XXXX年3月13日TA、TD培训文档_TOPSEC

内容行为审计系统TopAudit-Watch主要内容•TA-W产品简介•数据处理过程•主要功能•配置与管理TA-W产品简介产品需求•客户通常需要对网络行为的内容进行深入分析•违规操作发现、各种应用流量、服务器负载情况、客户机上网情况统计分析审计系统与行为控制产品的区别•网络审计系统不影响用户现有网络与应用•网络审计系统提供更为高级的分析能力•网络审计系统可用于后期取证，对网络潜在威胁者予以威慑•网络审计系统的监控是无法逃避的•行为控制产品只能面向小型网络实现原理•根据跟踪检测、协议还原技术开发•旁路、透明接入，获取并还原通讯数据•提供强大的内容审计功能•网络通信的监测、审查、调查取证InternetInternet内网用户邮件服务器源镜像区域核心交换机TA-WWeb管理界面监听口管理口内网区域ftp服务器数据库服务器TA-W3.0特点•系统集审计服务器、审计探针于一体，内置存储。–百兆设备内置500G存储–千兆设备内置1T存储•支持网络行为审计•支持数据库行为审计•详细的流量统计TA-W3.0特点•线速抓包、高速审计查询、快速报表•B/S管理界面，支持https加密，支持串口、SSH下的CLI管理•完善的用户管理、支持CA证书认证应用环境•政府、军队机关的网络管理部门•公安、保密、司法等国家授权的网络安全监察部门•金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心•大中型企业网络管理中心数据处理过程审计事件发现•通过交换机镜像获取数据•基于IP地址与端口、数据包内容的协议协议识别•审计事件记录内容包括事件发生时间、源目的IP、源目的MAC、源目的端口、VLANID与各个协议的详细信息•支持IP地址与人员映射•支持IP地址与IP归属地映射数据捕获流量统计HTTP(WebMail)SMTPPOP3FTPP2PMSNQQTELNETSQLSERVERORACLEDB2SYBASEMYSQLINFORMIX接口流量统计数据过滤协议流量统计协议识别统计各应用协议的数据流量，应用协议流量策略中配置了要统计的协议名称应用协议流量统计数据捕获流量统计解析还原接口流量统计数据过滤协议流量统计协议识别应用协议流量统计编码转换事件获取文件还原数据库表名字段名数据库规则Ip用户名映射数据捕获流量统计解析还原事件输出数据呈现编码转换事件解析文件还原数据库表名字段名数据库规则Ip用户名映射事件入库实时监视数据统计分析数据安全审计实时监视统计分析流量监控流量统计数据主要功能安全审计实时监视流量统计审计分析统计报表审计策略配置管理系统日志（Web、CLI）报警联动磁盘空间管理备份还原计划任务用户管理访问控制主要功能模块数据包捕获处理数据管理实时监视•界面显示最新的n条事件（n的取值范围1-50）•支持手动刷新、定时刷新•支持源、目的地址过滤•页面显示列可配置实时监控界面安全审计•根据审计条件从数据库中查询•可以灵活配置审计条件•数据分批查询，快速返回查询结果•审计详情还原协议内容•审计结果保存功能可将查询结果写入pdf文件，打包导出•支持网络协议字段和内容的关键字审计安全审计流量监控•接口、协议、应用流量统计•监听域内主机流量、忙闲时段分析•接口负载分析•接口连接数分析•Vlan信息•丰富的图表、flash，形象的展示统计结果流量监控统计报表•应用协议报表、数据库报表、流量报表•灵活的报表条件•报表10秒内未生成会转入后台执行，完成后可在统计报表列表中下载•目前只支持pdf格式，数据量大时生成报表的时间较长，报表内容还不够丰富数据库审计分析•支持历史与当前关联分析•支持统计与明细关联分析•支持统计与排名关联分析•支持统计与主机关联分析数据库审计分析用户管理•角色管理–提供对所有系统功能细粒度的权限控制•用户组管理–拥有角色，实现对一组用户的统一管理•用户–用户优先继承自身角色的权限，当自身角色权限未指定时，继承所在用户组的角色权限•用户登录安全管理–控制允许用户错误登录的次数，实现对错误登录用户的锁定和解锁功能配置与管理配置•安装完成后，需在CLI中配置管理口IP，系统会自动添加一条路由，默认监听口是eth1，之后的配置可在界面完成•在【系统管理-网络管理】界面中可以进行监听口和路由的配置•在策略管理模块完成其他配置–策略管理：协议识别的策略–流量策略：流量监视的IP范围–应用协议流量策略：进行流量监视的应用协议•ftpdata、bittorrent、edonkey需手动添加–协议匹配：BT和电驴匹配开关–Webmail：WebMail模板配置–审计级别：控制网络协议的还原程度，数据库协议部分字段还原配置过程管理功能•管理功能主要集中在系统管理模块–系统状态：监视磁盘空间、CPU、内存等使用情况–网络配置：接口、路由相关配置–服务器配置：设备名、DNS、FTP、SMTP、防火墙服务器配置–联动规则配置：防火墙联动配置–访问规则配置：配置可访问设备的地址范围–报警处理规则配置：根据事件危险级别进行报警的相关配置–服务管理：系统主要服务的管理–数据备份与还原：数据库备份和还原功能–磁盘空间管理策略：依据磁盘利用率触发的管理操作–系统配置管理：配置保存、导入、导出、恢复，设备重启、关机–系统计划任务：配置定期自动执行的任务–系统升级：升级功能数据备份与还原•本地备份–备份文件保存在设备磁盘中•ftp远程备份–备份完成后备份文件自动上传到ftp服务器–需要先配置ftp服务器•数据还原–支持本地和远程ftp服务器上备份文件的还原ftp备份与还原Q&A