SecFoxNBA网络行为审计系统业务审计型v介绍精华PPT课件

1、 几个故事：高科技犯罪 某移动公司的神州行充值卡盗用事件 美国TJX公司信用卡信息泄漏事件 交通违章信息非法抹除事件 非法窃取公司财务数据库重要数据，CRM系统的重要客户资料 医院HIS系统医疗信息、病患信息泄漏事件 当前面临的挑战 案例：某移动公司的神州行充值卡盗用事件 案例：美国TJX公司信用卡信息泄漏事件 案例：交通违章信息内部违规篡改 对于非法连入内网的计算机的直 接入侵和内部人员利用合法权限 进行的违规操作，没有任何防范 措施。 启示： 内部员工犯罪，非法获取、修改数据库中的重要数据 外包人员犯罪，利用职务之便留下后门修改和伪造数据 黑客攻击，窃取核心机密 当前面临的挑战 当前面临的

2、挑战 信息系统安全等级化保护基本要求二级以上 ISO27001:2005 4.3.3小节 企业内部控制基本规范第41条 银行业信息科技风险管理指引第25、26、27条 证券公司内部控制指引第一百一十七条 互联网安全保护技术措施规定第八条 萨班斯（SOX）法案第404款 国家和行业法律法规都有安全审计的要求！ 当前面临的挑战：刑法第七修正案 全国人大常委会在2009年2月28日通过了刑法修正案 (七)的表决，并且从颁布之日起实施。刑法修正案(七) 第二百五十三条规定： 国家机关或者金融、电信、交通、教育、医疗等单位的工 作人员，违反国家规定，将本单位在履行职责或者提供服 务过程中获得的公民个人信

3、息，出售或者非法提供给他人， 情节严重的，处三年以下有期徒刑或者拘役，并处或者单 处罚金。 窃取、收买或者以其他方法非法获取上述信息，情节严重 的，依照前款的规定处罚。 单位犯前两款罪的，对单位判处罚金，并对其直接负责的 主管人员和其他直接责任人员，依照各相应条款的规定处 罚。 主管: 我该怎么办? 业务系统缺乏必要的数据安全保护，传统安全设备力不从心 业务系统信息泄漏隐患严重 审计成本居高不下，审计效率难以提升 国家法规(刑法第七修正案)、行业规定(内控)的要求 当前面临的挑战 SecFox-NBA! 我们真正需要的是? 面向业务系统的安全审计 提供容易使用且单一管理控制台能够对全网的安全状

4、况进行 审计 异常和违规行为追踪 提供集中化监控、审计、告警、分析及报表管理功能 提供可视化的审计手段 仅需投入少量资源可以得到最大效益 符合国家和行业的审计要求 用户面临的挑战 系统特点 系统简介 产品价值和优势 成功案例 网御神州SecFox安全管理体系及其解决方案 目录 旁路部署，对网络和业务系统无任何影响 全方位的数据库审计 数据库操作实时监控、过程回放 敏感信息的屏蔽，帐号、数据表资源转换 内置数据库防攻击策略 快速响应和跨设备协同防御 事后分析、调查取证 面向业务的安全审计 安全审计报表报告 出具合规审计报表报告 系统特点（帮助用户解决什么问题？） 旁路部署 共享Hub端口镜像 T

5、AP分接 旁路部署、即插即用，对业务网络没有任何影响旁路部署、即插即用，对业务网络没有任何影响 高适用数据库审计：审计各种数据库系统 运行平台 2000/2005Oracle 8/9/10DB2 7/8/9 MySQL 4.x/5.x 12.5/ASE1510/11.x国产数 据库 操作行为内容和描述 用户行为数据库用户的登录、注销 数据定义语言（DDL）操 作 CREATE，ALTER，DROP等创建、修改或者删除数据库对象（表、 索引、视图、存储过程、触发器、域，等等）的SQL指令 数据操作语言（DML）操 作 SELECT，DELETE，UPDATE，INSERT等用于检索或者修改数据的

6、 SQL指令 数据控制语言（DCL）操 作 GRANT，REVOKE等定义数据库用户的权限的SQL指令 其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令 细粒度数据库审计：审计各种操作类型 数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数、调用参数，任何细小改动，任何细小改动 都都“难逃法网难逃法网”。 数据库服务器 全方位数据库审计：审计各种访问方式 SQL*Plus PL/SQL ODBC/JDBC WEB应用客户端程序 OLEDB/ADO 本地操作 企业管理控制台 TOAD Orac

7、le 操作日志 TNS TNS FTP/TELNET FTP/TELNET 可视化数据库审计：多种可视化的审计手段 审计首页审计首页 智能监控频道可以自定义智能监控频道可以自定义 用户行为分析图用户行为分析图 数据库审计 审计VNC、Telnet、网上邻居和定制的主机协议的登录、注销和一般操作等行为 审计FTP操作行为，包括登录、注销，以及访问和上传/下载的目录及其文件名 主机审计 主机 FTPTELNETVNC网上邻居 主机审计 审计HTTP协议 审计SMTP、POP3协议 应用审计 应用系统（WEB服务器、邮件服务器） HTTPSMTP/POP3 基于会话的行为分析技术，对当前网络中所有访

8、问者进行基于时间的审查 真正做到4W1H： 对“谁、什么时间段内、对什么（数据）、进行了哪些操作、结果如何”的全程审计 基于时间的操作回放 数据库操作实时监控、过程回放 SecFox-NBA（业务审计型）支持敏感信息的屏蔽，防止审计人员看到不归他管的敏感数据；当用户所属 角色没有敏感信息查看的权限时，则该用户在查看事件明细时，将无法查看【操作内容】、【返回信息】、 【原始消息】三个可能包含敏感内容的字段。 敏感信息的屏蔽 语句转换 内置典型防攻击策略 SQL insert 注入攻击 SQL exec 注入攻击 SQL update 注入攻击 IBM DB2数据库xmlquery缓冲区溢出尝试

9、Oracle安全备份命令exec_qr注入攻击 Oracle BEA WebLogic Apache连接器HTTP版本拒绝服务攻击 Oracle安全备份POST exec_qr注入攻击 Oracle安全备份msgid 0 x901用户名字段缓冲区溢出尝试 . 数据库和网络异常行为检测 实时告警、应急响应、设备联动 可以与各种第三方的网络设备、安全设备进行策略联动，形成管理的闭环 丰富的响应方式 响应方式响应方式说明说明 设置告警属性设置告警属性设置通过规则引擎生成的关联事件的告警属性设置通过规则引擎生成的关联事件的告警属性 运行参数应用程序脚本运行参数应用程序脚本运行用户指定的某个程序的运行用

10、户指定的某个程序的CLICLI脚本脚本，并能够将告警属性作为参数传递，并能够将告警属性作为参数传递 给给CLICLI程序程序 设备联动设备联动自动执行一组针对第三方网络设备或者安全设备的联动指令自动执行一组针对第三方网络设备或者安全设备的联动指令 发送电子邮件发送电子邮件发送一封电子邮件给指定人发送一封电子邮件给指定人 发送发送SNMP TrapSNMP Trap发送发送SNMP trapSNMP trap信息到指定信息到指定IPIP 发送一个事件到网管系统发送一个事件到网管系统例如发送给例如发送给HP OpenView NNMHP OpenView NNM 发送一个事件到服务台系统发送一个事

11、件到服务台系统例如发送给例如发送给HP Service DeskHP Service Desk，或者，或者BMCBMC 直接阻断直接阻断设备直接发出阻断连接指令，阻断网络中可疑的数据通讯设备直接发出阻断连接指令，阻断网络中可疑的数据通讯 为什么需要面向业务的安全审计？ 用户需求的必然 业务审计是数据库审计技术发展的必然：下一代数据库审计 面向业务的安全审计 从业务系统的组成说起 为什么需要面向业务的安全审计？ 业务层 IT资源层 指标层 OA业务 应用服务 器 主机操作访问流量 数据库服 务器 主机操作访问流量 数据库系 统 数据库敏 感SQL 目标主机的telnet操作审计 目标主机的ftp

12、操作审计 基于数据库协议（SQL）的操作审计 基于客户端的数据库操作审计 目标主机的网络流量审计 催生 面向业务审计，而不 是单纯面向主机或者 数据库的审计 业务行为审计 业务审计的关键特点 以业务系统的数据保护和操作合规为目标 以业务系统为审计对象 面向业务的审计策略 二次审计与实时关联分析 怎样才算一个业务审计系统？ 数据访问审计 数据变更审计 用户操作审计 违规访问行为审计 恶意攻击审计 业务审计的关键特点：以业务系统为保护目标 业务审计的关键特点：以业务系统为审计对象 OA业务系统业务系统 = 前端前端FTP服务服务 + HTTP服务服务 + Linux主机主机 + 后台后台Oracl

13、e数据库数据库 通过对组成OA业务系 统的主机、数据库、 服务等的网络行为进 行审计，从而从业务 的角度来保护整个OA 系统的运行安全 通过业务拓扑视图将业务系统各个组成部分联系起来，一并进行审计。不仅审计数据库，通过业务拓扑视图将业务系统各个组成部分联系起来，一并进行审计。不仅审计数据库， 还审计相关的服务和网络访问行为还审计相关的服务和网络访问行为 业务审计视图 PK 传统审计界面 都有数据库审计、主机审计、HTTP、email等应用的审计 业务审计视图可以看到组成部分及其关系传统的审计界面只是将这些被审计对象罗列出来， 之前没有关联 面向业务的审计，业务相关的违规行为都能够审计 到，并清

14、晰呈现出来 单纯面向数据库的审计，业务相关的违规行为不能 清晰呈现出来 面向业务的审计策略 网御神州独有 一条策略就包含了针对与业务相关的主机、网络和数据库审计策略 业务审计的关键特点：面向业务的审计策略 ERP运行审计策略示例运行审计策略示例 传统的单纯数据库审计产品都只能做基于审计策略的分析：操作审计 SecFox-NBA（业务审计型）在“操作审计”的基础上还提供了二次审计功能：将数据库审计记录与主机、 服务和应用的审计记录整合到一起，通过网御神州获得发明专利的实时关联分析引擎进行跨事件关联分析， 进一步帮助用户进行违规行为的定位行为审计 业务审计的关键特点：二次审计和实时关联分析 整体审

15、计报表 自动生成周报、月报、季报，并自动投递报表给管理员，用户可以自定义报表 用户面临的挑战 系统特点 系统简介 产品价值和优势 成功案例 网御神州SecFox安全管理体系及其解决方案 目录 系统简介：产品型号 型号规格指标 SecFox-NBA（业务审 计型）-G2 -千兆1U标准机架式，2个千兆电口 -事务处理性能可达到2000事务数/秒（TPS，Transactions per Second） -自带500GB硬盘 -可审计3个数据库 -支持Console口管理 SecFox-NBA（业务审 计型）-G31 -千兆2U标准机架式，默认2个千兆电口，可扩展6个(电口/光口) -事务处理性能

16、可达到3000事务数/秒（TPS，Transactions per Second） -自带大容量硬盘，支持Raid，硬盘容量可以扩展 -支持外接存储，例如DAS、NAS、SAN等；支持光纤接口 -支持Console口管理 -可扩展冗余电源 SecFox-NBA（业务审 计型）-G41 -千兆2U标准机架式，默认2个千兆电口，可扩展6个(电口/光口) -事务处理性能可达到6000事务数/秒（TPS，Transactions per Second） -自带大容量硬盘， 采用Raid5数据保护机制，硬盘容量可以扩展 -支持外接存储，例如DAS、NAS、SAN等；支持光纤接口 -支持Console口管

17、理 -可扩展冗余电源 系统简介：软件型产品运行环境 管理中心客户端浏览器 基本要求 Windows 2000 Server，Windows XP Professional, Windows Server 2003系列 （安装service pack），RedHat Enterprise Linux 5，Pentium 4 以上CPU IE 7+ 内存要求2GB以上512MB以上 硬盘要求200G以上 单一硬件产品形态，功能全内置 系统采用旁路侦听方式工作 部署十分方便，即插即用，不必对业务网络配置做任何更改，对业务网络没有任何影响 支持多个侦听口，可以同时审计多个不同的网段 支持级联，实现对大

18、规模业务网络的审计 部署和运行：旁路侦听模式 部署和运行：多端口侦听 40 旁路监听方式，事务处理性能根据硬件配置从2000TPS*到 6000TPS； 事务存储量根据硬件配置从10亿条到40亿条 控制台登录管理中心的用户最大并发连接数：50个 产品性能 *事务数每秒，简称TPS，即Transaction per Second，是指网络行为审计系统每秒钟能够记录的并发事务个 数。该指标数值越高，表示系统的审计性能越强。 系统简介：系统自身健康监控 863科研成果，完全自主研发，申请三项专利 拥有齐全的产品资质 CCID统计SecFox 产品在2007年至2010年国内销量排名连续三年位居第一

19、系统简介：产品荣誉 用户面临的挑战 系统特点 系统简介 产品价值和优势 成功案例 网御神州SecFox安全管理体系及其解决方案 目录 完全自主开发，针对中国客户需求和管理习惯 真正面向业务的安全审计 全面审计、一机多能 内置数据库审计、主机审计、流量审计、应用审计 部署方便、即插即用、维护简单、操作便捷 价值和优势 区别于普通数据库审计的6大特点 面向业务的安全审计，数据库审计仅仅是必要的一环 多种审计4合一 主机审计、数据库审计、应用审计、流量审计 具有异常流量审计功能 超强的事务处理能力 最高达到6000+ EPS（事务数每秒） 可以同时支持抓包审计和日志审计模式，并且与SecFox-LA

20、S日志审计 系统进行集成 价值和优势 用户面临的挑战 系统特点 系统简介 产品价值和优势 成功案例 网御神州SecFox安全管理体系及其解决方案 目录 国家质检总局 国家工商行政管理总局 水利部 财政部 外交部 认监委 国家标准委员会 北京市检察院 中国国土资源航空物探遥 感中心 北京CA认证项目 中国土地勘测规划院 新闻出版署 吉林省商务厅 江西省审计厅 中共长春市委办公厅 辽宁省水利厅 天津出入境检疫局 吉林省档案局 朔州市统计局 天津市安全局 上海市财政局 浙江省物价局，建管局 义乌环保局 辽宁省旅游局 浙江省保监局 海南检验检疫 徐州国土 徐州兴宜财政 浙江永康社保 湖北监利社保 吉林

21、省松原市政府 天津市政府外事办 山西省发改委 江西省电子监查 淮南信息办 辽宁朝阳电子政务 浙江省政协 东阳法院 南通检察院 上海松江区市民服务中心 云峰电厂 三一重工 北京地铁 亿宇嘉隆 长春烟厂 北京教育考试院 海淀教委信息中心 安徽招生教育考试院 安徽省招生教育考试 院 国防科大 江苏省教育厅 南通师范小学 徐州建院 国税三期，数据 库审计项目（74 台） 福建国税 黄岩地说 招商基金 博实基金 长春移动 浦东公安 兰州市交警总队 用户面临的挑战 系统特点 系统简介 产品价值和优势 成功案例 网御神州SecFox安全管理体系及其解决方案 目录 业务层 三个层面 三个维度 安全医生安全管家

22、安全顾问 全面可管理的信息安全体系 安全决策 安全监控安全分析 SecFox安全管理解决方案 谢 谢！ 集中、管理、安全监控、审计、分析 用户面临的挑战 系统特点 系统简介 产品价值和优势 成功案例 网御神州SecFox安全管理体系及其解决方案 目录 操作行为内容和描述 用户行为数据库用户的登录、注销 数据定义语言（DDL）操 作 CREATE，ALTER，DROP等创建、修改或者删除数据库对象（表、 索引、视图、存储过程、触发器、域，等等）的SQL指令 数据操作语言（DML）操 作 SELECT，DELETE，UPDATE，INSERT等用于检索或者修改数据的 SQL指令 数据控制语言（DCL）操 作 GRANT，REVOKE等定义数据库用户的权限的SQL指令 其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令 细粒度数据库审计：审计各种操作类型 数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数、调用参数，任何细小改动，任何细小改动 都都“难逃法网难