绿盟冰之眼安全审计系统

©2010绿盟科技冰之眼安全审计系统——日常使用、配置相关审计系统SAS常见维护4审计系统SAS上线配置2审计系统SAS简介1审计策略配置3SAS产品简介•国家颁布的安全等级保护技术要求，在确立为第二级（指导保护级）以及以上级的信息系统中必须建立并保存下面的各种访问日志•明确要求互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态，监测互联网安全事件•在美国上市公司必须遵循的“萨班斯(SOX)法案”中要求对企业内部网络信息系统进行评估，其中涉及对业务系统操作、数据库访问等业务行为的审计面临的主要问题等级保护萨班斯法案公安部82号令绿盟科技安全审计产品功能示意•支持ORALCE、SQLSERVER、MYSQL、INFORMIX、DB2等数据库；支持多种组合策略数据库操作审计•支持FTP/TELNET•实现命令级审计业务操作命令审计•基于关键字的网页内容审计•网站访问行为审计•庞大的URL库，超过一千万条上网行为审计•WEB登录认证•支持LDAP/RADIUS认证用户认证•支持SMTP、POP3、WEBMAIL等协议•支持基于邮箱地址、邮件主题、邮件内容、附件名的关键字审计功能邮件审计•覆盖国内多数主流论坛•完整记录日志信息包括发帖主题、发帖内容等论坛审计•支持QQ、MSNMessenger、ICQ、雅虎通、新浪UC等即时通信行为审计•支持HTTP、FTP协议•用户可自定义下载文件类型，对文件上传、下载类型进行审计•完整日志信息记录，包括操作命令、文件名等文件上传下载部署示意产品架构系统三大组件•网络引擎•安全中心/WEB控制台•升级站点产品上线配置冰之眼SAS配置-Web登录•端口默认的IP地址为192.168.端口号.1/24•Web登录：（默认用户/密码：webadmin/webadmin)冰之眼SAS配置-导入证书•证书（License）–控制系统工作模式–控制有效工作口数–控制正常升级期限•导入–解压证书文件–导入sensor文件夹中文件即可–按照提示操作(重启引擎)，生效•配置设备管理地址–修改对应接口的IP即可–对应安全区为【带外管理】–配置管理地址对应的网关（可省略）•配置监听口的安全区–对应安全区为【监听】冰之眼SAS配置-配置网络接口例如上图中ETH1为审计数据口，ETH0为设备管理口冰之眼SAS配置-系统控制策略配置生效网络配置更改生效•通过系统控制，将配置更改生效–应用配置：策略配置生效–重启引擎：网络接口配置生效，有瞬断现象•安全中心：设备统一管理+日志分析•安全中心的安装–确认没有安装IIS、apache和postgresql应用服务，如果已安装必须先卸载或者进行特殊配置–安装的硬盘分区格式必须是NTFS–双击setup.exe文件进行安装–安装完毕可以通过双击桌面图标和浏览器远程访问（地址）2种方式，用账号admin/admin登录冰之眼SAS配置-安全中心安全中心配置：冰之眼管理•添加需要管理的SAS引擎•引擎配置安全中心地址，完成数据日志发送–本机地址：SAS的管理地址–主安全中心地址：安全中心服务器地址–一号安全中心地址：安全中心服务器地址冰之眼SAS配置-管理配置小结•网络接口分配(如：eth0管理，eth2监听)•探测器的安装：浏览器进行初始配置–登录：webadmin/webadmin–sensor证书导入：系统-〉证书管理–网络配置：网络-〉接口–接口IP地址改变–添加路由（探测器与控制台不在一个子网；起三层模式）–网络配置：系统配置-〉安全中心连接–保存、重起引擎•安全中心的安装–确认没有安装IIS、apache和postgresql应用服务，如果已安装必须先卸载或者进行特殊配置–安装的硬盘分区格式必须是NTFS–admin/admin登录，添加需管理的探测器审计策略配置图示•策略完全基于对象组成配置要点•内容审计策略的核心是审计对象•审计对象聚焦于您的关注点–数据库审计–上网行为审计–网上应用审计–服务器操作审计–……..•审计对象的核心是关键字–关键字越精确，审计效果越好–存在部分审计对象，基于规则，如视频/P2P…•系统审计对象•自定义审计/审计组•审计策略通过对审计对象的组合实现不同的审计要求审计对象实现上网行为审计•网站访问审计–HTTP_访问普通站点–HTTP_访问特定站点•网页内容审计–HTTP_搜索引擎提交关键字–HTTP_访问页面包含特定关键字–HTTP_论坛发贴子包含特定关键字–TELNET_论坛发贴子包含特定关键字信息泄漏审计•邮件审计–SMTP_邮件发送–POP3_邮件接收–WEBMAIL_邮件发送–审计的附件包括word/pdf/文本文件•即时通信工具审计–MSN_发送/接收消息–QQ_发送/接收消息•文件传输审计–HTTP_文件上传、下载–FTP_文件传输数据库审计•典型数据库审计策略如下：•包含多种操作命令审计•业务操作审计–默认对FTP/TELNET操作进行审计–策略包含审计对象如下所示：业务操作命令审计其他审计要求：资源滥用•对使用网络的行为进行审计–ANY_在线视频–ANY_在线游戏–ANY_IM聊天–ANY_股票软件关键字•关键字的类型–常规关键字–正则表达式：regex_–16进制关键字：hex_•关键字的匹配原则•关键字的设置–关键字字段–关键字列表文件高级功能：协议还原•系统支持对若干重要对象提供协议还原功能，•支持的对象包括：•浏览网页•论坛发帖•WebMailHTTP•邮件发送SMTP•邮件接收POP3•操作命令Telnet•操作命令FTP邮件事件信息邮件事件摘要邮件还原信息例子1例子2发帖事件信息发帖还原信息事件摘要实时论坛发帖记录发帖内容全面还原协议还原配置方法•在内容审计规则上配置协议还原•审计对象支持协议还原时才会出现相关选项•组对象与多选对象不支持协议还原还原信息查看方法•Web界面–在事件报表中进行查看–带有还原信息的事件以粗体显示–事件摘要中包含还原文件的链接还原信息查看方法•安全中心–在日志分析中进行查看–在系统-系统设置-协议还原文件接收设置可以进行内容管理事件协议还原文件的接收设置，包括帐号、密码和协议还原文件的存放目录。还原信息查看方法•还原文件的格式–HTTP协议•还原文件为html格式•可以直接在浏览器中查看–SMTP&POP3协议•还原文件为eml格式•可以保存到本地后双击查看–Telnet&FTP协议•还原文件为txt格式•可以直接在浏览器中查看还原信息同步•还原信息通过FTP同步到安全中心•需要在引擎上配置同步信息–服务器地址–用户名–密码–同步时间•需要在安全中心上配置FTP服务器–同步用户的根目录需设置到安全中心的安装目录常见维护安全中心之日志分析•日志查询•报表•日志维护日志分析安全中心之：日志分析•日志查询•报表•日志维护日志分析安全中心之：日志分析•日志查询•报表•日志维护•备份•恢复•清除•自动备份日志分析升级相关•设备升级–访问，即可获取最新的升级文件–登陆设备web管理界面，系统-升级恢复中导入升级相关•安全中心在线升级–可以在系统系统设置自动升级设置里进行设置升级相关•安全中心离线升级–访问，即可获取最新的升级文件–在安全中心上导入•客户支持热线400-818-6868•24小时手机13321167330联系我们©2010绿盟科技谢谢!