网络哨兵服务器审计技术解决方案—模板.doc

中科新业网络哨兵 服务器安全审计系统技术解决方案 深圳市中科新业信息科技发展有限公司 2011年10月11日 1、 概述 3 2、 XX企事业单位服务器安全审计面临的问题和挑战 3 3、 中科新业网络哨兵服务器安全审计系统解决方案 4 3.1、 系统部署 5 3.2、 方案主要实现的功能及效果 6 4、 产品选型及参数 12 5、 产品获得主要资质 13 6、 案例介绍 17 7、 中科新业简介 19 概述 随着人们对网络的使用越来越普及，网络给我们带来许多方便的同时，在网络中承担众多功能的服务器也带来了许多风险和挑战，例如：非法访问服务器、利用合法访问服务器身份对服务器进行非法操作、正常访问服务器对服务器进行误操作、上传发表不良言论、泄露公司敏感和机密信息。这些威胁和挑战事件多数是来自于内部合法访问者的“合法”操作，仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对这些网络安全事件（特别是基于应用程序）的行为审计要求，网络哨兵服务器版正是在这样的需求下产生的。凭借在安全审计领域多年的技术积累和研发经验，中科新业在成功开发和应用网络哨兵的基础平台上，推出的适用于多种网络环境的新一代网络安全审计系统。它通过专门细致的网络数据获取协议分析技术、数据存储技术、数据查询技术并配合完善的管理规则，帮助访问者应对来自网络的风险和挑战。 XX企事业单位服务器安全审计面临的问题和挑战 保存在服务器信息资产是核心业务开展过程中最具有战略性的资产，通常都保存着重要的信息，这些信息需要被保护起来，以防止非法者获取。互联网的急速发展使得数据库信息价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战，概括起来主要表现在以下三个层面： 管理层面：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。 技术层面：现有的数据库内部操作不明，无法通过外部的任何安全工具(比如：防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。 审计层面：现有的依赖于日志文件的审计方法，存在诸多的弊端,比如:审计功能的开启会影响本身的性能、日志文件本身存在被篡改的风险，难于体现审计信息的真实性。当“数据库表结构、控制数据访问的权限和数据库配置模式”等发生变化时，需要进行自动追踪可疑行为发生时可以自动启动预先设置的告警流程，防范数据库风险的发生不论在什么时间、以什么方式、只要数据被修改或查看了就需要自动对其进行追踪从多个层面追踪到的信息自动整合到一个便于管理的，长期通用的数据存储，这些数据需要独立于被审计本身 网络哨兵服务器安全审计系统部署如上图示，在典型的网络环境下，与单位内部服务器连接的交换机必须支持端口镜像功能，网络哨兵旁路接入交换机镜像端口，审计对服务器的操作行为。 方案主要实现的功能及效果 静态数据库审计，及时预警安全事件 在XX企事业单位网络内部署网络哨兵服务器审计系统，可以审计用户对数据库访问的行为，代替繁琐的手工检查,预防安全事件的发生任何尝试的攻击或违反审计规则的操作都会被检测到并实时告警后续的审计的安全策略设置提供有力的依据。 FTP协议审计，降低文件被恶意操作风险 在XX企事业单位网络内部署网络哨兵服务器审计系统，可以对内部上网用户使用FTP协议进行文件传输行为，审计访问者IP、端口、FTP服务所在的服务器IP、以及FTP进行文件传输行为（上传、下载）、命令、FTP用户名、上传下载时间等信息。记录恶意删除文件，保存用户下载文件记录，一旦服务器发生数据丢失做到有据可查。 Telnet操作回放，防止恶意操作 在XX企事业单位网络内部署网络哨兵服务器版审计访问者通过TELNET协议远程登入服务器的行为，审计访问者IP、端口、TELNET服务所在的服务器IP、以及TELNET进行远程登陆的命令、用户名等信息。 数据交互审计，检测网络访问安全 在XX企事业单位网络内部署网络哨兵服务器安全审计系统可以审计用户访问内部邮件、Web 、BBS站点等服务器行为，记录访问内容信息，审计访问者的IP、访问时间、端口、访问网页所在的服务器IP，对可能出发报警关键字的访问进行及时报警，并保存日志，以备查验。 检测内容包括：通过内部邮件服务器收发邮件完整信息（SMTP、POP3、webmail），Web 站点点击率、内部BBS站点发帖详细信息内容（POST），防止服务器遭到攻击、外发一些可能触及法律责任的非法信息，为内容外发增加预警机制。 可以针对网页内容，标题关键字报警；POST（BBS）内容关键字报警；BBS账号关键字报警；POP3SMTP收发邮件账号报警；POP3SMTP收发邮件标题关键字报警；POP3SMTP收发邮件内容关键字