行为监控,全网审计——网络卫士安全审计系统TA应用安全审计技术的背景天融信TA安全审计系统概述TA安全审计产品应用介绍0102030405060708090200020012002200320042005百分比:年用户面临的安全问题从上图可以看出内网泄密在逐年增加。内网泄密逐年变化图用户面临的安全问题80%内网泄密病毒黑客攻击其它74%40%15%60%非法使用由上图可以看出,内网泄密所占比例最大。各种安全隐患比较图用户面临的安全问题内部用户成为泄密主要传播途径•据2005年美国调查结果,通过内网电子邮件和Internet互联网已成为泄密的主要途径。•中国信息安全测评认证中心的调查结果也表明,信息安全问题主要来自泄密和内部人员犯罪。企业对内网安全保护意识的薄弱,成为泄密主要原因发生了安全事故,无法对网络犯罪行为进行取证用户面临的安全问题–使用了众多安全产品,如防火墙、IDS、VPN等,网络安全状况到底如何?是否有安全事故发生?–众多安全产品产生的海量事件日志,如何处理?谁来处理?谁有时间处理?–面对如此多的海量日志,如何才能发现隐藏其中的安全隐患。日志数据格式不统一,难于分析。日志数据膨胀速度快,最后简单丢弃。缺乏集中查看、分析的有效工具。有事后性的特点。日志数据分析比较单一,没有关联性。对日志数据的安全分析比较简单。日志分析缺乏直观的报表等形式。用户面临的安全问题网络管理员:网络资源是否被非法占用?员工的行为是否符合公司规定?内部安全信息是否泄密?海量日志信息如何存储、分析?企业老总:员工是否在全心工作(如:上网、聊天)?企业的CRM/ERP系统是否有非法访问?研发系统的网络是否有为未授权访问?企业的敏感信息是否通过网络外露?管理部门:非法或不良信息通过网络传播;涉密信息的泄漏;通过网络的非法商业行为;安全事故的追踪与调查取证;等等。用户的需求安全审计技术的发展第一代第二代第三代简单的流量统计、TCP/IP分析网络行为审计、内容审计、日志审计大容量、高性能、分布式多种技术结合行为审计、简单的内容分析、日志汇总、单机版应用安全审计技术的背景天融信TA安全审计系统概述TA安全审计产品应用介绍为用户提供细致严密的全网审计,保护内网信息安全、保护各种设备安全运行;为用户事后取证提供详实的数据依据。TA为提供的价值•网络数据信息存储–日志信息(安全设备、OS、网络设备、应用服务)–网络传输数据信息(HTTP、FTP、MAIL、即时聊天QQ/MSN/ICQ/YahooMessenger、流媒体)•采集数据集中分析审计–网络行为审计–网络传输内容审计–异构系统日志集中审计–数据库审计•实现网络行为后期取证–报表统计–内容获取•对网络潜在威胁者予以威慑•适用于对信息保密、非法信息传播比较关心的单位;适用于需实施网络行为监控的单位和部门;适用于众多设备的智能分析、管理。TA为提供的价值TA-W产品介绍TA-W是集内容审计与行为审计为一体的安全产品TA-W以旁路方式接入被监控网络TA-W可以及时阻断非法连接访问(防火墙联动)TA-W可以提供相关证据利于查证TA-W是什么自适应深度协议分析技术OSI网络层次7.应用层2.链路层3.网络层4.传输层5.会话层6.表示层1.物理层协议分析的网络层次传统的协议分析技术自适应深度协议分析技术TA-W核心技术–从链路层到应用层对协议进行深度分析。–自动识别使用同一个端口进行通讯的不同应用协议。分布式高速数据采集技术–分布式部署、集中管理。–优化的数据采集技术。延迟小、效率高、实时性强。TA-W核心技术基于数据挖掘的内容审计技术采用数据挖掘技术对收集的到的大量的、随机的应用协议数据的内容信息进行审计。包括HTTP、FTP、SMTP、POP3、TELNET、等应用协议内容信息。TA-W核心技术基于数据仓库的海量存储技术TA-W核心技术产品的功能和特点支持多种应用协议的还原、审计–Web浏览——HTTP–多种电子邮件格式——POP3、SMTP、WEBMAIL、IMAP–文件下载——FTP–即时聊天——MSN、QQ、UC、YahooMessenger、ICQ–流媒体——MMS、RTSP产品的功能和特点支持多种审计方式–行为审计–内容查看审计–关键词查询审计产品的功能和特点支持多种查询、统计方式–支持多种查询条件–强大的报表与统计功能–能根据用户指定的各种复杂审计条件生成相应图表产品的功能和特点支持多种报警响应方式–邮件报警–阻断–TOPSEC联动产品的功能和特点支持多种编码压缩、文件格式–支持多种压缩格式:Zip、Rar、Arj、Gz等;支持多达十四层的压缩–支持多种文件格式:DOC、HTML、TXT、PDF等产品的功能和特点强大便捷的部署、管理方式–分布式部署,集中式管理–提供功能强大的串口命令配置功能。–友好宜用的界面,易于上手使用。–提供详细的帮助,极大地减轻了管理员的负担。产品功能和特点高速、完整、海量信息处理能力–零拷贝高速抓包–分布式数据采集、数据处理–强大的包重组和流重组能力,可以监控各种基于协议碎片的逃避检测行为产品功能和特点强大的监控、日志功能–网络实时流量、历史流量监控–系统资源实时监控–提供完整的操作日志、系统日志记录–对日志可以进行方便的查看、导入导出产品功能和特点旁路方式接入网络–使用交换机镜像口、共享式HUB接入网络,不影响网络部署方式、不影响网络性能–即插即用,安装非常简单产品功能和特点旁路方式接入网络邮件监控审计Http监控审计即时聊天监控审计Ftp监控审计……SiSiInternetTA-W管理中心(响应用户请求,数据汇总)数据中心(存储数据,还原协议、审计分析)审计引擎(采集网络数据、初步分析)网络环境TA-W审计人员产品组成分布式部署方案内网1防火墙核心交换机内网4内网3内网2Internet审计引擎1审计引擎3Web浏览器数据中心1管理中心审计引擎2数据中心2Web浏览器交换机1交换机2交换机3交换机4集中式部署方案内网1防火墙Internet审计引擎Web浏览器数据中心1管理中心交换机内网2可以部署在同一台机器上TA-W的竞争优势主要优势•强大的关键词审计功能•支持TOPSEC联动等多种响应方式•支持多种聊天工具:MSN、QQ、UC、YahooMessenger、ICQ•支持流媒体应用:MMS、RTSP•分布式部署,集中式管理•支持百兆、千兆网络环境TA-L产品介绍日志的收集、格式转换、过滤、实时分析、存储日志的查询日志信息的实时监视审计报表的自动生成系统运行的实时监视网络设备的实时监视基于日志的入侵检测安全响应TA-L解决的问题安全审计综合分析系统:一个分布式的日志存储、分析、管理的安全审计平台。他接受各种服务器、应用程序、防火墙、ids等安全设备的日志信息;并存储在一个中央数据库里;采用ids的技术分析、过滤网络和系统中可疑的安全事件;并以直观的方式显示给管理员。TA-L的系统结构防火墙WindowsUNIXLinuxExchange安全审计中心审计管理器日志数据库根据策略发送日志信息和状态信息插入日志记录查询、管理命令返回查询记录返回执行结果发送查询、管理命令读取原始日志信息路由器IDS……根据规则发送原始日志信息日志代理EvenlogIISTA-L系统的部署)审计管理器LinuxWindowsIISExchange安全审计中心安全审计中心LinuxWindowsIISExchangeLinuxWindowsIISExchange安全审计中心主审计域子审计域子审计域网络设备:cisco交换机、路由器、华为系列产品,北电等安全设备:天融信防火墙、PIX防火墙、NETSCREEN防火墙、天融信IDS等操作系统日志:WINDOWSEVENT日志、UNIX系统日志应用服务:IISWEB服务器、IISFTP服务器、APACHE服务器、EXCHANGE服务器等数据库:SQLServer、IBMDB2等系统支持的设备日志代理安全审计中心日志数据库审计系统管理器TA-L的四个功能模块TA-L产品的构成日志代理:收集各种操作系统、网络安全设备、应用程序的日志信息,过滤后发送给安全审计中心处理。安全审计中心:接受日志代理和各种安全设备、系统转发的日志信息,集中保存在日志数据库,分析后将输出报告给审计系统管理器。日志数据库:保存各种日志信息。审计系统管理器:提供给用户一个方便、直观的管理接口。WEB审计子系统:提供给用户一个远程WEB方式的管理接口,并提供报表浏览功能TA-L产品的构成TA-L产品功能审计全面的日志信息采集:支持安全设备(如防火墙,IDS、AV等)、网络设备(如router、switch)、应用系统(如Web、Mail、ftp)、操作系统(如Windows、Linux、Unix)等多种产品和系统的日志数据的采集和分析。跨平台的日志管理:支持对多种日志格式的分类、筛选、最大效率保存;日志自动导出、导入、删除、备份、恢复、转发等日志管理。方便快捷的日志查询:支持多种方式和快速的日志查询,并将查询结果以直观的报表的形式显示。安全信息的实时监视和统计:系统可以实时监视各类网络设备、安全产品、操作系统、应用服务产生的安全信息;并能将这些日志信息以报表等直观的方式实时显示给用户。支持SQLServer、IBMDB2数据库的审计。支持WindowsNT以上操作系统的文件访问审计功能。支持对安全事件的跟踪审计。监视配合天融信防火墙产品,提供对上网行为的监控与管理。支持多种方式的网络设备监视与系统资源监视TA-L产品功能报表支持自动生成100多种各类安全统计和分析报表。支持对各类网络设备、操作系统、应用服务进行监视,并能自动生成监视分析报表。分析支持基于主机的入侵检测基于特征检测的内容分析、基于分布式数据的相关性分析、基于人工智能的深度分析,有效进行异常行为检测。管理多级部署:支持多系统的级联部署方式,可以方便、快捷地部署在大型复杂的网络环境中。支持对日志数据、审计策略、系统不同组件进行集中、可视化的管理。支持TopSEC协议标准,能够和所审计的产品进行有效联动,提高审计系统和其他产品的互操作性,提高产品管理成效。支持本地及远程管理。产品特点介绍天融信安全审计综合分析系统设计中融入了先进的安全理念和思想,实现上采用软件及安全技术的最新成果。因此无论是在功能上还是在技术上都有许多独特之处。通过多级部署支持复杂网络全面跨平台的日志信息采集及管理全面丰富的分析报表独有的多层次的实时入侵检测及预警直观便捷的管理强大的监视功能多样的响应方式,通过TOPSEC协议支持联动支持远程升级支持员工上网行为管理(与天融信防火墙配合)界面展示一:员工访问目标站点统计界面展示二:员工上网明细其他独有的优势•文件操作审计:支持WindowsNT以上操作系统审计•数据库审计:支持SQLServer,DB2等•支持天融信全线产品审计:包括防火墙,IDS,VPN,病毒网关等系列产品•主机性能监视:支持实时监视windows和linux服务器的cpu、内存、磁盘占用率•网络设备监视:支持ping、url、smtp、pop3、dhcp、tcp端口监视TA的典型应用IBM-AIXLinuxWindowsTASolaris交换机路由器防火墙IDSIIS、ExchangeTA-W与TA-L的关系•都属于安全审计范畴;•TA-W对网络中传输的各种协议及内容进行审计;•TA-L主要对各种设备日志信息进行审计应用安全审计技术的背景天融信TA安全审计系统概述TA安全审计产品应用介绍TA-L产品应用TA-L的安装—安装步骤•安装步骤•日志数据库―→安全审计中心―→审计系统管理器―→日志代理TA-L的安装--安装前的注意事项安装前的注意事项:•操作系统:•中英文windowsnt/2000/xp服务器版•数据库系统:•MSSQLServer7.0以上版本(推荐SQLServer2000)•最低配置: