天玥网络安全审计系统技术方案

1、PAGE XXXXX项目目 网络安全审计计部分技术建议书北京启明星辰信信息技术有限限公司Venus IInformmationn Techhnologgy(Beiijing)二零一一年四月月PAGE PAGE ii目 次TOC o 1-4 h z u HYPERLINK l _Toc274314732 1.综述 PAGEREF _Toc274314732 h 11 HYPERLINK l _Toc274314733 2.审计系统统设计方案 PAGEREF _Toc274314733 h 2 HYPERLINK l _Toc274314734 2.1.设计计方案及系统统配置 PAGEREF _T

2、oc274314734 h 4 HYPERLINK l _Toc2743147355 2.2.主要功能介介绍 PAGEREF _Toc274314735 h 5 HYPERLINK l _Toc274314736 2.2.1.数据库审计计 PAGEREF _Toc274314736 h 5 HYPERLINK l _Toc274314737 2.2.2.网络运维审审计 PAGEREF _Toc274314737 h 6 HYPERLINK l _Toc274314738 2.2.3.OA审计 PAGEREF _Toc274314738 h 7 HYPERLINK l _Toc274314739

3、 2.2.4.数据库响应应时间及返回回码的审计 PAGEREF _Toc274314739 h 7 HYPERLINK l _Toc274314740 2.2.5.业务系统三三层关联 PAGEREF _Toc274314740 h 7 HYPERLINK l _Toc274314741 2.2.6.合规性规则则和响应 PAGEREF _Toc274314741 h 8 HYPERLINK l _Toc274314742 2.2.7.审计报告输输出 PAGEREF _Toc274314742 h 10 HYPERLINK l _Toc274314743 2.2.8.自身管理 PAGEREF _T

4、oc274314743 h 11 HYPERLINK l _Toc274314744 2.2.9.系统安全性性设计 PAGEREF _Toc274314744 h 11 HYPERLINK l _Toc274314745 2.3.负面面影响评价 PAGEREF _Toc274314745 h 12 HYPERLINK l _Toc274314746 2.4.交换换机性能影响响评价 PAGEREF _Toc274314746 h 13 HYPERLINK l _Toc274314747 3.资质证书书 PAGEREF _Toc274314747 h 14网络安全审计系统技术建议书 北京启明星辰信

5、息技术有限公司 第21页综述随着信息技术的的发展，XXXX已经建立立了比较完善善的信息系统统，具有网络络规模大、用用户数多、系系统全而复杂杂等特点。IIT建设的核核心任务是运运用现代信息息技术为企业业整体发展战战略的实现提提供支撑平台台并起到推动动作用。信息息安全作为IIT建设的组组成部分，核核心任务是综综合运用技术术、管理等手手段，保障企企业IT系统的信信息安全，保保证业务的连连续性。信息息安全是XXXX正常业务务运营与发展展的基础；是是保证国家利利益的基础；是保障用户户利益的基础础。根据国家的相关关规范的指导导意见，我们们根据对XXX信息系系统具体需求求的分析，在在对XXXXXX进行安全全

6、建设时，我我们所遵循的的根本原则是是：1、业务保障原原则：安全建建设的根本目目标是能够更更好的保障网网络上承载的的业务。在保保证安全的同同时，还要保保障业务的正正常运行和运运行效率。2、结构简化原原则：安全建建设的直接目目的和效果是是要将整个网网络变得更加加安全，简单的的网络结构便便于整个安全全防护体系的管理、执执行和维护。3、生命周期原原则：安全建建设不仅仅要要考虑静态设设计，还要考考虑不断的变变化；系统应应具备适度的的灵活性和扩扩展性。 审计系统设计方方案结合以上原则，在在审计系统的的选择上，主主要从以下77个方面进行行考虑：实用性:由于业业务系统数据据在数据库中中进行集中存存储，故对于于

7、数据库的操操作审计需要要细化到数据据库指令、表表名、视图、字字段等，同时时能够审计数数据库返回的的错误代码，这这样能够在数数据库出现关关键错误时及及时响应，避避免由于数据据库故障带来来的业务损失失； 独立性:审计系系统应具备统统一的策略、集集中的审计，适适用于不同的的设备、操作作系统、数据据库系统和应应用系统的审审计要求，并并对这些系统统不造成影响响.灵活性:审计系系统应提供缺缺省的审计策策略及自定义义策略，能够够对重要操作作、重要表、重重要字段进行行定义并审计计，能够根据据用户的业务务特点进行策策略的编辑。易用性:审计系系统应能够基基于操作进行行分析，能够够提供主体标标识（即用户户）、操作（

8、行为）、客体体标识（设备备、操作系统统、数据库系系统、应用系系统）的分析析和审计报表表扩展性:当业务务系统进行扩扩容时，审计计系统可以平平滑扩容。系系统支持向第第三方平台提提供记录的审审计信息。可靠性：审计系系统应能提供供足够的存储储空间（10000G以上上），满足在在线存储至少少6个月的要要求；审计系系统应能够保保证审计记录录的时间的一一致性，避免免错误时间记记录给追踪溯溯源带来的影影响。安全性：分权限限管理，具有有权限管理功功能，可以对对用户分级，提提供不同的操操作权限和不同的网络络数据操作范范围限制，用用户只能在其其权限内对网网络数据进行行审计和相关关操作，具有有自身安全审审计功能。基于

9、上述的情况况，我公司提提出了以天玥玥网络安全审审计系统为核核心，建设XXXXXX审审计方面的设计方方案。下面首先对天玥玥系统的基本本工作原理进进行简单的介介绍。天玥网络安全审审计系统基于于“IP数据俘俘获应用层数据据分析审计和响应应”实现各项功功能，设计中中充分贯彻了了平台化的思思路；由于采采用旁路接入入的工作模式式，使得天玥玥系统在实现现各种安全功功能的同时，对对原系统的绕绕动和影响降降到最低。天玥网络安全审审计系统主要要实现以下安安全功能：针对不同的应用用协议，提供供基于应用操操作的审计；提供数据库操作作语义解析审审计，实现对对违规行为的的及时监视和和告警；提供上百种合规规规则，支持持自定

10、义规则则（正则表达达式等），实实现灵活多样样的响应；提供基于硬件令令牌、静态口口令、Raddius支持持的强身份认认证；根据设定输出不不同的安全审审计报告；设计方案及系统统配置核心数据库Orracle系系统通过主备备方式接入网网络，设计采采用配置一台台天玥审计数数据中心，一一台天玥旁路路审计引擎，一一台天玥在线线审计引擎。具体部署如如下图所示：天玥系统部署署图天玥审计数据中中心: 部署署一台天玥审审计数据中心心，该服务器器具备一个22T的内置RRAID5存存储器，对天天玥网络审计计引擎进行管管理和控制，实实现对审计数数据的存储和和分析。天玥玥审计数据中中心的管理端端口需要接入入网络中，并并分配

11、一个合合法的IP地地址，以接收收天玥管理控控制台的管理理。天玥审计计数据中心的的“管理端口”需要通过网网络方式与天天玥网络审计计引擎的“管理端口”进行连接。天玥旁路审计引引擎: 部署署一台天玥网网络审计引擎擎对核心交换换机上的Orracle流流量进行监控控和审计。天天玥网络审计计引擎配置两两个信息监听听端口，该端端口需要连接接到被监控交交换机的“镜像目的端端口”上，以获取取原始的通信信信息，从而而实现各种审审计和控制功功能。天玥网网络审计引擎擎需要设置一一个“管理端口”，这个端口口需要接入网网络，并分配配一个合法的的IP地址，以以接收天玥管管理控制台的的管理。天玥在线审计引引擎：部署一台天天玥

12、旁路审计计引擎，实现现对运维区域域的各种运维维操作进行监监控、审计和和阻断，该引引擎自带Byypass支支持，通常采采用透明方式式进行接入，对对服务器端和和终端用户无无影响。天玥管理控制台台:在网络中中的任何一台台Windoows计算机机上采用浏览览器进行管理理。在本方案中同时时部署了旁路路审计引擎与与在线审计引引擎，这是因因为这两种引引擎属于互补补关系，旁路路审计引擎解解决了在线审审计引擎被绕绕过的风险，在在线审计引擎擎解决了旁路路引擎无法实实现加密协议议审计和事前前阻断的风险险，二者的关关系如下：在线审计实现的的基础为“建立唯一访访问路径，一一切的行为均均通过该路径径进行访问”，也就是说说

13、需要将所有有被审计运维维访问流量都都要通过在线线引擎才可以以进行审计，这这就牵涉到网网络结构的变变化或ACLL的调整，在在实际部署中中，在线审计计依赖外部设设备的ACLL控制（比如如交换机或FFW），一旦旦这些访问控控制设备出现现问题或ACCL不够充分分，就会存在在绕过堡垒主主机的操作行行为，而此时时这些绕过堡堡垒主机的行行为是没有被被审计的，由由于恶意攻击击者往往具备备较高的技术术水平，同时时善于寻找安安全系统的漏漏洞，故不完完善的ACLL控制会让在在线审计存在在较大的部署署风险。而旁旁路审计实现现的基础为“一切网络访访问行为均不不可信”进行部署的的，故所有可可识别的操作作均被审计，这这两种

14、审计部部署方式存在在着很强的互互补性，通常常都会一起部部署，从而实实现控制与审审计的完美结结合。主要功能介绍数据库审计天玥网络安全审审计系统能够够监视并记录录对数据库服服务器的各类类操作行为，实实时地、智能能地解析对数数据库服务器器的各种操作作，一般操作作行为如数据据库的登录，特定的操作如对数据库表的插入、删除、修改，执行特定的存贮过程等，都能够被记录和分析，分析的内容要求可以精确到SQL操作语句一级。并记录这些操作的用户名、机器IP地址、操作时间等重要信息。系统能够对采用用ODBC、JJDBC、OOLE-DBB、命令行嵌嵌入方式对数数据库的访问问进行审计和和响应。SQL语句的支支持SQL99

15、2语法，主主要包括以下下几种类型的的审计：DDL：Creeate ,Drop,Grantt,RevookeDML：Upddate,IInsertt,DeleeteDCL：Commmit,RRollbaack,Saavapoiint其他：Alteer Sysstem,CConnecct,Alllocatee存储过程目前，天玥网络络安全审计系系统支持以下下数据库系统统的审计，是是业界支持数数据库种类最最多的审计系系统，能够满满足不同用户户、不同发展展阶段情况下下的数据库审审计需求：OracleSQL-SerrverDB2InformiixSybaseTeradattaMysqlPostgreeSQ

16、LCache人大金仓Kinngbasee数据库达梦DM数据库库南大通用GBaase数据库库网络运维审计天玥网络安全审审计系统支持持常用的运维维协议及文件件传输协议，能够全程记录用户在服务器上的各种种操作。TelnetRloginFTPSCPSFTPX11NFSOA审计天玥网络安全审审计系统支持持HTTP、PPOP3、SSMTP、NNetbioos的审计，能能够记录网页页URL、内内容、发件人人、收件人、邮邮件内容、网网络邻居的各各种操作等信信息。数据库响应时间间及返回码的的审计天玥网络安全审审计系统支持持对SQL Serveer、DB22、Oraccle、Innformiix等数据库库系统的S

17、QQL操作响应应时间和返回回码的审计。通通过对响应时时间和返回码码的审计，可可以帮助用户户对数据库的的使用状态全全面掌握、及及时响应故障障信息，特别别是当新业务务系统上线、业业务繁忙、业业务模块更新新时，通过天天玥网络安全全审计系统对对超长时间和和关键返回码码进行审计并并实时报警有有助于提高业业务系统的运运营水平，降降低数据库故故障等带来的的运维风险。目前天玥网络安安全审计系统统支持上述数数据库系统共共计130000多种返回回码的知识库库供用户快速速查询和定位位问题。业务系统三层关关联当前业务系统普普遍采用三层层结构：浏览览器客户端、WWeb服务器器/中间件、数数据库服务器器。通常的流流程是：

18、用户户通过浏览器器客户端，利利用自己的帐帐户登录Weeb服务器，向向服务器提交交访问数据；Web服务务器根据用户户提交的数据据构造SQLL语句，并利利用唯一的帐帐户访问数据据库服务器，提提交SQL语语句，接收数数据库服务器器返回结果并并返回给用户户。在这种基于Weeb的业务行行为访问模式式下，传统的的信息安全审审计产品一般般可审计从浏浏览器到Weeb服务器的的前台访问事事件，以及从从Web服务务器到数据库库服务器的后后台访问事件件。但由于后后台访问事件件采用的是唯唯一的帐户，对对每个后台访访问事件，难难以确定是哪哪个前台访问问事件触发了了该事件。如如果在后台访访问事件中出出现了越权访访问、恶意

19、访访问等行为，难难以定位到具具体的前台用用户上。举一一个一个典型型的例子，内内部违规操作作人员利用前前台的业务系系统，以此作作为跳板对后后台数据库内内容进行了篡篡改和窃取，这这种情况下，通通常审计产品品只能发现来来自某个数据据库账号，而而无法判断最最终的发起源源头。启明星辰研究人人员实现HTTTP操作和和数据库操作作之间的关联联计算，目前前已经申请专专利。专利名名称为“一种Webb服务器前后后台关联审计计方法和系统统”，专利受理理号码：200071011216699.6。三层关联逻辑部部署图通过这种关联分分析技术，能能够将审计产产品从基于事事件的审计，逐逐渐升级为基基于用户业务务行为的审计计，

20、在关联分分析过程中采采用自动建模模技术，可以以将前台Weeb业务操作作和后台数据据库操作行为为进行对应，并并形成业务访访问行为模式式库，同时，在在该技术的基基础上还可以以进一步分析析，发现可能能的业务异常常及SQL异异常。合规性规则和响响应天玥网络安全审审计系统的审审计和响应功功能可以简单单地描述为：“某个特定的的服务（如FFTP、Teelnet、SSQL等）可可以（或不可可以）被某个个特定的用户户（主机）怎怎样地访问”，这使得它它提供的审计计和响应具有有很强的针对对性和准确性性。强大的数据库规规则系统能够根据访访问数据库的的源程序名、登登陆数据库的的账号、数据据库命令、数数据库名、数数据库表

21、名、数数据库字段名名、数据库字字段值、数据据库返回码等等作为条件，对对用户关心的的违规行为进进行响应，特特别是针对重重要表、重要要字段的各种种操作，能够够通过简单的的规则定义，实实现精确审计计，降低过多多审计数据给给管理员带来来的信息爆炸炸。定制审计事件规规则天玥网络安全审审计系统提供供了事件规则则用户自定义义模块，允许许用户自行设设定和调整各各种安全审计计事件的触发发条件与响应应策略。例如，用户特别别关注在teelnet过过程中出现rrm、passswd、sshutdoown等命令令的行为，那那么用户就可可以利用天玥玥网络安全审审计系统定义义相应的审计计事件规则。这这样，天玥网网络安全审计计

22、系统就可以以针对网络中中发生的这些些行为进行响响应。基于业务特征的的规则库系统可以将审计计员制定的多多个符合业务务特征的规则则进行汇总、编编辑和命名，形形成具备某种种业务特征的的规则写入用用户自定义的的规则库。这这样，审计员员在针对某个个特定业务用用户制定审计计策略时，可可以直观地使使用自命名的的规则进行设设置，方便了了各种策略的的制定和查询询。特定账号行为跟跟踪系统能够实现对对“用户网络环环境中出现的的特定账号或或特定账号执执行某种操作作后”的场景进行行账号跟踪，提提供对后继会会话和事件的的审计。这样样，管理员能能够对出现在在网络中的特特权账号，比比如roott、DBA等等，进行重点点的监控

23、，特特别是哪些本本不应出现在在网络上的特特权账号突然然出现的事件件。多编码环境支持持天玥网络安全审审计系统适用用于多种应用用环境，特别别是在异构环环境中，比如如IBM AAS/4000通常采用EEBCDICC编码方式实实现telnnet协议的的传输、某些些数据库同时时采用几种编编码与客户端端进行通讯，若若系统不能识识别多种编码码，会导致审审计数据出现现乱码，对多多编码的支持持是衡量审计计系统环境适适应性的重要要指标之一，目目前天玥网络络安全审计系系统支持如下下编码格式ASCIIUnicodeeUTF-8UTF-16GB2312EBCDIC多种响应方式天玥网络安全审审计系统提供供了多种响应应方式

24、，包括括：在天玥审计服务务器中记录相相应的操作过过程；在日常审计报告告中标注；向天玥管理控制制台发出告警警信息；实时阻断会话连连接；管理人员通过本本系统手工RRST阻断会会话连接；通过Sysloog方式进行行告警通过SNMP Trap方方式进行告警警通过邮件方式进进行告警实时跟踪和回放放管理员可以通过过审计显示中中心实时地跟跟踪一个或多多个网络连接接，通过系统统提供的“时标”清晰地显示示不同网络连连接中每个操操作的先后顺顺序及操作结结果，当发现现可疑的操作作或访问时，可可以实时阻断断当前的访问问。管理员也也可以从审计计数据中心中中提取审计数数据对通信过过程进行回放放，便于分析析和查找系统统安全

25、问题，并并以次为依据据制定更符合合业务特征和和系统安全需需求的安全规规则和策略。审计报告输出天玥审计系统从从安全管理的的角度出发，设设计一套完善善的审计报告告输出机制。多种筛选条件天玥网络安全审审计系统提供供了强大、灵灵活的筛选条条件设置机制制。在设置筛选条件件时，审计员员可基于以下下要素的组合合进行设置：时间、客户户端IP、客客户端端口号号、服务端IIP、服务端端端口、关键键字、事件级级别、引擎名名、业务用户户身份、资源源账号等条件件。审计员可根据需需要灵活地设设置审计报表表的各种要素素，迅速生成成自己希望看看到的审计内内容。同时系系统提供了报报表模板功能能，审计员无无需重复输入入，只需要设

26、设置模板后，即即可按模板进进行报表生成成。命令及字段智能能分析系统能够根据审审计协议的类类型进行命令令和字段的自自动提取，用用户可以选择择提取后的命命令或字段作作为重点对象象进行分析。针针对数据库类类协议，可分分析并形成数数据库名、表表名、命令等等列表；针对对运维类协议议，可分析并并形成命令等等列表；针对对文件操作类类协议，可分分析并形成文文件名、操作作命令等列表表；通过该功功能，可以简简化用户对审审计数据的分分析过程，大大大提高分析析的效率。宏观事件到微观观事件钻取天玥网络安全审审计系统提供供了从宏观报报表到微观事事件的关联，审审计员可以在在统计报表、取取证报表中查查看宏观的审审计数据统计计

27、信息，通过过点击相应链链接即可逐步步下探到具体体的审计事件件。自动任务支持天玥网络安全系系统提供报表表任务功能，审审计员可根据据实际情况定定制报表生成成任务；系统统支持HTMML、EXCCEL、CSSV、PDFF、Wordd等多种文档档格式的报表表输出，可以以通过邮件方方式自动发送送给审计员。 数据和报表备备份天玥网络安全审审计系统提供供了审计数据据和报表的手手动和自动备备份功能，可可以将压缩后后的数据自动动传输到指定定的FTP服服务器，提供供每天、每周周、每月、时时刻的定义方方式。自身管理安全管理天玥网络安全审审计系统的管管理控制中心心提供了集中中的管理控制制界面，审计计员通过管理理控制台就

28、能能管理和综合合分析所有审审计引擎的审审计信息和状状态信息，并并形成审计报报表。天玥网络安全审审计系统支持持权限分级管管理模式，可可对不同的角角色设定不同同的管理权限限。例如，超超级管理员拥拥有所有的管管理权限；而而某些普通管管理员则可能能仅拥有查看看审计报表的的权限，某些些管理员可以以拥有设置审审计策略或安安全规则的权权限。系统提供专门的的自身审计日日志，记录所所有人员对天天玥系统的操操作，方便审审计员对日志志进行分析和和查看。状态管理天玥网络安全审审计系统提供供CPU、内内存、磁盘状状态、网口等等运行信息，管管理员可以很很轻松的通过过GUI界面面实现对审计计数据中心、审审计引擎的工工作状态

29、进行行查看。当出出现错误信息息时，比如RRaid故障障、磁盘空间间不足、引擎擎连接问题，系系统可自动邮邮件通知相关关管理人员。时间同步管理天玥网络安全审审计系统提供供手工和NTTP两种时间间同步方式，通通过对全系统统自身的时间同步，保证了了审计数据时时间戳的精确确性，避免了了审计事件时时间误差给事事后审计分析析工作带来的的影响，提升升了工作效率率。系统安全性设计计在天玥系统的设设计中采用了了严密的系统统安全性设计计，主要体系系在以下几个个方面：操作系统安全性性设计：天玥玥系统采用经经裁减、加固固的Linuux操作系统统。在设计过过程中，结合合天玥系统的的功能要求和和我公司在操操作系统安全全方面

30、的技术术和经验，对对Linuxx进行了精心心的裁减和加加固，包括补补丁修补，取取消危险的、无无用的服务等等。数据库安全性设设计：天玥审审计数据中心心审计服务器器的数据库是是启明星辰根根据天玥系统统的功能要求求自行设计的的，在设计时时已经充分考考虑了安全性性方面的问题题。模块间的通信：各功能模块块之间的通信信均采用专门门设计的通信信协议，这些些通信协议在在设计时均采采用了诸如CCA认证、编编码、签名、加加密等安全技技术。对于远远程维护，则则采用了SSSH加密传输输协议。在产品出厂测试试阶段，还将将进行诸如漏漏洞扫描之类类的安全性测测试，因此，我我们认为天玥玥系统具有很很高的安全性性。负面影响评价

31、天玥系统基于“IP数据俘俘获应用层数据据分析审计和响应应”实现各项功功能。在具体体实现时，无无需在网络通通路中“跨接”任何硬件设设备，也不需需要在审计对对象中安装“审计代理”，因此，天天玥系统的安安装使用，不不会对原系统统造成任何性性能、稳定性性方面的影响响。天玥系统的硬件件设备由“天玥审计数数据中心”和“天玥网络审审计引擎”构成。其中中，天玥审计计数据中心象象一台主机设设备一样安装装用户的系统统中，只需要要为天玥审计计数据中心分分配合法的IIP地址就可可以了。因此此，该设备不不会对原系统统造成任何性性能、功能、可可靠性、安全全性方面的影影响。天玥网络审计引引擎需要安装装在核心交换换机的镜像端

32、端口上，用于于俘获来往于于后台主机和和前台操作人人员之间的通通信数据，然然后通过对这这些通信数据据的解析、匹匹配，达到审审计和命令控控制的目的。同同时，天玥网网络审计引擎擎实时地将俘俘获的原始数数据传递给进进行进一步的的分析处理和和存储。当天玥网络审计计引擎发现违违反规定的登登录或操作命命令时，会同同时向该TCCP会话的服服务器和客户户端发出“关闭TCPP会话”的IP报，从从而达到阻断断的目的。这这种“关闭TCPP会话”的IP报是是由天玥网络络审计引擎伪伪造，并直接接向服务器和和客户端发送送的，不需要要网络设备的的支持；而且且，这种IPP报，是按照照标准的TCCP协议构造造的，不会对对服务器或客客户端造成任任何负面的影影响。因为，对对于接收到“关闭TCPP会话”IP报的一一方而言，它它感觉是通信信的对方主动动发起了一个个关闭TCPP会话的请求求。总之，天玥系统统的基本工作作原理就像网网络