黑盾安全审计系统ppt课件.ppt

第8层防御安全审计,演讲：陈翔,福建省海峡信息技术有限公司,概述,面向业务的审计及其重要性HD-SAS概要HD-SAS技术特色实例分析,价值所在!FAQ,面向业务的审计及其重要性,案例分析寻找问题根源解决问题途径,福建省海峡信息技术有限公司,福建省海峡信息技术有限公司,福建省海峡信息技术有限公司,真实案例带来的问题,福建省海峡信息技术有限公司,问题出在哪？,福建省海峡信息技术有限公司,问题的根源!,如何监管?!,如何监管?!,如何监管?!,如何监管?!,福建省海峡信息技术有限公司,寻找答案!,ISO/IEC17799,ISO27001,COSO,COBIT,ITIL,NISTSP800,信息安全管理相关的标准从不同的角度提出各自的控制体系！,信息安全的实现管理最重要性！信息安全审计是信息安全管理中的重要环节！面向业务的信息安全审计是审计的最高表现形式！,福建省海峡信息技术有限公司,第8层防御之面向业务的审计,冗灾备份,访问控制,漏洞修复,业务审计,攻击检测,HD-SAS概要,系统组成价值体现工作原理功能综述,福建省海峡信息技术有限公司,HD-SAS系统组件,捕包引擎,解析服务器,控制端,福建省海峡信息技术有限公司,HD-SAS典型应用,福建省海峡信息技术有限公司,HD-SAS价值所在,海量、无序,经整理过滤后变的有序,事件分析归类更加有序,事件关联找出有价值的,删除操作,误操作,攻击数据,查询操作,一项事件,福建省海峡信息技术有限公司,HD-SAS工作原理,福建省海峡信息技术有限公司,用户操作监管：用户监管包括用户名监管、机器名监管、拥有者监管等。通过对登录用户的用户名、机器名、数据库拥有者权限及操作记录的监管，及时发现异常非法操作，加强数据安全监管。,HD-SAS功能综述,福建省海峡信息技术有限公司,数据操作方式监管：数据监管包括新增、修改、删除数据监管等，通过数据监管发现操作量大的表及时调整数据库参数或配置，保障系统性能。同时在误删数据时，能及时通过日志进行数据恢复。,HD-SAS功能综述,福建省海峡信息技术有限公司,HD-SAS功能综述,系统性能分析与监管：日访问分布：提供分布图，掌握数据访问概貌，以便合理调整系统资源。数据流向分布：找出频繁操作表，调整系统参数或者是运行程序合理安排数据流向。操作方式分布：发现操作方式分布，调整使用策略，合理安排操作时间，避免数据异常失败。,HD-SAS技术特色,三权分立中英文解析对照高比例压缩的审计文件过滤指定数据审计项目详细(广度深、粒度细)异常事件报警、阻断提供数据库性能分析,福建省海峡信息技术有限公司,账户管理员,系统管理员,业务审计员,系统安全员,三权分立,福建省海峡信息技术有限公司,中英文解析对照,审计人员需要更加直观的审计数据将各种无法直观理解的审计内容转化为容易理解的中文,福建省海峡信息技术有限公司,高比例压缩的审计文件,100%,10%,审计数据存储于审计服务器审计数据需要长期存储我们所提供的解决方案:压缩与外存(自动压缩与刻盘),福建省海峡信息技术有限公司,可以对审计引擎进行管理，默认是所有的数据库数据包都捕捉（建议按此配置），也可对数据包进行过滤。,过滤指定数据,仅捕获特定数据或仅排除特定数据,福建省海峡信息技术有限公司,策略预警,清除隐患,福建省海峡信息技术有限公司,审计项目详细(广度深、粒度细),福建省海峡信息技术有限公司,提供数据库性能分析,提供对日访问量、用户访问报告；操作类型、数据表、IP统计；存储过程、程序名使用频率；,实例分析,价值所在!,通过审计解决业务系统资源异常耗尽通过审计”斩断”伸向业务系统的”黑手”,福建省海峡信息技术有限公司,案例1数据性能分析提供的价值,某业务系统在业务高峰期间经常性的性能下降，导致前台柜面操作排起了长龙队伍。为了维持系统正常运行，只能频繁地切换主备服务器以缓解系统缓慢问题!,福建省海峡信息技术有限公司,核心网络,业务终端,生产系统,WEB系统,中间件系统,数据库系统,业务系统,操作系统正常！,CPU,内存正常！,中间件正常！,数据库资源正常！,网络流程正常！,终端没问题！,安全子系统,没有爆发病毒!,紧急警报！业务高峰期（9：00-10：00）系统运行异常缓慢，柜台排起了长龙队伍！,？,案例1数据性能分析提供的价值,福建省海峡信息技术有限公司,案例1数据性能分析提供的价值,进入紧急状态开发商到位！从系统监控来看，系统没什么异常，由于模块众多，一下子也难以得出结论。集成商到位！从网络层面来看，网络畅通无阻！安全厂商到位！从防火墙、防病毒、入侵检测来看，没有异常行为或事件！,福建省海峡信息技术有限公司,案例1数据性能分析提供的价值,新上一套数据库安全审计系统，看看哪里有没有信息？查看9：00后的数据库操作流量：,福建省海峡信息技术有限公司,案例1数据性能分析提供的价值,查找9：00-10：00的数据库访问操作报表：,经查，排名第一的IP是某后勤业务科室的一台PC，第二名为前置服务器，访问量分别为8万和5万，其余机器访问量稳定在1-2万之间前置机访问量大是正常的，但192.1.118.100访问量比前置机都大了3万多，肯定有问题！,福建省海峡信息技术有限公司,案例1数据性能分析提供的价值,通过统计报表一目了然：,发现其每秒中进行的数据库操作达到了600-700条SQL语句。,经一步查询192.1.118.100的数据情况：,福建省海峡信息技术有限公司,案例1数据性能分析提供的价值,通过数据库审计系统得知，该PC在上午9：40-9：50分，大量重复执行一条SQL语句：selectfpxz,fpks,fpjsfromSF_FPDJK很明显，业务系统出现了逻辑故障，进入了死循环状态。这种故障不会引起很大的网络及系统资源消耗，但业务队列却被充满了，使正常业务延时很大，表现为系统运行缓慢！问题得到定位，开发商也很容易去查找代码问题。,福建省海峡信息技术有限公司,案例1数据性能分析提供的价值,核心网络,业务终端,生产系统,WEB系统,中间件系统,数据库系统,业务系统,操作系统正常！,CPU,内存正常！,中间件正常！,数据库资源正常！,网络流程正常！,终端没问题！,安全子系统,没有爆发病毒!,福建省海峡信息技术有限公司,案例2通过审计”斩断”伸向业务系统的”黑手”,终于猜解出来了，开始改数据,猜密码,福建省海峡信息技术有限公司,猜解Oracle内置账号system的密码,至少1000次的尝试登入（oracle_login）,失败,福建省海峡信息技术有限公司,案例2通过审计”斩断”伸向业务系统的”黑手”,System用户名访问量很大,总共尝试了1273次,福建省海峡信息技术有限公司,“预警策略”的设置,预警结果,福建省海峡信息技术有限公司,案例2通过审计”斩断”伸向业务系统的”黑手”,密码猜解正确后，详细完整的操作过程审计,福建省海峡信息技术有限公司,业务系统需要第8层防御,知道业务系统出问题!知道为什么出问题!知道问题出在哪!通过使用审计系统我们可以做到知其然,知其所以然!,FAQ,福建省海峡信息技术有限公司,FAQ,A：这套设备架设到网络中，会影响原来网络性能吗?Q：不会，本系统采用的旁路接入网络的方式，一般通过交换机镜像口进行捕包分析，不会影响到原网络性能。A：这套设备是否是标准的电信标准硬件型号？Q：是的，本设备支持标准的电信标准硬件型号。,福建省海峡信息技术有限公司,FAQ,A：我用数据库自身审计系统就可以了，为什么要用你第三方的审计系统呢？Q：一般对于业务量大网络，数据库自身审计功能有如下不足：最大的问题是性能的消耗太大，对每个操作他都会记录，造成磁盘空间，cpu等资源占用情况太大，比如cpu资源会因此负担约30%，当然与数据库服务器的性能，以及数据库连接数的多少也很有关心；一般没有对查询语句的审计，因为这对于系统的资源消耗更大，一旦开启，性能会耗10倍以上，而第三方审计可以承担起这部分工作；它记录信息需要专业的认识去看，而第三方可以提供更为完善的报表功能，方便不同类型审计者的浏览；一般没有对超级管理员的审计；难以做到实时显示的效果；而使用第三方审计系统可以有效避免这些问题。,福建省海峡信息技术有限公司,FAQ,A：这套系统有自身审计功能吗？Q：该系统对每个组件都有详细的审计信息记录，对“什么时间，什么对象，发生了什么，结果怎么样”进行记录，并将加入风险级别条件。对审计数据查看和管理权限进行严格限制。A：该系统后台使用什么数据库存储？Q：考虑到审计数据一般量比较大，该系统后台支持Oracle各种版本进行存储，当然会陆续开发出支持更多后台数据库存储的方式。,福建省海峡信息技术有限公司,FAQ,A：这套系统支持什么类型的数据库？