天玥綜合安全審計系統(tǒng)白皮書

1、天玥網絡安全審計系統(tǒng)天玥網絡安全審計系統(tǒng)產品白皮書產品白皮書（Network Security Audit System）北京啟明星辰信息技術有限公司北京啟明星辰信息技術有限公司2003. 10安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術有限公司 2地址：北京市海淀區(qū)中關村南大街 12 號 188 信箱電話真址：版權聲明版權聲明啟明星辰信息技術有限公司 2003 版權所有，保留一切權力。未經啟明星辰書面同意不得擅自拷貝、傳播、復制、泄露或復寫本文檔的全部或部分內容。本文檔中的信息歸啟明星辰信息技術有限公司所有并受中國知識產權法和國

2、際公約的保護?！疤飓h” 、 “天闐”和“天鏡”為啟明星辰信息技術有限公司的注冊商標，不得侵犯。信息更新信息更新本文檔及其相關計算機軟件程序（以下文中稱為“文檔”）僅用于為最終用戶提供信息，并且隨時可由啟明星辰信息技術有限公司（下稱“啟明星辰”）更改或撤回。信息反饋信息反饋如有任何寶貴意見，請反饋：信箱：北京市海淀區(qū)中關村南大街 12 號 188 信箱電話真責條款免責條款根據適用法律的許可范圍，啟明星辰按“原樣”提供本文檔而不承擔任何形式的擔保，包括（但不限于）任何隱含的適銷性、特殊目的適用性或無侵害性。在任何情況下，啟明星辰都不會對最終用

3、戶或任何第三方因使用本文檔造成的任何直接或間接損失或損壞負責，即使啟明星辰明確得知這些損失或損壞，這些損壞包括（但不限于）利潤損失、業(yè)務中斷、信譽或數據丟失。本文檔中所有引用產品的使用及本文檔均受最終用戶可適用的特許協(xié)議約束。出版時間出版時間本文檔由啟明星辰信息技術有限公司2003年10月制作出版。安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術有限公司 3地址：北京市海淀區(qū)中關村南大街 12 號 188 信箱電話真址：目目 錄錄1.1. 產品簡介產品簡介 .4 41.1.產品概述.41.2.產品定位和價值.42.2. 產品架構產品架

4、構 .5 52.1.產品組成.52.2.產品結構.62.3.系統(tǒng)需求.73.3. 產品功能產品功能 .9 93.1.審計功能.93.2.管理功能.103.3.報表分析功能.114.4. 產品特性產品特性 .11114.1.分布式部署靈活管理.114.2.客戶化定制審計內容.114.3.高度的自身安全保障.114.4.廣泛的聯動響應支持.124.5.方便的統(tǒng)一管理平臺.125.5. 服務支持服務支持 .1313安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術有限公司 4地址：北京市海淀區(qū)中關村南大街 12 號 188 信箱電話真址：1.

5、 產品簡介產品簡介. 產品概述產品概述天玥網絡安全審計系統(tǒng)（以下簡稱“天玥” ）是啟明星辰信息技術有限公司自行研制開發(fā)的網絡安全審計系統(tǒng)。天玥通過旁路偵聽的方式對網絡數據流進行采集、分析和識別，實時監(jiān)視網絡系統(tǒng)的運行狀態(tài)，記錄網絡事件，發(fā)現安全隱患，并對網絡活動的相關信息進行存儲，分析和審計回放。來自網絡的安全威脅日益增多，很多威脅并不是以網絡入侵的形式進行的，這些威脅事件多數是來自于內部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功并不能滿足對這些網絡安全事件的審計要求，網絡安全審計系統(tǒng)正是在這樣的安全審計需求下產生的。網絡安全審計通常要求專門細致的協(xié)議分析技術，完整的跟蹤能

6、力，和數據查詢過程回放功能。啟明星辰憑借在入侵檢測領域多年的技術積累和研發(fā)經驗，推出了適用于百兆網絡環(huán)境的天玥網絡安全審計系統(tǒng)。. 產品定位和價值產品定位和價值作為網絡安全審計系統(tǒng)，天玥主要用于網絡安全事件的事后查詢和取證工作。天玥主要部署于用戶網絡環(huán)境中具有關鍵資產的網段，審計的對象通常為重要的服務器，如文件服務器、郵件服務器、計費服務器等。關鍵特性和價值關鍵特性和價值防范內部合法用戶的誤操作和惡意操作完整回放網絡會話過程和內容成熟的高速網絡抓包技術和協(xié)議分析技術發(fā)現異常進行告警，提醒安全管理員采取措施進行處理；預留接口，可納入啟明星辰的入侵管理平臺進行統(tǒng)一管理。安全源自未雨綢

7、繆，誠信貴在風雨同舟 啟明星辰信息技術有限公司 5地址：北京市海淀區(qū)中關村南大街 12 號 188 信箱電話真址：2. 產品架構產品架構. 產品組成產品組成天玥網絡安全審計系統(tǒng)包括以下三個部分：網絡探測引擎數據管理中心審計中心一個數據管理中心可以帶多個網絡探測引擎，每個網絡探測引擎只能對應一個數據管理中心。審計中心可以連接多個數據管理中心。這三部分的連接示意圖如圖 2.1 所示：圖圖 2.1 天玥網絡安全審計系統(tǒng)設計結構示意圖天玥網絡安全審計系統(tǒng)設計結構示意圖網絡探測引擎全面?zhèn)陕牼W上的信息流，動態(tài)監(jiān)視網絡上流過的所有數據包，

8、進行檢測和實時分析，并將分析結果發(fā)送給相應的數據庫進行保存。數據管理中心包括三個應用程序：數據庫管理、引擎管理和配置管理。數據庫管理程安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術有限公司 6地址：北京市海淀區(qū)中關村南大街 12 號 188 信箱電話真址：序設置數據庫連接信息；引擎管理程序設置網絡探測引擎的信息；配置管理可以對被審計對象進行客戶化自定義，如制定黑白名單、自定義審計協(xié)議和設定異常端口審計。審計中心包括兩個應用程序：審計控制臺和用戶管理。審計控制臺可以實時顯示網絡審計信息，流量統(tǒng)計信息，并可以查詢審計信息歷史數據，并且對

9、審計事件進行回放。用戶管理程序可以對用戶進行權限設定，限制不同級別的用戶查看不同的審計內容。同時還可以對于每一種權限的使用人員的操作進行審計記錄，可以由用戶管理員進行查看，具有一定的自身安全審計功能。. 產品結構產品結構產品的管理和部署結構如圖 2.2 所示：圖圖 2.2 天玥網絡安全審計系統(tǒng)基本部署圖天玥網絡安全審計系統(tǒng)基本部署圖安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術有限公司 7地址：北京市海淀區(qū)中關村南大街 12 號 188 信箱電話真址：產品內部的功能架構如圖 2.3 和圖 2.4 所示數據管理中心通訊口

10、基于Linux內核定制的安全操作系統(tǒng)引擎管理配置管理數據庫管理抓包口協(xié)議分析事件定義會話重放黑白名單實時日志異常端口實時告警接收圖圖 2.3 天玥審計探測引擎工作原理圖天玥審計探測引擎工作原理圖基于win2000操作系統(tǒng)數據管理中心通訊口流量日志數據庫流量審計報警會話重放報警事件審計報表界面顯示審計中心報表審計引擎策略配置引擎管理數據庫管理圖圖 2.4 天玥審計數據管理中心工作原理圖天玥審計數據管理中心工作原理圖. 系統(tǒng)需求系統(tǒng)需求(1)網絡探測引擎網絡探測引擎操作系統(tǒng)：Linux 2.4.18 內核以上CPU：Pentium 4 2GHz 或更高內存：不低于 1G安全源自未雨綢

11、繆，誠信貴在風雨同舟 啟明星辰信息技術有限公司 8地址：北京市海淀區(qū)中關村南大街 12 號 188 信箱電話真址：硬盤：不低于 60G網卡2 個 Intel 網卡其他設備：光盤驅動器一個(2)數據管理中心數據管理中心操作系統(tǒng)：Windows 2000（中文版） ，SP3 以上數據庫：SQLserver2000，SP3 以上CPU：Pentium III 1GMHz 或更高內存：不低于 256M，建議 512M 以上空閑磁盤空間：不低于 2G其他設備：光盤驅動器、網卡、鍵盤、鼠標、顯示器以上配置不包括對存放日志的 MS SQL Server

12、 數據庫服務器的要求。MS SQL Server 數據庫服務器的配置要求請參考微軟公司提供的基本要求和建議配置。建議將天玥數據管理中心安裝在一臺專用的服務器上，不推薦將數據管理中心和其他的應用程序裝在一起。(3)審計中心審計中心操作系統(tǒng)：Windows 2000（中文版） ，SP2 以上CPU：Pentium III 500MHz 或更高內存：不低于 256M，建議 512M 以上空閑磁盤空間：不低于 1G，建議 2G 以上安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術有限公司 9地址：北京市海淀區(qū)中關村南大街 12 號 188 信箱電話真：010-62146

13、778網址：其他設備：光盤驅動器、網卡、鍵盤、鼠標、顯示器審計中心可以單獨安裝，也可以和數據管理中心安裝在同一臺機器上。3. 產品功能產品功能. 審計功能審計功能3.1.1. 典型網絡應用協(xié)議審計典型網絡應用協(xié)議審計天玥能夠對典型的網絡應用協(xié)議（http,ftp,smtp,pop3,telnet）進行詳細審計，實時監(jiān)控并記錄網絡用戶對服務器的遠程登錄、讀、寫、添加、修改以及刪除等操作，并可以對操作過程進行完整回放，比如對于 http 協(xié)議可以回放所瀏覽的網頁內容，對 smtp 和 pop3 協(xié)議可以回放郵件正文的完整內容以及附件內容。3.1.2. 文件共享審計文件共享審計天玥能夠

14、對 Windows 網絡環(huán)境中基于 netbios 的文件共享服務進行審計，實時監(jiān)控并記錄網絡用戶對網絡資源中的文件共享操作，并對文件共享操作命令進行回放。3.1.3. 自定義協(xié)議審計自定義協(xié)議審計天玥為用戶提供了客戶化的自定義協(xié)議審計功能，對于用戶網絡中運行的特殊網絡協(xié)議，用戶可以根據協(xié)議的端口號和 IP 地址范圍自行定義。天玥可以對用戶自定義的各種網絡協(xié)議的原始報文進行解析，實時監(jiān)控并記錄自定義協(xié)議的活動情況。安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術有限公司 10地址：北京市海淀區(qū)中關村南大街 12 號 188 信箱電話真

15、址：3.1.4. 數據庫操作審計數據庫操作審計天玥能夠實時監(jiān)控并記錄網絡用戶對數據庫服務器的讀、寫、查詢、添加、修改以及刪除等操作，并可以對數據庫操作命令進行回放。目前天玥只支持對 SQL Server 的審計。3.1.5. 流量審計流量審計天玥能夠根據不同協(xié)議和自定義模式，實時顯示網絡中流量數據的變化。流量分析流量分析典型實例典型實例流量監(jiān)測IP-IP 流量、TCP、UDP、ICMP 等應用協(xié)議流量異常流量字節(jié)流量超標事件、包流量超標事件、流量增量異常事件3.1.6. 主機服務審計主機服務審計天玥為用戶提供了主機異常端口定義功能，允許用戶自定義要審計的主機和端口，通過對網絡數據的分析，檢測某

16、些主機是否有異常端口服務開放，從而實現對主機服務的審計。3.1.7. 制定黑白名單制定黑白名單天玥為用戶提供了黑白名單設置功能，用戶可以根據自己網絡的實際狀況，把信任的主機列入白名單，重點審計主機列入黑名單。天玥對黑名單上的主機進行重點監(jiān)控，并在審計控制臺實時顯示黑名單主機的活動情況。白名單上的主機是被充分信任的主機，天玥對于列入白名單的主機不進行審計。. 管理功能管理功能3.2.1. 實時報警響應實時報警響應天玥可以對審計事件進行實時報警響應。目前支持的報警響應方式為屏幕報警。安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術有限公司 11地址：北京市海淀區(qū)中關村南大街 12

17、 號 188 信箱電話真址：3.2.2. 用戶管理用戶管理為保證網絡審計數據的安全性和隱私性，天玥系統(tǒng)采用多用戶權限管理，特定用戶只能對其權限內的審計內容進行審計操作。同時用戶管理程序具有自審計功能，對于每一種權限的使用人員的操作都有詳細的審計記錄，可以由用戶管理員進行查看。. 報表分析功能報表分析功能3.3.1. 審計數據查詢分析審計數據查詢分析天玥能夠根據存儲記錄和操作者的權限對審計數據進行查詢、統(tǒng)計、管理、維護等操作。3.3.2. 審計報表審計報表天玥為用戶提供了審計報表生成功能，以自定義方式生成 HTML 或 EXC

18、EL 形式的報表。4. 產品特性產品特性. 分布式部署靈活管理分布式部署靈活管理天玥在設計上采用審計中心、數據管理中心和網絡探測引擎三級結構，每個數據管理中心以一對多的方式連接管理多個網絡探測引擎，審計中心和數據管理中心可以多對多進行審計控制顯示。天玥的三級結構設計滿足了用戶在大型網絡環(huán)境中分布式部署網絡安全審計系統(tǒng)的需求，同時審計中心控制臺可以靈活安裝在網絡的不同位置，配合天玥的用戶管理程序，滿足不同級別的用戶對審計數據的管理查詢。安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術有限公司 12地址：北京市海淀區(qū)中關村南大街 12 號 188 信箱電話/p>

19、6傳真址：. 客戶化定制審計內容客戶化定制審計內容天玥為用戶提供了多種自定義審計內容設置，如制定黑白名單，自定義協(xié)議審計，異常端口審計等，方便了用戶根據自身的網絡結構和網絡應用情況定制審計對象和審計內容。. 高度的自身安全保障高度的自身安全保障天玥的設計充分考慮到了自身的安全保障問題，在網絡探測引擎端采用基于 Linux 內核定制的安全操作系統(tǒng)，并用無 IP 網口對被審計網絡進行旁路偵聽。同時網絡探測引擎與數據管理中心進行互相認證，數據傳輸加密。在審計中心采用多用戶分權限管理機制，既保證特定用戶只能對其權限內的審計內容進行審計操作，同時用

20、戶管理程序具有自審計功能，對于每一種權限的使用人員的操作都有詳細的審計記錄。. 廣泛的聯動響應支持廣泛的聯動響應支持天玥具有全面的自主響應和聯動響應方式，可以滿足不同用戶的需求。天玥通過自有 VIP1協(xié)議族，可以充分實現和第三方安全產品以及網絡設備的策略響應聯動。目前主要的聯動方式包括：防火墻聯動（VIPFW） 、掃描器聯動（VIPSC） 。用戶可以根據網絡現狀進行有效地投資，實現動態(tài)防御體系。. 方便的統(tǒng)一管理平臺方便的統(tǒng)一管理平臺天玥網絡安全審計系統(tǒng)是啟明星辰網絡安全系列產品之一，其管理控制臺具有良好的可擴展性，可以在未來和啟明星辰公司的天闐入侵檢測與預警系統(tǒng)、天鏡網絡漏