网镜认证审计系统功能列表.docx
《网镜认证审计系统功能列表.docx》由会员分享,可在线阅读,更多相关《网镜认证审计系统功能列表.docx(11页珍藏版)》请在冰豆网上搜索。
网镜认证审计系统功能列表
网镜业务认证审计系统
产品功能列表
四川赛贝卡信息技术有限公司
2008年1月
目录
1.多种认证手段3
1.1基于CA证书的身份认证机制;3
1.2基于短信动态口令的身份认证机制3
1.3基于IP地址或IP子网的身份认证机制3
2.多种审计手段3
2.1对主机的操作审计4
2.2对数据库的操作审计4
2.3收集主机日志4
3.多种匹配规则制定4
3.1字符串匹配方式4
3.2操作采样5
3.3简单操作5
3.4正则表达式5
3.5SQL表达式5
4.多种访问控制手段5
4.1根据匹配规则进行控制5
4.2客户程序限制6
4.3系统身份限制6
5.多种报警方式6
5.1声光报警6
5.2短信报警6
5.3通过syslog报警6
6.实时状态监控7
6.1当前认证用户登陆情况7
6.2当前TCP会话监控7
7.多种审计数据过滤手段7
7.1根据IP地址或IP地址网段过滤8
7.2根据网镜认证用户过滤8
7.3根据上下行数据过滤8
7.4根据匹配规则过滤8
7.5根据系统身份过滤8
8.多种审计查询手段8
8.1会话查询8
8.2命令查询9
8.3审计查询9
8.4用户登陆查询9
9.管理日志9
10.性能监控9
11.审计数据备份以及删除10
11.1备份到本地文件10
11.2备份到数据分析服务器10
12.多种审计报告输出10
提示:
此功能说明适用网镜业务认证审计系统网镜-Sensorversion3.7,网镜-Serverversion40,网镜-Consoleversion5.2.4,网镜-DBserverversion1.0
1.多种认证手段
身份认证是系统安全中最基本、也是最重要的一个环节。
一般的网络设备、主机系统、业务系统都提供了“UserName+Password”的身份认证机制,然而,这种身份认证机制的安全性越来越受到置疑和挑战,网镜系统在不修改原系统任何软件或硬件配置的基础上,提供了额外的、安全强度更高的二次身份认证机制。
目前可选择的认证方式包括:
基于CA证书的身份认证机制;
为用户产生一个基于X.509标准的CA证书,之后将CA证书写入USB令牌中并发放给用户(硬令牌),或将CA数字证书直接分发给用户(软令牌)。
基于短信动态口令的身份认证机制
在这种情况下,需要用户提供相应的短信传输接口,并进行一定的客户化定制开发。
当用户需要访问被保护的信息时,网镜Agent会向用户的手机发送随机的动态密码。
基于IP地址或IP子网的身份认证机制
在这种情况下,只需要用户提供需要认证的IP地址或IP网段,在网镜系统上进行简单的设置之后,被保护的信息只能被这些特定IP地址或IP地址网段所访问。
2.多种审计手段
网镜业务认证审计系统基于“IP数据俘获→强身份认证→应用层数据分析→审计和响应”的模式提供各项安全功能。
对主机的操作审计
2.1.1针对明文的远程操作审计
网镜业务认证审计系统支持以明文形式进行数据传输的远程访问。
如Telnet,Ftp,Rlogin。
2.1.2针对密文的远程操作审计
网镜系统能够支持以密文形式的进行数据传输的远程访问的操作审计。
如ssh,windows3389协议等。
此类操作审计需加装跳转服务器。
对数据库的操作审计
网镜业务认证审计系统支持SQL-92命令集及其对不同类型的数据库、不同版本的数据库的SQL语句的扩展,支持诸如查询(Select)、插入(Insert)、删除(Delete)、创建(Create)等SQL命令以及存储过程的执行进行审计和分析。
网镜业务认证审计系统可以根据基本SQL命令和存储过程进行组合,形成一个有实际意义的访问过程,并对其进行显示和查询;可以对指定用户、指定时间段内的整个登录、操作、退出的完整访问过程进行还原、查看和分析。
收集主机日志
网镜系统开放UDP514端口,能够收集标准格式的syslog主机日志。
并在网镜控制台统一呈现。
3.多种匹配规则制定
匹配规则是针对某种服务(器)设定的一系列操作规则,网镜业务认证审计系统提供了专门的策略和规则定义模块,使得用户可以自行设定和调整各种安全审计及访问控制的策略。
字符串匹配方式
字符串匹配方式是指由用户输入所有的匹配代码,网镜系统根据输入的匹配代码与IP报的内容进行一对一的检查,只有完整地包含了匹配代码的IP报才可能触发网镜系统的审计或访问控制功能。
字符串匹配方式适合于针对操作内容比较简单、规律性较强的应用,如FTP、SQL等。
操作采样
在某些情况下,用户可能不是很了解业务的操作特征,针对这种情况,通过采样俘获的IP报,提取特征码来定义用户操作流程。
操作采样适合于针对操作内容复杂,尤其是业务系统、应用系统等。
简单操作
指基于“命令+操作对象”方式定义用户操作流程,如,针对FTP协议,将命令定义为“get”,操作对象定义“test.txt”,由此而形成了一个“gettest.txt”的用户操作流程。
简单操作方式比较适合于针对命令比较简单的应用来定义用户操作流程。
正则表达式
“正则表达式”允许用户输入比较复杂的命令和操作对象,甚至是多个命令和操作对象的组合。
操作表达式比较适合于针对命令比较复杂,但具有很强规律性的应用,如Telnet操作定义用户操作流程。
SQL表达式
“SQL表达式”针对数据库的SQL命令来定义匹配规则。
4.多种访问控制手段
网镜业务认证审计系统提供了阻断模块,使得用户可以基于服务器的类型、匹配规则、用户角色来制定各种访问控制策略。
根据匹配规则进行控制
网镜系统对俘获的IP数据进行重组后,将通信内容与匹配规则进行实时比对,当发现符合匹配规则的通信内容时,触发相应的访问控制策略。
如某用户在进行数据库访问时,并没有Drop表的权限,一旦此用户触发了此规则,网镜系统将会断掉此用户的会话连接,确保数据库的安全。
客户程序限制
网镜系统可限制用户使用的第三方客户程序登录数据库,不允许或只允许某些客户程序的登录权限,确保数据库的安全。
系统身份限制
网镜系统可限制用户登录的用户名,允许或不允许某些用户名登录主机或数据库。
确保数据库的安全。
5.多种报警方式
网镜系统对俘获的IP数据进行重组后,将通信内容与匹配规则进行实时比对,当发现符合匹配规则的通信内容时,触发相应的报警策略。
声光报警
需要安装网镜Alarm报警客户端,当触发报警策略时,报警客户端会发出声光报警。
并显示报警等级以及报警内容。
短信报警
需开通短信接口,当触发报警策略时,被设置的手机上会收到报警信息和等级
通过syslog报警
需安装统一的syslog日志收集服务器,当触发报警策略时,日志收集服务器将会收到syslog的报警日志。
6.实时状态监控
通过网镜-Console管理控制台,管理员可以实时查看当前通过CA证书认证登录的用户情况,TCP会话的情况。
当前认证用户登陆情况
提供了查看当前通过CA证书认证后登录的用户列表,包括用户名、用户IP地址和用户登录时间。
当前TCP会话监控
网镜系统可列出当前用户访问保护主机的所有TCP会话,对于每个TCP会话,进一步显示了该会话的以下信息:
✓用户ID:
该ID由网镜系统在新建用户时自动分配,用户或管理员均不可修改该ID号。
✓用户名:
网镜系统为用户设定的用户名称。
如果该用户是“信任子网”中的一个用户,则仅显示信任子网的名称,无法确定到具体的人员。
✓用户IP地址:
用户计算机建立当前TCP连接所使用的IP地址。
✓用户端口:
当前TCP连接中,用户端的TCP端口号。
✓服务器ID:
当前TCP连接所登录的保护服务器的ID号,该ID号在新建保护服务器时由网镜系统自动分配,用户或管理员均不可修改该ID号。
✓服务器名:
显示了当前TCP连接所登录的“保护主机”名称和“服务器”的名称。
✓服务器IP地址:
当前TCP连接所登录的“保护主机”的IP地址。
✓服务器端口:
当前TCP连接中,服务器端的TCP端口号
✓建立时间:
当前TCP连接建立的时间。
对于每个TCP连接,管理员可以进行“断开该会话”或“监控”操作。
7.多种审计数据过滤手段
在网络中,每时每刻都有大量的数据流过。
而在其中,某些数据是可以完全信任的。
如何才能用有限的磁盘空间存储更多,更有效的数据?
网镜业务认证审计系统提供了多种方式的过滤手段。
根据IP地址或IP地址网段过滤
某些IP地址或IP子网流过的数据是可以被信任的,可以通过对网镜系统的设置,将这部分IP地址发起的流量完全过滤掉。
这种情况多适用于主机与主机之间,由程序发起的会话。
根据网镜认证用户过滤
某些网镜认证用户针对特定主机的操作是可以完全被信任的,可以通过设置将此用户的操作过滤掉。
根据上下行数据过滤
网镜系统在网络上接收TCP双向会话数据,一般来说用户端的操作为上行数据,主机返回的结果为下行数据。
可以根据需要,过滤掉上行或下行数据。
此类过滤主要适用于对数据库的操作,我们关心的是用户对数据库的操作,而没必要将数据库返回的情况记录下来。
根据匹配规则过滤
在某些主机上,某些操作量大,且可信任。
可以设置成匹配规则来进行过滤。
根据系统身份过滤
某些主机或数据库的帐号是可信任的,可以根据帐号进行审计操作的过滤
8.多种审计查询手段
会话查询
会话查询用于从审计记录中查询符合条件的TCP会话。
网镜系统为会话查询设置了四类查询条件,分别为“保护主机/服务”、“用户”、“用户IP地址”、“时间段”,它们的逻辑关系为“与”,即:
网镜系统将查询出符合上述四类条件的所有TCP会话。
命令查询
命令查询用于从审计记录中查询符合条件的命令。
网镜系统为命令查询设置了五类查询条件,分别为“命令关键字”、“保护主机/服务”、“用户”、“用户IP地址”、“时间段”,它们的逻辑关系为“与”,即:
网镜系统将查询出符合上述五类条件的所有命令及对应的TCP会话。
审计查询
审计查询是指从策略匹配日志中查找出符合需要的规则匹配事件。
网镜系统为审计查询设置了六类查询条件,分别为“指定服务器名称”、“指定用户”、“指定匹配规则名称”、“限定用户IP”、“限定系统身份”、“时间段限制”,它们的逻辑关系为“与”,即:
网镜系统将查询出符合上述六类条件的规则匹配事件。
用户登陆查询
用户登录日志记录了“证书认证用户”使用网镜-Agent认证并登录的情况,以及以某种系统身份登录的情况,相关的查询也仅能获取到这方面的信息。
网镜系统为用户登录日志查询设置了三类查询条件,分别为“查询登录类型”、“限定系统身份”、“时间段限制”,它们的逻辑关系为“与”,即:
网镜系统将查询出符合上述三类条件的所有用户登录。
9.管理日志
针对管理员对网镜的一切操作,包括对主机,服务以及策略的增删改,网镜系统都会形成管理日志,便于事后查询。
10.性能监控
在网络、主机、服务层次,网镜系统提供了诸如访问流量、访问次数、访问用户数等信息,并通过图形、表格等形式进行显示。
通过查看这些参数,管理员能对系统的整体运行情况有个概略的了解。
11.审计数据删除以及备份
当审计数据过多的时候,就涉及到数据的删除以及备份,以免造成数据的丢失。
网镜系统在磁盘空间超过90%的时候,会以1个月为单位依次自行删除旧数据。
关于审计数据的备份有以下两种方式:
备份到本地文件
在网镜控制台中,可以将所有的审计数据以文件的形式备份到客户端所在的服务器上,如需要查询历史数据,也可通过控制台进行恢复。
此类备份数据无需增加额外的设备,缺点是备份以及恢复数据过慢,且不能分时段备份。
备份到数据分析服务器
在网镜系统中,提供专用的数据分析服务器,用于备份数据以及历史数据的查询。
网镜审计服务器上只保留最新1-2月的审计数据(具体审计数据保留的时间长短可以设置),历史数据以天为单位定时备份到数据分析服务器上,历史数据可分时段恢复,查询快捷方便。
12.多种审计报告输出
网镜业务认证审计系统可以生成形式多样的审计报告,满足不同场合对审计报表格式及显示方式的不同要求。
网镜业务认证审计系统支持生成HTML格式的报表文件,在这些文件中详细地列出了用户希望查看的系统使用信息,并对某些关键的审计结果给出解释和风险评估。
网镜业务认证审计系统也支持基于柱型图、饼图、曲线形式的图形输出,直观地显示出系统的运行状况,例如某TCP端口号的使用情况、某个应用层命令的使用情况等。
升级会员 