冰之眼安全审计系统——日常使用、配置相关.ppt

业务操作命令审计 业务操作审计 默认对FTP/TELNET 操作进行审计 策略包含审计对象如下所示： 其他审计要求：资源滥用 对使用网络的行为进行审计 ANY_在线视频 ANY_在线游戏 ANY_IM聊天 ANY_股票软件 关键字 关键字的类型 常规关键字 正则表达式：regex_ 16进制关键字：hex_ 关键字的匹配原则 关键字的设置 关键字字段 关键字列表文件 高级功能：协议还原 系统支持对若干重要对象提供协议还原功能， 支持的对象包括： 例子1 例子2 协议还原配置方法 在内容审计规则上配置协议还原 审计对象支持协议还原时才会出现相关选项 组对象与多选对象不支持协议还原 还原信息查看方法 Web界面 在事件报表中进行查看 带有还原信息的事件以粗体显示 事件摘要中包含还原文件的链接 还原信息查看方法 安全中心 在日志分析中进行查看 在系统-系统设置-协议还原文件接收设置 可以进行内容管理事件协议还原文件的接收设置，包括帐号、密码和协议还原文件的存放目录。 还原信息查看方法 还原文件的格式 HTTP协议 还原文件为html格式 可以直接在浏览器中查看 SMTPPOP3协议 还原文件为eml格式 可以保存到本地后双击查看 TelnetFTP协议 还原文件为txt格式 可以直接在浏览器中查看 还原信息同步 还原信息通过FTP同步到安全中心 需要在引擎上配置同步信息 服务器地址 用户名 密码 同步时间 需要在安全中心上配置FTP服务器 同步用户的根目录需设置到安全中心的安装目录 常见维护 安全中心之 日志分析 日志查询 报表 日志维护 日志分析 安全中心之： 日志分析 日志查询 报表 日志维护 日志分析 安全中心之： 日志分析 日志查询 报表 日志维护 备份 恢复 清除 自动备份 日志分析 升级相关 设备升级 访问/，即可获取最新的升级文件 登陆设备web管理界面，系统-升级恢复 中导入 升级相关 安全中心在线升级 可以在 系统?系统设置?自动升级设置 里进行设置 升级相关 安全中心离线升级 访问/，即可获取最新的升级文件 在安全中心上导入 * * * * 通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位，为整体网络安全策略的制定提供权威可靠的支持。 * 冰之眼安全中心具有系统监控和日志管理功能，可以集中管理多台网络引擎；并可以实现安全中心的主辅管理；支持任意层次的级联部署，实现多级管理，满足不同管理模式的需要；同时可以统一管理冰之眼安全审计系统、内容安全管理系统、入侵检测系统、入侵保护系统，提供针对网络正常行为和异常行为的全面行为检测手段，实现安全数据的整体挖掘、关联分析管理； 冰之眼WEB控制台具有系统配置管理、系统监控和日志管理功能，适合在任何IP可达地点远程管理。 网络引擎采用协议识别、特征检测和智能关联分析技术，全面监测网络数据包，及时发现违反安全策略的事件并实时告警记录； 升级站点提供产品补丁、URL分类数据库、网络应用协议数据库等及时升级更新支持。 * * * * ? 2010 绿盟科技 审计系统SAS常见维护 4 审计系统SAS上线配置 2 审计系统SAS简介 1 审计策略配置 3 SAS 产品简介 面临的主要问题 国家颁布的安全等级保护技术要求，在确立为第二级（指导保护级）以及以上级的信息系统中必须建立并保存下面的各种访问日志 明确要求互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态，监测互联网安全事件 在美国上市公司必须遵循的“萨班斯(SOX)法案” 中要求对企业内部网络信息系统进行评估，其中涉及对业务系统操作、数据库访问等业务行为的审计 绿盟科技安全审计 产品功能示意 部署示意 产品架构 网络引擎 安全中心/WEB控制台 升级站点 产品上线配置 冰之眼SAS配置-Web登录 端口默认的IP地址为192.168.端口号.1/24 Web登录：https://192.168.x.1（默认用户/密码：webadmin/webadmin) 冰之眼SAS配置-导入证书 证书（License） 控制系统工作模式 控制有效工作口数 控制正常升级期限 导入 解压证书文件 导入sensor文件夹中文件即可 按照提示操作(重启引擎)，生效 冰之眼SAS配置-配置网络接口 配置设备管理地址 修改对应接口的IP即可 对应安全区为【带外管理】 配置管理地址对应的网关（可省略） 配置监听口的安全区 对应安全区为【监听】 例如上图中ETH1为审计数据口，E