汉邦信息安全综合强审计监控系统技术白皮书v4.0(最新)Word文件下载.doc
- 文档编号:8434002
- 上传时间:2023-05-11
- 格式:DOC
- 页数:21
- 大小:6.45MB
汉邦信息安全综合强审计监控系统技术白皮书v4.0(最新)Word文件下载.doc
《汉邦信息安全综合强审计监控系统技术白皮书v4.0(最新)Word文件下载.doc》由会员分享,可在线阅读,更多相关《汉邦信息安全综合强审计监控系统技术白皮书v4.0(最新)Word文件下载.doc(21页珍藏版)》请在冰点文库上搜索。
7.2模块化设计 8
7.3多级数据提取技术 8
7.4统一管理平台设计 8
8.技术特色 8
8.1分布式 8
8.2综合性 9
8.3扩展性 10
9.汉邦信息安全综合强审计系统在网络信息安全管理中的作用 10
10.部分重大课题 11
11.汉邦信息安全综合强审计系统部分典型客户 11
12.证书 14
内部资料注意保管严禁转载违者必究-19-
1.引言
随着信息技术的发展,信息网络国际化、社会化、开放化和个人化的特点,在给人们带来方便、高效和信息共享的同时,也给信息安全带来许多问题。
恶意、过失、不合理的信息上传、下载和发布,会造成敏感信息泄漏、有害信息扩散,危及社会、国家、团体和个人的利益。
1.1网络安全的重要性
近几年来,随着计算机网络的迅猛发展,特别是互联网的不断推广应用,网络安全越来越成为人们关注的热点之一。
如何保障网络的安全使用,如何制定并实施合理的网络安全规则,成为人们亟待解决的问题。
网络安全不仅事关国家的安危与主权,而且关系到企业、机构及个人的利益。
据统计,在全球范围内,由于信息系统的脆弱性而导致的经济损失,每年高达数亿美元,并呈逐年上升趋势。
1.2什么是强审计
审计的原始意义是指独立检查会计账目,监督财政、财务收支真实、合法、效益的行为。
安全审计监控是指记录用户使用计算机网络系统的所有过程,它是提高安全性的重要工具。
它不仅能够识别谁访问了系统,还能指出系统正被怎样的使用。
审计信息对于确定问题、是否有网络攻击和攻击源很重要。
通过对安全事件的连续收集与积累并加以分析,对其中有疑问的某些站点或用户进行审计跟踪,以便为发现可能产生的破坏性行为提供有利的证据。
信息安全综合强审计监控系统主要突出审计的综合性、强制性和全面性。
综合强审计系统从防御到事后取证,全面地对整个网络、主机、服务器、数据库、应用系统进行审计与保护,能够有力抵御各种破坏行为。
同时,该系统采用分布式跨网段设计,集中统一管理,可对审计数据进行综合的统计与分析,可以更有效的防御外部的入侵和内部的非法违规操作。
1.3强审计的重要作用
目前,国内外信息安全市场主要集中在防火墙、入侵监测、漏洞扫描等防外的产品上。
网络安全以单点防护为主,大量安全产品简单堆砌,形不成规模化、体系化的立体防护体系。
在网络信息安全发展的现阶段,网络规模不断扩大,网络设备和节点不断增加,同时网络安全事件层出不穷,有愈演愈烈之势,仅靠过去单一的网络安全产品已无力保障网络信息的安全运行。
同时,业界过分重视防范来自外部的信息安全事件,缺乏有效的内部人员威胁解决方案,甚至很少有这方面的研究项目,大多数人对内部人员威胁的认识仅限于概念层面上,更缺少针对内部人员威胁的安全审计监控系统的技术研究和产品开发。
据统计,80%的攻击事件、失窃密事件来自内部,内部人员更容易接触到绝密、重要、敏感的信息,来自内部的安全问题更多、更难防范,一旦出现内部安全问题,损失更大。
安全综合强审计监控系统是是当前乃至未来信息安全产业的焦点,是信息化建设中至关重要的一环,是确保信息化健康、稳定、持续发展的关键。
2.系统概述
汉邦信息安全综合强审计监控系统是一个能够监控、审查内部人员操作行为,保护内网主机、服务器、网络、数据库安全的管理工具,具有良好的可靠性和易用性。
该产品可以广泛应用于电子党务、电子政务、电子商务、电子金融、数字化部队、武器装备科研生产单位、科研生产单位、传媒行业、大型企业、制造业等需要加强“内部人”行为控制、加强责任认定和完善授权管理的部门和领域。
3.系统组成
汉邦信息安全综合强审计系统采用分布式、模块化的设计思想,整个系统由软硬件组成,包括审计中心(软件)、主机传感器(软件)、网络引擎(硬件)。
l主机传感器
主机传感器直接安装于被审计的主机上,对主机的日志、网络操作、文件操作、重要资源使用等进行监控与审计。
l网络引擎
连接到网络中的数据汇聚点设备上(如:
集线器、交换机等),它抓取网络中的数据包,并对抓到的数据包进行分析、匹配、统计,通过特定的协议规则,从而实现网络审计功能,并且将入侵的信息记录下来。
l审计中心
审计中心提供图形化界面,方便用户使用。
它是网络管理员操作审计系统的人机界面,通过它可以设置各种审计规则;
接收数据采集器发送来的报警信息,查看具体的报警信息,浏览历史数据,生成各种报表等。
4.功能介绍
汉邦信息安全综合强审计监控系统分为主机审计监控子系统、网络审计监控子系统、数据库审计监控子系统。
各系统的具体功能说明如下:
4.1主机审计监控子系统
主机审计监控采用主机传感器组件,安装于受控的主机系统中,通过对被审计主机资源和重要文件与信息的审计,起到审计和监控主机资源的作用。
4.1.1网络审计监控
能够禁止、记录计算机在某个时间段内访问某个IP地址、某个端口、某个网段、某进程,允许或禁止网络连接的行为并记录。
4.1.2拨号审计监控
通过设置拨号规则进行拨号控制管理,允许或禁止用户通过拨号形式连接外网。
同时,根据规则设置记录允许和禁止的拨号事件。
4.1.3文件审计监控
能够根据文件的扩展名、文件名、路径名、移动盘,对各类文件的写入、拷贝、删除、创建、读取、覆盖、移动或重命名进行审计并记录,出现违规操作能及时报警。
4.1.4系统日志审计
能对主机上的系统日志、安全日志进行统一收集,集中管理。
4.1.5进程审计监控
集中收集主机上的进程信息,通过对进程黑白名单的设置将进程设置为合法进程或非法进程,一旦主机上出现非法进程时,能及时报警。
4.1.6打印审计监控
对主机的打印操作进行审计监控。
允许或禁止打印行为,记录打印事件和打印文件内容,同时能实现打印内容回放。
4.1.7主机IP审计监控
允许或禁止被审计主机的IP地址修改行为,同时可以记录被审计主机IP地址的修改信息。
4.1.8盘符审计监控
通过设置规则,允许或禁止用户使用计算机的软驱、光驱、USB存贮设备、USB光驱、光驱只读、安全模式等,并记录被监控主机违规操作情况。
4.1.9硬件审计监控
通过策略设置,对安装有审计客户端计算机的硬件资源进行审计监控,对于指定的硬件设备,审计系统可限制其使用。
对硬件的变更可以进行记录,方便日后追查。
4.1.10屏幕审计监控
监控、记录被审计主机的屏幕信息,审计中心可按照策略对指定计算机在指定时间段内的屏幕信息进行截屏、保存,可以实时播放当前被审计计算机的屏幕信息以及历史屏幕信息回放,从而具备实时监控和事后追查能力。
4.1.11键盘审计监控
监控、记录被审计主机的键盘操作信息,审计中心可按照策略对指定计算机在指定时间段内的键盘操作行为进行审计保存,可以实时播放当前被审计键盘操作信息以及历史键盘操作信息回放,并具备实时监控和事后追查能力。
4.1.12U盘认证
可与汉邦安全U盘配套使用。
汉邦安全U盘是在外网不能使用的高密级U盘。
同时,在审计中心可对指定的普通U盘进行认证,完成认证后的U盘为普密级的U盘,可在启用U盘认证的审计客户端的计算机上使用,未经过认证的U盘不能在启用U盘认证的审计客户端计算机上使用;
认证过的U盘可在未启用认证的计算机(或外网的计算机)上正常使用,对于违规操作,系统将产生报警记录并阻断操作。
4.1.13U盘加密
实现对U盘内文件的加密功能,采用高强度128BIT加密手段,有效杜绝U盘内文件被非授权终端查看的风险,并支持基于通配符的细粒度策略设置,能够精准定位目标文件,提供更有针对性的文件防护机制。
同时,支持以终端为单位,实现对移动存储介质在该终端上的读、写控制功能。
4.1.14登录监管
通过对原有WINDOWS操作系统登录功能的托管,实现对用户登录终端各类途径的全方位监管,包括开机登录监管、锁屏登录监管等登录途径,从而取代原有用户名加口令的登录方式,以令牌(KEY、卡等介质)加pin码的方式登录系统,在加强系统登录灵活性的同时,也提高了系统登录的安全强度。
同时,根据系统记录的详细登录信息(登录时间、登录用户、登录方式、登录结果等),能够及时发现任何企图违规登录系统的行为,并告知管理员。
4.1.15USB监管
采用排它式加载策略,只对加载USB设备进行放行,有效杜绝违规USB设备任意使用的情况。
配合针对特性终端的USB设备授权机制,可灵活调整各终端使用USB设备的权限。
4.1.16软件资源审计
通过策略设置,对安装有审计客户端计算机的软件资源进行审计监控,可远程查看安装有审计客户端计算机的软件资源情况。
包括记录被审计客户端软件变更情况、安装非法软件情况、未安装指定软件情况等等。
4.1.17邮件审记
监控记录被审记主机上通过OUTLOOK、FOXMAIL进行邮件收发的行为。
包括发信人、收信人、发送时间、邮件主题、邮件内容、附件内容。
并可以进行允许或禁止其发送邮件的操作。
4.1.18文件扫描
通过设置扫描关键字、扩展名以及路径名,对被审记主机上所有相关文件进行扫描,并显示符合上述设置的文件信息。
4.1.19文件发送
通过审计中心和客户端的通信,可以把审计中心中的文件发送到目的地主机中,并进行安装操作。
4.2网络审计监控子系统
网络审计监控子系统将网络引擎(独立硬件设备)连接到网络中的数据汇聚设备上(如:
集线器、交换机等),它抓取网络中的数据包,并对抓到的包进行分析、匹配、统计,通过特定的协议算法,从而实现入侵检测、协议审计等功能。
4.2.1网络入侵检测
从网络中抓取数据包进行协议分析,从中分析入侵行为。
同时记忆基于连接的网络数据包前后状态,发现入侵可疑企图即产生报警事件。
4.2.2MAC地址审计
指定IP地址和MAC地址的对应关系,如果抓取到的数据包与此对应关系不符,则产生报警事件。
4.2.3流量审计
对抓取的数据包进行规类统计,得到各种流量统计表或统计图。
可以对某些地址的流量设定阀值,超过规定值时即产生报警事件。
4.2.4协议审计
对应用协议的操作和内容进行分析,对有特殊内容或某些违规的操作产生报警事件,审计的协议类型包括:
telnet、ftp、Tftp、SMB、Rlogin、Http、Netbios、Pop3、Smtp等等。
4.3数据库审计监控子系统
数据库审计监控子系统采用旁路技术对数据库的远程连接操作进行分析,不依赖数据库自身日志,通过细粒度、多层次的策略设置,有效定位各种企图远程登录、操作数据库的行为,并记录下其源IP、访问时间、登录用户、操作行为、访问数据库和字段等详细信息,更能还原其原始操作语句。
5.系统的安全性
5.1认证和传输方式
审计数据的传输采用一次性密码认证的帧传输方式,一帧包括帧头、内容和帧尾,对整个帧进行加密,并且增加了完整性校验。
5.2记录方式
各传感器启动时按最近的一次策略设置进行审计,如果与审计中心连接不成功,则审计数据加密后临时保存于本地,等与审计中心连接后这些信息再发往审计中心,同时本地信息删除;
连接成功之后的日志事件信息直接发往审计中心。
审计中心收到的日志事件信息存放于大型数据库中,采用专用的API接口对信息数据进行存取。
对于保存于大型数据库中的审计数据都进行了加密处理,同时对大型数据库的访问增设密码,以禁止审计数据的非授权访问。
5.3审计数据的完整性
记录审计数据的大型数据库应实时备份,如果在向大型数据库写入数据时出现异常,例如数据库连接失败、数据库数据溢出等,则系统自动把加密后的审计数据临时保存于本地,并报警,等数据库恢复后自动把保存于本地的数据写入数据库,本地数据删除。
5.4处理方式
主机传感器在目标主机安装成功后,没有专门的反安装软件将不能卸载,在每次启动系统时自动启动并进行审计监控。
传感器从审计中心接收到审计策略后保存于本地,启动时按最近的策略进行审计监控。
用户可以在审计中心对每一个传感器定制审计策略。
传感器并不提供任何报警信息,它把报警信息传送到审计中心,由审计中心决定是否要蜂鸣、发送邮件等。
除了实时的事件处理外,通过报表统计模块对所有的日志事件信息进行查询、统计、分析等。
6.运行环境
6.1审计中心配置要求
l处理器:
奔腾IV以上
l内存:
256MB(建议512MB以上)
l操作系统:
WinNT/2000server/2003server,建议Win2000Server
l硬盘:
80GB以上
6.2主机传感器配置要求
奔腾II以上
128MB及以上内存(RAM)
WinNT/2000/XP/2003
l硬盘:
1G以上
7.产品特点
7.1完善的安全审计功能
不仅可以收集到用户关心的多种审计数据,审计的结果也具有绝对的权威性,同时可以生成多种格式的报表。
7.2模块化设计
一旦系统安全管理员指定好安全策略并发布成功,各模块之间独立运行,整个系统运行效率非常高,同时也便于用户结合自身特点购买使用。
7.3多级数据提取技术
可以设置多个层次的安全审计中心,每层审计中心可以制定个性化的审计策略。
7.4统一管理平台设计
集成各子系统的控制模块,实现对各子系统的集中管理,向子系统下达各种规则。
8.技术特色
8.1分布式
汉邦综合强审计系统以实现实时分散处理和集中统一审计为目的,对跨网段、跨区域的大规模网络环境,集中设置审计策略和获取审计日志,分级管理,大大提高了网络安全运行系数。
汉邦综合强审计系统分布式架构示意图,如下所示:
8.2综合性
该系统是集主机审计、网络审计、数据库审计、服务器审计于一体的审计监控系统。
汉邦综合强审计系统综合架构示意图,如下所示:
8.3扩展性
汉邦综合强审计系统不只有事后责任认定的审计功能,还兼有绝大部分的授权功能。
a)与PKI体系构建较为完善的信任体系。
b)以综合强审计监控系统为主轴或树干构建较为完整的信息安全管理监控平台。
9.汉邦信息安全综合强审计系统在网络信息安全管理中的作用
l取证作用:
对内网公务人员和工作人员的泄密、违规操作、误操作、失密、窃密、篡改、删除、非法拨号等行为提供责任认定查处的依据。
l防范作用:
对光驱、软驱、USB口、打印机、1394口、Modem、网络映射盘符驱动器等设备的使用进行授权。
l安全管理作用:
安全管理模式经历了从“规章制度建设”到“三分技术、七分管理”再到目前的“技管并重”,综合强审计系统实质上是“技管并重”管理中的重要一环,初步实现了运用技术手段解决信息安全管理中的问题。
10.部分重大课题
l“中办、国办计算机网络综合审计系统”(“十五”重大信息安全课题)
l“分布式电子政务强审计系统”(国家“863”重大课题)
l“分布式电子政务强审计系统”(国家保密局)
l“信息安全基础平台(综合监控审计系统)”(总参谋部)
l“信息安全综合强审计系统”(国家发改委重大安全信息邻域课题)
l“网络信息安全监控管理系统”(科技部重点新产品研发课题)
l“分布式电子政务强审计系统”(中央保密委员会)
l“基于自主代理的协同入侵检测系统”(国家“863”重大课题)
l“网络信息安全监管系统”(国家发改委产业化课题)
l“汉邦信息安全综合强审计系统”(国家重点新产品)
l“汉邦协同入侵检测系统CoIDS”(科技部创新基金)
l“宽带网络信息安全实时保护管理系统”(浙江省科技厅、浙江省信息产业厅)
11.汉邦信息安全综合强审计系统部分典型客户
l中共中央办公厅
l国务院办公厅
l全国人大办公厅
l全国政协办公厅
l中共中央组织部
l中共中央联络部
l中共中央政法委员会
l最高人民法院
l国家发展与改革委员会
l中国人民解放军总参谋部系统
l司法部
l外交部
l科技部
l农业部
l商务部
l卫生部
l文化部
l劳动保障部
l国土资源部
l国家人口和计划生育委员会
l中直管理局
l中央警卫局
l中央档案馆
l公安部国保局
l国家广电总局
l国家体育总局
l国家电力监管委员会
l上海市公务网
l浙江省党务网
l山西省党务网
l北京市委办公厅
l上海市委办公厅
l天津市委办公厅
l浙江省委办公厅
l安徽省委办公厅
l广东省委办公厅
l河南省委办公厅
l陕西省委办公厅
l辽宁省委办公厅
l江苏省政府
l天津市政府办公厅
l北京市政法委
l北京市组织部
l北京市机要局
l上海市政法委
l上海市组织部
l上海市发改委
l上海市建委
l江西省发改委
l河南省政协
l安徽省组织部
l重庆市保密局
l黑龙江省保密局
l浙江省科技厅
l北京市丰台区政府
l上海市浦东新区政府
l上海闸北区政府
l辽宁省盘锦市政府
l中国科学院
l中科院沈阳自动化所
l中国核工业总公司
l航天科技集团
l中国船舶重工业集团公司
l中船重工某所
l航天一院某所
l中航一集团某所
l中航二集团某所
l电子某所
l中核某所
l三峡工程总公司
l大庆油田
l辽河油田
l大连新船重工
l北方奔驰集团
l联洋社区
l南京晨光集团
l郑州电力集团
l广药集团
l上海科学仪器厂
l江南造船集团
l曙光光电
l沈阳飞机制造厂
l北方重工集团
l航天科工某厂
l皖安机械厂
12.证书
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 综合 审计 监控 系统 技术 白皮书 v4 最新