《网镜业务认证审计系统产品经典白皮书》由会员分享,可在线阅读,更多相关《网镜业务认证审计系统产品经典白皮书(20页珍藏版)》请在金锄头文库上搜索。
1、 网镜业务认证审计系统产品白皮书(2007年9月修订)四川赛贝卡信息技术有限公司2007年文档由本人精心搜集和整理,喜欢大家用得上,非常感谢你的浏览与下载。凡本厂职工应热爱电厂、热爱岗位、热爱本职工作,发扬“团结务实、争创一流,立足岗位,爱厂敬业,尽职尽责,不断提高工作质量和工作效率,圆满完成各项生产和工作任务,为华能的建设和发展作出贡献2019整理的各行业企管,经济,房产,策划,方案等工作范文,希望你用得上,不足之处请指正目 录1. 体系结构及系统构成网镜业务认证审计系统集认证、授权、安全响应和安全审计为一体,为计算机系统提供了一个统一、集中的授权、访问控制和审计平台。典型的系统配置和部署如
2、下图所示。网镜系统典型配置安全风险往往出现在“不同”之中,出现在“设想”之外。网镜业务认证审计系统从多角度显示系统在怎样的运行、后一时刻与前一时刻的运行有何不同,系统的实际运行状况与设计(或设想)的运行模式有何不同,并针对这些不同作出恰当的响应。网镜业务认证审计系统基于“IP数据俘获强身份认证应用层数据分析审计和响应”实现各项功能,设计中充分贯彻了平台化的思路,使得它具备“安全认证和审计工具”的特征,与基于日志收集的审计系统有着很大的区别。基于日志收集的审计系统将原系统中的日志信息收集起来,综合形成审计报告,审计功能受限于原系统的日志功能和访问控制功能,在审计深度、审计响应的实时性方面都难以获
3、得很好的审计效果。在基本安全功能的基础上,网镜业务认证审计系统可针对具体的应用需求,如FTP/Telnet系统维护操作、SQL数据库维护操作,制定应用级别的认证和审计策略,使得系统能针对具体的应用或业务系统实现命令级别、访问逻辑级别的的认证和审计。如果再辅以专业安全服务商提供的安全咨询和服务,网镜业务认证审计系统可以更及时、准确地反映系统的安全运行状况,并进行相应的控制。网镜业务认证审计系统主要实现以下安全功能:1. 强身份认证和访问控制:基于CA数字证书或一次性动态口令对访问者进行身份认证,之后根据经认证的身份实现访问控制,禁止非法用户访问被保护的信息。2. 应用级的安全审计和响应:特有的“
4、策略库(Application Policy Library)”可以深入到应用层协议(如操作命令、业务操作过程)实现详细的安全审计,并根据安全策略采取诸如记录、审计、告警、阻断等响应。3. 提供多视角的审计报告:根据实时记录的网络访问情况,提供多种安全审计报告,更清晰地了解系统的使用情况以及安全事件的发生情况,并可根据这些安全审计报告进一步修改和完善“策略库(Application Policy Library)”。 网镜-Console管理控制台:安装于Windows2000操作系统之上,提供管理控制界面。 网镜-Server认证审计服务器:基于专门硬件构建,负责安全策略的生成、解释、管理,
5、审计数据的记录和整理。 网镜-Sensor嗅探器:基于专门硬件构建,根据安全策略对俘获的数据进行比对、分析,并做出响应动作,如告警、阻断等。 网镜-Agent认证代理:安装于客户端计算机之上,配合网镜-Sensor完成用户的强身份认证。 网镜-PL(Policy Library)策略库:针对不同的应用协议、应用(业务)系统提供状命令级的安全策略支持。是网镜系统中最具特色、最具价值的模块。网镜系统独具特色的“策略库(Policy Library)”设计,使得网镜系统不但具备了功能强大的安全审计功能,更使得网镜系统具备了网络安全分析工具及“应用层IDS”的特征。用户可以自己定义符合业务特征的“策略
6、库”,也可选用针对特定业务系统设计的“策略库”。网镜系统的策略库分为两类:基础策略库,和针对具体应用、具体业务的策略库。基础策略库(Basic PL)提供了基于IP报的安全策略的制定功能。用户可以直接编辑安全策略,也可利用网镜系统提供的“录制”功能,在俘获的IP报的基础上,提炼出符合需要的安全策略。应用策略库则针对不同的通信协议、业务系统进行设计,目前提供了数据库(DB)策略库(PL/DB)、Unix主机策略库(PL/UMG),并提供了专门的模块,以支持SSH协议和远程桌面终端登录(RDP、3389协议)的审计。针对不同协议或业务系统的应用 “策略库(Policy Library)”使得用户可
7、以灵活地制定数据俘获、安全审计及响应策略,根据系统实际的运行情况输出恰当的审计报告,更全面、更有重点地了解和掌握系统的运行状况。随着研发工作的不断深入,我们还会根据不同的应用协议或应用系统开发出具备应用特征、行业特征的“策略库(Policy Library)”。这也是网镜系统最具生命力的特点:随着网镜系统的应用和 “策略库(Application Policy Library)”的及时更新, 网镜系统所提供的功能将越来越丰富、越来越接近用户的实际使用需求。1.1 网镜-Console控制台网镜-Console控制台提供了一个图形化的管理、使用、和维护的界面。通过网镜-Console控制台制定的
8、各种访问控制和安全审计策略将自动下载到网镜-Server执行;访问控制和安全审计结果通过网镜-Server收集后,按照用户设定的输出内容、输出方式通过网镜-Console形成最终的安全审计报告。网镜-Console控制台支持Windows2000/2003/XP操作系统,一个系统中可以配置多个网镜-Console控制台。1.2 网镜-Server审计服务器网镜-Server审计服务器是整个认证审计系统的核心部件,向上接受网镜-Console管理控制台制定的各种安全策略,并将这些安全策略贯彻到网镜-Sensor嗅探器、网镜-Agent;向下接收由网镜-Sensor嗅探器获取的原始通信数据并写入数
9、据库,形成审计报告后提供给网镜-Console管理控制台。网镜-Server审计服务器基于赛贝卡自行设计的硬件平台构建,目前有两种型号的产品。型号网镜-Server/M网镜-Server/H使用环境大、中型网络大型网络管理会话数4.5万个9万个以太网接口10/100M2;100/1000M210/100M2;100/1000M2存储器标配1.5T Raid0/5,最高2.0T标配2.0T Raid0/5,最高3.2T外观2U19英尺标准机箱2U19英尺标准机箱供电标配单220V,可选配冗余220V热备功能支持MTBF45,000小时60,000小时一台网镜-Server认证审计服务器可以同时对
10、多个网镜-Sensor嗅探器进行管理并存储和整理由这些嗅探器传递来的信息。1.3 网镜-Sensor嗅探器网镜-Sensor嗅探器对通信内容进行扫描和匹配检查,根据安全策略进行安全响应。当发现访问者要访问被保护的信息时,要求访问者基于网镜-Console控制台颁发的USB进行身份认证,如果访问者不能通过身份认证,则拒绝访问者对网络进行访问。对正常通信的信息,网镜-Sensor嗅探器根据网镜-Server发布的安全审计策略对应用操作进行匹配和过程分析,当发现符合安全规则(策略)的通信时,采取相应的措施。网镜-Sensor嗅探器基于赛贝卡自行设计的硬件平台构建,目前有两种型号的产品。型号网镜-Se
11、nsor/M网镜-Sensor/H使用环境中、小型网络大型网络审计并发会话数1万个;可扩充2万个;可扩充以太网接口10/100M2;100/1000M210/100M2;100/1000M2热备工作模式支持支持MTBF60,000小时60,000小时外观2U19英尺标准机箱供电单220V;可选配冗余电源1.4 网镜-Agent认证代理网镜-Agent认证代理安装于客户端计算机之上,负责实现访问者与网镜-Sensor之间的身份认证。当访问者需要访问被保护的信息时,在计算机的USB接口上插入由网镜-Console颁发的USB令牌(CA证书),网镜-Agent负责从USB令牌中提取出CA证书,并与网
12、镜-Sensor共同完成用户的身份认证。网镜-Agent支持WindowsNT/Me/2000/2003/XP、Linux操作系统。1.5 策略库(PL)如果说网镜-Console、网镜-Server、网镜-Sensor、网镜-Agent形成了网镜系统的骨骼和躯干,那么,策略库则是网镜系统的灵魂和血液。不同的审计策略库针对不同的应用系统和安全目的进行设计。基础策略库(Basic PL)提供了基于IP报的安全策略的制定功能。用户可以直接编辑安全策略,也可利用网镜系统提供的“录制”功能,在俘获的IP报的基础上,提炼出符合需要的安全策略。DB(数据库)策略库(PL/DB)提供了基于SQL命令的数据库
13、操作审计及响应功能,实现数据库操作审计、还原和响应,支持各个版本的Informix 、DB2、Oracle、Sybase 、MS SQL Server、MySQL数据库系统。Unix主机策略库(PL/UMG)提供了FTP/Telnet/rlogin/RCP操作审计及响应功能,针对FTP/Telnet/rlogin/RCP协议进行命令、字符级的访问控制和审计,并可回放FTP/Telnet/rlogin/RCP的操作过程及结果;为每个用户设定特定的命令子集,针对FTP/Telnet/rlogin/RCP的具体应用需求禁止或允许某些特定的操作。由于FTP/Telnet/rlogin/RCP协议通常也
14、被用于各种网络设备的维护操作,因此,Unix主机策略库(PL/UMG)同样可以对各种网络设备的操作进行审计和访问控制。另外,网镜系统也提供了专门的软件模块,对SSH协议和远程桌面协议(RDP、3389协议)进行审计和访问控制。除了针对上述通用的应用提供策略库外,网镜系统还针对一些行业的普遍应用设计了策略库,例如,针对移动行业经营决策系统、BOSS系统设计的策略库。2. 主要功能及特点网镜认证审计系统突出的三大功能为:1. 提供基于CA数字证书或一次性动态口令的强身份认证;2. 针对不同的应用协议,如数据库操作,提供基于应用操作的审计及响应;3. 根据设定输出不同的安全审计报告。2.1 集中管理
15、的强身份认证身份认证是系统安全中最基本、也是最重要的一个环节。一般的网络设备、主机系统、业务系统都提供了“UserName+Password”的身份认证机制,然而,这种身份认证机制的安全性越来越受到置疑和挑战,网镜系统在不修改原系统任何软件或硬件配置的基础上,提供了额外的、安全强度更高的二次身份认证机制,可选择的认证方式包括:1. 基于CA证书的身份认证机制;2. 支持基于短信系统传递一次性动态口令,进行动态口令认证;在这种情况下,需要用户提供相应的短信传输接口,并进行一定的客户化定制开发;3. 基于Radius协议,与任何第三方的动态口令系统、强身份认证系统集成。为了使用网镜提供的强身份认证功能,需要在客户端安装网镜-Agent认证代理软件,并配置专门的USB身份认证令牌。首先,系统管理员需要通过网镜-Console对用户的身份及访问权限等信息进行设置:1. 为用户产生一个基于X.509标准的CA证书并写入USB令牌,之后将该USB令牌发放给用户;2. 设定该用户可以访问的网
