网镜认证审计系统功能列表.doc

网镜业务认证审计系网镜业务认证审计系统统 产品产品功能列表功能列表 四川赛贝卡信息技术有限公司四川赛贝卡信息技术有限公司 2008 年年 1 月月 四川赛贝卡信息技术有限公司 第 1 页 共 12 页 目目 录录 1 多种认证手段多种认证手段 3 1 1 基于 CA 证书的身份认证机制 3 1 2 基于短信动态口令的身份认证机制 3 1 3 基于 IP 地址或 IP 子网的身份认证机制 3 2 多种审计手段多种审计手段 3 2 1 对主机的操作审计 4 2 2 对数据库的操作审计 4 2 3 收集主机日志 4 3 多种匹配规则制定多种匹配规则制定 4 3 1 字符串匹配方式 4 3 2 操作采样 5 3 3 简单操作 5 3 4 正则表达式 5 3 5 SQL 表达式 5 4 多种访问控制手段多种访问控制手段 5 4 1 根据匹配规则进行控制 5 4 2 客户程序限制 6 4 3 系统身份限制 6 5 多种报警方式多种报警方式 6 5 1 声光报警 6 5 2 短信报警 6 5 3 通过SYSLOG报警 6 四川赛贝卡信息技术有限公司 第 2 页 共 12 页 6 实时状态监控实时状态监控 7 6 1 当前认证用户登陆情况 7 6 2 当前 TCP 会话监控 7 7 多种审计数据过滤手段多种审计数据过滤手段 7 7 1 根据 IP 地址或 IP 地址网段过滤 8 7 2 根据网镜认证用户过滤 8 7 3 根据上下行数据过滤 8 7 4 根据匹配规则过滤 8 7 5 根据系统身份过滤 8 8 多种审计查询手段多种审计查询手段 8 8 1 会话查询 8 8 2 命令查询 9 8 3 审计查询 9 8 4 用户登陆查询 9 9 管理日志管理日志 9 10 性能监控性能监控 9 11 审计数据备份以及删除审计数据备份以及删除 10 11 1 备份到本地文件 10 11 2 备份到数据分析服务器 10 12 多种审计报告输出多种审计报告输出 10 四川赛贝卡信息技术有限公司 第 3 页 共 12 页 提示 此功能说明适用网镜业务认证审计系统网镜 Sensor version 3 7 网镜 Server version 40 网镜 Console version 5 2 4 网镜 DBserver version 1 0 1 多种认证手段多种认证手段 身份认证是系统安全中最基本 也是最重要的一个环节 一般的网络设备 主机系统 业务系统都提供了 UserName Password 的身 份认证机制 然而 这种身份认证机制的安全性越来越受到置疑和挑战 网镜系统 在不修改原系统任何软件或硬件配置的基础上 提供了额外的 安全强度更高的二 次身份认证机制 目前可选择的认证方式包括 1 1 基于基于 CA 证书的身份认证机制证书的身份认证机制 为用户产生一个基于 X 509 标准的 CA 证书 之后将 CA 证书写入 USB 令牌中 并发放给用户 硬令牌 或将 CA 数字证书直接分发给用户 软令牌 1 2 基于短信动态口令的身份认证机制基于短信动态口令的身份认证机制 在这种情况下 需要用户提供相应的短信传输接口 并进行一定的客户化定制 开发 当用户需要访问被保护的信息时 网镜 Agent 会向用户的手机发送随机的动 态密码 1 3 基于基于 IP 地址或地址或 IP 子网的身份认证机制子网的身份认证机制 在这种情况下 只需要用户提供需要认证的 IP 地址或 IP 网段 在网镜系统上 进行简单的设置之后 被保护的信息只能被这些特定 IP 地址或 IP 地址网段所访问 四川赛贝卡信息技术有限公司 第 4 页 共 12 页 2 多种审计手段多种审计手段 网镜业务认证审计系统基于 IP 数据俘获 强身份认证 应用层数据分析 审 计和响应 的模式提供各项安全功能 2 1 对主机的操作审计对主机的操作审计 2 1 1 针对明文的远程操作审计针对明文的远程操作审计 网镜业务认证审计系统支持以明文形式进行数据传输的远程访问 如 Telnet Ftp Rlogin 2 1 2 针对密文的远程操作审计针对密文的远程操作审计 网镜系统能够支持以密文形式的进行数据传输的远程访问的操作审计 如 ssh windows3389 协议等 此类操作审计需加装跳转服务器 2 2 对数据库的操作审计对数据库的操作审计 网镜业务认证审计系统支持 SQL 92 命令集及其对不同类型的数据库 不同版 本的数据库的 SQL 语句的扩展 支持诸如查询 Select 插入 Insert 删除 Delete 创建 Create 等 SQL 命令以及存储过程的执行进行审计和分析 网镜业务认证审计系统可以根据基本 SQL 命令和存储过程进行组合 形成一个 有实际意义的访问过程 并对其进行显示和查询 可以对指定用户 指定时间段内 的整个登录 操作 退出的完整访问过程进行还原 查看和分析 2 3 收集主机日志收集主机日志 网镜系统开放 UDP514 端口 能够收集标准格式的 syslog 主机日志 并在网镜 控制台统一呈现 四川赛贝卡信息技术有限公司 第 5 页 共 12 页 3 多种匹配规则制定多种匹配规则制定 匹配规则是针对某种服务 器 设定的一系列操作规则 网镜业务认证审计系 统提供了专门的策略和规则定义模块 使得用户可以自行设定和调整各种安全审计 及访问控制的策略 3 1 字符串匹配方式字符串匹配方式 字符串匹配方式是指由用户输入所有的匹配代码 网镜系统根据输入的匹配代 码与 IP 报的内容进行一对一的检查 只有完整地包含了匹配代码的 IP 报才可能触 发网镜系统的审计或访问控制功能 字符串匹配方式适合于针对操作内容比较简单 规律性较强的应用 如 FTP SQL 等 3 2 操作采样操作采样 在某些情况下 用户可能不是很了解业务的操作特征 针对这种情况 通过采 样俘获的 IP 报 提取特征码来定义用户操作流程 操作采样适合于针对操作内容复 杂 尤其是业务系统 应用系统等 3 3 简单操作简单操作 指基于 命令 操作对象 方式定义用户操作流程 如 针对 FTP 协议 将命 令定义为 get 操作对象定义 test txt 由此而形成了一个 get test txt 的用户 操作流程 简单操作方式比较适合于针对命令比较简单的应用来定义用户操作流程 3 4 正则表达式正则表达式 正则表达式 允许用户输入比较复杂的命令和操作对象 甚至是多个命令和 操作对象的组合 操作表达式比较适合于针对命令比较复杂 但具有很强规律性的 应用 如 Telnet 操作定义用户操作流程 四川赛贝卡信息技术有限公司 第 6 页 共 12 页 3 5 SQL表达式表达式 SQL 表达式 针对数据库的 SQL 命令来定义匹配规则 4 多种访问控制手段多种访问控制手段 网镜业务认证审计系统提供了阻断模块 使得用户可以基于服务器的类型 匹 配规则 用户角色来制定各种访问控制策略 4 1 根据匹配规则进行控制根据匹配规则进行控制 网镜系统对俘获的 IP 数据进行重组后 将通信内容与匹配规则进行实时比对 当发现符合匹配规则的通信内容时 触发相应的访问控制策略 如某用户在进行数 据库访问时 并没有 Drop 表的权限 一旦此用户触发了此规则 网镜系统将会断掉 此用户的会话连接 确保数据库的安全 4 2 客户程序限制客户程序限制 网镜系统可限制用户使用的第三方客户程序登录数据库 不允许或只允许某些 客户程序的登录权限 确保数据库的安全 4 3 系统身份限制系统身份限制 网镜系统可限制用户登录的用户名 允许或不允许某些用户名登录主机或数据 库 确保数据库的安全 5 多种报警方式多种报警方式 网镜系统对俘获的 IP 数据进行重组后 将通信内容与匹配规则进行实时比对 当发现符合匹配规则的通信内容时 触发相应的报警策略 四川赛贝卡信息技术有限公司 第 7 页 共 12 页 5 1 声光报警声光报警 需要安装网镜 Alarm 报警客户端 当触发报警策略时 报警客户端会发出声光 报警 并显示报警等级以及报警内容 5 2 短信报警短信报警 需开通短信接口 当触发报警策略时 被设置的手机上会收到报警信息和等级 5 3 通过通过 syslog 报警报警 需安装统一的 syslog 日志收集服务器 当触发报警策略时 日志收集服务器将 会收到 syslog 的报警日志 6 实时状态监控实时状态监控 通过网镜 Console 管理控制台 管理员可以实时查看当前通过 CA 证书认证登 录的用户情况 TCP 会话的情况 6 1 当前认证用户登陆情况当前认证用户登陆情况 提供了查看当前通过 CA 证书认证后登录的用户列表 包括用户名 用户 IP 地 址和用户登录时间 6 2 当前当前 TCPTCP会话监控会话监控 网镜系统可列出当前用户访问保护主机的所有 TCP 会话 对于每个 TCP 会话 进一步显示了该会话的以下信息 用户 ID 该 ID 由网镜系统在新建用户时自动分配 用户或管理员均不可修改该 ID 号 用户名 网镜系统为用户设定的用户名称 如果该用户是 信任子网 中的一个用户 则仅显示信任子网的名称 无法确定到具体的人员 用户 IP 地址 用户计算机建立当前 TCP 连接所使用的 IP 地址 用户端口 当前 TCP 连接中 用户端的 TCP 端口号 四川赛贝卡信息技术有限公司 第 8 页 共 12 页 服务器 ID 当前 TCP 连接所登录的保护服务器的 ID 号 该 ID 号在新建保护服务器 时由网镜系统自动分配 用户或管理员均不可修改该 ID 号 服务器名 显示了当前 TCP 连接所登录的 保护主机 名称和 服务器 的名称 服务器 IP 地址 当前 TCP 连接所登录的 保护主机 的 IP 地址 服务器端口 当前 TCP 连接中 服务器端的 TCP 端口号 建立时间 当前 TCP 连接建立的时间 对于每个 TCP 连接 管理员可以进行 断开该会话 或 监控 操作 7 多种审计数据过滤手段多种审计数据过滤手段 在网络中 每时每刻都有大量的数据流过 而在其中 某些数据是可以完全信 任的 如何才能用有限的磁盘空间存储更多 更有效的数据 网镜业务认证审计系 统提供了多种方式的过滤手段 7 1 根据根据 IP 地址或地址或 IP 地址网段过滤地址网段过滤 某些 IP 地址或 IP 子网流过的数据是可以被信任的 可以通过对网镜系统的设 置 将这部分 IP 地址发起的流量完全过滤掉 这种情况多适用于主机与主机之间 由程序发起的会话 7 2 根据网镜认证用户过滤根据网镜认证用户过滤 某些网镜认证用户针对特定主机的操作是可以完全被信任的 可以通过设置将 此用户的操作过滤掉 7 3 根据上下行数据过滤根据上下行数据过滤 网镜系统在网络上接收 TCP 双向会话数据 一般来说用户端的操作为上行数据 主机返回的结果为下行数据 可以根据需要 过滤掉上行或下行数据 此类过滤主 要适用于对数据库的操作 我们关心的是用户对数据库的操作 而没必要将数据库 返回的情况记录下来 四川赛贝卡信息技术有限公司 第 9 页 共 12 页 7 4 根据匹配规则过滤根据匹配规则过滤 在某些主机上 某些操作量大 且可信任 可以设置成匹配规则来进行过滤 7 5 根据系统身份过滤根据系统身份过滤 某些主机或数据库的帐号是可信任的 可以根据帐号进行审计操作的过滤 8 多种审计查询手段多种审计查询手段 8 1 会话查询会话查询 会话查询用于从审计记录中查询符合条件的 TCP 会话 网镜系统为会话查询设置了四类查询条件 分别为 保护主机 服务 用户 用户 IP 地址 时间段 它们的逻辑关系为 与 即 网镜系统将查询出符合 上述四类条件的所有 TCP 会话 8 2 命令查询命令查询 命令查询用于从审计记录中查询符合条件的命令 网镜系统为命令查询设置了五类查询条件 分别为 命令关键字 保护主机 服务 用户 用户 IP 地址 时间段 它们的逻辑关系为 与 即 网镜系 统将查询出符合上述五类条件的所有命令及对应的 TCP 会话 8 3 审计查询审计查询 审计查询是指从策略匹配日志中查找出符合需要的规则匹配事件 网镜系统为审计查询设置了六类查询条件 分别为 指定服务器名称 指 定用户 指定匹配规则名称 限定用户 IP 限定系统身份 时间段限制 它们的逻辑关系为 与 即 网镜系统将查询出符合上述六类条件的规则匹配事件 8 4 用户登陆查询用户登陆查询 用户登录日志记录了 证书认证用户 使用网镜 Agent 认证并登录的情况 以 及以某种系统身份登录的情况 相关的查询也仅能获取到这方面的信息 四川赛贝卡信息技术有限公司 第 10 页 共 12 页 网镜系统为用户登录日志查询设置了三类查询条件 分别为 查询登录类型 限定系统身份 时间段限制 它们的逻辑关系为 与 即 网镜系统将查 询出符合上述三类条件的所有用户登录 9 管理日志管理日志 针对管理员对网镜的一切操作 包括对主机 服务以及策略的增删改 网镜系 统都会形成管理日志 便于事后查询 10 性能监控性能监控 在网络 主机 服务层次 网镜系统提供了诸如访问流量 访问次数 访问用 户数等信息 并通过图形 表格等形式进行显示 通过查看这些参数 管理员能对 系统的整体运行情况有个概略的了解 11 审计数据删除审计数据删除以及备份以及备