《secfox-nba网络行为审计系统(业务审计型)v2.8产品白皮书rev0》由会员分享,可在线阅读,更多相关《secfox-nba网络行为审计系统(业务审计型)v2.8产品白皮书rev0(24页珍藏版)》请在金锄头文库上搜索。
1、 网神SecFox安全管理系统 SecFox-NBA(业务审计型)产品白皮书Legendsec SecFox Security Management SystemSecFox-NBA(BA )Product Whitepaper网神信息技术(北京)股份有限公司 SecFox-NBA(业务审计型)产品白皮书版权说明本文的内容是网神SecFox安全管理系统 SecFox-NBA(业务审计型)产品白皮书。文中的资料、说明等相关内容归网神信息技术(北京)股份有限公司所有。本文中的任何部分未经网神信息技术(北京)股份有限公司(以下简称“网神”)许可,不得转印、影印或复印、发行,不得以任何形式传播。200
2、6-2012 版权所有 网神信息技术(北京)股份有限公司商标声明本白皮书中所涉及的网神产品的名称是网神的商标。白皮书中涉及的其他公司的注册商标,属各商标注册人所有,恕不逐一列明。联系信息北京海淀区上地开拓路 7 号先锋大厦二段 1 层 2Section 1F , Xianfeng Building , No. 7 Kaituo Road , Shangdi Information Industry Base, Haidian District , Beijing客服热线(Customer Service Hotline):400-610-8220 010-87002000 传真(Fax):01
3、0-62972896 邮编(Post Code):100085 目 录1SecFox安全管理概述42SecFox-NBA(业务审计型)52.1需求背景52.2产品简介63产品特点73.1全方位的数据库审计73.1.1多数据库系统及运行平台支持73.1.2细粒度数据库操作审计83.1.3可视化的数据库审计93.2数据库操作实时回放103.3多角度的业务审计113.4应用服务实时监控123.5资源转换与审计控制133.6内置数据库防攻击策略133.7快速响应和协同防御133.8海量存储便于事后分析143.9部署灵活简单易用153.10详尽有效审计报表154产品简介174.1产品组成174.2功能列
4、表184.3性能指标194.4部署方式194.4.1单一部署(Stand-Alone)194.4.2主从部署(Master-Slave)214.5系统自身安全性保证215产品价值和优势225.1产品价值225.2产品优势226关于网神231 SecFox安全管理概述SecFox是网神信息技术(北京)股份有限公司自主研发的新一代安全管理系统。网神信息技术(北京)股份有限公司作为一支长期在安全管理领域奋斗的高素质研发团队,凭借对安全管理的深刻理解和在安全领域丰富的研发经验,厚积薄发,打造出了一套高起点、全方位、多层次,集网络管理、安全管理、运维管理三位于一体的统一管理系统。SecFox的安全管理理
5、念是:首先,通过对客户IT资源中包括网络设备、安全设备、主机和应用在内的节点进行统一监控,保障IT资源的整体运行安全,及时发现网络和系统主机的故障和性能瓶颈;其次,通过实时获取IT资源中的各类安全信息,进行关联分析,实现IT资源的安全态势感知,对内部违规和外部入侵行为进行审计;然后,将IT资源的所有资产和威胁信息汇集到一起,通过决策分析获得可测量的安全风险,并借助标准化的运维流程支撑平台对IT资源实施有效的安全策略调整。最后,整个监控、审计和决策过程都统一在一体化管理平台之下,构建起面向整体IT资源的全面可控安全管理体系。SecFox安全管理模型如下图所示。统一管理安全决策安全审计安全监控Se
6、cFox安全统一管理平台由安全监控、安全审计和安全决策三部分组成。本产品白皮书主要介绍的产品是隶属于安全审计的SecFox-NBA 网络行为审计系统(业务审计型)。2 SecFox-NBA(业务审计型)2.1 需求背景随着信息技术的不断发展,在过去的20多年里,作为信息的主要载体数据库,其相关应用在数量和重要性方面都取得了巨大的增长。包括政府机构、企事业单位、制造业、商业等在内的几乎每一种组织都使用它来存储、操纵和检索数据。随着人们对数据的依赖性越来越高,各种数据信息,尤其是一些财务数据、客户数据等成为了关系企业生存的重要资产。还有很多数据信息涉及公司知识产权、公民个人隐私,一旦发生泄露,后果
7、十分严重。网络化时代的到来、互联网技术的普及更加深了数据保护的矛盾,网络技术使得数字信息的泄露和篡改变得更加容易,而防范则更加困难。更为严重的是,所有信息泄漏事件中,源自内部人员所为的占了绝大部分。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过 85%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。另据 中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。由于政府和企事业单位的数据库系统都实现了网络化访问,内部用户可以方便地利用
8、内部网络通过各种通讯协议进行刺探,获取、删除或者篡改重要的数据和信息。同时,一些内部授权用户由于对系统不熟悉而导致的误操作也时常给数据库系统造成难以恢复的损失。此外,对于使用IT外包和代维的大型机构而言,如何限制外部人员对数据库系统的访问权限也是一个难题,外包方的技术工程师可能在开发数据库应用的时候留下后门或者幽灵帐号,为将来侵入数据库系统埋下隐患。另一方面,为了保护敏感信息、加强内控,国家强制机关和行业的主管部门相继颁布了各种保护公民隐私,以及合规和内控方面的法律法规和指引,例如企业内部控制基本规范、银行业信息科技风险管理指引、证券公司内部控制指引、保险公司风险管理指引(试行)等。其中中华人
9、民共和国刑法(七)第253条明确规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”此外,在国际上,美国政府针对上市公司的萨班斯(SOX)法案、针对医疗卫生机构的HIPAA法案、针对联邦政府机构的FISMA法案,支付卡行业数据安全标准(PCI DSS)都对信息保护和内控提出了严格的要求。这些条例和指引都要求对网络中的重要数据库系统进行专门的安全审计。可以说,随着安全需求的不断提升,网络安全已经从以防范外部入侵和攻击为主逐渐转变为以
10、防止内部违规和信息泄露为主了。在这种情况下,政府和企事业单位迫切需要一款专门针对网络中数据库及其业务信息系统进行全方位审计的系统。网神借助多年在安全管理领域的积累,推出了SecFox-NBA(业务审计型),很好地满足了客户的安全审计需求。2.2 产品简介网神SecFox-NBA(Network Behavior Analysis for Business Audit)网络行为审计系统(业务审计型)通过对连接到重要业务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采集、分析和识别,实时监视用户对业务系统的访问,记录、发现并及时制止用户的误操作、违规访问或者可疑行为。SecFox-NB
11、A(业务审计型)能够对复杂网络环境下的各种数据库操作行为进行细粒度审计。产品能够对运行在各种操作系统上的各种品牌数据库的操作进行记录并回放,审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等;不仅能够审计请求信息,也能够审计返回结果,还支持操作内容回放。SecFox-NBA(业务审计型)独有面向业务的安全审计技术,通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,审计人员可以根据业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。SecFox-NBA(业务审计型)能够
12、自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,并能够实时阻断可疑的网络通讯,实现安全审计的管理闭环。SecFox-NBA(业务审计型)为客户提供了丰富的报表,使得管理人员能够从各个角度对业务系统的安全状况进行审计,并自动、定期地产生报表。产品部署简便,不需要修改任何网络结构和应用配置,不会影响用户的业务运行。3 产品特点SecFox-NBA 网络行为审计系统(业务审计型)的主要特点包括:1) 全方位的数据库审计2) 数据库操作实时回放3) 多角度的业务审计4) 应用服务实时监
13、控5) 资源转换与审计控制6) 内置数据库防攻击策略7) 快速响应和协同防御8) 海量存储便于事后分析9) 部署灵活简单易用10) 详尽有效审计报表3.1 全方位的数据库审计3.1.1 多数据库系统及运行平台支持SecFox-NBA(业务审计型)产品能够对多种操作系统平台下各个品牌、各个版本的数据库进行审计。产品能够审计的数据库系统包括:l Oracle 8i / 9i / 10g / 11gl SQL Server 2000 / 2005 / 2008l IBM DB2 7.x / 8.x / 9.xl IBM Informix Dynamic Server 9.x /10.x /11.xl
14、 Sybase ASE12.x / 15.xl MySQL 4.x / 5.x /6.xl 国产数据库,例如达梦、人大金仓等产品能够审计的数据库运行平台包括:Windows、Linux、HP-UX、Solaris、AIX。3.1.2 细粒度数据库操作审计SecFox-NBA(业务审计型)能够深入细致地对数据库的各种操作及其内容进行审计,并且能够用户通过各种方式访问数据库的行为。系统审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等。如下表所示:操作行为内容和描述用户行为数据库用户的登录、注销数据定义语言(DDL)操作
15、CREATE,ALTER,DROP等创建、修改或者删除数据库对象(表、索引、视图、存储过程、触发器、域,等等)的SQL指令数据操作语言(DML)操作SELECT,DELETE,UPDATE,INSERT等用于检索或者修改数据的SQL指令数据控制语言(DCL)操作GRANT,REVOKE等定义数据库用户的权限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令系统不仅能够审计数据库操作请求,还能审计操作的返回结果,包括成功或者失败。如果失败,能够审计到返回的错误码。系统能够对各种访问数据库的途径进行监控和审计,参见下图:如上图Oracle数据库审计所示,无论用户通过Oracle自带的企业管理控制台、PL/SQL命令行、SQL*PLUS进行访问,还是通过第三方的Quest TOAD(Tool for Oracle Application
