网镜认证审计系统功能列表.doc

网镜业务认证审计系统 产品功能列表 四川赛贝卡信息技术有限公司 2008年1月目 录 1. 多种认证手段 3 1.1 基于CA证书的身份认证机制； 3 1.2 基于短信动态口令的身份认证机制 3 1.3 基于IP地址或IP子网的身份认证机制 3 2. 多种审计手段 3 2.1 对主机的操作审计 4 2.2 对数据库的操作审计 4 2.3 收集主机日志 4 3. 多种匹配规则制定 4 3.1 字符串匹配方式 4 3.2 操作采样 5 3.3 简单操作 5 3.4 正则表达式 5 3.5 SQL表达式 5 4. 多种访问控制手段 5 4.1 根据匹配规则进行控制 5 4.2 客户程序限制 6 4.3 系统身份限制 6 5. 多种报警方式 6 5.1 声光报警 6 5.2 短信报警 6 5.3 通过syslog报警 6 6. 实时状态监控 7 6.1 当前认证用户登陆情况 7 6.2 当前TCP会话监控 7 7. 多种审计数据过滤手段 7 7.1 根据IP地址或IP地址网段过滤 8 7.2 根据网镜认证用户过滤 8 7.3 根据上下行数据过滤 8 7.4 根据匹配规则过滤 8 7.5 根据系统身份过滤 8 8. 多种审计查询手段 8 8.1 会话查询 8 8.2 命令查询 9 8.3 审计查询 9 8.4 用户登陆查询 9 9. 管理日志 9 10. 性能监控 9 11. 审计数据备份以及删除 10 11.1 备份到本地文件 10 11.2 备份到数据分析服务器 10 12. 多种审计报告输出 10 提示：此功能说明适用网镜业务认证审计系统网镜-Sensor version 3.7, 网镜- Server version 40, 网镜- Console version 5.2.4, 网镜-DBserver version 1.0 多种认证手段 身份认证是系统安全中最基本、也是最重要的一个环节。 一般的网络设备、主机系统、业务系统都提供了“UserName+Password”的身份认证机制，然而，这种身份认证机制的安全性越来越受到置疑和挑战，网镜系统在不修改原系统任何软件或硬件配置的基础上，提供了额外的、安全强度更高的二次身份认证机制。 目前可选择的认证方式包括： 基于CA证书的身份认证机制； 为用户产生一个基于X.509标准的CA证书，之后将CA证书写入USB令牌中并发放给用户（硬令牌），或将CA数字证书直接分发给用户（软令牌）。 基于短信动态口令的身份认证机制 在这种情况下，需要用户提供相应的短信传输接口，并进行一定的客户化定制开发。当用户需要访问被保护的信息时，网镜Agent会向用户的手机发送随机的动态密码。 基于IP地址或IP子网的身份认证机制 在这种情况下，只需要用户提供需要认证的IP地址或IP网段，在网镜系统上进行简单的设置之后，被保护的信息只能被这些特定IP地址或IP地址网段所访问。 多种审计手段 网镜业务认证审计系统基于“IP数据俘获→强身份认证→应用层数据分析→审计和响应” 的模式提供各项安全功能。 对主机的操作审计 针对明文的远程操作审计 网镜业务认证审计系统支持以明文形式进行数据传输的远程访问。如Telnet，Ftp，Rlogin。 针对密文的远程操作审计 网镜系统能够支持以密文形式的进行数据传输的远程访问的操作审计。如ssh，windows3389协议等。此类操作审计需加装跳转服务器。 对数据库的操作审计 网镜业务认证审计系统支持SQL-92命令集及其对不同类型的数据库、不同版本的数据库的SQL语句的扩展，支持诸如查询（Select）、插入（Insert）、删除（Delete）、创建（Create）等SQL命令以及存储过程的执行进行审计和分析。 网镜业务认证审计系统可以根据基本SQL命令和存储过程进行组合，形成一个有实际意义的访问过程，并对其进行显示和查询；可以对指定用户、指定时间段内的整个登录、操作、退出的完整访问过程进行还原、查看和分析。 收集主机日志 网镜系统开放UDP514端口，能够收集标准格式的syslog主机日志。并在网镜控制台统一呈现。 多种匹配规则制定 匹配规则是针对某种服务（器）设定的一系列操作规则，网镜业务认证审计系统提供了专门的策略和规则定义模块，使得用户可以自行设定和调整各种安全审计及访问控制的策略。 字符串匹配方式 字符串匹配方式是指由用户输入所有的匹配代码，网镜系统根据输入的匹配代码与IP报的内容进行一对一的检查，只有完整地包含了匹配代码的IP报才可能触发网镜系统的审计或访问控制功能。字符串匹配方式适合于针对操作内容比较简单、规律性较强的应用，如FTP、SQL等。 操作采样 在某些情况下，用户可能不是很了解业务的操作特征，针对这种情况，通过采样俘获的IP报，提取特征码来定义用户