财务管理内部审计 天玥网络安全审计系统白皮书.docx

1、财务管理内部审计 天玥网络安全审计系统白皮书财务管理内部审计天玥网络安全审计系统白皮书版权声明北京启明星辰信息技术有限公司2009 版权所有，保留一切权利。未经北京启明星辰信息技术有限公司（以下简称启明星辰）书面同意不得擅自传播、复制、泄露或复写本文档的全部或部分内容。本文档中的信息归启明星辰所有并受中国知识产权法和国际公约的保护。信息更新本文档及与之相关的计算机软件程序（以下称为文档）用于为最终用户提供信息，并且随时可由启明星辰更改或撤回。发布日期：2009 年 9 月。适用范围：天玥网络安全审计系统 V6.0信息反馈如有任何意见或建议，请按如下联系方式反馈给启明星辰。邮政地址：北京市海淀区

2、东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦邮政编码：100094电话：86-10-8 传真：86-10-0 E-mail：cpyj免责条款根据适用法律的许可范围，启明星辰按“原样”提供本文档而不承担任何形式的担保，包 括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，启明星辰都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使启明星辰明确得知这些损失或损坏，这些损失或损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。1产品概述 11.1产品简介 11.2适用场

3、景 11.3核心价值 12用户需求（面临的问题）22.1内部人员操作安全隐患 22.2第三方维护人员安全隐患 22.3最高权限用户安全隐患 23产品主要功能 33.1面向业务的审计 33.2数据库响应时间及返回码的审计 43.3细粒度审计规则和响应 53.3.1定制审计事件规则 53.3.2特定账号行为跟踪 53.3.3强大的数据库细粒度规则 53.3.4多编码环境支持 53.3.5多种响应方式 63.4强身份认证 63.5审计报告输出 63.5.1多种筛选条件 63.5.2自动任务支持 73.5.3数据和报表备份 73.6自身管理 73.6.1安全管理 73.6.2状态管理 73.6.3时间

4、同步管理 84关键特性与客户收益 94.1关键特性 94.2客户收益 94.2.1满足合规性要求，顺利通过 IT 审计 94.2.2有效减少核心信息资产的破坏和泄漏 104.2.3追踪溯源，便于事后追查原因与界定责任 104.2.4直观掌握业务系统运行的安全状况 104.2.5实现独立审计与三权分立，完善 IT 内控机制 105部署与使用 115.1部署方式 115.2使用注意事项 116产品型号 137产品资质 148服务支持 151产品概述1.1产品简介天玥网络安全审计系统，以下简称天玥，是启明星辰网络安全审计系列产品之一。天玥网络安全审计系统是针对业务环境下的网络操作行为进行细粒度审计的

5、合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报，以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，加强内外部网络行为监管、促进核心资产（数据库、服务器、网络设备等）的正常运营。1.2适用场景天玥的用户通常拥有重要的业务应用系统或者网络基础设施，相应地具备如下需求中的部分或者全部：1、需要满足各种合规要求，比如等级保护、分级保护、SOX 等要求；2、需要对重要/关键数据的访问进行审计；3、需要对重要/关键服务器的访问进行审计；4、希望有效地控制操作风险；5、需要进行事后追查，但缺乏数据记录与追查方法。1.3核心价值天玥的核心价值体现在：

6、完善业务系统的安全防范体系，满足组织机构内外部合规性要求，全面体现管理者对业务系统信息资源的全局把控和调度能力。主要表现在：1、如同不知疲倦的网络警察，时刻监视着对重要资源的访问；2、当出现安全事件后，能根据翔实的审计记录，一步步地追查出攻击者；3、找出导致安全事件、性能波动的真正原因；4、帮助用户加强内外部网络行为监管、满足企业内部控制或者外部政策等合规性要求。2用户需求（面临的问题）2.1内部人员操作安全隐患随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部

7、人员的违规操作却无能为力。根据最新统计资料，对企业造成严重攻击中的 70是来自于组织里的内部人员。2.2第三方维护人员安全隐患企业在发展的过程中，因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地监视设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。2.3最高权限用户安全隐患一般来说，我们都是从各种系统日志里面去发现是否有入侵后留下来的“蛛丝马迹”来判 断是否发生过安全事件。但是，系统是在经历了大量的操作和变化后，才逐渐变得不安全。从系统变更的角度来看，网络审计日志比系统日志在定位系统安全问题上更可信。（比如， 系统的最高权

8、限用户 root/Administrators 等长期以来一直处于不可管理的状态。）3产品主要功能天玥网络安全审计系统基于“IP 数据俘获强身份认证（可选）应用层数据分析审计和响应”的模式提供各项安全功能，使它的审计功能明显优于目标系统依靠自主保护策略提供 的审计功能。主要体现在以下几个方面：与目标系统的状态无关无论目标系统是否遭到入侵，安全机制是否正常运转，天玥的审计结果仍然是可信的；能够审计到更细的粒度天玥审计的最小粒度为命令级，而一般操作系统提供的日志受日志来源限制，往往只能到进程级或者会话级；能够进行更灵活的自定义审计天玥可以根据用户业务系统的不同提供强大的自定义审计功能，而一般操作系

9、统提供的日志完全取决于自身审计功能，不支持用户自定义；天玥网络安全审计系统主要功能如下：针对不同的应用协议，提供基于应用操作的审计；提供数据库操作语义解析审计，实现对违规行为的及时监视和告警；提供上百种合规规则，支持自定义规则（正则表达式等），实现灵活多样的响应；提供基于硬件令牌、静态口令、Radius 支持的强身份认证；根据设定输出不同的安全审计报告；3.1面向业务的审计数据库审计天玥网络安全审计系统能够监视并记录对数据库服务器的各类操作行为，实时地、智能地解析对数据库服务器的各种操作，一般操作行为如数据库的登录，特定的操作如对数据库表的插入、删除、修改，执行特定的存贮过程等，都能够被记录和

10、分析，分析的内容要求可以精确到 SQL 操作语句一级。并记录这些操作的用户名、机器 IP 地址、操作时间等重要信息。系统能够对采用 ODBC、JDBC、OLE-DB、命令行嵌入方式对数据库的访问进行审计和响应。SQL 语句的支持 SQL92 标准，主要包括以下几种类型的审计：DDL：Create,Drop,Grant,RevokeDML：Update,Insert,DeleteDCL：Commit,Rollback,Savapoint其他：AlterSystem,Connect,Allocate存储过程目前，天玥网络安全审计系统支持以下数据库系统的审计OracleSQL-ServerDB2In

11、formixSybaseTeradataMysqlPostgreSQLCache网络运维审计天玥网络安全审计系统支持常用的运维协议，比如 Telnet、FTP、Rlogin、X11、Radius 等协议的审计，能够全程记录用户在服务器上的各种操作（包括命令行操作、交互菜单操作、业务系统操作），并且可以实现类似窗口录像回放形式的还原。OA 审计天玥网络安全审计系统支持 HTTP、POP3、SMTP、Netbios、NFS 协议的审计，能够记录网页 URL、内容、发件人、收件人、邮件内容、网络邻居的各种操作等信息。3.2数据库响应时间及返回码的审计天玥网络安全审计系统支持对 SQLServer、D

12、B2、Oracle、Informix 等数据库系统的 SQL 操作响应时间和返回码的审计。通过对响应时间和返回码的审计，可以帮助用户对数据库的使用状态全面掌握、及时响应故障信息，特别是当新业务系统上线、业务繁忙、业务模块更新时，通过天玥网络安全审计系统对超长时间和关键返回码进行审计并实时报警有助于提高业务系统的运营水平，降低数据库故障等带来的运维风险。3.3细粒度审计规则和响应3.3.1定制审计事件规则天玥网络安全审计系统提供了事件规则用户自定义模块，允许用户自行设定和调整各种安全审计事件的触发条件与响应策略。例如，用户特别关注在 telnet 过程中出现 rm、passwd、shutdown

13、 等命令的行为，那么用户就可以利用天玥网络安全审计系统定义相应的审计事件规则。这样，天玥网络安全审计系统就可以针对网络中发生的这些行为进行响应。3.3.2特定账号行为跟踪系统能够实现对“用户网络环境中出现的特定账号或特定账号执行某种操作后”的场景进 行账号跟踪，提供对后继会话和事件的审计。这样，管理员能够对出现在网络中的特权账号， 比如 root、DBA 等，进行重点的监控，特别是哪些本不应出现在网络上的特权账号突然出现的事件。3.3.3强大的数据库规则系统能够根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件，对用

14、户关心的违规行为进行响应，特别是针对重要表、重要字段的各种操作，能够通过简单的规则定义，实现精确审计，降低过多审计数据给管理员带来的信息爆炸。3.3.4多编码环境支持天玥网络安全审计系统适用于多种应用环境，特别是在异构环境中，比如 IBMAS/400 通常采用 EBCDIC 编码方式实现 telnet 协议的传输、某些数据库同时采用几种编码与客户端进行通讯，若系统不能识别多种编码，会导致审计数据出现乱码，对多编码的支持是衡量审计系统环境适应性的重要指标之一，目前天玥网络安全审计系统支持如下编码格式ASCIIUnicodeUTF-8UTF-16GB2312EBCDIC3.3.5多种响应方式天玥网

15、络安全审计系统提供了多种响应方式，包括：在天玥审计服务器中记录相应的操作过程；在日常审计报告中标注；向天玥管理控制台发出告警信息；实时 RST 阻断会话连接；管理人员通过本系统手工 RST 阻断会话连接；通过 Syslog 方式进行告警通过 SNMPTrap 方式进行告警通过邮件方式进行告警3.4强身份认证传统的网络安全审计系统通过网络层捕获实现审计数据的解析，对网络行为的定位往往局限于 IP 地址和 MAC 地址，在某些场景，比如要求自然人和网络行为关联的情况下，由于 IP 地址或 MAC 地址不具备源头可信任，追踪稽查效果大打折扣。针对这种情况，启明星辰公司的天玥网络安全审计系统提供了 U

16、SB 硬件令牌、静态口令、Radius 支持三种方式进行认证，用户可选择适合自身使用习惯的认证方式实现对自然人的绑定，当自然人在进行网络操作时，其真实身份将会和网络行为进行关联，从而实现对自然人的追踪和稽查。3.5审计报告输出天玥审计系统从安全管理的角度出发，设计一套完善的审计报告输出机制。3.5.1多种筛选条件天玥网络安全审计系统提供了强大、灵活的筛选条件设置机制。在设置筛选条件时，审计员可基于以下要素的组合进行设置：时间、客户端 IP、客户端端口号、服务端 IP、服务端端口、关键字、事件级别、引擎名、业务用户身份、资源账号等条件。审计员可根据需要灵活地设置审计报表的各种要素，迅速生成自己希

17、望看到的审计内容。同时系统提供了报表模板功能，审计员无需重复输入，只需要设置模板后，即可按模板进行报表生成。3.5.2自动任务支持天玥网络安全系统提供报表任务功能，审计员可根据实际情况定制报表生成任务；系统支持 HTML、EXCEL、CSV、PDF、Word 等多种文档格式的报表输出，可以通过邮件方式自动发送给审计员。3.5.3数据和报表备份天玥网络安全审计系统提供了审计数据和报表的手动和自动备份功能，可以将压缩后的数据自动传输到指定的 FTP 服务器，提供每天、每周、每月、时刻的定义方式。3.6自身管理3.6.1安全管理天玥网络安全审计系统的管理控制中心提供了集中的管理控制界面，审计员通过管

18、理控制台就能管理和综合分析所有审计引擎的审计信息和状态信息，并形成审计报表。天玥网络安全审计系统支持权限分级管理模式，可对不同的角色设定不同的管理权限。例如，超级管理员拥有所有的管理权限；而某些普通管理员则可能仅拥有查看审计报表的权限，某些管理员可以拥有设置审计策略或安全规则的权限。系统提供专门的自身审计日志，记录所有人员对天玥系统的操作，方便审计员对日志进行分析和查看。3.6.2状态管理天玥网络安全审计系统提供 CPU、内存、磁盘状态、网口等运行信息，管理员可以很轻松的通过 GUI 界面实现对审计数据中心、审计引擎的工作状态进行查看。当出现错误信息时， 比如 Raid 故障、磁盘空间不足、引

19、擎连接问题，系统可自动邮件通知相关管理人员。3.6.3时间同步管理天玥网络安全审计系统提供手工和 NTP 两种时间同步方式，通过对全系统自身的时间同步，保证了审计数据时间戳的精确性，避免了审计事件时间误差给事后审计分析工作带来的影响，提升了工作效率。4关键特性与客户收益4.1关键特性审计事件入库达到每秒 8000 条以上，能够满足高性能情况下对审计系统的要求，避免性能不足导致事件不完整给事后审计追查带来的问题。支持主流商用数据库，实现细粒度的审计，能够审计时间、级别、目的 IP、源 IP、源端口、目的端口、源 MAC、目的 MAC、资源账号、数据库名、数据库表名、数据库命令、数据库字段及其对应

20、值、SQL 语句等信息。支持众多的数据库关键特性审计，包括 SQL 返回行数、SQL 响应时间、数据库账号登陆失败、数据库服务无法连接、数据库操作成功、数据表空间不足、数据库并发会话数超限、数据库并发进程数超限、数据库并发用户数超限、数据库并发游标数超限、数据库并发事务数超限、数据库锁超限、数据库死锁状况、数据库错误次数超限、数据库操作权限不足等多种情况的审计。支持灵活的审计规则，定制条件包括时间 IP、端口、账号名称、事件级别、内容等， 能够以精确匹配、模糊匹配、正则表达式匹配方式对审计事件进行匹配，帮助用户对关键操作进行及时响应。支持 IP 黑白名单、账号黑白名单、账号发现、账号跟踪审计、

21、账号行为事件分级等多种特性，便于在实际审计过程中进行灵活设置。全面考虑数据库系统的审计点，除了数据库 SQL 访问审计外，系统还提供了 Telnet、Rlogin、FTP、NFS、Netbios 等主机远程嵌入访问数据库、文件方式访问数据库的行为进行审计。提供足够的存储空间（1000G 以上），满足在线存储至少 6 个月的要求；支持 NTP 同步和自同步，能够保证审计记录的时间的一致性，避免错误时间记录给追踪溯源带来的影响。4.2客户收益4.2.1满足合规性要求，顺利通过 IT 审计目前，越来越多的单位面临一种或者几种合规性要求。比如，在美上市的中国移动集团公司及其下属分子公司就面临 SOx

22、法案的合规性要求；而商业银行则面临 Basel 协议的合规性要求；政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。天玥系统提供了一种独立的审计方案，有助于完善组织的 IT 内控与审计体系，从而满足各种合规性要求，并且使组织能够顺利通过 IT 审计。4.2.2有效减少核心信息资产的破坏和泄漏对单位的业务系统来说，真正重要的核心信息资产往往存放在少数几个关键系统上（如数据库服务器、应用服务器等），通过使用天玥系统，能够加强对这些关键系统的审计，从而有效地减少对核心信息资产的破坏和泄漏。4.2.3追踪溯源，便于事后追查原因与界定责任一个单位里负责运维的部门通常拥有目标系统或者网络设备的最

23、高权限（掌握 DBA 帐号的口令），因而也承担着很高的风险（误操作或者是个别人员的恶意破坏）。由于目标系统不能区别不同人员使用同一个帐号进行维护操作，所以不能界定维护人员的真实身份。天玥系统提供基于角色的审计，能够有效地区分不同维护人员的身份，便于事后追查原因与界定责任。4.2.4直观掌握业务系统运行的安全状况业务系统的正常运行需要一个安全、稳定的网络环境。对管理部门来说，网络环境的安全状况事关重大。天玥系统提供业务流量监控与审计事件统计分析功能，能够直观地反映网络环境的安全状况。4.2.5实现独立审计与三权分立，完善 IT 内控机制从内控的角度来看，IT 系统的使用权、管理权与监督权必须三权

24、分立。天玥系统基于网络旁路监听的方式实现独立的审计与三权分立，完善了 IT 内控机制。5部署与使用5.1部署方式天玥采用旁路部署方式对原有网络不造成影响，设备故障不影响现有网络的正常运行。一般部署方式如下：1、根据不同的审计范围部署一到多台天玥审计引擎；2、部署一台天玥审计数据中心；3、通过 IEl 浏览器进行访问和管理；图1. 天玥审计系统部署示意图图2. （注意：天玥审计引擎需连接在交换机镜像端口并且恰当配置）5.2使用注意事项明确需要审计的对象，以数据库审计为例，需要明确数据库系统、数据库系统所依赖的主机系统、交换机等设备需要审计的端口和协议，形成审计业务表明确审计系统部署的位置和审计事

25、件采集的方式，形成网络部署结构图对需要审计的应用上所存在的账号访问行为制定审计规则，尤其是特权账号的访问行为、关键表关键字段的访问行为等，备份已完成的策略文件制定回退计划，实现审计系统上线的切割。依照相关管理制度，完成定期生成审计报表、定期数据备份等日常维护工作清单， 备份相关配置文件、备份审计系统的相关账号和密码信息6产品型号CA300E 审计引擎百兆引擎、1U 上架专用设备、1 个100M 电口监听口、1 个 1000M 电口管理口、监听口不可扩充抓包性能：100Mbps每秒入库性能：8000 条/秒CA500E 审计引擎百兆引擎、1U 上架专用设备、2 个100M 电口监听口、1 个 1

26、000M 电口管理口、监听口不可扩充CA500S 审计数据中心百兆引擎的审计数据中心、2U 上架专用设备、支持 4 个百兆引擎、1 个1000M 电口管理口、1 个 1000M 备用电口、数据存储量 1.5T 、支持RAID5CA2300E 审计引擎千兆引擎、1U 上架专用设备、2 千兆电口监听、4 个 SFP 千兆插槽、1 个千兆管理口、最大支持 4 个监听口抓包性能：1000Mbps每秒入库性能：16000 条/秒CA2300S 审计数据中心千百兆引擎的审计数据中心、2U 上架专用设备、支持 2 个审计引擎、1 个1000M 电口管理口、1 个 1000M 备用电口、数据存储量 2T、支持

27、 RAID5CA2800E 审计引擎千兆引擎、1U 上架专用设备、2 千兆电口监听、4 个 SFP 千兆插槽、1 个千兆管理口、最大支持 4 个监听口抓包性能：1000Mbps每秒入库性能：32000 条/秒CA2800S 审计数据中心千百兆引擎的审计数据中心、2U 上架专用设备、支持 4 个审计引擎、1 个1000M 电口管理口、1 个 1000M 备用电口、数据存储量 2T、支持 RAID57产品资质天玥网络安全审计系统具有如下资质：中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证国家信息安全测评认证中心颁发的产品型号证书国家保密局颁发的涉密信息系统产品检测证书中国人民解放军

28、信息安全评测中心颁发的军用信息安全产品认证证书8服务支持公司总部 北京市海淀区东北旺西路 8 号中关村软件园 21 号启明星辰大厦邮编：100193 电话：010-8 传真：010-0分支机构联系方式： 北京市西城区南闹市口大街 1 号长安中心 5 层#4-5B 邮编：100031 电话：010-8 传真：010-8 上海市浦东新区张江高科技园区碧波路 177 号 A 区 1 层 101 室邮编：201203 电话：021-3 传真：021-5 杭州市万塘路 317 号华星世纪大楼 10 楼 1003 室邮编：310013 电话：0571-传真：0571-0 南京市珠江路 88 号新世界中心

29、A 座 2702 室邮编：210008 电话：025-传真：025-0-999 安徽省合肥市长江中路 177 号花样年华 1502 室邮编：230000 电话：0551-传真：0551- 深圳市福田区深南中路 2 号新闻大厦 14 层邮编：518027 电话：0755-8 传真：0755-8 广州市天河区中山大道西华景路 1 号南方通信大厦 9 楼邮编：510640 电话：020-8 传真：020-6 广西南宁市七星路 137 号外贸大厦 23 层 2305 室邮编：530022 电话：0771-传真：0771- 福州市五四路 151 号宏运帝豪国际大厦 10 层 1023 室邮编：35000

30、3 电话：0591-0 传真：0591-0 重庆市高新区科园一街 73 号科技发展大厦 F 座 5-7邮编：400039 电话：023-6/1007 传真：023-6 成都市高新区天府大道南延线高新孵化园 1 号楼 A 座 4 楼 D-5 号附 1、2 号邮编：610041 电话：028-1/2 传真：028-1-8008 贵阳市沙河街印刷厂宿舍 65 号 3 楼 5 号邮编：550000 电话：0851-传真：0851- 昆明市北京路广场金色年华 B 座 1603 室邮编：650031 电话：0871-传真：0871- 沈阳市和平区文化路 19 号金科大厦 910 室邮编：110004 电话

31、：024-9 传真：024-2 长春市西安大路 8 号新世纪鸿源广场 1 号公寓 1531 室邮编：130061 电话：0431-5 传真：0431-5 大连市西岗区新开路 72 号大连泓榆大酒店 419 室邮编：116011 电话：0411-9 传真：9 哈尔滨市南岗区文库街 16 号智力大厦 511 室邮编：150040 电话：0451-0 传真：0451-0 呼和浩特市大学东路 99 号(桥华世纪村东 150 米)内蒙古医药研究所五楼邮编：010010 电话：0471-传真：0471- 陕西省西安市南二环中段 396 号秦电国际大厦 0735 室邮编：710061 电话：029-8 传真：029-8-22 宁夏银川市金凤区学绒花园 8 号楼 2 单元 401 室邮编：750021 电话：0951-甘肃兰州市城关区武都路人民