搜索
中科新业网络哨兵服务器安全审计系统技术解决方案深圳市中科新业信息科技发展有限公司2019年10月18日第2页共19页目录1、概述.............................................................................................................................................32、XX企事业单位服务器安全审计面临的问题和挑战...............................................................33、中科新业网络哨兵服务器安全审计系统解决方案..................................................................43.1、系统部署.............................................................................................................................53.2、方案主要实现的功能及效果.............................................................................................64、产品选型及参数.......................................................................................................................125、产品获得主要资质...................................................................................................................136、案例介绍...................................................................................................................................177、中科新业简介...........................................................................................................................19第3页共19页1、概述随着人们对网络的使用越来越普及,网络给我们带来许多方便的同时,在网络中承担众多功能的服务器也带来了许多风险和挑战,例如:非法访问服务器、利用合法访问服务器身份对服务器进行非法操作、正常访问服务器对服务器进行误操作、上传发表不良言论、泄露公司敏感和机密信息。这些威胁和挑战事件多数是来自于内部合法访问者的“合法”操作,仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对这些网络安全事件(特别是基于应用程序)的行为审计要求,网络哨兵服务器版正是在这样的需求下产生的。凭借在安全审计领域多年的技术积累和研发经验,中科新业在成功开发和应用网络哨兵的基础平台上,推出的适用于多种网络环境的新一代网络安全审计系统。它通过专门细致的网络数据获取协议分析技术、数据存储技术、数据查询技术并配合完善的管理规则,帮助访问者应对来自网络的风险和挑战。2、XX企事业单位服务器安全审计面临的问题和挑战保存在服务器信息资产是企事业单位核心业务开展过程中最具有战略性的资产,通常都保存着重要的信息,这些信息需要被保护起来,以防止非法者获取。互联网的急速发展使得数据库信息价值及可访问性得到了提升,同时,也致使类似数据库等服务器信息资产面临严峻的挑战,概括起来主要表现在以下三个层面:管理层面:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,致使安全事件发生时,无法追溯并定位真实的操作者。技术层面:现有的数据库内部操作不明,无法通过外部的任何安全工具(比如:防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。第4页共19页审计层面:现有的依赖于系统运行日志文件的审计方法,存在诸多的弊端,比如:服务器审计功能的开启会影响服务器本身的性能、服务器日志文件本身存在被篡改的风险,难于体现审计信息的真实性。XX企事业单位作为重要的涉密单位,内部服务器存放着大量的涉密资料,一旦这些服务器遭到攻击或者被恶意操作,造成服务器宕机、数据丢失等,严重影响企业内部办公,网络管理人员无法及时获悉,及时处理,也无法准确定位责任人,迫切需要建立专业的针对服务器访问操作行为的安全审计机制。经过与XX企事业单位网络管理人员沟通,结合我们在服务器安全审计系统建设领域多年的实践经验,目前XX企事业单位建设服务器安全审计系统主要是为了解决以下问题:1、通过统一的管理平台,全面记录管理员或使用者对数据库服务器访问操作,当“数据库表结构、控制数据访问的权限和数据库配置模式”等发生变化时,需要进行自动追踪。2、全面审计对OA、ERP、邮件、ftp等关键服务器访问操作行为,发现可能存在的内容安全操作漏洞。3、建议智能的、针对数据库可疑操作的报警系统;可疑行为发生时可以自动启动预先设置的告警流程,防范数据库风险的发生;不论在什么时间、以什么方式、只要数据被恶意修改或查看了就需要自动对其进行追踪。4、从多个层面追踪到的信息自动整合到一个便于管理的,长期通用的数据存储,这些数据需要独立于被审计服务器本身。5、防止利用合法访问服务器身份对服务器进行非法操作、正常访问服务器对服务器进行误操作;防范上传或发送或发表不良言论、发送不良或有害文件、泄露单位敏感和机密信息。3、中科新业网络哨兵服务器安全审计系统解决方案深圳市中科新业信息科技发展有限公司(以下简称“中科新业”)是国内网络安第5页共19页全审计领域的先行者和领导厂商,针对企事业单位在网络安全审计需求,凭借着强大的研发团队和在网络应用协议分析、网络安全系统集成等近10年的实践经验,推出了业界领先的网络哨兵(Seentech,即服务器安全审计系统),中科新业一直致力于为广大客户打造安全、可靠、和谐的上善网络,发现可能存在的恶意、有意无意的针对服务器操作行为。为了解决上述问题,我们通过在XX企事业单位中部署中科新业网络哨兵服务器安全审计系统,该系统易于部署和操作,系统支持旁路部署方式,采用旁路部署时完全不改变原有网络架构和网络配置,不影响系统其运行性能,为XX企事业单位提供数据库、Web、Ftp、邮件、telnet等针对服务器操作级别一体化审计技术解决方案。通过建成XX企事业单位服务器安全审计系统,能够有效的对内部服务器的异常操作进行报警,全程记录所有用户针对关键后台数据库的操作命令,实现对网络中对服务器的访问行为、内容进行审计、报警、查询和分析,如网页浏览、收发邮件、数据库访问等全方位的审计。3.1、系统部署中科新业网络哨兵服务器安全审计系统旁路接入网络,不改变XX企事业单位原有的网络架构。第6页共19页网络哨兵服务器安全审计系统部署如上图示,在典型的网络环境下,与单位内部服务器连接的交换机必须支持端口镜像功能,网络哨兵旁路接入交换机镜像端口,审计对服务器的操作行为。3.2、方案主要实现的功能及效果3.2.1、静态数据库审计,及时预警安全事件在XX企事业单位网络内部署网络哨兵服务器审计系统,可以审计用户对数据库访问的行为,代替繁琐的手工检查,预防安全事件的发生。系统审计用户的IP、访问时间、端口、数据库所在的服务器IP、以及访问数据库的命令、以及命令返回的结果等追踪信息,任何尝试的攻击或违反审计规则的操作都会被检测到并实时告警(告警方式:短信或者邮件),以确保及时发现可能存在的非法操作,为后续的审计的安全策略设置提供有力的依据。目前支持针对DB2、Oracle、SQL-Server、MySQL等4种数据库的访问。3.2.2、FTP协议审计,降低文件被恶意操作风险在XX企事业单位网络内部署网络哨兵服务器审计系统,可以对内部上网用户使用FTP协议进行文件传输行为,审计访问者IP、端口、FTP服务所在的服务器IP、第7页共19页以及FTP进行文件传输行为(上传、下载)、命令、FTP用户名、上传下载时间等信息。记录恶意删除文件,保存用户下载文件记录,一旦服务器发生数据丢失做到有据可查。3.2.3、Telnet操作回放,防止恶意操作在XX企事业单位网络内部署网络哨兵服务器版审计访问者通过TELNET协议远程登入服务器的行为,审计访问者IP、端口、TELNET服务所在的服务器IP、以及TELNET进行远程登陆的命令、用户名等信息。3.2.4、数据交互审计,检测网络访问安全在XX企事业单位网络内部署网络哨兵服务器安全审计系统可以审计用户访问内部邮件、Web、BBS站点等服务器行为,记录访问内容信息,审计访问者的IP、访问时间、端口、访问网页所在的服务器IP,对可能出发报警关键字的访问进行及时报警,并保存日志,以备查验。检测内容包括:通过内部邮件服务器收发邮件完整信息(SMTP、POP3、webmail),Web站点点击率、内部BBS站点发帖详细信息内容(POST),防止服务第8页共19页器遭到攻击、外发一些可能触及法律责任的非法信息,为内容外发增加预警机制。可以针对网页内容,标题关键字报警;POST(BBS)内容关键字报警;BBS账号关键字报警;POP3&SMTP收发邮件账号报警;POP3&SMTP收发邮件标题关键字报警;POP3&SMTP收发邮件内容关键字报警;POP3&SMTP收发邮件附件内容关键字报警;WEBMAIL发送邮件账号报警;WEBMAIL发送邮件标题关键字报警;WEBMAIL发送邮件内容关键字报警;WEBMAIL发送邮件附件内容关键字报警;Ftp账号报警;Ftp上传文件内容关键字,文件名称报警;Telnet账号,内容关键字报警。第9页共19页3.2.5、服务器访问流量实时监控系统对服务器流入流出数据包流量可以以列表的形式显示所选服务器的数据包流量和流速,包括总数据包数、外发数据包数、外发包速、流入数据包数、流入包速、总流量、流入流量、流入速度、流出流量、流出速度,如下图所示:第10页共19页检测服务器访问流量是否异常,为科学规划服务器带宽资源提供科学依据。3.2.6、强大的日志报表分析统计报表为用户提供了强大的审计日志统计分析功能,用户可以在评估报表中根据自身的需求,生成多种自定义审计报表,系统支持多种样式的审计结果显示方式,如:报表、柱状图、折线图、趋势图、横向图、柱状均势图、饼状图、折线填充图等;第11页共19页借助网络哨兵日志分析报表系统,XX企事业单位网络管理人员可以清晰掌握服务器的被访问操作行为,快速查找可能存在的服务器操作安全事件。第12页共19页4、产品选型及参数型号项目SSA5000SSA7000产品图片操作系统基于优化的Linux系统基于优化的Linux系统处理器2颗INTELXEON5500系列CPU2颗INTELXEON5600系列CPU内存4G8G尺寸规格2U2U默认支持IP数5个IP授权(可扩展15)15个IP授权(可扩展50)网络接口4*10/100/1000M电口,2*1000M多模光口(光口选配)2*10/100/1000M电口,4*1000M多模光口(光口选配)电磁兼容性国家标准ClassA以上国家标准ClassA以上操作温度0℃~35℃0℃~35℃存储温度:-20℃~80℃-20℃~80℃相对湿度:0%~95%0%~95%网卡最大捕包速度100000pps(每秒数据包)120000pps(每秒数据包)数据保存时间90天以上90天以上备注