【财务管理内部审计 】网镜认证审计系统白皮书.docVIP

PAGE 1 目录 1.体系结构及系统构成 2 1.1 网镜-CONSOLE 控制台 4 1.2 网镜-SERVER 审计服务器 4 1.3 网镜-SENSOR 嗅探器 5 1.4 网镜-AGENT 认证代理 5 1.5 策略库（PL）6 2.主要效用及特点 6 2.1 集中管理的强身份认证 7 2.2 审计及响应 8 2.3 系统性能监控和辅助故障分析 9 2.4 多种审计报告输出 11 2.5 历史分析及安全趋势预测 12 2.6 集中统一的安全管理 13 3.策略库 13 3.1 数据库审计及响应（DB PL）13 3.2 FTP/TELNET 审计及响应（MANAGEMENT PL）14 3.3 SSH 契约审计及响应（网镜-PROXY/UNIXTERM）15 3.4 远程桌面终端（RDP）操作审计 16 4.典型应用及成功案例 16 4.1 中小网络应用 16 4.2 大型网络应用 17 1. 体系结构及系统构成 网镜业务认证审计系统集认证、授权、安全响应和安全审计为一体,为计算机系统提 供了一个统一、集中的授权、访问控制和审计平台。典型的系统配置和部署如下图所示。 网镜系统典型配置 安全风险往往出现在“不同”之中,出现在“设想”之外。 网镜业务认证审计系统从多角度显示系统在怎样的运行、后一时刻与前一时刻的运行 有何不同,系统的实际运行状况与设计（或设想）的运行模式有何不同,并针对这些不同 作出恰当的响应。 网镜业务认证审计系统基于“IP 数据俘获→强身份认证→应用层数据分析→审计和响应” 实现各项效用,设计中充分贯彻了平台化的思路,使得它具备“安全认证和审计工具”的特 征,与基于日志收集的审计系统有着很大的区别。 基于日志收集的审计系统将原系统中的日志信息收集起来,综合形成审计报告,审计 效用受限于原系统的日志效用和访问控制效用,在审计深度、审计响应的实时性方面都难 以获得很好的审计效果。 在基本安全效用的基础上,网镜业务认证审计系统可针对具体的应用需求,如 FTP/Telnet 系统维护操作、SQL 数据库维护操作,制定应用级别的认证和审计策略,使 得系统能针对具体的应用或业务系统实现命令级别、访问逻辑级别的的认证和审计。如果 再辅以专业安全服务商提供的安全咨询和服务,网镜业务认证审计系统可以更及时、准确 地反映系统的安全运行状况,并进行相应的控制。 网镜业务认证审计系统主要实现以下安全效用： 1. 强身份认证和访问控制：基于 CA 数字证书或一次性动态口令对访问者进行身份 认证,之后根据经认证的身份实现访问控制,禁止非法用户访问被保护的信息。 2. 应用级的安全审计和响应：特有的“策略库（ApplicationPolicyLibrary）”可以深入 到应用层契约（如操作命令、业务操作过程）实现详细的安全审计,并根据安全 策略采取诸如记录、审计、告警、阻断等响应。 3. 提供多视角的审计报告：根据实时记录的网络访问情况,提供多种安全审计报告, 更清晰地了解系统的使用情况以及安全事件的发生情况,并可根据这些安全审计 报告进一步修改和完善“策略库（ApplicationPolicyLibrary）”。 ? ? ? 网镜-Console 管理控制台：安装于 Windows2000 操作系统之上,提供管理控制 界面。 网镜-Server 认证审计服务器：基于专门硬件构建,负责安全策略的生成、解释、 管理,审计数据的记录和整理。 网镜-Sensor 嗅探器：基于专门硬件构建,根据安全策略对俘获的数据进行比对、 分析,并做出响应动作,如告警、阻断等。 ? ? 网镜-Agent 认证代理：安装于客户端计算机之上,配合网镜-Sensor 完成用户的 强身份认证。 网镜-PL（PolicyLibrary）策略库：针对不同的应用契约、应用（业务）系统提 供状命令级的安全策略支持。是网镜系统中最具特色、最具价值的模块。 网镜系统独具特色的“策略库（PolicyLibrary）”设计,使得网镜系统不但具备了效用强 大的安全审计效用,更使得网镜系统具备了网络安全分析工具及“应用层 IDS”的特征。用 户可以自己定义符合业务特征的“策略库”,也可选用针对特定业务系统设计的“策略库”。 网镜系统的策略库分为两类：基础策略库,和针对具体应用、具体业务的策略库。 基础策略库（BasicPL）提供了基于 IP 报的安全策略的制定效用。用户可以直接编 辑安全策略,也可利用网镜系统提供的“录制”效用,在俘获的 IP 报的基础上,提炼出符 合需要的安全策略。 应用策略库则针对不同的通信契约、业务系统进行设计,目前提供了数据库（DB） 策略库（PL/DB）、Unix 主机策略库（PL/UMG）,并提供了专门的模块,以支持 SSH 协 议和远程桌面终端