三.系统构成
系统典型的配置和部署如下图所示。
系统典型配置
安全风险往往出现在“不同”之中,出现在“设想”之外。
此系统从多角度显示系统在怎样的运行、后一时刻与前一时刻的运行有何不同,系统的实际运行状况与设计(或设想)的运行模式有何不同,并针对这些不同作出恰当的响应。
系统基于“IP数据俘获→强身份认证→应用层数据分析→审计和响应”实现各项功能,设计中充分贯彻了平台化的思路,使得它具备“安全认证和审计工具”的特征,与基于日志收集的审计系统有着很大的区别。
基于日志收集的审计系统将原系统中的日志信息收集起来,综合形成审计报告,审计功能受限于原系统的日志功能和访问控制功能,在审计深度、审计响应的实时性方面都难以获得很好的审计效果。
在基本安全功能的基础上,此系统可针对具体的应用需求,如FTP/Telnet系统维护操作、SQL数据库维护操作,制定应用级别的认证和审计策略,使得系统能针对具体的应用或业务系统实现命令级别、访问逻辑级别的的认证和审计。如果再辅以专业安全服务商提供的安全咨询和服务,此系统可以更及时、准确地反映系统的安全运行状况,并进行相应的控制。
此系统主要实现以下安全功能:
1. 强身份认证和访问控制:基于CA数字证书或一次性动态口令对访问者进行身份认证,之后根据经认证的身份实现访问控制,禁止非法用户访问被保护的信息。
2. 应用级的安全审计和响应:特有的“策略库(Application Policy Library)”可以深入到应用层协议(如操作命令、业务操作过程)实现详细的安全审计,并根据安全策略采取诸如记录、审计、告警、阻断等响应。
3. 提供多视角的审计报告:根据实时记录的网络访问情况,提供多种安全审计报告,更清晰地了解系统的使用情况以及安全事件的发生情况,并可根据这些安全审计报告进一步修改和完善“策略库(Application Policy Library)”。
系统-Console管理控制台:安装于Windows2000操作系统之上,提供管理控制界面。
系统-Server认证审计服务器:基于专门硬件构建,负责安全策略的生成、解释、管理,审计数据的记录和整理。
系统-Sensor嗅探器:基于专门硬件构建,根据安全策略对俘获的数据进行比对、分析,并做出响应动作,如告警、阻断等。
系统-Agent认证代理:安装于客户端计算机之上,配合此系统-Sensor完成用户的强身份认证。
系统-PL(Policy Library)策略库:针对不同的应用协议、应用(业务)系统提供状命令级的安全策略支持。是此系统系统中最具特色、最具价值的模块。
此系统独具特色的“策略库(Policy Library)”设计,使得系统不但具备了功能强大的安全审计功能,更具备了网络安全分析工具及“应用层IDS”的特征。用户可以自己定义符合业务特征的“策略库”,也可选用针对特定业务系统设计的“策略库”。
策略库分为两类:基础策略库,和针对具体应用、具体业务的策略库。
基础策略库(Basic PL)提供了基于IP报的安全策略的制定功能。用户可以直接编辑安全策略,也可利用此系统提供的“录制”功能,在俘获的IP报的基础上,提炼出符合需要的安全策略。
应用策略库则针对不同的通信协议、业务系统进行设计,目前提供了数据库(DB)策略库(PL/DB)、Unix主机策略库(PL/UMG),并提供了专门的模块,以支持SSH协议和远程桌面终端登录(RDP、3389协议)的审计。
针对不同协议或业务系统的应用 “策略库(Policy Library)”使得用户可以灵活地制定数据俘获、安全审计及响应策略,根据系统实际的运行情况输出恰当的审计报告,更全面、更有重点地了解和掌握系统的运行状况。
随着研发工作的不断深入,我们还会根据不同的应用协议或应用系统开发出具备应用特征、行业特征的“策略库(Policy Library)”。这也是此系统最具生命力的特点:随着系统的应用和 “策略库(Application Policy Library)”的及时更新, 系统所提供的功能将越来越丰富、越来越接近用户的实际使用需求。
四.主要功能
系统具备四大功能:强身份认证、操作审计、系统性能监控和故障分析,并提供可定制的审计报表。
◇ 强身份认证功能在不改变原系统的网络配置、软件的前提下,为系统增加一层安全措施,同时也为集中用户管理和鉴权提供了技术支撑。
◇ 操作审计功能真实地解析、分析、记录用户操作,当发现越权操作时,及时告警或阻断。
◇ 系统性能监控和故障分析则对系统关键资源进行实时监控,提供响应时间、响应结果的统计;根据原始信息分析出系统性能波动、系统故障的原因。
◇ 可定制的审计报告功能允许用户根据需要设定审计报表内容,从而为系统提供了一种方便、直观、高效的信息输出机制。
强身份认证和关联审计、控制
◇ 保证只有授权的认证用户才可登录到被保护的网段、主机或业务系统
• 系统提供了基于CA证书或动态口令的强身份认证机制;
• 访问被保护资源时,需要向系统提交合法的CA证书或一次性动态口令;
• 完成身份认证后,开放相应的访问权限;并根据针对该用户设定的策略进行审计或控制。
◇ 对共用账号的使用进行细粒度的区分和审计
• 多人同时使用一个系统账号时,基于身份、IP地址等信息,分辨出每个登录操作者的真实身份,从而进一步细分访问权限。
深入主机、数据库、业务系统进行操作审计和控制
◇ 针对主机维护常用协议,包括FTP、Telnet、rlogin、RCP、SSH等进行命令级的审计和控制;
◇ 对数据库操作进行命令级、过程级的审计和控制,支持Oracle、Informix 、DB2、Sybase 、MS SQL Server 等主流数据库;
◇ 针对C/S、B/S业务系统提供操作审计和控制;
◇ 用户自行定义响应内容及其响应方式;
◇ 实时显示当前用户登录情况,可对会话进行实时监控。
系统性能监控和辅助故障分析
系统像一台示波器或逻辑分析仪,可以根据需要采集并显示相关信息,为系统性能分析、故障排
查提供有力的支持。
◇ 系统性能监控;
◇ 故障分析;
◇ 通信协议跟踪和分析 。
强大的审计报表
系统提供了强大的审计报表功能,管理员可以根据关心的内容设置审计报表的输出。
◇ 提供多种查询方式,从多种角度入手,搜寻出用户关心的内容,最终跟踪到操作人;
◇ IP地址、时间,及原始的操作数据等;
◇ 根据自定义的审计规则,自动生成审计报告。