帕拉迪统一安全管理与综合审计系统技术说明书.doc

目目 录录 一主机安全现状分析一主机安全现状分析.3 3 1.1网络服务器安全隐患.3 1.1.1企业网络安全风险分析.3 1.1.2严格分权管理问题.4 1.2SOX(萨班斯法案)与 IT 运维管理.4 二帕拉迪网络安全管理系统产品优势二帕拉迪网络安全管理系统产品优势.5 5 2.1 超强的规范管理能力.6 2.2 最细粒度的审计查询功能.6 2.3 “零”影响部署.7 三帕拉迪网络安全管理系统功能介绍三帕拉迪网络安全管理系统功能介绍.7 7 3.1 帕拉迪网络服务器安全管理系统理念.7 3.1.1 可视.7 3.1.2 可控.8 3.1.3 可管理.8 3.1.4 可跟踪.8 3.1.5 可鉴定.8 3.2 帕拉迪网络服务器安全管理系统应用.8 3.2.1 内部网络行为管理.8 3.2.2 对网络边界网关设备的管理.9 对数据库的管理.9 对黑客行为的防范.9 3.3 产品采用的关键技术.9 3.3.1 程序重用与控制技术.9 3.3.2 逻辑命令自动识别技术.10 3.3.3 分布式处理技术.10 3.3.4 实时监控技术.10 3.3.5 日志转储技术.10 3.3.6 加密传输技术.10 3.3.7 多进程/线程与同步技术.11 3.3.8 自动报表生成技术.11 3.4 帕拉迪网络服务器安全管理系统功能 .11 3.4.1 产品组件.11 3.4.2 细粒度策略控制功能.11 3.4.3 准确日志查询检索功能.12 3.4.4 菜单类操作回放审计功能.13 3.4.5 密码代填.13 3.4.6 帐号密码的安全管理.14 3.4.7 标准 Radius 认证接口.15 3.4.8 扩展命令.15 3.4.9FTP/SFTP 文件安全传输.16 3.4.10 跳转登录操作的智能审计.16 3.4.11 支持标准 SYSLOG 日志.17 3.4.12 日志格式多样化.17 3.4.13 图形操作审计.18 3.4.14 双机热备.20 3.4.15 服务器集群.21 3.4.16 操作“现场回放”.21 3.5 帕拉迪网络服务器安全管理系统应用 .22 3.5.1 安全管理 ISO17799.22 3.5.2IT 运维管理 ITIL .23 3.5.3IT 内控和 SOX/COBIT.23 四四PLDSECPLDSEC SMSSMS 典型部署模型典型部署模型.2323 4.1 网关方式部署.23 4.2 服务器方式部署.24 . . 一主机安全现状分析一主机安全现状分析 当前随着信息技术的发展和信息化建设的高速推进，业务应用、办公系统的不断开发和投入 运行。而支撑这些系统的运行平台网络/Linux 主机被广泛应用，在电信运营商、财税、公安、金 融、电力、大型公司和著名门户网站，更是使用数量众多的网络/Linux 主机来运行关键业务，提 供电子商务、数据库应用、运维管理、ERP 和协同工作群件等等的服务。 1.11.1 网络服务器网络服务器安全安全隐患隐患 由于缺乏相应的先进工具和手段，企业无法保证系统管理员严格按照规范来进行管理，如无 法保证系统管理员的真实管理行为/管理报告和规章制度要求一致，造成企业网络及服务器常处于 不可信、不可控、不可视状态。 面对系统和网络安全性、IT 运维管理和 IT 内控外审的挑战，管理人员需要有效的技术手 段，按照行业标准进行精确管理、事后追溯审 计、实时监控和警报。 如何提高系统运维管理水平，满足相关标 准要求，防止黑客的入侵和恶意访问，跟踪服 务器上用户行为，降低运维成本，提供控制和 审计依据，已经成为越来越困扰这些企业的问题。 .1 企业网络安全风险分析企业网络安全风险分析 网络管理人员需要监控第三方程序操作和命令网络管理人员需要监控第三方程序操作和命令 用户登录系统，执行 mysql、oracle 等命令，容易产生数据破坏或者网络攻击，所有的这些 操作需要被跟踪和限制。 大型集中应用环境不易统一监控、管理和快速响应大型集中应用环境不易统一监控、管理和快速响应 对于大型应用环境，网络管理员要管理和配置大量网络/LINUX 服务器，大量事故响应， . . 网络管理人员不堪重负。 无法提供对网络通信设备的操作，修改等行为审计无法提供对网络通信设备的操作，修改等行为审计 网络通信设备常常在网络/LINUX 系统上通过 ssh 远程登录进行管理，对网络通信设备的 操作无法审计，埋下安全隐患。 网络管理人员需要统一的手段，对服务器组进行安全保护网络管理人员需要统一的手段，对服务器组进行安全保护 网络管理人员常用防火墙，IDS 等设备，针对网段进行隔离和操作限制，因此，网络管理 人员需要不同手段，对外网/内网用户应用不同安全保护策略，应用和实施麻烦，容易疏 忽造成隐患。 服务器及其集群的运行状态监控已及性能调控服务器及其集群的运行状态监控已及性能调控 现有服务器监控软件基本上都是单机、单服务器方式运行，需要高素质管理人才进行管理。 将服务器状态信息集中化，发现企业服务器运行状态及瓶颈，成为网络应用比较急切和关 心的问题。 .2 严格分权管理严格分权管理问题问题 严格分权管理属于多用户多账号管理方式，用户在自己权限下生产和工作，但是，由于生 产的特殊性，常常需要用户具有 ROOT 账户权限。这就造成生产和管理的矛盾，临时 ROOT 权限分发可以解决 ROOT 权限生产问题，但是，这极大增大管理的复杂性和不安全性，稍有 疏忽，就可能造成管理的混乱。不分发 ROOT 权限，可能导致生产不能正常进行，至少影响 生产效率。 现有操作系统存在许多安全隐患，暴力破解、溢出攻击、社会工程等攻击方式，都可能使 普通用户或者黑客获取 ROOT 账户权限，进而执行普通用户权限外的操作，产生破坏。 严格分权管理管理负担比较重，管理员要对权限的分配和服务器上行为负责，同时，用户 在服务器上行为对管理员来说不可视，不可审计，出现问题，没人负责。 1.21.2 SOX(SOX(萨班斯法案萨班斯法案) )与与 ITIT 运维管理运维管理 SOXSOX 是 Sarbanes-Oxley Act 简称，正式名为 Public Company Accounting Reform and Investor Protection Act of 2002。于二零零二年由总统布什通过成为法例。此法案针对当年一连串上市公司 (Enron、Arthur Andersen、WorldCom 等)的财务丑闻而立。它为在美上市公司内部财务的管理定下 . . 了一些规范，以保障投资者和公司职员。因为，企业的经营活动，企业管理、项目和投资基本建 立在 IT 基础之上，以下两点就显得格外重要。如图 1.2 302302 节：节：要求行政人员证明他们公司设计和执行了 适当的控制，以保证所有财务报表都可靠而且付合公认会 计准则(GAAP)。 404404 节：节：要求所有在 302 节中所控制的过程都有可信 的财务报表。这法令要求 IT 经理对所有有关财务报表的产 生过程负责。404 节规定外国在美的上市公司必须在零五七 月十五日前完成有关的更改，零五三月美国证券交易委员会 将这死线推迟了一年至零六年七月十五日。 ITILITIL 是 Information Technology Infrastructure Library 的缩写，最早由英国商务部开发，是为了 应对行业不断增长地对 IT 服务的要求，提供 IT 管理最佳实践。ITIL 融合全球最佳实践，是 IT 部 门用于计划、研发、实施和运维的高质量的服务准则，是目前全球 IT 服务领域最受认可的系统而 实用的结构化方法。全球 10,000 多家在各行业处于领先地位的组织都在使用 ITIL 流程改进 IT 服 务的效率和沟通，大量的成功实践表明实施 ITSM 可以提高 IT 部门营运效率 25-300%。ITIL 自 1980 年代开始发展，经过行业专家、顾问和实施者的共同努力，已经成为 IT 服务管理领域最佳实 践事实上的国际标准。ITIL 可以与 ISO 9001 兼容，提供 IT 组织服务质量。 二帕拉迪网络安全管理系统产品优势二帕拉迪网络安全管理系统产品优势 帕拉迪网络服务器安全管理系统帕拉迪网络服务器安全管理系统（PLDSEC SMS）是杭州帕拉迪网络科技有限公司，经过长时 间的技术积累和攻关研发，于 2005 年 Q3 推出针对网络服务器安全管理、审计，业界领先并且拥 有自主知识产权的一款产品。 帕拉迪网络服务器安全管理系统（帕拉迪网络服务器安全管理系统（PLDSECPLDSEC SMSSMS）主要用于网络服务器系统安全防护，让网络）主要用于网络服务器系统安全防护，让网络 服务器的操作、管理和运行更加可视、可控、可管理、可跟踪、可鉴定，解决网络服务器系统级服务器的操作、管理和运行更加可视、可控、可管理、可跟踪、可鉴定，解决网络服务器系统级 别的安全问题、安全威胁，为国家重要部门和企业网络服务器的正常有序运行，提供可靠的安全别的安全问题、安全威胁，为国家重要部门和企业网络服务器的正常有序运行，提供可靠的安全 . . 保障。另外，也可以对数据库，网络设备，安全设备等各种保障。另外，也可以对数据库，网络设备，安全设备等各种 ITIT 设备进行操作行为管理。设备进行操作行为管理。 2.12.1 超强的规范管理能力超强的规范管理能力 可兼容管理所有支持（ssh/telnet、ftp 标准协议） CLI 命令方式管理的设备。 对高危命令的操作系统将实时阻断或给予警告（可手机短信通知信息主管人员）。 对授权用户的命令操作实时全程监控。 对第三方厂商程序开发人员、系统维护人员、数据库管理人员等多种角色进行身份 的认证及操作监控。 规范用户操作习惯（防止授权用户的误操作、无用操作）。 全方位的主机信息安全保障，可以制定严格的策略和用户权限的分配做到事前预防， 事中危险操作的实时阻断，事后的责任认定。 2.22.2 最细粒度的审计查询功能最细粒度的审计查询功能 用户可根据具体的操作命令、用户名、时间、IP 地址等 8 个条件任意组合查询、定 位操作日志。 对菜单向导类操作的智能审计并可对其操作过程实时的历史回放，如：informix 数据 . . 库操作、smitty 命令。 对共用帐号的操作进行全记录全审计（如：对多个拥有 root 权限的操作人员做强身 份识别）。 对用户在服务器间的跳转登录的全记录，每个跳转动作单独生成一个 Session 。 2.32.3 “零零”影响部署影响部署 不影响任何业务数据流。 设备的部署不更改现有的网络拓扑。 不增加系统和网络性能的负载。 部署方式灵活多样，适合任何构架的网络环境.部署周期短。 不改变管理员操作习惯（不需要安装客户端工具）。 三帕拉迪网络安全管理系统功能介绍三帕拉迪网络安全管理系统功能介绍 3.13.1 帕拉迪网络服务器安全管理系统帕拉迪网络服务器安全管理系统理念理念 . . 帕拉迪产品安全管理理念 .1 可视可视 PLDSEC SMS 能够动态实时的捕获网络系统用户使用的操作命令，真正做到让网络服务器上 的操作和行为可视。系统管理员可以直观的了解服务器上发生过的操作命令及其运行结果，结束 网络服务器操作管理的黑匣子时代。PLDSEC SMS 可以实时监控系统管理员操作过程，提供实时 监控中心和值班中心，可以集中实时的监控所有用户的操作行为和过程。 .2 可控可控 PLDSEC SMS 动态实时的捕获系统管理员操作行为，并可以对其进行策略审计，违反安全策 略的用户命令，将被禁止执行，使用危险命令的用户，将被剔出系统。这样，网络服务器将增加 一层安全防护功能，即使用户（恶意用户、黑客）取得命令的操作权限，该命令也不能生效，进 而保护网络服务器上关键资源和重要服务。 .3 可管理可管理 PLDSEC SMS 可以根据需要对指定用户或所有用户展开监控，可以限制和管理可疑用户行为， 真正让网络服务器摆脱操作和使用的黑匣子状态，监控和管理网络服务器上用户操作行为。同时， PLDSEC SMS 还对 CPU、MEM、DISK、PROCESS 和网络 I/O 进行监控管理，并通过图形化方式 直观的显示服务器运行状态，可以对网络服务器进行故障诊断。 .4 可跟踪可跟踪 PLDSEC SMS 通过远程日志服务器保存所有用户操作行为和运行结果，可以通过对用户操作 行为及其结果进行回放，跟踪用户在服务器上的操作过程，查看用户在服务器上的所有操作行为， 准确无误的了解用户的行为意图。PLDSEC SMS 日志服务器提供日志动态查询功能，支持特色化 报表生成功能，可以根据用户环境进行报表定制，及时直观的报告用户所关心的资源使用情况。 .5 可鉴定可鉴定 PLDSEC SMS 使用二次日志记录系统，保存用户操作行为过程。日志文件不可修改，不可杜 撰，通过对用户操作行为日志的分析，可以鉴定用户行为，并进行责任认定。二次日志记录加强 . . 了原始日志材料的防伪防杜撰功能，通过对比保存于两台日志服务器上的日志材料，可以准确可 靠的进行故障鉴定和责任认定。 3.23.2 帕拉迪网络服务器安全管理系统帕拉迪网络服务器安全管理系统应用应用 帕拉迪网络服务器安全管理系统非常适合于企事业加强对网络服务器的安全管理，减轻和防 止企事业的网络系统安全级别威胁。PLDSEC SMS 应用领域非常广阔，产品多种部署方式，可以 非常灵活的兼容于企事业现有安全架构。 .1 内部网络行为管理内部网络行为管理 严重的攻击来自系统内部(75%来自内部攻击)，帕拉迪网络服务器主要应用于内部用户行为管 理，保证内部用户的操作和行为可控、可视、可管理、可跟踪、可鉴定，防止内部人员对机密材 料的非法获取和使用，保护企事业核心机密。 .2 对网络边界网关设备的管理对网络边界网关设备的管理 网络边界安全设备是企事业网络安全防护系统的重要组成部分，网络边界安全设备的安全策 略，对企事业内部网络安全，起着非常重要的作用。PLDSEC SMS 可以记录管理员对这些安全设 备的配置过程，保证安全策略的一致性，其生成的日志系统，可以比较方便的集成到企事业现有 安全策略管理架构中。 对数据库的管理对数据库的管理 数据库是企事业核心机密的重中之重，PLDSEC SMS 可以记录用户对数据库（如： MYSQL，Oracle）的操作过程，防止用户人为修改数据库数据记录，防止用户删除数据记录。 PLDSEC SMS 可以还原用户操作过程，对于重要数据库的防护，有非常重要的价值。 对黑客行为的防范对黑客行为的防范 黑客常常通过手段（如：社会工程、恶意程序、系统设置漏洞、缓冲区溢出程序等）获取用 户权限，然后使用该权限登陆系统。PLDSEC SMS 可以记录该黑客的操作过程，对于事后查证和 数据恢复，有非常好的适用价值。PLDSEC SMS 还可以通过地址邦定功能对黑客行为进行限制， 即使黑客取得系统权限，也不能对系统做任何操作。 . . 3.33.3 产品采用的关键技术产品采用的关键技术 帕拉迪网络服务器安全管理系统采用系列先进技术，成功实现命令捕获与控制，为网络系统 安全运行，提供强有力的武器。 .1 程序重用与控制技术程序重用与控制技术 帕拉迪网络服务器安全管理系统采用先进的程序重用与控制技术，可以启用和控制任何网络 程序。通过程序重用与控制技术，可以完全利用现有程序的先进功能，避免重新开发，同时，在 重用的过程中，可以控制重用程序的行为，实现新的功能需求。如：通过重用 bash，可以实现对 bash 命令行的控制功能。 帕拉迪网络服务器安全管理系统控制被重用程序的输入与输出，再通过高效同步技术，完美 重用和控制现成网络类程序，同时，对程序现有功能进行扩充，改变现有程序行为，增加现有程 序功能。 该技术还可以进行自定义扩充，如：截获数据、自动输入、隐藏或者改变输出等，达到自动 控制程序运行效果。 .2 逻辑命令自动识别技术逻辑命令自动识别技术 帕拉迪网络服务器安全管理系统自动识别当前操作终端，对当前终端的输入输出进行控制， 组合输入输出流，自动识别逻辑语义命令。系统会根据输入输出上下文，确定逻辑命令编辑过程， 进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能，在传统键盘捕获 与控制领域取得新的突破，可以更加准确的控制用户意图。 该技术能自动识别命令状态和编辑状态以及私有工作状态，准确捕获逻辑命令，现在该技术 已经申请专利。 .3 分布式处理技术分布式处理技术 帕拉迪网络服务器安全管理系统采用分布式处理架构进行处理，启用命令捕获引擎机制，通 过策略服务器完成策略审计，通过日志服务器存储操作审计日志，并通过实时监视中心，实时察 看用户在服务器上行为。 这种分体式设计有利于策略的正确执行和操作记录日志的安全。同时，各组件之间采用安全 . . 连接进行通信，防止策略和日志被篡改。各组件可以独立工作，可以分布于不同的服务器上，亦 可所有组件安装于一台服务器。 .4 实时监控技术实时监控技术 帕拉迪网络服务器安全管理系统实现远程值班中心和实时监控中心，集团网络服务器运行状 态监控可以实时进行。实时监控中心直接和命令捕获引擎通信，避免日志服务器和策略服务器的 运行负载，有利于系统实时性的提高。 .5 日志转储技术日志转储技术 帕拉迪网络服务器安全管理系统提供日志本地存储和异地存储，本地存储直接保存在本机上， 异地存储是与专业存储设备对接实现异地存储功能，确保监控日志安全。通过多种存储技术，实 现日志冗余目的，解决了日志单一存储丢失的问题，为事故责任鉴定提供有力依据。 .6 加密传输技术加密传输技术 帕拉迪网络服务器安全管理系统所有组件之间采用安全连接技术，避免数据在传输过程中被 监听，修改。系统采用 3-DES 算法进行加密。另外，系统还采用 rc2 和 rc4 等加密算法，实现日志 的保密处理。 .7 多进程多进程/ /线程与同步技术线程与同步技术 帕拉迪网络服务器安全管理系统主体采用多进程/线程技术实现，利用独特的通信和数据同步 技术，准确控制程序行为。多进程/线程方式逻辑处理准确，事务处理不会发生干扰，这有利于保 证系统的稳定性、健壮性。 .8 自动报表生成技术自动报表生成技术 帕拉迪网络服务器安全管理系统利用正则表达式，通过规则文件方式，实现 WEB 自动报表功 能。每个规则文件定义需要自动报告的特征和正则表达式，描述输出形式。嵌入 WEB 服务器根据 该规则文件，自动生成 WEB 报表。 自动报表技术可以产生一个数字的报告，如：登陆用户数目统计，也可以产生长篇累牍的报 表，其中，报表列数，报表标题，报表字段颜色等，都可以在规则文件内自定义。 . . 3.43.4 帕拉迪网络服务器安全管理系统功能帕拉迪网络服务器安全管理系统功能 .1 产品组件产品组件 帕拉迪网络服务器安全管理系统由命令捕获引擎、策略服务器、日志服务器、用户接入和集 中配置服务器等五大模块组成。各模块之间相互关系如下图： 各模块处理关系 .2 细粒度策略控制功能细粒度策略控制功能 策略采用类防火墙策略，利用正则表达式进行模式匹配，符合通常使用习惯，支持对登陆地 址、服务器地址、用户名、操作时间、操作命令等元素进行策略审计。策略支持“非”逻辑。 . . 控制策略定义 .3 准确日志查询检索功能准确日志查询检索功能 PLDSEC SMS 提供了人性化的日志管理、查询功能。管理人员可以根据：用户命令、主机地 址、主机帐号、时间范围等多项条件任意组合，进行快速、准确的日志定位查询。 日志查询 . . .4 菜单类操作回放审计功能菜单类操作回放审计功能 PLDSEC SMS 支持 AIX SMITTY 操作审计，支持 INFORMIX DBACCESS 数据库前端操作审计， 支持 SQL PLUS 数据库操作审计，支持文件内容修改审计。IBM、HP 等服务器操作系统，使用自 身提供的集中管理工具管理服务器，这些管理工具基于图形菜单设计，审计“图形”菜单操作行 为，方便后期管理查询和审计，是帕拉迪网络服务器安全管理系统的一大特色。 菜单操作历史回放 .5 密码代填密码代填 为了增加主机帐号密码安全，帕拉迪网络安全管理系统提供密码代填功能。在网络服务器安 全管理系统 WEB 控制台上，管理员为每台主机资产添加帐号与密码。用户通过二次跳转的方式登 录目标主机进行操作，只要输入一次网关用户登录密码，然后选择目标资产编号和账号编号就完 成目标主机登录任务，目标主机帐号密码对用户透明有效防止主机密码的泄漏，同时也方便了用 户操作服务器。 . . 密码代填 .6 帐号密码的安全管理帐号密码的安全管理 主机账号密码自动分发，自动根据固定时间和更新周期，更新目标主机账号密码，减少管理 员工作量。大型异构网络，密码管理成为管理员非常头痛的事情。帕拉迪网络安全管理系统可以 自动根据管理员要求，定时或者周期更改远程主机相关账号密码，增大密码更新频度，避免密码 长时间不变被泄露，造成安全隐患。同时，系统支持密码推送结构邮件分发和密码管理员 WEB 下 载功能（需要二次身份验证），最新密码副本可以安全的分发到管理员手中，避免密码丢失风险。 邮件服务设置 . . 帐号动态密码设置 .7 标准标准 RadiusRadius 认证接口认证接口 PLDSECPLDSEC SMSSMS UTMUTM 支持标准的 Radius 认证协议，能够很方便的和身份认证产品集成，提升产 品安全性和扩展性。 用户认证配置 .8 扩展命令扩展命令 用户操作服务器重复输入某些命令的情况时有发生，帕拉迪网络服务器安全管理系统针对这 一情况提供了扩展命令功能，用户如要在某台服务器上重复执行命令集，只需将重复执行的命令 添加到扩展命令表中，当用户通过二次跳转方式登录目标主机时，网络服务器安全管理系统对用 户自定义命令集进行预处理。 . . 扩展命令管理 .9 FTP/SFTPFTP/SFTP 文件安全传输文件安全传输 为了提高安全性，在部署 PLDSEC SMS 后系统将断开操作用户与目标服务器之间的连接，为 方便服务器的维护和文件传输的安全，帕拉迪推出两种文件传输方式，一种是 FTP 代理，一种是 SFTP 一站式传输，用户直接将文件通过网络安全管理系统，将文件 SFTP 到目标主机，中间没有 停留，直接到站。整个使用 FTP/SFTP 方式传输文件的过程，都会被 PLDSEC SMS 实时完整的记 录下来。 FTP/SFTP 审计设置 .10 跳转登录操作的智能审计跳转登录操作的智能审计 用户行为跳转分析，每次跳转（TELNET、SSH 方式登录目的服务器）会自动生成新的操作 SESSION，方便管理员直接查询目标服务器上行为，支持多重嵌套跳转。跳转分析可以方便用户 . . 行为跟踪，管理员可以直接查询目标服务器上发生的操作行为，节省管理员精力和时间。 .11 支持标准支持标准 SYSLOGSYSLOG 日志日志 支持标准 SYSLOG 日志输出，方便与第三方日志分析类产品集成整合，用户可以实时直观的 在线监控服务器操作管理行为.SYSLOG 输出事件包括：用户登录事件、用户退出事件、用户操作 命令、用户屏幕。 标准 Syslog 日志 .12 日志格式多样化日志格式多样化 网络服务器安全管理系统日志支持多种格式的输出，包括 txt、pdf、xls，用户可以根据自己的 需要进行审计日志的查看。 . . txt 格式输出日志 pdf 格式输出日志 . . xls 格式输出日志 .13 图形操作审计图形操作审计 针对图形终端的远程操作，帕拉迪网络服务器安全管理系统推出特有的图形操作审计功能。 用户对 Windows、网络服务器的远程桌面操作全部集中登陆到 PLDSEC SMS UTM 系统上，再通过 二次跳转的方式对服务器进行远程操作，系统将根据用户的权限分配给用户可访问的资源，实现 用户远程桌面操作强审计，且审计结果不可更改、不可杜撰。 用户使用帕拉迪 RDP 审计客户端连接网络服务器安全管理系统进行图形操作日志下载、播放， . . 日志播放支持快进、暂停、播放点定位等功能，方便管理员追溯关键操作。 RDP 审计客户端 网络服务器安全管理系统支持图形界面操作审计包括：RDP、X-WINDOW、VN