天玥综合安全审计系统白皮书

天玥网络安全审计系统天玥网络安全审计系统 产品白皮书产品白皮书 Network Security Audit System 北京启明星辰信息技术有限公司北京启明星辰信息技术有限公司 2003 10 安全源自未雨绸缪 诚信贵在风雨同舟 启明星辰信息技术有限公司 2 地址 北京市海淀区中关村南大街 12 号 188 信箱 电话 010 传真 010 网址 版权声明版权声明 启明星辰信息技术有限公司 2003 版权所有 保留一切权力 未经启明星辰书面同意不得擅自拷贝 传播 复制 泄露或复写本文档的全部或部分内容 本文档中的信 息归启明星辰信息技术有限公司所有并受中国知识产权法和国际公约的保护 天玥 天阗 和 天镜 为启明星辰信息技术有限公司的注册商标 不得侵犯 信息更新信息更新 本文档及其相关计算机软件程序 以下文中称为 文档 仅用于为最终用户提供信息 并且随时可由启明 星辰信息技术有限公司 下称 启明星辰 更改或撤回 信息反馈信息反馈 如有任何宝贵意见 请反馈 信箱 北京市海淀区中关村南大街 12 号 188 信箱 电话 010 传真 010 免责条款免责条款 根据适用法律的许可范围 启明星辰按 原样 提供本文档而不承担任何形式的担保 包括 但不限于 任 何隐含的适销性 特殊目的适用性或无侵害性 在任何情况下 启明星辰都不会对最终用户或任何第三方 因使用本文档造成的任何直接或间接损失或损坏负责 即使启明星辰明确得知这些损失或损坏 这些损坏 包括 但不限于 利润损失 业务中断 信誉或数据丢失 本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束 出版时间出版时间 本文档由启明星辰信息技术有限公司2003年10月制作出版 安全源自未雨绸缪 诚信贵在风雨同舟 启明星辰信息技术有限公司 3 地址 北京市海淀区中关村南大街 12 号 188 信箱 电话 010 传真 010 网址 目目 录录 1 1 产品简介产品简介 4 4 1 1 产品概述 4 1 2 产品定位和价值 4 2 2 产品架构产品架构 5 5 2 1 产品组成 5 2 2 产品结构 6 2 3 系统需求 7 3 3 产品功能产品功能 9 9 3 1 审计功能 9 3 2 管理功能 10 3 3 报表分析功能 11 4 4 产品特性产品特性 1111 4 1 分布式部署灵活管理 11 4 2 客户化定制审计内容 11 4 3 高度的自身安全保障 11 4 4 广泛的联动响应支持 12 4 5 方便的统一管理平台 12 5 5 服务支持服务支持 1313 安全源自未雨绸缪 诚信贵在风雨同舟 启明星辰信息技术有限公司 4 地址 北京市海淀区中关村南大街 12 号 188 信箱 电话 010 传真 010 网址 1 产品简介产品简介 1 1 1 1 产品概述产品概述 天玥网络安全审计系统 以下简称 天玥 是启明星辰信息技术有限公司自行研制开 发的网络安全审计系统 天玥通过旁路侦听的方式对网络数据流进行采集 分析和识别 实时监视网络系统的运行状态 记录网络事件 发现安全隐患 并对网络活动的相关信息 进行存储 分析和审计回放 来自网络的安全威胁日益增多 很多威胁并不是以网络入侵的形式进行的 这些威胁 事件多数是来自于内部合法用户的误操作或恶意操作 仅靠系统自身的日志功并不能满足 对这些网络安全事件的审计要求 网络安全审计系统正是在这样的安全审计需求下产生的 网络安全审计通常要求专门细致的协议分析技术 完整的跟踪能力 和数据查询过程回放 功能 启明星辰凭借在入侵检测领域多年的技术积累和研发经验 推出了适用于百兆网络 环境的天玥网络安全审计系统 1 2 1 2 产品定位和价值产品定位和价值 作为网络安全审计系统 天玥主要用于网络安全事件的事后查询和取证工作 天玥主 要部署于用户网络环境中具有关键资产的网段 审计的对象通常为重要的服务器 如文件 服务器 邮件服务器 计费服务器等 关键特性和价值关键特性和价值 防范内部合法用户的误操作和恶意操作 完整回放网络会话过程和内容 成熟的高速网络抓包技术和协议分析技术 发现异常进行告警 提醒安全管理员采取措施进行处理 预留接口 可纳入启明星辰的入侵管理平台进行统一管理 安全源自未雨绸缪 诚信贵在风雨同舟 启明星辰信息技术有限公司 5 地址 北京市海淀区中关村南大街 12 号 188 信箱 电话 010 传真 010 网址 2 产品架构产品架构 2 1 2 1 产品组成产品组成 天玥网络安全审计系统包括以下三个部分 网络探测引擎 数据管理中心 审计中心 一个数据管理中心可以带多个网络探测引擎 每个网络探测引擎只能对应一个数据管 理中心 审计中心可以连接多个数据管理中心 这三部分的连接示意图如图 2 1 所示 图图 2 1 天玥网络安全审计系统设计结构示意图天玥网络安全审计系统设计结构示意图 网络探测引擎全面侦听网上的信息流 动态监视网络上流过的所有数据包 进行检测 和实时分析 并将分析结果发送给相应的数据库进行保存 数据管理中心包括三个应用程序 数据库管理 引擎管理和配置管理 数据库管理程 安全源自未雨绸缪 诚信贵在风雨同舟 启明星辰信息技术有限公司 6 地址 北京市海淀区中关村南大街 12 号 188 信箱 电话 010 传真 010 网址 序设置数据库连接信息 引擎管理程序设置网络探测引擎的信息 配置管理可以对被审计 对象进行客户化自定义 如制定黑白名单 自定义审计协议和设定异常端口审计 审计中心包括两个应用程序 审计控制台和用户管理 审计控制台可以实时显示网络 审计信息 流量统计信息 并可以查询审计信息历史数据 并且对审计事件进行回放 用 户管理程序可以对用户进行权限设定 限制不同级别的用户查看不同的审计内容 同时还 可以对于每一种权限的使用人员的操作进行审计记录 可以由用户管理员进行查看 具有 一定的自身安全审计功能 2 2 2 2 产品结构产品结构 产品的管理和部署结构如图 2 2 所示 图图 2 2 天玥网络安全审计系统基本部署图天玥网络安全审计系统基本部署图 安全源自未雨绸缪 诚信贵在风雨同舟 启明星辰信息技术有限公司 7 地址 北京市海淀区中关村南大街 12 号 188 信箱 电话 010 传真 010 网址 产品内部的功能架构如图 2 3 和图 2 4 所示 数 据 管 理 中 心 通讯口 基于Linux内核定制的安全操作系统 引擎管理配置管理数据库管理 抓包口 协议分析 事件定义 会话重放 黑白名单 实时日志 异常端口 实时告警 接收 图图 2 3 天玥审计探测引擎工作原理图天玥审计探测引擎工作原理图 基于win2000操作系统 数据管理中心 通讯口 流量 日志 数据库 流量审计 报警 会话重放 报警事件 审计报表 界面显示 审 计 中 心 报表 审 计 引 擎 策略配置引擎管理数据库管理 图图 2 4 天玥审计数据管理中心工作原理图天玥审计数据管理中心工作原理图 2 3 2 3 系统需求系统需求 1 网络探测引擎网络探测引擎 操作系统 Linux 2 4 18 内核以上 CPU Pentium 4 2GHz 或更高 内存 不低于 1G 安全源自未雨绸缪 诚信贵在风雨同舟 启明星辰信息技术有限公司 8 地址 北京市海淀区中关村南大街 12 号 188 信箱 电话 010 传真 010 网址 硬盘 不低于 60G 网卡2 个 Intel 网卡 其他设备 光盘驱动器一个 2 数据管理中心数据管理中心 操作系统 Windows 2000 中文版 SP3 以上 数据库 SQLserver2000 SP3 以上 CPU Pentium III 1GMHz 或更高 内存 不低于 256M 建议 512M 以上 空闲磁盘空间 不低于 2G 其他设备 光盘驱动器 网卡 键盘 鼠标 显示器 以上配置不包括对存放日志的 MS SQL Server 数据库服务器的要求 MS SQL Server 数 据库服务器的配置要求请参考微软公司提供的基本要求和建议配置 建议将天玥数据管理中心安装在一台专用的服务器上 不推荐将数据管理中心和其他 的应用程序装在一起 3 审计中心审计中心 操作系统 Windows 2000 中文版 SP2 以上 CPU Pentium III 500MHz 或更高 内存 不低于 256M 建议 512M 以上 空闲磁盘空间 不低于 1G 建议 2G 以上 安全源自未雨绸缪 诚信贵在风雨同舟 启明星辰信息技术有限公司 9 地址 北京市海淀区中关村南大街 12 号 188 信箱 电话 010 传真 010 网址 其他设备 光盘驱动器 网卡 键盘 鼠标 显示器 审计中心可以单独安装 也可以和数据管理中心安装在同一台机器上 3 产品功能产品功能 3 1 3 1 审计功能审计功能 3 1 1 典型网络应用协议审计典型网络应用协议审计 天玥能够对典型的网络应用协议 http ftp smtp pop3 telnet 进行详细审计 实时监控 并记录网络用户对服务器的远程登录 读 写 添加 修改以及删除等操作 并可以对操 作过程进行完整回放 比如对于 http 协议可以回放所浏览的网页内容 对 smtp 和 pop3 协 议可以回放邮件正文的完整内容以及附件内容 3 1 2 文件共享审计文件共享审计 天玥能够对 Windows 网络环境中基于 netbios 的文件共享服务进行审计 实时监控并 记录网络用户对网络资源中的文件共享操作 并对文件共享操作命令进行回放 3 1 3 自定义协议审计自定义协议审计 天玥为用户提供了客户化的自定义协议审计功能 对于用户网络中运行的特殊网络协 议 用户可以根据协议的端口号和 IP 地址范围自行定义 天玥可以对用户自定义的各种 网络协议的原始报文进行解析 实时监控并记录自定义协议的活动情况 安全源自未雨绸缪 诚信贵在风雨同舟 启明星辰信息技术有限公司 10 地址 北京市海淀区中关村南大街 12 号 188 信箱 电话 010 传真 010 网址 3 1 4 数据库操作审计数据库操作审计 天玥能够实时监控并记录网络用户对数据库服务器的读 写 查询 添加 修改以及 删除等操作 并可以对数据库操作命令进行回放 目前天玥只支持对 SQL Server 的审计 3 1 5 流量审计流量审计 天玥能够根据不同协议和自定义模式 实时显示网络中流量数据的变化 流量分析流量分析典型实例典型实例 流量监测IP IP 流量 TCP UDP ICMP 等应用协议流量 异常流量字节流量超标事件 包流量超标事件 流量增量异常事件 3 1 6 主机服务审计主机服务审计 天玥为用户提供了主机异常端口定义功能 允许用户自定义要审计的主机和端口 通 过对网络数据的分析 检测某些主机是否有异常端口服务开放 从而实现对主机服务的审 计 3 1 7 制定黑白名单制定黑白名单 天玥为用户提供了黑白名单设置功能 用户可以根据自己网络的实际状况 把信任的 主机列入白名单 重点审计主机列入黑名单 天玥对黑名单上的主机进行重点监控 并在 审计控制台实时显示黑名单主机的活动情况 白名单上的主机是被充分信任的主机 天玥 对于列入白名单的主机不进行审计 3 2 3 2 管理功能管理功能 3 2 1 实时报警响应实时报警响应 天玥可以对审计事件进行实时报警响应 目前支持的报警响应方式为屏幕报警 安全源自未雨绸缪 诚信贵在风雨同舟 启明星辰信息技术有限公司 11 地址 北京市海淀区中关村南大街 12 号 188 信箱 电话 010 传真 010 网址 3 2 2 用户管理用户管理 为保证网络审计数据的安全性和隐私性 天玥系统采用多用户权限管理 特定用户只 能对其权限内的审计内容进行审计操作 同时用户管理程序具有自审计功能 对于每一种 权限的使用人员的操作都有详细的审计记录 可以由用户管理员进行查看 3 3 3 3 报表分析功能报表分析功能 3 3 1 审计数据查询分析审计数据查询分析 天玥能够根据存储记录和操作者的权限对审计数据进行查询 统计 管理 维护等操 作 3 3 2 审计报表审计报表 天玥为用户提供了审计报表生成功能 以自定义方式生成 HTML 或 EXCEL 形式的报 表 4 产品特性产品特性 4 1 4 1 分布式部署灵活管理分布式部署灵活管理 天玥在设计上采用审计中心 数据管理中心和网络探测引擎三级结构 每个数据管理 中心以一对多的方式连接管理多个网络探测引擎 审计中心和数据管理中心可以多对多进 行审计控制显示 天玥的三级结构设计满足了用户在大型网络环境中分布式部署网络安全 审计系统的需求 同时审计中心控制台可以灵活安装在网络的不同位置 配合天玥的用户 管理程序 满足不同级别的用户对审计数据的管理查询 安全源自未雨绸缪 诚信贵在风雨同舟 启明星辰信息技术有限公司 12 地址 北京市海淀区中关村南大街 12 号 188 信箱 电话 010 传真 010 网址 4 2 4 2 客户化定制审计内容客户化定制审计内容 天玥为用户提供了多种自定义审计内容设置 如制定黑白名单 自定义协议审计 异 常端口审计等 方便了用户根据自身的网络结构和网络应用情况定制审计对象和审计内容 4 3 4 3 高度的自身安全保障高度的自身安全保障 天玥的设计充分考虑到了自身的安全保障问题 在网络探测引擎端采用基于 Linux 内 核定制的安全操作系统 并用无 IP 网口对被审计网络进行旁路侦听 同时网络探测引擎与 数据管理中心进行互相认证 数据传输加密 在审计中心采用多用户分权限管理机制 既 保证特定用户只能对其权限内的审计内容进行审计操作 同时用户管理程序具有自审计功 能 对于每一种权限的使用人员的操作都有详细的审计记录 4 4 4 4 广泛的联动响应支持广泛的联动响应支持 天玥具有全面的自主响应和联动响应方式 可以满足不同用户的需求 天玥通过自有 VIP1协议族 可以充分实现和第三方安全产品以及网络设备的策略响应 联动 目前主要的联动方式包括 防火墙联动 VIP FW 扫描器联动 VIP SC 用户 可以根据网络现状进行有效地投资 实现动态防御体系 4 5 4 5 方便的统一管理平台