网镜业务认证审计系统介绍(其它)V1.pptVIP

网镜业务认证审计系统产品介绍 四川赛贝卡信息技术有限公司 产品定位与设计思路 定位： 为大型行业，尤其是电信行业的信息系统的运维管理提供技术支撑 设计思路： 工作模式及安全功能的实现，应尽量减少对目标系统的扰动 安全系统，尤其是审计系统，应该与具体的行业需求、行业应用相结合，系统必须具备很好的开放性、可定制性 大多数信息系统均具备日志功能；网镜系统提供的信息应该超越日志所提供的信息 审计不只是简单的数据收集和罗列，而应该进行有效的组织、分析，并提供多层次的报表 网镜系统主要功能 认证：对访问提供额外的强身份认证 无需修改原系统，即可实现跨平台的强身份认证 根据身份认证结果进行审计和令级、应用级访问控制 审计：多种审计/查询手段和审计报告，迅速定位安全事故点 对系统维护进行命令级操作审计，支持FTP、Telnet、rlogin、RCP等常用的系统维护协议 对数据库操作和维护进行命令级操作审计，基于SQL-92/99及扩展进行审计，支持Oracle、Sybase、Informix、DB2、SQL Server、MySQL 对业务系统及其它TCP/IP通信进行审计，如BOSS、BI等 访问控制：命令级的细粒度控制，预防安全事件的发生 实时监控、解析网络通信，发现越权操作时，采取审计记录、告警、实时阻断等多种控制措施 按需定制的报表；根据历史统计信息对运行进行监控报警 用户可根据需要设定报表输出的内容、时间段、周期等 基于历史数据的分析，对系统运行状态进行实时监控；当发现不正常的情况时，及时向系统管理员告警 对关键操作的访问次数、访问人员等进行统计 网镜系统体系结构 网络 后台主机 网镜-Agent认证代理安装于前台操作 终端上，提供对USB认证令牌的支持 网镜-Sensor嗅探器挂接在交换机的 像端口上，俘获并解析通信数据，根 据安全策略采用相应的动作：允许、 审计或阻断通信 网镜-Server认证审计服务器安装于网 络中，实现访问用户的身份认证、审 计信息的存储、整理 网镜-Console管理控制台安装于网络 中，提供管理操作界面、审计查询、 审计报表输出等； 网镜-Alarm报警接收器安装于网络 中，接收审计报警信息 主要用途（一） 供应商人员网络行为安全管理：众多的供应商，大量的服务外包，引入了诸多的安全隐患 盗用、滥用系统账号，恶意的越权访问 非法查询、甚至修改客户的通话信息、计费信息 拷贝核心经营信息，如竞争对手分析、内部经营策略、内部营销数据等，以牟取个人利益 误操作 Delete ：删除核心文件，如BOSS系统中的计费数据文件 Shutdown：不正确的关机，造成系统中断 Kill：杀死关键进程，造成服务中断 还有其它看似普通，但却可能造成恶劣后的命令或操作，如“route－修改主机路由表”，数据库中的”Select all－全部查询“，可能造成大量消耗主机资源，造成运行效率极其底下 对于没有审计和控制的系统而言，这些操作几乎就是“一念之差”：或者是有意的，或者无意的（忙晕了！） 主要用途（二） 系统维护管理 违反企业安全操作规范 不按流程开通、设置系统账号 不及时检查、清除过期临时账号 无法按需求分配账号权限 Unix系统、数据库系统本身的授权机制并不是按照特点用户需求设置的 例如：对某个维护人员赋予“root”权限，只是希望他对“XX软件”进行维护，并不希望他以root权限对其它文件、其它目录，或其它资源进行配置 然而，在Unix系统中，root意味着可以进行一切操作！！ 不恰当地设置安全策略 图方便，将所有人的权限都设置成“root”，而不是按规定，根据操作的需要分配权限 业务操作监控、管理和评估 难以直观地了解业务系统的运行情况、使用情况 主要用途（三） 预测和报警 运维人员面临的问题是：往往是最后知道系统故障的人。 如果能尽早预测到系统性能波动，可以提前采取响应措施；即使系统出现致命问题，甚至服务中断，运维人员也可第一时间获悉，争取宝贵的时间 故障分析和诊断 缺乏数据库系统、业务系统的分析诊断工具，在出现故障后，往往是盲目的猜测，无法准确地定位问题发生的原因 对系统缺乏直观、整体的了解 系统的维护情况：某些关键操作、关键资源的执行情况 系统运行情况：访问量、业务流量、业务访问的分布、数据库系统的访问分布等 身份认证和关联审计、控制 保证只有授权的认证用户才可登录到被保护的网段、主机或业务系统 网镜-Console控制台向用户颁发CA证书，存储到USB令牌，或一个加密文件 访问被保护资源时，需要向网镜-Sensor提交CA证书（USB令牌或证书文件） 网镜-Sensor完成身份认证后，开放相应的访问权限；并根据针对该用户设定的策略进行应用级的审计或控制 网镜系统提供了第三方认证的方法和接口，支持第三方