天玥网络安全审计系统技术方案.doc

XXXXX项项目目 网网络络安安全全审审计计部部分分 技术建议书技术建议书 北京启明星辰信息技术有限公司北京启明星辰信息技术有限公司 Venus Information Technology Beijing 二零一一年四月二零一一年四月 目目 次次 1 综述 1 2 审计系统设计方案 2 2 1 设计方案及系统配置 4 2 2 主要功能介绍 5 2 2 1 数据库审计 5 2 2 2 网络运维审计 6 2 2 3 OA 审计 7 2 2 4 数据库响应时间及返回码的审计 7 2 2 5 业务系统三层关联 7 2 2 6 合规性规则和响应 8 2 2 7 审计报告输出 10 2 2 8 自身管理 11 2 2 9 系统安全性设计 11 2 3 负面影响评价 12 2 4 交换机性能影响评价 13 3 资质证书 14 1 综述 随着信息技术的发展 XXX 已经建立了比较完善的信息系统 具有网络规模大 用户数多 系统全而复杂等特点 IT 建设的核心任务是运用现代信息技术为企业整体 发展战略的实现提供支撑平台并起到推动作用 信息安全作为 IT 建设的组成部分 核 心任务是综合运用技术 管理等手段 保障企业 IT 系统的信息安全 保证业务的连续 性 信息安全是 XXX 正常业务运营与发展的基础 是保证国家利益的基础 是保障用 户利益的基础 根据国家的相关规范的指导意见 我们根据对 XXX 信息系统具体需求的分析 在 对 XXXXX 进行安全建设时 我们所遵循的根本原则是 1 业务保障原则 业务保障原则 安全建设的根本目标是能够更好的保障网络上承载的业务 在 保证安全的同时 还要保障业务的正常运行和运行效率 2 结构简化原则 结构简化原则 安全建设的直接目的和效果是要将整个网络变得更加安全 简 单的网络结构便于整个安全防护体系的管理 执行和维护 3 生命周期原则 生命周期原则 安全建设不仅仅要考虑静态设计 还要考虑不断的变化 系统 应具备适度的灵活性和扩展性 2 审计系统设计方案 结合以上原则 在审计系统的选择上 主要从以下 7 个方面进行考虑 实用性 由于业务系统数据在数据库中进行集中存储 故对于数据库的操作审计 需要细化到数据库指令 表名 视图 字段等 同时能够审计数据库返回的错 误代码 这样能够在数据库出现关键错误时及时响应 避免由于数据库故障带 来的业务损失 独立性 审计系统应具备统一的策略 集中的审计 适用于不同的设备 操作系 统 数据库系统和应用系统的审计要求 并对这些系统不造成影响 灵活性 审计系统应提供缺省的审计策略及自定义策略 能够对重要操作 重要 表 重要字段进行定义并审计 能够根据用户的业务特点进行策略的编辑 易用性 审计系统应能够基于操作进行分析 能够提供主体标识 即用户 操 作 行为 客体标识 设备 操作系统 数据库系统 应用系统 的分析和审计 报表 扩展性 当业务系统进行扩容时 审计系统可以平滑扩容 系统支持向第三方平 台提供记录的审计信息 可靠性 审计系统应能提供足够的存储空间 1000G 以上 满足在线存储至少 6 个月的要求 审计系统应能够保证审计记录的时间的一致性 避免错误时间 记录给追踪溯源带来的影响 安全性 分权限管理 具有权限管理功能 可以对用户分级 提供不同的操作 权 限和不同的网络数据操作范围限制 用户只能在其权限内对网络数据进行审计 和相关操作 具有自身安全审计功能 基于上述的情况 我公司提出了以天玥网络安全审计系统为核心 建设 XXXXX 审计方面的设计方案 下面首先对天玥系统的基本工作原理进行简单的介绍 天玥网络安全审计系统基于 IP 数据俘获 应用层数据分析 审计和响应 实现 各项功能 设计中充分贯彻了平台化的思路 由于采用旁路接入的工作模式 使得天玥 系统在实现各种安全功能的同时 对原系统的绕动和影响降到最低 天玥网络安全审计系统主要实现以下安全功能 针对不同的应用协议 提供基于应用操作的审计 提供数据库操作语义解析审计 实现对违规行为的及时监视和告警 提供上百种合规规则 支持自定义规则 正则表达式等 实现灵活多样的响应 提供基于硬件令牌 静态口令 Radius 支持的强身份认证 根据设定输出不同的安全审计报告 2 1 设计方案及系统配置 核心数据库 Oracle 系统通过主备方式接入网络 设计采用配置一台天玥审计数据 中心 一台天玥旁路审计引擎 一台天玥在线审计引擎 具体部署如下图所示 天玥系统部署图 天玥审计数据中心天玥审计数据中心 部署一台天玥审计数据中心 该服务器具备一个 2T 的内置 RAID5 存储器 对天玥网络审计引擎进行管理和控制 实现对审计数据的存储和分析 天玥审 计数据中心的管理端口需要接入网络中 并分配一个合法的 IP 地址 以接收天玥管理 控制台的管理 天玥审计数据中心的 管理端口 需要通过网络方式与天玥网络审计引 擎的 管理端口 进行连接 天玥旁路审计引擎天玥旁路审计引擎 部署一台天玥网络审计引擎对核心交换机上的 Oracle 流量进行监控 和审计 天玥网络审计引擎配置两个信息监听端口 该端口需要连接到被监控交换机的 镜像目的端口 上 以获取原始的通信信息 从而实现各种审计和控制功能 天玥网 络审计引擎需要设置一个 管理端口 这个端口需要接入网络 并分配一个合法的 IP 地址 以接收天玥管理控制台的管理 天玥在线审计引擎 天玥在线审计引擎 部署一台天玥旁路审计引擎 实现对运维区域的各种运维操作进行 监控 审计和阻断 该引擎自带 Bypass 支持 通常采用透明方式进行接入 对服务器 端和终端用户无影响 天玥管理控制台天玥管理控制台 在网络中的任何一台 Windows 计算机上采用浏览器进行管理 在本方案中同时部署了旁路审计引擎与在线审计引擎 这是因为这两种引擎属于互 补关系 旁路审计引擎解决了在线审计引擎被绕过的风险 在线审计引擎解决了旁路引 擎无法实现加密协议审计和事前阻断的风险 二者的关系如下 在线审计实现的基础为 建立唯一访问路径 一切的行为均通过该路径进行访问 也就是说需要将所有被审计运维访问流量都要通过在线引擎才可以进行审计 这就牵涉 到网络结构的变化或 ACL 的调整 在实际部署中 在线审计依赖外部设备的 ACL 控制 比如交换机或 FW 一旦这些访问控制设备出现问题或 ACL 不够充分 就会存在绕 过堡垒主机的操作行为 而此时这些绕过堡垒主机的行为是没有被审计的 由于恶意攻 击者往往具备较高的技术水平 同时善于寻找安全系统的漏洞 故不完善的 ACL 控制 会让在线审计存在较大的部署风险 而旁路审计实现的基础为 一切网络访问行为均不 可信 进行部署的 故所有可识别的操作均被审计 这两种审计部署方式存在着很强的 互补性 通常都会一起部署 从而实现控制与审计的完美结合 2 2 主要功能介绍 2 2 1 数据库审计数据库审计 天玥网络安全审计系统能够监视并记录对数据库服务器的各类操作行为 实时地 智能地解析对数据库服务器的各种操作 一般操作行为如数据库的登录 特定的操作如 对数据库表的插入 删除 修改 执行特定的存贮过程等 都能够被记录和分析 分析 的内容要求可以精确到 SQL 操作语句一级 并记录这些操作的用户名 机器 IP 地址 操作时间等重要信息 系统能够对采用 ODBC JDBC OLE DB 命令行嵌入方式对数据库的访问进行 审计和响应 SQL 语句的支持 SQL92 语法 主要包括以下几种类型的审计 DDL Create Drop Grant Revoke DML Update Insert Delete DCL Commit Rollback Savapoint 其他 Alter System Connect Allocate 存储过程 目前 天玥网络安全审计系统支持以下数据库系统的审计 是业界支持数据库种类 最多的审计系统 能够满足不同用户 不同发展阶段情况下的数据库审计需求 Oracle SQL Server DB2 Informix Sybase Teradata Mysql PostgreSQL Cache 人大金仓 Kingbase 数据库 达梦 DM 数据库 南大通用 GBase 数据库 2 2 2 网络运维审计网络运维审计 天玥网络安全审计系统支持常用的运维协议及文件传输协议 能够全程记录用户在 服务器上的各种操作 Telnet Rlogin FTP SCP SFTP X11 NFS 2 2 3 OA 审计审计 天玥网络安全审计系统支持 HTTP POP3 SMTP Netbios 的审计 能够记录网页 URL 内容 发件人 收件人 邮件内容 网络邻居的各种操作等信息 2 2 4 数据库响应时间及返回码的审计数据库响应时间及返回码的审计 天玥网络安全审计系统支持对 SQL Server DB2 Oracle Informix 等数据库系统 的 SQL 操作响应时间和返回码的审计 通过对响应时间和返回码的审计 可以帮助用 户对数据库的使用状态全面掌握 及时响应故障信息 特别是当新业务系统上线 业务 繁忙 业务模块更新时 通过天玥网络安全审计系统对超长时间和关键返回码进行审计 并实时报警有助于提高业务系统的运营水平 降低数据库故障等带来的运维风险 目前天玥网络安全审计系统支持上述数据库系统共计 13000 多种返回码的知识库供 用户快速查询和定位问题 2 2 5 业务系统三层关联业务系统三层关联 当前业务系统普遍采用三层结构 浏览器客户端 Web 服务器 中间件 数据库服 务器 通常的流程是 用户通过浏览器客户端 利用自己的帐户登录 Web 服务器 向 服务器提交访问数据 Web 服务器根据用户提交的数据构造 SQL 语句 并利用唯一的 帐户访问数据库服务器 提交 SQL 语句 接收数据库服务器返回结果并返回给用户 在这种基于 Web 的业务行为访问模式下 传统的信息安全审计产品一般可审计从 浏览器到 Web 服务器的前台访问事件 以及从 Web 服务器到数据库服务器的后台访问 事件 但由于后台访问事件采用的是唯一的帐户 对每个后台访问事件 难以确定是哪 个前台访问事件触发了该事件 如果在后台访问事件中出现了越权访问 恶意访问等行 为 难以定位到具体的前台用户上 举一个一个典型的例子 内部违规操作人员利用前 台的业务系统 以此作为跳板对后台数据库内容进行了篡改和窃取 这种情况下 通常 审计产品只能发现来自某个数据库账号 而无法判断最终的发起源头 启明星辰研究人员实现 HTTP 操作和数据库操作之间的关联计算 目前已经申请专 利 专利名称为 一种 Web 服务器前后台关联审计方法和系统 专利受理号码 200710121669 6 三层关联逻辑部署图 通过这种关联分析技术 能够将审计产品从基于事件的审计 逐渐升级为基于用户 业务行为的审计 在关联分析过程中采用自动建模技术 可以将前台 Web 业务操作和 后台数据库操作行为进行对应 并形成业务访问行为模式库 同时 在该技术的基础上 还可以进一步分析 发现可能的业务异常及 SQL 异常 2 2 6 合规性规则和响应合规性规则和响应 天玥网络安全审计系统的审计和响应功能可以简单地描述为 某个特定的服务 如 FTP Telnet SQL 等 可以 或不可以 被某个特定的用户 主机 怎样地访问 这使得它提供的审计和响应具有很强的针对性和准确性 强大的数据库规则 系统能够根据访问数据库的源程序名 登陆数据库的账号 数据库命令 数据库名 数据库表名 数据库字段名 数据库字段值 数据库返回码等作为条件 对用户关心的 违规行为进行响应 特别是针对重要表 重要字段的各种操作 能够通过简单的规则定 义 实现精确审计 降低过多审计数据给管理员带来的信息爆炸 定制审计事件规则 天玥网络安全审计系统提供了事件规则用户自定义模块 允许用户自行设定和调整 各种安全审计事件的触发条件与响应策略 例如 用户特别关注在 telnet 过程中出现 rm passwd shutdown 等命令的行为 那么用户就可以利用天玥网络安全审计系统定义相应的审计事件规则 这样 天玥网络 安全审计系统就可以针对网络中发生的这些行为进行响应 基于业务特征的规则库 系统可以将审计员制定的多个符合业务特征的规则进行汇总 编辑和命名 形成具 备某种业务特征的规则写入用户自定义的规则库 这样 审计员在针对某个特定业务用 户制定审计策略时 可以直观地使用自命名的规则进行设置 方便了各种策略的制定和 查询 特定账号行为跟踪 系统能够实现对 用户网络环境中出现的特定账号或特定账号执行某种操作后 的 场景进行账号跟踪 提供对后继会话和事件的审计 这样 管理员能够对出现在网络中 的特权账号 比如 root DBA 等 进行重点的监控 特别是哪些本不应出现在网络上 的特权账号突然出现的事件 多编码环境支持 天玥网络安全审计系统适用于多种应用环境 特别是在异构环境中 比如 IBM AS 400 通常采用 EBCDIC 编码方式实现 telnet 协议的传输 某些数据库同时采用几种 编码与客户端进行通讯 若系统不能识别多种编码 会导致审计数据出现乱码 对多编 码的支持是衡量审计系统环境适应性的重要指标之一 目前天玥网络安全审计系统支持 如下编码格式 ASCII Unicode UTF 8 UTF 16 GB2312 EBCDIC 多种响应方式 天玥网络安全审计系统提供了多种响应方式 包括 在天玥审计服务器中记录相应的操作过程 在日常审计报告中标注 向天玥管理控制台发出告警信息 实时阻断会话连接 管理人员通过本系统手工 RST 阻断会话连接 通过 Syslog 方式进行告警 通过 SNMP Trap 方式进行告警 通过邮件方式进行告警 实时跟踪和回放 管理员可以通过审计显示中心实时地跟踪一个或多个网络连接 通过系统提供的 时标 清晰地显示不同网络连接中每个操作的先后顺序及操作结果 当发现可疑的操 作或访问时 可以实时阻断当前的访问 管理员也可以从审计数据中心中提取审计数据 对通信过程进行回放 便于分析和查找系统安全问题 并以次为依据制定更符合业务特 征和系统安全需求的安全规则和策略 2 2 7 审计报告输出审计报告输出 天玥审计系统从安全管理的角度出发 设计一套完善的审计报告输出机制 多种筛选条件 天玥网络安全审计系统提供了强大 灵活的筛选条件设置机制 在设置筛选条件时 审计员可基于以下要素的组合进行设置 时间 客户端 IP 客户端端口号 服务端 IP 服务端端口 关键字 事件级别 引擎名 业务用户身份 资源账号等条件 审计员可根据需要灵活地设置审计报表的各种要素 迅速生成自己希望看到的审计 内容 同时系统提供了报表模板功能 审计员无需重复输入 只需要设置模板后 即可 按模板进行报表生成 命令及字段智能分析 系统能够根据审计协议的类型进行命令和字段的自动提取 用户可以选择提取后的 命令或字段作为重点对象进行分析 针对数据库类协议 可分析并形成数据库名 表名 命令等列表 针对运维类协议 可分析并形成命令等列表 针对文件操作类协议 可分 析并形成文件名 操作命令等列表 通过该功能 可以简化用户对审计数据的分析过程 大大提高分析的效率 宏观事件到微观事件钻取 天玥网络安全审计系统提供了从宏观报表到微观事件的关联 审计员可以在统计报 表 取证报表中查看宏观的审计数据统计信息 通过点击相应链接即可逐步下探到具体 的审计事件 自动任务支持 天玥网络安全系统提供报表任务功能 审计员可根据实际情况定制报表生成任务 系统支持 HTML EXCEL CSV PDF Word 等多种文档格式的报表输出 可以通过 邮件方式自动发送给审计员 数据和报表备份 天玥网络安全审计系统提供了审计数据和报表的手动和自动备份功能 可以将压缩 后的数据自动传输到指定的 FTP 服务器 提供每天 每周 每月 时刻的定义方式 2 2 8 自身管理自身管理 安全管理 天玥网络安全审计系统的管理控制中心提供了集中的管理控制界面 审计员通过管 理控制台就能管理和综合分析所有审计引擎的审计信息和状态信息 并形成审计报表 天玥网络安全审计系统支持权限分级管理模式 可对不同的角色设定不同的管理权 限 例如 超级管理员拥有所有的管理权限 而某些普通管理员则可能仅拥有查看审计 报表的权限 某些管理员可以拥有设置审计策略或安全规则的权限 系统提供专门的自身审计日志 记录所有人员对天玥系统的操作 方便审计员对日 志进行分析和查看 状态管理 天玥网络安全审计系统提供 CPU 内存 磁盘状态 网口等运行信息 管理员可 以很轻松的通过 GUI 界面实现对审计数据中心 审计引擎的工作状态进行查看 当出 现错误信息时 比如 Raid 故障 磁盘空间不足 引擎连接问题 系统可自动邮件通知 相关管理人员 时间同步管理 天玥网络安全审计系统提供手工和 NTP 两种时间同步方式 通过对全系统自身的 时 间同步 保证了审计数据时间戳的精确性 避免了审计事件时间误差给事后审计分析工 作带来的影响 提升了工作效率 2 2 9 系统安全性设计系统安全性设计 在天玥系统的设计中采用了严密的系统安全性设计 主要体系在以下几个方面 1 操作系统安全性设计 天玥系统采用经裁减 加固的 Linux 操作系统 在设计 过程中 结合天玥系统的功能要求和我公司在操作系统安全方面的技术和经验 对 Linux 进行了精心的裁减和加固 包括补丁修补 取消危险的 无用的服务 等 2 数据库安全性设计 天玥审计数据中心审计服务器的数据库是启明星辰根据天 玥系统的功能要求自行设计的 在设计时已经充分考虑了安全性方面的问题 3 模块间的通信 各功能模块之间的通信均采用专门设计的通信协议 这些通信 协议在设计时均采用了诸如 CA 认证 编码 签名 加密等安全技术 对于远 程维护 则采用了 SSH 加密传输协议 在产品出厂测试阶段 还将进行诸如漏洞扫描之类的安全性测试 因此 我们认为 天玥系统具有很高的安全性 2 3 负面影响评价 天玥系统基于 IP 数据俘获 应用层数据分析 审计和响应 实现各项功能 在 具体实现时 无需在网络通路中 跨接 任何硬件设备 也不需要在审计对象中安装 审计代理 因此 天玥系统的安装使用 不会对原系统造成任何性能 稳定性方面 的影响 天玥系统的硬件设备由 天玥审计数据中心 和 天玥网络审计引擎 构成 其中 天玥审计数据中心象一台主机设备一样安装用户的系统中 只需要为天玥审计数据中心 分配合法的 IP 地址就可以了 因此 该设备不会对原系统造成任何性能 功能 可靠 性 安全性方面的影响 天玥网络审计引擎需要安装在核心交换机的镜像端口上 用于俘获来往于后台主机 和前台操作人员之间的通信数据 然后通过对这些通信数据的解析 匹配 达到审计和 命令控制的目的 同时 天玥网络审计引擎实时地将俘获的原始数据传递给进行进一步 的分析处理和存储 当天玥网络审计引擎发现违反规定的登录或操作命令时 会同时向该 TCP 会话的 服务器和客户端发出 关闭 TCP 会话 的 IP 报 从而达到阻断的目的 这种 关闭 TCP 会话 的 IP 报是由天玥网络审计引擎伪造 并直接向服务器和客户端发送的 不 需要网络设备的支持 而且 这种 IP 报 是按照标准的 TCP 协议构造的 不会对服务 器或客户端造成任何负面的影响 因为 对于接收到 关闭 TCP 会话 IP 报的一方而 言 它感觉是通信的对方主动发起了一个关闭 TCP 会话的请求 总之 天玥系统的基本工作原理就像网络 IDS 系统一样 通过旁路的方式接入到 系统中 不会对原系统的性能 稳定性造成任何影响 2 4 交换机性能影响评价 为了