Auditsec服務(wù)器安全管理軟件白皮書

1、Auditsec服務(wù)器安全管理軟件-操作安全審計(jì)系統(tǒng)（白皮書）上海柏安信息安全技術(shù)有限公司（ISCA）二零壹壹年二月目 錄 TOC o 1-3 h z u HYPERLINK l _Toc297721728 一安全現(xiàn)狀分析 PAGEREF _Toc297721728 h - 5 - HYPERLINK l _Toc297721729 1.1安全隱患 PAGEREF _Toc297721729 h - 5 - HYPERLINK l _Toc297721730 安全風(fēng)險(xiǎn)分析 PAGEREF _Toc297721730 h - 5 - HYPERLINK l _Toc297721731 嚴(yán)格分權(quán)管

2、理問題 PAGEREF _Toc297721731 h - 6 - HYPERLINK l _Toc297721732 1.2SOX(薩班斯法案)與IT運(yùn)維管理 PAGEREF _Toc297721732 h - 6 - HYPERLINK l _Toc297721733 二AUDITSEC安全審計(jì)系統(tǒng)產(chǎn)品優(yōu)勢(shì) PAGEREF _Toc297721733 h - 7 - HYPERLINK l _Toc297721734 2.1 超強(qiáng)的規(guī)范管理能力 PAGEREF _Toc297721734 h - 8 - HYPERLINK l _Toc297721735 2.2 最細(xì)粒度的審計(jì)查詢功能 P

3、AGEREF _Toc297721735 h - 8 - HYPERLINK l _Toc297721736 2.3 “零”影響部署 PAGEREF _Toc297721736 h - 9 - HYPERLINK l _Toc297721737 三AUDITSEC安全審計(jì)系統(tǒng)功能介紹 PAGEREF _Toc297721737 h - 9 - HYPERLINK l _Toc297721738 3.1AUDITSEC安全審計(jì)系統(tǒng)理念 PAGEREF _Toc297721738 h - 9 - HYPERLINK l _Toc297721739 可視 PAGEREF _Toc297721739

4、h - 10 - HYPERLINK l _Toc297721740 可控 PAGEREF _Toc297721740 h - 10 - HYPERLINK l _Toc297721741 可管理 PAGEREF _Toc297721741 h - 10 - HYPERLINK l _Toc297721742 可跟蹤 PAGEREF _Toc297721742 h - 10 - HYPERLINK l _Toc297721743 可鑒定 PAGEREF _Toc297721743 h - 10 - HYPERLINK l _Toc297721744 3.2AUDITSEC安全審計(jì)系統(tǒng)應(yīng)用 PA

5、GEREF _Toc297721744 h - 11 - HYPERLINK l _Toc297721745 內(nèi)部網(wǎng)絡(luò)行為管理 PAGEREF _Toc297721745 h - 11 - HYPERLINK l _Toc297721746 對(duì)網(wǎng)絡(luò)邊界網(wǎng)關(guān)設(shè)備的管理 PAGEREF _Toc297721746 h - 11 - HYPERLINK l _Toc297721747 3.3產(chǎn)品采用的關(guān)鍵技術(shù) PAGEREF _Toc297721747 h - 11 - HYPERLINK l _Toc297721748 程序重用與控制技術(shù) PAGEREF _Toc297721748 h - 11

6、- HYPERLINK l _Toc297721749 邏輯命令自動(dòng)識(shí)別技術(shù) PAGEREF _Toc297721749 h - 12 - HYPERLINK l _Toc297721750 分布式處理技術(shù) PAGEREF _Toc297721750 h - 12 - HYPERLINK l _Toc297721751 實(shí)時(shí)監(jiān)控技術(shù) PAGEREF _Toc297721751 h - 12 - HYPERLINK l _Toc297721752 日志轉(zhuǎn)儲(chǔ)技術(shù) PAGEREF _Toc297721752 h - 12 - HYPERLINK l _Toc297721753 加密傳輸技術(shù) PAGE

7、REF _Toc297721753 h - 12 - HYPERLINK l _Toc297721754 多進(jìn)程/線程與同步技術(shù) PAGEREF _Toc297721754 h - 13 - HYPERLINK l _Toc297721755 3.4AUDITSEC安全審計(jì)系統(tǒng)功能 PAGEREF _Toc297721755 h - 13 - HYPERLINK l _Toc297721756 產(chǎn)品組件 PAGEREF _Toc297721756 h - 13 - HYPERLINK l _Toc297721757 細(xì)粒度策略控制功能 PAGEREF _Toc297721757 h - 13

8、- HYPERLINK l _Toc297721758 準(zhǔn)確日志查詢檢索功能 PAGEREF _Toc297721758 h - 14 - HYPERLINK l _Toc297721759 菜單類操作回放審計(jì)功能 PAGEREF _Toc297721759 h - 15 - HYPERLINK l _Toc297721760 密碼代填 PAGEREF _Toc297721760 h - 15 - HYPERLINK l _Toc297721761 帳號(hào)密碼的安全管理 PAGEREF _Toc297721761 h - 15 - HYPERLINK l _Toc297721762 擴(kuò)展命令 P

9、AGEREF _Toc297721762 h - 16 - HYPERLINK l _Toc297721763 FTP/SFTP文件安全傳輸 PAGEREF _Toc297721763 h - 17 - HYPERLINK l _Toc297721764 圖形操作審計(jì) PAGEREF _Toc297721764 h - 17 - HYPERLINK l _Toc297721765 操作“現(xiàn)場(chǎng)回放” PAGEREF _Toc297721765 h - 19 - HYPERLINK l _Toc297721766 數(shù)據(jù)庫(kù)的安全審計(jì) PAGEREF _Toc297721766 h - 20 - HY

10、PERLINK l _Toc297721767 3.5AUDITSEC安全審計(jì)系統(tǒng)應(yīng)用 PAGEREF _Toc297721767 h - 20 - HYPERLINK l _Toc297721768 安全管理ISO17799 PAGEREF _Toc297721768 h - 20 - HYPERLINK l _Toc297721769 IT 運(yùn)維管理ITIL PAGEREF _Toc297721769 h - 21 - HYPERLINK l _Toc297721770 IT 內(nèi)控和SOX/COBIT PAGEREF _Toc297721770 h - 21 - HYPERLINK l _

11、Toc297721771 四AUDITSEC安全審計(jì)系統(tǒng)典型部署模型 PAGEREF _Toc297721771 h - 21 - HYPERLINK l _Toc297721772 4.1網(wǎng)關(guān)方式部署 PAGEREF _Toc297721772 h - 21 - HYPERLINK l _Toc297721773 5.AUDITSEC安全審計(jì)系統(tǒng)典型部署模型 PAGEREF _Toc297721773 h - 22 - HYPERLINK l _Toc297721774 4.1Auditsec的UTM標(biāo)準(zhǔn)硬件配置： PAGEREF _Toc297721774 h - 22 - HYPERLI

12、NK l _Toc297721775 4.2Auditsec的UTM雙子星硬件配置： PAGEREF _Toc297721775 h - 23 -一安全現(xiàn)狀分析當(dāng)前隨著信息技術(shù)的發(fā)展和信息化建設(shè)的高速推進(jìn)，業(yè)務(wù)應(yīng)用、辦公系統(tǒng)的不斷開發(fā)和投入運(yùn)行。而支撐這些系統(tǒng)的運(yùn)行平臺(tái)Unix/Linux/windows主機(jī)被廣泛應(yīng)用，在電信運(yùn)營(yíng)商、財(cái)稅、公安、金融、電力、大型公司和著名門戶網(wǎng)站，更是使用數(shù)量眾多的Unix/Linux/windows主機(jī)來運(yùn)行關(guān)鍵業(yè)務(wù)，提供電子商務(wù)、數(shù)據(jù)庫(kù)應(yīng)用、運(yùn)維管理、ERP和協(xié)同工作群件等等的服務(wù)。安全隱患由于缺乏相應(yīng)的先進(jìn)工具和手段，企業(yè)無法保證系統(tǒng)管理員嚴(yán)格按照規(guī)范來

13、進(jìn)行管理，如無法保證系統(tǒng)管理員的真實(shí)管理行為/管理報(bào)告和規(guī)章制度要求一致，造成企業(yè)網(wǎng)絡(luò)及服務(wù)器常處于不可信、不可控、不可視狀態(tài)。面對(duì)系統(tǒng)和網(wǎng)絡(luò)安全性、IT運(yùn)維管理和IT內(nèi)控外審的挑戰(zhàn)，管理人員需要有效的技術(shù)手段，按照行業(yè)標(biāo)準(zhǔn)進(jìn)行精確管理、事后追溯審計(jì)、實(shí)時(shí)監(jiān)控和警報(bào)。如何提高系統(tǒng)運(yùn)維管理水平，滿足相關(guān)標(biāo)準(zhǔn)要求，防止黑客的入侵和惡意訪問，跟蹤服務(wù)器上用戶行為，降低運(yùn)維成本，提供控制和審計(jì)依據(jù)，已經(jīng)成為越來越困擾這些企業(yè)的問題。 安全風(fēng)險(xiǎn)分析數(shù)據(jù)庫(kù)管理員或第三方開發(fā)人員遠(yuǎn)程對(duì)數(shù)據(jù)庫(kù)的操作和命令用戶登錄系統(tǒng)，執(zhí)行Oracle、SQL Server 、DB2、INFORMIX、Sybase、Mysql

14、等命令，容易產(chǎn)生數(shù)據(jù)庫(kù)破壞，所有的這些操作需要被跟蹤和限制。大型集中應(yīng)用環(huán)境不易統(tǒng)一監(jiān)控、管理和快速響應(yīng)對(duì)于大型應(yīng)用環(huán)境，網(wǎng)絡(luò)管理員要管理和配置大量UNIX/LINUX/windows服務(wù)器，大量事故響應(yīng)，管理人員不堪重負(fù)。無法提供對(duì)網(wǎng)絡(luò)通信設(shè)備的操作，修改等行為審計(jì)網(wǎng)絡(luò)通信設(shè)備常常在UNIX/LINUX系統(tǒng)上通過ssh遠(yuǎn)程登錄進(jìn)行管理，對(duì)網(wǎng)絡(luò)通信設(shè)備的操作無法審計(jì)，埋下安全隱患。網(wǎng)絡(luò)管理人員需要統(tǒng)一的手段，對(duì)服務(wù)器組進(jìn)行安全保護(hù)網(wǎng)絡(luò)管理人員常用防火墻，IDS等設(shè)備，針對(duì)網(wǎng)段進(jìn)行隔離和操作限制，因此，網(wǎng)絡(luò)管理人員需要不同手段，對(duì)外網(wǎng)/內(nèi)網(wǎng)用戶應(yīng)用不同安全保護(hù)策略，應(yīng)用和實(shí)施麻煩，容易疏忽造成隱

15、患。服務(wù)器及其集群的運(yùn)行狀態(tài)監(jiān)控已及性能調(diào)控現(xiàn)有服務(wù)器監(jiān)控軟件基本上都是單機(jī)、單服務(wù)器方式運(yùn)行，需要高素質(zhì)管理人才進(jìn)行管理。將服務(wù)器狀態(tài)信息集中化，發(fā)現(xiàn)企業(yè)服務(wù)器運(yùn)行狀態(tài)及瓶頸，成為應(yīng)用比較急切和關(guān)心的問題。嚴(yán)格分權(quán)管理問題 嚴(yán)格分權(quán)管理屬于多用戶多賬號(hào)管理方式，用戶在自己權(quán)限下生產(chǎn)和工作，但是，由于生產(chǎn)的特殊性，常常需要用戶具有ROOT賬戶權(quán)限。這就造成生產(chǎn)和管理的矛盾，臨時(shí)ROOT權(quán)限分發(fā)可以解決ROOT權(quán)限生產(chǎn)問題，但是，這極大增大管理的復(fù)雜性和不安全性，稍有疏忽，就可能造成管理的混亂。不分發(fā)ROOT權(quán)限，可能導(dǎo)致生產(chǎn)不能正常進(jìn)行，至少影響生產(chǎn)效率。 現(xiàn)有操作系統(tǒng)存在許多安全隱患，暴力破

16、解、溢出攻擊、社會(huì)工程等攻擊方式，都可能使普通用戶或者黑客獲取ROOT賬戶權(quán)限，進(jìn)而執(zhí)行普通用戶權(quán)限外的操作，產(chǎn)生破壞。 嚴(yán)格分權(quán)管理管理負(fù)擔(dān)比較重，管理員要對(duì)權(quán)限的分配和服務(wù)器上行為負(fù)責(zé)，同時(shí)，用戶在服務(wù)器上行為對(duì)管理員來說不可視，不可審計(jì)，出現(xiàn)問題，沒人負(fù)責(zé)。SOX(薩班斯法案)與IT運(yùn)維管理SOX是Sarbanes-Oxley Act簡(jiǎn)稱，正式名為 Public Company Accounting Reform and Investor Protection Act of 2002。于二零零二年由總統(tǒng)布什通過成為法例。此法案針對(duì)當(dāng)年一連串上市公司(Enron、Arthur Anders

17、en、WorldCom等)的財(cái)務(wù)丑聞而立。它為在美上市公司內(nèi)部財(cái)務(wù)的管理定下了一些規(guī)范，以保障投資者和公司職員。因?yàn)?，企業(yè)的經(jīng)營(yíng)活動(dòng)，企業(yè)管理、項(xiàng)目和投資基本建立在IT基礎(chǔ)之上，以下兩點(diǎn)就顯得格外重要。如圖1.2302節(jié)：要求行政人員證明他們公司設(shè)計(jì)和執(zhí)行了適當(dāng)?shù)目刂?，以保證所有財(cái)務(wù)報(bào)表都可靠而且付合公認(rèn)會(huì)計(jì)準(zhǔn)則(GAAP)。404節(jié)：要求所有在302節(jié)中所控制的過程都有可信的財(cái)務(wù)報(bào)表。這法令要求IT經(jīng)理對(duì)所有有關(guān)財(cái)務(wù)報(bào)表的產(chǎn)生過程負(fù)責(zé)。404節(jié)規(guī)定外國(guó)在美的上市公司必須在零五七月十五日前完成有關(guān)的更改，零五三月美國(guó)證券交易委員會(huì)將這死線推遲了一年至零六年七月十五日。 ITIL是Informa

18、tion Technology Infrastructure Library的縮寫，最早由英國(guó)商務(wù)部開發(fā)，是為了應(yīng)對(duì)行業(yè)不斷增長(zhǎng)地對(duì)IT服務(wù)的要求，提供IT管理最佳實(shí)踐。ITIL融合全球最佳實(shí)踐，是IT部門用于計(jì)劃、研發(fā)、實(shí)施和運(yùn)維的高質(zhì)量的服務(wù)準(zhǔn)則，是目前全球IT服務(wù)領(lǐng)域最受認(rèn)可的系統(tǒng)而實(shí)用的結(jié)構(gòu)化方法。全球10,000多家在各行業(yè)處于領(lǐng)先地位的組織都在使用ITIL流程改進(jìn)IT服務(wù)的效率和溝通，大量的成功實(shí)踐表明實(shí)施ITSM可以提高IT部門營(yíng)運(yùn)效率25-300%。ITIL自1980年代開始發(fā)展，經(jīng)過行業(yè)專家、顧問和實(shí)施者的共同努力，已經(jīng)成為IT服務(wù)管理領(lǐng)域最佳實(shí)踐事實(shí)上的國(guó)際標(biāo)準(zhǔn)。ITIL可

19、以與ISO 9001兼容，提供IT組織服務(wù)質(zhì)量。二AUDITSEC安全審計(jì)系統(tǒng)產(chǎn)品優(yōu)勢(shì)AUDITSEC安全審計(jì)系統(tǒng)是上海柏安信息技術(shù)有限公司，經(jīng)過長(zhǎng)時(shí)間的技術(shù)積累和攻關(guān)研發(fā)，推出針對(duì)UNIX服務(wù)器安全管理、審計(jì)，業(yè)界領(lǐng)先并且擁有自主知識(shí)產(chǎn)權(quán)的一款產(chǎn)品。AUDITSEC安全審計(jì)系統(tǒng)主要用于服務(wù)器系統(tǒng)安全防護(hù)，讓服務(wù)器的操作、管理和運(yùn)行更加可視、可控、可管理、可跟蹤、可鑒定，解決服務(wù)器系統(tǒng)級(jí)別的安全問題、安全威脅，為國(guó)家重要部門和企業(yè)服務(wù)器的正常有序運(yùn)行，提供可靠的安全保障。另外，也可以對(duì)網(wǎng)絡(luò)設(shè)備，安全設(shè)備等各種IT設(shè)備進(jìn)行操作行為管理。2.1 超強(qiáng)的規(guī)范管理能力可兼容管理所有支持（ssh/tel

20、net、ftp標(biāo)準(zhǔn)協(xié)議） CLI命令方式管理的設(shè)備。對(duì)高危命令的操作系統(tǒng)將實(shí)時(shí)阻斷或給予警告（可手機(jī)短信通知信息主管人員）。對(duì)授權(quán)用戶的命令操作實(shí)時(shí)全程監(jiān)控。對(duì)第三方廠商程序開發(fā)人員、系統(tǒng)維護(hù)人員、數(shù)據(jù)庫(kù)管理人員等多種角色進(jìn)行身份的認(rèn)證及操作監(jiān)控。規(guī)范用戶操作習(xí)慣（防止授權(quán)用戶的誤操作、無用操作）。全方位的主機(jī)信息安全保障，可以制定嚴(yán)格的策略和用戶權(quán)限的分配做到事前預(yù)防，事中危險(xiǎn)操作的實(shí)時(shí)阻斷，事后的責(zé)任認(rèn)定。2.2 最細(xì)粒度的審計(jì)查詢功能用戶可根據(jù)具體的操作命令、用戶名、時(shí)間、IP地址等8個(gè)條件任意組合查詢、定位操作日志。對(duì)菜單向?qū)ь惒僮鞯闹悄軐徲?jì)并可對(duì)其操作過程實(shí)時(shí)的歷史回放。對(duì)共用帳號(hào)的

21、操作進(jìn)行全記錄全審計(jì)（如：對(duì)多個(gè)擁有root權(quán)限的操作人員做強(qiáng)身份識(shí)別）。對(duì)用戶在服務(wù)器間的跳轉(zhuǎn)登錄的全記錄，每個(gè)跳轉(zhuǎn)動(dòng)作單獨(dú)生成一個(gè)Session 。2.3 “零”影響部署不影響任何業(yè)務(wù)數(shù)據(jù)流。設(shè)備的部署不更改現(xiàn)有的網(wǎng)絡(luò)拓?fù)?。不增加系統(tǒng)和網(wǎng)絡(luò)性能的負(fù)載。部署方式靈活多樣，適合任何構(gòu)架的網(wǎng)絡(luò)環(huán)境.部署周期短。不改變管理員操作習(xí)慣（不需要安裝客戶端工具）。三AUDITSEC安全審計(jì)系統(tǒng)功能介紹3.1AUDITSEC安全審計(jì)系統(tǒng)理念柏安咨詢產(chǎn)品安全管理理念可視AUDITSEC安全審計(jì)系統(tǒng)能夠動(dòng)態(tài)實(shí)時(shí)的捕獲UNIX系統(tǒng)用戶使用的操作命令，真正做到讓UNIX服務(wù)器上的操作和行為可視。系統(tǒng)管理員可以直觀

22、的了解服務(wù)器上發(fā)生過的操作命令及其運(yùn)行結(jié)果，結(jié)束UNIX服務(wù)器操作管理的黑匣子時(shí)代。AUDITSEC安全審計(jì)系統(tǒng)可以實(shí)時(shí)監(jiān)控系統(tǒng)管理員操作過程，提供實(shí)時(shí)監(jiān)控中心和值班中心，可以集中實(shí)時(shí)的監(jiān)控所有用戶的操作行為和過程?？煽谹UDITSEC安全審計(jì)系統(tǒng)動(dòng)態(tài)實(shí)時(shí)的捕獲系統(tǒng)管理員操作行為，并可以對(duì)其進(jìn)行策略審計(jì)，違反安全策略的用戶命令，將被禁止執(zhí)行，使用危險(xiǎn)命令的用戶，將被剔出系統(tǒng)。這樣，UNIX服務(wù)器將增加一層安全防護(hù)功能，即使用戶（惡意用戶、黑客）取得命令的操作權(quán)限，該命令也不能生效，進(jìn)而保護(hù)UNIX服務(wù)器上關(guān)鍵資源和重要服務(wù)。 可管理AUDITSEC安全審計(jì)系統(tǒng)可以根據(jù)需要對(duì)指定用戶或所有用戶展

23、開監(jiān)控，可以限制和管理可疑用戶行為，真正讓UNIX服務(wù)器擺脫操作和使用的黑匣子狀態(tài)，監(jiān)控和管理UNIX服務(wù)器上用戶操作行為。可跟蹤AUDITSEC安全審計(jì)系統(tǒng)通過遠(yuǎn)程日志服務(wù)器保存所有用戶操作行為和運(yùn)行結(jié)果，可以通過對(duì)用戶操作行為及其結(jié)果進(jìn)行回放，跟蹤用戶在服務(wù)器上的操作過程，查看用戶在服務(wù)器上的所有操作行為，準(zhǔn)確無誤的了解用戶的行為意圖。AUDITSEC安全審計(jì)系統(tǒng)日志服務(wù)器提供日志動(dòng)態(tài)查詢功能，支持特色化報(bào)表生成功能，可以根據(jù)用戶環(huán)境進(jìn)行報(bào)表定制，及時(shí)直觀的報(bào)告用戶所關(guān)心的資源使用情況?？设b定AUDITSEC安全審計(jì)系統(tǒng)使用二次日志記錄系統(tǒng)，保存用戶操作行為過程。日志文件不可修改，不可杜撰

24、，通過對(duì)用戶操作行為日志的分析，可以鑒定用戶行為，并進(jìn)行責(zé)任認(rèn)定。二次日志記錄加強(qiáng)了原始日志材料的防偽防杜撰功能，通過對(duì)比保存于兩臺(tái)日志服務(wù)器上的日志材料，可以準(zhǔn)確可靠的進(jìn)行故障鑒定和責(zé)任認(rèn)定。3.2AUDITSEC安全審計(jì)系統(tǒng)應(yīng)用AUDITSEC安全審計(jì)系統(tǒng)非常適合于企事業(yè)加強(qiáng)對(duì)UNIX服務(wù)器的安全管理，減輕和防止企事業(yè)的UNIX系統(tǒng)安全級(jí)別威脅。AUDITSEC安全審計(jì)系統(tǒng)應(yīng)用領(lǐng)域非常廣闊，產(chǎn)品多種部署方式，可以非常靈活的兼容于企事業(yè)現(xiàn)有安全架構(gòu)。內(nèi)部網(wǎng)絡(luò)行為管理嚴(yán)重的攻擊來自系統(tǒng)內(nèi)部(75%來自內(nèi)部攻擊)，AUDITSEC安全審計(jì)系統(tǒng)主要應(yīng)用于內(nèi)部用戶行為管理，保證內(nèi)部用戶的操作和行為可

25、控、可視、可管理、可跟蹤、可鑒定，防止內(nèi)部人員對(duì)機(jī)密材料的非法獲取和使用，保護(hù)企事業(yè)核心機(jī)密。對(duì)網(wǎng)絡(luò)邊界網(wǎng)關(guān)設(shè)備的管理網(wǎng)絡(luò)邊界安全設(shè)備是企事業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的重要組成部分，網(wǎng)絡(luò)邊界安全設(shè)備的安全策略，對(duì)企事業(yè)內(nèi)部網(wǎng)絡(luò)安全，起著非常重要的作用。AUDITSEC安全審計(jì)系統(tǒng)可以記錄管理員對(duì)這些安全設(shè)備的配置過程，保證安全策略的一致性，其生成的日志系統(tǒng)，可以比較方便的集成到企事業(yè)現(xiàn)有安全策略管理架構(gòu)中。對(duì)黑客行為的防范黑客常常通過手段（如：社會(huì)工程、惡意程序、系統(tǒng)設(shè)置漏洞、緩沖區(qū)溢出程序等）獲取用戶權(quán)限，然后使用該權(quán)限登陸系統(tǒng)。AUDITSEC安全審計(jì)系統(tǒng)可以記錄該黑客的操作過程，對(duì)于事后查證和數(shù)

26、據(jù)恢復(fù)，有非常好的適用價(jià)值。AUDITSEC安全審計(jì)系統(tǒng)還可以通過地址綁定功能對(duì)黑客行為進(jìn)行限制，即使黑客取得系統(tǒng)權(quán)限，也不能對(duì)系統(tǒng)做任何操作。3.3產(chǎn)品采用的關(guān)鍵技術(shù)AUDITSEC安全審計(jì)系統(tǒng)采用系列先進(jìn)技術(shù)，成功實(shí)現(xiàn)命令捕獲與控制，為UNIX系統(tǒng)安全運(yùn)行，提供強(qiáng)有力的武器。程序重用與控制技術(shù)AUDITSEC安全審計(jì)系統(tǒng)采用先進(jìn)的程序重用與控制技術(shù)，可以啟用和控制任何UNIX程序。通過程序重用與控制技術(shù)，可以完全利用現(xiàn)有程序的先進(jìn)功能，避免重新開發(fā)，同時(shí)，在重用的過程中，可以控制重用程序的行為，實(shí)現(xiàn)新的功能需求。如：通過重用bash，可以實(shí)現(xiàn)對(duì)bash命令行的控制功能。AUDITSEC安全

27、審計(jì)系統(tǒng)控制被重用程序的輸入與輸出，再通過高效同步技術(shù)，完美重用和控制現(xiàn)成UNIX類程序，同時(shí)，對(duì)程序現(xiàn)有功能進(jìn)行擴(kuò)充，改變現(xiàn)有程序行為，增加現(xiàn)有程序功能。該技術(shù)還可以進(jìn)行自定義擴(kuò)充，如：截獲數(shù)據(jù)、自動(dòng)輸入、隱藏或者改變輸出等，達(dá)到自動(dòng)控制程序運(yùn)行效果。 邏輯命令自動(dòng)識(shí)別技術(shù)AUDITSEC安全審計(jì)系統(tǒng)自動(dòng)識(shí)別當(dāng)前操作終端，對(duì)當(dāng)前終端的輸入輸出進(jìn)行控制，組合輸入輸出流，自動(dòng)識(shí)別邏輯語義命令。系統(tǒng)會(huì)根據(jù)輸入輸出上下文，確定邏輯命令編輯過程，進(jìn)而自動(dòng)捕獲出用戶使用的邏輯命令。該項(xiàng)技術(shù)解決了邏輯命令自動(dòng)捕獲功能，在傳統(tǒng)鍵盤捕獲與控制領(lǐng)域取得新的突破，可以更加準(zhǔn)確的控制用戶意圖。該技術(shù)能自動(dòng)識(shí)別命令狀

28、態(tài)和編輯狀態(tài)以及私有工作狀態(tài)，準(zhǔn)確捕獲邏輯命令，現(xiàn)在該技術(shù)已經(jīng)申請(qǐng)專利。分布式處理技術(shù)AUDITSEC安全審計(jì)系統(tǒng)采用分布式處理架構(gòu)進(jìn)行處理，啟用命令捕獲引擎機(jī)制，通過策略服務(wù)器完成策略審計(jì)，通過日志服務(wù)器存儲(chǔ)操作審計(jì)日志，并通過實(shí)時(shí)監(jiān)視中心，實(shí)時(shí)察看用戶在服務(wù)器上行為。這種分體式設(shè)計(jì)有利于策略的正確執(zhí)行和操作記錄日志的安全。同時(shí)，各組件之間采用安全連接進(jìn)行通信，防止策略和日志被篡改。各組件可以獨(dú)立工作，可以分布于不同的服務(wù)器上，亦可所有組件安裝于一臺(tái)服務(wù)器。實(shí)時(shí)監(jiān)控技術(shù)AUDITSEC安全審計(jì)系統(tǒng)實(shí)現(xiàn)遠(yuǎn)程值班中心和實(shí)時(shí)監(jiān)控中心，集團(tuán)UNIX服務(wù)器運(yùn)行狀態(tài)監(jiān)控可以實(shí)時(shí)進(jìn)行。實(shí)時(shí)監(jiān)控中心直接和命

29、令捕獲引擎通信，避免日志服務(wù)器和策略服務(wù)器的運(yùn)行負(fù)載，有利于系統(tǒng)實(shí)時(shí)性的提高。日志轉(zhuǎn)儲(chǔ)技術(shù)AUDITSEC安全審計(jì)系統(tǒng)提供日志本地存儲(chǔ)和異地存儲(chǔ)，本地存儲(chǔ)直接保存在本機(jī)上，異地存儲(chǔ)是與專業(yè)存儲(chǔ)設(shè)備對(duì)接實(shí)現(xiàn)異地存儲(chǔ)功能，確保監(jiān)控日志安全。通過多種存儲(chǔ)技術(shù)，實(shí)現(xiàn)日志冗余目的，解決了日志單一存儲(chǔ)丟失的問題，為事故責(zé)任鑒定提供有力依據(jù)。加密傳輸技術(shù)AUDITSEC安全審計(jì)系統(tǒng)所有組件之間采用安全連接技術(shù)，避免數(shù)據(jù)在傳輸過程中被監(jiān)聽，修改。系統(tǒng)采用3-DES算法進(jìn)行加密。另外，系統(tǒng)還采用rc2和rc4等加密算法，實(shí)現(xiàn)日志的保密處理。多進(jìn)程/線程與同步技術(shù)AUDITSEC安全審計(jì)系統(tǒng)主體采用多進(jìn)程/線程技

30、術(shù)實(shí)現(xiàn)，利用獨(dú)特的通信和數(shù)據(jù)同步技術(shù)，準(zhǔn)確控制程序行為。多進(jìn)程/線程方式邏輯處理準(zhǔn)確，事務(wù)處理不會(huì)發(fā)生干擾，這有利于保證系統(tǒng)的穩(wěn)定性、健壯性。3.4AUDITSEC安全審計(jì)系統(tǒng)功能產(chǎn)品組件AUDITSEC安全審計(jì)系統(tǒng)由命令捕獲引擎、策略服務(wù)器、日志服務(wù)器、用戶接入和集中配置服務(wù)器等五大模塊組成。各模塊之間相互關(guān)系如下圖：各模塊處理關(guān)系3.4.2細(xì)粒度策略控制功能策略采用類防火墻策略，利用正則表達(dá)式進(jìn)行模式匹配，符合通常使用習(xí)慣，支持對(duì)登陸地址、服務(wù)器地址、用戶名、操作時(shí)間、操作命令等元素進(jìn)行策略審計(jì)。策略支持“非”邏輯?？刂撇呗远x準(zhǔn)確日志查詢檢索功能AUDITSEC安全審計(jì)系統(tǒng)提供了人性化的

31、日志管理、查詢功能。管理人員可以根據(jù)：用戶命令、主機(jī)地址、主機(jī)帳號(hào)、時(shí)間范圍等多項(xiàng)條件任意組合，進(jìn)行快速、準(zhǔn)確的日志定位查詢。日志查詢菜單類操作回放審計(jì)功能AUDITSEC安全審計(jì)系統(tǒng)支持AIX操作審計(jì)，IBM、HP等服務(wù)器操作系統(tǒng)，使用自身提供的集中管理工具管理服務(wù)器，這些管理工具基于圖形菜單設(shè)計(jì)，審計(jì)“圖形”菜單操作行為，方便后期管理查詢和審計(jì)，是AUDITSEC安全審計(jì)系統(tǒng)的一大特色。密碼代填為了增加主機(jī)帳號(hào)密碼安全，AUDITSEC安全審計(jì)系統(tǒng)提供密碼代填功能。在AUDITSEC安全審計(jì)系統(tǒng)WEB控制臺(tái)上，管理員為每臺(tái)主機(jī)資產(chǎn)添加帳號(hào)與密碼。用戶通過二次跳轉(zhuǎn)的方式登錄目標(biāo)主機(jī)進(jìn)行操作，

32、只要輸入一次網(wǎng)關(guān)用戶登錄密碼，然后選擇目標(biāo)資產(chǎn)編號(hào)和賬號(hào)編號(hào)就完成目標(biāo)主機(jī)登錄任務(wù)，目標(biāo)主機(jī)帳號(hào)密碼對(duì)用戶透明有效防止主機(jī)密碼的泄漏，同時(shí)也方便了用戶操作服務(wù)器。密碼代填帳號(hào)密碼的安全管理主機(jī)賬號(hào)密碼自動(dòng)分發(fā)，自動(dòng)根據(jù)固定時(shí)間和更新周期，更新目標(biāo)主機(jī)賬號(hào)密碼，減少管理員工作量。大型異構(gòu)網(wǎng)絡(luò)，密碼管理成為管理員非常頭痛的事情。AUDITSEC安全審計(jì)系統(tǒng)可以自動(dòng)根據(jù)管理員要求，定時(shí)或者周期更改遠(yuǎn)程主機(jī)相關(guān)賬號(hào)密碼，增大密碼更新頻度，避免密碼長(zhǎng)時(shí)間不變被泄露，造成安全隱患。同時(shí)，系統(tǒng)支持密碼推送結(jié)構(gòu)郵件分發(fā)和密碼管理員WEB下載功能（需要二次身份驗(yàn)證），最新密碼副本可以安全的分發(fā)到管理員手中，避免

33、密碼丟失風(fēng)險(xiǎn)。郵件服務(wù)設(shè)置帳號(hào)動(dòng)態(tài)密碼設(shè)置3.4.8擴(kuò)展命令用戶操作服務(wù)器重復(fù)輸入某些命令的情況時(shí)有發(fā)生，AUDITSEC安全審計(jì)系統(tǒng)針對(duì)這一情況提供了擴(kuò)展命令功能，用戶如要在某臺(tái)服務(wù)器上重復(fù)執(zhí)行命令集，只需將重復(fù)執(zhí)行的命令添加到擴(kuò)展命令表中，當(dāng)用戶通過二次跳轉(zhuǎn)方式登錄目標(biāo)主機(jī)時(shí)，AUDITSEC安全審計(jì)系統(tǒng)對(duì)用戶自定義命令集進(jìn)行預(yù)處理。擴(kuò)展命令管理 FTP/SFTP文件安全傳輸為了提高安全性，在部署AUDITSEC安全審計(jì)系統(tǒng)后系統(tǒng)將斷開操作用戶與目標(biāo)服務(wù)器之間的連接，為方便服務(wù)器的維護(hù)和文件傳輸?shù)陌踩匕沧稍兺瞥鰞煞N文件傳輸方式，一種是FTP代理，一種是SFTP一站式傳輸，用戶直接將文件

34、通過AUDITSEC安全審計(jì)系統(tǒng)，將文件SFTP到目標(biāo)主機(jī)，中間沒有停留，直接到站。整個(gè)使用FTP/SFTP方式傳輸文件的過程，都會(huì)被AUDITSEC安全審計(jì)系統(tǒng)實(shí)時(shí)完整的記錄下來。FTP/SFTP審計(jì)設(shè)置圖形操作審計(jì)針對(duì)圖形終端的遠(yuǎn)程操作，AUDITSEC安全審計(jì)系統(tǒng)推出特有的圖形操作審計(jì)功能。用戶對(duì)Windows、Unix服務(wù)器的遠(yuǎn)程桌面操作全部集中登陸到AUDITSEC安全審計(jì)系統(tǒng)上，再通過二次跳轉(zhuǎn)的方式對(duì)服務(wù)器進(jìn)行遠(yuǎn)程操作，系統(tǒng)將根據(jù)用戶的權(quán)限分配給用戶可訪問的資源，實(shí)現(xiàn)用戶遠(yuǎn)程桌面操作強(qiáng)審計(jì)，且審計(jì)結(jié)果不可更改、不可杜撰。用戶使用柏安咨詢RDP審計(jì)客戶端連接AUDITSEC安全審計(jì)系

35、統(tǒng)進(jìn)行圖形操作日志下載、播放，日志播放支持快進(jìn)、暫停、播放點(diǎn)定位等功能，方便管理員追溯關(guān)鍵操作。 AUDITSEC安全審計(jì)系統(tǒng)支持圖形界面操作審計(jì)包括：RDP、X-WINDOW、VNCRDP日志播放X-WINDOW日志播放操作“現(xiàn)場(chǎng)回放”服務(wù)器操作WEB播放功能可再現(xiàn)用戶操作全過程，專門用來即時(shí)監(jiān)控用戶在服務(wù)器上操作行為，讓管理員可以實(shí)時(shí)察看用戶執(zhí)行的命令、命令結(jié)果等。可以用來監(jiān)控第三方維護(hù)人員、普通用戶在服務(wù)器、網(wǎng)關(guān)等設(shè)備上的操作，及時(shí)發(fā)現(xiàn)、阻斷非法用戶和授權(quán)用戶的惡意操作行為。用戶操作WEB播放WEB播放需要JAVA運(yùn)行環(huán)境的支持。7數(shù)據(jù)庫(kù)的安全審計(jì)運(yùn)維和開發(fā)客戶終端PC機(jī)，本身不需要安裝

36、SQL LUS、PL/SQL、OEMC(oracle enterprise management console)的oracle客戶端軟件，也可以實(shí)現(xiàn)遠(yuǎn)程的通過IE瀏覽器，調(diào)用安全審計(jì)平臺(tái)上的QL LUS、PL/SQL、OEMC(oracle enterprise management console) oracle客戶端軟件。用戶通過自然人賬號(hào)，登錄Portal之后，選擇安全審計(jì)平臺(tái)上，自動(dòng)賬號(hào)和密碼，用戶可以自動(dòng)登錄到審計(jì)平臺(tái)上，然后出現(xiàn)該用戶所能夠訪問的服務(wù)器和設(shè)備列表，用戶選擇其中之一，例如：選擇了Oralce主機(jī)+IP,采用PL/SQL客戶端登錄oracle服務(wù)器，點(diǎn)擊之后，可以自動(dòng)登錄oracle服務(wù)器上，然后在oracle的操作行為，都被記錄下來，記錄的格式有錄