SecFox-NBA网络行为审计系统(业务审计型)v2.5介绍(精华版)

面向业务审计， 而不是单纯面 向主机或者数 据库的审计
怎样才算一个业务审计系统？
• 业务审计的关键特点
– – – – 以业务系统的数据保护和操作合规为目标 以业务系统为审计对象 面向业务的审计策略 二次审计与实时关联分析
业务审计的关键特点：以业务系统为保护目标
• • • • • 数据访问审计 数据变更审计 用户操作审计 违规访问行为审计 恶意攻击审计
整体审计报表
自动生成周报、月报、季报，并自动投递报表给管理员， 自动生成周报、月报、季报，并自动投递报表给管理员，用户可以自定义报表
目录
• • • • • •
用户面临的挑战 系统特点 系统简介 产品价值和优势 成功案例 网御神州SecFox安全管理体系及其解决方案
系统简介：产品型号 型号 规格指标
通过业务拓扑视图将业务系统各个组成部分联系起来， 通过业务拓扑视图将业务系统各个组成部分联系起来，一并进行 审计。不仅审计数据库， 审计。不仅审计数据库，还审计相关的服务和网络访问行为
业务审计视图 PK 传统审计界面
都有数据库审计、主机审计、HTTP、email等应用的审计 都有数据库审计、主机审计、HTTP、email等应用的审计 业务审计视图可以看到组成部分及其 关系 面向业务的审计， 面向业务的审计，业务相关的违规行 为都能够审计到， 为都能够审计到，并清晰呈现出来 传统的审计界面只是将这些被审计对 象罗列出来， 象罗列出来，之前没有关联 单纯面向数据库的审计， 单纯面向数据库的审计，业务相关的 违规行为不能清晰呈现出来
当前面临的挑战：刑法第七修正案 • 全国人大常委会在2009年2月28日通过了 主管: 主管: 刑法修正案(七)的表决，并且从颁布之日 我该怎么办? 我该怎么办? 起实施。刑法修正案(七)第二百五十三条 规定：
–国家机关或者金融、电信、交通、教育、医疗 国家机关或者金融、电信、交通、教育、 国家机关或者金融 等单位的工作人员，违反国家规定，将本单位 在履行职责或者提供服务过程中获得的公民个 人信息，出售或者非法提供给他人，情节严重 的，处三年以下有期徒刑或者拘役，并处或者 单处罚金。 –窃取、收买或者以其他方法非法获取上述信息， 情节严重的，依照前款的规定处罚。 –单位犯前两款罪的，对单位判处罚金，并对其 直接负责的主管人员和其他直接责任人员 主管人员和其他直接责任人员，依 主管人员和其他直接责任人员 照各相应条款的规定处罚。
目录
• • • • • •
用户面临的挑战 系统特点 系统简介 产品价值和优势 成功案例 网御神州SecFox安全管理体系及其解决方案
系统特点（帮助用户解决什么问题？）
• • • • • • • • • • 旁路部署，对网络和业务系统无任何影响 全方位的数据库审计 数据库操作实时监控、过程回放 敏感信息的屏蔽，帐号、数据表资源转换 内置数据库防攻击策略 快速响应和跨设备协同防御 事后分析、调查取证 面向业务的安全审计 安全审计报表报告 出具合规审计报表报告
例如发送给HP Desk，或者BMC 发送一个事件到服务台系 例如发送给HP Service Desk，或者BMC 统 直接阻断 设备直接发出阻断连接指令， 设备直接发出阻断连接指令，阻断网络中可疑的数据 通讯
面向业务的安全审计
• 为什么需要面向业务的安全审计？
– 用户需求的必然 – 业务审计是数据库审计技术发展的必然：下一代数据库审计
网上邻居
FTP 主机
TELNET
VNC
主机审计
应用审计
• 审计HTTP协议 • 审计SMTP、POP3协议
HTTP
SMTP/POP3
应用系统（WEB服务器、邮件服务器）
数据库操作实时监控、过程回放
• 基于会话的行为分析技术，对当前网络中所有访问者进行基于时间的审 查 • 真正做到4W1H：
– 对“谁、什么时间段内、对什么（数据）、进行了哪些操作、结果如何”的 全程审计
-千兆1U标准机架式，2个千兆电口 SecFox-NBA （ 业 -事务处理性能可达到2000事务数/秒（TPS，Transactions per Second） 务审计型）-G2 -自带500GB硬盘 -可审计3个数据库 -支持Console口管理 -千兆2U标准机架式，默认2个千兆电口，可扩展6个(电口/光口) -事务处理性能可达到3000事务数/秒（TPS，Transactions per SecFox-NBA （ 业 Second） 务审计型）-G31 -自带大容量硬盘，支持Raid，硬盘容量可以扩展 -支持外接存储，例如DAS、NAS、SAN等；支持光纤接口 -支持Console口管理 -可扩展冗余电源 -千兆2U标准机架式，默认2个千兆电口，可扩展6个(电口/光口) SecFox-NBA （ 业 -事务处理性能可达到6000事务数/秒（TPS，Transactions per Second） 务审计型）-G41 -自带大容量硬盘， 采用Raid5数据保护机制，硬盘容量可以扩展 -支持外接存储，例如DAS、NAS、SAN等；支持光纤接口 -支持Console口管理 -可扩展冗余电源
为什么需要面向业务的安全审计？
• 从业务系统的组成说起 业务层 IT资源层 指标层
业务行为审计
OA业务
应用服务器
数据库服务 器
数据库系统
主机操作
访问流量
主机操作
访问流量
数据库敏感 SQL
目标主机的telnet操作审计 目标主机的ftp操作审计 基于数据库协议（SQL）的操作审计 基于客户端的数据库操作审计 目标主机的网络流量审计 催生
实时告警、应急响应、设备联动
可以与各种第三方的网络设备、安全设备进行策略联动， 可以与各种第三方的网络设备、安全设备进行策略联动，形成管理的闭环
丰富的响应方式
响应方式 设置告警属性 运行参数应用程序脚本 设备联动 发送电子邮件 发送SNMP 发送SNMP Trap 发送一个事件到网管系统 说明 设置通过规则引擎生成的关联事件的告警属性 运行用户指定的某个程序的CLI脚本， 运行用户指定的某个程序的CLI脚本，并能够将告警 CLI脚本 属性作为参数传递给CLI CLI程序 属性作为参数传递给CLI程序 自动执行一组针对第三方网络设备或者安全设备的联 动指令 发送一封电子邮件给指定人 发送SNMP trap信息到指定 信息到指定IP 发送SNMP trap信息到指定IP 例如发送给HP 例如发送给HP OpenView NNM
数据库审计的内容可以细化到库、 数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数、 记录、用户、存储过程、函数、 调用参数，任何细小改动都“难逃法网” 调用参数，任何细小改动都“难逃法网”。
全方位数据库审计：审计各种访问方式
TOAD SQL*Plus PL/SQL 企业管理控制台 TNS FTP/TELNET ODBC/JDBC OLEDB/ADO FTP/TELNET TNS 数据库服务器 本地操作 操作日志
Oracle
WEB应用
客户端程序
可视化数据库审计：多种可视化的审计手段
审计首页 智能监控频道可以自定义
用户行为分析图
数据库审计
主机审计
• 审计VNC、Telnet、网上邻居和定制的主机协议的登录、注销和一般操 作等行为 • 审计FTP操作行为，包括登录、注销，以及访问和上传/下载的目录及其 文件名
业务审计的关键特点：面向业务的审计策略
• 面向业务的审计策略
– 网御神州独有 – 一条策略就包含了针对与业务相关的主机、网络和数据库审计策略
ERP运行审计策略示例 运行审计策略示例
业务审计的关键特点：二次审计和实时关联分析
• 传统的单纯数据库审计产品都只能做基于审计策略的分析：操作审计 • SecFox-NBA（业务审计型）在“操作审计”的基础上还提供了二次审 计功能：将数据库审计记录与主机、服务和应用的审计记录整合到一起， 通过网御神州获得发明专利的实时关联分析引擎进行跨事件关联分析， 进一步帮助用户进行违规行为的定位——行为审计
当前面临的挑战
• 几个故事：高科技犯罪
– – – – – 某移动公司的神州行充值卡盗用事件 美国TJX公司信用卡信息泄漏事件 交通违章信息非法抹除事件 非法窃取公司财务数据库重要数据，CRM系统的重要客户资料 医院HIS系统医疗信息、病患信息泄漏事件
案例：某移动公司的神州行充值卡盗用事件
案例：美国TJX公司信用卡信息泄漏事件
当前面临的挑战 • • • • 业务系统缺乏必要的数据安全保护，传统安全设备力不从心 业务系统信息泄漏隐患严重 审计成本居高不下，审计效率难以提升 国家法规(刑法第七修正案)、行业规定(内控)的要求
SecFox-NBA!
我们真正需要的是? 面向业务系统的安全审计 提供容易使用且单一管理控制台能够对全 网的安全状况进行审计 异常和违规行为追踪 提供集中化监控、审计、告警、 提供集中化监控、审计、告警、分析及报 表管理功能 提供可视化的审计手段 仅需投入少量资源可以得到最大效益 符合国家和行业的审计要求
• 基于时间的操作回放
敏感信息的屏蔽
• SecFox-NBA（业务审计型）支持敏感信息的屏蔽，防止审计人员看到 不归他管的敏感数据；当用户所属角色没有敏感信息查看的权限时，则 该用户在查看事件明细时，将无法查看【操作内容】、【返回信息】、 【原始消息】三个可能包含敏感内容的字段。
语句转换
数据库和网络异常行为检测
国家和行业法律法规都有安全审计的要求！ 国家和行业法律法规都有安全审计的要求！
《信息系统安全等级化保护基本要求》二级以上 信息系统安全等级化保护基本要求》 《ISO27001:2005 》4.3.3小节 小节 《企业内部控制基本规范》第41条 企业内部控制基本规范》 条 《银行业信息科技风险管理指引》第25、26、27条 银行业信息科技风险管理指引》 、 、 条 《证券公司内部控制指引》第一百一十七条 证券公司内部控制指引》 《互联网安全保护技术措施规定》第八条 互联网安全保护技术措施规定》 《萨班斯（SOX）法案》第404款 萨班斯（ ）法案》 款
旁路部署
端口镜像
共享Hub 共享Hub
TAP分接 TAP分接
旁路部署、即插即用， 旁路部署、即插即用，对业务网络没 有任何影响
高适用数据库审计：审计各种数据库系统
能够对多种操作系统上运行的多种数据库及其版本进行审计
MySQL 2000/2005 Oracle 8/9/10 DB2 7/8/9 4.x/5.x 12.5/ASE15 10/11.x
国产 数据 库
运行平台
细粒度数据库审计：审计各种操作类型
操作行为 用户行为 内容和描述 数据库用户的登录、注销
CREATE，ALTER，DROP等创建、修改或者删除 数 据 定 义 语 言 数据库对象（表、索引、视图、存储过程、触发器、 （DDL）操作 域，等等）的SQL指令 数 据 操 作 语 言 SELECT，DELETE，UPDATE，INSERT等用于检 （DML）操作 索或者修改数据的SQL指令 数 据 控 制 语 言 GRANT ， REVOKE 等 定 义 数 据 库 用 户 的 权 限 的 （DCL）操作 SQL指令 其它操作 包括EXECUTE、COMMIT、ROLLBACK等事务操 作指令
SecFox-NBA（业务审计型）介绍
Executive Overview of SecFox-NBA Network Behavior Analysis for Business Audit
Version 2.5 Revision 0 SOC事业部
目录
• • • • • •源自用户面临的挑战 系统特点 系统简介 产品价值和优势 成功案例 网御神州SecFox安全管理体系及其解决方案
业务审计的关键特点：以业务系统为审计对象
OA业务系统 = 前端 业务系统 前端FTP服务 + HTTP服务 + Linux主机 + 后台 服务 服务 主机 后台Oracle数据库 数据库
通过对组成OA 业务系统的主机、 数据库、服务等 的网络行为进行 审计，从而从业 务的角度来保护 整个OA系统的 运行安全
案例：交通违章信息内部违规篡改
对于非法连入内网的计 算机的直接入侵和内部 人员利用合法权限进行 的违规操作，没有任何 防范措施。
当前面临的挑战
• 启示：
– 内部员工犯罪，非法获取、修改数据库中的重要数据 – 外包人员犯罪，利用职务之便留下后门修改和伪造数据 – 黑客攻击，窃取核心机密
当前面临的挑战
• 内置典型防攻击策略
– – – – – – – – – SQL insert 注入攻击 SQL exec 注入攻击 SQL update 注入攻击 IBM DB2数据库xmlquery缓冲区溢出尝试 Oracle安全备份命令exec_qr注入攻击 Oracle BEA WebLogic Apache连接器HTTP版本拒绝服务攻击 Oracle安全备份POST exec_qr注入攻击 Oracle安全备份msgid 0x901用户名字段缓冲区溢出尝试 ....