行为管理 (27)4.1.8报警控制台 (28)4.1.9产品协同防护 (29)五、内网安全管理系统功效 (30)5.1整体功效 (30)5.2文件监控与审计 (30)5.2.1杜绝文件操作不留痕迹现象 (30)5.2.2杜绝信息拷贝的无管理状态 (31)5.3网络行政监管 (31)5.3.1屏幕监控 (31)地址:北京海淀区中关村南大街6号中电信息大厦8层(100086) 公司电话:010-********服务热线:400-810-7766(7X24小时) 35.3.2应用程序报告及应用程序日志 (31)5.3.3浏览网站报告及浏览网站日志 (32)5.3.4应用程序禁用 (32)5.4网络辅助管理 (32)5.4.1远程桌面管理 (32)5.4.2远程控制 (32)5.4.3远端计算机事件日志管理 (32)5.4.4远程计算机管理 (33)5.4.5信息化资产管理 (33)5.5网络客户机安全维护 (33)5.5.1补丁分发管理 (33)5.5.2网络漏洞扫描 (34)5.6安全接入管理 (34)5.6.1非法主机网络阻断 (34)5.6.2网络白名单策略管理 (35)5.6.3IP和MAC绑定管理 (35)5.7策略管理 (35)5.7.1基于策略优先级的用户行为管理功能 (35)5.7.2基于网络场景的管理策略 (35)5.7.3基于用户帐户的策略管理 (36)5.7.4基于在线、离线状态的策略管理 (36)5.7.5基于分组的策略管理 (37)六、内网安全管理系统特色 (38)6.1全网产品协同防护 (38)6.2定向访问控制 (38)6.3实名制管理 (38)6.4报警控制台 (39)6.5流量管理 (39)地址:北京海淀区中关村南大街6号中电信息大厦8层(100086) 公司电话:010-********服务热线:400-810-7766(7X24小时) 46.6ARP病毒免疫 (39)6.7可扩展的高端应用接口 (40)6.8补丁统一分发 (40)6.9管理策略强制执行 (40)6.10多元化的管理模式 (40)6.11虚拟安全域管理 (41)6.12策略的优先级管理 (41)七、实施部署 (42)7.1产品部署示意图 (42)7.1.1典型部署 (42)7.1.2多级部署 (43)7.2部署位置 (43)7.3部署方式 (44)地址:北京海淀区中关村南大街6号中电信息大厦8层(100086) 公司电话:010-********服务热线:400-810-7766(7X24小时) 5一、内网安全管理系统背景信息技术发展到今天,人们的工作和生活已经越来越依赖于计算机和网络;然而,自网络诞生的那一天起,它就存在着一个重大隐患——安全问题,人们在享受着网络所带来的便捷同时,不得不承受着网络安全问题带来的隐痛。
天玥网络安全审计系统业务堡垒机MA系列V6010产品白皮书v
启明星辰天玥网络安全审计系统(MA系列产品白皮书(版本2.0)北京启明星辰信息技术股份有限公司2010年6月北京启明星辰信息技术股份有限公司©2010版权所有,保留一切权利。
未经北京启明星辰信息技术股份有限公司(以下简称启明星辰)书面同意不得擅自传播、复制、泄露或复写本文档的全部或部分内容。
本文档中的信息归启明星辰所有并受中国知识产权法和国际公约的保护。
本文档及与之相关的计算机软件程序(以下称为文档)用于为最终用户提供信息,并且随时可由启明星辰更改或撤回。
发布日期:2010年6月适用范围:《天玥网络安全审计系统V6.0》(MA系列)如有任何意见或建议,请按如下联系方式反馈给启明星辰。
邮政地址:北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮政编码:100094电话:86-10- 传真:86-10-E-mail:cpyj@根据适用法律的许可范围,启明星辰按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。
在任何情况下,启明星辰都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使启明星辰明确得知这些损失或损坏,这些损失或损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。
本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。
目录1产品概述................................................................................................... 错误!未定义书签。
1.1产品简介................................................................................... 错误!未定义书签。
1.2适用场景................................................................................... 错误!未定义书签。
威努特工控安全监测与审计系统产品白皮书
威努特工控安全监测与审计系统产品白皮书北京威努特技术有限公司目录一.引言 (3)1.1工业控制系统面临的主要安全问题 (3)1.2工控安全审计平台能够解决哪些问题 (5)二.威努特工控安全审计平台 (5)2.1产品概述 (5)2.2产品架构 (6)2.3产品优势 (7)2.3.1工控协议指令级检测与审计 (7)2.3.2支持私有工控协议的扩展接口 (8)2.3.3高性能的深度解析及检测能力 (8)2.3.4专为工控环境设计的工业级硬件 (8)2.3.5自主可控的工控安全操作系统 (9)2.3.6针对工控行业用户习惯设计的使用体验 (9)2.4主要功能 (9)2.4.1工控网络异常检测 (9)2.4.2工控网络攻击检测 (10)2.4.3工控关键事件检测 (11)2.4.4工控网络连接视图 (11)2.4.5告警事件统计 (12)2.4.6网络连接统计 (13)2.4.7网络通信记录回溯 (14)2.4.8短信告警 (14)2.5典型部署 (14)三.客户价值 (16)3.1及时发现网络攻击,减少系统停车时间 (16)3.2为安全事故的调查,提供详实的数据支持 (16)3.3通过网络通信可视化,提高工控网络运维效率 (16)一.引言1.1工业控制系统面临的主要安全问题目前,超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。
工业控制系统已经成为国家关键基础设施的重要组成部分,工业控制系统的安全关系到国家的战略安全。
随着工业信息化的快速发展,工业化与信息化的融合趋势越来越明显,工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。
未来为了提高生产效率和效益,工控网络会越来越开放,而开放带来的安全问题将成为制约两化融合以及工业4.0发展的重要因素。
传统的物理隔离的解决方法已经不能满足现阶段两化融合发展对安全的需求了,工业控制系统面临如下常见的安全问题:●工业控制协议缺乏安全性考虑,易被攻击者利用专有的工业控制通信协议或规约在设计时通常只强调通信的实时性及可用性,对安全性普遍考虑不足:比如缺少足够强度的认证、加密、授权等,导致容易遭受攻击。
UMA1500-V统一运维审计产品技术白皮书
华为 UMA1500-V 运维审计平台技术白皮书目录1 概述 (1)2 常见运维风险 (2)2.1 来源身份定位难 (2)2.2 操作过程不透明 (2)2.3 系统账户共享 (2)2.4 运维工作效率低 (2)2.5 缺乏集中的控制手段 (3)2.6 如何满足合规要求 (3)3 UMA 产品介绍 (4)3.1 用户分权 (4)3.2 集中授权 (4)3.3 单点登录 (5)3.4 统一审计 (5)3.5 自动运维 (5)3.6 命令控制 (5)3.7 系统自审 (6)4 功能特点 (7)4.1 支持手机APP、动态令牌等多种双因子认证 (7)4.2 覆盖最全的运维协议,让运维安全无死角 (7)4.3 运维方式丰富多样,适用自动化运维等复杂场景 (8)4.4 浏览器客户端运维 (8)4.5 自动学习、自动授权,大大减轻管理员的配置工作 (8)4.6 灵活、可靠的自动改密,保障密码安全 (9)4.7 文件传输审计,让数据窃取行为无藏身之地 (9)4.8 部署模式 (10)4.8.1 单机部署 (10)4.8.2 双机部署 (11)4.8.3 集群部署 (12)华为UMA1500-V 技术白皮书关键词:UMA摘要:本文详细介绍常见运维风险、华为UMA功能特点和部署模式。
1 概述随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。
由于信息化建设、业务不断扩展等因素,在各信息系统中的服务器及各种网络设备的不断增加,对目标主机的管理必须经过各种认证和登录过程。
在某个主机及账户被多个管理人员共同使用的情况下,引发了如帐号管理混乱、授权关系不清晰、越权操作、数据泄漏等各类安全问题,并加大了IT 内控审计的难度。
2 常见运维风险2.1来源身份定位难每个管理人员都需要对主机资源进行运维操作,对管理者来说无法确定是谁在操作、是谁做了操作等;一旦发生事故,无法确定责任人。
日志安全审计系统-技术白皮书V2
实现三级安全联防。在第一级关注的网络安全事件出现后,立即启动第二级相应的追踪模型,当后续网络安全事件进入追踪区域时,瞬间激活第三级相应的对策服务,对危害行为的网络安全事件进行阻挡和转化;
显然,收集和分析上述海量的日志是一个巨大的挑战,而能否做到这点将直接决定一个日志安全审计系统的成败。同时,日志安全审计决不能简单地将这些海量的日志信息直接展示给客户,否则,用户面对这些海量的各类日志信息将束手无策,安全管理运维效率将不升反降。此外,大量的各类设备的日志数据汇聚到一起,根据其安全属性的相关性,可能隐含了新的更严重的安全事件。日志安全审计系统的目标就是要收集这些海量事件,并通过有效的分析手段输出很少量的、有价值的、真正值得管理员关注的安全事件。
提供网络报文流动方向拓扑图快照,建立网络报文流动方向的健康模型,一旦出现异样,可以及时通过网页形式查看可以的网络报文流动方向拓扑图快照,方便找出危险源;
对于流动的海量网络安全事件,可以动态依据策略脚本改变观察窗的大小和网络安全事件驻留的时间长短,确保事前、事中、事后的关联分析准确性;
最长300天的网络安全事件留存,可以满足任何网络安全审计业务的要求;
业务综合管理:业务审计模型的提升部分,实现面向业务安全预警及审计功能,以独立的业务视图对状态、访问、流量、告警信息等指标进行分析。
业务审计规则与策略:以业务审计模型的三个层面为基础,根据技术支持系统的特点定制数据采集策略、数据预警规则、关联分析策略,协调业务审计模型的动态运行。
面向业务审计:作为该模型的高端应用,实现面向业务审计模型的目标,能从业务连续性、关联性、业务运行特点、用户行为及习惯等方面对业务系统进行针对性的审计与诊断。
安全审计
绿盟安全审计系统产品白皮书【产品管理中心】■密级完全公开■文档编号NSF-PROC-SAS-V5.6-产品白皮书-V2.5■版本编号V2.5 ■日期2013-6-25■撰写人刘敏■批准人王伟© 2022 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■版本变更记录时间版本说明修改人2011-11-9 V2.0 套用模板,根据V5.6.6修改部分内容刘敏2011-11-10 V2.1 调整产品特点的内容,增加用户管理和IPv6特刘敏性说明2012-10-8 V2.4 根据V5.6.7版本特性,更新内容刘敏2013-6-28 V2.5 根据V5.6.8版本特性,更新内容刘敏目录一. 前言 (1)二. 为什么需要安全审计系统 (1)2.1安全审计的必要性 (2)2.2安全审计系统特点 (3)三. 如何评价安全审计系统 (3)四. 绿盟安全审计系统 (4)4.1体系架构 (4)4.2产品功能 (5)4.3产品特点 (7)4.3.1 智能化协议识别与分析 (7)4.3.2 网络事件“零遗漏”审计 (7)4.3.3 全面支持IPv6/IPv4双协议栈 (7)4.3.4 智能身份关联与认证用户审计 (7)4.3.5 智能URL分类与WEB信誉管理 (9)4.3.6 无线热点发现与移动应用审计 (9)4.3.7 全程数据库操作审计 (9)4.3.8 业界首创“网站内容安全”主动审计 (10)4.3.9 灵活多样的管理模式 (11)4.3.10 审计信息“零管理” (13)4.3.11 方便灵活的可扩展性 (13)4.3.12 高可靠的自身安全性 (14)4.4典型部署 (14)4.5解决方案 (15)4.5.1 小型网络之精细审计方案 (15)4.5.2 中型网络之集中审计方案 (15)4.5.3 大型网络之分级审计方案 (16)五. 结论 (17)插图索引图 2.1 信息安全体系结构模型 (2)图 4.1 绿盟安全审计体系结构 (5)图 4.2 绿盟安全审计系统功能 (6)图 4.3 智能身份关联 (8)图 4.4 基于用户的全程审计 (9)图 4.5 绿盟SAS数据库审计 (10)图 4.6 主动审计 (11)图 4.7 单级管理 (11)图 4.8 主辅管理 (12)图 4.9 多级管理 (12)图 4.10 绿盟SAS典型部署 (14)图 4.11 小型网络之精细审计方案 (15)图 4.12 中型网络之集中审计方案 (16)图 4.13 大型网络之分级审计方案 (17)一. 前言随着信息技术的日新月异和网络信息系统应用的发展,网络技术的应用层次正在从传统的、小型业务系统逐渐向大型、关键业务系统扩展,政府、企业用户的网络应用也逐渐增多。
数据库审计产品技术白皮书
——安全审计系统HD-SAS白皮书V3.0省海峡信息技术重要声明➢本书为【黑盾安全审计系统】技术白皮书。
其容将随着产品不断升级而改变,恕不另行通知。
如有需要,请从省海峡信息技术下载本手册最新版本。
➢在法律法规的最大允许围,省海峡信息技术除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其他任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
➢在法律法规的最大允许围,省海峡信息技术对于您的使用或不能使用本产品而发生的任何损害(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或其他损失),不负任何赔偿责任。
省海峡信息技术省市北环西路108号邮编:350003:086-591-87303706传真:086-591-87303709E-mail:所有翻录必究目录1.1 数据库安全面临几个主要的风险 (4)1.1.1 管理风险 (4)1.1.2 技术风险 (4)1.1.3 审计风险 (5)1.2数据库安全审计需求概述 (5)1.2.1 为什么需要数据库审计 (5)1.2.2 客户需求什么样的数据库审计产品 (5)二黑盾安全审计系统介绍 (6)2.1 产品概述 (6)2.2 产品主要功能介绍 (9)2.2.1灵活接入部署 (9)2.2.2审计支持 (10)2.2.2.1细料度审计分析 (10)2.2.2.2会话审计 (11)2.2.2.3 Telnet审计 (11)2.2.2.4 绑定变量审计 (12)2.2.2.5 http审计 (12)2.2.3 灵活的数据采集 (12)2.2.4 审计结果展示 (13)2.2.4.1 丰富的查询条件与方法 (13)2.2.4.2 专业化报表输出 (15)2.2.4.3 审计预警展示 (19)2.2.4.4 实时审计功能 (19)2.2.5 审计数据管理 (19)2.2.5.1 高压缩率存储 (20)2.2.5.2 历史数据备份与导入 (20)2.2.5.3 缓存安全机制 (21)2.2.6 数据库攻击检测 (22)2.2.7告警配置 (22)2.2.8系统自身安全性机制 (23)2.2.8.1 用户权限 (23)2.2.8.2 自身审计记录 (24)2.2.8.3 通讯加密与告警 (25)2.2.8.4 容灾机制免维护 (26)3.1 应用类型一:典型部署 (27)3.2 应用类型二:分布式部署 (27)3.3 应用类型三:多路部署 (28)四服务支持 ................................................................... 错误!未定义书签。
蓝盾主机监控与审计系统技术白皮书
蓝盾主机监控与审计系统(BD-SECSYS)技术白皮书广东天海威数码技术有限公司2004年7月目录一、概述 (2)1.1、网络安全现状 (2)1.2、主机监控与审计系统的必要性 (3)二、产品简介 (3)2.1、产品概述 (3)2.2、产品组成 (4)2.3、主机代理体系结构 (5)2.4、集中管理控制中心 (5)三、功能说明 (6)3.1、主机代理功能 (6)3.1.1、网络检测防护功能 (6)3.2.2、共享防护 (6)3.2.3、文件检测防护 (7)3.2.4、注册表检测防护 (7)3.2.5、主机日志监控 (8)3.2.6、设备管理和认证 (8)3.2.7、主机资源审计 (9)3.2.8、异常检测 (9)3.2.9、外联监控 (10)3.2.10、关联安全功能 (10)3.2、集中管理控制中心功能 (10)3.2.1、主机代理管理 (10)3.2.2、Mysql数据库管理 (10)3.2.3、控制中心用户管理 (11)3.2.4、控制中心日志管理 (11)3.2.5、主机信息管理 (11)3.2.6、选项配置管理 (11)四、技术特点 (12)4.1、主机代理技术特点 (12)4.1.1、周密的内网系统信息泄漏防护体系 (12)4.1.2、强大的主机资源监控能力 (12)4.1.3、强健的系统自身安全保护体系 (12)4.1.4、采用移动存储设备认证技术 (13)4.1.5、安全的数据共享方式 (13)4.1.6、全网防护体系 (14)4.1.7、主机日志安全管理 (14)4.1.8、与防火墙、网络入侵检测系统进行有效联动 (14)4.2、集中管理控制中心技术特点 (14)4.2.1、分布式集中管理 (14)4.2.2、实用的主机代理管理 (15)4.2.3、灵活的日志查询及实用的报表 (15)五、指标说明 (15)六、典型应用 (16)一、概述1.1、网络安全现状为了保护计算机及计算机网络的安全性,许多专家、学者和相关机构从不同角度提出了各种解决方案和技术方案。
技术白皮书 网神 SecFox 安全审计系统
技术白皮书网神SecFox安全审计系统本文档解释权归网神信息技术(北京)股份有限公司产品中心所有目录1产品概述 (1)2产品功能说明 (2)2.1系统架构 (2)2.2引入4A管理理念 (2)2.3SSO单点登录 (4)2.4集中账号管理 (4)2.5集中身份认证 (5)2.6统一资源授权 (6)2.7细粒度访问控制 (6)2.8运维操作审计 (7)3产品技术特色和优势 (9)3.1独有功能 (9)3.1.1智能运维脚本 (9)3.1.2管理多种运维操作方式 (9)3.1.3真正意义的智能负载均衡 (10)3.2优势功能 (11)3.2.1高成熟性和安全性 (11)3.2.2良好的扩展性 (12)3.2.3强大的审计功能 (13)3.2.4使用简单,适应各种应用 (13)3.2.5绿色部署、迅速上线 (13)3.2.6实现运维命令的实时审计和拦截控制 (14)3.2.7加密协议审计 (14)4关键技术 (14)4.1逻辑命令自动识别技术 (14)4.2智能负载均衡技术 (15)4.3Syslog日志处理 (16)4.4正则表达式匹配技术 (17)4.5图形协议代理 (17)4.6多进程/线程与同步技术 (17)4.7通信数据加密技术 (17)4.8审计查询检索功能 (17)4.9操作还原技术 (18)5为用户带来的收益 (18)5.1统一平台管理 (19)5.2全面操作审计 (19)5.3提高设备可用性,网络安全性 (19)5.4完善责任认定体系 (20)5.5规范操作管理 (20)5.6规避操作风险 (20)1产品概述网神SecFox安全审计系统(简称:安全审计系统)是一种被加固的可以防御进攻的计算机,具备坚强的安全防护能力。
网神安全审计系统扮演着看门者的职责,所有对网络设备和服务器的请求都要从这扇大门经过。
网神安全审计系统能够拦截非法访问和恶意攻击,对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。
数据库审计系统白皮书2024
引言概述数据库审计系统被广泛应用于企业和组织中,用于监控和跟踪数据库系统的活动,确保敏感数据的安全和合规性。
本白皮书是《数据库审计系统白皮书(一)》的续篇,将进一步探讨数据库审计系统的关键特性和功能,以及其在安全审计和合规管理方面的应用。
正文内容一. 数据库审计系统的关键特性1. 事件记录与存储:数据库审计系统能够实时记录数据库系统的各种事件,并将其存储于安全的审计日志中。
2. 数据采集与分析:系统能够采集和分析大量的数据,包括数据库的配置信息、用户权限变更、数据修改等,以便进行后续审计和调查。
3. 实时监控与告警:系统能够实时监控数据库系统的活动,并发现异常行为或潜在威胁,并及时发出告警通知。
4. 安全审计与报表:系统能够生成详细的审计报告和可视化图表,用于安全审计和合规报告。
5. 日志完整性与保护:系统能够保证审计日志的完整性和可信性,并提供安全的日志存储和保护机制。
二. 数据库审计系统的功能与应用1. 敏感数据保护:数据库审计系统通过监控敏感数据的访问和修改,确保敏感数据不被未授权者访问和篡改。
a. 实时访问控制:系统能够实时检查用户访问敏感数据的权限,以防止未授权的数据访问。
b. 数据变更监控:系统能够监控敏感数据的修改操作,并记录修改的详细信息,确保数据的完整性和可追溯性。
2. 合规管理:数据库审计系统能够帮助企业和组织满足法规和合规要求,避免潜在的法律风险。
a. 合规策略配置:系统能够根据企业的合规要求,配置相应的审计策略,确保数据库操作符合合规标准。
b. 合规报告生成:系统能够根据审计日志数据,自动生成符合合规要求的报告,减轻合规管理的负担。
3. 安全事件响应与调查:数据库审计系统能够及时发现和响应安全事件,并提供详细的审计数据供调查使用。
a. 威胁检测与告警:系统能够检测和识别数据库系统中的风险行为和威胁,并及时发出告警通知。
b. 审计数据分析:系统能够分析审计日志数据,追踪和还原安全事件的发生过程,为调查提供依据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
绿盟安全审计系统产品白皮书© 2011 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,并受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■商标信息绿盟科技、NSFOCUS、绿盟是绿盟科技的商标。
目录一. 前言 (1)二. 为什么需要安全审计系统 (1)2.1安全审计的必要性 (2)2.2安全审计系统特点 (3)三. 如何评价安全审计系统 (3)四. 绿盟科技安全审计系统 (4)4.1产品功能 (4)4.2体系架构 (5)4.3产品特点 (7)4.3.1 网络事件“零遗漏”审计 (7)4.3.2 高智能深度协议分析 (7)4.3.3 全面精细的敏感信息审计 (7)4.3.4 多维度网络行为审计 (7)4.3.5 全程数据库操作审计 (8)4.3.6 业界首创“网站内容安全”主动审计 (9)4.3.7 强劲的病毒检测能力 (9)4.3.8 基于协议的流量分析 (10)4.3.9 基于对象的虚拟审计系统 (10)4.3.10 强大丰富的管理能力 (10)4.3.11 审计信息“零管理” (12)4.3.12 方便灵活的可扩展性 (13)4.3.13 高可靠的自身安全性 (13)4.4解决方案 (13)4.4.1 小型网络之精细审计方案 (13)4.4.2 中型网络之集中审计方案 (14)4.4.3 大型网络之分级审计方案 (15)五. 结论 (16)插图索引图2.1 信息安全体系结构模型 (2)图4.1 绿盟安全审计系统功能 (4)图4.2 绿盟SAS典型部署 (5)图4.3 绿盟安全审计体系结构 (6)图4.4 绿盟SAS数据库审计 (8)图4.5 主动审计 (9)图4.6 虚拟审计系统 (10)图4.7 单级管理 (11)图4.8 主辅管理 (11)图4.9 多级管理 (12)图4.10 小型网络之精细审计方案 (14)图4.11 中型网络之集中审计方案 (15)图4.12 大型网络之分级审计方案 (16)一. 前言随着信息技术的日新月异和网络信息系统应用的发展,网络技术的应用层次正在从传统的、小型业务系统逐渐向大型、关键业务系统扩展,政府、企业用户的网络应用也逐渐增多。
信息安全是一个动态的过程,在为自身业务提供高效的网络运营平台同时,日趋复杂的IT业务系统与不同背景业务用户的行为也给网络带来潜在的威胁,如内部业务数据、重要敏感文件通过电子邮件、数据库访问、远程终端访问(TELNET、FTP等)等方式被篡改、泄露和窃取;访问非法网站、发布非法言论等违规上网行为泛滥;严重破坏政府、企业的信息系统安全。
如何对业务系统访问和网络行为进行有效的监控,已经成为政府、企业重点关注的问题。
二. 为什么需要安全审计系统随着业务系统访问、网络应用行为日益频繁,我们可能经常遇到如下情况:◆内部系统维护人员对业务应用系统的越权访问、违规操作,损害业务系统的运行安全;◆企业重要业务数据库,被员工或系统维护人员篡改牟利、外泄,给企业造成巨大的经济损失;◆员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式,发送重要敏感信息、业务数据,导致信息外泄事件发生;◆员工在论坛发表敏感信息、传播非法言论,造成恶劣社会影响;◆等级保护要求。
公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计;◆萨班斯(SOX)法案。
在美国上市公司必须遵循的“萨班斯(SOX)法案”中要求对企业内部网络信息系统进行评估,其中涉及对业务系统操作、数据库访问等业务行为的审计。
根据调查数据显示,大多数企业虽然已经采用一定的网络安全手段(如防火墙、入侵检测、漏洞扫描等)和管理措施,但是上述安全事件发生后,却仍然无法进行及时告警响应、准确定位事件源头,给企业带来极大的困扰和严重的信息安全隐患。
如何有效监控业务系统访问行为和敏感信息传播,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求,是企业迫切需要解决的问题。
2.1 安全审计的必要性随着日益增长的互联网安全风险,安全问题的复杂性日益加大,综合FBI和CSI对484家企业的调查及中国国家计算机网络应急协调中心CNCERT/CC的调查结果显示大约76%的网络安全威胁来自于内部,其危害程度更是远远超过黑客攻击及病毒造成的损失,而这些威胁绝大部分与内部各种网络访问行为有关。
防火墙、入侵检测等传统网络安全手段,可实现对网络异常行为的管理和监测,如网络连接和访问的合法性进行控制、监测网络攻击事件等,但是不能监控网络内容和已经授权的正常内部网络访问行为,因此对正常网络访问行为导致的信息泄密事件、网络资源滥用行为(即时通讯、论坛、在线视频、P2P下载、网络游戏等)也无能为力,也难以实现针对内容、行为的监控管理及安全事件的追查取证。
因此,迫切需要一种安全手段对上述问题进行有效监控和管理。
安全审计正是在这样的背景下产生。
对于任何一个安全体系来说,审计追查手段都是必不可少。
计算机信息安全可通过如下图 2.1 所示的信息安全体系结构模型来反映计算机信息系统安全需求和体系结构的共性,其构成要素是安全手段、系统单元及国际标准化组织(ISO)制定的开放系统互连参考模型(OSI)。
在图2.1的安全手段中,审计是整个安全体系中不可缺少的重要组成部分。
图 2.1 信息安全体系结构模型同时,在TCSEC和CC等安全认证体系中,安全审计是评判一个系统是否真正安全的重要标准。
根据代表性的安全模型P2DR理论,网络信息系统在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)、检测工具(如漏洞评估、入侵检测等系统)的同时,必须通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到“最安全”和“最低风险”的状态。
2.2 安全审计系统特点安全审计系统(Security Audit System)是在一个特定的企事业单位的网络环境下,为了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取,而运用各种技术手段实时监控网络环境中的网络行为、通信内容,以便集中收集、分析、报警、处理的一种技术手段。
安全审计系统的主要特点如下:◆细粒度的网络内容审计安全审计系统可对可对网站访问、邮件收发、远程终端访问、数据库访问、论坛发帖等进行关键信息监测、还原;◆全面的网络行为审计安全审计系统可对网络行为,如网站访问、邮件收发、数据库访问、远程终端访问、即时通讯、论坛、在线视频、P2P下载、网络游戏等,提供全面的行为监控,方便事后追查取证;◆综合流量分析安全审计系统可对网络流量进行综合分析,为网络带宽资源的管理提供可靠策略支持;因此,通过传统安全手段与安全审计技术相结合,在功能上互相协调、补充,构建一个立体的安全保障管理体系。
三. 如何评价安全审计系统安全审计系统具有对网络通信内容、网络行为的实时监测、报警、记录等功能。
是否能够很好地帮助网络管理员完成对网络状态的把握和安全的评价是安全审计系统的基本标准。
一个完善的安全审计系统(SAS)应该从四个方面评价:◆细粒度的操作内容审计与精准的网络行为实时监控;◆全面详细的审计信息,丰富可定制的报表系统;◆支持分级部署、集中管理,满足不同规模网络的使用和管理需求;◆自身的安全性高,不易遭受攻击;四. 绿盟科技安全审计系统针对网络中内部人员的敏感信息泄露、违规网络行为等层出不穷的安全事件,绿盟科技提供了完善的安全审计方案。
绿盟安全审计系统(NSFOCUS SAS)是绿盟科技自主知识产权的安全产品,通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,为整体网络安全策略的制定提供权威可靠的支持。
4.1 产品功能绿盟安全审计系统具有三大功能,如图 4.1 所示:图 4.1 绿盟安全审计系统功能内容审计绿盟SAS系统提供深入的内容审计功能,可对网页页面内容、邮件、数据库操作、论坛、即时通讯等提供完整的内容检测、信息还原功能;并可自定义关键字库,进行细粒度的审计追踪。
◆行为审计绿盟SAS系统提供全面的网络行为审计功能,根据设定行为审计策略,对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、在线视频、P2P下载、网络游戏等网络应用行为进行监测,对符合行为策略的事件实时告警并记录。
◆流量审计绿盟SAS系统提供基于协议识别的流量分析功能,实时统计出当前网络中的各种报文流量,进行综合流量分析,为流量管理策略的制定提供可靠支持。
绿盟SAS支持旁路(Sniffer Mode)部署模式,并支持多个硬件监听口,提供对多网段的同时监听能力,典型部署如下图 4.2 所示:图 4.2 绿盟SAS典型部署4.2 体系架构绿盟安全审计系统的体系架构主要由安全中心/WEB控制台、网络引擎及升级站点三个部分组成,方便各种网络环境的灵活部署和管理。
如下图 4.3 所示:图 4.3 绿盟安全审计体系结构◆绿盟安全中心具有系统监控和日志管理功能,可以集中管理多台网络引擎;并可以实现安全中心的主辅管理;支持任意层次的级联部署,实现多级管理,满足不同管理模式的需要;同时可以统一管理绿盟安全审计系统、内容安全管理系统、入侵检测系统、入侵保护系统,提供针对网络正常行为和异常行为的全面行为检测手段,实现安全数据的整体挖掘、关联分析管理;◆绿盟WEB控制台具有系统配置管理、系统监控和日志管理功能,适合在任何IP可达地点远程管理。
◆网络引擎采用协议识别、特征检测和智能关联分析技术,全面监测网络数据包,及时发现违反安全策略的事件并实时告警记录;◆升级站点提供产品补丁、URL数据库、网络应用协议数据库等及时升级更新支持。
4.3 产品特点4.3.1 网络事件“零遗漏”审计绿盟SAS采用先进的数据处理架构,对64bytes数据包的处理能力达到千兆线速的处理能力;同时采用先进的IP碎片重组与智能TCP流汇聚技术,达到接近100%的检测准确率和几乎为零的漏报率,实现网络事件的“零遗漏”审计。
4.3.2 高智能深度协议分析绿盟SAS采用业界领先的协议识别和智能关联技术,提供全面深入的协议分析、解码回放,能够分析超过100种应用层协议,包括HTTP、TELNET、FTP、SMTP、WEBMAIL、NETBIOS、P2P、IM等,极大地提高内容分析的准确性,帮助管理员全面掌握网络安全状态。