某公司服务器安全审计系统技术项目解决方案

1、 中科新业网络哨兵中科新业网络哨兵服务器安全审计系统技术解决方案服务器安全审计系统技术解决方案市中科新业信息科技发展市中科新业信息科技发展 2 / 192022 年 3 月 6 日 3 / 19目目 录录1 1、概述、概述 3 32 2、XXXX 企事业单位服务器安全审计面临的问题和挑战企事业单位服务器安全审计面临的问题和挑战 3 33 3、中科新业网络哨兵服务器安全审计系统解决方案、中科新业网络哨兵服务器安全审计系统解决方案 4 43.1、系统部署 53.2、方案主要实现的功能与效果 64 4、产品选型与参数、产品选型与参数 12125 5、产品获得主要资质、产品获得主要资质 13136 6

2、、案例介绍、案例介绍 17177 7、中科新业简介、中科新业简介 19191 1、概述概述随着人们对网络的使用越来越普与，网络给我们带来许多方便的同时，在网络中承担众多功能的服务器也带来了许多风险和挑战，例如：非法访问服务器、利用合法访问服务器身份对服务器进行非法操作、正常访问服务器对服务器进行误操作、上传发表不良言论、泄露公司敏感和信息。这些威胁和挑战事件多数是来自于部合法访问者的“合法”操作，仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对这些网络安全事件（特别是基于应用程序）的行为审计要求，网络哨兵服务器版正是在这样的需求下产生的。凭借在安全审计领域多年的技术积累和研发经验，

3、中科新业在成功开发和应用网络哨兵的基础平台上，推出的适用于多种网络环境的新一代网络安全审计系统。它通过专门细致的网络数据获取协议分析技术、数据存储技术、数据查询技术并配合完善的管理规则，帮助访问者应对来自网络的风险和挑战。 4 / 192 2、XXXX 企事业单位服务器安全审计面临的企事业单位服务器安全审计面临的问题和挑战问题和挑战保存在服务器信息资产是企事业单位核心业务开展过程中最具有战略性的资产，通常都保存着重要的信息，这些信息需要被保护起来，以防止非法者获取。互联网的急速发展使得数据库信息价值与可访问性得到了提升，同时，也致使类似数据库等服务器信息资产面临严峻的挑战，概括起来主要表现在以

4、下三个层面：管理层面：主要表现为人员的职责、流程有待完善，部员工的日常操作有待规，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。技术层面：现有的数据库部操作不明，无法通过外部的任何安全工具(比如：防火墙、IDS、IPS 等)来阻止部用户的恶意操作、滥用资源和泄露企业信息等行为。审计层面：现有的依赖于系统运行日志文件的审计方法，存在诸多的弊端,比如:服务器审计功能的开启会影响服务器本身的性能、服务器日志文件本身存在被篡改的风险，难于体现审计信息的真实性。XX 企事业单位作为重要的涉密单位，部服务器存放着大量的涉密资料，一旦这些服务器遭到攻击或者被恶意操作，造成

5、服务器宕机、数据丢失等，严重影响企业部办公，网络管理人员无法与时获悉，与时处理，也无法准确定位责任人，迫切需要建立专业的针对服务器访问操作行为的安全审计机制。经过与 XX 企事业单位网络管理人员沟通，结合我们在服务器安全审计系统建设领域多年的实践经验，目前 XX 企事业单位建设服务器安全审计系统主要是为了解决以下问题：1、通过统一的管理平台，全面记录管理员或使用者对数据库服务器访问操作，当“数据库表结构、控制数据访问的权限和数据库配置模式”等发生变化时，需要进行自动追踪。2、全面审计对 OA、ERP、 、ftp 等关键服务器访问操作行为，发现可能存在的容安全操作漏洞。 5 / 193、建议智能

6、的、针对数据库可疑操作的报警系统；可疑行为发生时可以自动启动预先设置的告警流程，防数据库风险的发生；不论在什么时间、以什么方式、只要数据被恶意修改或查看了就需要自动对其进行追踪。4、从多个层面追踪到的信息自动整合到一个便于管理的，长期通用的数据存储，这些数据需要独立于被审计服务器本身。5、防止利用合法访问服务器身份对服务器进行非法操作、正常访问服务器对服务器进行误操作；防上传或发送或发表不良言论、发送不良或有害文件、泄露单位敏感和信息。3 3、 中科新业网络哨兵服务器安全审计系中科新业网络哨兵服务器安全审计系统解决方案统解决方案市中科新业信息科技发展（以下简称“中科新业” ）是国网络安全审计领

7、域的先行者和领导厂商，针对企事业单位在网络安全审计需求，凭借着强大的研发团队和在网络应用协议分析、网络安全系统集成等近 10 年的实践经验，推出了业界领先的网络哨兵（Seentech，即服务器安全审计系统） ，中科新业一直致力于为广大客户打造安全、可靠、和谐的上善网络，发现可能存在的恶意、有意无意的针对服务器操作行为。为了解决上述问题，我们通过在 XX 企事业单位中部署中科新业网络哨兵服务器安全审计系统，该系统易于部署和操作，系统支持旁路部署方式，采用旁路部署时完全不改变原有网络架构和网络配置，不影响系统其运行性能，为 XX 企事业单位提供数据库、Web 、Ftp、 、telnet 等针对服务

8、器操作级别一体化审计技术解决方案。通过建成 XX 企事业单位服务器安全审计系统，能够有效的对部服务器的异常操作进行报警，全程记录所有用户针对关键后台数据库的操作命令，实现对网络中对服务器的访问行为、容进行审计、报警、查询和分析，如网页浏览、收发、数据库访问等全方位的审计。 6 / 193.13.1、系统部署系统部署中科新业网络哨兵服务器安全审计系统旁路接入网络，不改变 XX 企事业单位原有的网络架构。网络哨兵服务器安全审计系统部署如上图示，在典型的网络环境下，与单位部服务器连接的交换机必须支持端口镜像功能，网络哨兵旁路接入交换机镜像端口，审计对服务器的操作行为。3.23.2、方案主要实现的功能

9、与效果方案主要实现的功能与效果.1、 静态数据库审计，与时预警安全事件静态数据库审计，与时预警安全事件在 XX 企事业单位网络部署网络哨兵服务器审计系统，可以审计用户对数据库访问的行为，代替繁琐的手工检查,预防安全事件的发生。系统审计用户的 IP、访问时间、端口、数据库所在的服务器 IP、以与访问数据库的命令、以与命令返回的结果等追踪信息，任何尝试的攻击或违反审计规则的操作都会被检测到并实时告警（告警方式：短信或者） ，以确保与时发现可能存在的非法操作，为后续的审计的安全策略设置提供有力的依据。 7 / 19目前支持针对 DB2、Oracle、SQL-Server、MySQL

10、等 4 种数据库的访问。.2、 FTPFTP 协议审计，降低文件被恶意操作风险协议审计，降低文件被恶意操作风险在 XX 企事业单位网络部署网络哨兵服务器审计系统，可以对部上网用户使用FTP 协议进行文件传输行为，审计访问者 IP、端口、FTP 服务所在的服务器 IP、以与 FTP 进行文件传输行为（上传、下载） 、命令、FTP 用户名、上传下载时间等信息。记录恶意删除文件，保存用户下载文件记录，一旦服务器发生数据丢失做到有据可查。 8 / .3、 TelnetTelnet 操作回放，防止恶意操作操作回放，防止恶意操作在 XX 企事业单位网络部署网络哨兵服务器

11、版审计访问者通过 TELNET 协议远程登入服务器的行为，审计访问者 IP、端口、TELNET 服务所在的服务器 IP、以与TELNET 进行远程登陆的命令、用户名等信息。.4、 数据交互审计，检测网络访问安全数据交互审计，检测网络访问安全在 XX 企事业单位网络部署网络哨兵服务器安全审计系统可以审计用户访问部、Web 、BBS 站点等服务器行为，记录访问容信息，审计访问者的 IP、访问时间、端口、访问网页所在的服务器 IP，对可能出发报警关键字的访问进行与时报警，并保存日志，以备查验。检测容包括：通过部服务器收发完整信息（SMTP、POP3、webmail） ，Web 站点点

12、击率、部 BBS 站点发帖详细信息容（POST） ，防止服务器遭到攻击、外发一些可能触与法律责任的非法信息，为容外发增加预警机制。 9 / 19可以针对网页容，标题关键字报警；POST（BBS）容关键字报警；BBS 账号关键字报警；POP3&SMTP 收发账号报警；POP3&SMTP 收发标题关键字报警；POP3&SMTP收发容关键字报警；POP3&SMTP 收发附件容关键字报警；WEB MAIL 发送账号报警；WEB MAIL 发送标题关键字报警；WEB MAIL 发送容关键字报警；WEB MAIL 发送附件容关键字报警；Ftp 账号报警；Ftp 上传文件容关

13、键字，文件名称报警；Telnet 账号，容关键字报警。 10 / .5、 服务器访问流量实时监控服务器访问流量实时监控系统对服务器流入流出数据包流量可以以列表的形式显示所选服务器的数据包流量和流速，包括总数据包数、外发数据包数、外发包速、流入数据包数、流入包速、总流量、流入流量、流入速度、流出流量、流出速度，如下图所示：检测服务器访问流量是否异常，为科学规划服务器带宽资源提供科学依据。.6、 强大的日志报表分析强大的日志报表分析统计报表为用户提供了强大的审计日志统计分析功能，用户可以在评估报表中根据自身的需求，生成多种自定义审计报表，系统支持多种样式的审计结

14、果显示方式，如：报表、柱状图、折线图、趋势图、横向图、柱状均势图、饼状图、折线填充图等； 11 / 19借助网络哨兵日志分析报表系统，XX 企事业单位网络管理人员可以清晰掌握服务器的被访问操作行为，快速查找可能存在的服务器操作安全事件。 12 / 194 4、 产品选型与参数产品选型与参数 型号项目SSA5000SSA5000SSA7000SSA7000产品图片操作系统基于优化的 Linux 系统基于优化的 Linux 系统处理器2 颗 INTEL XEON5500 系列 CPU2 颗 INTEL XEON5600 系列 CPU存4G8G尺寸规格2U2U默认支持 IP 数5 个 IP 授权（可

15、扩展15）15 个 IP 授权（可扩展50）网络接口4*10/100/1000M 电口，2*1000M 多模光口 （光口选配）2*10/100/1000M 电口，4*1000M多模光口 （光口选配）电磁兼容性国家标准 Class A 以上国家标准 Class A 以上操作温度035035存储温度:-2080-2080相对湿度:0%95%0%95%网卡最大捕包速度100000pps(每秒数据包)120000pps(每秒数据包)数据保存时间90 天以上90 天以上备注一般认为一个服务器只有一个网卡，即一个 IP 授权 13 / 195 5、 产品获得主要资质产品获得主要资质国家局涉密信息系统产品检

16、测证书 省自主创新产品证书 市自主创新产品认定证书 中国国家信息安全产品认证证书 14 / 19一种多链路抓包系统方法与网络审计系统发明专利证书 15 / 19服务器上传文件的敏感信息过滤系统与方法发明专利证书 16 / 19分布式审计系统发明专利证书 6 6、 案例案例介绍介绍电信电信 IDCIDC中科新业 IDC 审计项目构建电信“黄毒”防火墙，获中央电视台连续报道！2011 年 1月 3 日晚中央电视台一台的焦点访谈专题报道构建“黄毒”防火墙， news.xinhuanet./video/2011-01/04/c_12943457.htm该项目一共在 5 条 1G 的，线路上部署 5 台

17、网络哨兵服务器安全审计系统，并通过统一管理中心管理所有 5 条线路的审计系统，为 IDC 机房的服务器安全提供预警机制，一旦发现黄赌毒邪访问或者借助 IDC 机房机器发布不良资源立即报警，同时，详细记录数据库服务器所有用户的操作行为，一旦发现不符合规则的操作立即报警，为保证关键服务器提供全面的预警！ 18 / 19市宝安区教育局市宝安区教育局网络哨兵服务器安全审计系统为宝安区教育局绿色校园网络护航！防止透过借助校服务器发布不良信息，与时发现对服务器不良操作行为，加强服务器管理安全！ 19 / 197 7、 中科新业简介中科新业简介市中科新业信息科技发展以下简称“中科新业” ，成立于 2002

18、年 9 月，位于称为“创业的沃土，成功的家园”的市高新技术产业园区。中科新业是国家级高新技术企业，多次获得国家级课题与省、市各种荣誉。如国家发改委产业示化项目、国家科技部火炬计划项目；市自主创新百强企业、市南山区民营科技领军企业。2010 年 5 月，中科新业获得“市重点软件企业”称号。中科新业网络哨兵获得“2010 年度国家重点新产品计划”立项，这也是网络哨兵继获得“2008 年市科技创新奖” ， “2009 年市自主创新产品称号” ， “2009年省自主创新产品称号” ， “2009 年省科学技术奖三等奖”等荣誉后的又一重大产品成就。获得的技术发明专利有“分布式审计系统” 、 “服务器上传文件的敏