财务内部审计网镜认证审计系统白皮书.docx
- 文档编号:1144643
- 上传时间:2022-10-17
- 格式:DOCX
- 页数:17
- 大小:239.14KB
财务内部审计网镜认证审计系统白皮书.docx
《财务内部审计网镜认证审计系统白皮书.docx》由会员分享,可在线阅读,更多相关《财务内部审计网镜认证审计系统白皮书.docx(17页珍藏版)》请在冰豆网上搜索。
财务内部审计网镜认证审计系统白皮书
(财务内部审计)网镜认证审计系统白皮书
网镜业务认证审计系统
产品白皮书
(2007年9月修订)
四川赛贝卡信息技术有限公司
2007年
1.体系结构及系统构成2
1.1网镜-Console控制台4
1.2网镜-Server审计服务器4
1.3网镜-Sensor嗅探器5
1.4网镜-Agent认证代理5
1.5策略库(PL)6
2.主要功能及特点6
2.1集中管理的强身份认证7
2.2审计及响应8
2.3系统性能监控和辅助故障分析9
2.4多种审计报告输出11
2.5历史分析及安全趋势预测12
2.6集中统一的安全管理13
3.策略库13
3.1数据库审计及响应(DBPL)13
3.2FTP/Telnet审计及响应(ManagementPL)14
3.3SSH协议审计及响应(网镜-Proxy/UnixTerm)15
3.4远程桌面终端(RDP)操作审计16
4.典型应用及成功案例16
4.1中小网络应用16
4.2大型网络应用17
1.体系结构及系统构成
网镜业务认证审计系统集认证、授权、安全响应和安全审计为一体,为计算机系统提供了一个统一、集中的授权、访问控制和审计平台。
典型的系统配置和部署如下图所示。
网镜系统典型配置
安全风险往往出现在“不同”之中,出现在“设想”之外。
网镜业务认证审计系统从多角度显示系统在怎样的运行、后一时刻与前一时刻的运行有何不同,系统的实际运行状况与设计(或设想)的运行模式有何不同,并针对这些不同作出恰当的响应。
网镜业务认证审计系统基于“IP数据俘获→强身份认证→应用层数据分析→审计和响应”实现各项功能,设计中充分贯彻了平台化的思路,使得它具备“安全认证和审计工具”的特征,与基于日志收集的审计系统有着很大的区别。
基于日志收集的审计系统将原系统中的日志信息收集起来,综合形成审计报告,审计功能受限于原系统的日志功能和访问控制功能,在审计深度、审计响应的实时性方面都难以获得很好的审计效果。
在基本安全功能的基础上,网镜业务认证审计系统可针对具体的应用需求,如FTP/Telnet系统维护操作、SQL数据库维护操作,制定应用级别的认证和审计策略,使得系统能针对具体的应用或业务系统实现命令级别、访问逻辑级别的的认证和审计。
如果再辅以专业安全服务商提供的安全咨询和服务,网镜业务认证审计系统可以更及时、准确地反映系统的安全运行状况,并进行相应的控制。
网镜业务认证审计系统主要实现以下安全功能:
1.强身份认证和访问控制:
基于CA数字证书或一次性动态口令对访问者进行身份认证,之后根据经认证的身份实现访问控制,禁止非法用户访问被保护的信息。
2.应用级的安全审计和响应:
特有的“策略库(ApplicationPolicyLibrary)”可以深入到应用层协议(如操作命令、业务操作过程)实现详细的安全审计,并根据安全策略采取诸如记录、审计、告警、阻断等响应。
3.提供多视角的审计报告:
根据实时记录的网络访问情况,提供多种安全审计报告,更清晰地了解系统的使用情况以及安全事件的发生情况,并可根据这些安全审计报告进一步修改和完善“策略库(ApplicationPolicyLibrary)”。
Ø网镜-Console管理控制台:
安装于Windows2000操作系统之上,提供管理控制界面。
Ø网镜-Server认证审计服务器:
基于专门硬件构建,负责安全策略的生成、解释、管理,审计数据的记录和整理。
Ø网镜-Sensor嗅探器:
基于专门硬件构建,根据安全策略对俘获的数据进行比对、分析,并做出响应动作,如告警、阻断等。
Ø网镜-Agent认证代理:
安装于客户端计算机之上,配合网镜-Sensor完成用户的强身份认证。
Ø网镜-PL(PolicyLibrary)策略库:
针对不同的应用协议、应用(业务)系统提供状命令级的安全策略支持。
是网镜系统中最具特色、最具价值的模块。
网镜系统独具特色的“策略库(PolicyLibrary)”设计,使得网镜系统不但具备了功能强大的安全审计功能,更使得网镜系统具备了网络安全分析工具及“应用层IDS”的特征。
用户可以自己定义符合业务特征的“策略库”,也可选用针对特定业务系统设计的“策略库”。
网镜系统的策略库分为两类:
基础策略库,和针对具体应用、具体业务的策略库。
基础策略库(BasicPL)提供了基于IP报的安全策略的制定功能。
用户可以直接编辑安全策略,也可利用网镜系统提供的“录制”功能,在俘获的IP报的基础上,提炼出符合需要的安全策略。
应用策略库则针对不同的通信协议、业务系统进行设计,目前提供了数据库(DB)策略库(PL/DB)、Unix主机策略库(PL/UMG),并提供了专门的模块,以支持SSH协议和远程桌面终端登录(RDP、3389协议)的审计。
针对不同协议或业务系统的应用“策略库(PolicyLibrary)”使得用户可以灵活地制定数据俘获、安全审计及响应策略,根据系统实际的运行情况输出恰当的审计报告,更全面、更有重点地了解和掌握系统的运行状况。
随着研发工作的不断深入,我们还会根据不同的应用协议或应用系统开发出具备应用特征、行业特征的“策略库(PolicyLibrary)”。
这也是网镜系统最具生命力的特点:
随着网镜系统的应用和“策略库(ApplicationPolicyLibrary)”的及时更新,网镜系统所提供的功能将越来越丰富、越来越接近用户的实际使用需求。
网镜-Console控制台
网镜-Console控制台提供了一个图形化的管理、使用、和维护的界面。
通过网镜-Console控制台制定的各种访问控制和安全审计策略将自动下载到网镜-Server执行;访问控制和安全审计结果通过网镜-Server收集后,按照用户设定的输出内容、输出方式通过网镜-Console形成最终的安全审计报告。
网镜-Console控制台支持Windows2000/2003/XP操作系统,一个系统中可以配置多个网镜-Console控制台。
网镜-Server审计服务器
网镜-Server审计服务器是整个认证审计系统的核心部件,向上接受网镜-Console管理控制台制定的各种安全策略,并将这些安全策略贯彻到网镜-Sensor嗅探器、网镜-Agent;向下接收由网镜-Sensor嗅探器获取的原始通信数据并写入数据库,形成审计报告后提供给网镜-Console管理控制台。
网镜-Server审计服务器基于赛贝卡自行设计的硬件平台构建,目前有两种型号的产品。
型号
网镜-Server/M
网镜-Server/H
使用环境
大、中型网络
大型网络
管理会话数
4.5万个
9万个
以太网接口
10/100M×2;100/1000M×2
10/100M×2;100/1000M×2
存储器
标配1.5TRaid0/5,最高2.0T
标配2.0TRaid0/5,最高3.2T
外观
2U×19英尺标准机箱
2U×19英尺标准机箱
供电
标配单~220V,可选配冗余~220V
热备功能
支持
MTBF
45,000小时
60,000小时
一台网镜-Server认证审计服务器可以同时对多个网镜-Sensor嗅探器进行管理并存储和整理由这些嗅探器传递来的信息。
网镜-Sensor嗅探器
网镜-Sensor嗅探器对通信内容进行扫描和匹配检查,根据安全策略进行安全响应。
当发现访问者要访问被保护的信息时,要求访问者基于网镜-Console控制台颁发的USB进行身份认证,如果访问者不能通过身份认证,则拒绝访问者对网络进行访问。
对正常通信的信息,网镜-Sensor嗅探器根据网镜-Server发布的安全审计策略对应用操作进行匹配和过程分析,当发现符合安全规则(策略)的通信时,采取相应的措施。
网镜-Sensor嗅探器基于赛贝卡自行设计的硬件平台构建,目前有两种型号的产品。
型号
网镜-Sensor/M
网镜-Sensor/H
使用环境
中、小型网络
大型网络
审计并发会话数
1万个;可扩充
2万个;可扩充
以太网接口
10/100M×2;100/1000M×2
10/100M×2;100/1000M×2
热备工作模式
支持
支持
MTBF
60,000小时
60,000小时
外观
2U×19英尺标准机箱
供电
单~220V;可选配冗余电源
网镜-Agent认证代理
网镜-Agent认证代理安装于客户端计算机之上,负责实现访问者与网镜-Sensor之间的身份认证。
当访问者需要访问被保护的信息时,在计算机的USB接口上插入由网镜-Console颁发的USB令牌(CA证书),网镜-Agent负责从USB令牌中提取出CA证书,并与网镜-Sensor共同完成用户的身份认证。
网镜-Agent支持WindowsNT/Me/2000/2003/XP、Linux操作系统。
策略库(PL)
如果说网镜-Console、网镜-Server、网镜-Sensor、网镜-Agent形成了网镜系统的骨骼和躯干,那么,策略库则是网镜系统的灵魂和血液。
不同的审计策略库针对不同的应用系统和安全目的进行设计。
基础策略库(BasicPL)提供了基于IP报的安全策略的制定功能。
用户可以直接编辑安全策略,也可利用网镜系统提供的“录制”功能,在俘获的IP报的基础上,提炼出符合需要的安全策略。
DB(数据库)策略库(PL/DB)提供了基于SQL命令的数据库操作审计及响应功能,实现数据库操作审计、还原和响应,支持各个版本的Informix、DB2、Oracle、Sybase、MSSQLServer、MySQL数据库系统。
Unix主机策略库(PL/UMG)提供了FTP/Telnet/rlogin/RCP操作审计及响应功能,针对FTP/Telnet/rlogin/RCP协议进行命令、字符级的访问控制和审计,并可回放FTP/Telnet/rlogin/RCP的操作过程及结果;为每个用户设定特定的命令子集,针对FTP/Telnet/rlogin/RCP的具体应用需求禁止或允许某些特定的操作。
由于FTP/Telnet/rlogin/RCP协议通常也被用于各种网络设备的维护操作,因此,Unix主机策略库(PL/UMG)同样可以对各种网络设备的操作进行审计和访问控制。
另外,网镜系统也提供了专门的软件模块,对SSH协议和远程桌面协议(RDP、3389协议)进行审计和访问控制。
除了针对上述通用的应用提供策略库外,网镜系统还针对一些行业的普遍应用设计了策略库,例如,针对移动行业经营决策系统、BOSS系统设计的策略库。
2.主要功能及特点
网镜认证审计系统突出的三大功能为:
1.提供基于CA数字证书或一次性动态口令的强身份认证;
2.针对不同的应用协议,如数据库操作,提供基于应用操作的审计及响应;
3.根据设定输出不同的安全审计报告。
集中管理的强身份认证
身份认证是系统安全中最基本、也是最重要的一个环节。
一般的网络设备、主机系统、业务系统都提供了“UserName+Password”的身份认证机制,然而,这种身份认证机制的安全性越来越受到置疑和挑战,网镜系统在不修改原系统任何软件或硬件配置的基础上,提供了额外的、安全强度更高的二次身份认证机制,可选择的认证方式包括:
1.基于CA证书的身份认证机制;
2.支持基于短信系统传递一次性动态口令,进行动态口令认证;在这种情况下,需要用户提供相应的短信传输接口,并进行一定的客户化定制开发;
3.基于Radius协议,与任何第三方的动态口令系统、强身份认证系统集成。
为了使用网镜提供的强身份认证功能,需要在客户端安装网镜-Agent
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 财务 内部 审计 认证 系统 白皮书