网络哨兵服务器安全审计系统解决方案模板——政府行业

更新时间：2023-08-27 02:40:01 阅读量：教育文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

网络哨兵是什么东西推荐度：
相关推荐

安全网关技术白皮书

网络哨兵服务器安全审计系统

医疗行业解决方案

深圳市中科新业信息科技发展有限公司

2013年4月20日

安全网关技术白皮书

1、

设计方案概述 ............................................................................................................................. 3

系统应用背景 ..................................................................................................................... 3 方案设计原则 ..................................................................................................................... 3 系统建设目标 ..................................................................................................................... 3 服务器审计需求分析 ......................................................................................................... 4

1.1、 1.2、 1.3、 1.4、 2、

网络哨兵服务器安全审计系统解决方案 .................................................................................. 5

系统部署 ............................................................................................................................. 5

审计步骤说明 ..................................................................................................................... 6

2.1、 2.2、 3、

网络哨兵网络安全审计系统服务器版基本功能 ...................................................................... 8

网络行为审计及查询 ......................................................................................................... 8

内容审计及查询 ............................................................................................................... 10 实时观察 ........................................................................................................................... 12 报警及报警日志查询 ....................................................................................................... 14 报表统计 ........................................................................................................................... 15 过滤库管理 ....................................................................................................................... 17 营运商及服务器管理功能 ............................................................................................... 17 访问者及角色权限管理 ................................................................................................... 17 数据备份 ........................................................................................................................... 18 在线升级 ........................................................................................................................... 19 其他性能 ........................................................................................................................... 19

3.1、 3.2、 3.3、 3.4、 3.5、 3.6、 3.7、 3.8、 3.9、 3.10、 3.11、 4、

产品性能 ................................................................................................................................... 20

接入方式 ........................................................................................................................... 20 技术参数 ........................................................................................................................... 20

4.1、 4.2、 5、 6、

系统特点 ................................................................................................................................... 21 售后服务 ................................................................................................................................... 21

服务文化 ........................................................................................................................... 21 技术支持队伍 ................................................................................................................... 21 本地化技术支持 ............................................................................................................... 22 日常服务响应时间 ........................................................................................................... 22 服务内容 ........................................................................................................................... 24

6.1、 6.2、 6.3、 6.4、 6.5、 7、

培训计划 ................................................................................................................................... 26

培训计划 ........................................................................................................................... 26 网络信息安全基础 ........................................................................................................... 27 服务器安全审计技术 ....................................................................................................... 27 网络哨兵体系架构 ........................................................................................................... 27 网络哨兵使用培训 ........................................................................................................... 28

7.1、 7.2、 7.3、 7.4、 7.5、

安全网关技术白皮书

1、设计方案概述 1.1、系统应用背景

随着人们对网络的使用越来越普及，网络给我们带来许多方便的同时，在网络中承担众多功能的服务器也带来了许多风险和挑战，例如：非法访问服务器、利用合法访问服务器身份对服务器进行非法操作、正常访问服务器对服务器进行误操作、上传发表不良言论、泄露公司敏感和机密信息。这些威胁和挑战事件多数是来自于内部合法访问者的“合法”操作，仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对这些网络安全事件（特别是基于应用程序）的行为审计要求，网络哨兵服务器版正是在这样的需求下产生的。凭借在安全审计领域多年的技术积累和研发经验，中科新业在成功开发和应用网络哨兵的基础平台上，推出的适用于多种网络环境的新一代网络安全审计系统。它通过专门细致的网络数据获取协议分析技术、数据存储技术、数据查询技术并配合完善的管理规则，帮助访问者应对来自网络的风险和挑战。

1.2、方案设计原则

方案设计原则是尽最大可能地减小原有工作网络拓朴的改变，并且本着高质量，高稳定性，高性价比的方针，使新建设的网络哨兵网络安全审计系统服务器版能够完美地融合到原有网络系统中去，新系统的加入不影响到原有网络的业务流量带宽，也不给网络造成性能上的瓶颈点。安全审计设备的本身也应具备一定的安全性，采用优化的Linux内核，以确保网络的安全。

1.3、系统建设目标

本项目建设的目标是通过网络哨兵网络安全审计系统服务器版的部署，进一步加强与完善企业内部网的网络安全体系。安全审计系统的功能在于通过灵活的策略实现：

1、发现网络中的异常访问网络服务器行为，及时通过短信等快捷方式进行报警，降低单位损失；

2、详细审计信息、访问者操作服务器的命令，保证安全事故发生准确找到责任人； 3、发现网络中的对内部敏感资料的外泄企图和事实； 4、过滤不良网络信息，净化网络环境；

安全网关技术白皮书

6、规避法律责任，满足相关部门对使用IT设备备案审计要求；

例如：记录SQL服务器管理员A对服务器的SQL操作语句，还原操作过程。

1.4、服务器审计需求分析

网络技术不断发展带动了各行业的单位办公智能化，通过建立的邮件服务器、OA服务器、ERP服务器、WEB服务器、文件等服务器，极大提高了企事业客户单位工作效率，人们可以很方便的获取相关信息；故此，支撑这些服务器的后台数据库是企事业客户单位核心业务开展过程中最具有战略性的资产，通常都保存着重要信息，这些信息需要被保护起来，以防止竞争者和其他非法者获取。互联网的急速发展使得企事业客户单位的数据库服务器信息价值及可访问性得到了提升，同时，也致使数据库服务器信息资产面临严峻的挑战，传统的安全措施已经不能完全满足针对关键服务器操作方面需求：

传统网络安全方案：依靠传统的网络防火墙及入侵保护系统(IPS)，在网络中检查并实施数据库访问控制策略。但是网络防火墙只能实现对IP地址、端口及协议的访问控制，无法识别特定用户的具体数据库活动(比如：某个用户使用数据库客户端删除某张数据库表);而IPS虽然可以依赖特征库有限阻止数据库软件已知漏洞的攻击，但他同样无法判别具体的数据库用户活动，更谈不上细粒度的审计。因此，无论是防火墙，还是IPS都不能解决数据库特权滥用等问题。

基于日志收集方案：需要数据库软件本身开启审计功能，通过采集数据库系统日志信息的方法形成审计报告，这样的审计方案受限于数据库的审计日志功能和访问控制功能，在审计深度、审计响应的实时性方面都难以获得很好的审计效果。同时，开启数据库审计功能，一方面会增加数据库服务器的资源消耗，严重影响数据库性能;另一方面审计信息的真实性、完整性也无法保证。

其他诸如应用程序修改、数据源触发器、统一认证系统授权等等方式，均只能记录有限的信息，更加无法提供细料度的数据库操作审计。

所以关键数据库服务器的操作安全审计不得不引起重视，政府作为关系国计民生的特殊行业，政府行业数据库记录了大量的重要信息，一旦丢失或被恶意操作，找不到相关责任人，后果不堪设想。

总体来说，政府行业关键数据库服务器操作安全审计方面存在以下几点急需解决： 1、

通过统一的管理平台，全面记录管理员或使用者对服务器（数据库、OA、ERP、邮件、ftp）访问操作，当“数据库表结构、控制数据访问的权限和数据库配置模式”等发生变化时，需要进行自动追踪。

2、

建议智能的、针对数据库可疑操作的报警系统；可疑行为发生时可以自动启动预先设置的告警流程，防范数据库风险的发生；不论在什么时间、以什么方式、

安全网关技术白皮书

只要数据被恶意修改或查看了就需要自动对其进行追踪。

3、

从多个层面追踪到的信息自动整合到一个便于管理的，长期通用的数据存储，这些数据需要独立于被审计数据库本身。

4、

防止利用合法访问服务器身份对服务器进行非法操作、正常访问服务器对服务器进行误操作；防范上传或发送或发表不良言论、发送不良或有害文件、泄露单位敏感和机密信息、通过服务器攻击其他网站等

基于以上需求，中科新业服务器安全审计系统应运而生，实际弥补了服务器安全应用操作级的安全漏洞，以下将从产品部署、功能方面详细介绍产品性能。

2、网络哨兵服务器安全审计系统解决方案 2.1、系统部署

中科新业网络哨兵服务器审计版在工作时，采用旁路侦听的方式；安装部署时，不需要破坏原有的网络结构。因此在网络结构中，也不会造成任何数据流量上的瓶颈。在设计规划整个网络结构时，只需在接入交换机上预留出端口。在整个实施完工后，在交换机上设置好镜像端口并连接上网络哨兵即可。

由于在核心交换机上的业务流量众多，所有的网络流量都将经过此处，对于核心交换机的处理能力是一个考验。为了最大程度地确保终端产生业务流量的安全审计，消除整个系统中可能存在或产生的流量与设备处理性能瓶颈，同时也使服务器安全审计系统无缝地融合进网络中，中科新业认为在此采用旁路接入的方式最为适合。以下是接入网络哨兵后示意图（仅供参考，具体应以实际网络拓扑而定）：

安全网关技术白皮书

路经核心交换机处至服务器区交换机的数据流量完全是安全审计所需侦听的流量，网络哨兵的监听口本身不配置IP地址，所以并不会对原有的网络结构造成大的改变。将网络哨兵按照图正确接入后，就可以利用机房局域网内任何一台电脑对网络哨兵进行管理。同时将网络哨兵本身的管理地址映射到外网。

2.2、审计步骤说明

整个审计过程分为四步：

规划：确认审计对象、审计目的、审计标准，并开始在客户网络中部署网络哨兵服务器版分析：这是整个审计活动中的重点，通过对已获取数据进行统计分析，帮助用户对整个服务器的使用做一个全面的评估，迅速发现问题，并找到解决问题的办法

部署管理策略：所有规划和分析的目的都是为了这一步做准备，只有基于对整个服务器进行的深入的分析和研究，所制定的管理策略才能起到它的作用。

评估：在这个阶段，我们将对整个客户网络服务器资源使用状况进行再一次的评估，把所得数据与前一次数据进行对比，评估管理策略的实际效果。规划

基本要素：

审计对象：确定审计的对象可以帮助我们有针对性的实施审计计划，并可以把整个过程控制在一个可接受的范围之内，并保持整个过程的高效。

审计的目的：审计的最终目的是通过审计确定、解除被审计服务器的安全负荷，此次审计目

安全网关技术白皮书

的是要帮助客户对访问服务器行为进行审计和分析，实现对服务器安全的管理，提高服务器资源利用率，净化服务器环境。

审计的标准：为整个审计行为定下一个得到广泛认可的标准，可以确保整个审计过程的客观、真实，并具有可计量性和可比较性, 此次审计过程中，我们将利用服务器安全审计系统，帮助用户打开这一黑匣子，规范网络行为准则，所有不符合网络管理规定以及与规定不符、危害服务器正常使用、滥用服务器资源影响正常运作的行为均被视为不符合标准，应当列入被审计范围以内。数据分析

网络哨兵提供了多种针对服务器行为的审计手段，首先我们先对我们所获得的网络浏览方面的数据进行一个深入的分析

第一步：数据获取

我们通过在网络哨兵的审计档案中设定所要查询数据的起始日期和截止日期，把在我们审计范围内的数据提取出来，经过汇总统计，全网所有审计对象的访问服务器记录，同样我们可对访问服务器的POP3、SMTP、TELNET、FTP等各种网络行为在网络哨兵中留下的日志纪录进行汇总统计，同时对数据库支持针对DB2、Oracle、SQL-Server、MySQL等4种数据库的访问全面记录。

第二步：数据筛选，面对如此之大的数据量，我们如何从中找到自己想要的内容呢，如果逐条核查逐条验证，必然耗费巨大的精力，而且也是几乎不可能做到的，网络哨兵为网管员提供了对获取数据进行挖掘、筛选的功能，帮助网管员缩小查询的范围，在最短时间里找到自己想要找到的东西。整个过程我们采取渐进式聚焦的方法，用最快的方法找到我们希望找到的东西，

首先我们可以利用统计视图，依照协议、数据库、机器名、源主机对服务器和服务器流量进行分类统计，并以柱状图或饼状图的形式表现出来，这样做可以帮助我们初步对网络使用状况有一个比较直观的了解，使我们能够及时了解到网络中用户的行为取向。

具体来说我们可以得到以下信息：

可以了解访问服务器中存在哪些协议，如上图我们可以发现网络中服务器存在有以下几种通讯协议：HTTP、TELNET、FTP、SMTP、POP3及其它若干协议等，根据这些信息，我们可以进行下一步的分析，如有哪些机器在什么时间访问了服务器服务，有哪些机器使用了邮件服务和FTP服务等。

我们可以了解WEB服务器各种类别的网站其用户访问次数和时间，帮助管理员发现违规行为通过以上步骤，我们可以成功的把问题焦点缩小在以下几个范围之中，它们有可能是：是否存在不应该在服务器中开放的服务，如FTP等各项服务以及每个用户占用了服务器多少网络资源网络访问内容中是否含有不良信息，如色情网站等

安全网关技术白皮书

个别用户是否由于遭到攻击而发生不寻常的网络行为，如不断对服务器发送大量的数据包或者服务器流量突然增大等

各种行为对服务器的影响有多大，如是否对正常的网络服务有影响

第三步：数据分析，下面我们可以针对筛选出的数据做进一步分析，在这一阶段我们需要找出问题的根源，它应该是针对以下几种问题的回答：谁在违犯规定违反了哪些规定谁在以什么方式违犯规定

如此，问题的焦点集中在了一个方面：即对网络中单个用户或极少数违犯规定的用户和违规上了。

我们可以通过以下方式找到答案，在网络活动日志中根据IP地址、机器名、以及通讯协议等找到目标机器对应的网络活动纪录，进行进一步的分析，比如我们可以选定IP地址为192.168.0.3的机器，查询这台机器所有服务器通讯纪录，如它上过哪些不良信息的网站，在这台机器上是否运行着与规定不符的网络应用程序，它的网络流量，它所发出的数据包的大小等等，或者我们可以针对某一协议进行进一步分析，比如有哪些机器在使用FTP、HTTP、这些网络服务，以及对服务器的数据库访问行为等等，通过这一系列逐步聚焦的分析，网络管理员可以对整个服务器的真实使用状况有了一个全面的了解，这样我们就可以针对我们网络中存在的各种问题有针对性的部署我们的管理策略。

3、网络哨兵网络安全审计系统服务器版基本功能

审计对象：网络哨兵服务器版所指的审计对象是指网络哨兵服务器版逻辑上能够审计的应用服务器，网络哨兵服务器版可以设置多级组管理审计对象，并且在网络哨兵服务器版内部可以按照多种方式来表示审计对象：如IP地址、MAC地址、使用者、服务器名。

3.1、网络行为审计及查询 3.1.1、数据库访问行为审计

网络哨兵服务器版审计访问者对数据库访问的行为。审计访问者的IP、访问时间、端口、数据库所在的服务器IP、以及访问数据库的命令、以及命令返回的结果等信息。目前支持针对DB2、Oracle、SQL-Server、MySQL等4种数据库的访问。

安全网关技术白皮书

3.1.2、网页浏览审计

网络哨兵服务器版审计访问者浏览网页的行为。审计访问者的IP、访问时间、端口、访问网页所在的服务器IP、以及访问网页详细URL地址等信息。

3.1.3、收发邮件审计

网络哨兵服务器版审计访问者通过Pop3、Smtp协议、Webmail（网页收发邮件）收发邮件行为，审计访问者IP、端口、邮件服务所在的服务器IP、以及收发邮件时间、收发件人、主题、附件名等信息。

3.1.4、远程登录（TELNET协议）审计

网络哨兵服务器版审计访问者通过TELNET协议远程登陆服务器的行为，审计访问者IP、端口、TELNET服务所在的服务器IP、以及TELNET进行远程登陆的命令等信息。

3.1.5、文件传输（FTP协议）审计

网络哨兵服务器版审计访问者通过FTP协议进行文件传输行为，审计访问者IP、端口、FTP服务所在的服务器IP、以及FTP进行文件传输行为、命令等信息。

安全网关技术白皮书

3.2、内容审计及查询 3.2.1、收发邮件内容审计

网络哨兵服务器版除记录访问者收发邮件（行为审计）的所有信息以外。还审计通过Pop3、Smtp协议、以及Webmail（网页收发邮件）邮件正文内容、附件内容。（由于各WEBMAIL的格式不尽相同，所以审计信息也不尽相同）。如下图所示：

安全网关技术白皮书

网络哨兵服务器版除记录访问者网页浏览（行为审计）的所有信息外，还能记录通过网页发送信息（POST）的内容，如下图所示：

3.2.3、 BBS发帖审计

网络哨兵服务器版除记录访问者网页浏览（行为审计）的所有信息外，还能记录登陆BBS的站点、帐户以及发送内容，如下图所示：

安全网关技术白皮书

网络哨兵服务器版除记录访问者FTP登陆服务器（行为审计）的所有信息外，还能记录访问者通过FTP上传、下载文件的文件。

3.3、实时观察

现场观察提供了以下三种方式的实时审计功能，帮助实时观察审计对象的被访问情况。

3.3.1. 实时流量

实时流量页面以图表的形式实时显示机器/机器组的流量变化轨迹，系统默认的刷新时间间隔为3秒。刷新的时间间隔可以在[系统管理]-[系统配置]中进行设置，考虑到系统负载，设置的时间间隔不能小于3秒，如下图所示。

Ctrl+鼠标左键可以对多个组或同一组内的多个机器进行多选。点击“暂停跟踪”按钮可停止实时刷新。

安全网关技术白皮书

3.3.2. 实时观察

实时观察页面以列表的形式实时的显示所选服务器被访问的服务，系统默认的刷新时间间隔为3秒，刷新的时间间隔可以在[系统管理]-[系统配置]中进行设置，考虑到系统负载，设置的时间间隔不能小于3秒，如下图所示。点击“暂停跟踪”按钮可停止实时刷新。

安全网关技术白皮书

3.3.3. 数据包流量

数据包流量以列表的形式显示所选服务器的数据包流量和流速，包括总数据包数、外发数据包数、外发包速、流入数据包数、流入包速、总流量、流入流量、流入速度、流出流量、流出速度，点击“查询”列出实时的流量数据表，如下图所示。

排列顺序的选择有两种方式： “排序列”下拉框选择列名；点击表头的列名可按此列排序。

3.4、报警及报警日志查询

可以针对网页内容，标题关键字报警；POST（BBS）内容关键字报警；BBS账号关键字报警；POP3&SMTP收发邮件账号报警；POP3&SMTP收发邮件标题关键字报警；POP3&SMTP收发邮件内容关键字报警；POP3&SMTP收发邮件附件内容关键字报警；WEB MAIL 发送邮件账号报警；WEB MAIL 发送邮件标题关键字报警；WEB MAIL 发送邮件内容关键字报警；WEB MAIL发送邮件附件内容关键字报警；Ftp账号报警；Ftp上传文件内容关键字，文件名称报警；Telnet 账号，内容关键字报警。

安全网关技术白皮书

3.5、报表统计

互联网安全审计系统（服务器版）统计报表为用户提供了强大的审计日志统计分析功能，用户可以在评估报表中根据自身的需求，生成多种自定义审计报表，系统支持多种样式的审计结果显示方式，如：报表、柱状图、折线图、趋势图、横向图、柱状均势图、饼状图、折线填充图等；

安全网关技术白皮书

第 16 页共 28 页

安全网关技术白皮书

3.6、过滤库管理

第三方过滤库查询；

自定义过滤库增、删、改功能；自定义过滤库导入、导出功能。

3.7、营运商及服务器管理功能

根据产品安装的地点，网络哨兵服务器版提供营运商开户、服务器开户等管理功能，保证产品所管理的服务器按类别管理，同时提供非法服务器接入查询管理、报警功能。

3.8、访问者及角色权限管理