冰之眼安全审计系统在企业中的应用.pptVIP

关键字 关键字的类型 常规关键字 正则表达式：regex_ 16进制关键字：hex_ 关键字的匹配原则 关键字的设置 关键字字段 关键字列表文件 第二十八页，共四十六页。 高级功能：协议还原 系统支持对若干重要对象提供协议还原功能， 支持的对象包括： 第二十九页，共四十六页。 例子1 第三十页，共四十六页。 例子2 实时论坛发帖记录 发帖内容全面还原 第三十一页，共四十六页。 协议还原配置方法 在内容审计规则上配置协议还原 审计对象支持协议还原时才会出现相关选项 组对象与多选对象不支持协议还原 第三十二页，共四十六页。 还原信息查看方法 Web界面 在事件报表中进行查看 带有还原信息的事件以粗体显示 事件摘要中包含还原文件的链接 第三十三页，共四十六页。 还原信息查看方法 安全中心 在日志分析中进行查看 在系统-系统设置-协议还原文件接收设置 可以进行内容管理事件协议还原文件的接收设置，包括帐号、密码和协议还原文件的存放目录。 第三十四页，共四十六页。 还原信息查看方法 还原文件的格式 HTTP协议 还原文件为html格式 可以直接在浏览器中查看 SMTPPOP3协议 还原文件为eml格式 可以保存到本地后双击查看 TelnetFTP协议 还原文件为txt格式 可以直接在浏览器中查看 第三十五页，共四十六页。 还原信息同步 还原信息通过FTP同步到安全中心 需要在引擎上配置同步信息 服务器地址 用户名 密码 同步时间 需要在安全中心上配置FTP服务器 同步用户的根目录需设置到安全中心的安装目录 第三十六页，共四十六页。 第三十七页，共四十六页。 ? 2010 绿盟科技 冰之眼安全审计系统 ——日常使用、配置相关 第一页，共四十六页。 审计系统SAS常见维护 4 审计系统SAS上线配置 2 审计系统SAS简介 1 审计策略配置 3 第二页，共四十六页。 SAS 产品简介 第三页，共四十六页。 本资料来源 第四页，共四十六页。 国家颁布的安全等级保护技术要求，在确立为第二级（指导保护级）以及以上级的信息系统中必须建立并保存下面的各种访问日志 明确要求互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态，监测互联网安全事件 在美国上市公司必须遵循的“萨班斯(SOX)法案” 中要求对企业内部网络信息系统进行评估，其中涉及对业务系统操作、数据库访问等业务行为的审计 面临的主要问题 等级保护 萨班斯法案 公安部82号令 第五页，共四十六页。 绿盟科技安全审计 第六页，共四十六页。 产品功能示意 第七页，共四十六页。 部署示意 第八页，共四十六页。 产品架构 网络引擎 安全中心/WEB控制台 升级站点 第九页，共四十六页。 产品上线配置 第十页，共四十六页。 冰之眼SAS配置-Web登录 端口默认的IP地址为192.168.端口号.1/24 Web登录：（默认用户/密码：webadmin/webadmin) 第十一页，共四十六页。 冰之眼SAS配置-导入证书 证书（License） 控制系统工作模式 控制有效工作口数 控制正常升级期限 导入 解压证书文件 导入sensor文件夹中文件即可 按照提示操作(重启引擎)，生效 第十二页，共四十六页。 配置设备管理地址 修改对应接口的IP即可 对应安全区为【带外管理】 配置管理地址对应的网关（可省略） 配置监听口的安全区 对应安全区为【监听】 冰之眼SAS配置-配置网络接口 例如上图中ETH1为审计数据口，ETH0为设备管理口 第十三页，共四十六页。 冰之眼SAS配置-系统控制 策略配置生效 网络配置更改生效 通过系统控制，将配置更改生效 应用配置：策略配置生效 重启引擎：网络接口配置生效，有瞬断现象 第十四页，共四十六页。 安全中心：设备统一管理+日志分析 安全中心的安装 确认没有安装IIS、apache 和postgresql 应用服务，如果已安装必须先卸载或者进行特殊配置 安装的硬盘分区格式必须是NTFS 双击setup.exe文件进行安装 安装完毕可以通过双击桌面图标和浏览器远程访问（地址）2种方式，用账号admin/admin登录 冰之眼SAS配置-安全中心 第十五页，共四十六页。 安全中心配置：冰之眼管理 添加需要管理的SAS引擎 第十六页，共四十六页。 引擎配置安全中心地址，完成数据日志发送 本机地址：SAS的管理地址 主安全中心地址：安全中心服务器地址 一号安全中心地址：安全中心服务器地址 冰之眼SAS配置-管理配置 第十七页，共四十六页。 小结 网络接口分配(如：eth0管理，eth2 监听) 探测器的安装：浏览器进行初始配置 登录：webadmin/webadmin sensor证书导入：系统-〉证书