天玥网络安全审计系统技术方案

XXXXX项目

网络安全审计部分

技术建议书

北京启明星辰信息技术有限公司

Venus Information Technology(Beijing)

二零一一年四月

目次

1.综述 (1)

2.审计系统设计方案 (2)

2.1.设计方案及系统配置 (4)

2.2.主要功能介绍 (5)

2.2.1.数据库审计 (5)

2.2.2.网络运维审计 (6)

2.2.3.OA审计 (7)

2.2.4.数据库响应时间及返回码的审计 (7)

2.2.5.业务系统三层关联 (7)

2.2.6.合规性规则和响应 (8)

2.2.7.审计报告输出 (10)

2.2.8.自身管理 (11)

2.2.9.系统安全性设计 (11)

2.3.负面影响评价 (12)

2.4.交换机性能影响评价 (13)

3.资质证书 (14)

1.综述

随着信息技术的发展，XXX已经建立了比较完善的信息系统，具有网络规模大、用户数多、系统全而复杂等特点。IT建设的核心任务是运用现代信息技术为企业整体发展战略的实现提供支撑平台并起到推动作用。信息安全作为IT建设的组成部分，核心任务是综合运用技术、管理等手段，保障企业IT系统的信息安全，保证业务的连续性。信息安全是XXX正常业务运营与发展的基础；是保证国家利益的基础；是保障用户利益的基础。

根据国家的相关规范的指导意见，我们根据对XXX信息系统具体需求的分析，在对XXXXX进行安全建设时，我们所遵循的根本原则是：

1、业务保障原则：安全建设的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。

2、结构简化原则：安全建设的直接目的和效果是要将整个网络变得更加安全，简单的网络结构便于整个安全防护体系的管理、执行和维护。

3、生命周期原则：安全建设不仅仅要考虑静态设计，还要考虑不断的变化；系统应具备适度的灵活性和扩展性。

2.审计系统设计方案

结合以上原则，在审计系统的选择上，主要从以下7个方面进行考虑：

➢实用性:由于业务系统数据在数据库中进行集中存储，故对于数据库的操作审计需要细化到数据库指令、表名、视图、字段等，同时能够审计数据库返回的错误代码，这样能够在数据库出现关键错误时及时响应，避免由于数据库故障带来的业务损失；

➢独立性:审计系统应具备统一的策略、集中的审计，适用于不同的设备、操作系统、数据库系统和应用系统的审计要求，并对这些系统不造成影响.

➢灵活性:审计系统应提供缺省的审计策略及自定义策略，能够对重要操作、重要表、重要字段进行定义并审计，能够根据用户的业务特点进行策略的编辑。

➢易用性:审计系统应能够基于操作进行分析，能够提供主体标识（即用户）、操作（行为）、客体标识（设备、操作系统、数据库系统、应用系统）的分析和审计报表

➢扩展性:当业务系统进行扩容时，审计系统可以平滑扩容。系统支持向第三方平台提供记录的审计信息。

➢可靠性：审计系统应能提供足够的存储空间（1000G以上），满足在线存储至少6个月的要求；审计系统应能够保证审计记录的时间的一致性，避免错误时间记录给追踪溯源带来的影响。

➢安全性：分权限管理，具有权限管理功能，可以对用户分级，提供不同的操作权限和不同的网络数据操作范围限制，用户只能在其权限内对网络数据进行审计和相关操作，具有自身安全审计功能。

基于上述的情况，我公司提出了以天玥网络安全审计系统为核心，建设XXXXX审计方面的设计方案。

下面首先对天玥系统的基本工作原理进行简单的介绍。

天玥网络安全审计系统基于“IP数据俘获→应用层数据分析→审计和响应”实现各

项功能，设计中充分贯彻了平台化的思路；由于采用旁路接入的工作模式，使得天玥系统在实现各种安全功能的同时，对原系统的绕动和影响降到最低。

天玥网络安全审计系统主要实现以下安全功能：

➢针对不同的应用协议，提供基于应用操作的审计；

➢提供数据库操作语义解析审计，实现对违规行为的及时监视和告警；

➢提供上百种合规规则，支持自定义规则（正则表达式等），实现灵活多样的响应；➢提供基于硬件令牌、静态口令、Radius支持的强身份认证；

➢根据设定输出不同的安全审计报告；

2.1.设计方案及系统配置

核心数据库Oracle系统通过主备方式接入网络，设计采用配置一台天玥审计数据中心，一台天玥旁路审计引擎，一台天玥在线审计引擎。具体部署如下图所示：

天玥系统部署图

天玥审计数据中心: 部署一台天玥审计数据中心，该服务器具备一个2T的内置RAID5存储器，对天玥网络审计引擎进行管理和控制，实现对审计数据的存储和分析。天玥审计数据中心的管理端口需要接入网络中，并分配一个合法的IP地址，以接收天玥管理控制台的管理。天玥审计数据中心的“管理端口”需要通过网络方式与天玥网络审计引擎的“管理端口”进行连接。

天玥旁路审计引擎: 部署一台天玥网络审计引擎对核心交换机上的Oracle流量进行监控和审计。天玥网络审计引擎配置两个信息监听端口，该端口需要连接到被监控交换机的

“镜像目的端口”上，以获取原始的通信信息，从而实现各种审计和控制功能。天玥网络审计引擎需要设置一个“管理端口”，这个端口需要接入网络，并分配一个合法的IP 地址，以接收天玥管理控制台的管理。

天玥在线审计引擎：部署一台天玥旁路审计引擎，实现对运维区域的各种运维操作进行监控、审计和阻断，该引擎自带Bypass支持，通常采用透明方式进行接入，对服务器端和终端用户无影响。

天玥管理控制台:在网络中的任何一台Windows计算机上采用浏览器进行管理。

在本方案中同时部署了旁路审计引擎与在线审计引擎，这是因为这两种引擎属于互补关系，旁路审计引擎解决了在线审计引擎被绕过的风险，在线审计引擎解决了旁路引擎无法实现加密协议审计和事前阻断的风险，二者的关系如下：

在线审计实现的基础为“建立唯一访问路径，一切的行为均通过该路径进行访问”，也就是说需要将所有被审计运维访问流量都要通过在线引擎才可以进行审计，这就牵涉到网络结构的变化或ACL的调整，在实际部署中，在线审计依赖外部设备的ACL控制（比如交换机或FW），一旦这些访问控制设备出现问题或ACL不够充分，就会存在绕过堡垒主机的操作行为，而此时这些绕过堡垒主机的行为是没有被审计的，由于恶意攻击者往往具备较高的技术水平，同时善于寻找安全系统的漏洞，故不完善的ACL控制会让在线审计存在较大的部署风险。而旁路审计实现的基础为“一切网络访问行为均不可信”进行部署的，故所有可识别的操作均被审计，这两种审计部署方式存在着很强的互补性，通常都会一起部署，从而实现控制与审计的完美结合。

2.2.主要功能介绍

2.2.1.数据库审计

天玥网络安全审计系统能够监视并记录对数据库服务器的各类操作行为，实时地、智能地解析对数据库服务器的各种操作，一般操作行为如数据库的登录，特定的操作如对数据库表的插入、删除、修改，执行特定的存贮过程等，都能够被记录和分析，分析的内容要求可以精确到SQL操作语句一级。并记录这些操作的用户名、机器IP地址、操作时间等重要信息。

系统能够对采用ODBC、JDBC、OLE-DB、命令行嵌入方式对数据库的访问进行审