收藏
下载资源

【财务管理内部审计 】网镜认证审计系统白皮书

上传人:蜀歌 文档编号:146937041 上传时间:2020-10-05 格式:PDF 页数:17 大小:494.50KB
返回 下载 相关 举报
【财务管理内部审计 】网镜认证审计系统白皮书_第1页
第1页 / 共17页
【财务管理内部审计 】网镜认证审计系统白皮书_第2页
第2页 / 共17页
【财务管理内部审计 】网镜认证审计系统白皮书_第3页
第3页 / 共17页
【财务管理内部审计 】网镜认证审计系统白皮书_第4页
第4页 / 共17页
【财务管理内部审计 】网镜认证审计系统白皮书_第5页
第5页 / 共17页
点击查看更多>>
资源描述

《【财务管理内部审计 】网镜认证审计系统白皮书》由会员分享,可在线阅读,更多相关《【财务管理内部审计 】网镜认证审计系统白皮书(17页珍藏版)》请在金锄头文库上搜索。

1、财务管理内部审计 网镜认证审计系统白皮 书 财务管理内部审计 网镜认证审计系统白皮 书 目录目录 1.体系结构及系统构成 21.体系结构及系统构成 2 1.1 网镜-CONSOLE控制台 4 1.2 网镜-SERVER审计服务器 4 1.3 网镜-SENSOR嗅探器 5 1.4 网镜-AGENT认证代理 5 1.5 策略库(PL)6 2.主要功能及特点 62.主要功能及特点 6 2.1 集中管理的强身份认证 7 2.2 审计及响应 8 2.3 系统性能监控和辅助故障分析 9 2.4 多种审计报告输出 11 2.5 历史分析及安全趋势预测 12 2.6 集中统一的安全管理 13 3.策略库 13

2、3.策略库 13 3.1 数据库审计及响应(DB PL)13 3.2 FTP/TELNET审计及响应(MANAGEMENT PL)14 3.3 SSH 协议审计及响应(网镜-PROXY/UNIXTERM)15 3.4 远程桌面终端(RDP)操作审计 16 4.典型应用及成功案例 164.典型应用及成功案例 16 4.1 中小网络应用 16 4.2 大型网络应用 17 1. 体系结构及系统构成体系结构及系统构成 网镜业务认证审计系统集认证、授权、安全响应和安全审计为一体,为计算机系统提 供了一个统一、集中的授权、访问控制和审计平台。典型的系统配置和部署如下图所示。 网镜系统典型配置 安全风险往往

3、出现在“不同”之中,出现在“设想”之外。 网镜业务认证审计系统从多角度显示系统在怎样的运行、 后一时刻与前一时刻的运行 有何不同,系统的实际运行状况与设计(或设想) 的运行模式有何不同,并针对这些不同 作出恰当的响应。 网镜业务认证审计系统基于 “IP 数据俘获强身份认证应用层数据分析审计和响应” 实现各项功能,设计中充分贯彻了平台化的思路,使得它具备“安全认证和审计工具”的特 征,与基于日志收集的审计系统有着很大的区别。 基于日志收集的审计系统将原系统中的日志信息收集起来, 综合形成审计报告, 审计 功能受限于原系统的日志功能和访问控制功能, 在审计深度、 审计响应的实时性方面都难 以获得很

4、好的审计效果。 在基本安全功能的基础上,网镜业务认证审计系统可针对具体的应用需求,如 FTP/Telnet 系统维护操作、SQL 数据库维护操作,制定应用级别的认证和审计策略,使 得系统能针对具体的应用或业务系统实现命令级别、 访问逻辑级别的的认证和审计。 如果 再辅以专业安全服务商提供的安全咨询和服务, 网镜业务认证审计系统可以更及时、 准确 地反映系统的安全运行状况,并进行相应的控制。 网镜业务认证审计系统主要实现以下安全功能: 1.强身份认证和访问控制:基于 CA 数字证书或一次性动态口令对访问者进行身份 认证,之后根据经认证的身份实现访问控制,禁止非法用户访问被保护的信息。 2.应用级

5、的安全审计和响应:特有的“策略库(ApplicationPolicyLibrary) ”可以深入 到应用层协议(如操作命令、业务操作过程) 实现详细的安全审计,并根据安全 策略采取诸如记录、审计、告警、阻断等响应。 3.提供多视角的审计报告 : 根据实时记录的网络访问情况, 提供多种安全审计报告, 更清晰地了解系统的使用情况以及安全事件的发生情况, 并可根据这些安全审计 报告进一步修改和完善“策略库(ApplicationPolicyLibrary) ”。 网镜-Console 管理控制台 : 安装于 Windows2000 操作系统之上,提供管理控制 界面。 网镜-Server 认证审计服务

6、器 : 基于专门硬件构建,负责安全策略的生成、解释、 管理,审计数据的记录和整理。 网镜-Sensor 嗅探器 : 基于专门硬件构建, 根据安全策略对俘获的数据进行比对、 分析,并做出响应动作,如告警、阻断等。 网镜-Agent 认证代理:安装于客户端计算机之上,配合网镜-Sensor 完成用户的 强身份认证。 网镜-PL(PolicyLibrary)策略库:针对不同的应用协议、应用(业务)系统提 供状命令级的安全策略支持。是网镜系统中最具特色、最具价值的模块。 网镜系统独具特色的“策略库(PolicyLibrary) ”设计,使得网镜系统不但具备了功能强 大的安全审计功能,更使得网镜系统具备

7、了网络安全分析工具及“应用层 IDS”的特征。用 户可以自己定义符合业务特征的“策略库”,也可选用针对特定业务系统设计的“策略库”。 网镜系统的策略库分为两类:基础策略库,和针对具体应用、具体业务的策略库。 基础策略库(BasicPL)提供了基于 IP 报的安全策略的制定功能。用户可以直接编 辑安全策略,也可利用网镜系统提供的“录制”功能,在俘获的 IP 报的基础上,提炼出符 合需要的安全策略。 应用策略库则针对不同的通信协议、业务系统进行设计,目前提供了数据库(DB) 策略库(PL/DB) 、Unix 主机策略库(PL/UMG) ,并提供了专门的模块,以支持 SSH 协 议和远程桌面终端登录

8、(RDP、3389 协议)的审计。 针对不同协议或业务系统的应用“策略库(PolicyLibrary) ”使得用户可以灵活地制定数 据俘获、安全审计及响应策略,根据系统实际的运行情况输出恰当的审计报告,更全面、 更有重点地了解和掌握系统的运行状况。 随着研发工作的不断深入, 我们还会根据不同的应用协议或应用系统开发出具备应用 特征、行业特征的“策略库(PolicyLibrary) ”。这也是网镜系统最具生命力的特点:随着网 镜系统的应用和“策略库(ApplicationPolicyLibrary) ”的及时更新,网镜系统所提供的功能 将越来越丰富、越来越接近用户的实际使用需求。 1.1 网镜-

9、Console 控制台 网镜-Console 控制台 网镜-Console 控制台提供了一个图形化的管理、使用、和维护的界面。通过网镜 -Console 控制台制定的各种访问控制和安全审计策略将自动下载到网镜-Server 执行;访 问控制和安全审计结果通过网镜-Server 收集后,按照用户设定的输出内容、输出方式通 过网镜-Console 形成最终的安全审计报告。 网镜-Console 控制台支持 Windows2000XP 操作系统,一个系统中可以配置多个网 镜-Console 控制台。 1.2 网镜-Server 审计服务器 网镜-Server 审计服务器 网镜-Server 审计服务

10、器是整个认证审计系统的核心部件, 向上接受网镜-Console 管 理控制台制定的各种安全策略,并将这些安全策略贯彻到网镜-Sensor 嗅探器、网镜 -Agent;向下接收由网镜-Sensor 嗅探器获取的原始通信数据并写入数据库,形成审计报 告后提供给网镜-Console 管理控制台。 网镜-Server 审计服务器基于赛贝卡自行设计的硬件平台构建,目前有两种型号的产 品。 型号 网镜-Server/M网镜-Server/H 使用环境 大、中型网络 大型网络 管理会话数 4.5 万个9 万个 以太网接口 10/100M2;100/1000M210/100M2;100/1000M2 存储器

11、标配 1.5TRaid0/5,最高 2.0T标配 2.0TRaid0/5,最高 3.2T 外观 2U19 英尺标准机箱2U19 英尺标准机箱 供电 标配单220V,可选配冗余220V 热备功能支持 MTBF45,000 小时60,000 小时 一台网镜-Server 认证审计服务器可以同时对多个网镜-Sensor 嗅探器进行管理并存 储和整理由这些嗅探器传递来的信息。 1.3 网镜-Sensor 嗅探器 网镜-Sensor 嗅探器 网镜-Sensor 嗅探器对通信内容进行扫描和匹配检查,根据安全策略进行安全响应。 当发现访问者要访问被保护的信息时,要求访问者基于网镜-Console 控制台颁发

12、的 USB 进行身份认证,如果访问者不能通过身份认证,则拒绝访问者对网络进行访问。 对正常通信的信息,网镜-Sensor 嗅探器根据网镜-Server 发布的安全审计策略对应 用操作进行匹配和过程分析,当发现符合安全规则(策略)的通信时,采取相应的措施。 网镜-Sensor 嗅探器基于赛贝卡自行设计的硬件平台构建,目前有两种型号的产品。 型号 网镜-Sensor/M网镜-Sensor/H 使用环境 中、小型网络 大型网络 审计并发会话数 1 万个;可扩充2 万个;可扩充 以太网接口 10/100M2;100/1000M210/100M2;100/1000M2 热备工作模式支持支持 MTBF60

13、,000 小时60,000 小时 外观 2U19 英尺标准机箱 供电 单220V;可选配冗余电源 1.4 网镜-Agent 认证代理 网镜-Agent 认证代理 网镜-Agent 认证代理安装于客户端计算机之上, 负责实现访问者与网镜-Sensor 之间 的身份认证。 当访问者需要访问被保护的信息时, 在计算机的 USB 接口上插入由网镜-Console 颁 发的 USB 令牌(CA 证书) ,网镜-Agent 负责从 USB 令牌中提取出 CA 证书,并与网镜 -Sensor 共同完成用户的身份认证。 网镜-Agent 支持 WindowsNT2000XP、Linux 操作系统。 1.5 策

14、略库(PL) 策略库(PL) 如果说网镜-Console、网镜-Server、网镜-Sensor、网镜-Agent 形成了网镜系统的骨 骼和躯干,那么,策略库则是网镜系统的灵魂和血液。 不同的审计策略库针对不同的应用系统和安全目的进行设计。 基础策略库(BasicPL)提供了基于 IP 报的安全策略的制定功能。用户可以直接编 辑安全策略,也可利用网镜系统提供的“录制”功能,在俘获的 IP 报的基础上,提炼出符 合需要的安全策略。 DB(数据库) 策略库 (PL/DB) 提供了基于 SQL 命令的数据库操作审计及响应功能, 实现数据库操作审计、还原和响应,支持各个版本的 Informix、DB2

15、、Oracle、Sybase、 MSSQLServer、MySQL 数据库系统。 Unix 主机策略库(PL/UMG)提供了 FTPrlogin/RCP 操作审计及响应功能,针对 FTPrlogin/RCP 协议进行命令、字符级的访问控制和审计,并可回放 FTPrlogin/RCP 的 操作过程及结果;为每个用户设定特定的命令子集,针对 FTPrlogin/RCP 的具体应用需 求禁止或允许某些特定的操作。 由于 FTPrlogin/RCP 协议通常也被用于各种网络设备的维护操作,因此,Unix 主机 策略库(PL/UMG)同样可以对各种网络设备的操作进行审计和访问控制。 另外, 网镜系统也提

16、供了专门的软件模块, 对 SSH 协议和远程桌面协议 (RDP、 3389 协议)进行审计和访问控制。 除了针对上述通用的应用提供策略库外, 网镜系统还针对一些行业的普遍应用设计了 策略库,例如,针对移动行业经营决策系统、BOSS 系统设计的策略库。 2. 主要功能及特点主要功能及特点 网镜认证审计系统突出的三大功能为: 1.提供基于 CA 数字证书或一次性动态口令的强身份认证; 2.针对不同的应用协议,如数据库操作,提供基于应用操作的审计及响应; 3.根据设定输出不同的安全审计报告。 2.1 集中管理的强身份认证 集中管理的强身份认证 身份认证是系统安全中最基本、也是最重要的一个环节。 一般的网络设备、主机系统、业务系统都提供了“UserName+Password”的身份认证 机制,然而,这种身份认证机制的安全性越来越受到置疑和挑战,网镜系统在不修改原系 统任何软件或硬件配置的基础上,提供了额外的、安全强度更高的二次身份认证机制,可 选择的认证方式包括: 1.基于 CA 证书的身份认证机制; 2.支持基于短信系统传递一次性动态口令,进行动态口令认证 ; 在这种情况下,需 要

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 经营企划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号