网络安全审计解决方案--hy

-天玥网络安全审计系统•业务保障-合规管理•最佳实践-细粒度审计•天玥（CA）-组网方式•成功案例-行业化应用IntranetInternet•缺乏有效的帐号和密码管理机制•缺乏有效的第三方远程访问控制措施•缺乏有效的帐号和密码管理机制•缺乏有效的内联网接入访问控制措施•缺乏有效的数据库管理机制和审计报告原A地运营商实施工程师A地运营商直接危害巨额经济损失巨大信誉损失大量法律纠纷假如危害持续充值密码循环盗用大量客户资料被窃商业核心机密泄漏业务数据信息清空业务信息系统中断B地运营商循环作案数月之久一个案例引发的思考IT合规迈向“有法可依”时间法规相关行业2001《计算机信息系统安全保护等级划分准则》政府行业2002《商业银行内部控制指引》金融行业2002-2004《2002Sarbanes-OxleyAct(bilingual)》《PCAOBAuditingStandardNo.2》在美国上市的企业（涉及多个行业）2004-2005《中国移动集团内控手册》《中国移动业务支撑网安全域划分和边界整合技术规范》《中国电信股份有限公司内部控制手册》《中国网通集团信息质量问责管理若干规定》《中国网通集团内部控制体系建设指导意见》电信行业2006《银行业金融机构信息系统风险管理指引》《商业银行合规风险管理指引》《中国银行业监督委员会办公厅文件银监办通313号》《保险公司内部审计指引（试行）》《保险公司风险管理指引（试行）》金融行业2006《深圳证券交易所上市公司内部控制指引》《上海证券交易所上市公司内部控制指引》在中国上市的企业（涉及多个行业）IT合规管理已经有法可依了，那么如何落到实处呢？IT合规管理－审计是关键人IT报告审计操作操作定义定义记录记录1个关键：审计2个过程：人员操作、IT系统操作3个要素：人、IT、报告事后报告IT操作行为事中用户认证、访问控制认证事前统一用户管理人角色记录统一授权管理控制有效的合规业务过程合规的有效性在于细节人-角色-账号-认证授权、访问控制全过程审计帐号共用、缺乏统一管理越权操作/误操作/恶意操作缺乏有效的稽查机制业务系统多样化缺乏操作行为日志综合分析问题统计分析协议种类独立系统•业务保障-合规管理•最佳实践-细粒度审计•天玥（CA）-组网技术•成功案例-行业化应用天玥审计：一个中心四个基本点内容角色授权报告策略按业务定义规则按业务定义风险确定响应手段按业务选择协议按应用选择深度仿真回放按职能定义角色用户/认证方式赋予用户角色按条件进行查询按条件进行报表自定义报表制定分发监视响应角色细粒度多种认证方式，保证身份真实性角色&用户自由对应，适应组织结构及使用习惯角色分配三步走创建角色用户多对一一对多角色角色赋予用户赋予权限静态IP认证用户信任用户信任子网原IT系统SafeWord（定制）RSA（定制）数字证书认证叠加角色细分:组织职责总经理财务经理运维经理……运维部计划部建设部……IT交换传输无线专线应急电源……核心层汇聚层接入层光端机职责组织授权细粒度角色匹配授权机制背离授权机制违规行为响应：记录、屏幕报警、阻断、Syslog报警。响应超级帐号权限管理多人共用帐号管理专用帐号被盗用越权操作、误操作、恶意操作问题解决授权细粒度策略生效时间灵活设置：一次有效、定期有效、一直有效。时间由多条审计规则分类组成的规则集合。规则集－重启命令：reboot，init3、init6等；－配置管理：shrun、wr等。内置审计规则支持自定义规则、自定义协议规则。自定义审计规则时间规则集角色＋＋时间规则集角色＋＋InternetA单位第三方维护人员B单位A单位Intranet规范第三方接入人员操作行为授权细粒度－针对业务方便用户定制业务系统审计规则，有效满足内控要求•内置多条针对用户业务系统的运维及OA操作审计规则；•内置多条针对用户业务系统的数据库操作审计规则；•可灵活根据需要自定义审计规则、自定义未知协议审计规则；•可将多条审计规则按照不同级别分类组合为多个审计规则集。设置禁止Telnet跳转天玥专用帐号-root业务主机规范超级用户操作行为共用业务系统帐号业务主机规范多人共用帐号操作行为效果：在指定时间区间，该角色不能对该业务主机执行指定协议的指定命令天玥基于角色、协议、命令、生效时间的组合，设定访问控制策略授权细粒度－完善内控效果：在指定时间区间，指定角色不能对该业务主机执行指定协议的指定命令基于角色、协议、命令、生效时间的组合，设定访问控制策略天玥OA操作对OA操作进行内容审计内容细粒度数据库操作对主流数据库操作进行命令级、过程级的审计、数据库错误代码的解析运维操作对Telnet、FTP等协议进行命令级审计和全过程审计原始IP报文审计事件会话数据策略制定集运维操作、数据库操作、OA操作的内容细粒度审计于一体的审计系统内容细粒度－协议种类数据库操作Oracle/TNSInformixDB2Sybase/TDSSQLServer/TDS运维操作TelnetFTPRloginX11OA操作NetbiosSMTPPOP3HTTPselect、delete、create、insertDropTRIGGERDroptable@script_name.sqlShutdownCreateUserMailfrom、rcptto、HELO、EHLO、发件人、收件人、主题、正文、附件用户登录、创建目录、创建文件、更改目录、删除文件、删除目录、读文件、写文件=1;execmaster..xp_cmdshell“netusernamepassword/add”reboot、Kill、shutdown、suVipasswd、init6、init0/etc/rc.d/init.d/xinetdstopkill-9Get、put、mget、mputrmdir公开协议解析协议插件非公开协议解析•原始IP报文记录存储，未知协议二次分析。•全面记录会话信息，事件过程仿真回放；•会话流量统计分析，方便用户全局管理。•针对协议事件与特征事件，实时告警、及时响应。内容细粒度－深层记录会话数据会话流量特征事件协议事件原始IP报文记录审计事件会话记录原始报文报告细粒度精确结果完美呈现内置40种合规及SOX报告，支持用户自定义报表模板管理全面记录行为日志，生成多种形式文字报表、图示报表，支持会话回放内置20余种条件查询功能,支持用户自定义查询模板管理•提供多种合规性报告，满足相关规定和内控要求多种合规报告、SOX报告SOX报表－用户活动回顾审计报表－事件明细查询报告细粒度－精确结果•灵活定制自定义报告生成要素，内审工作简单、有序自定义报告模板管理自定义报告统计要素设定自定义报告生成导出设定•灵活设置自定义查询条件，精确定位关注信息普通查询条件高级查询条件自定义查询条件组合报告细粒度－完美呈现•会话过程全面回放，精确定位业务故障(事故)原因会话回放会话数据会话过程仿真回放•汇集多种统计分析手段，全面呈现业务全局运行状况柱状统计分析三维统计分析二维统计分析折线趋势分析产品优势•架构最切合应用：基于RBAC的4A模型；•应用最灵活：强大的策略配置功能够灵活适合法规的不断变化，完善的审计规则库能够满足不同行业不同法规的差异化要求。业务操作全过程审计•协议支持最多：全面覆盖运维、业务、OA操作的主流协议；•协议解析最深：精确到命令级的深层审计；•技术基础最厚：融合IDS的技术积累－协议解析/多网卡抓包/零拷贝/多模式匹配/大数据存储/数据挖掘等。最广泛深入的协议解析•行业应用最广：已遍及四大运营商、金融、大企业、政府机构等；•行业应用最多：超过100家大型用户的应用锤炼；•应用基础最厚：融合在风险评估、管理咨询、安全域建设等领域的实践积累。紧贴客户的最佳实践合规性管理细粒度审计•业务保障-合规管理•最佳实践-细粒度审计•天玥（CA）-组网技术•成功案例-行业化应用天玥体系结构用户TelnetFTPOracleSybaseX11InformixSMTPHTTPMSSQLDB2POP3Rlogin自身管理报表模块事件查询和报表流量统计跟踪回放策略管理模块业务用户管理规则集响应管理资源管理实时监控模块认证模块网络数据采集模块审计分析控制模块天玥系统组成网络软件，安装在管理主机上，进行数据分析，提供更多种类统计报表。Web增强报表包(选配)含5个被保护服务的授权包，安装在天玥审计数据中心上。被保护服务授权包(选配)软件，安装在管理主机上，提供管理操作界面、策略管理、审计查询、审计报表输出等管理操作。天玥管理控制中心硬件，安装在用户业务网络中，实现审计信息的接收、存储，业务用户认证授权等功能。天玥审计数据中心硬件，挂接在交换机的镜像端口上，捕获并解析通信数据，根据安全策略允许、审计或阻断通信。天玥审计引擎提供对USB认证令牌的支持。天玥认证代理（选配）核心服务器产品资质与荣誉计算机信息系统安全专用产品销售许可证国家信息安全认证产品型号证书计算机软件著作权登记证书涉密信息系统产品检测证书军用信息安全产品认证证书中国信息产业2006年度行业采购网络安全产品首选品牌典型应用环境－单级部署单级部署示意图审计数据中心审计引擎用户终端管理控制中心Internet文件服务器Web服务器数据库系统应用服务器核心服务器区分布式部署示意图典型应用环境－分布式部署审计数据中心办公系统OA操作XX业务系统业务操作业务人员审计引擎-1审计引擎-3管理控制中心审计引擎-2IT支撑系统运维操作内部维护人员外包人员内部工作人员典型应用环境－分级审计管理管理控制台审计引擎-3二级单位-1二级单位-2二级单位-3一级单位管理控制中心审计数据中心分级审计管理示意图管理控制台审计引擎-2管理控制台审计引擎-1•业务保障-合规管理•最佳实践-细粒度审计•天玥（CA）-组网技术•成功案例-行业化应用远地局域网审计数据中心管理控制中心运营商BI、BOSS系统核心数据安装天玥认证代理并颁发USB令牌安装天玥认证代理并颁发USB令牌安装天玥认证代理并颁发USB令牌本地局域网用户端网段Internet天玥审计引擎运营商核心交换机客户需求强化完善核心业务系统内控：针对内部工作人员对系统核心数据访问时所采取的操作审计和运营商内控策略的符合性。启明星辰合规实践－某电信运营商启明星辰合规实践－金融行业审计数据中心管理控制中心核心交换机科技中心大楼外单位接入某建行信息中心部署图Internet审计引擎客户需求针对进入营业网(主机、数据库、服务器)的Telnet与FTP等操作进行监控与审计。解决方案•将天玥千兆审计引擎部署在核心交换机处，对进入营业网的流量进行网络行为审计；•对手工调帐的行为进行记录和事后审核。管理网营业网启明星辰合规实践－政府行业客户需求•计算机安全设备进入了更新换代期，要对逐步老化的网络进行改造与审计；•内网中存有的大量关键数据需要保护，如何有效监控数据访问与操作成为关键。解决方案•对办公环境下的网络共享操作进行审计；•监控政务外网中数据访问与操作全过程。客户价值•有效防护关键数据的完整性；•提高了综合审计能力。启明星辰合规实践－大型企业ERP系统客户需求•实现企业ERP系统的操作访问审计和后台数据库系统的访问控制及安全审计。•ERP系统涉及一个总厂和六个分厂，在总厂和分厂均配置有需要审计的Oracle数据库和应用服务器。客户价值•帮助用户减少了物料浪费，提高运营效率，降低经营成本；•对ERP系统使用者的细粒度审计，有效防护关键数据的完整性。解决方案•对关键主机访问采取专项控制和管理，保障定单、管理、质量控制、生成流程管理的正常运营；•在ERP系统的重点业务中，采用CA认证体系，对内容进行数字签名或加密处理。总厂服务器网段核心数据总厂交换机骨干交换机Internet天玥审计引擎天玥审计数据中心二分厂天玥审计引擎一分厂天玥管理控制中心天玥审计引擎IntranetInternet原A地运营商实施工程师A地运营商B地运营商假如时光可以倒转天玥核心数据库设置禁止