有效的信息安全审计系统综合解决方案

1、有效的信息安全审计系统综合解决方案产品简介e*linux信息安全审计系统一方而，提供网络接入的部门可以方便地管理上网用八，保 证网络资源有效的使用；另一方面，政府部门可以实时监控本区域内internet的使用情况， 为信息安全的执法提供依据。版本功能系统的逻辑模型系统itl 一台或多台数据采集服务器负责从代理服务器或者路由器采集网络的流暈信息， 并保存到数据库服务器中。计费服务器通过访问数据库服务辭，与用户管理协调来统计和控 制内部用八的上网行为。安全审计服务对采集來的流量数据进行实时监视，一旦发现非法的 数据，立即通过通讯服务将数据通知给控制中心。1数据采集数据采集服务负责为整个系统提供用户

2、上网的数据，是综合网络管理平台的巫要部分， 也是整个安全控制系统的基础。数据采集服务能够采集代理服务器、路由器、以及e*linux网关上的流量数据，并h通 过扩充新的模块，对以在短时间内迅速支持新的上网方式。网络管理员或者控制中心可以通 过灵活定制釆集规则，来控制流量数据采集的方式，以更有效地收集数据。同时，为了满足 大型网络数据流量大、以及拓扑结构复杂的要求，数据采集服务既可以分布在一个局域网内 部的多台服务器之上，也可以分布在不同地点的多台服务器之上，监控中心可以通过采集规 则和数据同步来有效地控制所有的采集服务器。针对通过路山器接入到互联网的情况，数据采集服务可以采用snmp、rmon或

3、者ip accouting的方式來取得路山器上记录的流量信息，支持市而上主流的路山器。另外，broadengate还有口己的网关产品e*linux, e*linux已经町以与数据采集服务最 紧密地结合，收集到流入和流出网络的各个协议数据包的详情。数据库服务器可以采用市血上主流的大型数据库管理系统，如oracle, sqlserver, db2 等等，综合网络管理平台可以通过bnxidengate数据访问接口来无缝地连接这些数据库系统。 同时，通过数据廉复制来实现数据库的分布和同步，以使安全监控系统具备可扩展的数据处 理能力，保证在网络流量h益增大的情况下系统可以可靠地运行。2. 计费系统实现计

4、费系统的功能是对内部用户上网的情况进行统计分析，并对川户的上网行为进行控 制。计费系统的数据来源于数据采集服务。无论用户网络采用代理服务器上网、还是采用专 线上网、或者是用e*linux网关上网，计费系统都会以统一的接口和灵活的方式来反映出每 个内部用户的上网行为。另外，通过e*linux网关，计费系统还可以实时控制内部用八的上网。3. 监控系统实现监控系统是安全审计系统的核心，它负责实时监视进出网络的流量，发现非法数据后, 能够迅速定位数据包的来源，并能够述原出会话过程，并能够及时将这些信息通知给监控中 心。下面分布就各部分的功能进行描述。3.1实时审计实时审计的实现基于预先定义的审计规则以

5、及数据并系统的触发器机制。审计规则可以 灵活定义，结合用户名称、ip地址、网卡mac地址，访问目标的域名、ip地址、端口， 以及敏感字句等等要素。实时审计分为两个级别，称为低敏感级和高敏感级。处于低敏感级别时，系统只关心流过网关的域名或ip地址是否符合规则的要求，当一 个新的ip包被捕获以后，数据采集服务会将这个ip包的详细信息，包括源地址、源端口、 目的地址、目的端口，记录到数据库中，通过触发器的设定，数据库系统会自动启动一个规 则比对的过程，发现问题后及时处理。系统处于高敏感级别时，除了关心ip地址的合法性z外，述关心流过的数据包中的内 容是否合法，是否含有敏感字句。山于数据采集服务采集到

6、的是单个的1p包的序列，要得 到数据包中内容，必须对tcp的会话过程进行再现，也就是说，必须将会话中涉及到的全 部ip包进行重新组装，并得到一个可以理解的tcp过程。tcp会话的还原过程由实时审计 系统内部的模拟tcp/ip栈来实现。通过tcp/ip栈的模拟，并结合应用协议的分析，所有的tcp应用协议，如telnet、 http、ftp、smtp、pop3、imap,以及基于udp的icq、oicq等等都可以在实时审计 系统面前一览无遗。最后，规则控制模块对协议的会话内容进行检查，完成实时审计过程。如果发现非法情 况，通知数据库服务记录下给定时间段某个用户的数据流，为h后的动作回放做准备。同时

7、, 以告警灯、告警声咅、告警级别（从颜色上反映）、以及告警分析等方式通知监控中心。3.2动作回放动作冋放是实时审计的杳看工具，也就是说，实时审计发现了问题，监控中心得到了报 警信息，通过动作冋放，就可以更加育观地显示出被报警用户的使用网络的全过程，为执法 人员提供可信的证据。动作冋放功能是在网络控制中心由监控人员来使用。为了执行一个冋放，首先，监控中 心需要与远程的通讯服务联系，通过数据库服务，取得一个报警所涉及的全部ip包。监控 中心得到了全部ip包z后，与实时审计一样，需要启动一个模拟的tcp栈，还原出tcp 的会话过程，最后按照协议的不同，在不同的环境下重现用户使用网络的过程。例如，某个

8、 远程的用八通过web浏览器访问了非法站点，并发布了非法信息，监控中心得到了告警z 后，得到了该用户的http的会话过程，其中包含了 url的请求，服务辭的返回等等，在 监控中心的模拟环境中，就可以重现url请求和服务器返冋的详细情况。3.3屏幕监控监控屮心通过屏幕监控系统可以实时监控每个上网川户的屏幕变化。在川户通过用户管 理背记到broadengate系统上来的时候，系统在客户端安装一个小型的不可见的插件，这个 插件作为屏幕监控的客户端，实时截取用户屏幕数据，转换成特定的格式，并通过高性能的 数据压缩和数据加密，传输给监控中心。监控中心的屏幕监控服务器可以同时监控多个工作站，记录工作站显示

9、屏的画而，冋放 已记录的画面。另外，屏幕监控服务器还可以报告工作站和系统的其它使川情况、锁定工作 站、并传送实时信息给工作站。3.4监控中心监控中心系统负责控制木区域范围内的broadengate安全审计系统，定制监控策略，并 发送到每个远程的被控对象，控制它们的数据采集和审计行为，并可以实时显示各被控对象 的状态。远程的被控对象在发现非法情况时，在监控终端上可以实时反映告警的各种信息， 并可以通过调用动作回放和屏幕监控系统得到进一步的告警信息。4. 用八管理系统的实现用户管理系统由用户及用户组管理、动态地址分配组成。用八和用户组管理记录用户的基本信息，并按照用户组对用八进行组合，以一种树状的 方式來灵活地管理本区域范围内的全部用户。动态地址分配是broadengate在dhcp基础之上实现的ip地址分配系统，结合用八所 在机器的网卡mac地址、用户名、用户密码等信息给内部用户分配一个唯一的内部ip地 址，并设定ip地址的租用期限。通过动态地址分配，可以有效地避免用户名和用户地址变 动的情况下用户管理的难度，能够在局域网内部