网镜认证审计系统白皮书.docx
- 文档编号:6031450
- 上传时间:2023-01-03
- 格式:DOCX
- 页数:17
- 大小:189.21KB
网镜认证审计系统白皮书.docx
《网镜认证审计系统白皮书.docx》由会员分享,可在线阅读,更多相关《网镜认证审计系统白皮书.docx(17页珍藏版)》请在冰豆网上搜索。
网镜认证审计系统白皮书
网镜业务认证审计系统
产品白皮书
(2007年9月修订)
四川赛贝卡信息技术有限公司
2007年
目录
1.体系结构及系统构成2
1.1网镜-Console控制台4
1.2网镜-Server审计服务器4
1.3网镜-Sensor嗅探器5
1.4网镜-Agent认证代理5
1.5策略库(PL)6
2.主要功能及特点6
2.1集中管理的强身份认证7
2.2审计及响应8
2.3系统性能监控和辅助故障分析9
2.4多种审计报告输出11
2.5历史分析及安全趋势预测12
2.6集中统一的安全管理13
3.策略库13
3.1数据库审计及响应(DBPL)13
3.2FTP/Telnet审计及响应(ManagementPL)14
3.3SSH协议审计及响应(网镜-Proxy/UnixTerm)15
3.4远程桌面终端(RDP)操作审计16
4.典型应用及成功案例16
4.1中小网络应用16
4.2大型网络应用17
1.体系结构及系统构成
网镜业务认证审计系统集认证、授权、安全响应和安全审计为一体,为计算机系统提供了一个统一、集中的授权、访问控制和审计平台。
典型的系统配置和部署如下图所示。
网镜系统典型配置
安全风险往往出现在“不同”之中,出现在“设想”之外。
网镜业务认证审计系统从多角度显示系统在怎样的运行、后一时刻与前一时刻的运行有何不同,系统的实际运行状况与设计(或设想)的运行模式有何不同,并针对这些不同作出恰当的响应。
网镜业务认证审计系统基于“IP数据俘获→强身份认证→应用层数据分析→审计和响应”实现各项功能,设计中充分贯彻了平台化的思路,使得它具备“安全认证和审计工具”的特征,与基于日志收集的审计系统有着很大的区别。
基于日志收集的审计系统将原系统中的日志信息收集起来,综合形成审计报告,审计功能受限于原系统的日志功能和访问控制功能,在审计深度、审计响应的实时性方面都难以获得很好的审计效果。
在基本安全功能的基础上,网镜业务认证审计系统可针对具体的应用需求,如FTP/Telnet系统维护操作、SQL数据库维护操作,制定应用级别的认证和审计策略,使得系统能针对具体的应用或业务系统实现命令级别、访问逻辑级别的的认证和审计。
如果再辅以专业安全服务商提供的安全咨询和服务,网镜业务认证审计系统可以更及时、准确地反映系统的安全运行状况,并进行相应的控制。
网镜业务认证审计系统主要实现以下安全功能:
1.强身份认证和访问控制:
基于CA数字证书或一次性动态口令对访问者进行身份认证,之后根据经认证的身份实现访问控制,禁止非法用户访问被保护的信息。
2.应用级的安全审计和响应:
特有的“策略库(ApplicationPolicyLibrary)”可以深入到应用层协议(如操作命令、业务操作过程)实现详细的安全审计,并根据安全策略采取诸如记录、审计、告警、阻断等响应。
3.提供多视角的审计报告:
根据实时记录的网络访问情况,提供多种安全审计报告,更清晰地了解系统的使用情况以及安全事件的发生情况,并可根据这些安全审计报告进一步修改和完善“策略库(ApplicationPolicyLibrary)”。
Ø网镜-Console管理控制台:
安装于Windows2000操作系统之上,提供管理控制界面。
Ø网镜-Server认证审计服务器:
基于专门硬件构建,负责安全策略的生成、解释、管理,审计数据的记录和整理。
Ø网镜-Sensor嗅探器:
基于专门硬件构建,根据安全策略对俘获的数据进行比对、分析,并做出响应动作,如告警、阻断等。
Ø网镜-Agent认证代理:
安装于客户端计算机之上,配合网镜-Sensor完成用户的强身份认证。
Ø网镜-PL(PolicyLibrary)策略库:
针对不同的应用协议、应用(业务)系统提供状命令级的安全策略支持。
是网镜系统中最具特色、最具价值的模块。
网镜系统独具特色的“策略库(PolicyLibrary)”设计,使得网镜系统不但具备了功能强大的安全审计功能,更使得网镜系统具备了网络安全分析工具及“应用层IDS”的特征。
用户可以自己定义符合业务特征的“策略库”,也可选用针对特定业务系统设计的“策略库”。
网镜系统的策略库分为两类:
基础策略库,和针对具体应用、具体业务的策略库。
基础策略库(BasicPL)提供了基于IP报的安全策略的制定功能。
用户可以直接编辑安全策略,也可利用网镜系统提供的“录制”功能,在俘获的IP报的基础上,提炼出符合需要的安全策略。
应用策略库则针对不同的通信协议、业务系统进行设计,目前提供了数据库(DB)策略库(PL/DB)、Unix主机策略库(PL/UMG),并提供了专门的模块,以支持SSH协议和远程桌面终端登录(RDP、3389协议)的审计。
针对不同协议或业务系统的应用“策略库(PolicyLibrary)”使得用户可以灵活地制定数据俘获、安全审计及响应策略,根据系统实际的运行情况输出恰当的审计报告,更全面、更有重点地了解和掌握系统的运行状况。
随着研发工作的不断深入,我们还会根据不同的应用协议或应用系统开发出具备应用特征、行业特征的“策略库(PolicyLibrary)”。
这也是网镜系统最具生命力的特点:
随着网镜系统的应用和“策略库(ApplicationPolicyLibrary)”的及时更新,网镜系统所提供的功能将越来越丰富、越来越接近用户的实际使用需求。
网镜-Console控制台
网镜-Console控制台提供了一个图形化的管理、使用、和维护的界面。
通过网镜-Console控制台制定的各种访问控制和安全审计策略将自动下载到网镜-Server执行;访问控制和安全审计结果通过网镜-Server收集后,按照用户设定的输出内容、输出方式通过网镜-Console形成最终的安全审计报告。
网镜-Console控制台支持Windows2000/2003/XP操作系统,一个系统中可以配置多个网镜-Console控制台。
网镜-Server审计服务器
网镜-Server审计服务器是整个认证审计系统的核心部件,向上接受网镜-Console管理控制台制定的各种安全策略,并将这些安全策略贯彻到网镜-Sensor嗅探器、网镜-Agent;向下接收由网镜-Sensor嗅探器获取的原始通信数据并写入数据库,形成审计报告后提供给网镜-Console管理控制台。
网镜-Server审计服务器基于赛贝卡自行设计的硬件平台构建,目前有两种型号的产品。
型号
网镜-Server/M
网镜-Server/H
使用环境
大、中型网络
大型网络
管理会话数
4.5万个
9万个
以太网接口
10/100M×2;100/1000M×2
10/100M×2;100/1000M×2
存储器
标配1.5TRaid0/5,最高2.0T
标配2.0TRaid0/5,最高3.2T
外观
2U×19英尺标准机箱
2U×19英尺标准机箱
供电
标配单~220V,可选配冗余~220V
热备功能
支持
MTBF
45,000小时
60,000小时
一台网镜-Server认证审计服务器可以同时对多个网镜-Sensor嗅探器进行管理并存储和整理由这些嗅探器传递来的信息。
网镜-Sensor嗅探器
网镜-Sensor嗅探器对通信内容进行扫描和匹配检查,根据安全策略进行安全响应。
当发现访问者要访问被保护的信息时,要求访问者基于网镜-Console控制台颁发的USB进行身份认证,如果访问者不能通过身份认证,则拒绝访问者对网络进行访问。
对正常通信的信息,网镜-Sensor嗅探器根据网镜-Server发布的安全审计策略对应用操作进行匹配和过程分析,当发现符合安全规则(策略)的通信时,采取相应的措施。
网镜-Sensor嗅探器基于赛贝卡自行设计的硬件平台构建,目前有两种型号的产品。
型号
网镜-Sensor/M
网镜-Sensor/H
使用环境
中、小型网络
大型网络
审计并发会话数
1万个;可扩充
2万个;可扩充
以太网接口
10/100M×2;100/1000M×2
10/100M×2;100/1000M×2
热备工作模式
支持
支持
MTBF
60,000小时
60,000小时
外观
2U×19英尺标准机箱
供电
单~220V;可选配冗余电源
网镜-Agent认证代理
网镜-Agent认证代理安装于客户端计算机之上,负责实现访问者与网镜-Sensor之间的身份认证。
当访问者需要访问被保护的信息时,在计算机的USB接口上插入由网镜-Console颁发的USB令牌(CA证书),网镜-Agent负责从USB令牌中提取出CA证书,并与网镜-Sensor共同完成用户的身份认证。
网镜-Agent支持WindowsNT/Me/2000/2003/XP、Linux操作系统。
策略库(PL)
如果说网镜-Console、网镜-Server、网镜-Sensor、网镜-Agent形成了网镜系统的骨骼和躯干,那么,策略库则是网镜系统的灵魂和血液。
不同的审计策略库针对不同的应用系统和安全目的进行设计。
基础策略库(BasicPL)提供了基于IP报的安全策略的制定功能。
用户可以直接编辑安全策略,也可利用网镜系统提供的“录制”功能,在俘获的IP报的基础上,提炼出符合需要的安全策略。
DB(数据库)策略库(PL/DB)提供了基于SQL命令的数据库操作审计及响应功能,实现数据库操作审计、还原和响应,支持各个版本的Informix、DB2、Oracle、Sybase、MSSQLServer、MySQL数据库系统。
Unix主机策略库(PL/UMG)提供了FTP/Telnet/rlogin/RCP操作审计及响应功能,针对FTP/Telnet/rlogin/RCP协议进行命令、字符级的访问控制和审计,并可回放FTP/Telnet/rlogin/RCP的操作过程及结果;为每个用户设定特定的命令子集,针对FTP/Telnet/rlogin/RCP的具体应用需求禁止或允许某些特定的操作。
由于FTP/Telnet/rlogin/RCP协议通常也被用于各种网络设备的维护操作,因此,Unix主机策略库(PL/UMG)同样可以对各种网络设备的操作进行审计和访问控制。
另外,网镜系统也提供了专门的软件模块,对SSH协议和远程桌面协议(RDP、3389协议)进行审计和访问控制。
除了针对上述通用的应用提供策略库外,网镜系统还针对一些行业的普遍应用设计了策略库,例如,针对移动行业经营决策系统、BOSS系统设计的策略库。
2.主要功能及特点
网镜认证审计系统突出的三大功能为:
1.提供基于CA数字证书或一次性动态口令的强身份认证;
2.针对不同的应用协议,如数据库操作,提供基于应用操作的审计及响应;
3.根据设定输出不同的安全审计报告。
集中管理的强身份认证
身份认证是系统安全中最基本、也是最重要的一个环节。
一般的网络设备、主机系统、业务系统都提供了“UserName+Password”的身份认证机制,然而,这种身份认证机制的安全性越来越受到置疑和挑战,网镜系统在不修改原系统任何软件或硬件配置的基础上,提供了额外的、安全强度更高的二次身份认证机制,可选择的认证方式包括:
1.基于CA证书的身份认证机制;
2.支持基于短信系统传递一次性动态口令,进行动态口令认证;在这种情况下,需要用户提供相应的短信传输接口,并进行一定的客户化定制开发;
3.基于Radius协议,与任何第三方的动态口令系统、强身份认证系统集成。
为了使用网镜提供的强身份认证功能,需要在客户端安装网镜-Agent认证代理软件,并配置专门的USB身份认证令牌。
首先,系统管理员需要通过网镜-Console对用户的身份及访问权限等信息进行设置:
1.为用户产生一个基于X.509标准的CA证书并写入USB令牌,之后将该USB令牌发放给用户;
2.设定该用户可以访问的网络资源及命令权限,如IP地址段、TCP端口号等;
3.如果需要,可以设定更高层次的安全审计及响应策略;或者应用由“策略库”提供的安全策略。
对用户而言,当需要访问被保护的信息时,在计算机中插入USB令牌并输入正确的USB保护口令,网镜-Agent将自动与网镜-Senor完成对用户的强身份认证。
如果用户没有通过强身份认证,则拒绝用户对保护信息的访问;如果通过了强身份认证,则加载相应的访问控制、审计及响应策略,对访问过程进行审计和控制。
网镜的强身份认证功能提高了原系统的身份认证强度,为系统安全奠定了坚实的基础。
在此基础上,网镜系统的其它功能模块,包括访问控制、审计及响应等,能更有效、更有针对性地实施各种安全策略;网镜系统之外的其它安全系统,也可以借助网镜提供的强身份认证功能,发挥出更好的安全防护效能。
通过对特定通信协议的解析,网镜系统还可以自动获取用户的系统身份;网镜系统可以基于用户的“网镜身份”和“系统身份”提供访问控制、安全审计功能。
在使用短信动态口令进行身份认证,或者使用Radius集成第三方身份认证时,用户的操作过程与上述CA认证过程类似。
不同之处在于:
无需使用USB令牌,在输入保护口令时,这些口令来自于其它介质提供的动态口令,如:
一次性动态口令卡显示的动态口令,或者收到的短消息中给出的一次性动态口令。
审计及响应
网镜业务认证审计系统基于“IP数据俘获→强身份认证→应用层数据分析→审计和响应”的模式提供各项安全功能,使得它的审计功能大大优于基于日志收集的审计系统。
基础策略库(BasicPL)作为必购模块包含于网镜系统软件包中,它提供了基本的审计响应功能,这些功能同样会沿用到选配的其它策略库之中。
具体的应用级审计策略库的详细介绍见“3.策略库”。
面向服务和操作者的审计和响应
网镜业务认证审计系统的审计和响应功能所要完成的任务可以简单地描述为:
“某个特定的服务(如FTP、Telnet、SQL、SNMP等)可以(或不可以)被某个特定的用户怎样地访问”,这使得它提供的审计和响应具有很强的针对性和准确性。
础策略库(BasicPL)提供了基于IP报及其组合的审计和策略响应功能,用户可针对具体的业务系统制定安全审计及响应策略,这些策略可以基于一个IP报的,也可以基于多个有业务逻辑的IP报,然后将该策略赋予对应的访问者,由此实现对应用操作和访问的精确审计及响应。
策略定制和样本录制
网镜业务认证审计系统提供了专门的策略和规则定义模块,使得用户可以自行设定和调整各种安全审计及响应的策略。
然而,在某些情况下,用户可能不是很了解业务的操作特征,针对这种情况,网镜业务认证审计系统提供了“样本录制及规则提取”功能,使得用户可以在纷繁的操作中提取规律性的信息,进一步提炼成“安全规则”,然后将这些规则整理、编辑,并加入“访问对象”、“审计响应动作”、“操作时间”等信息后形成最终的“安全策略”。
“策略定制和样本录制”体现了这样一种安全思路:
一种网络行为是否被判定为攻击,一定与具体的业务系统相关,也一定与操作者的身份及当时的环境相关。
基于业务特征的规则库
用户可以通过手工录入、样本录制等方式制定符合业务特征的规则,然后将多个规则进行汇总、编辑和命名,形成具备某种业务特征的规则写入用户自定义的规则库。
这样,用户在针对某个特定用户制定认证审计策略时,可以直观地使用自命名的规则进行设置,方便了各种策略的制定和查询。
网镜业务认证审计系统在形成审计报告时,也使用用户自定义的规则名或策略名,这样,用户在阅读审计报告时,看到的是直观的业务操作,而不是晦涩难懂的网络术语或杂乱无章的IP数据报。
多种响应方式
网镜业务认证审计系统提供了多种响应方式,包括:
1.在网镜-Sever审计服务器中记录相应的操作过程;
2.在日常审计报告中标注;
3.向网镜-Console控制台发出告警信息;
4.向管理员手机发出告警短消息;
5.实时阻断通信连接。
实时跟踪和回放
管理员可以通过网镜-Console控制台实时地跟踪一个或多个网络连接,通过系统提供的“时标”清晰地显示不同网络连接中每个操作的先后顺序及操作结果,当发现可疑的操作或访问时,可以实时阻断当前的访问。
管理员也可以从网镜-Server中提取审计数据对通信过程进行回放,便于分析和查找系统安全问题,并以次为依据制定更符合业务特征和系统安全需求的安全规则和策略。
目前,网镜业务认证审计系统支持FTP、Telnet两种协议的过程回放,随着研发工作的深入,还将支持更多协议的过程回放。
系统性能监控和辅助故障分析
网镜系统在完成审计的同时,可以记录每个访问请求的时间,以及该请求的响应时间、响应结果等。
这使得它具备了系统性能监控和辅助故障分析的能力。
性能监控
在网络、主机、服务层次,网镜系统提供了诸如访问流量、访问次数、访问用户数等信息,并通过图形、表格等形式进行显示。
通过查看这些参数,管理员能对系统的整体运行情况有个概略的了解。
例如:
对于某个应用系统,动态地显示了它的流量情况、访问次数、访问用户的分布情况等;通过查看这些实时信息,并将这些信息于历史统计数据进行比对,就可基本了解应用系统当前是否工作正常。
如果流量情况、访问次数、访问用户的分布出现较大的波动,甚至是中断,则预示着系统出现了故障。
在数据库层次,可以对数据库表、存储过程等进行监控和统计,并设置报警阈值;也可以对特别定义的数据库访问过程进行监控和统计,并设置报警阈值。
对于数据库资源,监控和统计的结果包括的访问量、访问用户的分布情况、资源访问的响应时间等信息。
对于数据库访问过程,监控和审计的结果包括执行次数、响应成功率、响应时间等信息。
例如,在数据库系统中,某个数据库的操作过程的响应时间、访问成功率可能代表了整个系统的运行效率、运行的稳定度;就可以针对这个操作过程设置匹配规则,并进行监控、统计和告警。
在业务系统层次可以针对某些关键的操作过程定义匹配规则,对这些过程的响应时间、响应结果进行监控和统计,并设置报警阈值。
例如在业务系统中,某个WEB页面、某个按钮、某个菜单的响应时间、访问成功率代表了业务系统的运行效率、运行的稳定度;就可以针对这个操作过程设置匹配规则,并进行监控、统计和告警。
利用访问响应时间的统计和报警功能,管理员能动态地掌握数据库系统、业务系统的运行效率;并可根据经验或历史统计数据设置报警阈值,当响应时间超过设定的阈值时,主动发出告警信息,使得系统管理员有充分的时间进行故障排查。
辅助故障分析
在发现系统出现故障或性能波动后,可以利用网镜系统的审计信息,以及实时监控、过程回放、审计查询等功能,查找引起系统性能波动或故障的原因。
例如,对于数据库系统而言,通过网镜系统发现从某一时刻起,数据库的运行效率下降、访问的响应时间变长。
在这种情况下,首先,可以基于时间、IP地址、数据库系统账号等信息,查找出该时间段内的相关TCP连接。
利用回放功能,可以重现这些数据库操作过程,并显示详细的数据库操作语句(SQL)、操作对象等。
同时,也可以使用“命令查询”功能,主动地查找可能引起性能波动的数据库操作。
在基本确定了怀疑对象后,如某个SQL语句或数据库操作过程,可以针对怀疑对象过程定义匹配规则,并要求网镜系统精确记录这些访问的次数、响应时间、响应成功率等,启动“实时监控”。
在业务系统重再次进行此类操作,通过查看网镜系统提供的信息,验证最初的怀疑。
如果业务系统在某一刻出现致命性的错误,甚至是服务中断。
在这种情况下,首先需要分析可能引起错误或服务中断的原因,如Unix系统或数据库系统中执行了不正确的操作命令等,然后在网镜系统中进行查询;同时,也可以提取在服务中断前的TCP连接进行分析和查看,这些TCP连接可能是应用系统发起的,也可能是管理员通过SQLPLUS之类的数据库管理软件发起的,也可能是通过Telnet发起的。
综合利用网镜的各种功能,逐步缩小怀疑的范围,并最终确定发生的原因。
多种审计报告输出
网镜业务认证审计系统从安全管理的角度出发,设计一套完善的审计报告输出机制。
围绕安全策略生成审计报告
直观、便于理解的审计报告是一个审计系统、甚至是一个安全系统设计是否成功的关键所在。
一些IDS系统、系统漏洞扫描系统、甚至是主机的日志系统,本身具有很好的安全功能,但是由于审计报告的不直观、难以理解,在实际使用中往往难以发挥有效的作用。
网镜业务认证审计系统围绕安全策略输出审计报告,很好地解决了这个问题。
系统管理员制定的安全策略本身就充分体现了系统管理员重点关心的问题,围绕安全策略设定审计输出报告,使得系统管理员能迅速地得到自己最关心的信息。
并且,由于安全策略本身是系统管理员自己定义的,他(她)就更容易理解这些基于安全策略生成的审计报告。
多种筛选条件
网镜业务认证审计系统提供了强大、灵活的筛选条件设置机制。
在设置筛选条件时,系统管理员可基于以下要素的组合进行设置:
用户自定义的过程名称;访问对象的内容(如SQL的表单名称);IP地址;网段;应用端口号;时间段;用户的身份;安全策略或安全规则名称;访问命令;IP数据的传递方向;审计响应的动作类型等。
系统管理员可根据需要灵活地设置审计报表的各种要素,迅速地生成自己希望看到的审计内容。
网镜业务认证审计系统可以实时地根据系统管理员设定的筛选条件生成审计报告,也允许系统管理员设定审计报表的输出时间,如日报表、月报表、年报表等。
系统管理员也可将已经生成的审计报表作为生成新的审计报表的原始数据,重新生成精确度更高的审计报表。
形式多样的审计报表
网镜业务认证审计系统可以生成形式多样的审计报告,满足不同场合对审计报表格式及显示方式的不同要求。
网镜业务认证审计系统支持生成HTML格式的报表文件,在这些文件中详细地列出了用户希望查看的系统使用信息,并对某些关键的审计结果给出解释和风险评估。
网镜业务认证审计系统也支持基于柱型图、饼图、曲线形式的图形输出,直观地显示出系统的运行状况,例如某TCP端口号的使用情况、某个应用层命令的使用情况等。
历史分析及安全趋势预测
审计并不等同与日志,更不是事件的罗列;审计应该基于真实的事件记录提供更高层次的信息综合分析,从不同的侧面展示审计对象的运行状况、使用情况;审计的目的并不仅仅是提供事后的追踪,还应该提供预防措施和决策依据。
网镜业务认证审计系统在真实记录关键事件的基础上,提供了强有力的“历史分析及安全趋势预测”功能。
网镜系统的“历史分析及安全趋势预测”功能建立在这样的安全理念之上“上周期系统运行是安全的,如果本周期系统的运行特征与上周期类似,则可以基本判定本周期的运行是安全、健康的”。
网镜系统一方面可以提供任何时间段内被审计系统的翔实的运行、使用情况;另一方面,也可以提供不同周期内运行、使用情况的变化情况。
通过网镜系统提供的“报表及分析向导”功能,系统管理员可以自行定义或修改需要进行分析和评估的关键事件,这些关键事件包括:
网络流量、TCP连接数量、用户登录/登出、关键命令或操作、匹配规则触发情况等。
网镜系统强根据所定义的条件和内容,提供关键事件的历史分析,并对系统的安全性能进行预测。
在建立“报表及分析向导”时,允许系统管理员针对不同的关键事件设定不同的“波动阈值”,当关键事件的变化超过了“波动阈值”时,将主动向系统管理员告警,提示系统管理员系统的运行、使用出现了异常情况,这种异常可能是安全事故发生的前兆。
系统管理员可及时使用网镜
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 认证 审计 系统 白皮书