1、汉邦信息安全综合强审计监控系统技术白皮书4.0汉邦信息安全综合强审计监控系统技术白皮书汉邦软科集团汉邦信息安全综合强审计监控系统技术白皮书目 录 1. 引言11.1 网络安全的重要性11.2 什么是强审计11.3 强审计的重要作用22. 系统概述23. 系统组成24. 功能介绍34.1 主机审计监控子系统34.2 网络审计监控子系统64.3 数据库审计监控子系统65. 系统的安全性65.1 认证和传输方式65.2 记录方式75.3 审计数据的完整性75.4 处理方式76. 运行环境76.1 审计中心配置要求76.2 主机传感器配置要求87. 产品特点87.1 完善的安全审计功能87.2 模块化
2、设计87.3 多级数据提取技术87.4 统一管理平台设计88. 技术特色88.1 分布式88.2 综合性98.3 扩展性109. 汉邦信息安全综合强审计系统在网络信息安全管理中的作用1010. 部分重大课题1111. 汉邦信息安全综合强审计系统部分典型客户1112. 证书14内部资料 注意保管 严禁转载 违者必究 - 19 -1. 引言随着信息技术的发展,信息网络国际化、社会化、开放化和个人化的特点,在给人们带来方便、高效和信息共享的同时,也给信息安全带来许多问题。恶意、过失、不合理的信息上传、下载和发布,会造成敏感信息泄漏、有害信息扩散,危及社会、国家、团体和个人的利益。1.1 网络安全的重
3、要性近几年来,随着计算机网络的迅猛发展,特别是互联网的不断推广应用,网络安全越来越成为人们关注的热点之一。如何保障网络的安全使用,如何制定并实施合理的网络安全规则,成为人们亟待解决的问题。网络安全不仅事关国家的安危与主权,而且关系到企业、机构及个人的利益。据统计,在全球范围内,由于信息系统的脆弱性而导致的经济损失,每年高达数亿美元,并呈逐年上升趋势。1.2 什么是强审计审计的原始意义是指独立检查会计账目,监督财政、财务收支真实、合法、效益的行为。安全审计监控是指记录用户使用计算机网络系统的所有过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样的使用。审计信息对于确
4、定问题、是否有网络攻击和攻击源很重要。通过对安全事件的连续收集与积累并加以分析,对其中有疑问的某些站点或用户进行审计跟踪,以便为发现可能产生的破坏性行为提供有利的证据。信息安全综合强审计监控系统主要突出审计的综合性、强制性和全面性。综合强审计系统从防御到事后取证,全面地对整个网络、主机、服务器、数据库、应用系统进行审计与保护,能够有力抵御各种破坏行为。同时,该系统采用分布式跨网段设计,集中统一管理,可对审计数据进行综合的统计与分析,可以更有效的防御外部的入侵和内部的非法违规操作。1.3 强审计的重要作用目前,国内外信息安全市场主要集中在防火墙、入侵监测、漏洞扫描等防外的产品上。网络安全以单点防
5、护为主,大量安全产品简单堆砌,形不成规模化、体系化的立体防护体系。在网络信息安全发展的现阶段,网络规模不断扩大,网络设备和节点不断增加,同时网络安全事件层出不穷,有愈演愈烈之势,仅靠过去单一的网络安全产品已无力保障网络信息的安全运行。同时,业界过分重视防范来自外部的信息安全事件,缺乏有效的内部人员威胁解决方案,甚至很少有这方面的研究项目,大多数人对内部人员威胁的认识仅限于概念层面上,更缺少针对内部人员威胁的安全审计监控系统的技术研究和产品开发。据统计,80%的攻击事件、失窃密事件来自内部,内部人员更容易接触到绝密、重要、敏感的信息,来自内部的安全问题更多、更难防范,一旦出现内部安全问题,损失更
6、大。安全综合强审计监控系统是是当前乃至未来信息安全产业的焦点,是信息化建设中至关重要的一环,是确保信息化健康、稳定、持续发展的关键。2. 系统概述汉邦信息安全综合强审计监控系统是一个能够监控、审查内部人员操作行为,保护内网主机、服务器、网络、数据库安全的管理工具,具有良好的可靠性和易用性。该产品可以广泛应用于电子党务、电子政务、电子商务、电子金融、数字化部队、武器装备科研生产单位、科研生产单位、传媒行业、大型企业、制造业等需要加强“内部人”行为控制、加强责任认定和完善授权管理的部门和领域。3. 系统组成汉邦信息安全综合强审计系统采用分布式、模块化的设计思想,整个系统由软硬件组成,包括审计中心(
7、软件)、主机传感器(软件)、网络引擎(硬件)。l 主机传感器主机传感器直接安装于被审计的主机上,对主机的日志、网络操作、文件操作、重要资源使用等进行监控与审计。l 网络引擎连接到网络中的数据汇聚点设备上(如:集线器、交换机等),它抓取网络中的数据包,并对抓到的数据包进行分析、匹配、统计,通过特定的协议规则,从而实现网络审计功能,并且将入侵的信息记录下来。l 审计中心审计中心提供图形化界面,方便用户使用。它是网络管理员操作审计系统的人机界面,通过它可以设置各种审计规则;接收数据采集器发送来的报警信息,查看具体的报警信息,浏览历史数据,生成各种报表等。4. 功能介绍汉邦信息安全综合强审计监控系统分
8、为主机审计监控子系统、网络审计监控子系统、数据库审计监控子系统。各系统的具体功能说明如下:4.1 主机审计监控子系统主机审计监控采用主机传感器组件,安装于受控的主机系统中,通过对被审计主机资源和重要文件与信息的审计,起到审计和监控主机资源的作用。4.1.1 网络审计监控能够禁止、记录计算机在某个时间段内访问某个IP地址、某个端口、某个网段、某进程,允许或禁止网络连接的行为并记录。4.1.2 拨号审计监控通过设置拨号规则进行拨号控制管理,允许或禁止用户通过拨号形式连接外网。同时,根据规则设置记录允许和禁止的拨号事件。4.1.3 文件审计监控能够根据文件的扩展名、文件名、路径名、移动盘,对各类文件
9、的写入、拷贝、删除、创建、读取、覆盖、移动或重命名进行审计并记录,出现违规操作能及时报警。4.1.4 系统日志审计能对主机上的系统日志、安全日志进行统一收集,集中管理。4.1.5 进程审计监控集中收集主机上的进程信息,通过对进程黑白名单的设置将进程设置为合法进程或非法进程,一旦主机上出现非法进程时,能及时报警。4.1.6 打印审计监控对主机的打印操作进行审计监控。允许或禁止打印行为,记录打印事件和打印文件内容,同时能实现打印内容回放。4.1.7 主机IP审计监控允许或禁止被审计主机的IP地址修改行为,同时可以记录被审计主机IP地址的修改信息。4.1.8 盘符审计监控通过设置规则,允许或禁止用户
10、使用计算机的软驱、光驱、USB存贮设备、USB光驱、光驱只读、安全模式等,并记录被监控主机违规操作情况。4.1.9 硬件审计监控通过策略设置,对安装有审计客户端计算机的硬件资源进行审计监控,对于指定的硬件设备,审计系统可限制其使用。对硬件的变更可以进行记录,方便日后追查。4.1.10 屏幕审计监控监控、记录被审计主机的屏幕信息,审计中心可按照策略对指定计算机在指定时间段内的屏幕信息进行截屏、保存,可以实时播放当前被审计计算机的屏幕信息以及历史屏幕信息回放,从而具备实时监控和事后追查能力。4.1.11 键盘审计监控监控、记录被审计主机的键盘操作信息,审计中心可按照策略对指定计算机在指定时间段内的
11、键盘操作行为进行审计保存,可以实时播放当前被审计键盘操作信息以及历史键盘操作信息回放,并具备实时监控和事后追查能力。4.1.12 U盘认证可与汉邦安全U盘配套使用。汉邦安全U盘是在外网不能使用的高密级U盘。同时,在审计中心可对指定的普通U盘进行认证,完成认证后的U盘为普密级的U盘,可在启用U盘认证的审计客户端的计算机上使用,未经过认证的U盘不能在启用U盘认证的审计客户端计算机上使用;认证过的U盘可在未启用认证的计算机(或外网的计算机)上正常使用,对于违规操作,系统将产生报警记录并阻断操作。4.1.13 U盘加密实现对U盘内文件的加密功能,采用高强度128BIT加密手段,有效杜绝U盘内文件被非授
12、权终端查看的风险,并支持基于通配符的细粒度策略设置,能够精准定位目标文件,提供更有针对性的文件防护机制。同时,支持以终端为单位,实现对移动存储介质在该终端上的读、写控制功能。4.1.14 登录监管通过对原有WINDOWS操作系统登录功能的托管,实现对用户登录终端各类途径的全方位监管,包括开机登录监管、锁屏登录监管等登录途径,从而取代原有用户名加口令的登录方式,以令牌(KEY、卡等介质)加pin码的方式登录系统,在加强系统登录灵活性的同时,也提高了系统登录的安全强度。同时,根据系统记录的详细登录信息(登录时间、登录用户、登录方式、登录结果等),能够及时发现任何企图违规登录系统的行为,并告知管理员
13、。4.1.15 USB监管采用排它式加载策略,只对加载USB设备进行放行,有效杜绝违规USB设备任意使用的情况。配合针对特性终端的USB设备授权机制,可灵活调整各终端使用USB设备的权限。4.1.16 软件资源审计通过策略设置,对安装有审计客户端计算机的软件资源进行审计监控,可远程查看安装有审计客户端计算机的软件资源情况。包括记录被审计客户端软件变更情况、安装非法软件情况、未安装指定软件情况等等。4.1.17 邮件审记监控记录被审记主机上通过OUTLOOK、FOXMAIL进行邮件收发的行为。 包括发信人、收信人、发送时间、邮件主题、邮件内容、附件内容。并可以进行允许或禁止其发送邮件的操作。4.
14、1.18 文件扫描通过设置扫描关键字、扩展名以及路径名,对被审记主机上所有相关文件进行扫描,并显示符合上述设置的文件信息。4.1.19 文件发送通过审计中心和客户端的通信,可以把审计中心中的文件发送到目的地主机中,并进行安装操作。4.2 网络审计监控子系统网络审计监控子系统将网络引擎(独立硬件设备)连接到网络中的数据汇聚设备上(如:集线器、交换机等),它抓取网络中的数据包,并对抓到的包进行分析、匹配、统计,通过特定的协议算法,从而实现入侵检测、协议审计等功能。4.2.1 网络入侵检测从网络中抓取数据包进行协议分析,从中分析入侵行为。同时记忆基于连接的网络数据包前后状态,发现入侵可疑企图即产生报
15、警事件。4.2.2 MAC地址审计指定IP地址和MAC地址的对应关系,如果抓取到的数据包与此对应关系不符,则产生报警事件。4.2.3 流量审计对抓取的数据包进行规类统计,得到各种流量统计表或统计图。可以对某些地址的流量设定阀值,超过规定值时即产生报警事件。4.2.4 协议审计对应用协议的操作和内容进行分析,对有特殊内容或某些违规的操作产生报警事件,审计的协议类型包括:telnet、ftp、Tftp、SMB、Rlogin、Http、Netbios、Pop3、Smtp等等。4.3 数据库审计监控子系统数据库审计监控子系统采用旁路技术对数据库的远程连接操作进行分析,不依赖数据库自身日志,通过细粒度、
16、多层次的策略设置,有效定位各种企图远程登录、操作数据库的行为,并记录下其源IP、访问时间、登录用户、操作行为、访问数据库和字段等详细信息,更能还原其原始操作语句。5. 系统的安全性5.1 认证和传输方式审计数据的传输采用一次性密码认证的帧传输方式,一帧包括帧头、内容和帧尾,对整个帧进行加密,并且增加了完整性校验。5.2 记录方式各传感器启动时按最近的一次策略设置进行审计,如果与审计中心连接不成功,则审计数据加密后临时保存于本地,等与审计中心连接后这些信息再发往审计中心,同时本地信息删除;连接成功之后的日志事件信息直接发往审计中心。审计中心收到的日志事件信息存放于大型数据库中,采用专用的API接
17、口对信息数据进行存取。对于保存于大型数据库中的审计数据都进行了加密处理,同时对大型数据库的访问增设密码,以禁止审计数据的非授权访问。5.3 审计数据的完整性记录审计数据的大型数据库应实时备份,如果在向大型数据库写入数据时出现异常,例如数据库连接失败、数据库数据溢出等,则系统自动把加密后的审计数据临时保存于本地,并报警,等数据库恢复后自动把保存于本地的数据写入数据库,本地数据删除。5.4 处理方式主机传感器在目标主机安装成功后,没有专门的反安装软件将不能卸载,在每次启动系统时自动启动并进行审计监控。传感器从审计中心接收到审计策略后保存于本地,启动时按最近的策略进行审计监控。用户可以在审计中心对每
18、一个传感器定制审计策略。传感器并不提供任何报警信息,它把报警信息传送到审计中心,由审计中心决定是否要蜂鸣、发送邮件等。除了实时的事件处理外,通过报表统计模块对所有的日志事件信息进行查询、统计、分析等。6. 运行环境6.1 审计中心配置要求l 处理器:奔腾IV以上l 内存:256MB(建议512MB以上)l 操作系统:WinNT/2000 server/2003server,建议Win 2000 Serverl 硬盘:80GB以上6.2 主机传感器配置要求l 处理器:奔腾II以上l 内存:128MB及以上内存(RAM)l 操作系统:WinNT/2000/XP/2003l 硬盘:1G以上7. 产品
19、特点7.1 完善的安全审计功能不仅可以收集到用户关心的多种审计数据,审计的结果也具有绝对的权威性,同时可以生成多种格式的报表。7.2 模块化设计一旦系统安全管理员指定好安全策略并发布成功,各模块之间独立运行,整个系统运行效率非常高,同时也便于用户结合自身特点购买使用。7.3 多级数据提取技术可以设置多个层次的安全审计中心,每层审计中心可以制定个性化的审计策略。7.4 统一管理平台设计集成各子系统的控制模块,实现对各子系统的集中管理,向子系统下达各种规则。8. 技术特色8.1 分布式汉邦综合强审计系统以实现实时分散处理和集中统一审计为目的,对跨网段、跨区域的大规模网络环境,集中设置审计策略和获取
20、审计日志,分级管理,大大提高了网络安全运行系数。汉邦综合强审计系统分布式架构示意图,如下所示:8.2 综合性该系统是集主机审计、网络审计、数据库审计、服务器审计于一体的审计监控系统。汉邦综合强审计系统综合架构示意图,如下所示:8.3 扩展性汉邦综合强审计系统不只有事后责任认定的审计功能,还兼有绝大部分的授权功能。a) 与PKI体系构建较为完善的信任体系。b) 以综合强审计监控系统为主轴或树干构建较为完整的信息安全管理监控平台。9. 汉邦信息安全综合强审计系统在网络信息安全管理中的作用l 取证作用:对内网公务人员和工作人员的泄密、违规操作、误操作、失密、窃密、篡改、删除、非法拨号等行为提供责任认
21、定查处的依据。l 防范作用:对光驱、软驱、USB口、打印机、1394口、Modem、网络映射盘符驱动器等设备的使用进行授权。l 安全管理作用:安全管理模式经历了从“规章制度建设”到“三分技术、七分管理”再到目前的“技管并重”,综合强审计系统实质上是“技管并重”管理中的重要一环,初步实现了运用技术手段解决信息安全管理中的问题。10. 部分重大课题l “中办、国办计算机网络综合审计系统”(“十五”重大信息安全课题)l “分布式电子政务强审计系统” (国家“863”重大课题)l “分布式电子政务强审计系统” (国家保密局)l “信息安全基础平台(综合监控审计系统)” (总参谋部)l “信息安全综合强
22、审计系统” (国家发改委重大安全信息邻域课题)l “网络信息安全监控管理系统” (科技部重点新产品研发课题)l “分布式电子政务强审计系统” (中央保密委员会)l “基于自主代理的协同入侵检测系统” (国家“863”重大课题)l “网络信息安全监管系统” (国家发改委产业化课题)l “汉邦信息安全综合强审计系统” (国家重点新产品)l “汉邦协同入侵检测系统CoIDS” (科技部创新基金)l “宽带网络信息安全实时保护管理系统”(浙江省科技厅、浙江省信息产业厅)11. 汉邦信息安全综合强审计系统部分典型客户l 中共中央办公厅 l 国务院办公厅l 全国人大办公厅l 全国政协办公厅 l 中共中央组
23、织部l 中共中央联络部l 中共中央政法委员会l 最高人民法院l 国家发展与改革委员会l 中国人民解放军总参谋部系统l 司法部l 外交部l 科技部l 农业部l 商务部l 卫生部l 文化部l 劳动保障部l 国土资源部l 国家人口和计划生育委员会l 中直管理局l 中央警卫局l 中央档案馆l 公安部国保局 l 国家广电总局l 国家体育总局l 国家电力监管委员会l 上海市公务网l 浙江省党务网l 山西省党务网l 北京市委办公厅l 上海市委办公厅l 天津市委办公厅l 浙江省委办公厅l 安徽省委办公厅l 广东省委办公厅l 河南省委办公厅l 陕西省委办公厅l 辽宁省委办公厅l 江苏省政府l 天津市政府办公厅l
24、 北京市政法委l 北京市组织部l 北京市机要局l 上海市政法委l 上海市组织部l 上海市发改委l 上海市建委l 江西省发改委l 河南省政协l 安徽省组织部l 重庆市保密局l 黑龙江省保密局l 浙江省科技厅l 北京市丰台区政府l 上海市浦东新区政府l 上海闸北区政府l 辽宁省盘锦市政府l 中国科学院l 中科院沈阳自动化所l 中国核工业总公司l 航天科技集团l 中国船舶重工业集团公司l 中船重工某所l 航天一院某所l 中航一集团某所l 中航二集团某所l 电子某所l 中核某所l 三峡工程总公司l 大庆油田l 辽河油田l 大连新船重工l 北方奔驰集团l 联洋社区l 南京晨光集团l 郑州电力集团l 广药集团l 上海科学仪器厂l 江南造船集团l 曙光光电l 沈阳飞机制造厂l 北方重工集团l 航天科工某厂l 皖安机械厂12. 证书
