《汉邦信息安全综合强审计监控系统 V40 技术文档》由会员分享,可在线阅读,更多相关《汉邦信息安全综合强审计监控系统 V40 技术文档(24页珍藏版)》请在金锄头文库上搜索。
1、汉邦信息安全综合强审计监控系统技术白皮书声明汉邦信息安全综合强审计监控系统技术白皮书HBAUDIT Version 4.0未经本公司书面许可,任何单位或个人不得擅自摘抄、复制本书内容的部分或全部。Copyright 2006c由于产品版本升级或其它原因,本书将会不定期进行更新,如需获得最新产品信息,请访问汉邦软科公司网站。目 录 第一章 引言 .1第二章 系统概述 .1第三章 系统功能 .23.1审计监控中心 .23.2主机审计监控子系统 .23.3网络审计监控子系统 .53.4数据库审计监控子系统 .63.5应用审计监控子系统 .6第四章 系统原理 .74.1审计监控中心 .74.2主机传感
2、器 .84.3网络传感器 .94.4系统的安全性 .104.4.1认证和传输方式.104.4.2审计数据的记录方式.114.4.3审计数据的完整性.124.4.4处理方式.12第五章 产品特点 .135.1系统特点 .135.2技术特点 .155.3运行环境 .155.4.1审计中心配置要求.155.4.2主机传感器配置要求.165.4.3网络传感器.165.4技术指标 .175.5产品资质 .201 第一章 引言目前,信息安全市场主要集中在防火墙、入侵监测、漏洞扫描等防外的产品上。网络安全以单点防护为主,大量安全产品简单堆砌,无法形成统一对抗安全威胁的合力。在网络信息安全发展的现阶段,一方面
3、网络规模不断扩大,网络设备和节点不断增加,应用系统的不断整合;另一方面网络安全事件层出不穷,仅靠单一的网络安全产品已无力保障信息网络的安全运行。同时,业界重视防范来自外部安全风险,但是缺乏对内部网络信息系统的把握和控制。据 IDC 统计,80%的攻击事件、失窃密事件来自内部,内部人员更容易接触到涉密、重要、敏感的信息,来自内部的安全问题更多、更难防范,一旦出现内部安全问题,损失更大。因此,在网络信息系统内部,利用信息安全审计监控技术进行统一的审计跟踪和管理,已经成为当前网络系统安全建设的迫切需求。信息安全审计监控技术对信息系统的各种事件进行监测、信息采集、分析,并对违反安全策略的事件进行响应,
4、是审查网络安全事故原因,追踪恶意破坏者的重要手段,从而建立完整的责任认定与授权体系。汉邦信息安全综合强审计监控系统(HBAudit)是利用当前先进的信息安全审计技术与审计理念,研制开发的跟踪网络内部主机、服务器、应用程序、网络设备、数据库系统中踪迹的技术控制系统,为安全管理人员提供可供分析的审计数据和有效的控制手段,多方位、多层次地对网络信息系统进行立体、全面的审计跟踪与监控管理,在网络信息系统中建立安全管理与责任认定机制。汉邦信息安全综合强审计监控系统(HBAudit)广泛应用于电子党务、电子政务、电子商务、电子金融、数字化部队、武器装备科研生产单位、传媒行业、大型企业、制造业等需要加强内部
5、行为控制、责任认定和完善授权管理的系统和领域。1 第二章 系统概述汉邦信息安全综合强审计监控系统(HBAudit)由审计监控中心(软件) 、网络传感器(硬件) 、主机传感器(软件)等部分组成,以分布部署与集中控制的方式应用于网络信息系统中。如下图 1 所示。图 1 审计结构图审计监控中心安装在审计服务器上,负责制定审计策略,并下发到各传感器上执行,同时收集各传感器上传的审计数据和报警信息,进行汇总、分析与处理;主机传感器部署在网络中被审计主机上,根据事先制定的审计规则,负责审计和监控用户的各种操作行为。网络传感器部署在网络中的关键交换设备上,通过端口镜像或分光的方式,收集进出网络服务器的数据包
6、,按照审计中心下发的审计规则执行审计任务,同时向审计中心上报审计数据与报警信息。网络传感器外观如下图 2 所示:图 2 网络传感器2 第三章 系统功能汉邦信息安全综合强审计监控系统由审计监控中心和四个子系统组成。四个子系统分别为主机审计监控子系统、网络审计监控子系统、数据库审计监控子系统、应用审计监控子系统。各系统的具体功能说明如下:3.1 审计监控中心审计监控中心审计监控中心是实现系统管理、策略制定和发布、审计信息管理的软件系统。审计监控中心功能如下:系统策略制定和发布。用户管理。系统提供基于角色的管理,增强用户的管理和控制。用户根据权限的不同分为:超级用户、审计策略制定员、审计信息管理员和
7、日志管理员;安全域管理。根据需要系统可将网络中的主机划分为多个可信域,域内主机之间可以互相访问,而域外主机相对于本域则认为是非法接入,禁止互相访问;域间可以设置策略使两个可信域的主机互相访问;并可以在域内设置黑白名单;日志管理。系统提供审计日志的查看、分析功能;3.2 主机审计主机审计监控子系统监控子系统主机审计监控子系统采用主机传感器组件,安装于被审计的主机、服务器系统中,通过审计中心制定和下发相应的审计规则,对被审计主机、服务器中的操作行为和信息资源进行审计与监控,主要表现在以下几个方面。1. 系统信息审计监控审计记录网络信息系统中主机的系统配置信息与运行情况,如操作系统版本号、当前用户、
8、IP 地址、CPU 与内存使用情况、驱动器信息、运行进程等。以实现对网络中主机基本配置情况的实时分析与把握。3 2. 网络审计监控通过制定与执行网络审计规则,在特定的时间内,禁止或允许主机特定的网络连接行为,如面向特定的 IP 地址、域名、网段、端口的连接行为,并可以限制发起网络连接行为的特定用户与进程。同时,对网络连接信息进行详细的审计记录,并对违规的网络连接行为进行实时的报警与响应。3. 拨号审计监控通过制定与执行拨号审计规则,审计与监控网络系统中主机通过调制解调器等通信设备的拨号行为,在规定的时间内,允许或禁止主机与其它网络建立拨号连接。同时,记录发生的拨号连接与拨号企图,以便事后追查取
9、证。4. 文件审计监控根据文件的扩展名(如 doc、txt 等) 、路径名、文件名以及所存放的可移动介质,制定和执行文件审计规则,对主机中重要或敏感文件的操作行为进行审计记录,如对文件的写入、拷贝、删除、创建、读取、覆盖、移动或重命名等,并依据规则设定的报警等级、严重程度对违规操作能及时报警与响应。5. 系统日志审计收集、管理与分析主机的系统日志、安全日志、应用日志,为安全管理员提供方便、直观的审计日志平台,便于建立主机安全事件的高效追查与认定机制。6. 进程审计监控对主机运行的进程信息进行统计与记录,通过设置合法进程或非法进程规则,跟踪特定进程的活动情况,对主机中的非法进程或新出现进程,进行
10、报警,同时,可设定规则终止病毒、木马及其它非系统许可进程。7. 打印审计监控审计与监控打印行为,对打印对象、打印机名称、打印时间等信息进行记录,并可以禁止特定主机的打印行为。根据需要,可以针对特定主机的打印行为进行内容还原,实现对重要或敏感文件的打印追查与事后取证。4 8. 主机 IP 审计监控对网络系统内主机的 IP 地址进行有效的审计与管理,允许或禁止修改主机 IP 地址的行为,并记录 IP 地址修改的信息,实现对网络系统内 IP 地址分配的安全管理,有效防止假冒、肆意篡改 IP 地址等行为的发生。9. 盘符审计监控通过制定和执行盘符审计规则,对主机输入输出设备的访问进行有效控制,如允许或
11、禁止用户对主机的软驱、光驱以及 USB 存储设备的读写,并产生详细的使用记录。10.邮件审计监控对主机上基于 POP3、SMTP 协议收发邮件的行为进行审计记录、如记录邮件的收发者、收发时间、主题等信息,并实现对邮件发送信息的统一管理与查询。11.硬件审计监控对主机的硬件资源、硬件变更进行审计与控制,审计主机的外联设备(如蓝牙、红外、无线网卡等) 、存储设备(如移动介质、磁盘、CD-ROM 等) 、接口设备(串口、并口、USB 人体工学输入设备等) 、其它设备(包括显卡、声卡、主板芯片等)等信息。并可以禁止系统新增硬件的使用,实现对主机硬件资产的有效管理与控制。12.屏幕审计监控在规定的时间段
12、内,根据设定规则,对主机的屏幕信息进行实时的查看,同时,可以对特定主机的屏幕进行回放。13.键盘审计监控在规定的时间段内,根据设定规则,对主机的键盘信息进行实时的查看,同时,可以对特定主机的键盘信息进行回放,方便取证分析。14.U 盘使用认证对包括 U 盘在内的移动存储设备进行认证使用,禁止未经审计中心认证许5 可的移动存储设备在主机上使用,以防止非许可的移动存储设备所带来的安全隐患。15.软件审计监控实时检测主机中安装部署的应用程序信息,并对应用程序的安装、卸载等情况进行审计记录,并通过设置黑白名单等措施,对特定应用程序的运行情况进行跟踪与报警。3.3 网络审计监控子系统网络审计监控子系统网络审计监控子系统通过
