冰之眼安全审计系统在企业中的应用(ppt 46页).ppt

冰之眼安全审计系统 日常使用 配置相关 SAS产品简介 本资料来源 国家颁布的安全等级保护技术要求 在确立为第二级 指导保护级 以及以上级的信息系统中必须建立并保存下面的各种访问日志明确要求互联网服务提供者和连接到互联网上的企事业单位必须记录 跟踪网络运行状态 监测互联网安全事件在美国上市公司必须遵循的 萨班斯 SOX 法案 中要求对企业内部网络信息系统进行评估 其中涉及对业务系统操作 数据库访问等业务行为的审计 面临的主要问题 等级保护 萨班斯法案 公安部82号令 绿盟科技安全审计 产品功能示意 部署示意 产品架构 网络引擎安全中心 WEB控制台升级站点 产品上线配置 冰之眼SAS配置 Web登录 端口默认的IP地址为192 168 端口号 1 24Web登录 https 192 168 x 1 默认用户 密码 webadmin webadmin 冰之眼SAS配置 导入证书 证书 License 控制系统工作模式控制有效工作口数控制正常升级期限 导入解压证书文件导入sensor文件夹中文件即可按照提示操作 重启引擎 生效 配置设备管理地址修改对应接口的IP即可对应安全区为 带外管理 配置管理地址对应的网关 可省略 配置监听口的安全区对应安全区为 监听 冰之眼SAS配置 配置网络接口 例如上图中ETH1为审计数据口 ETH0为设备管理口 冰之眼SAS配置 系统控制 策略配置生效 网络配置更改生效 通过系统控制 将配置更改生效应用配置 策略配置生效重启引擎 网络接口配置生效 有瞬断现象 安全中心 设备统一管理 日志分析安全中心的安装确认没有安装IIS apache和postgresql应用服务 如果已安装必须先卸载或者进行特殊配置安装的硬盘分区格式必须是NTFS双击setup exe文件进行安装安装完毕可以通过双击桌面图标和浏览器远程访问 https IP地址 2种方式 用账号admin admin登录 冰之眼SAS配置 安全中心 安全中心配置 冰之眼管理 添加需要管理的SAS引擎 引擎配置安全中心地址 完成数据日志发送本机地址 SAS的管理地址主安全中心地址 安全中心服务器地址一号安全中心地址 安全中心服务器地址 冰之眼SAS配置 管理配置 小结 网络接口分配 如 eth0管理 eth2监听 探测器的安装 浏览器进行初始配置登录 webadmin webadminsensor证书导入 系统 证书管理网络配置 网络 接口接口IP地址改变添加路由 探测器与控制台不在一个子网 起三层模式 网络配置 系统配置 安全中心连接保存 重起引擎安全中心的安装确认没有安装IIS apache和postgresql应用服务 如果已安装必须先卸载或者进行特殊配置安装的硬盘分区格式必须是NTFSadmin admin登录 添加需管理的探测器 审计策略配置 图示 策略完全基于对象组成 配置要点 内容审计策略的核心是审计对象审计对象聚焦于您的关注点数据库审计上网行为审计网上应用审计服务器操作审计 审计对象的核心是关键字关键字越精确 审计效果越好存在部分审计对象 基于规则 如视频 P2P 系统审计对象自定义审计 审计组审计策略通过对审计对象的组合实现不同的审计要求 审计对象 实现上网行为审计 网站访问审计HTTP 访问普通站点HTTP 访问特定站点网页内容审计HTTP 搜索引擎提交关键字HTTP 访问页面包含特定关键字HTTP 论坛发贴子包含特定关键字TELNET 论坛发贴子包含特定关键字 信息泄漏审计 邮件审计SMTP 邮件发送POP3 邮件接收WEBMAIL 邮件发送审计的附件包括word pdf 文本文件即时通信工具审计MSN 发送 接收消息QQ 发送 接收消息文件传输审计HTTP 文件上传 下载FTP 文件传输 数据库审计 典型数据库审计策略如下 包含多种操作命令审计 业务操作审计默认对FTP TELNET操作进行审计策略包含审计对象如下所示 业务操作命令审计 其他审计要求 资源滥用 对使用网络的行为进行审计ANY 在线视频ANY 在线游戏ANY IM聊天ANY 股票软件 关键字 关键字的类型常规关键字正则表达式 regex 16进制关键字 hex 关键字的匹配原则关键字的设置关键字字段关键字列表文件 高级功能 协议还原 系统支持对若干重要对象提供协议还原功能 支持的对象包括 例子1 例子2 实时论坛发帖记录发帖内容全面还原 协议还原配置方法 在内容审计规则上配置协议还原审计对象支持协议还原时才会出现相关选项组对象与多选对象不支持协议还原 还原信息查看方法 Web界面在事件报表中进行查看带有还原信息的事件以粗体显示事件摘要中包含还原文件的链接 还原信息查看方法 安全中心在日志分析中进行查看在系统 系统设置 协议还原文件接收设置可以进行内容管理事件协议还原文件的接收设置 包括帐号 密码和协议还原文件的存放目录 还原信息查看方法 还原文件的格式HTTP协议还原文件为html格式可以直接在浏览器中查看SMTP POP3协议还原文件为eml格式可以保存到本地后双击查看Telnet FTP协议还原文件为txt格式可以直接在浏览器中查看 还原信息同步 还原信息通过FTP同步到安全中心需要在引擎上配置同步信息服务器地址用户名密码同步时间需要在安全中心上配置FTP服务器同步用户的根目录需设置到安全中心的安装目录 常见维护 安全中心之日志分析 日志查询报表日志维护 日志分析 安全中心之 日志分析 日志查询报表日志维护 日志分析 安全中心之 日志分析 日志查询报表日志维护