啟明星辰天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)(數(shù)據(jù)庫審計(jì).doc

WORD 格式可編輯 專業(yè)知識分享 X XX XX X項(xiàng)項(xiàng)目目 數(shù)數(shù)據(jù)據(jù)庫庫審審計(jì)計(jì)系系統(tǒng)統(tǒng) 技術(shù)建議書技術(shù)建議書 北京啟明星辰信息技術(shù)有限公司北京啟明星辰信息技術(shù)有限公司 VenusVenus InformationInformation Technology Beijing Technology Beijing 二零一零年十月二零一零年十月 WORD 格式可編輯 專業(yè)知識分享 目目 次次 1 綜述 1 2 需求分析 2 2 1 內(nèi)部人員面臨的安全隱患 2 2 2 第三方維護(hù)人員的威脅 2 2 3 最高權(quán)限濫用風(fēng)險(xiǎn) 2 2 4 違規(guī)行為無法控制的風(fēng)險(xiǎn) 3 2 5 系統(tǒng)日志不能發(fā)現(xiàn)的安全隱患 3 2 6 系統(tǒng)崩潰帶來審計(jì)結(jié)果的丟失 3 3 審計(jì)系統(tǒng)設(shè)計(jì)方案 3 3 1 設(shè)計(jì)思路和原則 3 3 2 系統(tǒng)設(shè)計(jì)原理 5 3 3 設(shè)計(jì)方案及系統(tǒng)配置 6 3 4 主要功能介紹 7 3 4 1 數(shù)據(jù)庫審計(jì) 7 3 4 2 網(wǎng)絡(luò)運(yùn)維審計(jì) 8 3 4 3 OA 審計(jì) 9 3 4 4 數(shù)據(jù)庫響應(yīng)時間及返回碼的審計(jì) 9 3 4 5 業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián) 9 3 4 6 合規(guī)性規(guī)則和響應(yīng) 10 3 4 7 審計(jì)報(bào)告輸出 12 3 4 8 自身管理 13 3 4 9 系統(tǒng)安全性設(shè)計(jì) 13 3 5 負(fù)面影響評價(jià) 14 3 6 交換機(jī)性能影響評價(jià) 15 4 資質(zhì)證書 16 WORD 格式可編輯 專業(yè)知識分享 1 綜述 隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)發(fā)展 信息系統(tǒng)的應(yīng)用越來越廣泛 數(shù)據(jù)庫做 為信息技術(shù)的核心和基礎(chǔ) 承載著越來越多的關(guān)鍵業(yè)務(wù)系統(tǒng) 漸漸成為商 業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn) 數(shù)據(jù)庫的安全穩(wěn)定運(yùn)行也直接決定 著業(yè)務(wù)系統(tǒng)能否正常使用 另外 隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展 計(jì)算機(jī)技術(shù)也越來越廣泛地被應(yīng) 用在醫(yī)院管理的各個方面 在國家對醫(yī)療衛(wèi)生行業(yè)投入不斷增加的大背景 下 以 金衛(wèi)工程 為代表的醫(yī)療衛(wèi)生行業(yè)信息化工程得到了快速發(fā)展 HIS 系統(tǒng)也在全國各大醫(yī)院廣泛應(yīng)用 但是 隨著信息技術(shù)在各類醫(yī)療機(jī) 構(gòu)大行其道之時 也給各醫(yī)療機(jī)構(gòu)各信息系統(tǒng)的技術(shù)管理提出了更高的要 求 雖然各醫(yī)院采取了許多措施加強(qiáng)對醫(yī)院信息系統(tǒng)的管理 但由于多方 面的原因 醫(yī)院信息中心已成為醫(yī)藥購銷領(lǐng)域商業(yè)賄賂的重點(diǎn)科室 特別 是在醫(yī)療衛(wèi)生行業(yè)的藥品 器械銷售競爭日益激烈的大背景下 采用不正 當(dāng)?shù)募夹g(shù)手段滲透到醫(yī)療衛(wèi)生行業(yè)中來 一些醫(yī)院內(nèi)部工作人員與醫(yī)藥營 銷人員內(nèi)外勾結(jié) 私自進(jìn)行處方統(tǒng)計(jì)的行為 阻礙了醫(yī)療衛(wèi)生事業(yè)的改革 和發(fā)展 醫(yī)院的用藥信息泄漏給醫(yī)藥營銷人員以此來獲取經(jīng)濟(jì)利益的商業(yè) 賄賂行為 這種行為的存在不僅嚴(yán)重干擾了正常的醫(yī)療秩序 而且也增加 了患者的經(jīng)濟(jì)負(fù)擔(dān) 不利于和諧醫(yī)患關(guān)系的建設(shè) 從已發(fā)生的商業(yè)賄賂案 件來看 醫(yī)藥代表通過醫(yī)院信息中心工作人員的 統(tǒng)方 來掌握某個藥品 醫(yī)生每個月的實(shí)際處方量 是 統(tǒng)方 主要渠道 同時 衛(wèi)生部 中醫(yī)藥管理局針對部分醫(yī)務(wù)人員開單提成 收受 紅 包 藥品回扣等消極腐敗現(xiàn)象和不正之風(fēng) 發(fā)布了 關(guān)于建立健全防控醫(yī) 藥購銷領(lǐng)域商業(yè)賄賂長效機(jī)制的工作方案 關(guān)于開展醫(yī)藥購銷領(lǐng)域不正 當(dāng)交易行為自查自糾工作的指導(dǎo)意見 并成立了治理商業(yè)賄賂領(lǐng)導(dǎo)小組在 WORD 格式可編輯 專業(yè)知識分享 全國范圍內(nèi)開展治理商業(yè)賄賂專項(xiàng)工作 為此 一場醫(yī)療行業(yè)的反商業(yè)賄 賂風(fēng)暴 已經(jīng)逐步深入開展 在信息化條件下 部署數(shù)據(jù)庫審計(jì)產(chǎn)品 防 范醫(yī)藥衛(wèi)生行業(yè)中各從業(yè)人員利用計(jì)算機(jī)進(jìn)行職務(wù)犯罪的問題 解決行業(yè) 中審計(jì)手段隱蔽 不易取證等困難 成為醫(yī)療衛(wèi)生行業(yè)信息化工程中必不 可少的組成部分 2 需求分析 隨著信息技術(shù)的發(fā)展 XXX 已經(jīng)建立了比較完善的信息系統(tǒng) 數(shù)據(jù)庫 中承載的信息越來越受到公司相關(guān)部門 領(lǐng)導(dǎo)的重視 同時數(shù)據(jù)庫中儲存 著諸如 XXX 等極其重要和敏感的信息 這些信息一旦被篡改或者泄露 輕 則造成企業(yè)或者社會的經(jīng)濟(jì)損失 重則影響企業(yè)形象甚至社會安全 通過對 XXX 的深入調(diào)研 XXX 面臨的安全隱患?xì)w納如下 2 1 內(nèi)部人員面臨的安全隱患 隨著企業(yè)信息化進(jìn)程不斷深入 企業(yè)的業(yè)務(wù)系統(tǒng)變得日益復(fù)雜 由內(nèi) 部員工違規(guī)操作導(dǎo)致的安全問題變得日益突出起來 防火墻 防病毒 入 侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題 但對于內(nèi)部人員 的違規(guī)操作卻無能為力 2 2 第三方維護(hù)人員的威脅 企業(yè)在發(fā)展的過程中 因?yàn)閼?zhàn)略定位和人力等諸多原因 越來越多的 會將非核心業(yè)務(wù)外包給設(shè)備商或者其他專業(yè)代維公司 如何有效地管控設(shè) 備廠商和代維人員的操作行為 并進(jìn)行嚴(yán)格的審計(jì)是企業(yè)面臨的一個關(guān)鍵 問題 2 3 最高權(quán)限濫用風(fēng)險(xiǎn) 因?yàn)榉N種歷史遺留問題 并不是所有的信息系統(tǒng)都有嚴(yán)格的身份認(rèn)證和 WORD 格式可編輯 專業(yè)知識分享 權(quán)限劃分 權(quán)限劃分混亂 高權(quán)限賬號 比如 DBA 賬號 共用等問題一直 困擾著網(wǎng)絡(luò)管理人員 高權(quán)限賬號往往掌握著數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的命脈 任何一個操作都可能導(dǎo)致數(shù)據(jù)的修改和泄露 最高權(quán)限的濫用 讓數(shù)據(jù)安 全變得更加脆弱 也讓責(zé)任劃分和威脅追蹤變得更加困難 2 4 違規(guī)行為無法控制的風(fēng)險(xiǎn) 管理人員總是試圖定義各種操作條例 來規(guī)范內(nèi)部員工的訪問行為 但 是除了在造成惡性后果后追查責(zé)任人 沒有更好的方式來限制員工的合規(guī) 操作 而事后追查 只能是亡羊補(bǔ)牢 損失已經(jīng)造成 2 5 系統(tǒng)日志不能發(fā)現(xiàn)的安全隱患 我們經(jīng)常從各種系統(tǒng)日志里面去發(fā)現(xiàn)是否有入侵后留下來的 蛛絲馬跡 來判斷是否發(fā)生過安全事件 但是 系統(tǒng)往往是在經(jīng)歷了大量的操作和變 化后 才逐漸變得不安全 另外的情況是 用戶通過登錄業(yè)務(wù)服務(wù)器來訪 問數(shù)據(jù)庫等核心資產(chǎn) 單純的分析業(yè)務(wù)系統(tǒng)或者數(shù)據(jù)庫系統(tǒng)的日志 都無 法對整個訪問過程是否存在風(fēng)險(xiǎn)進(jìn)行判斷 從系統(tǒng)變更和應(yīng)用的角度來看 網(wǎng)絡(luò)審計(jì)日志比系統(tǒng)日志在定位系統(tǒng)安全問題上更可信 2 6 系統(tǒng)崩潰帶來審計(jì)結(jié)果的丟失 一般來說 數(shù)據(jù)庫系統(tǒng)都會存儲操作日志 也能開啟審計(jì)模塊對訪問 進(jìn)行審計(jì) 但是一旦有意外發(fā)生導(dǎo)致系統(tǒng)的崩潰 這些審計(jì)日志也隨之消 失 管理人員無法得知系統(tǒng)到底發(fā)生了什么 3 審計(jì)系統(tǒng)設(shè)計(jì)方案 3 1 設(shè)計(jì)思路和原則 圍繞數(shù)據(jù)庫的業(yè)務(wù)系統(tǒng)安全隱患如何得到有效解決 一直以來是 IT 治 理人員和 DBA 們關(guān)注的焦點(diǎn) 啟明星辰做為資深信息安全廠商 結(jié)合多年 WORD 格式可編輯 專業(yè)知識分享 的安全研究經(jīng)驗(yàn) 提出如下解決思路 管理層面管理層面 完善現(xiàn)有業(yè)務(wù)流程制度 明細(xì)人員職責(zé)和分工 規(guī)范內(nèi)部員 工的日常操作 嚴(yán)格監(jiān)控第三方維護(hù)人員的操作 技術(shù)層面技術(shù)層面 除了在業(yè)務(wù)網(wǎng)絡(luò)部署相關(guān)的信息安全防護(hù)產(chǎn)品 如 FW IPS 等 還需要專門針對數(shù)據(jù)庫部署獨(dú)立安全審計(jì)產(chǎn)品 對關(guān)鍵的數(shù)據(jù)庫操作 行為進(jìn)行審計(jì) 對統(tǒng)方行為進(jìn)行審計(jì) 做到違規(guī)行為發(fā)生時及時告警 事 故發(fā)生后精確溯源 不過 審計(jì)關(guān)鍵應(yīng)用程序和數(shù)據(jù)庫不是一項(xiàng)簡單工作 特別是數(shù)據(jù)庫系 統(tǒng) 服務(wù)于各有不同權(quán)限的大量用戶 支持高事務(wù)處理率 還必須滿足苛 刻的服務(wù)水平要求 商業(yè)數(shù)據(jù)庫軟件內(nèi)建的審計(jì)能力不能滿足獨(dú)立性的基 本要求 還會降低數(shù)據(jù)庫性能并增加管理費(fèi)用 啟明星辰天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng) 既能獨(dú)立審計(jì)針對數(shù)據(jù)庫的各種訪 問行為 又不影響數(shù)據(jù)庫的高效穩(wěn)定運(yùn)行 是專業(yè)的 有針對性的數(shù)據(jù)庫 審計(jì)系統(tǒng) 該系統(tǒng)主要從以下 7 個方面進(jìn)行設(shè)計(jì)考慮 實(shí)用性 由于業(yè)務(wù)系統(tǒng)數(shù)據(jù)在數(shù)據(jù)庫中進(jìn)行集中存儲 故對于數(shù)據(jù)庫 的操作審計(jì)需要細(xì)化到數(shù)據(jù)庫指令 表名 視圖 字段等 同時能 夠?qū)徲?jì)數(shù)據(jù)庫返回的錯誤代碼 這樣能夠在數(shù)據(jù)庫出現(xiàn)關(guān)鍵錯誤時 及時響應(yīng) 避免由于數(shù)據(jù)庫故障帶來的業(yè)務(wù)損失 能夠?qū)⒔y(tǒng)方所涉 及到的藥品表 用戶賬號等進(jìn)行翻譯 能夠直觀的給審計(jì)人員發(fā)現(xiàn) 統(tǒng)方行為 獨(dú)立性 審計(jì)系統(tǒng)應(yīng)具備統(tǒng)一的策略 集中的審計(jì) 適用于不同的設(shè) 備 操作系統(tǒng) 數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)的審計(jì)要求 并對這些系統(tǒng) 不造成影響 靈活性 審計(jì)系統(tǒng)應(yīng)提供缺省的審計(jì)策略及自定義策略 能夠?qū)χ匾?操作 重要表 重要字段進(jìn)行定義并審計(jì) 能夠根據(jù)用戶的業(yè)務(wù)特 WORD 格式可編輯 專業(yè)知識分享 點(diǎn)進(jìn)行策略的編輯 易用性 審計(jì)系統(tǒng)應(yīng)能夠基于操作進(jìn)行分析 能夠提供主體標(biāo)識 即用戶 操作 行為 客體標(biāo)識 設(shè)備 操作系統(tǒng) 數(shù)據(jù)庫系 統(tǒng) 應(yīng)用系統(tǒng) 的分析和審計(jì)報(bào)表 擴(kuò)展性 當(dāng)業(yè)務(wù)系統(tǒng)進(jìn)行擴(kuò)容時 審計(jì)系統(tǒng)可以平滑擴(kuò)容 系統(tǒng)支持 向第三方平臺提供記錄的審計(jì)信息 可靠性 審計(jì)系統(tǒng)能提供足夠的存儲空間 1000G 以上 滿足在線 存儲至少 6 個月的要求 審計(jì)系統(tǒng)能夠保證審計(jì)記錄的時間的一致 性 避免錯誤時間記錄給追蹤溯源帶來的影響 安全性 分權(quán)限管理 具有權(quán)限管理功能 可以對用戶分級 提供 不同的操作權(quán)限和不同的網(wǎng)絡(luò)數(shù)據(jù)操作范圍限制 用戶只能在其權(quán) 限內(nèi)對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行審計(jì)和相關(guān)操作 具有自身安全審計(jì)功能 3 2 系統(tǒng)設(shè)計(jì)原理 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)基于 IP 數(shù)據(jù)俘獲 應(yīng)用層數(shù)據(jù)分析 審計(jì)和 響應(yīng) 實(shí)現(xiàn)各項(xiàng)功能 設(shè)計(jì)中充分貫徹了平臺化的思路 由于采用旁路接 入的工作模式 使得天玥系統(tǒng)在實(shí)現(xiàn)各種安全功能的同時 對原系統(tǒng)的影 響降到最低 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要實(shí)現(xiàn)以下安全功能 針對不同的應(yīng)用協(xié)議 提供基于應(yīng)用操作的審計(jì) 提供數(shù)據(jù)庫操作語義解析審計(jì) 實(shí)現(xiàn)對違規(guī)行為的及時監(jiān)視和告警 提供上百種合規(guī)規(guī)則 支持自定義規(guī)則 包括正則表達(dá)式等 實(shí)現(xiàn) 靈活多樣的策略和響應(yīng) 提供基于硬件令牌 靜態(tài)口令 Radius 支持的強(qiáng)身份認(rèn)證 根據(jù)設(shè)定輸出不同的安全審計(jì)報(bào)告 WORD 格式可編輯 專業(yè)知識分享 3 3 設(shè)計(jì)方案及系統(tǒng)配置 核心數(shù)據(jù)庫 Oracle 系統(tǒng)通過主備方式接入網(wǎng)絡(luò) 設(shè)計(jì)采用配置一臺天玥審計(jì)數(shù)據(jù) 中心 一臺天玥旁路審計(jì)引擎 一臺天玥在線審計(jì)引擎 具體部署如下圖所示 天玥系統(tǒng)部署圖 天玥審計(jì)數(shù)據(jù)中心天玥審計(jì)數(shù)據(jù)中心 部署一臺天玥審計(jì)數(shù)據(jù)中心 該服務(wù)器具備一個 2T 的內(nèi)置 RAID5 存儲器 對天玥網(wǎng)絡(luò)審計(jì)引擎進(jìn)行管理和控制 實(shí)現(xiàn)對審計(jì)數(shù)據(jù)的存儲和分析 天玥審 計(jì)數(shù)據(jù)中心的管理端口需要接入網(wǎng)絡(luò)中 并分配一個合法的 IP 地址 以接收天玥管理 控制臺的管理 天玥審計(jì)數(shù)據(jù)中心的 管理端口 需要通過網(wǎng)絡(luò)方式與天玥網(wǎng)絡(luò)審計(jì)引 擎的 管理端口 進(jìn)行連接 天玥旁路審計(jì)引擎天玥旁路審計(jì)引擎 部署一臺天玥網(wǎng)絡(luò)審計(jì)引擎對核心交換機(jī)上的 Oracle 流量進(jìn)行監(jiān) 控和審計(jì) 天玥網(wǎng)絡(luò)審計(jì)引擎配置兩個信息監(jiān)聽端口 該端口需要連接到被監(jiān)控交換機(jī) WORD 格式可編輯 專業(yè)知識分享 的 鏡像目的端口 上 以獲取原始的通信信息 從而實(shí)現(xiàn)各種審計(jì)和控制功能 天玥 網(wǎng)絡(luò)審計(jì)引擎需要設(shè)置一個 管理端口 這個端口需要接入網(wǎng)絡(luò) 并分配一個合法的 IP 地址 以接收天玥管理控制臺的管理 天玥在線審計(jì)引擎 天玥在線審計(jì)引擎 部署一臺天玥旁路審計(jì)引擎 實(shí)現(xiàn)對運(yùn)維區(qū)域的各種運(yùn)維操作進(jìn)行 監(jiān)控 審計(jì)和阻斷 該引擎自帶 Bypass 支持 通常采用透明方式進(jìn)行接入 對服務(wù)器 端和終端用戶無影響 天玥管理控制臺天玥管理控制臺 在網(wǎng)絡(luò)中的任何一臺 Windows 計(jì)算機(jī)上采用瀏覽器進(jìn)行管理 在本方案中同時部署了旁路審計(jì)引擎與在線審計(jì)引擎 這是因?yàn)檫@兩種引擎屬于互 補(bǔ)關(guān)系 旁路審計(jì)引擎解決了在線審計(jì)引擎被繞過的風(fēng)險(xiǎn) 在線審計(jì)引擎解決了旁路引 擎無法實(shí)現(xiàn)加密協(xié)議審計(jì)和事前阻斷的風(fēng)險(xiǎn) 二者的關(guān)系如下 在線審計(jì)實(shí)現(xiàn)的基礎(chǔ)為 建立唯一訪問路徑 一切的行為均通過該路徑進(jìn)行訪問 也就是說需要將所有被審計(jì)運(yùn)維訪問流量都要通過在線引擎才可以進(jìn)行審計(jì) 這就牽涉 到網(wǎng)絡(luò)結(jié)構(gòu)的變化或 ACL 的調(diào)整 在實(shí)際部署中 在線審計(jì)依賴外部設(shè)備的 ACL 控制 比如交換機(jī)或 FW 一旦這些訪問控制設(shè)備出現(xiàn)問題或 ACL 不夠充分 就會存在繞過 堡壘主機(jī)的操作行為 而此時這些繞過堡壘主機(jī)的行為是沒有被審計(jì)的 由于惡意攻擊 者往往具備較高的技術(shù)水平 同時善于尋找安全系統(tǒng)的漏洞 故不完善的 ACL 控制會讓 在線審計(jì)存在較大的部署風(fēng)險(xiǎn) 而旁路審計(jì)實(shí)現(xiàn)的基礎(chǔ)為 一切網(wǎng)絡(luò)訪問行為均不可信 進(jìn)行部署的 故所有可識別的操作均被審計(jì) 這兩種審計(jì)部署方式存在著很強(qiáng)的互補(bǔ)性 通常都會一起部署 從而實(shí)現(xiàn)控制與審計(jì)的完美結(jié)合 3 4 主要功能介紹 3 4 1 3 4 1 數(shù)據(jù)庫審計(jì)數(shù)據(jù)庫審計(jì) 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)能夠監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為 實(shí)時地 智能地解析對數(shù)據(jù)庫服務(wù)器的各種操作 一般操作行為如數(shù)據(jù)庫的登錄 特定的操作如 對數(shù)據(jù)庫表的插入 刪除 修改 執(zhí)行特定的存貯過程等 都能夠被記錄和分析 分析 的內(nèi)容要求可以精確到 SQL 操作語句一級 并記錄這些操作的用戶名 機(jī)器 IP 地址 操作時間等重要信息 系統(tǒng)能夠?qū)Σ捎?ODBC JDBC OLE DB 命令行嵌入方式對數(shù)據(jù)庫的訪問進(jìn)行審計(jì) WORD 格式可編輯 專業(yè)知識分享 和響應(yīng) SQL 語句的支持 SQL92 語法 主要包括以下幾種類型的審計(jì) DDL Create Drop Grant Revoke DML Update Insert Delete DCL Commit Rollback Savapoint 其他 Alter System Connect Allocate 存儲過程 目前 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持以下數(shù)據(jù)庫系統(tǒng)的審計(jì) 是業(yè)界支持?jǐn)?shù)據(jù)庫種類 最多的審計(jì)系統(tǒng) 能夠滿足不同用戶 不同發(fā)展階段情況下的數(shù)據(jù)庫審計(jì)需求 Oracle SQL Server DB2 Informix Sybase Teradata Mysql PostgreSQL Cache 人大金倉 Kingbase 數(shù)據(jù)庫 達(dá)夢 DM 數(shù)據(jù)庫 南大通用 GBase 數(shù)據(jù)庫 3 4 2 3 4 2 網(wǎng)絡(luò)運(yùn)維審計(jì)網(wǎng)絡(luò)運(yùn)維審計(jì) 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持常用的運(yùn)維協(xié)議及文件傳輸協(xié)議 能夠全程記錄用戶在 服務(wù)器上的各種操作 Telnet Rlogin FTP SCP SFTP X11 NFS WORD 格式可編輯 專業(yè)知識分享 3 4 3 3 4 3 OAOA 審計(jì)審計(jì) 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持 HTTP POP3 SMTP Netbios 的審計(jì) 能夠記錄網(wǎng)頁 URL 內(nèi)容 發(fā)件人 收件人 郵件內(nèi)容 網(wǎng)絡(luò)鄰居的各種操作等信息 3 4 4 3 4 4 數(shù)據(jù)庫響應(yīng)時間及返回碼的審計(jì)數(shù)據(jù)庫響應(yīng)時間及返回碼的審計(jì) 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持對 SQL Server DB2 Oracle Informix 等數(shù)據(jù)庫系統(tǒng) 的 SQL 操作響應(yīng)時間和返回碼的審計(jì) 通過對響應(yīng)時間和返回碼的審計(jì) 可以幫助用戶 對數(shù)據(jù)庫的使用狀態(tài)全面掌握 及時響應(yīng)故障信息 特別是當(dāng)新業(yè)務(wù)系統(tǒng)上線 業(yè)務(wù)繁 忙 業(yè)務(wù)模塊更新時 通過天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對超長時間和關(guān)鍵返回碼進(jìn)行審計(jì)并 實(shí)時報(bào)警有助于提高業(yè)務(wù)系統(tǒng)的運(yùn)營水平 降低數(shù)據(jù)庫故障等帶來的運(yùn)維風(fēng)險(xiǎn) 目前天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持上述數(shù)據(jù)庫系統(tǒng)共計(jì) 13000 多種返回碼的知識庫供 用戶快速查詢和定位問題 3 4 5 3 4 5 業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián)業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián) 當(dāng)前業(yè)務(wù)系統(tǒng)普遍采用三層結(jié)構(gòu) 瀏覽器客戶端 Web 服務(wù)器 中間件 數(shù)據(jù)庫服 務(wù)器 通常的流程是 用戶通過瀏覽器客戶端 利用自己的帳戶登錄 Web 服務(wù)器 向服 務(wù)器提交訪問數(shù)據(jù) Web 服務(wù)器根據(jù)用戶提交的數(shù)據(jù)構(gòu)造 SQL 語句 并利用唯一的帳戶 訪問數(shù)據(jù)庫服務(wù)器 提交 SQL 語句 接收數(shù)據(jù)庫服務(wù)器返回結(jié)果并返回給用戶 在這種基于 Web 的業(yè)務(wù)行為訪問模式下 傳統(tǒng)的信息安全審計(jì)產(chǎn)品一般可審計(jì)從瀏 覽器到 Web 服務(wù)器的前臺訪問事件 以及從 Web 服務(wù)器到數(shù)據(jù)庫服務(wù)器的后臺訪問事件 但由于后臺訪問事件采用的是唯一的帳戶 對每個后臺訪問事件 難以確定是哪個前臺 訪問事件觸發(fā)了該事件 如果在后臺訪問事件中出現(xiàn)了越權(quán)訪問 惡意訪問等行為 難 以定位到具體的前臺用戶上 舉一個一個典型的例子 內(nèi)部違規(guī)操作人員利用前臺的業(yè) 務(wù)系統(tǒng) 以此作為跳板對后臺數(shù)據(jù)庫內(nèi)容進(jìn)行了篡改和竊取 這種情況下 通常審計(jì)產(chǎn) 品只能發(fā)現(xiàn)來自某個數(shù)據(jù)庫賬號 而無法判斷最終的發(fā)起源頭 啟明星辰研究人員實(shí)現(xiàn) HTTP 操作和數(shù)據(jù)庫操作之間的關(guān)聯(lián)計(jì)算 目前已經(jīng)申請專 利 專利名稱為 一種 Web 服務(wù)器前后臺關(guān)聯(lián)審計(jì)方法和系統(tǒng) 專利受理號碼 200710121669 6 WORD 格式可編輯 專業(yè)知識分享 三層關(guān)聯(lián)邏輯部署圖 通過這種關(guān)聯(lián)分析技術(shù) 能夠?qū)徲?jì)產(chǎn)品從基于事件的審計(jì) 逐漸升級為基于用戶 業(yè)務(wù)行為的審計(jì) 在關(guān)聯(lián)分析過程中采用自動建模技術(shù) 可以將前臺 Web 業(yè)務(wù)操作和后 臺數(shù)據(jù)庫操作行為進(jìn)行對應(yīng) 并形成業(yè)務(wù)訪問行為模式庫 同時 在該技術(shù)的基礎(chǔ)上還 可以進(jìn)一步分析 發(fā)現(xiàn)可能的業(yè)務(wù)異常及 SQL 異常 3 4 6 3 4 6 合規(guī)性規(guī)則和響應(yīng)合規(guī)性規(guī)則和響應(yīng) 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的審計(jì)和響應(yīng)功能可以簡單地描述為 某個特定的服務(wù) 如 FTP Telnet SQL 等 可以 或不可以 被某個特定的用戶 主機(jī) 怎樣地訪問 這使得它提供的審計(jì)和響應(yīng)具有很強(qiáng)的針對性和準(zhǔn)確性 強(qiáng)大的數(shù)據(jù)庫規(guī)則 系統(tǒng)能夠根據(jù)訪問數(shù)據(jù)庫的源程序名 登陸數(shù)據(jù)庫的賬號 數(shù)據(jù)庫命令 數(shù)據(jù)庫名 數(shù)據(jù)庫表名 數(shù)據(jù)庫字段名 數(shù)據(jù)庫字段值 數(shù)據(jù)庫返回碼等作為條件 對用戶關(guān)心的 違規(guī)行為進(jìn)行響應(yīng) 特別是針對重要表 重要字段的各種操作 能夠通過簡單的規(guī)則定 義 實(shí)現(xiàn)精確審計(jì) 降低過多審計(jì)數(shù)據(jù)給管理員帶來的信息爆炸 定制審計(jì)事件規(guī)則 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了事件規(guī)則用戶自定義模塊 允許用戶自行設(shè)定和調(diào)整 各種安全審計(jì)事件的觸發(fā)條件與響應(yīng)策略 例如 用戶特別關(guān)注在 telnet 過程中出現(xiàn) rm passwd shutdown 等命令的行為 那么用戶就可以利用天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)定義相應(yīng)的審計(jì)事件規(guī)則 這樣 天玥網(wǎng)絡(luò) 安全審計(jì)系統(tǒng)就可以針對網(wǎng)絡(luò)中發(fā)生的這些行為進(jìn)行響應(yīng) 基于業(yè)務(wù)特征的規(guī)則庫 WORD 格式可編輯 專業(yè)知識分享 系統(tǒng)可以將審計(jì)員制定的多個符合業(yè)務(wù)特征的規(guī)則進(jìn)行匯總 編輯和命名 形成具 備某種業(yè)務(wù)特征的規(guī)則寫入用戶自定義的規(guī)則庫 這樣 審計(jì)員在針對某個特定業(yè)務(wù)用 戶制定審計(jì)策略時 可以直觀地使用自命名的規(guī)則進(jìn)行設(shè)置 方便了各種策略的制定和 查詢 特定賬號行為跟蹤 系統(tǒng)能夠?qū)崿F(xiàn)對 用戶網(wǎng)絡(luò)環(huán)境中出現(xiàn)的特定賬號或特定賬號執(zhí)行某種操作后 的 場景進(jìn)行賬號跟蹤 提供對后繼會話和事件的審計(jì) 這樣 管理員能夠?qū)Τ霈F(xiàn)在網(wǎng)絡(luò)中 的特權(quán)賬號 比如 root DBA 等 進(jìn)行重點(diǎn)的監(jiān)控 特別是哪些本不應(yīng)出現(xiàn)在網(wǎng)絡(luò)上的 特權(quán)賬號突然出現(xiàn)的事件 多編碼環(huán)境支持 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)適用于多種應(yīng)用環(huán)境 特別是在異構(gòu)環(huán)境中 比如 IBM AS 400 通常采用 EBCDIC 編碼方式實(shí)現(xiàn) telnet 協(xié)議的傳輸 某些數(shù)據(jù)庫同時采用幾種 編碼與客戶端進(jìn)行通訊 若系統(tǒng)不能識別多種編碼 會導(dǎo)致審計(jì)數(shù)據(jù)出現(xiàn)亂碼 對多編 碼的支持是衡量審計(jì)系統(tǒng)環(huán)境適應(yīng)性的重要指標(biāo)之一 目前天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持 如下編碼格式 ASCII Unicode UTF 8 UTF 16 GB2312 EBCDIC 多種響應(yīng)方式 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了多種響應(yīng)方式 包括 在天玥審計(jì)服務(wù)器中記錄相應(yīng)的操作過程 在日常審計(jì)報(bào)告中標(biāo)注 向天玥管理控制臺發(fā)出告警信息 實(shí)時阻斷會話連接 管理人員通過本系統(tǒng)手工 RST 阻斷會話連接 通過 Syslog 方式進(jìn)行告警 WORD 格式可編輯 專業(yè)知識分享 通過 SNMP Trap 方式進(jìn)行告警 通過郵件方式進(jìn)行告警 實(shí)時跟蹤和回放 管理員可以通過審計(jì)顯示中心實(shí)時地跟蹤一個或多個網(wǎng)絡(luò)連接 通過系統(tǒng)提供的 時標(biāo) 清晰地顯示不同網(wǎng)絡(luò)連接中每個操作的先后順序及操作結(jié)果 當(dāng)發(fā)現(xiàn)可疑的操 作或訪問時 可以實(shí)時阻斷當(dāng)前的訪問 管理員也可以從審計(jì)數(shù)據(jù)中心中提取審計(jì)數(shù)據(jù) 對通信過程進(jìn)行回放 便于分析和查找系統(tǒng)安全問題 并以次為依據(jù)制定更符合業(yè)務(wù)特 征和系統(tǒng)安全需求的安全規(guī)則和策略 3 4 7 3 4 7 審計(jì)報(bào)告輸出審計(jì)報(bào)告輸出 天玥審計(jì)系統(tǒng)從安全管理的角度出發(fā) 設(shè)計(jì)一套完善的審計(jì)報(bào)告輸出機(jī)制 多種篩選條件 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了強(qiáng)大 靈活的篩選條件設(shè)置機(jī)制 在設(shè)置篩選條件時 審計(jì)員可基于以下要素的組合進(jìn)行設(shè)置 時間 客戶端 IP 客戶端端口號 服務(wù)端 IP 服務(wù)端端口 關(guān)鍵字 事件級別 引擎名 業(yè)務(wù)用戶身份 資源賬號等條件 審計(jì)員可根據(jù)需要靈活地設(shè)置審計(jì)報(bào)表的各種要素 迅速生成自己希望看到的審計(jì) 內(nèi)容 同時系統(tǒng)提供了報(bào)表模板功能 審計(jì)員無需重復(fù)輸入 只需要設(shè)置模板后 即可 按模板進(jìn)行報(bào)表生成 命令及字段智能分析 系統(tǒng)能夠根據(jù)審計(jì)協(xié)議的類型進(jìn)行命令和字段的自動提取 用戶可以選擇提取后的 命令或字段作為重點(diǎn)對象進(jìn)行分析 針對數(shù)據(jù)庫類協(xié)議 可分析并形成數(shù)據(jù)庫名 表名 命令等列表 針對運(yùn)維類協(xié)議 可分析并形成命令等列表 針對文件操作類協(xié)議 可分 析并形成文件名 操作命令等列表 通過該功能 可以簡化用戶對審計(jì)數(shù)據(jù)的分析過程 大大提高分析的效率 宏觀事件到微觀事件鉆取 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了從宏觀報(bào)表到微觀事件的關(guān)聯(lián) 審計(jì)員可以在統(tǒng)計(jì)報(bào) 表 取證報(bào)表中查看宏觀的審計(jì)數(shù)據(jù)統(tǒng)計(jì)信息 通過點(diǎn)擊相應(yīng)鏈接即可逐步下探到具體 的審計(jì)事件 WORD 格式可編輯 專業(yè)知識分享 自動任務(wù)支持 天玥網(wǎng)絡(luò)安全系統(tǒng)提供報(bào)表任務(wù)功能 審計(jì)員可根據(jù)實(shí)際情況定制報(bào)表生成任務(wù) 系統(tǒng)支持 HTML EXCEL CSV PDF Word 等多種文檔格式的報(bào)表輸出 可以通過郵件方 式自動發(fā)送給審計(jì)員 數(shù)據(jù)和報(bào)表備份 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了審計(jì)數(shù)據(jù)和報(bào)表的手動和自動備份功能 可以將壓縮 后的數(shù)據(jù)自動傳輸?shù)街付ǖ?FTP 服務(wù)器 提供每天 每周 每月 時刻的定義方式 3 4 8 3 4 8 自身管理自身管理 安全管理 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的管理控制中心提供了集中的管理控制界面 審計(jì)員通過管 理控制臺就能管理和綜合分析所有審計(jì)引擎的審計(jì)信息和狀態(tài)信息 并形成審計(jì)報(bào)表 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持權(quán)限分級管理模式 可對不同的角色設(shè)定不同的管理權(quán) 限 例如 超級管理員擁有所有的管理權(quán)限 而某些普通管理員則可能僅擁有查看審計(jì) 報(bào)表的權(quán)限 某些管理員可以擁有設(shè)置審計(jì)策略或安全規(guī)則的權(quán)限 系統(tǒng)提供專門的自身審計(jì)日志 記錄所有人員對天玥系統(tǒng)的操作 方便審計(jì)員對日 志進(jìn)行分析和查看 狀態(tài)管理 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供 CPU 內(nèi)存 磁盤狀態(tài) 網(wǎng)口等運(yùn)行信息 管理員可以 很輕松的通過 GUI 界面實(shí)現(xiàn)對審計(jì)數(shù)據(jù)中心 審計(jì)引擎的工作狀態(tài)進(jìn)行查看 當(dāng)出現(xiàn)錯 誤信息時 比如 Raid 故障 磁盤空間不足 引擎連接問題 系統(tǒng)可自動郵件通知相關(guān) 管理人員 時間同步管理 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供手工和 NTP 兩種時間同步方式 通過對全系統(tǒng)自身的時 間同步 保證了審計(jì)數(shù)據(jù)時間戳的精確性 避免了審計(jì)事件時間誤差給事后審計(jì)分析工 作帶來的影響 提升了工作效率 3 4 9 3 4 9 系統(tǒng)安全性設(shè)計(jì)系統(tǒng)安全性設(shè)計(jì) 在天玥系統(tǒng)的設(shè)計(jì)中采用了嚴(yán)密的系統(tǒng)安全性設(shè)計(jì) 主要體系在以下幾個方面 WORD 格式可編輯 專業(yè)知識分享 1 操作系統(tǒng)安全性設(shè)計(jì) 天玥系統(tǒng)采用經(jīng)裁減 加固的 Linux 操作系統(tǒng) 在設(shè)計(jì) 過程中 結(jié)合天玥系統(tǒng)的功能要求和我公司在操作系統(tǒng)安全方面的技術(shù)和經(jīng)驗(yàn) 對 Linux 進(jìn)行了精心的裁減和加固 包括補(bǔ)丁修補(bǔ) 取消危險(xiǎn)的 無用的服務(wù) 等 2 數(shù)據(jù)庫安全性設(shè)計(jì) 天玥審計(jì)數(shù)據(jù)中心審計(jì)服務(wù)器的數(shù)據(jù)庫是啟明星辰根據(jù)天 玥系統(tǒng)的功能要求自行設(shè)計(jì)的 在設(shè)計(jì)時已經(jīng)充分考慮了安全性方面的問題 3 模塊間的通信 各功能模塊之間的通信均采用專門設(shè)計(jì)的通信協(xié)議 這些通信 協(xié)議在設(shè)計(jì)時均采用了諸如 CA 認(rèn)證 編碼 簽名 加密等安全技術(shù) 對于遠(yuǎn) 程維護(hù) 則采用了 SSH 加密傳輸協(xié)議 在產(chǎn)品出廠測試階段 還將進(jìn)行諸如漏洞掃描之類的安全性測試 因此 我們認(rèn)為 天玥系統(tǒng)具有很高的安全性 3 5 負(fù)面影響評價(jià) 天玥系統(tǒng)基于 IP 數(shù)據(jù)俘獲 應(yīng)用層數(shù)據(jù)分析 審計(jì)和響應(yīng) 實(shí)現(xiàn)各項(xiàng)功能 在 具體實(shí)現(xiàn)時 無需在網(wǎng)絡(luò)通路中 跨接 任何硬件設(shè)備 也不需要在審計(jì)對象中安裝 審計(jì)代理 因此 天玥系統(tǒng)的安裝使用 不會對原系統(tǒng)造成任何性能 穩(wěn)定性方面 的影響 天玥系統(tǒng)的硬件設(shè)備由 天玥審計(jì)數(shù)據(jù)中心 和 天玥網(wǎng)絡(luò)審計(jì)引擎 構(gòu)成 其中 天玥審計(jì)數(shù)據(jù)中心象一臺主機(jī)設(shè)備一樣安裝用戶的系統(tǒng)中 只需要為天玥審計(jì)數(shù)據(jù)中心 分配合法的 IP 地址就可以了 因此 該設(shè)備不會對原系統(tǒng)造成任何性能 功能 可靠 性 安全性方面的影響 天玥網(wǎng)絡(luò)審計(jì)引擎需要安裝在核心交換機(jī)的鏡像端口上 用于俘獲來往于后臺主機(jī) 和前臺操作人員之間的通信數(shù)據(jù) 然后通過對這些通信數(shù)據(jù)的解析 匹配 達(dá)到審計(jì)和 命令控制的目的 同時 天玥網(wǎng)絡(luò)審計(jì)引擎實(shí)時地將俘獲的原始數(shù)據(jù)傳遞給進(jìn)行進(jìn)一步 的分析處理和存儲 當(dāng)天玥網(wǎng)絡(luò)審計(jì)引擎發(fā)現(xiàn)違反規(guī)定的登錄或操作命令時 會同時向該 TCP 會話的服 務(wù)器和客戶端發(fā)出 關(guān)閉 TCP 會話 的 IP 報(bào) 從而達(dá)到阻斷的目的 這種 關(guān)閉 TCP 會話 的 IP 報(bào)是由天玥網(wǎng)絡(luò)審計(jì)引擎?zhèn)卧?并直接向服務(wù)器和客戶端發(fā)送的 不需要 WORD