天玥綜合安全審計(jì)系統(tǒng)白皮書(shū)(共14頁(yè))

1、安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 啟明星辰信息技術(shù)有限公司 PAGE 16地址：北京市海淀區(qū)中關(guān)村南大街12號(hào)188信箱電話真址：天玥網(wǎng)絡(luò)(wnglu)安全(nqun)審計(jì)(shn j)系統(tǒng)產(chǎn)品白皮書(shū)（Network Security Audit System）北京啟明星辰信息技術(shù)有限公司2003. 10版權(quán)(bnqun)聲明啟明星辰信息技術(shù)有限公司(yu xin n s) 2003版權(quán)所有，保留一切(yqi)權(quán)力。未經(jīng)啟明星辰書(shū)面同意不得擅自拷貝、傳播、復(fù)制、泄露或復(fù)寫(xiě)本文檔的全部或部分內(nèi)容。本文檔中的信息歸啟明星辰信息技術(shù)有限公司所

2、有并受中國(guó)知識(shí)產(chǎn)權(quán)法和國(guó)際公約的保護(hù)?！疤飓h”、“天闐”和“天鏡”為啟明星辰信息技術(shù)有限公司的注冊(cè)商標(biāo)，不得侵犯。信息更新本文檔及其相關(guān)計(jì)算機(jī)軟件程序（以下文中稱為“文檔”）僅用于為最終用戶提供信息，并且隨時(shí)可由啟明星辰信息技術(shù)有限公司（下稱“啟明星辰”）更改或撤回。信息反饋如有任何寶貴意見(jiàn)，請(qǐng)反饋：信箱：北京市海淀區(qū)中關(guān)村南大街12號(hào)188信箱電話真責(zé)條款根據(jù)適用法律的許可范圍，啟明星辰按“原樣”提供本文檔而不承擔(dān)任何形式的擔(dān)保，包括（但不限于）任何隱含的適銷(xiāo)性、特殊目的適用性或無(wú)侵害性。在任何情況下，啟明星辰都不會(huì)對(duì)最終用戶或任何第三

3、方因使用本文檔造成的任何直接或間接損失或損壞負(fù)責(zé)，即使啟明星辰明確得知這些損失或損壞，這些損壞包括（但不限于）利潤(rùn)損失、業(yè)務(wù)中斷、信譽(yù)或數(shù)據(jù)丟失。本文檔中所有引用產(chǎn)品的使用及本文檔均受最終用戶可適用的特許協(xié)議約束。出版時(shí)間本文檔由啟明星辰信息技術(shù)有限公司2003年10月制作出版。目 錄 TOC o 1-2 h z u HYPERLINK l _Toc52162343 1.產(chǎn)品簡(jiǎn)介 PAGEREF _Toc52162343 h 4 HYPERLINK l _Toc52162344 1.1.產(chǎn)品(chnpn)概述 PAGEREF _Toc52162344 h 4 HYPERLINK l _Toc5

4、2162345 1.2.產(chǎn)品(chnpn)定位和價(jià)值 PAGEREF _Toc52162345 h 4 HYPERLINK l _Toc52162346 2.產(chǎn)品(chnpn)架構(gòu) PAGEREF _Toc52162346 h 5 HYPERLINK l _Toc52162347 2.1.產(chǎn)品組成 PAGEREF _Toc52162347 h 5 HYPERLINK l _Toc52162348 2.2.產(chǎn)品結(jié)構(gòu) PAGEREF _Toc52162348 h 6 HYPERLINK l _Toc52162349 2.3.系統(tǒng)需求 PAGEREF _Toc52162349 h 7 HYPERLI

5、NK l _Toc52162350 3.產(chǎn)品功能 PAGEREF _Toc52162350 h 9 HYPERLINK l _Toc52162351 3.1.審計(jì)功能 PAGEREF _Toc52162351 h 9 HYPERLINK l _Toc52162352 3.2.管理功能 PAGEREF _Toc52162352 h 10 HYPERLINK l _Toc52162353 3.3.報(bào)表分析功能 PAGEREF _Toc52162353 h 11 HYPERLINK l _Toc52162354 4.產(chǎn)品特性 PAGEREF _Toc52162354 h 11 HYPERLINK l

6、 _Toc52162355 4.1.分布式部署靈活管理 PAGEREF _Toc52162355 h 11 HYPERLINK l _Toc52162356 4.2.客戶化定制審計(jì)內(nèi)容 PAGEREF _Toc52162356 h 11 HYPERLINK l _Toc52162357 4.3.高度的自身安全保障 PAGEREF _Toc52162357 h 11 HYPERLINK l _Toc52162358 4.4.廣泛的聯(lián)動(dòng)響應(yīng)支持 PAGEREF _Toc52162358 h 12 HYPERLINK l _Toc52162359 4.5.方便的統(tǒng)一管理平臺(tái) PAGEREF _Toc

7、52162359 h 12 HYPERLINK l _Toc52162360 5.服務(wù)支持 PAGEREF _Toc52162360 h 13產(chǎn)品簡(jiǎn)介產(chǎn)品(chnpn)概述天玥網(wǎng)絡(luò)(wnglu)安全(nqun)審計(jì)系統(tǒng)（以下簡(jiǎn)稱“天玥”）是啟明星辰信息技術(shù)有限公司自行研制開(kāi)發(fā)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。天玥通過(guò)旁路偵聽(tīng)的方式對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行采集、分析和識(shí)別，實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)，記錄網(wǎng)絡(luò)事件，發(fā)現(xiàn)安全隱患，并對(duì)網(wǎng)絡(luò)活動(dòng)的相關(guān)信息進(jìn)行存儲(chǔ)，分析和審計(jì)回放。來(lái)自網(wǎng)絡(luò)的安全威脅日益增多，很多威脅并不是以網(wǎng)絡(luò)入侵的形式進(jìn)行的，這些威脅事件多數(shù)是來(lái)自于內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功并

8、不能滿足對(duì)這些網(wǎng)絡(luò)安全事件的審計(jì)要求，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)正是在這樣的安全審計(jì)需求下產(chǎn)生的。網(wǎng)絡(luò)安全審計(jì)通常要求專(zhuān)門(mén)細(xì)致的協(xié)議分析技術(shù)，完整的跟蹤能力，和數(shù)據(jù)查詢過(guò)程回放功能。啟明星辰憑借在入侵檢測(cè)領(lǐng)域多年的技術(shù)積累和研發(fā)經(jīng)驗(yàn)，推出了適用于百兆網(wǎng)絡(luò)環(huán)境的天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。產(chǎn)品定位和價(jià)值作為網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，天玥主要用于網(wǎng)絡(luò)安全事件的事后查詢和取證工作。天玥主要部署于用戶網(wǎng)絡(luò)環(huán)境中具有關(guān)鍵資產(chǎn)的網(wǎng)段，審計(jì)的對(duì)象通常為重要的服務(wù)器，如文件服務(wù)器、郵件服務(wù)器、計(jì)費(fèi)服務(wù)器等。關(guān)鍵特性和價(jià)值防范內(nèi)部合法用戶的誤操作和惡意操作完整回放網(wǎng)絡(luò)會(huì)話過(guò)程和內(nèi)容成熟的高速網(wǎng)絡(luò)抓包技術(shù)和協(xié)議分析技術(shù)發(fā)現(xiàn)異常進(jìn)行告警，

9、提醒安全管理員采取措施進(jìn)行處理；預(yù)留接口，可納入啟明星辰的入侵管理平臺(tái)進(jìn)行統(tǒng)一管理。產(chǎn)品(chnpn)架構(gòu)產(chǎn)品(chnpn)組成天玥網(wǎng)絡(luò)安全審計(jì)(shn j)系統(tǒng)包括以下三個(gè)部分：網(wǎng)絡(luò)探測(cè)引擎數(shù)據(jù)管理中心審計(jì)中心一個(gè)數(shù)據(jù)管理中心可以帶多個(gè)網(wǎng)絡(luò)探測(cè)引擎，每個(gè)網(wǎng)絡(luò)探測(cè)引擎只能對(duì)應(yīng)一個(gè)數(shù)據(jù)管理中心。審計(jì)中心可以連接多個(gè)數(shù)據(jù)管理中心。這三部分的連接示意圖如圖2.1所示：圖2.1 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)設(shè)計(jì)結(jié)構(gòu)示意圖網(wǎng)絡(luò)探測(cè)引擎全面(qunmin)偵聽(tīng)網(wǎng)上的信息流，動(dòng)態(tài)監(jiān)視網(wǎng)絡(luò)上流(shngli)過(guò)的所有數(shù)據(jù)包，進(jìn)行檢測(cè)和實(shí)時(shí)(sh sh)分析，并將分析結(jié)果發(fā)送給相應(yīng)的數(shù)據(jù)庫(kù)進(jìn)行保存。數(shù)據(jù)管理中心包括三個(gè)

10、應(yīng)用程序：數(shù)據(jù)庫(kù)管理、引擎管理和配置管理。數(shù)據(jù)庫(kù)管理程序設(shè)置數(shù)據(jù)庫(kù)連接信息；引擎管理程序設(shè)置網(wǎng)絡(luò)探測(cè)引擎的信息；配置管理可以對(duì)被審計(jì)對(duì)象進(jìn)行客戶化自定義，如制定黑白名單、自定義審計(jì)協(xié)議和設(shè)定異常端口審計(jì)。審計(jì)中心包括兩個(gè)應(yīng)用程序：審計(jì)控制臺(tái)和用戶管理。審計(jì)控制臺(tái)可以實(shí)時(shí)顯示網(wǎng)絡(luò)審計(jì)信息，流量統(tǒng)計(jì)信息，并可以查詢審計(jì)信息歷史數(shù)據(jù)，并且對(duì)審計(jì)事件進(jìn)行回放。用戶管理程序可以對(duì)用戶進(jìn)行權(quán)限設(shè)定，限制不同級(jí)別的用戶查看不同的審計(jì)內(nèi)容。同時(shí)還可以對(duì)于每一種權(quán)限的使用人員的操作進(jìn)行審計(jì)記錄，可以由用戶管理員進(jìn)行查看，具有一定的自身安全審計(jì)功能。產(chǎn)品結(jié)構(gòu)產(chǎn)品的管理和部署結(jié)構(gòu)如圖2.2所示：圖2.2 天玥網(wǎng)絡(luò)安

11、全審計(jì)系統(tǒng)基本部署圖產(chǎn)品內(nèi)部(nib)的功能架構(gòu)如圖2.3和圖2.4所示圖2.3 天玥審計(jì)探測(cè)引擎(ynqng)工作原理圖圖2.4 天玥審計(jì)數(shù)據(jù)管理中心(zhngxn)工作原理圖系統(tǒng)需求網(wǎng)絡(luò)探測(cè)引擎操作系統(tǒng)：Linux 2.4.18內(nèi)核以上CPU：Pentium 4 2GHz或更高內(nèi)存：不低于1G硬盤(pán)：不低于60G網(wǎng)卡2個(gè)Intel網(wǎng)卡其他設(shè)備：光盤(pán)驅(qū)動(dòng)器一個(gè)數(shù)據(jù)管理中心(zhngxn)操作系統(tǒng)：Windows 2000（中文版），SP3以上數(shù)據(jù)庫(kù)：SQLserver2000，SP3以上CPU：Pentium III 1GMHz或更高內(nèi)存：不低于256M，建議512M以上空閑磁盤(pán)空間：不低于2

12、G其他設(shè)備：光盤(pán)驅(qū)動(dòng)器、網(wǎng)卡、鍵盤(pán)、鼠標(biāo)、顯示器以上配置不包括對(duì)存放(cnfng)日志的MS SQL Server數(shù)據(jù)庫(kù)服務(wù)器的要求(yoqi)。MS SQL Server數(shù)據(jù)庫(kù)服務(wù)器的配置要求請(qǐng)參考微軟公司提供的基本要求和建議配置。建議將天玥數(shù)據(jù)管理中心安裝在一臺(tái)專(zhuān)用的服務(wù)器上，不推薦將數(shù)據(jù)管理中心和其他的應(yīng)用程序裝在一起。審計(jì)中心操作系統(tǒng)：Windows 2000（中文版），SP2以上CPU：Pentium III 500MHz或更高內(nèi)存：不低于256M，建議512M以上空閑磁盤(pán)空間：不低于1G，建議2G以上其他設(shè)備：光盤(pán)驅(qū)動(dòng)器、網(wǎng)卡、鍵盤(pán)、鼠標(biāo)、顯示器審計(jì)中心可以單獨(dú)(dnd)安裝，也可

13、以和數(shù)據(jù)管理中心安裝在同一臺(tái)機(jī)器上。產(chǎn)品(chnpn)功能審計(jì)(shn j)功能典型網(wǎng)絡(luò)應(yīng)用協(xié)議審計(jì)天玥能夠?qū)Φ湫偷木W(wǎng)絡(luò)應(yīng)用協(xié)議（http,ftp,smtp,pop3,telnet）進(jìn)行詳細(xì)審計(jì)，實(shí)時(shí)監(jiān)控并記錄網(wǎng)絡(luò)用戶對(duì)服務(wù)器的遠(yuǎn)程登錄、讀、寫(xiě)、添加、修改以及刪除等操作，并可以對(duì)操作過(guò)程進(jìn)行完整回放，比如對(duì)于http協(xié)議可以回放所瀏覽的網(wǎng)頁(yè)內(nèi)容，對(duì)smtp和pop3協(xié)議可以回放郵件正文的完整內(nèi)容以及附件內(nèi)容。文件共享審計(jì)天玥能夠?qū)indows網(wǎng)絡(luò)環(huán)境中基于netbios的文件共享服務(wù)進(jìn)行審計(jì)，實(shí)時(shí)監(jiān)控并記錄網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源中的文件共享操作，并對(duì)文件共享操作命令進(jìn)行回放。自定義協(xié)議審計(jì)天玥為

14、用戶提供了客戶化的自定義協(xié)議審計(jì)功能，對(duì)于用戶網(wǎng)絡(luò)中運(yùn)行的特殊網(wǎng)絡(luò)協(xié)議，用戶可以根據(jù)協(xié)議的端口號(hào)和IP地址范圍自行定義。天玥可以對(duì)用戶自定義的各種網(wǎng)絡(luò)協(xié)議的原始報(bào)文進(jìn)行解析，實(shí)時(shí)監(jiān)控并記錄自定義協(xié)議的活動(dòng)情況。數(shù)據(jù)庫(kù)操作(cozu)審計(jì)天玥能夠(nnggu)實(shí)時(shí)監(jiān)控并記錄網(wǎng)絡(luò)用戶對(duì)數(shù)據(jù)庫(kù)服務(wù)器的讀、寫(xiě)、查詢、添加、修改(xigi)以及刪除等操作，并可以對(duì)數(shù)據(jù)庫(kù)操作命令進(jìn)行回放。目前天玥只支持對(duì)SQL Server的審計(jì)。流量審計(jì)天玥能夠根據(jù)不同協(xié)議和自定義模式，實(shí)時(shí)顯示網(wǎng)絡(luò)中流量數(shù)據(jù)的變化。流量分析典型實(shí)例流量監(jiān)測(cè)IP-IP流量、TCP、UDP、ICMP等應(yīng)用協(xié)議流量異常流量字節(jié)流量超標(biāo)事件、

15、包流量超標(biāo)事件、流量增量異常事件主機(jī)服務(wù)審計(jì)天玥為用戶提供了主機(jī)異常端口定義功能，允許用戶自定義要審計(jì)的主機(jī)和端口，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的分析，檢測(cè)某些主機(jī)是否有異常端口服務(wù)開(kāi)放，從而實(shí)現(xiàn)對(duì)主機(jī)服務(wù)的審計(jì)。制定黑白名單天玥為用戶提供了黑白名單設(shè)置功能，用戶可以根據(jù)自己網(wǎng)絡(luò)的實(shí)際狀況，把信任的主機(jī)列入白名單，重點(diǎn)審計(jì)主機(jī)列入黑名單。天玥對(duì)黑名單上的主機(jī)進(jìn)行重點(diǎn)監(jiān)控，并在審計(jì)控制臺(tái)實(shí)時(shí)顯示黑名單主機(jī)的活動(dòng)情況。白名單上的主機(jī)是被充分信任的主機(jī)，天玥對(duì)于列入白名單的主機(jī)不進(jìn)行審計(jì)。管理(gunl)功能實(shí)時(shí)(sh sh)報(bào)警響應(yīng)天玥可以對(duì)審計(jì)(shn j)事件進(jìn)行實(shí)時(shí)報(bào)警響應(yīng)。目前支持的報(bào)警響應(yīng)方式為屏幕報(bào)

16、警。用戶管理為保證網(wǎng)絡(luò)審計(jì)數(shù)據(jù)的安全性和隱私性，天玥系統(tǒng)采用多用戶權(quán)限管理，特定用戶只能對(duì)其權(quán)限內(nèi)的審計(jì)內(nèi)容進(jìn)行審計(jì)操作。同時(shí)用戶管理程序具有自審計(jì)功能，對(duì)于每一種權(quán)限的使用人員的操作都有詳細(xì)的審計(jì)記錄，可以由用戶管理員進(jìn)行查看。報(bào)表分析功能審計(jì)數(shù)據(jù)查詢分析天玥能夠根據(jù)存儲(chǔ)記錄和操作者的權(quán)限對(duì)審計(jì)數(shù)據(jù)進(jìn)行查詢、統(tǒng)計(jì)、管理、維護(hù)等操作。審計(jì)報(bào)表天玥為用戶提供了審計(jì)報(bào)表生成功能，以自定義方式生成HTML或EXCEL形式的報(bào)表。產(chǎn)品特性分布式部署靈活管理天玥在設(shè)計(jì)上采用審計(jì)中心、數(shù)據(jù)管理中心和網(wǎng)絡(luò)探測(cè)引擎三級(jí)結(jié)構(gòu)，每個(gè)數(shù)據(jù)管理中心以一對(duì)多的方式連接管理多個(gè)網(wǎng)絡(luò)探測(cè)引擎，審計(jì)中心和數(shù)據(jù)管理中心可以多對(duì)

17、多進(jìn)行審計(jì)控制顯示。天玥的三級(jí)結(jié)構(gòu)設(shè)計(jì)滿足了用戶在大型網(wǎng)絡(luò)環(huán)境中分布式部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的需求，同時(shí)審計(jì)中心控制臺(tái)可以靈活安裝在網(wǎng)絡(luò)的不同位置，配合天玥的用戶管理程序，滿足不同級(jí)別的用戶對(duì)審計(jì)數(shù)據(jù)的管理查詢?？蛻艋ㄖ?dn zh)審計(jì)內(nèi)容天玥為用戶提供了多種自定義審計(jì)內(nèi)容設(shè)置，如制定黑白名單，自定義協(xié)議審計(jì)，異常(ychng)端口審計(jì)等，方便了用戶根據(jù)自身的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)應(yīng)用情況(qngkung)定制審計(jì)對(duì)象和審計(jì)內(nèi)容。高度的自身安全保障天玥的設(shè)計(jì)充分考慮到了自身的安全保障問(wèn)題，在網(wǎng)絡(luò)探測(cè)引擎端采用基于Linux內(nèi)核定制的安全操作系統(tǒng)，并用無(wú)IP網(wǎng)口對(duì)被審計(jì)網(wǎng)絡(luò)進(jìn)行旁路偵聽(tīng)。同時(shí)網(wǎng)絡(luò)探測(cè)引

18、擎與數(shù)據(jù)管理中心進(jìn)行互相認(rèn)證，數(shù)據(jù)傳輸加密。在審計(jì)中心采用多用戶分權(quán)限管理機(jī)制，既保證特定用戶只能對(duì)其權(quán)限內(nèi)的審計(jì)內(nèi)容進(jìn)行審計(jì)操作，同時(shí)用戶管理程序具有自審計(jì)功能，對(duì)于每一種權(quán)限的使用人員的操作都有詳細(xì)的審計(jì)記錄。廣泛的聯(lián)動(dòng)響應(yīng)支持天玥具有全面的自主響應(yīng)和聯(lián)動(dòng)響應(yīng)方式，可以滿足不同用戶的需求。天玥通過(guò)自有VIP VIP：Venus Interaction Protocol，啟明星辰專(zhuān)有的通用聯(lián)動(dòng)協(xié)議。協(xié)議族，可以充分實(shí)現(xiàn)和第三方安全產(chǎn)品以及網(wǎng)絡(luò)設(shè)備的策略響應(yīng)聯(lián)動(dòng)。目前主要的聯(lián)動(dòng)方式包括：防火墻聯(lián)動(dòng)（VIPFW）、掃描器聯(lián)動(dòng)（VIPSC）。用戶可以根據(jù)網(wǎng)絡(luò)現(xiàn)狀進(jìn)行有效地投資，實(shí)現(xiàn)動(dòng)態(tài)防御體系。方便的統(tǒng)一(tngy)管理平臺(tái)天玥網(wǎng)絡(luò)安全審計(jì)(shn