《(财务内部审计)网镜认证审计系统白皮书》由会员分享,可在线阅读,更多相关《(财务内部审计)网镜认证审计系统白皮书(19页珍藏版)》请在金锄头文库上搜索。
1、 网镜业务认证审计系网镜业务认证审计系统统 产品白皮书产品白皮书 2007 年年 9 月修订 月修订 四川赛贝卡信息技术有限公司四川赛贝卡信息技术有限公司 2007 年年 四川赛贝卡信息技术有限公司 第 1 页 共 20 页 目目 录录 1 体系结构及系统构成体系结构及系统构成 2 1 1 网镜 CONSOLE控制台 4 1 2 网镜 SERVER审计服务器 4 1 3 网镜 SENSOR嗅探器 5 1 4 网镜 AGENT认证代理 5 1 5 策略库 PL 6 2 主要功能及特点主要功能及特点 6 2 1 集中管理的强身份认证 7 2 2 审计及响应 8 2 3 系统性能监控和辅助故障分析
2、9 2 4 多种审计报告输出 11 2 5 历史分析及安全趋势预测 12 2 6 集中统一的安全管理 13 3 策略库策略库 13 3 1 数据库审计及响应 DB PL 13 3 2 FTP TELNET审计及响应 MANAGEMENT PL 14 3 3 SSH 协议审计及响应 网镜 PROXY UNIXTERM 15 3 4 远程桌面终端 RDP 操作审计 16 4 典型应用及成功案例典型应用及成功案例 16 4 1 中小网络应用 16 4 2 大型网络应用 17 四川赛贝卡信息技术有限公司 第 2 页 共 20 页 1 体系结构及系统体系结构及系统构成构成 网镜业务认证审计系统集认证 授
3、权 安全响应和安全审计为一体 为计算机系统提供了 一个统一 集中的授权 访问控制和审计平台 典型的系统配置和部署如下图所示 网镜系统典型配置 安全风险往往出现在 不同 之中 出现在 设想 之外 网镜业务认证审计系统从多角度显示系统在怎样的运行 后一时刻与前一时刻的运行有何 不同 系统的实际运行状况与设计 或设想 的运行模式有何不同 并针对这些不同作出恰当 的响应 网镜业务认证审计系统基于 IP 数据俘获 强身份认证 应用层数据分析 审计和响应 实现各项功能 设计中充分贯彻了平台化的思路 使得它具备 安全认证和审计工具 的特征 与基于日志收集的审计系统有着很大的区别 四川赛贝卡信息技术有限公司
4、第 3 页 共 20 页 基于日志收集的审计系统将原系统中的日志信息收集起来 综合形成审计报告 审计功能 受限于原系统的日志功能和访问控制功能 在审计深度 审计响应的实时性方面都难以获得很 好的审计效果 在基本安全功能的基础上 网镜业务认证审计系统可针对具体的应用需求 如 FTP Telnet 系统维护操作 SQL 数据库维护操作 制定应用级别的认证和审计策略 使得系统能针对具体 的应用或业务系统实现命令级别 访问逻辑级别的的认证和审计 如果再辅以专业安全服务商 提供的安全咨询和服务 网镜业务认证审计系统可以更及时 准确地反映系统的安全运行状况 并进行相应的控制 网镜业务认证审计系统主要实现以
5、下安全功能 1 强身份认证和访问控制 基于 CA 数字证书或一次性动态口令对访问者进行身份认证 之后根据经认证的身份实现访问控制 禁止非法用户访问被保护的信息 2 应用级的安全审计和响应 特有的 策略库 Application Policy Library 可以深入到 应用层协议 如操作命令 业务操作过程 实现详细的安全审计 并根据安全策略采 取诸如记录 审计 告警 阻断等响应 3 提供多视角的审计报告 根据实时记录的网络访问情况 提供多种安全审计报告 更 清晰地了解系统的使用情况以及安全事件的发生情况 并可根据这些安全审计报告进 一步修改和完善 策略库 Application Policy
6、Library 网镜 Console 管理控制台 安装于 Windows2000 操作系统之上 提供管理控制界面 网镜 Server 认证审计服务器 基于专门硬件构建 负责安全策略的生成 解释 管理 审计数据的记录和整理 网镜 Sensor 嗅探器 基于专门硬件构建 根据安全策略对俘获的数据进行比对 分析 并做出响应动作 如告警 阻断等 网镜 Agent 认证代理 安装于客户端计算机之上 配合网镜 Sensor 完成用户的强身份 认证 网镜 PL Policy Library 策略库 针对不同的应用协议 应用 业务 系统提供状命 令级的安全策略支持 是网镜系统中最具特色 最具价值的模块 网镜系
7、统独具特色的 策略库 Policy Library 设计 使得网镜系统不但具备了功能强大 的安全审计功能 更使得网镜系统具备了网络安全分析工具及 应用层 IDS 的特征 用户可 四川赛贝卡信息技术有限公司 第 4 页 共 20 页 以自己定义符合业务特征的 策略库 也可选用针对特定业务系统设计的 策略库 网镜系统的策略库分为两类 基础策略库 和针对具体应用 具体业务的策略库 基础策略库 Basic PL 提供了基于 IP 报的安全策略的制定功能 用户可以直接编辑安全 策略 也可利用网镜系统提供的 录制 功能 在俘获的 IP 报的基础上 提炼出符合需要的安 全策略 应用策略库则针对不同的通信协议
8、 业务系统进行设计 目前提供了数据库 DB 策略库 PL DB Unix 主机策略库 PL UMG 并提供了专门的模块 以支持 SSH 协议和远程桌面 终端登录 RDP 3389 协议 的审计 针对不同协议或业务系统的应用 策略库 Policy Library 使得用户可以灵活地制定数据 俘获 安全审计及响应策略 根据系统实际的运行情况输出恰当的审计报告 更全面 更有重 点地了解和掌握系统的运行状况 随着研发工作的不断深入 我们还会根据不同的应用协议或应用系统开发出具备应用特征 行业特征的 策略库 Policy Library 这也是网镜系统最具生命力的特点 随着网镜系统的应 用和 策略库 A
9、pplication Policy Library 的及时更新 网镜系统所提供的功能将越来越丰 富 越来越接近用户的实际使用需求 1 1 网镜网镜 Console 控制台控制台 网镜 Console 控制台提供了一个图形化的管理 使用 和维护的界面 通过网镜 Console 控 制台制定的各种访问控制和安全审计策略将自动下载到网镜 Server 执行 访问控制和安全审计 结果通过网镜 Server 收集后 按照用户设定的输出内容 输出方式通过网镜 Console 形成最终 的安全审计报告 网镜 Console 控制台支持 Windows2000 2003 XP 操作系统 一个系统中可以配置多个
10、网镜 Console 控制台 1 2 网镜网镜 Server 审计服务器审计服务器 网镜 Server 审计服务器是整个认证审计系统的核心部件 向上接受网镜 Console 管理控制 台制定的各种安全策略 并将这些安全策略贯彻到网镜 Sensor 嗅探器 网镜 Agent 向下接收 由网镜 Sensor 嗅探器获取的原始通信数据并写入数据库 形成审计报告后提供给网镜 Console 管理控制台 网镜 Server 审计服务器基于赛贝卡自行设计的硬件平台构建 目前有两种型号的产品 四川赛贝卡信息技术有限公司 第 5 页 共 20 页 型号网镜 Server M网镜 Server H 使用环境大
11、中型网络大型网络 管理会话数4 5 万个9 万个 以太网接口 10 100M 2 100 1000M 210 100M 2 100 1000M 2 存储器标配 1 5T Raid0 5 最高 2 0T标配 2 0T Raid0 5 最高 3 2T 外观2U 19 英尺标准机箱2U 19 英尺标准机箱 供电标配单 220V 可选配冗余 220V 热备功能支持 MTBF45 000 小时60 000 小时 一台网镜 Server 认证审计服务器可以同时对多个网镜 Sensor 嗅探器进行管理并存储和整理 由这些嗅探器传递来的信息 1 3 网镜网镜 Sensor 嗅探器嗅探器 网镜 Sensor 嗅
12、探器对通信内容进行扫描和匹配检查 根据安全策略进行安全响应 当发现访问者要访问被保护的信息时 要求访问者基于网镜 Console 控制台颁发的 USB 进 行身份认证 如果访问者不能通过身份认证 则拒绝访问者对网络进行访问 对正常通信的信息 网镜 Sensor 嗅探器根据网镜 Server 发布的安全审计策略对应用操作进 行匹配和过程分析 当发现符合安全规则 策略 的通信时 采取相应的措施 网镜 Sensor 嗅探器基于赛贝卡自行设计的硬件平台构建 目前有两种型号的产品 型号网镜 Sensor M网镜 Sensor H 使用环境中 小型网络大型网络 审计并发会话数1 万个 可扩充2 万个 可扩
13、充 以太网接口 10 100M 2 100 1000M 210 100M 2 100 1000M 2 热备工作模式支持支持 MTBF60 000 小时60 000 小时 外观2U 19 英尺标准机箱 供电单 220V 可选配冗余电源 1 4 网镜网镜 Agent 认证代理认证代理 网镜 Agent 认证代理安装于客户端计算机之上 负责实现访问者与网镜 Sensor 之间的身份 认证 当访问者需要访问被保护的信息时 在计算机的 USB 接口上插入由网镜 Console 颁发的 USB 令牌 CA 证书 网镜 Agent 负责从 USB 令牌中提取出 CA 证书 并与网镜 Sensor 共同 完成
14、用户的身份认证 四川赛贝卡信息技术有限公司 第 6 页 共 20 页 网镜 Agent 支持 WindowsNT Me 2000 2003 XP Linux 操作系统 1 5 策略库 策略库 PL 如果说网镜 Console 网镜 Server 网镜 Sensor 网镜 Agent 形成了网镜系统的骨骼和躯干 那么 策略库则是网镜系统的灵魂和血液 不同的审计策略库针对不同的应用系统和安全目的进行设计 基础策略库 Basic PL 提供了基于 IP 报的安全策略的制定功能 用户可以直接编辑安全 策略 也可利用网镜系统提供的 录制 功能 在俘获的 IP 报的基础上 提炼出符合需要的安 全策略 DB
15、 数据库 策略库 PL DB 提供了基于 SQL 命令的数据库操作审计及响应功能 实现 数据库操作审计 还原和响应 支持各个版本的 Informix DB2 Oracle Sybase MS SQL Server MySQL 数据库系统 Unix 主机策略库 PL UMG 提供了 FTP Telnet rlogin RCP 操作审计及响应功能 针对 FTP Telnet rlogin RCP 协议进行命令 字符级的访问控制和审计 并可回放 FTP Telnet rlogin RCP 的操作过程及结果 为每个用户设定特定的命令子集 针对 FTP Telnet rlogin RCP 的具体应用需求
16、禁止或允许某些特定的操作 由于 FTP Telnet rlogin RCP 协议通常也被用于各种网络设备的维护操作 因此 Unix 主机 策略库 PL UMG 同样可以对各种网络设备的操作进行审计和访问控制 另外 网镜系统也提供了专门的软件模块 对 SSH 协议和远程桌面协议 RDP 3389 协议 进行审计和访问控制 除了针对上述通用的应用提供策略库外 网镜系统还针对一些行业的普遍应用设计了策略 库 例如 针对移动行业经营决策系统 BOSS 系统设计的策略库 2 主要功能主要功能及特点及特点 网镜认证审计系统突出的三大功能为 1 提供基于 CA 数字证书或一次性动态口令的强身份认证 2 针对不同的应用协议 如数据库操作 提供基于应用操作的审计及响应 3 根据设定输出不同的安全审计报告 四川赛贝卡信息技术有限公司 第 7 页 共 20 页 2 1 集中管理的强身份认证集中管理的强身份认证 身份认证是系统安全中最基本 也是最重要的一个环节 一般的网络设备 主机系统 业务系统都提供了 UserName Password 的身份认证机制 然而 这种身份认证机制的安全性越来越受到置疑和挑战 网
