天玥綜合安全審計系統(tǒng)白皮書

1、天玥網(wǎng)絡安全審計系統(tǒng)天玥網(wǎng)絡安全審計系統(tǒng)產(chǎn)品白皮書產(chǎn)品白皮書（Network Security Audit System）北京啟明星辰信息技術(shù)有限公司北京啟明星辰信息技術(shù)有限公司2003. 10安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術(shù)有限公司 2地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 信箱電話真址：版權(quán)聲明版權(quán)聲明啟明星辰信息技術(shù)有限公司 2003 版權(quán)所有，保留一切權(quán)力。未經(jīng)啟明星辰書面同意不得擅自拷貝、傳播、復制、泄露或復寫本文檔的全部或部分內(nèi)容。本文檔中的信息歸啟明星辰信息技術(shù)有限公司所有并受中國知識產(chǎn)權(quán)法和國

2、際公約的保護?！疤飓h” 、 “天闐”和“天鏡”為啟明星辰信息技術(shù)有限公司的注冊商標，不得侵犯。信息更新信息更新本文檔及其相關(guān)計算機軟件程序（以下文中稱為“文檔”）僅用于為最終用戶提供信息，并且隨時可由啟明星辰信息技術(shù)有限公司（下稱“啟明星辰”）更改或撤回。信息反饋信息反饋如有任何寶貴意見，請反饋：信箱：北京市海淀區(qū)中關(guān)村南大街 12 號 188 信箱電話真責條款免責條款根據(jù)適用法律的許可范圍，啟明星辰按“原樣”提供本文檔而不承擔任何形式的擔保，包括（但不限于）任何隱含的適銷性、特殊目的適用性或無侵害性。在任何情況下，啟明星辰都不會對最終用

3、戶或任何第三方因使用本文檔造成的任何直接或間接損失或損壞負責，即使啟明星辰明確得知這些損失或損壞，這些損壞包括（但不限于）利潤損失、業(yè)務中斷、信譽或數(shù)據(jù)丟失。本文檔中所有引用產(chǎn)品的使用及本文檔均受最終用戶可適用的特許協(xié)議約束。出版時間出版時間本文檔由啟明星辰信息技術(shù)有限公司2003年10月制作出版。安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術(shù)有限公司 3地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 信箱電話真址：目目 錄錄1.1. 產(chǎn)品簡介產(chǎn)品簡介 .4 41.1.產(chǎn)品概述.41.2.產(chǎn)品定位和價值.42.2. 產(chǎn)品架構(gòu)產(chǎn)品架

4、構(gòu) .5 52.1.產(chǎn)品組成.52.2.產(chǎn)品結(jié)構(gòu).62.3.系統(tǒng)需求.73.3. 產(chǎn)品功能產(chǎn)品功能 .9 93.1.審計功能.93.2.管理功能.103.3.報表分析功能.114.4. 產(chǎn)品特性產(chǎn)品特性 .11114.1.分布式部署靈活管理.114.2.客戶化定制審計內(nèi)容.114.3.高度的自身安全保障.114.4.廣泛的聯(lián)動響應支持.124.5.方便的統(tǒng)一管理平臺.125.5. 服務支持服務支持 .1313安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術(shù)有限公司 4地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 信箱電話真址：1.

5、 產(chǎn)品簡介產(chǎn)品簡介. 產(chǎn)品概述產(chǎn)品概述天玥網(wǎng)絡安全審計系統(tǒng)（以下簡稱“天玥” ）是啟明星辰信息技術(shù)有限公司自行研制開發(fā)的網(wǎng)絡安全審計系統(tǒng)。天玥通過旁路偵聽的方式對網(wǎng)絡數(shù)據(jù)流進行采集、分析和識別，實時監(jiān)視網(wǎng)絡系統(tǒng)的運行狀態(tài)，記錄網(wǎng)絡事件，發(fā)現(xiàn)安全隱患，并對網(wǎng)絡活動的相關(guān)信息進行存儲，分析和審計回放。來自網(wǎng)絡的安全威脅日益增多，很多威脅并不是以網(wǎng)絡入侵的形式進行的，這些威脅事件多數(shù)是來自于內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功并不能滿足對這些網(wǎng)絡安全事件的審計要求，網(wǎng)絡安全審計系統(tǒng)正是在這樣的安全審計需求下產(chǎn)生的。網(wǎng)絡安全審計通常要求專門細致的協(xié)議分析技術(shù)，完整的跟蹤能

6、力，和數(shù)據(jù)查詢過程回放功能。啟明星辰憑借在入侵檢測領(lǐng)域多年的技術(shù)積累和研發(fā)經(jīng)驗，推出了適用于百兆網(wǎng)絡環(huán)境的天玥網(wǎng)絡安全審計系統(tǒng)。. 產(chǎn)品定位和價值產(chǎn)品定位和價值作為網(wǎng)絡安全審計系統(tǒng)，天玥主要用于網(wǎng)絡安全事件的事后查詢和取證工作。天玥主要部署于用戶網(wǎng)絡環(huán)境中具有關(guān)鍵資產(chǎn)的網(wǎng)段，審計的對象通常為重要的服務器，如文件服務器、郵件服務器、計費服務器等。關(guān)鍵特性和價值關(guān)鍵特性和價值防范內(nèi)部合法用戶的誤操作和惡意操作完整回放網(wǎng)絡會話過程和內(nèi)容成熟的高速網(wǎng)絡抓包技術(shù)和協(xié)議分析技術(shù)發(fā)現(xiàn)異常進行告警，提醒安全管理員采取措施進行處理；預留接口，可納入啟明星辰的入侵管理平臺進行統(tǒng)一管理。安全源自未雨綢

7、繆，誠信貴在風雨同舟 啟明星辰信息技術(shù)有限公司 5地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 信箱電話真址：2. 產(chǎn)品架構(gòu)產(chǎn)品架構(gòu). 產(chǎn)品組成產(chǎn)品組成天玥網(wǎng)絡安全審計系統(tǒng)包括以下三個部分：網(wǎng)絡探測引擎數(shù)據(jù)管理中心審計中心一個數(shù)據(jù)管理中心可以帶多個網(wǎng)絡探測引擎，每個網(wǎng)絡探測引擎只能對應一個數(shù)據(jù)管理中心。審計中心可以連接多個數(shù)據(jù)管理中心。這三部分的連接示意圖如圖 2.1 所示：圖圖 2.1 天玥網(wǎng)絡安全審計系統(tǒng)設計結(jié)構(gòu)示意圖天玥網(wǎng)絡安全審計系統(tǒng)設計結(jié)構(gòu)示意圖網(wǎng)絡探測引擎全面?zhèn)陕牼W(wǎng)上的信息流，動態(tài)監(jiān)視網(wǎng)絡上流過的所有數(shù)據(jù)包，

8、進行檢測和實時分析，并將分析結(jié)果發(fā)送給相應的數(shù)據(jù)庫進行保存。數(shù)據(jù)管理中心包括三個應用程序：數(shù)據(jù)庫管理、引擎管理和配置管理。數(shù)據(jù)庫管理程安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術(shù)有限公司 6地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 信箱電話真址：序設置數(shù)據(jù)庫連接信息；引擎管理程序設置網(wǎng)絡探測引擎的信息；配置管理可以對被審計對象進行客戶化自定義，如制定黑白名單、自定義審計協(xié)議和設定異常端口審計。審計中心包括兩個應用程序：審計控制臺和用戶管理。審計控制臺可以實時顯示網(wǎng)絡審計信息，流量統(tǒng)計信息，并可以查詢審計信息歷史數(shù)據(jù)，并且對

9、審計事件進行回放。用戶管理程序可以對用戶進行權(quán)限設定，限制不同級別的用戶查看不同的審計內(nèi)容。同時還可以對于每一種權(quán)限的使用人員的操作進行審計記錄，可以由用戶管理員進行查看，具有一定的自身安全審計功能。. 產(chǎn)品結(jié)構(gòu)產(chǎn)品結(jié)構(gòu)產(chǎn)品的管理和部署結(jié)構(gòu)如圖 2.2 所示：圖圖 2.2 天玥網(wǎng)絡安全審計系統(tǒng)基本部署圖天玥網(wǎng)絡安全審計系統(tǒng)基本部署圖安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術(shù)有限公司 7地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 信箱電話真址：產(chǎn)品內(nèi)部的功能架構(gòu)如圖 2.3 和圖 2.4 所示數(shù)據(jù)管理中心通訊口

10、基于Linux內(nèi)核定制的安全操作系統(tǒng)引擎管理配置管理數(shù)據(jù)庫管理抓包口協(xié)議分析事件定義會話重放黑白名單實時日志異常端口實時告警接收圖圖 2.3 天玥審計探測引擎工作原理圖天玥審計探測引擎工作原理圖基于win2000操作系統(tǒng)數(shù)據(jù)管理中心通訊口流量日志數(shù)據(jù)庫流量審計報警會話重放報警事件審計報表界面顯示審計中心報表審計引擎策略配置引擎管理數(shù)據(jù)庫管理圖圖 2.4 天玥審計數(shù)據(jù)管理中心工作原理圖天玥審計數(shù)據(jù)管理中心工作原理圖. 系統(tǒng)需求系統(tǒng)需求(1)網(wǎng)絡探測引擎網(wǎng)絡探測引擎操作系統(tǒng)：Linux 2.4.18 內(nèi)核以上CPU：Pentium 4 2GHz 或更高內(nèi)存：不低于 1G安全源自未雨綢

11、繆，誠信貴在風雨同舟 啟明星辰信息技術(shù)有限公司 8地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 信箱電話真址：硬盤：不低于 60G網(wǎng)卡2 個 Intel 網(wǎng)卡其他設備：光盤驅(qū)動器一個(2)數(shù)據(jù)管理中心數(shù)據(jù)管理中心操作系統(tǒng)：Windows 2000（中文版） ，SP3 以上數(shù)據(jù)庫：SQLserver2000，SP3 以上CPU：Pentium III 1GMHz 或更高內(nèi)存：不低于 256M，建議 512M 以上空閑磁盤空間：不低于 2G其他設備：光盤驅(qū)動器、網(wǎng)卡、鍵盤、鼠標、顯示器以上配置不包括對存放日志的 MS SQL Server

12、 數(shù)據(jù)庫服務器的要求。MS SQL Server 數(shù)據(jù)庫服務器的配置要求請參考微軟公司提供的基本要求和建議配置。建議將天玥數(shù)據(jù)管理中心安裝在一臺專用的服務器上，不推薦將數(shù)據(jù)管理中心和其他的應用程序裝在一起。(3)審計中心審計中心操作系統(tǒng)：Windows 2000（中文版） ，SP2 以上CPU：Pentium III 500MHz 或更高內(nèi)存：不低于 256M，建議 512M 以上空閑磁盤空間：不低于 1G，建議 2G 以上安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術(shù)有限公司 9地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 信箱電話真：010-62146

13、778網(wǎng)址：其他設備：光盤驅(qū)動器、網(wǎng)卡、鍵盤、鼠標、顯示器審計中心可以單獨安裝，也可以和數(shù)據(jù)管理中心安裝在同一臺機器上。3. 產(chǎn)品功能產(chǎn)品功能. 審計功能審計功能3.1.1. 典型網(wǎng)絡應用協(xié)議審計典型網(wǎng)絡應用協(xié)議審計天玥能夠?qū)Φ湫偷木W(wǎng)絡應用協(xié)議（http,ftp,smtp,pop3,telnet）進行詳細審計，實時監(jiān)控并記錄網(wǎng)絡用戶對服務器的遠程登錄、讀、寫、添加、修改以及刪除等操作，并可以對操作過程進行完整回放，比如對于 http 協(xié)議可以回放所瀏覽的網(wǎng)頁內(nèi)容，對 smtp 和 pop3 協(xié)議可以回放郵件正文的完整內(nèi)容以及附件內(nèi)容。3.1.2. 文件共享審計文件共享審計天玥能夠

14、對 Windows 網(wǎng)絡環(huán)境中基于 netbios 的文件共享服務進行審計，實時監(jiān)控并記錄網(wǎng)絡用戶對網(wǎng)絡資源中的文件共享操作，并對文件共享操作命令進行回放。3.1.3. 自定義協(xié)議審計自定義協(xié)議審計天玥為用戶提供了客戶化的自定義協(xié)議審計功能，對于用戶網(wǎng)絡中運行的特殊網(wǎng)絡協(xié)議，用戶可以根據(jù)協(xié)議的端口號和 IP 地址范圍自行定義。天玥可以對用戶自定義的各種網(wǎng)絡協(xié)議的原始報文進行解析，實時監(jiān)控并記錄自定義協(xié)議的活動情況。安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術(shù)有限公司 10地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 信箱電話真

15、址：3.1.4. 數(shù)據(jù)庫操作審計數(shù)據(jù)庫操作審計天玥能夠?qū)崟r監(jiān)控并記錄網(wǎng)絡用戶對數(shù)據(jù)庫服務器的讀、寫、查詢、添加、修改以及刪除等操作，并可以對數(shù)據(jù)庫操作命令進行回放。目前天玥只支持對 SQL Server 的審計。3.1.5. 流量審計流量審計天玥能夠根據(jù)不同協(xié)議和自定義模式，實時顯示網(wǎng)絡中流量數(shù)據(jù)的變化。流量分析流量分析典型實例典型實例流量監(jiān)測IP-IP 流量、TCP、UDP、ICMP 等應用協(xié)議流量異常流量字節(jié)流量超標事件、包流量超標事件、流量增量異常事件3.1.6. 主機服務審計主機服務審計天玥為用戶提供了主機異常端口定義功能，允許用戶自定義要審計的主機和端口，通過對網(wǎng)絡數(shù)據(jù)的分析，檢測某

16、些主機是否有異常端口服務開放，從而實現(xiàn)對主機服務的審計。3.1.7. 制定黑白名單制定黑白名單天玥為用戶提供了黑白名單設置功能，用戶可以根據(jù)自己網(wǎng)絡的實際狀況，把信任的主機列入白名單，重點審計主機列入黑名單。天玥對黑名單上的主機進行重點監(jiān)控，并在審計控制臺實時顯示黑名單主機的活動情況。白名單上的主機是被充分信任的主機，天玥對于列入白名單的主機不進行審計。. 管理功能管理功能3.2.1. 實時報警響應實時報警響應天玥可以對審計事件進行實時報警響應。目前支持的報警響應方式為屏幕報警。安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術(shù)有限公司 11地址：北京市海淀區(qū)中關(guān)村南大街 12

17、 號 188 信箱電話真址：3.2.2. 用戶管理用戶管理為保證網(wǎng)絡審計數(shù)據(jù)的安全性和隱私性，天玥系統(tǒng)采用多用戶權(quán)限管理，特定用戶只能對其權(quán)限內(nèi)的審計內(nèi)容進行審計操作。同時用戶管理程序具有自審計功能，對于每一種權(quán)限的使用人員的操作都有詳細的審計記錄，可以由用戶管理員進行查看。. 報表分析功能報表分析功能3.3.1. 審計數(shù)據(jù)查詢分析審計數(shù)據(jù)查詢分析天玥能夠根據(jù)存儲記錄和操作者的權(quán)限對審計數(shù)據(jù)進行查詢、統(tǒng)計、管理、維護等操作。3.3.2. 審計報表審計報表天玥為用戶提供了審計報表生成功能，以自定義方式生成 HTML 或 EXC

18、EL 形式的報表。4. 產(chǎn)品特性產(chǎn)品特性. 分布式部署靈活管理分布式部署靈活管理天玥在設計上采用審計中心、數(shù)據(jù)管理中心和網(wǎng)絡探測引擎三級結(jié)構(gòu)，每個數(shù)據(jù)管理中心以一對多的方式連接管理多個網(wǎng)絡探測引擎，審計中心和數(shù)據(jù)管理中心可以多對多進行審計控制顯示。天玥的三級結(jié)構(gòu)設計滿足了用戶在大型網(wǎng)絡環(huán)境中分布式部署網(wǎng)絡安全審計系統(tǒng)的需求，同時審計中心控制臺可以靈活安裝在網(wǎng)絡的不同位置，配合天玥的用戶管理程序，滿足不同級別的用戶對審計數(shù)據(jù)的管理查詢。安全源自未雨綢繆，誠信貴在風雨同舟 啟明星辰信息技術(shù)有限公司 12地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 信箱電話/p>

19、6傳真址：. 客戶化定制審計內(nèi)容客戶化定制審計內(nèi)容天玥為用戶提供了多種自定義審計內(nèi)容設置，如制定黑白名單，自定義協(xié)議審計，異常端口審計等，方便了用戶根據(jù)自身的網(wǎng)絡結(jié)構(gòu)和網(wǎng)絡應用情況定制審計對象和審計內(nèi)容。. 高度的自身安全保障高度的自身安全保障天玥的設計充分考慮到了自身的安全保障問題，在網(wǎng)絡探測引擎端采用基于 Linux 內(nèi)核定制的安全操作系統(tǒng)，并用無 IP 網(wǎng)口對被審計網(wǎng)絡進行旁路偵聽。同時網(wǎng)絡探測引擎與數(shù)據(jù)管理中心進行互相認證，數(shù)據(jù)傳輸加密。在審計中心采用多用戶分權(quán)限管理機制，既保證特定用戶只能對其權(quán)限內(nèi)的審計內(nèi)容進行審計操作，同時用

20、戶管理程序具有自審計功能，對于每一種權(quán)限的使用人員的操作都有詳細的審計記錄。. 廣泛的聯(lián)動響應支持廣泛的聯(lián)動響應支持天玥具有全面的自主響應和聯(lián)動響應方式，可以滿足不同用戶的需求。天玥通過自有 VIP1協(xié)議族，可以充分實現(xiàn)和第三方安全產(chǎn)品以及網(wǎng)絡設備的策略響應聯(lián)動。目前主要的聯(lián)動方式包括：防火墻聯(lián)動（VIPFW） 、掃描器聯(lián)動（VIPSC） 。用戶可以根據(jù)網(wǎng)絡現(xiàn)狀進行有效地投資，實現(xiàn)動態(tài)防御體系。. 方便的統(tǒng)一管理平臺方便的統(tǒng)一管理平臺天玥網(wǎng)絡安全審計系統(tǒng)是啟明星辰網(wǎng)絡安全系列產(chǎn)品之一，其管理控制臺具有良好的可擴展性，可以在未來和啟明星辰公司的天闐入侵檢測與預警系統(tǒng)、天鏡網(wǎng)絡漏