啟明星辰天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)(數(shù)據(jù)庫(kù)審計(jì).doc

WORD 格式可編輯 專業(yè)知識(shí)分享 X XX XX X項(xiàng)項(xiàng)目目 數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)審審計(jì)計(jì)系系統(tǒng)統(tǒng) 技術(shù)建議書(shū)技術(shù)建議書(shū) 北京啟明星辰信息技術(shù)有限公司北京啟明星辰信息技術(shù)有限公司 VenusVenus InformationInformation Technology Beijing Technology Beijing 二零一零年十月二零一零年十月 WORD 格式可編輯 專業(yè)知識(shí)分享 目目 次次 1 綜述 1 2 需求分析 2 2 1 內(nèi)部人員面臨的安全隱患 2 2 2 第三方維護(hù)人員的威脅 2 2 3 最高權(quán)限濫用風(fēng)險(xiǎn) 2 2 4 違規(guī)行為無(wú)法控制的風(fēng)險(xiǎn) 3 2 5 系統(tǒng)日志不能發(fā)現(xiàn)的安全隱患 3 2 6 系統(tǒng)崩潰帶來(lái)審計(jì)結(jié)果的丟失 3 3 審計(jì)系統(tǒng)設(shè)計(jì)方案 3 3 1 設(shè)計(jì)思路和原則 3 3 2 系統(tǒng)設(shè)計(jì)原理 5 3 3 設(shè)計(jì)方案及系統(tǒng)配置 6 3 4 主要功能介紹 7 3 4 1 數(shù)據(jù)庫(kù)審計(jì) 7 3 4 2 網(wǎng)絡(luò)運(yùn)維審計(jì) 8 3 4 3 OA 審計(jì) 9 3 4 4 數(shù)據(jù)庫(kù)響應(yīng)時(shí)間及返回碼的審計(jì) 9 3 4 5 業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián) 9 3 4 6 合規(guī)性規(guī)則和響應(yīng) 10 3 4 7 審計(jì)報(bào)告輸出 12 3 4 8 自身管理 13 3 4 9 系統(tǒng)安全性設(shè)計(jì) 13 3 5 負(fù)面影響評(píng)價(jià) 14 3 6 交換機(jī)性能影響評(píng)價(jià) 15 4 資質(zhì)證書(shū) 16 WORD 格式可編輯 專業(yè)知識(shí)分享 1 綜述 隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)發(fā)展 信息系統(tǒng)的應(yīng)用越來(lái)越廣泛 數(shù)據(jù)庫(kù)做 為信息技術(shù)的核心和基礎(chǔ) 承載著越來(lái)越多的關(guān)鍵業(yè)務(wù)系統(tǒng) 漸漸成為商 業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn) 數(shù)據(jù)庫(kù)的安全穩(wěn)定運(yùn)行也直接決定 著業(yè)務(wù)系統(tǒng)能否正常使用 另外 隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展 計(jì)算機(jī)技術(shù)也越來(lái)越廣泛地被應(yīng) 用在醫(yī)院管理的各個(gè)方面 在國(guó)家對(duì)醫(yī)療衛(wèi)生行業(yè)投入不斷增加的大背景 下 以 金衛(wèi)工程 為代表的醫(yī)療衛(wèi)生行業(yè)信息化工程得到了快速發(fā)展 HIS 系統(tǒng)也在全國(guó)各大醫(yī)院廣泛應(yīng)用 但是 隨著信息技術(shù)在各類醫(yī)療機(jī) 構(gòu)大行其道之時(shí) 也給各醫(yī)療機(jī)構(gòu)各信息系統(tǒng)的技術(shù)管理提出了更高的要 求 雖然各醫(yī)院采取了許多措施加強(qiáng)對(duì)醫(yī)院信息系統(tǒng)的管理 但由于多方 面的原因 醫(yī)院信息中心已成為醫(yī)藥購(gòu)銷領(lǐng)域商業(yè)賄賂的重點(diǎn)科室 特別 是在醫(yī)療衛(wèi)生行業(yè)的藥品 器械銷售競(jìng)爭(zhēng)日益激烈的大背景下 采用不正 當(dāng)?shù)募夹g(shù)手段滲透到醫(yī)療衛(wèi)生行業(yè)中來(lái) 一些醫(yī)院內(nèi)部工作人員與醫(yī)藥營(yíng) 銷人員內(nèi)外勾結(jié) 私自進(jìn)行處方統(tǒng)計(jì)的行為 阻礙了醫(yī)療衛(wèi)生事業(yè)的改革 和發(fā)展 醫(yī)院的用藥信息泄漏給醫(yī)藥營(yíng)銷人員以此來(lái)獲取經(jīng)濟(jì)利益的商業(yè) 賄賂行為 這種行為的存在不僅嚴(yán)重干擾了正常的醫(yī)療秩序 而且也增加 了患者的經(jīng)濟(jì)負(fù)擔(dān) 不利于和諧醫(yī)患關(guān)系的建設(shè) 從已發(fā)生的商業(yè)賄賂案 件來(lái)看 醫(yī)藥代表通過(guò)醫(yī)院信息中心工作人員的 統(tǒng)方 來(lái)掌握某個(gè)藥品 醫(yī)生每個(gè)月的實(shí)際處方量 是 統(tǒng)方 主要渠道 同時(shí) 衛(wèi)生部 中醫(yī)藥管理局針對(duì)部分醫(yī)務(wù)人員開(kāi)單提成 收受 紅 包 藥品回扣等消極腐敗現(xiàn)象和不正之風(fēng) 發(fā)布了 關(guān)于建立健全防控醫(yī) 藥購(gòu)銷領(lǐng)域商業(yè)賄賂長(zhǎng)效機(jī)制的工作方案 關(guān)于開(kāi)展醫(yī)藥購(gòu)銷領(lǐng)域不正 當(dāng)交易行為自查自糾工作的指導(dǎo)意見(jiàn) 并成立了治理商業(yè)賄賂領(lǐng)導(dǎo)小組在 WORD 格式可編輯 專業(yè)知識(shí)分享 全國(guó)范圍內(nèi)開(kāi)展治理商業(yè)賄賂專項(xiàng)工作 為此 一場(chǎng)醫(yī)療行業(yè)的反商業(yè)賄 賂風(fēng)暴 已經(jīng)逐步深入開(kāi)展 在信息化條件下 部署數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品 防 范醫(yī)藥衛(wèi)生行業(yè)中各從業(yè)人員利用計(jì)算機(jī)進(jìn)行職務(wù)犯罪的問(wèn)題 解決行業(yè) 中審計(jì)手段隱蔽 不易取證等困難 成為醫(yī)療衛(wèi)生行業(yè)信息化工程中必不 可少的組成部分 2 需求分析 隨著信息技術(shù)的發(fā)展 XXX 已經(jīng)建立了比較完善的信息系統(tǒng) 數(shù)據(jù)庫(kù) 中承載的信息越來(lái)越受到公司相關(guān)部門(mén) 領(lǐng)導(dǎo)的重視 同時(shí)數(shù)據(jù)庫(kù)中儲(chǔ)存 著諸如 XXX 等極其重要和敏感的信息 這些信息一旦被篡改或者泄露 輕 則造成企業(yè)或者社會(huì)的經(jīng)濟(jì)損失 重則影響企業(yè)形象甚至社會(huì)安全 通過(guò)對(duì) XXX 的深入調(diào)研 XXX 面臨的安全隱患?xì)w納如下 2 1 內(nèi)部人員面臨的安全隱患 隨著企業(yè)信息化進(jìn)程不斷深入 企業(yè)的業(yè)務(wù)系統(tǒng)變得日益復(fù)雜 由內(nèi) 部員工違規(guī)操作導(dǎo)致的安全問(wèn)題變得日益突出起來(lái) 防火墻 防病毒 入 侵檢測(cè)系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問(wèn)題 但對(duì)于內(nèi)部人員 的違規(guī)操作卻無(wú)能為力 2 2 第三方維護(hù)人員的威脅 企業(yè)在發(fā)展的過(guò)程中 因?yàn)閼?zhàn)略定位和人力等諸多原因 越來(lái)越多的 會(huì)將非核心業(yè)務(wù)外包給設(shè)備商或者其他專業(yè)代維公司 如何有效地管控設(shè) 備廠商和代維人員的操作行為 并進(jìn)行嚴(yán)格的審計(jì)是企業(yè)面臨的一個(gè)關(guān)鍵 問(wèn)題 2 3 最高權(quán)限濫用風(fēng)險(xiǎn) 因?yàn)榉N種歷史遺留問(wèn)題 并不是所有的信息系統(tǒng)都有嚴(yán)格的身份認(rèn)證和 WORD 格式可編輯 專業(yè)知識(shí)分享 權(quán)限劃分 權(quán)限劃分混亂 高權(quán)限賬號(hào) 比如 DBA 賬號(hào) 共用等問(wèn)題一直 困擾著網(wǎng)絡(luò)管理人員 高權(quán)限賬號(hào)往往掌握著數(shù)據(jù)庫(kù)和業(yè)務(wù)系統(tǒng)的命脈 任何一個(gè)操作都可能導(dǎo)致數(shù)據(jù)的修改和泄露 最高權(quán)限的濫用 讓數(shù)據(jù)安 全變得更加脆弱 也讓責(zé)任劃分和威脅追蹤變得更加困難 2 4 違規(guī)行為無(wú)法控制的風(fēng)險(xiǎn) 管理人員總是試圖定義各種操作條例 來(lái)規(guī)范內(nèi)部員工的訪問(wèn)行為 但 是除了在造成惡性后果后追查責(zé)任人 沒(méi)有更好的方式來(lái)限制員工的合規(guī) 操作 而事后追查 只能是亡羊補(bǔ)牢 損失已經(jīng)造成 2 5 系統(tǒng)日志不能發(fā)現(xiàn)的安全隱患 我們經(jīng)常從各種系統(tǒng)日志里面去發(fā)現(xiàn)是否有入侵后留下來(lái)的 蛛絲馬跡 來(lái)判斷是否發(fā)生過(guò)安全事件 但是 系統(tǒng)往往是在經(jīng)歷了大量的操作和變 化后 才逐漸變得不安全 另外的情況是 用戶通過(guò)登錄業(yè)務(wù)服務(wù)器來(lái)訪 問(wèn)數(shù)據(jù)庫(kù)等核心資產(chǎn) 單純的分析業(yè)務(wù)系統(tǒng)或者數(shù)據(jù)庫(kù)系統(tǒng)的日志 都無(wú) 法對(duì)整個(gè)訪問(wèn)過(guò)程是否存在風(fēng)險(xiǎn)進(jìn)行判斷 從系統(tǒng)變更和應(yīng)用的角度來(lái)看 網(wǎng)絡(luò)審計(jì)日志比系統(tǒng)日志在定位系統(tǒng)安全問(wèn)題上更可信 2 6 系統(tǒng)崩潰帶來(lái)審計(jì)結(jié)果的丟失 一般來(lái)說(shuō) 數(shù)據(jù)庫(kù)系統(tǒng)都會(huì)存儲(chǔ)操作日志 也能開(kāi)啟審計(jì)模塊對(duì)訪問(wèn) 進(jìn)行審計(jì) 但是一旦有意外發(fā)生導(dǎo)致系統(tǒng)的崩潰 這些審計(jì)日志也隨之消 失 管理人員無(wú)法得知系統(tǒng)到底發(fā)生了什么 3 審計(jì)系統(tǒng)設(shè)計(jì)方案 3 1 設(shè)計(jì)思路和原則 圍繞數(shù)據(jù)庫(kù)的業(yè)務(wù)系統(tǒng)安全隱患如何得到有效解決 一直以來(lái)是 IT 治 理人員和 DBA 們關(guān)注的焦點(diǎn) 啟明星辰做為資深信息安全廠商 結(jié)合多年 WORD 格式可編輯 專業(yè)知識(shí)分享 的安全研究經(jīng)驗(yàn) 提出如下解決思路 管理層面管理層面 完善現(xiàn)有業(yè)務(wù)流程制度 明細(xì)人員職責(zé)和分工 規(guī)范內(nèi)部員 工的日常操作 嚴(yán)格監(jiān)控第三方維護(hù)人員的操作 技術(shù)層面技術(shù)層面 除了在業(yè)務(wù)網(wǎng)絡(luò)部署相關(guān)的信息安全防護(hù)產(chǎn)品 如 FW IPS 等 還需要專門(mén)針對(duì)數(shù)據(jù)庫(kù)部署獨(dú)立安全審計(jì)產(chǎn)品 對(duì)關(guān)鍵的數(shù)據(jù)庫(kù)操作 行為進(jìn)行審計(jì) 對(duì)統(tǒng)方行為進(jìn)行審計(jì) 做到違規(guī)行為發(fā)生時(shí)及時(shí)告警 事 故發(fā)生后精確溯源 不過(guò) 審計(jì)關(guān)鍵應(yīng)用程序和數(shù)據(jù)庫(kù)不是一項(xiàng)簡(jiǎn)單工作 特別是數(shù)據(jù)庫(kù)系 統(tǒng) 服務(wù)于各有不同權(quán)限的大量用戶 支持高事務(wù)處理率 還必須滿足苛 刻的服務(wù)水平要求 商業(yè)數(shù)據(jù)庫(kù)軟件內(nèi)建的審計(jì)能力不能滿足獨(dú)立性的基 本要求 還會(huì)降低數(shù)據(jù)庫(kù)性能并增加管理費(fèi)用 啟明星辰天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng) 既能獨(dú)立審計(jì)針對(duì)數(shù)據(jù)庫(kù)的各種訪 問(wèn)行為 又不影響數(shù)據(jù)庫(kù)的高效穩(wěn)定運(yùn)行 是專業(yè)的 有針對(duì)性的數(shù)據(jù)庫(kù) 審計(jì)系統(tǒng) 該系統(tǒng)主要從以下 7 個(gè)方面進(jìn)行設(shè)計(jì)考慮 實(shí)用性 由于業(yè)務(wù)系統(tǒng)數(shù)據(jù)在數(shù)據(jù)庫(kù)中進(jìn)行集中存儲(chǔ) 故對(duì)于數(shù)據(jù)庫(kù) 的操作審計(jì)需要細(xì)化到數(shù)據(jù)庫(kù)指令 表名 視圖 字段等 同時(shí)能 夠?qū)徲?jì)數(shù)據(jù)庫(kù)返回的錯(cuò)誤代碼 這樣能夠在數(shù)據(jù)庫(kù)出現(xiàn)關(guān)鍵錯(cuò)誤時(shí) 及時(shí)響應(yīng) 避免由于數(shù)據(jù)庫(kù)故障帶來(lái)的業(yè)務(wù)損失 能夠?qū)⒔y(tǒng)方所涉 及到的藥品表 用戶賬號(hào)等進(jìn)行翻譯 能夠直觀的給審計(jì)人員發(fā)現(xiàn) 統(tǒng)方行為 獨(dú)立性 審計(jì)系統(tǒng)應(yīng)具備統(tǒng)一的策略 集中的審計(jì) 適用于不同的設(shè) 備 操作系統(tǒng) 數(shù)據(jù)庫(kù)系統(tǒng)和應(yīng)用系統(tǒng)的審計(jì)要求 并對(duì)這些系統(tǒng) 不造成影響 靈活性 審計(jì)系統(tǒng)應(yīng)提供缺省的審計(jì)策略及自定義策略 能夠?qū)χ匾?操作 重要表 重要字段進(jìn)行定義并審計(jì) 能夠根據(jù)用戶的業(yè)務(wù)特 WORD 格式可編輯 專業(yè)知識(shí)分享 點(diǎn)進(jìn)行策略的編輯 易用性 審計(jì)系統(tǒng)應(yīng)能夠基于操作進(jìn)行分析 能夠提供主體標(biāo)識(shí) 即用戶 操作 行為 客體標(biāo)識(shí) 設(shè)備 操作系統(tǒng) 數(shù)據(jù)庫(kù)系 統(tǒng) 應(yīng)用系統(tǒng) 的分析和審計(jì)報(bào)表 擴(kuò)展性 當(dāng)業(yè)務(wù)系統(tǒng)進(jìn)行擴(kuò)容時(shí) 審計(jì)系統(tǒng)可以平滑擴(kuò)容 系統(tǒng)支持 向第三方平臺(tái)提供記錄的審計(jì)信息 可靠性 審計(jì)系統(tǒng)能提供足夠的存儲(chǔ)空間 1000G 以上 滿足在線 存儲(chǔ)至少 6 個(gè)月的要求 審計(jì)系統(tǒng)能夠保證審計(jì)記錄的時(shí)間的一致 性 避免錯(cuò)誤時(shí)間記錄給追蹤溯源帶來(lái)的影響 安全性 分權(quán)限管理 具有權(quán)限管理功能 可以對(duì)用戶分級(jí) 提供 不同的操作權(quán)限和不同的網(wǎng)絡(luò)數(shù)據(jù)操作范圍限制 用戶只能在其權(quán) 限內(nèi)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行審計(jì)和相關(guān)操作 具有自身安全審計(jì)功能 3 2 系統(tǒng)設(shè)計(jì)原理 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)基于 IP 數(shù)據(jù)俘獲 應(yīng)用層數(shù)據(jù)分析 審計(jì)和 響應(yīng) 實(shí)現(xiàn)各項(xiàng)功能 設(shè)計(jì)中充分貫徹了平臺(tái)化的思路 由于采用旁路接 入的工作模式 使得天玥系統(tǒng)在實(shí)現(xiàn)各種安全功能的同時(shí) 對(duì)原系統(tǒng)的影 響降到最低 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要實(shí)現(xiàn)以下安全功能 針對(duì)不同的應(yīng)用協(xié)議 提供基于應(yīng)用操作的審計(jì) 提供數(shù)據(jù)庫(kù)操作語(yǔ)義解析審計(jì) 實(shí)現(xiàn)對(duì)違規(guī)行為的及時(shí)監(jiān)視和告警 提供上百種合規(guī)規(guī)則 支持自定義規(guī)則 包括正則表達(dá)式等 實(shí)現(xiàn) 靈活多樣的策略和響應(yīng) 提供基于硬件令牌 靜態(tài)口令 Radius 支持的強(qiáng)身份認(rèn)證 根據(jù)設(shè)定輸出不同的安全審計(jì)報(bào)告 WORD 格式可編輯 專業(yè)知識(shí)分享 3 3 設(shè)計(jì)方案及系統(tǒng)配置 核心數(shù)據(jù)庫(kù) Oracle 系統(tǒng)通過(guò)主備方式接入網(wǎng)絡(luò) 設(shè)計(jì)采用配置一臺(tái)天玥審計(jì)數(shù)據(jù) 中心 一臺(tái)天玥旁路審計(jì)引擎 一臺(tái)天玥在線審計(jì)引擎 具體部署如下圖所示 天玥系統(tǒng)部署圖 天玥審計(jì)數(shù)據(jù)中心天玥審計(jì)數(shù)據(jù)中心 部署一臺(tái)天玥審計(jì)數(shù)據(jù)中心 該服務(wù)器具備一個(gè) 2T 的內(nèi)置 RAID5 存儲(chǔ)器 對(duì)天玥網(wǎng)絡(luò)審計(jì)引擎進(jìn)行管理和控制 實(shí)現(xiàn)對(duì)審計(jì)數(shù)據(jù)的存儲(chǔ)和分析 天玥審 計(jì)數(shù)據(jù)中心的管理端口需要接入網(wǎng)絡(luò)中 并分配一個(gè)合法的 IP 地址 以接收天玥管理 控制臺(tái)的管理 天玥審計(jì)數(shù)據(jù)中心的 管理端口 需要通過(guò)網(wǎng)絡(luò)方式與天玥網(wǎng)絡(luò)審計(jì)引 擎的 管理端口 進(jìn)行連接 天玥旁路審計(jì)引擎天玥旁路審計(jì)引擎 部署一臺(tái)天玥網(wǎng)絡(luò)審計(jì)引擎對(duì)核心交換機(jī)上的 Oracle 流量進(jìn)行監(jiān) 控和審計(jì) 天玥網(wǎng)絡(luò)審計(jì)引擎配置兩個(gè)信息監(jiān)聽(tīng)端口 該端口需要連接到被監(jiān)控交換機(jī) WORD 格式可編輯 專業(yè)知識(shí)分享 的 鏡像目的端口 上 以獲取原始的通信信息 從而實(shí)現(xiàn)各種審計(jì)和控制功能 天玥 網(wǎng)絡(luò)審計(jì)引擎需要設(shè)置一個(gè) 管理端口 這個(gè)端口需要接入網(wǎng)絡(luò) 并分配一個(gè)合法的 IP 地址 以接收天玥管理控制臺(tái)的管理 天玥在線審計(jì)引擎 天玥在線審計(jì)引擎 部署一臺(tái)天玥旁路審計(jì)引擎 實(shí)現(xiàn)對(duì)運(yùn)維區(qū)域的各種運(yùn)維操作進(jìn)行 監(jiān)控 審計(jì)和阻斷 該引擎自帶 Bypass 支持 通常采用透明方式進(jìn)行接入 對(duì)服務(wù)器 端和終端用戶無(wú)影響 天玥管理控制臺(tái)天玥管理控制臺(tái) 在網(wǎng)絡(luò)中的任何一臺(tái) Windows 計(jì)算機(jī)上采用瀏覽器進(jìn)行管理 在本方案中同時(shí)部署了旁路審計(jì)引擎與在線審計(jì)引擎 這是因?yàn)檫@兩種引擎屬于互 補(bǔ)關(guān)系 旁路審計(jì)引擎解決了在線審計(jì)引擎被繞過(guò)的風(fēng)險(xiǎn) 在線審計(jì)引擎解決了旁路引 擎無(wú)法實(shí)現(xiàn)加密協(xié)議審計(jì)和事前阻斷的風(fēng)險(xiǎn) 二者的關(guān)系如下 在線審計(jì)實(shí)現(xiàn)的基礎(chǔ)為 建立唯一訪問(wèn)路徑 一切的行為均通過(guò)該路徑進(jìn)行訪問(wèn) 也就是說(shuō)需要將所有被審計(jì)運(yùn)維訪問(wèn)流量都要通過(guò)在線引擎才可以進(jìn)行審計(jì) 這就牽涉 到網(wǎng)絡(luò)結(jié)構(gòu)的變化或 ACL 的調(diào)整 在實(shí)際部署中 在線審計(jì)依賴外部設(shè)備的 ACL 控制 比如交換機(jī)或 FW 一旦這些訪問(wèn)控制設(shè)備出現(xiàn)問(wèn)題或 ACL 不夠充分 就會(huì)存在繞過(guò) 堡壘主機(jī)的操作行為 而此時(shí)這些繞過(guò)堡壘主機(jī)的行為是沒(méi)有被審計(jì)的 由于惡意攻擊 者往往具備較高的技術(shù)水平 同時(shí)善于尋找安全系統(tǒng)的漏洞 故不完善的 ACL 控制會(huì)讓 在線審計(jì)存在較大的部署風(fēng)險(xiǎn) 而旁路審計(jì)實(shí)現(xiàn)的基礎(chǔ)為 一切網(wǎng)絡(luò)訪問(wèn)行為均不可信 進(jìn)行部署的 故所有可識(shí)別的操作均被審計(jì) 這兩種審計(jì)部署方式存在著很強(qiáng)的互補(bǔ)性 通常都會(huì)一起部署 從而實(shí)現(xiàn)控制與審計(jì)的完美結(jié)合 3 4 主要功能介紹 3 4 1 3 4 1 數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)審計(jì) 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)能夠監(jiān)視并記錄對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各類操作行為 實(shí)時(shí)地 智能地解析對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各種操作 一般操作行為如數(shù)據(jù)庫(kù)的登錄 特定的操作如 對(duì)數(shù)據(jù)庫(kù)表的插入 刪除 修改 執(zhí)行特定的存貯過(guò)程等 都能夠被記錄和分析 分析 的內(nèi)容要求可以精確到 SQL 操作語(yǔ)句一級(jí) 并記錄這些操作的用戶名 機(jī)器 IP 地址 操作時(shí)間等重要信息 系統(tǒng)能夠?qū)Σ捎?ODBC JDBC OLE DB 命令行嵌入方式對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)進(jìn)行審計(jì) WORD 格式可編輯 專業(yè)知識(shí)分享 和響應(yīng) SQL 語(yǔ)句的支持 SQL92 語(yǔ)法 主要包括以下幾種類型的審計(jì) DDL Create Drop Grant Revoke DML Update Insert Delete DCL Commit Rollback Savapoint 其他 Alter System Connect Allocate 存儲(chǔ)過(guò)程 目前 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持以下數(shù)據(jù)庫(kù)系統(tǒng)的審計(jì) 是業(yè)界支持?jǐn)?shù)據(jù)庫(kù)種類 最多的審計(jì)系統(tǒng) 能夠滿足不同用戶 不同發(fā)展階段情況下的數(shù)據(jù)庫(kù)審計(jì)需求 Oracle SQL Server DB2 Informix Sybase Teradata Mysql PostgreSQL Cache 人大金倉(cāng) Kingbase 數(shù)據(jù)庫(kù) 達(dá)夢(mèng) DM 數(shù)據(jù)庫(kù) 南大通用 GBase 數(shù)據(jù)庫(kù) 3 4 2 3 4 2 網(wǎng)絡(luò)運(yùn)維審計(jì)網(wǎng)絡(luò)運(yùn)維審計(jì) 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持常用的運(yùn)維協(xié)議及文件傳輸協(xié)議 能夠全程記錄用戶在 服務(wù)器上的各種操作 Telnet Rlogin FTP SCP SFTP X11 NFS WORD 格式可編輯 專業(yè)知識(shí)分享 3 4 3 3 4 3 OAOA 審計(jì)審計(jì) 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持 HTTP POP3 SMTP Netbios 的審計(jì) 能夠記錄網(wǎng)頁(yè) URL 內(nèi)容 發(fā)件人 收件人 郵件內(nèi)容 網(wǎng)絡(luò)鄰居的各種操作等信息 3 4 4 3 4 4 數(shù)據(jù)庫(kù)響應(yīng)時(shí)間及返回碼的審計(jì)數(shù)據(jù)庫(kù)響應(yīng)時(shí)間及返回碼的審計(jì) 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持對(duì) SQL Server DB2 Oracle Informix 等數(shù)據(jù)庫(kù)系統(tǒng) 的 SQL 操作響應(yīng)時(shí)間和返回碼的審計(jì) 通過(guò)對(duì)響應(yīng)時(shí)間和返回碼的審計(jì) 可以幫助用戶 對(duì)數(shù)據(jù)庫(kù)的使用狀態(tài)全面掌握 及時(shí)響應(yīng)故障信息 特別是當(dāng)新業(yè)務(wù)系統(tǒng)上線 業(yè)務(wù)繁 忙 業(yè)務(wù)模塊更新時(shí) 通過(guò)天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對(duì)超長(zhǎng)時(shí)間和關(guān)鍵返回碼進(jìn)行審計(jì)并 實(shí)時(shí)報(bào)警有助于提高業(yè)務(wù)系統(tǒng)的運(yùn)營(yíng)水平 降低數(shù)據(jù)庫(kù)故障等帶來(lái)的運(yùn)維風(fēng)險(xiǎn) 目前天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持上述數(shù)據(jù)庫(kù)系統(tǒng)共計(jì) 13000 多種返回碼的知識(shí)庫(kù)供 用戶快速查詢和定位問(wèn)題 3 4 5 3 4 5 業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián)業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián) 當(dāng)前業(yè)務(wù)系統(tǒng)普遍采用三層結(jié)構(gòu) 瀏覽器客戶端 Web 服務(wù)器 中間件 數(shù)據(jù)庫(kù)服 務(wù)器 通常的流程是 用戶通過(guò)瀏覽器客戶端 利用自己的帳戶登錄 Web 服務(wù)器 向服 務(wù)器提交訪問(wèn)數(shù)據(jù) Web 服務(wù)器根據(jù)用戶提交的數(shù)據(jù)構(gòu)造 SQL 語(yǔ)句 并利用唯一的帳戶 訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器 提交 SQL 語(yǔ)句 接收數(shù)據(jù)庫(kù)服務(wù)器返回結(jié)果并返回給用戶 在這種基于 Web 的業(yè)務(wù)行為訪問(wèn)模式下 傳統(tǒng)的信息安全審計(jì)產(chǎn)品一般可審計(jì)從瀏 覽器到 Web 服務(wù)器的前臺(tái)訪問(wèn)事件 以及從 Web 服務(wù)器到數(shù)據(jù)庫(kù)服務(wù)器的后臺(tái)訪問(wèn)事件 但由于后臺(tái)訪問(wèn)事件采用的是唯一的帳戶 對(duì)每個(gè)后臺(tái)訪問(wèn)事件 難以確定是哪個(gè)前臺(tái) 訪問(wèn)事件觸發(fā)了該事件 如果在后臺(tái)訪問(wèn)事件中出現(xiàn)了越權(quán)訪問(wèn) 惡意訪問(wèn)等行為 難 以定位到具體的前臺(tái)用戶上 舉一個(gè)一個(gè)典型的例子 內(nèi)部違規(guī)操作人員利用前臺(tái)的業(yè) 務(wù)系統(tǒng) 以此作為跳板對(duì)后臺(tái)數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行了篡改和竊取 這種情況下 通常審計(jì)產(chǎn) 品只能發(fā)現(xiàn)來(lái)自某個(gè)數(shù)據(jù)庫(kù)賬號(hào) 而無(wú)法判斷最終的發(fā)起源頭 啟明星辰研究人員實(shí)現(xiàn) HTTP 操作和數(shù)據(jù)庫(kù)操作之間的關(guān)聯(lián)計(jì)算 目前已經(jīng)申請(qǐng)專 利 專利名稱為 一種 Web 服務(wù)器前后臺(tái)關(guān)聯(lián)審計(jì)方法和系統(tǒng) 專利受理號(hào)碼 200710121669 6 WORD 格式可編輯 專業(yè)知識(shí)分享 三層關(guān)聯(lián)邏輯部署圖 通過(guò)這種關(guān)聯(lián)分析技術(shù) 能夠?qū)徲?jì)產(chǎn)品從基于事件的審計(jì) 逐漸升級(jí)為基于用戶 業(yè)務(wù)行為的審計(jì) 在關(guān)聯(lián)分析過(guò)程中采用自動(dòng)建模技術(shù) 可以將前臺(tái) Web 業(yè)務(wù)操作和后 臺(tái)數(shù)據(jù)庫(kù)操作行為進(jìn)行對(duì)應(yīng) 并形成業(yè)務(wù)訪問(wèn)行為模式庫(kù) 同時(shí) 在該技術(shù)的基礎(chǔ)上還 可以進(jìn)一步分析 發(fā)現(xiàn)可能的業(yè)務(wù)異常及 SQL 異常 3 4 6 3 4 6 合規(guī)性規(guī)則和響應(yīng)合規(guī)性規(guī)則和響應(yīng) 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的審計(jì)和響應(yīng)功能可以簡(jiǎn)單地描述為 某個(gè)特定的服務(wù) 如 FTP Telnet SQL 等 可以 或不可以 被某個(gè)特定的用戶 主機(jī) 怎樣地訪問(wèn) 這使得它提供的審計(jì)和響應(yīng)具有很強(qiáng)的針對(duì)性和準(zhǔn)確性 強(qiáng)大的數(shù)據(jù)庫(kù)規(guī)則 系統(tǒng)能夠根據(jù)訪問(wèn)數(shù)據(jù)庫(kù)的源程序名 登陸數(shù)據(jù)庫(kù)的賬號(hào) 數(shù)據(jù)庫(kù)命令 數(shù)據(jù)庫(kù)名 數(shù)據(jù)庫(kù)表名 數(shù)據(jù)庫(kù)字段名 數(shù)據(jù)庫(kù)字段值 數(shù)據(jù)庫(kù)返回碼等作為條件 對(duì)用戶關(guān)心的 違規(guī)行為進(jìn)行響應(yīng) 特別是針對(duì)重要表 重要字段的各種操作 能夠通過(guò)簡(jiǎn)單的規(guī)則定 義 實(shí)現(xiàn)精確審計(jì) 降低過(guò)多審計(jì)數(shù)據(jù)給管理員帶來(lái)的信息爆炸 定制審計(jì)事件規(guī)則 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了事件規(guī)則用戶自定義模塊 允許用戶自行設(shè)定和調(diào)整 各種安全審計(jì)事件的觸發(fā)條件與響應(yīng)策略 例如 用戶特別關(guān)注在 telnet 過(guò)程中出現(xiàn) rm passwd shutdown 等命令的行為 那么用戶就可以利用天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)定義相應(yīng)的審計(jì)事件規(guī)則 這樣 天玥網(wǎng)絡(luò) 安全審計(jì)系統(tǒng)就可以針對(duì)網(wǎng)絡(luò)中發(fā)生的這些行為進(jìn)行響應(yīng) 基于業(yè)務(wù)特征的規(guī)則庫(kù) WORD 格式可編輯 專業(yè)知識(shí)分享 系統(tǒng)可以將審計(jì)員制定的多個(gè)符合業(yè)務(wù)特征的規(guī)則進(jìn)行匯總 編輯和命名 形成具 備某種業(yè)務(wù)特征的規(guī)則寫(xiě)入用戶自定義的規(guī)則庫(kù) 這樣 審計(jì)員在針對(duì)某個(gè)特定業(yè)務(wù)用 戶制定審計(jì)策略時(shí) 可以直觀地使用自命名的規(guī)則進(jìn)行設(shè)置 方便了各種策略的制定和 查詢 特定賬號(hào)行為跟蹤 系統(tǒng)能夠?qū)崿F(xiàn)對(duì) 用戶網(wǎng)絡(luò)環(huán)境中出現(xiàn)的特定賬號(hào)或特定賬號(hào)執(zhí)行某種操作后 的 場(chǎng)景進(jìn)行賬號(hào)跟蹤 提供對(duì)后繼會(huì)話和事件的審計(jì) 這樣 管理員能夠?qū)Τ霈F(xiàn)在網(wǎng)絡(luò)中 的特權(quán)賬號(hào) 比如 root DBA 等 進(jìn)行重點(diǎn)的監(jiān)控 特別是哪些本不應(yīng)出現(xiàn)在網(wǎng)絡(luò)上的 特權(quán)賬號(hào)突然出現(xiàn)的事件 多編碼環(huán)境支持 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)適用于多種應(yīng)用環(huán)境 特別是在異構(gòu)環(huán)境中 比如 IBM AS 400 通常采用 EBCDIC 編碼方式實(shí)現(xiàn) telnet 協(xié)議的傳輸 某些數(shù)據(jù)庫(kù)同時(shí)采用幾種 編碼與客戶端進(jìn)行通訊 若系統(tǒng)不能識(shí)別多種編碼 會(huì)導(dǎo)致審計(jì)數(shù)據(jù)出現(xiàn)亂碼 對(duì)多編 碼的支持是衡量審計(jì)系統(tǒng)環(huán)境適應(yīng)性的重要指標(biāo)之一 目前天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持 如下編碼格式 ASCII Unicode UTF 8 UTF 16 GB2312 EBCDIC 多種響應(yīng)方式 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了多種響應(yīng)方式 包括 在天玥審計(jì)服務(wù)器中記錄相應(yīng)的操作過(guò)程 在日常審計(jì)報(bào)告中標(biāo)注 向天玥管理控制臺(tái)發(fā)出告警信息 實(shí)時(shí)阻斷會(huì)話連接 管理人員通過(guò)本系統(tǒng)手工 RST 阻斷會(huì)話連接 通過(guò) Syslog 方式進(jìn)行告警 WORD 格式可編輯 專業(yè)知識(shí)分享 通過(guò) SNMP Trap 方式進(jìn)行告警 通過(guò)郵件方式進(jìn)行告警 實(shí)時(shí)跟蹤和回放 管理員可以通過(guò)審計(jì)顯示中心實(shí)時(shí)地跟蹤一個(gè)或多個(gè)網(wǎng)絡(luò)連接 通過(guò)系統(tǒng)提供的 時(shí)標(biāo) 清晰地顯示不同網(wǎng)絡(luò)連接中每個(gè)操作的先后順序及操作結(jié)果 當(dāng)發(fā)現(xiàn)可疑的操 作或訪問(wèn)時(shí) 可以實(shí)時(shí)阻斷當(dāng)前的訪問(wèn) 管理員也可以從審計(jì)數(shù)據(jù)中心中提取審計(jì)數(shù)據(jù) 對(duì)通信過(guò)程進(jìn)行回放 便于分析和查找系統(tǒng)安全問(wèn)題 并以次為依據(jù)制定更符合業(yè)務(wù)特 征和系統(tǒng)安全需求的安全規(guī)則和策略 3 4 7 3 4 7 審計(jì)報(bào)告輸出審計(jì)報(bào)告輸出 天玥審計(jì)系統(tǒng)從安全管理的角度出發(fā) 設(shè)計(jì)一套完善的審計(jì)報(bào)告輸出機(jī)制 多種篩選條件 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了強(qiáng)大 靈活的篩選條件設(shè)置機(jī)制 在設(shè)置篩選條件時(shí) 審計(jì)員可基于以下要素的組合進(jìn)行設(shè)置 時(shí)間 客戶端 IP 客戶端端口號(hào) 服務(wù)端 IP 服務(wù)端端口 關(guān)鍵字 事件級(jí)別 引擎名 業(yè)務(wù)用戶身份 資源賬號(hào)等條件 審計(jì)員可根據(jù)需要靈活地設(shè)置審計(jì)報(bào)表的各種要素 迅速生成自己希望看到的審計(jì) 內(nèi)容 同時(shí)系統(tǒng)提供了報(bào)表模板功能 審計(jì)員無(wú)需重復(fù)輸入 只需要設(shè)置模板后 即可 按模板進(jìn)行報(bào)表生成 命令及字段智能分析 系統(tǒng)能夠根據(jù)審計(jì)協(xié)議的類型進(jìn)行命令和字段的自動(dòng)提取 用戶可以選擇提取后的 命令或字段作為重點(diǎn)對(duì)象進(jìn)行分析 針對(duì)數(shù)據(jù)庫(kù)類協(xié)議 可分析并形成數(shù)據(jù)庫(kù)名 表名 命令等列表 針對(duì)運(yùn)維類協(xié)議 可分析并形成命令等列表 針對(duì)文件操作類協(xié)議 可分 析并形成文件名 操作命令等列表 通過(guò)該功能 可以簡(jiǎn)化用戶對(duì)審計(jì)數(shù)據(jù)的分析過(guò)程 大大提高分析的效率 宏觀事件到微觀事件鉆取 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了從宏觀報(bào)表到微觀事件的關(guān)聯(lián) 審計(jì)員可以在統(tǒng)計(jì)報(bào) 表 取證報(bào)表中查看宏觀的審計(jì)數(shù)據(jù)統(tǒng)計(jì)信息 通過(guò)點(diǎn)擊相應(yīng)鏈接即可逐步下探到具體 的審計(jì)事件 WORD 格式可編輯 專業(yè)知識(shí)分享 自動(dòng)任務(wù)支持 天玥網(wǎng)絡(luò)安全系統(tǒng)提供報(bào)表任務(wù)功能 審計(jì)員可根據(jù)實(shí)際情況定制報(bào)表生成任務(wù) 系統(tǒng)支持 HTML EXCEL CSV PDF Word 等多種文檔格式的報(bào)表輸出 可以通過(guò)郵件方 式自動(dòng)發(fā)送給審計(jì)員 數(shù)據(jù)和報(bào)表備份 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了審計(jì)數(shù)據(jù)和報(bào)表的手動(dòng)和自動(dòng)備份功能 可以將壓縮 后的數(shù)據(jù)自動(dòng)傳輸?shù)街付ǖ?FTP 服務(wù)器 提供每天 每周 每月 時(shí)刻的定義方式 3 4 8 3 4 8 自身管理自身管理 安全管理 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的管理控制中心提供了集中的管理控制界面 審計(jì)員通過(guò)管 理控制臺(tái)就能管理和綜合分析所有審計(jì)引擎的審計(jì)信息和狀態(tài)信息 并形成審計(jì)報(bào)表 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持權(quán)限分級(jí)管理模式 可對(duì)不同的角色設(shè)定不同的管理權(quán) 限 例如 超級(jí)管理員擁有所有的管理權(quán)限 而某些普通管理員則可能僅擁有查看審計(jì) 報(bào)表的權(quán)限 某些管理員可以擁有設(shè)置審計(jì)策略或安全規(guī)則的權(quán)限 系統(tǒng)提供專門(mén)的自身審計(jì)日志 記錄所有人員對(duì)天玥系統(tǒng)的操作 方便審計(jì)員對(duì)日 志進(jìn)行分析和查看 狀態(tài)管理 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供 CPU 內(nèi)存 磁盤(pán)狀態(tài) 網(wǎng)口等運(yùn)行信息 管理員可以 很輕松的通過(guò) GUI 界面實(shí)現(xiàn)對(duì)審計(jì)數(shù)據(jù)中心 審計(jì)引擎的工作狀態(tài)進(jìn)行查看 當(dāng)出現(xiàn)錯(cuò) 誤信息時(shí) 比如 Raid 故障 磁盤(pán)空間不足 引擎連接問(wèn)題 系統(tǒng)可自動(dòng)郵件通知相關(guān) 管理人員 時(shí)間同步管理 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供手工和 NTP 兩種時(shí)間同步方式 通過(guò)對(duì)全系統(tǒng)自身的時(shí) 間同步 保證了審計(jì)數(shù)據(jù)時(shí)間戳的精確性 避免了審計(jì)事件時(shí)間誤差給事后審計(jì)分析工 作帶來(lái)的影響 提升了工作效率 3 4 9 3 4 9 系統(tǒng)安全性設(shè)計(jì)系統(tǒng)安全性設(shè)計(jì) 在天玥系統(tǒng)的設(shè)計(jì)中采用了嚴(yán)密的系統(tǒng)安全性設(shè)計(jì) 主要體系在以下幾個(gè)方面 WORD 格式可編輯 專業(yè)知識(shí)分享 1 操作系統(tǒng)安全性設(shè)計(jì) 天玥系統(tǒng)采用經(jīng)裁減 加固的 Linux 操作系統(tǒng) 在設(shè)計(jì) 過(guò)程中 結(jié)合天玥系統(tǒng)的功能要求和我公司在操作系統(tǒng)安全方面的技術(shù)和經(jīng)驗(yàn) 對(duì) Linux 進(jìn)行了精心的裁減和加固 包括補(bǔ)丁修補(bǔ) 取消危險(xiǎn)的 無(wú)用的服務(wù) 等 2 數(shù)據(jù)庫(kù)安全性設(shè)計(jì) 天玥審計(jì)數(shù)據(jù)中心審計(jì)服務(wù)器的數(shù)據(jù)庫(kù)是啟明星辰根據(jù)天 玥系統(tǒng)的功能要求自行設(shè)計(jì)的 在設(shè)計(jì)時(shí)已經(jīng)充分考慮了安全性方面的問(wèn)題 3 模塊間的通信 各功能模塊之間的通信均采用專門(mén)設(shè)計(jì)的通信協(xié)議 這些通信 協(xié)議在設(shè)計(jì)時(shí)均采用了諸如 CA 認(rèn)證 編碼 簽名 加密等安全技術(shù) 對(duì)于遠(yuǎn) 程維護(hù) 則采用了 SSH 加密傳輸協(xié)議 在產(chǎn)品出廠測(cè)試階段 還將進(jìn)行諸如漏洞掃描之類的安全性測(cè)試 因此 我們認(rèn)為 天玥系統(tǒng)具有很高的安全性 3 5 負(fù)面影響評(píng)價(jià) 天玥系統(tǒng)基于 IP 數(shù)據(jù)俘獲 應(yīng)用層數(shù)據(jù)分析 審計(jì)和響應(yīng) 實(shí)現(xiàn)各項(xiàng)功能 在 具體實(shí)現(xiàn)時(shí) 無(wú)需在網(wǎng)絡(luò)通路中 跨接 任何硬件設(shè)備 也不需要在審計(jì)對(duì)象中安裝 審計(jì)代理 因此 天玥系統(tǒng)的安裝使用 不會(huì)對(duì)原系統(tǒng)造成任何性能 穩(wěn)定性方面 的影響 天玥系統(tǒng)的硬件設(shè)備由 天玥審計(jì)數(shù)據(jù)中心 和 天玥網(wǎng)絡(luò)審計(jì)引擎 構(gòu)成 其中 天玥審計(jì)數(shù)據(jù)中心象一臺(tái)主機(jī)設(shè)備一樣安裝用戶的系統(tǒng)中 只需要為天玥審計(jì)數(shù)據(jù)中心 分配合法的 IP 地址就可以了 因此 該設(shè)備不會(huì)對(duì)原系統(tǒng)造成任何性能 功能 可靠 性 安全性方面的影響 天玥網(wǎng)絡(luò)審計(jì)引擎需要安裝在核心交換機(jī)的鏡像端口上 用于俘獲來(lái)往于后臺(tái)主機(jī) 和前臺(tái)操作人員之間的通信數(shù)據(jù) 然后通過(guò)對(duì)這些通信數(shù)據(jù)的解析 匹配 達(dá)到審計(jì)和 命令控制的目的 同時(shí) 天玥網(wǎng)絡(luò)審計(jì)引擎實(shí)時(shí)地將俘獲的原始數(shù)據(jù)傳遞給進(jìn)行進(jìn)一步 的分析處理和存儲(chǔ) 當(dāng)天玥網(wǎng)絡(luò)審計(jì)引擎發(fā)現(xiàn)違反規(guī)定的登錄或操作命令時(shí) 會(huì)同時(shí)向該 TCP 會(huì)話的服 務(wù)器和客戶端發(fā)出 關(guān)閉 TCP 會(huì)話 的 IP 報(bào) 從而達(dá)到阻斷的目的 這種 關(guān)閉 TCP 會(huì)話 的 IP 報(bào)是由天玥網(wǎng)絡(luò)審計(jì)引擎?zhèn)卧?并直接向服務(wù)器和客戶端發(fā)送的 不需要 WORD