网御星云业务审计产品介绍

环境部署—多级部署
•
在每个数据中心中设置配置需要管理的下级数据中心。下级数据中心需要配置为 可被上级管理。
•
由上级对下级数据中心下发策略，实现全网的统一审计
目录
• • • • •
技术背景分析 产品功能介绍 产品典型部署 客户价值实现 问题与解答
产品资质
客户价值综述
提升声誉 降低损失 取证免责 把控全局 满足合规性要求，顺利通过等级保护、分级保护、IT审计 有效响应、减少业务系统核心信息资产的破坏和泄漏 有效控制运维操作风险，便于事后追查原因与界定责任 有效控制业务运行风险，直观掌握业务系统安全状况 实现独立审计与三权分立，完善IT内控机制
• 无审计功能 • 审计项目不全 • 开发商无法联系，改造困难 • 改造周期长
无法关注业务全貌
• 部分攻击或者违规会绕过审计模块 • 更关注前台业务，往往忽略后台数据处理过程
对业务系统性能影响
• 开启审计功能降低业务性能
不符合独立审计原则
• 审计记录可用性受业务系统影响 • 自身审计不符合独立审计原则
完善机制
合规性管理
细粒度审计
谢谢
SMP：需要 对应用中的 敏感数据进 行模糊化核 查。
电信集团要求
中国电信〔2012〕760 号文《关于印发中国电信 IT 安全保障体系建
设规范 v2.0的通知》
中国电信〔2013〕186 号《关于深化网络信息保护工作要求的通知》 中国电信〔2013〕411号文《关于印发中国电信用户个人信息保护
计引擎。
• 审计引擎的管理口与数据中心通 过交换机互联
•
管理终端通过访问数据中心的管
理口对其进行管理
典型部署—并行分布式部署
• 审计引擎旁路部署于各汇聚 交换机上，
• 将核心交换机与汇聚交换机
之间的流量通过镜像的方式 发给审计引擎。
• 审计引擎的管理口与数据中
心通过交换机互联 • 单数据中心可实现对多个审 计引擎的管理
工作提升细则的通知》
用户信息分为三个级别，从低到高分别为 一级、二级、三级
敏感信息级别
一级用户信息： 二级用户信息： 三级用户信息：
业务号码（固定、移动电话号码等）、订 购的业务信息（套餐、增值业务等），综合 级的帐务信息等。
用户姓名、身份信息、地址等为二级用户 信息。 用户通信详单、定位（位置）信息、银行 帐号等为三级用户信息。
CRM CRM CRM CRM CRM CRM CRM N/A CRM CRM CRM CRM CRM
CRM CRM CRM CRM CRM CRM CRM N/A
非常重要 非常重要 非常重要 非常重要 非常重要 非常重要 非常重要 N/A 重要 非常重要 重要 非常重要 非常重要 非常重要 重要 重要 重要 重要 非常重要 非常重要 N/A
违规发现
业务系统定义
支持审计HTTP、HTTPS两类业务系统，可精确提取操作账号信息。
关键业务映射
业务名称和网络数据特征的映射、网络符号和实际含义的映射、资产属性和IP的 映射
业务自学习
为了快速完成业务映射，系统利用数据挖掘技术，对业务数据进行 网络提取，为审计人员定义业务提供帮助。
业务自学习过程： 数据采集：从网络镜像中获取样本业务数据 数据挖掘：对样本数据进行挖掘，提取网络特征 业务映射：对网络特征进行业务定义
• 应用最灵活：强大的策 略配置功能够灵活适合 法规的不断变化，完善 的审计规则库能够满足 不同行业不同法规的差 异化要求。
• 协议解析最深：解析 http/https及各种网络 协议等；
• 技术基础最厚：融合IDS 的技术积累－协议解析/ 多网卡抓包/零拷贝/多 模式匹配/大数据存储/ 数据挖掘等。
• 行业应用最广：适用于 四大运营商、金融、大 企业、政府机构等；
• 应用基础最厚：融合在 风险评估、管理咨询、 安全域建设等领域的实 践积累。
目录
• • • • •
技术背景分析 产品功能介绍 产品典型部署 客户价值实现 问题与解答
产品型号
性能
万兆设备 千兆主流 千兆低端
百兆设备
规格
产品构成及部署方式
重要 开通、变更等 CRM
4A：需要对 关键应用系 统的敏感数 据操作和关 键操作进行 审计。
批量业务操作
关键操作
业务关键操作
查询、导出等 批量资金调整 批量套餐变更 批量帐前优惠 批量滞纳金减免 批量免催免停 批量积分变更 其他重要批量操作 产品管理 集团大客户管理 公免号码管理 客户服务密码变更 客户资料变更 本地缴费（充值）业务（客户资料查询、 办理） 营业停复机（客户资料查询、办理） 订购变更业务（客户资料查询、办理） 开过户（客户资料查询、办理） 积分兑换（客户资料查询、办理） 补换卡和号（客户资料查询、办理） 异地缴费业务（客户资料查询、办理） 其他重要批量操作
• 产品线构成
– 数据中心+引擎（旁路）
– 均采用网络捕包分析的形式工作
• 旁路引擎
– §旁路方式部署 – §业务口通常连接在交换机的镜像口上 – §对原有网络不造成影响，网络审计产品的故障不影响现有网 络的正常运行
2018/10/7
24
典型部署—单级部署
• 审计引擎旁路部署于核心交换机
上。
• 将核心交换机Baidu Nhomakorabea数据域交换机之 间的流量通过镜像的方式发给审
目录
• • • • •
技术背景分析 产品功能介绍 产品典型部署 客户价值实现 问题与解答
产品结构
产品特色功能
精确解析
•Web访问解析 •关键内容提取 •关键业务映射
审计报告
•审计日志检索 •访问页面回放 •统计分析报告 •业务权限梳理 •自动学习业务映射关系
业务自学习
业务关联
•业务关联审计 •违规行为告警 •敏感数据核查 •异常业务发现
Web Server DB Server
Audit
Web Server区
DB Server区
层层防护下问题依旧，合法人员做非法的事情，如何发现？
传统审计技术的不足
网络审计
运维堡垒机
综合日志审计
互联网审计
网络流量审计
业务审计？
业务系统审计，需要新一代有针对性的专业产品
业务系统自身审计的不足
老旧系统自身审计难
网御网络审计系统(业务审计型) 产品介绍
2015年6月
目录
• • • • •
技术背景分析 产品功能介绍 产品典型部署 客户价值实现 问题与解答
相关法律法规--移动集团规范
操作类型 操作子类 客户资料信息 (客户资料、账单、用户 行为信息、精确营销目标 用户群数据、资源数据、 渠道及合作伙伴资料、客 敏感数据 户服务密码) 操作 客户消费信息 (基本业务订购关系、增 值业务订购关系、积分数 据、账户余额) 客户详单信息 操作细项 采集对象 审计级别 重要 查询、导出、变更等 CRM、 BASS
审计报告——统计分析报告
按照业务类型和名称的统计，并可进一步钻取到具体事件
审计报告—协助管理者厘清业务权限
统计每个用户的业务操作，协助管理员或服务人员进行应用权限的梳理
产品优势功能 web业务系统审计 细粒度审计
业务操作全过程审计 最广泛深入的协议解析 紧贴客户的最佳实践
• 架构最切合应用：基于 角色的审计模型；
可自学习业务特征，减少对业务部门的依赖，并极大的降低配置工作量。
内容提取与页面还原
可获得信息：业务用户如何访问业务系统，提交的数据，修改的内容。可仿真回 放页面请求和页面返回信息。
违规和越权发现
评估是否存在越权或者违规行为，提示可能的风险。
敏感信息核查
• 敏感信息，如身份证号、银行卡号等如果未经过处理明文 传输，网御业务审计系统对其核查，上报告警；
公安部要求——应用日志采集
公安部应用日志要求
应用系统/资源库中用户操作行为和接口服 务的日志记录 登录、查询、新增、删除、修改、接口服 务
安全事件——电商1号店用户信息泄露
业务系统安全建设现状
WAN
外网边界
UTM / FW IPS
IDS/MDS
LAN
办公区
Endpoint Security
WAF