SecFoxNBA网络行为审计系统业务审计型v产品白皮书rev0.doc
《SecFoxNBA网络行为审计系统业务审计型v产品白皮书rev0.doc》由会员分享,可在线阅读,更多相关《SecFoxNBA网络行为审计系统业务审计型v产品白皮书rev0.doc(24页珍藏版)》请在冰点文库上搜索。
网神SecFox安全管理系统SecFox-NBA(业务审计型)
产品白皮书
LegendsecSecFoxSecurityManagementSystem
SecFox-NBA(BA)
ProductWhitepaper
网神信息技术(北京)股份有限公司
SecFox-NBA(业务审计型)产品白皮书
版权说明
本文的内容是网神SecFox安全管理系统SecFox-NBA(业务审计型)产品白皮书。
文中的资料、说明等相关内容归网神信息技术(北京)股份有限公司所有。
本文中的任何部分未经网神信息技术(北京)股份有限公司(以下简称“网神”)许可,不得转印、影印或复印、发行,不得以任何形式传播。
2006-2012©版权所有网神信息技术(北京)股份有限公司
商标声明
本白皮书中所涉及的网神产品的名称是网神的商标。
白皮书中涉及的其他公司的注册商标,属各商标注册人所有,恕不逐一列明。
联系信息
北京海淀区上地开拓路7号先锋大厦二段1层
2Section1F,XianfengBuilding,No.7KaituoRoad,
ShangdiInformationIndustryBase,HaidianDistrict,Beijing
客服热线(CustomerServiceHotline):
400-610-8220010-87002000
传真(Fax):
010-62972896
邮编(PostCode):
100085
目录
1 SecFox安全管理概述 4
2 SecFox-NBA(业务审计型) 5
2.1 需求背景 5
2.2 产品简介 6
3 产品特点 7
3.1 全方位的数据库审计 7
3.1.1 多数据库系统及运行平台支持 7
3.1.2 细粒度数据库操作审计 8
3.1.3 可视化的数据库审计 9
3.2 数据库操作实时回放 10
3.3 多角度的业务审计 11
3.4 应用服务实时监控 12
3.5 资源转换与审计控制 13
3.6 内置数据库防攻击策略 13
3.7 快速响应和协同防御 13
3.8 海量存储便于事后分析 14
3.9 部署灵活简单易用 15
3.10 详尽有效审计报表 15
4 产品简介 17
4.1 产品组成 17
4.2 功能列表 18
4.3 性能指标 19
4.4 部署方式 19
4.4.1 单一部署(Stand-Alone) 19
4.4.2 主从部署(Master-Slave) 21
4.5 系统自身安全性保证 21
5 产品价值和优势 22
5.1 产品价值 22
5.2 产品优势 22
6 关于网神 23
1SecFox安全管理概述
SecFox是网神信息技术(北京)股份有限公司自主研发的新一代安全管理系统。
网神信息技术(北京)股份有限公司作为一支长期在安全管理领域奋斗的高素质研发团队,凭借对安全管理的深刻理解和在安全领域丰富的研发经验,厚积薄发,打造出了一套高起点、全方位、多层次,集网络管理、安全管理、运维管理三位于一体的统一管理系统。
SecFox的安全管理理念是:
首先,通过对客户IT资源中包括网络设备、安全设备、主机和应用在内的节点进行统一监控,保障IT资源的整体运行安全,及时发现网络和系统主机的故障和性能瓶颈;其次,通过实时获取IT资源中的各类安全信息,进行关联分析,实现IT资源的安全态势感知,对内部违规和外部入侵行为进行审计;然后,将IT资源的所有资产和威胁信息汇集到一起,通过决策分析获得可测量的安全风险,并借助标准化的运维流程支撑平台对IT资源实施有效的安全策略调整。
最后,整个监控、审计和决策过程都统一在一体化管理平台之下,构建起面向整体IT资源的全面可控安全管理体系。
SecFox安全管理模型如下图所示。
统一管理
安全决策
安全审计
安全监控
SecFox安全统一管理平台由安全监控、安全审计和安全决策三部分组成。
本产品白皮书主要介绍的产品是隶属于安全审计的SecFox-NBA网络行为审计系统(业务审计型)。
2SecFox-NBA(业务审计型)
2.1需求背景
随着信息技术的不断发展,在过去的20多年里,作为信息的主要载体——数据库,其相关应用在数量和重要性方面都取得了巨大的增长。
包括政府机构、企事业单位、制造业、商业等在内的几乎每一种组织都使用它来存储、操纵和检索数据。
随着人们对数据的依赖性越来越高,各种数据信息,尤其是一些财务数据、客户数据等成为了关系企业生存的重要资产。
还有很多数据信息涉及公司知识产权、公民个人隐私,一旦发生泄露,后果十分严重。
网络化时代的到来、互联网技术的普及更加深了数据保护的矛盾,网络技术使得数字信息的泄露和篡改变得更加容易,而防范则更加困难。
更为严重的是,所有信息泄漏事件中,源自内部人员所为的占了绝大部分。
根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:
超过85%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。
另据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。
由于政府和企事业单位的数据库系统都实现了网络化访问,内部用户可以方便地利用内部网络通过各种通讯协议进行刺探,获取、删除或者篡改重要的数据和信息。
同时,一些内部授权用户由于对系统不熟悉而导致的误操作也时常给数据库系统造成难以恢复的损失。
此外,对于使用IT外包和代维的大型机构而言,如何限制外部人员对数据库系统的访问权限也是一个难题,外包方的技术工程师可能在开发数据库应用的时候留下后门或者幽灵帐号,为将来侵入数据库系统埋下隐患。
另一方面,为了保护敏感信息、加强内控,国家强制机关和行业的主管部门相继颁布了各种保护公民隐私,以及合规和内控方面的法律法规和指引,例如《企业内部控制基本规范》、《银行业信息科技风险管理指引》、《证券公司内部控制指引》、《保险公司风险管理指引(试行)》等。
其中《中华人民共和国刑法(七)》第253条明确规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
”此外,在国际上,美国政府针对上市公司的萨班斯(SOX)法案、针对医疗卫生机构的HIPAA法案、针对联邦政府机构的FISMA法案,支付卡行业数据安全标准(PCIDSS)都对信息保护和内控提出了严格的要求。
这些条例和指引都要求对网络中的重要数据库系统进行专门的安全审计。
可以说,随着安全需求的不断提升,网络安全已经从以防范外部入侵和攻击为主逐渐转变为以防止内部违规和信息泄露为主了。
在这种情况下,政府和企事业单位迫切需要一款专门针对网络中数据库及其业务信息系统进行全方位审计的系统。
网神借助多年在安全管理领域的积累,推出了SecFox-NBA(业务审计型),很好地满足了客户的安全审计需求。
2.2产品简介
网神SecFox-NBA(NetworkBehaviorAnalysisforBusinessAudit)网络行为审计系统(业务审计型)通过对连接到重要业务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采集、分析和识别,实时监视用户对业务系统的访问,记录、发现并及时制止用户的误操作、违规访问或者可疑行为。
SecFox-NBA(业务审计型)能够对复杂网络环境下的各种数据库操作行为进行细粒度审计。
产品能够对运行在各种操作系统上的各种品牌数据库的操作进行记录并回放,审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等;不仅能够审计请求信息,也能够审计返回结果,还支持操作内容回放。
SecFox-NBA(业务审计型)独有面向业务的安全审计技术,通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,审计人员可以根据业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。
SecFox-NBA(业务审计型)能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,并能够实时阻断可疑的网络通讯,实现安全审计的管理闭环。
SecFox-NBA(业务审计型)为客户提供了丰富的报表,使得管理人员能够从各个角度对业务系统的安全状况进行审计,并自动、定期地产生报表。
产品部署简便,不需要修改任何网络结构和应用配置,不会影响用户的业务运行。
3产品特点
SecFox-NBA网络行为审计系统(业务审计型)的主要特点包括:
1)全方位的数据库审计
2)数据库操作实时回放
3)多角度的业务审计
4)应用服务实时监控
5)资源转换与审计控制
6)内置数据库防攻击策略
7)快速响应和协同防御
8)海量存储便于事后分析
9)部署灵活简单易用
10)详尽有效审计报表
3.1全方位的数据库审计
3.1.1多数据库系统及运行平台支持
SecFox-NBA(业务审计型)产品能够对多种操作系统平台下各个品牌、各个版本的数据库进行审计。
产品能够审计的数据库系统包括:
lOracle8i/9i/10g/11g
lSQLServer2000/2005/2008
lIBMDB27.x/8.x/9.x
lIBMInformixDynamicServer9.x/10.x/11.x
lSybaseASE12.x/15.x
lMySQL4.x/5.x/6.x
l国产数据库,例如达梦、人大金仓等
产品能够审计的数据库运行平台包括:
Windows、Linux、HP-UX、Solaris、AIX。
3.1.2细粒度数据库操作审计
SecFox-NBA(业务审计型)能够深入细致地对数据库的各种操作及其内容进行审计,并且能够用户通过各种方式访问数据库的行为。
系统审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等。
如下表所示:
操作行为
内容和描述
用户行为
数据库用户的登录、注销
数据定义语言(DDL)操作
CREATE,ALTER,DROP等创建、修改或者删除数据库对象(表、索引、视图、存储过程、触发器、域,等等)的SQL指令
数据操作语言(DML)操作
SELECT,DELETE,UPDATE,INSERT等用于检索或者修改数据的SQL指令
数据控制语言(DCL)操作
GRANT,REVOKE等定义数据库用户的权限的SQL指令
其它操作
包括EXECUTE、COMMIT、ROLLBACK等事务操作指令
系统不仅能够审计数据库操作请求,还能审计操作的返回结果,包括成功或者失败。
如果失败,能够审计到返回的错误码。
系统能够对各种访问数据库的途径进行监控和审计,参见下图:
如上图Oracle数据库审计所示,无论用户通过Oracle自带的企业管理控制台、PL/SQL命令行、SQL*PLUS进行访问,还是通过第三方的QuestTOAD(ToolforOracleApplicationDevelopers)工具访问,抑或通过中间件、浏览器、客户端程序/代理方式访问,等等,SecFox-NBA(业务审计型)都能够进行审计。
特别地,如果被审计的数据库网络数据被加密处理了,SecFox-NBA(业务审计型)为用户提供了一个通用日志采集器模块,借助该模块,系统能够自动的采集被审计数据库的日志信息,并在审计中心对其进行归一化和关联分析。
此外,SecFox-NBA(业务审计型)还能够监测数据库系统所在主机的网络通讯,对该主机的FTP、文件共享等协议进行审计,确保数据库系统上的数据安全。
3.1.3可视化的数据库审计
SecFox-NBA(业务审计型)系统为用户提供了简介易用的操作界面,使得普通管理员就能够对复杂的数据库系统进行审计。
系统提供了多种可视化的审计手段,包括:
1.智能监控频道
智能监控频道为用户提供了一个从总体上把握企业和组织中所有数据库及其相关系统安全情况的界面。
每个频道包括多个监控窗口,可以显示多方面的安全信息,窗口可以缩放、可以移动换位、可以更换布局、可以调台,显示管理员想看的内容。
SecFox-NBA(业务审计型)提供丰富的频道切换器,用户可以在不同的频道间切换。
同时,用户也可以自定义频道,包括自定义布局和展示内容。
2.行为分析图
用户可以对一段时间内的数据库操作指令进行行为分析,并生成行为分析图。
行为分析图将一段时间内的数据库操作按照不同的属性进行排列和连接,形象地展示在坐标轴上,让管理员一目了然的看到操作所代表的用户(IP)行为。
3.业务拓扑图
通过网神独有的业务拓扑功能,可将业务系统中相关的数据库、主机、服务等对象以拓扑图的方式展现出来。
通过业务拓扑,用户能够直观地看到该业务系统的组成,并方便地查看业务系统的告警信息和流量信息。
3.2数据库操作实时回放
SecFox-NBA(业务审计型)对访问数据库、FTP、网络主机的各种操作进行实时、详细的监控和审计,包括各种登录命令、数据操作指令、网络操作指令,并审计操作结果,支持过程回放,真实地展现用户的操作。
传统的数据库或者网络审计系统都采用基于指令的操作分析(Command-basedRecordAnalysis)技术,可以显示出所有与数据库主机相关的操作,但是这些操作都是一条条孤立的指令,无法体现这些操作之间的关联,例如是否是同一用户的操作、以及操作的时间先后,审计员被迫从大量的操作记录中自行寻找蛛丝马迹,效率低下。
借助网神独有基于会话的行为分析(Session-basedBehaviorAnalysis)技术,审计员可以对当前网络中所有访问者进行基于时间的审查,了解每个访问者任意一段时间内先后进行了什么操作,并支持访问过程回放。
SecFox-NBA(业务审计型)真正实现了对“谁、什么时间段内、对什么(数据)、进行了哪些操作、结果如何”的全程审计。
3.3多角度的业务审计
对于用户而言,要保护核心数据,仅仅依靠对数据库的审计是不够的。
内部人员违规操作的途径有很多,有的是直接违规访问数据库,有的是登录到数据库所在的主机服务器上,有的是透过FTP去下载数据库所在主机的重要数据文件,还有的是透过其他程序或者中间件系统访问数据库。
所以,必须对数据库、主机、HTTP协议、TELNET、FTP协议,网络流量、中间件系统都进行审计,才能更加全面的发现违规、防止信息泄漏。
这就是面向业务的安全审计。
业务系统是由包括主机、网络设备、安全设备、应用系统、数据库系统等在内的多种IT资源有机组合而成的。
因此,面向业务的审计就要对构成业务系统的各个IT资源之间的访问行为以及业务系统之间的操作的审计,这样才能真正反映出业务系统的安全状态。
网神SecFox-NBA(业务审计型)就是这样一个集成了数据库审计、主机审计、应用审计和网络流量审计的面向业务的综合安全审计系统。
SecFox-NBA(业务审计型)产品采用多种方式来更深入具体地分析业务系统:
1)复杂环境支持:
根据实际网络情况,系统管理员可以定义多个业务网络。
2)业务网络拓扑:
系统能够记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,根据业务网络的变化可以快速查看业务网络中各个设备和整个业务网络的事件和告警信息。
3)可视化行为分析:
通过可视化的行为分析,可以清晰地定位访问源、访问目标服务器、应用协议及其操作内容。
4)业务流量展现:
系统能够展示出业务网络中各个节点(包括主机、无IP设备)在网络中的应用层的流量分布情况,管理员可以根据业务网络流量优化业务网络。
5)三层架构的业务审计:
现行的很多业务系统都是基于客户端/浏览器、应用服务器和数据库的三层架构。
单纯审计数据库,可能获取的用户名称和访问地址都是中间件的用户和地址,难于定位访问源。
采用基于业务的审计就可能化解这个问题,系统可以将客户端访问的服务,中间件,数据库建立一个审计的业务,利用访问时间作为关联条件,将客户端访问和数据库访问关联,通过可视化的行为分析,定位访问源。
3.4应用服务实时监控
应用服务是企业和组织IT应用的核心,SecFox-NBA(业务审计型)采用先进的主动探测监控方式,无需在应用服务系统中安装任何代理或软件,模拟应用数据直接监控这些应用服务,一旦这些服务出现无法响应或响应太慢,将会触发事件告警及时通知管理员,管理员可以迅速采取相应的措施。
管理员可以根据自定义的时间段生成监控报表,报表可以另存为HTML、EXCEL、文本、PDF等多种格式。
通过这些报表可以了解应用服务的实际运行性能,帮助管理员制定相关应变措施,帮助应用开发人员进行调整优化。
SecFox-NBA(业务审计型)可监控企业和组织的各类应用服务,包括各类数据库、中间件等,不但可以监控这些应用和服务的状态和响应时间,还可以监控他们的详细性能指标,例如Oracle数据库的表空间大小等,可以为管理员提供全面而详实的参考信息。
系统还提供监控快照功能,实时提供各种详细的监控指标。
管理员可以在一个界面上查看所有的监控信息,并了解之间的联系,而不是孤立地看待每个指标。
系统提供图形和数据等多种方式,便于管理员全面的了解和分析应用和业务的性能和故障。
3.5资源转换与审计控制
SecFox-NBA(业务审计型)支持敏感信息的屏蔽,防止审计人员看到不归他管的敏感数据;当用户所属角色没有敏感信息查看的权限时,则该用户在查看事件明细时,将无法查看【操作内容】、【返回信息】、【原始消息】三个可能包含敏感内容的字段。
资源转换:
将原始的SQL语句中某些字段以指定内容进行显示。
包括:
帐号资源、数据表资源。
此功能可自动将原始的SQL语句转换成用户一目了然的业务操作流程,以中文方式显示审计内容中的重要字段,不仅方便数据库管理员,也方便非专业人员进行审计信息的查看。
3.6内置数据库防攻击策略
SecFox-NBA(业务审计型)内置抗攻击策略,在识别出对数据库服务器进行攻击时记录相关操作。
用户可以手动设置报警,以便及时进行相应。
典型的内置防攻击策略包括:
ØSQLinsert注入攻击
ØSQLexec注入攻击
ØSQLupdate注入攻击
ØIBMDB2数据库xmlquery缓冲区溢出尝试
ØOracle安全备份命令exec_qr注入攻击
ØOracleBEAWebLogicApache连接器HTTP版本拒绝服务攻击
ØOracle安全备份POSTexec_qr注入攻击
ØOracle安全备份msgid0x901用户名字段缓冲区溢出尝试
3.7快速响应和协同防御
SecFox-NBA(业务审计型)在识别出安全事故后,能够自动或者用户手工的对威胁进行响应,采取安全对策,从而形成安全审计的闭环。
SecFox-NBA(业务审计型)能够对业务网中所有IP的流量进行分析,因而能够更为精确地定位安全威胁,并对符合策略的告警事件进行阻断,实时自动阻止可疑行为。
在发生告警后,SecFox-NBA(业务审计型)可以通过电子邮件、SNMPTrap等方式对外发出通告,能够执行预定义命令行程序,并将事件属性作为参数传递给该命令行程序。
SecFox-NBA(业务审计型)可通过与网络设备或安全设备共同协作来关闭威胁通信,以阻止正在进行的攻击。
SecFox-NBA(业务审计型)可以与众多第三方网络设备、安全设备进行联动。
例如,在发现攻击后,阻断网络交换机的端口,或者更改防火墙和入侵检测系统的安全规则,阻止攻击的扩散和恶化。
SecFox-NBA(业务审计型)支持与市场上大部分安全设备和网络设备之间的策略联动。
此外,通过SecFox-NBA(业务审计型)与网神其他SecFox安全管理产品的综合使用,可以实现完整的从安全风险监控、分析到决策的安全管理流程的闭环。
3.8海量存储便于事后分析
SecFox-NBA(业务审计型)可以将采集到的所有数据包和告警信息统一存储起来,建立一个企业和组织的集中事件存储系统,满足国家标准和法律法规中对于事件存储的强制性要求,为安全事故增加追查取证的信息来源和依据。
SecFox-NBA(业务审计型)具有海量事件处理和存储的能力。
单个SecFox-NBA(业务审计型)系统能够以每秒6000条到24000条的规模接收数据包,能够在线存储10亿到40亿条事件记录。
加上系统的数据归档与离线存储功能,SecFox-NBA(业务审计型)能够存储的数据量大小仅取决于服务器磁盘存储空间的大小。
SecFox-NBA(业务审计型)具有极强的存储扩展能力,产品自带500GB~2TB的存储空间,用户亦可以在后期进行容量扩展,或者直接外接存储设备。
SecFox-NBA(业务审计型)在进行数据管理的时候,对数据存储算法进行了充分优化,使得
使用小型数据库的情况下就达到了上述性能。
此外,用户在使用本系统的时候,无需购买额外的数据库管理系统和许可,也不必花费专门的精力去维护数据库,这些都大大降低了用户的总拥有成本。
SecFox-NBA(业务审计型)提供多种事件存储策略,能够方便地进行事件备份和恢复。
SecFox-NBA(业务审计型)为管理员提供了强大的事后分析工具,使得管理员能够最大限度地对这些事件进行深度挖掘,寻找潜在的安全威胁。
此外,SecFox-NBA(业务审计型)的事后分析功能可以协助管理员进行计算机取证分析,收集外部入侵或者内部违规的证据。
3.9部署灵活简单易用
SecFox-NBA(业务审计型)采用旁路侦听的方式进行工作,对业务网络中的数据包进行应用层协议和流量分析与审计,就像真实世界的摄像机。
利用网神先进的业务协议检测技术(BusinessProtocolInspectionTechnology),SecFox-NBA(业务审计型)能够识别各类数据库的访问协议、FTP协议、TELNET协议、VNC协议、文件共享协议,以及其它20多种应用层协议,经过审计系统的智能分析,发现网络入侵和操作违规行为。
同时,借助网神先进的业务流量监测技术(BusinessFlowInspectionTechnology),SecFox-NBA(业务审计型)识别网络中各种应用层协议的流量,及时发现流量违规和异常。
SecFox-NBA(业务审计型)部署十分方便,即插即用,不必对业务网络结构做任何更改,对业务网络没有任何影响。
SecFox-NBA(业务审计型)可以同时审计多个不同的网段;多个系统可以级联,实现分布式部署,实现对大规模业务网络的审计。
系统部署后立竿见影,即可自动发现所侦听网络中的数据库访问行为。
3.10详尽有效审计报表
SecFox-NBA(业务审计型)具有强大的报表分析功能。
系统的报表分析引擎能从多种角度多种维度对数据进行分析;能提供实时分析、历史分析等分析手段;能对比统计的结果,分析数据的发展趋势;能将结果以图形方式(柱图、饼图、曲线图等)
升级会员 