某公司服务器安全审计系统技术解决方案

中科新业网络哨兵中科新业网络哨兵 服务器安全审计系统技术解决方案服务器安全审计系统技术解决方案 深圳市中科新业信息科技发展有限公司深圳市中科新业信息科技发展有限公司 2019 年 6 月 23 日 目目 录录 1、概述概述.3 2、XX 企事业单位服务器安全审计面临的问题和挑战企事业单位服务器安全审计面临的问题和挑战3 3、中科新业网络哨兵服务器安全审计系统解决方案中科新业网络哨兵服务器安全审计系统解决方案.4 3.1、系统部署 5 3.2、方案主要实现的功能及效果 6 4、产品选型及参数产品选型及参数.12 5、产品获得主要资质产品获得主要资质.13 6、案例介绍案例介绍.17 7、中科新业简介中科新业简介.19 1、概述概述 随着人们对网络的使用越来越普及，网络给我们带来许多方便的同时，在 网络中承担众多功能的服务器也带来了许多风险和挑战，例如：非法访问服务 器、利用合法访问服务器身份对服务器进行非法操作、正常访问服务器对服务 器进行误操作、上传发表不良言论、泄露公司敏感和机密信息。这些威胁和挑 战事件多数是来自于内部合法访问者的“合法”操作，仅靠某些安全产品如防 火墙等的日志和控制功能并不能很好的满足对这些网络安全事件（特别是基于 应用程序）的行为审计要求，网络哨兵服务器版正是在这样的需求下产生的。 凭借在安全审计领域多年的技术积累和研发经验，中科新业在成功开发和应用 网络哨兵的基础平台上，推出的适用于多种网络环境的新一代网络安全审计系 统。它通过专门细致的网络数据获取协议分析技术、数据存储技术、数据查询 技术并配合完善的管理规则，帮助访问者应对来自网络的风险和挑战。 2、XX 企事业单位服务器安全审计面临的企事业单位服务器安全审计面临的 问题和挑战问题和挑战 保存在服务器信息资产是企事业单位核心业务开展过程中最具有战略性的 资产，通常都保存着重要的信息，这些信息需要被保护起来，以防止非法者获 取。互联网的急速发展使得数据库信息价值及可访问性得到了提升，同时，也 致使类似数据库等服务器信息资产面临严峻的挑战，概括起来主要表现在以下 三个层面： 管理层面：主要表现为人员的职责、流程有待完善，内部员工的日常操作 有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法 追溯并定位真实的操作者。 技术层面：现有的数据库内部操作不明，无法通过外部的任何安全工具(比 如：防火墙、IDS、IPS 等)来阻止内部用户的恶意操作、滥用资源和泄露企业 机密信息等行为。 审计层面：现有的依赖于系统运行日志文件的审计方法，存在诸多的弊端, 比如:服务器审计功能的开启会影响服务器本身的性能、服务器日志文件本身存 在被篡改的风险，难于体现审计信息的真实性。 XX 企事业单位作为重要的涉密单位，内部服务器存放着大量的涉密资料， 一旦这些服务器遭到攻击或者被恶意操作，造成服务器宕机、数据丢失等，严 重影响企业内部办公，网络管理人员无法及时获悉，及时处理，也无法准确定 位责任人，迫切需要建立专业的针对服务器访问操作行为的安全审计机制。 经过与 XX 企事业单位网络管理人员沟通，结合我们在服务器安全审计系 统建设领域多年的实践经验，目前 XX 企事业单位建设服务器安全审计系统主 要是为了解决以下问题： 1、通过统一的管理平台，全面记录管理员或使用者对数据库服务器访 问操作，当“数据库表结构、控制数据访问的权限和数据库配置模 式”等发生变化时，需要进行自动追踪。 2、全面审计对 OA、ERP、邮件、ftp 等关键服务器访问操作行为，发现 可能存在的内容安全操作漏洞。 3、建议智能的、针对数据库可疑操作的报警系统；可疑行为发生时可 以自动启动预先设置的告警流程，防范数据库风险的发生；不论在 什么时间、以什么方式、只要数据被恶意修改或查看了就需要自动 对其进行追踪。 4、从多个层面追踪到的信息自动整合到一个便于管理的，长期通用的 数据存储，这些数据需要独立于被审计服务器本身。 5、防止利用合法访问服务器身份对服务器进行非法操作、正常访问服 务器对服务器进行误操作；防范上传或发送或发表不良言论、发送 不良或有害文件、泄露单位敏感和机密信息。 3、 中科新业网络哨兵服务器安全审计系中科新业网络哨兵服务器安全审计系 统解决方案统解决方案 深圳市中科新业信息科技发展有限公司（以下简称“中科新业” ）是国内网络 安全审计领域的先行者和领导厂商，针对企事业单位在网络安全审计需求，凭借着 强大的研发团队和在网络应用协议分析、网络安全系统集成等近 10 年的实践经验， 推出了业界领先的网络哨兵（Seentech，即服务器安全审计系统） ，中科新业一直致 力于为广大客户打造安全、可靠、和谐的上善网络，发现可能存在的恶意、有意无 意的针对服务器操作行为。 为了解决上述问题，我们通过在 XX 企事业单位中部署中科新业网络哨兵服务 器安全审计系统，该系统易于部署和操作，系统支持旁路部署方式，采用旁路部署 时完全不改变原有网络架构和网络配置，不影响系统其运行性能，为 XX 企事业单 位提供数据库、Web 、Ftp、邮件、telnet 等针对服务器操作级别一体化审计技术 解决方案。 通过建成 XX 企事业单位服务器安全审计系统，能够有效的对内部服务器的异 常操作进行报警，全程记录所有用户针对关键后台数据库的操作命令，实现对网络 中对服务器的访问行为、内容进行审计、报警、查询和分析，如网页浏览、收发邮 件、数据库访问等全方位的审计。 3.1、系统部署系统部署 中科新业网络哨兵服务器安全审计系统旁路接入网络，不改变 XX 企事业单位 原有的网络架构。 网络哨兵服务器安全审计系统部署如上图示，在典型的网络环境下，与单位内 部服务器连接的交换机必须支持端口镜像功能，网络哨兵旁路接入交换机镜像端口， 审计对服务器的操作行为。 3.2、方案主要实现的功能及效果方案主要实现的功能及效果 3.2.1、静态数据库审计，及时预警安全事件静态数据库审计，及时预警安全事件 在 XX 企事业单位网络内部署网络哨兵服务器审计系统，可以审计用户对数据 库访问的行为，代替繁琐的手工检查,预防安全事件的发生。系统审计用户的 IP、 访问时间、端口、数据库所在的服务器 IP、以及访问数据库的命令、以及命令返 回的结果等追踪信息，任何尝试的攻击或违反审计规则的操作都会被检测到并实时 告警（告警方式：短信或者邮件） ，以确保及时发现可能存在的非法操作，为后续 的审计的安全策略设置提供有力的依据。 目前支持针对 DB2、Oracle、SQL-Server、MySQL 等 4 种数据库的访问。 3.2.2、FTP 协议审计，降低文件被恶意操作风险协议审计，降低文件被恶意操作风险 在 XX 企事业单位网络内部署网络哨兵服务器审计系统，可以对内部上网用户 使用 FTP 协议进行文件传输行为，审计访问者 IP、端口、FTP 服务所在的服务器 IP、以及 FTP 进行文件传输行为（上传、下载） 、命令、FTP 用户名、上传下载时 间等信息。记录恶意删除文件，保存用户下载文件记录，一旦服务器发生数据丢失 做到有据可查。 3.2.3、Telnet 操作回放，防止恶意操作操作回放，防止恶意操作 在 XX 企事业单位网络内部署网络哨兵服务器版审计访问者通过 TELNET 协 议远程登入服务器的行为，审计访问者 IP、端口、TELNET 服务所在的服务器 IP、以及 TELNET 进行远程登陆的命令、用户名等信息。 3.2.4、数据交互审计，检测网络访问安全数据交互审计，检测网络访问安全 在 XX 企事业单位网络内部署网络哨兵服务器安全审计系统可以审计用户访问 内部邮件、Web 、BBS 站点等服务器行为，记录访问内容信息，审计访问者的 IP、访问时间、端口、访问网页所在的服务器 IP，对可能出发报警关键字的访问进 行及时报警，并保存日志，以备查验。 检测内容包括：通过内部邮件服务器收发邮件完整信息 （SMTP、POP3、webmail） ，Web 站点点击率、内部 BBS 站点发帖详细信息内容 （POST） ，防止服务器遭到攻击、外发一些可能触及法律责任的非法信息，为内容 外发增加预警机制。 可以针对网页内容，标题关键字报警；POST（BBS）内容关键字报警；BBS 账号关键字报警；POP3&SMTP 收发邮件账号报警；POP3&SMTP 收发邮件标题关 键字报警；POP3&SMTP 收发邮件内容关键字报警；POP3&SMTP 收发邮件附件内 容关键字报警；WEB MAIL 发送邮件账号报警；WEB MAIL 发送邮件标题关键字 报警；WEB MAIL 发送邮件内容关键字报警；WEB MAIL 发送邮件附件内容关键 字报警；Ftp 账号报警；Ftp 上传文件内容关键字，文件名称报警；Telnet 账号， 内容关键字报警。 3.2.5、服务器访问流量实时监控服务器访问流量实时监控 系统对服务器流入流出数据包流量可以以列表的形式显示所选服务器的数据包 流量和流速，包括总数据包数、外发数据包数、外发包速、流入数据包数、流入包 速、总流量、流入流量、流入速度、流出流量、流出速度，如下图所示： 检测服务器访问流量是否异常，为科学规划服务器带宽资源提供科学依据。 3.2.6、强大的日志报表分析强大的日志报表分析 统计报表为用户提供了强大的审计日志统计分析功能，用户可以在评估报表中 根据自身的需求，生成多种自定义审计报表，系统支持多种样式的审计结果显示方 式，如：报表、柱状图、折线图、趋势图、横向图、柱状均势图、饼状图、折线填 充图等； 借助网络哨兵日志分析报表系统，XX 企事业单位网络管理人员可以清晰掌握 服务器的被访问操作行为，快速查找可能存在的服务器操作安全事件。 4、 产品选型及参数产品选型及参数 型号 项目 SSA5000SSA5000SSA7000SSA7000 产品图片 操作系统基于优化的 Linux 系统基于优化的 Linux 系统 处理器2 颗 INTEL XEON5500 系列 CPU2 颗 INTEL XEON5600 系列 CPU 内存 4G8G 尺寸规格 2U2U 默认支持 IP 数5 个 IP 授权（可扩展15）15 个 IP 授权（可扩展50） 网络接口4*10/100/1000M 电口， 2*1000M 多模光口 （光口选 配） 2*10/100/1000M 电口，4*1000M 多模光口 （光口选配） 电磁兼容性国家标准 Class A 以上国家标准 Class A 以上 操作温度 035 035 存储温度:-2080-2080 相对湿度:0%95%0%95% 网卡最大捕包速度pps(每秒数据包)pps(每秒数据包) 数据保存时间90 天以上90 天以上 备注一般认为一个服务器只有一个网卡，即一个 IP 授权 5、 产品获得主要资质产品获得主要资质 国家保密局涉密信息系统产品检测证书 广东省自主创新产品证书 深圳市自主创新产品认定证书 中国国家信息安全产品认证证书 一种多链路抓包系统方法及网络审计系统发明专利证书 服务器上传文件的敏感信息过滤系统及方法发明专利证书 分布式审计系统发明专利证书 6、 案例案例介绍介绍 昆明电信昆明电信 IDC 中科新业 IDC 审计项目构建云南电信“黄毒”防火墙，获中央电视台连续报道！2011 年 1 月 3 日晚中央电视台一台的焦点访谈专题报道云南构建“黄毒”防火墙， /video/2011-01/04/c_.htm 该项目一共在 5 条 1G 的，线路上部署 5 台网络哨兵服务器安全审计系统，并通过统 一管理中心管理所有 5 条线路的审计系统，为 IDC 机房的服务器安全提供预警机制，一旦 发现黄赌毒邪网站访问或者借助 IDC 机房机器发布不良资源立即报警，同时，详细记录数 据库服务器所有用户的操作行为，一旦发现不符合规则的操作立即报警，为保证关键服务 器提供全面的预警！ 深圳市宝安区教育局深圳市宝安区教育局 网络哨兵服务器安全审计系统为宝安区教育局绿色校园网络护航！防止透过借助校内 服务器发布不良信息，及时发现对服务器不良操作行为，加强服务器管理安全！ 7、 中科新业简介中科新业简介 深圳市中科新业信息科技发展有限公司以下简称“中科新业” ，成立于 2002 年 9 月，位于称为“创业的沃土，成功的家园”的深圳市高新技术产业园 区。中科新业是国家级高新技术企业，多次获得国家级课题及省、市各种荣誉。 如国家发改委产业示范化项目、国家科技部火炬计划项目；深圳市自主创新百 强企业、深圳市南山区民营科技领军企业。2010 年 5 月，中科新业获得“深圳 市重点软件企业”称号。 中科新业网络哨兵获得“2010 年度国家重点新产品计划”立项，这也是网 络哨兵继获得“2008 年深圳市科技创新奖” ， “2009 年深圳市自主创新产品称号” ， “2009 年广东省自主创新产品称号” ， “2009 年广东省科学技术奖三等奖”等 荣誉后的又一重大产品成就。获得的技术发明专利有“分布式审计系统” 、 “服 务器上传文件的敏感信息过滤系统及方法” 、