天玥网络安全审计系统技术方案.docVIP

XXXXX项目 网络安全审计部分 技术建议书 北京启明星辰信息技术有限公司 Venus Information Technology(Beijing) 二零一一年四月 目 次 1. 综述 1 2. 审计系统设计方案 2 2.1. 设计方案及系统配置 4 2.2. 主要功能介绍 5 2.2.1. 数据库审计 5 2.2.2. 网络运维审计 6 2.2.3. OA审计 7 2.2.4. 数据库响应时间及返回码的审计 7 2.2.5. 业务系统三层关联 7 2.2.6. 合规性规则和响应 8 2.2.7. 审计报告输出 10 2.2.8. 自身管理 11 2.2.9. 系统安全性设计 11 2.3. 负面影响评价 12 2.4. 交换机性能影响评价 13 3. 资质证书 14 综述 随着信息技术的发展，XXX已经建立了比较完善的信息系统，具有网络规模大、用户数多、系统全而复杂等特点。IT建设的核心任务是运用现代信息技术为企业整体发展战略的实现提供支撑平台并起到推动作用。信息安全作为IT建设的组成部分，核心任务是综合运用技术、管理等手段，保障企业IT系统的信息安全，保证业务的连续性。信息安全是XXX正常业务运营与发展的基础；是保证国家利益的基础；是保障用户利益的基础。 根据国家的相关规范的指导意见，我们根据对XXX信息系统具体需求的分析，在对XXXXX进行安全建设时，我们所遵循的根本原则是： 1、业务保障原则：安全建设的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。 2、结构简化原则：安全建设的直接目的和效果是要将整个网络变得更加安全，简单的网络结构便于整个安全防护体系的管理、执行和维护。 3、生命周期原则：安全建设不仅仅要考虑静态设计，还要考虑不断的变化；系统应具备适度的灵活性和扩展性。  审计系统设计方案 结合以上原则，在审计系统的选择上，主要从以下7个方面进行考虑： 实用性 可靠性：审计系统应能提供足够的存储空间（1000G以上），满足在线存储至少6个月的要求；审计系统应能够保证审计记录的时间的一致性，避免错误时间记录给追踪溯源带来的影响。 安全性：分权限管理，具有权限管理功能，可以对用户分级，提供不同的操作权 限和不同的网络数据操作范围限制，用户只能在其权限内对网络数据进行审计和相关操作，具有自身安全审计功能。 基于上述的情况，我公司提出了以天玥网络安全审计系统为核心，建设XXXXX审计方面的设计方案。 下面首先对天玥系统的基本工作原理进行简单的介绍。 天玥网络安全审计系统基于“IP数据俘获→应用层数据分析→审计和响应”实现各项功能，设计中充分贯彻了平台化的思路；由于采用旁路接入的工作模式，使得天玥系统在实现各种安全功能的同时，对原系统的绕动和影响降到最低。 天玥网络安全审计系统主要实现以下安全功能： 针对不同的应用协议，提供基于应用操作的审计； 提供数据库操作语义解析审计，实现对违规行为的及时监视和告警； 提供上百种合规规则，支持自定义规则（正则表达式等），实现灵活多样的响应； 提供基于硬件令牌、静态口令、Radius支持的强身份认证； 根据设定输出不同的安全审计报告；  设计方案及系统配置 核心数据库Oracle系统通过主备方式接入网络，设计采用配置一台天玥审计数据中心，一台天玥旁路审计引擎，一台天玥在线审计引擎。具体部署如下图所示： 天玥系统部署图 天玥审计数据中心: 部署一台天玥审计数据中心，该服务器具备一个2T的内置RAID5存储器，对天玥网络审计引擎进行管理和控制，实现对审计数据的存储和分析。天玥审计数据中心的管理端口需要接入网络中，并分配一个合法的IP地址，以接收天玥管理控制台的管理。天玥审计数据中心的“管理端口”需要通过网络方式与天玥网络审计引擎的“管理端口”进行连接。 天玥旁路审计引擎: 部署一台天玥网络审计引擎对核心交换机上的Oracle流量进行监控和审计。天玥网络审计引擎配置两个信息监听端口，该端口需要连接到被监控交换机的“镜像目的端口”上，以获取原始的通信信息，从而实现各种审计和控制功能。天玥网络审计引擎需要设置一个“管理端口”，这个端口需要接入网络，并分配一个合法的IP地址，以接收天玥管理控制台的管理。 天玥在线审计引擎：部署一台天玥旁路审计引擎，实现对运维区域的各种运维操作进行监控、审计和阻断，该引擎自带Bypass支持，通常采用透明方式进行接入，对服务器端和终端用户无影响。 天玥管理控制台:在网络中的任何一台Windows计算机上采用浏览器进行管理。 在本方案中同时部署了旁路审计引擎与在线审计引擎，这是因为这两种引擎属于互补关系，旁路审计引擎解决了在线审计引擎被绕过的风险，在线审计引擎解决了旁路引擎无法实现加密协议审计和事前阻