网镜业务认证审计系统产品经典白皮书.docx

《网镜业务认证审计系统产品经典白皮书.docx》由会员分享，可在线阅读，更多相关《网镜业务认证审计系统产品经典白皮书.docx（21页珍藏版）》请在三一办公上搜索。

1、 网镜业务认证审计系统产品白皮书（2007年9月修订）四川赛贝卡信息技术有限公司2007年目 录1. 体系结构及系统构成网镜业务认证审计系统集认证、授权、安全响应和安全审计为一体，为计算机系统提供了一个统一、集中的授权、访问控制和审计平台。典型的系统配置和部署如下图所示。网镜系统典型配置安全风险往往出现在“不同”之中，出现在“设想”之外。网镜业务认证审计系统从多角度显示系统在怎样的运行、后一时刻与前一时刻的运行有何不同，系统的实际运行状况与设计（或设想）的运行模式有何不同，并针对这些不同作出恰当的响应。网镜业务认证审计系统基于“IP数据俘获强身份认证应用层数据分析审计和响应”实现各项功能，设计

2、中充分贯彻了平台化的思路，使得它具备“安全认证和审计工具”的特征，与基于日志收集的审计系统有着很大的区别。基于日志收集的审计系统将原系统中的日志信息收集起来，综合形成审计报告，审计功能受限于原系统的日志功能和访问控制功能，在审计深度、审计响应的实时性方面都难以获得很好的审计效果。在基本安全功能的基础上，网镜业务认证审计系统可针对具体的应用需求，如FTP/Telnet系统维护操作、SQL数据库维护操作，制定应用级别的认证和审计策略，使得系统能针对具体的应用或业务系统实现命令级别、访问逻辑级别的的认证和审计。如果再辅以专业安全服务商提供的安全咨询和服务，网镜业务认证审计系统可以更及时、准确地反映系

3、统的安全运行状况，并进行相应的控制。网镜业务认证审计系统主要实现以下安全功能：1. 强身份认证和访问控制：基于CA数字证书或一次性动态口令对访问者进行身份认证，之后根据经认证的身份实现访问控制，禁止非法用户访问被保护的信息。2. 应用级的安全审计和响应：特有的“策略库（Application Policy Library）”可以深入到应用层协议（如操作命令、业务操作过程）实现详细的安全审计，并根据安全策略采取诸如记录、审计、告警、阻断等响应。3. 提供多视角的审计报告：根据实时记录的网络访问情况，提供多种安全审计报告，更清晰地了解系统的使用情况以及安全事件的发生情况，并可根据这些安全审计报告进

4、一步修改和完善“策略库（Application Policy Library）”。 网镜-Console管理控制台：安装于Windows2000操作系统之上，提供管理控制界面。 网镜-Server认证审计服务器：基于专门硬件构建，负责安全策略的生成、解释、管理，审计数据的记录和整理。 网镜-Sensor嗅探器：基于专门硬件构建，根据安全策略对俘获的数据进行比对、分析，并做出响应动作，如告警、阻断等。 网镜-Agent认证代理：安装于客户端计算机之上，配合网镜-Sensor完成用户的强身份认证。 网镜-PL（Policy Library）策略库：针对不同的应用协议、应用（业务）系统提供状命令级的

5、安全策略支持。是网镜系统中最具特色、最具价值的模块。网镜系统独具特色的“策略库（Policy Library）”设计，使得网镜系统不但具备了功能强大的安全审计功能，更使得网镜系统具备了网络安全分析工具及“应用层IDS”的特征。用户可以自己定义符合业务特征的“策略库”，也可选用针对特定业务系统设计的“策略库”。网镜系统的策略库分为两类：基础策略库，和针对具体应用、具体业务的策略库。基础策略库（Basic PL）提供了基于IP报的安全策略的制定功能。用户可以直接编辑安全策略，也可利用网镜系统提供的“录制”功能，在俘获的IP报的基础上，提炼出符合需要的安全策略。应用策略库则针对不同的通信协议、业务系

6、统进行设计，目前提供了数据库（DB）策略库（PL/DB）、Unix主机策略库（PL/UMG），并提供了专门的模块，以支持SSH协议和远程桌面终端登录（RDP、3389协议）的审计。针对不同协议或业务系统的应用 “策略库（Policy Library）”使得用户可以灵活地制定数据俘获、安全审计及响应策略，根据系统实际的运行情况输出恰当的审计报告，更全面、更有重点地了解和掌握系统的运行状况。随着研发工作的不断深入，我们还会根据不同的应用协议或应用系统开发出具备应用特征、行业特征的“策略库（Policy Library）”。这也是网镜系统最具生命力的特点：随着网镜系统的应用和 “策略库（Applic

7、ation Policy Library）”的及时更新， 网镜系统所提供的功能将越来越丰富、越来越接近用户的实际使用需求。1.1 网镜-Console控制台网镜-Console控制台提供了一个图形化的管理、使用、和维护的界面。通过网镜-Console控制台制定的各种访问控制和安全审计策略将自动下载到网镜-Server执行；访问控制和安全审计结果通过网镜-Server收集后，按照用户设定的输出内容、输出方式通过网镜-Console形成最终的安全审计报告。网镜-Console控制台支持Windows2000/2003/XP操作系统，一个系统中可以配置多个网镜-Console控制台。1.2 网镜-S

8、erver审计服务器网镜-Server审计服务器是整个认证审计系统的核心部件，向上接受网镜-Console管理控制台制定的各种安全策略，并将这些安全策略贯彻到网镜-Sensor嗅探器、网镜-Agent；向下接收由网镜-Sensor嗅探器获取的原始通信数据并写入数据库，形成审计报告后提供给网镜-Console管理控制台。网镜-Server审计服务器基于赛贝卡自行设计的硬件平台构建，目前有两种型号的产品。型号网镜-Server/M网镜-Server/H使用环境大、中型网络大型网络管理会话数4.5万个9万个以太网接口10/100M2；100/1000M210/100M2；100/1000M2存储器标

9、配1.5T Raid0/5，最高2.0T标配2.0T Raid0/5，最高3.2T外观2U19英尺标准机箱2U19英尺标准机箱供电标配单220V，可选配冗余220V热备功能支持MTBF45,000小时60,000小时一台网镜-Server认证审计服务器可以同时对多个网镜-Sensor嗅探器进行管理并存储和整理由这些嗅探器传递来的信息。1.3 网镜-Sensor嗅探器网镜-Sensor嗅探器对通信内容进行扫描和匹配检查，根据安全策略进行安全响应。当发现访问者要访问被保护的信息时，要求访问者基于网镜-Console控制台颁发的USB进行身份认证，如果访问者不能通过身份认证，则拒绝访问者对网络进行访

10、问。对正常通信的信息，网镜-Sensor嗅探器根据网镜-Server发布的安全审计策略对应用操作进行匹配和过程分析，当发现符合安全规则（策略）的通信时，采取相应的措施。网镜-Sensor嗅探器基于赛贝卡自行设计的硬件平台构建，目前有两种型号的产品。型号网镜-Sensor/M网镜-Sensor/H使用环境中、小型网络大型网络审计并发会话数1万个；可扩充2万个；可扩充以太网接口10/100M2；100/1000M210/100M2；100/1000M2热备工作模式支持支持MTBF60,000小时60,000小时外观2U19英尺标准机箱供电单220V；可选配冗余电源1.4 网镜-Agent认证代理网

11、镜-Agent认证代理安装于客户端计算机之上，负责实现访问者与网镜-Sensor之间的身份认证。当访问者需要访问被保护的信息时，在计算机的USB接口上插入由网镜-Console颁发的USB令牌（CA证书），网镜-Agent负责从USB令牌中提取出CA证书，并与网镜-Sensor共同完成用户的身份认证。网镜-Agent支持WindowsNT/Me/2000/2003/XP、Linux操作系统。1.5 策略库（PL）如果说网镜-Console、网镜-Server、网镜-Sensor、网镜-Agent形成了网镜系统的骨骼和躯干，那么，策略库则是网镜系统的灵魂和血液。不同的审计策略库针对不同的应用系统

12、和安全目的进行设计。基础策略库（Basic PL）提供了基于IP报的安全策略的制定功能。用户可以直接编辑安全策略，也可利用网镜系统提供的“录制”功能，在俘获的IP报的基础上，提炼出符合需要的安全策略。DB（数据库）策略库（PL/DB）提供了基于SQL命令的数据库操作审计及响应功能，实现数据库操作审计、还原和响应，支持各个版本的Informix 、DB2、Oracle、Sybase 、MS SQL Server、MySQL数据库系统。Unix主机策略库（PL/UMG）提供了FTP/Telnet/rlogin/RCP操作审计及响应功能，针对FTP/Telnet/rlogin/RCP协议进行命令、字

13、符级的访问控制和审计，并可回放FTP/Telnet/rlogin/RCP的操作过程及结果；为每个用户设定特定的命令子集，针对FTP/Telnet/rlogin/RCP的具体应用需求禁止或允许某些特定的操作。由于FTP/Telnet/rlogin/RCP协议通常也被用于各种网络设备的维护操作，因此，Unix主机策略库（PL/UMG）同样可以对各种网络设备的操作进行审计和访问控制。另外，网镜系统也提供了专门的软件模块，对SSH协议和远程桌面协议（RDP、3389协议）进行审计和访问控制。除了针对上述通用的应用提供策略库外，网镜系统还针对一些行业的普遍应用设计了策略库，例如，针对移动行业经营决策系统

14、、BOSS系统设计的策略库。2. 主要功能及特点网镜认证审计系统突出的三大功能为：1. 提供基于CA数字证书或一次性动态口令的强身份认证；2. 针对不同的应用协议，如数据库操作，提供基于应用操作的审计及响应；3. 根据设定输出不同的安全审计报告。2.1 集中管理的强身份认证身份认证是系统安全中最基本、也是最重要的一个环节。一般的网络设备、主机系统、业务系统都提供了“UserName+Password”的身份认证机制，然而，这种身份认证机制的安全性越来越受到置疑和挑战，网镜系统在不修改原系统任何软件或硬件配置的基础上，提供了额外的、安全强度更高的二次身份认证机制，可选择的认证方式包括：1. 基于

15、CA证书的身份认证机制；2. 支持基于短信系统传递一次性动态口令，进行动态口令认证；在这种情况下，需要用户提供相应的短信传输接口，并进行一定的客户化定制开发；3. 基于Radius协议，与任何第三方的动态口令系统、强身份认证系统集成。为了使用网镜提供的强身份认证功能，需要在客户端安装网镜-Agent认证代理软件，并配置专门的USB身份认证令牌。首先，系统管理员需要通过网镜-Console对用户的身份及访问权限等信息进行设置：1. 为用户产生一个基于X.509标准的CA证书并写入USB令牌，之后将该USB令牌发放给用户；2. 设定该用户可以访问的网络资源及命令权限，如IP地址段、TCP端口号等；

16、3. 如果需要，可以设定更高层次的安全审计及响应策略；或者应用由“策略库”提供的安全策略。对用户而言，当需要访问被保护的信息时，在计算机中插入USB令牌并输入正确的USB保护口令，网镜-Agent将自动与网镜-Senor完成对用户的强身份认证。如果用户没有通过强身份认证，则拒绝用户对保护信息的访问；如果通过了强身份认证，则加载相应的访问控制、审计及响应策略，对访问过程进行审计和控制。网镜的强身份认证功能提高了原系统的身份认证强度，为系统安全奠定了坚实的基础。在此基础上，网镜系统的其它功能模块，包括访问控制、审计及响应等，能更有效、更有针对性地实施各种安全策略；网镜系统之外的其它安全系统，也可以

17、借助网镜提供的强身份认证功能，发挥出更好的安全防护效能。通过对特定通信协议的解析，网镜系统还可以自动获取用户的系统身份；网镜系统可以基于用户的“网镜身份”和“系统身份”提供访问控制、安全审计功能。在使用短信动态口令进行身份认证，或者使用Radius集成第三方身份认证时，用户的操作过程与上述CA认证过程类似。不同之处在于：无需使用USB令牌，在输入保护口令时，这些口令来自于其它介质提供的动态口令，如：一次性动态口令卡显示的动态口令，或者收到的短消息中给出的一次性动态口令。2.2 审计及响应网镜业务认证审计系统基于“IP数据俘获强身份认证应用层数据分析审计和响应” 的模式提供各项安全功能，使得它的

18、审计功能大大优于基于日志收集的审计系统。基础策略库（Basic PL）作为必购模块包含于网镜系统软件包中，它提供了基本的审计响应功能，这些功能同样会沿用到选配的其它策略库之中。具体的应用级审计策略库的详细介绍见“3. 策略库”。2.2.1 面向服务和操作者的审计和响应网镜业务认证审计系统的审计和响应功能所要完成的任务可以简单地描述为： “某个特定的服务（如FTP、Telnet、SQL、SNMP等）可以（或不可以）被某个特定的用户怎样地访问”，这使得它提供的审计和响应具有很强的针对性和准确性。础策略库（Basic PL）提供了基于IP报及其组合的审计和策略响应功能，用户可针对具体的业务系统制定安

19、全审计及响应策略，这些策略可以基于一个IP报的，也可以基于多个有业务逻辑的IP报，然后将该策略赋予对应的访问者，由此实现对应用操作和访问的精确审计及响应。2.2.2 策略定制和样本录制网镜业务认证审计系统提供了专门的策略和规则定义模块，使得用户可以自行设定和调整各种安全审计及响应的策略。然而，在某些情况下，用户可能不是很了解业务的操作特征，针对这种情况，网镜业务认证审计系统提供了“样本录制及规则提取”功能，使得用户可以在纷繁的操作中提取规律性的信息，进一步提炼成“安全规则”，然后将这些规则整理、编辑，并加入“访问对象”、“审计响应动作”、“操作时间”等信息后形成最终的“安全策略”。“策略定制和

20、样本录制”体现了这样一种安全思路：一种网络行为是否被判定为攻击，一定与具体的业务系统相关，也一定与操作者的身份及当时的环境相关。2.2.3 基于业务特征的规则库用户可以通过手工录入、样本录制等方式制定符合业务特征的规则，然后将多个规则进行汇总、编辑和命名，形成具备某种业务特征的规则写入用户自定义的规则库。这样，用户在针对某个特定用户制定认证审计策略时，可以直观地使用自命名的规则进行设置，方便了各种策略的制定和查询。网镜业务认证审计系统在形成审计报告时，也使用用户自定义的规则名或策略名，这样，用户在阅读审计报告时，看到的是直观的业务操作，而不是晦涩难懂的网络术语或杂乱无章的IP数据报。2.2.4

21、 多种响应方式网镜业务认证审计系统提供了多种响应方式，包括：1. 在网镜-Sever审计服务器中记录相应的操作过程；2. 在日常审计报告中标注；3. 向网镜-Console控制台发出告警信息；4. 向管理员手机发出告警短消息；5. 实时阻断通信连接。2.2.5 实时跟踪和回放管理员可以通过网镜-Console控制台实时地跟踪一个或多个网络连接，通过系统提供的“时标”清晰地显示不同网络连接中每个操作的先后顺序及操作结果，当发现可疑的操作或访问时，可以实时阻断当前的访问。管理员也可以从网镜-Server中提取审计数据对通信过程进行回放，便于分析和查找系统安全问题，并以次为依据制定更符合业务特征和系

22、统安全需求的安全规则和策略。目前，网镜业务认证审计系统支持FTP、Telnet两种协议的过程回放，随着研发工作的深入，还将支持更多协议的过程回放。2.3 系统性能监控和辅助故障分析网镜系统在完成审计的同时，可以记录每个访问请求的时间，以及该请求的响应时间、响应结果等。这使得它具备了系统性能监控和辅助故障分析的能力。2.3.1 性能监控在网络、主机、服务层次，网镜系统提供了诸如访问流量、访问次数、访问用户数等信息，并通过图形、表格等形式进行显示。通过查看这些参数，管理员能对系统的整体运行情况有个概略的了解。例如：对于某个应用系统，动态地显示了它的流量情况、访问次数、访问用户的分布情况等；通过查看

23、这些实时信息，并将这些信息于历史统计数据进行比对，就可基本了解应用系统当前是否工作正常。如果流量情况、访问次数、访问用户的分布出现较大的波动，甚至是中断，则预示着系统出现了故障。在数据库层次，可以对数据库表、存储过程等进行监控和统计，并设置报警阈值；也可以对特别定义的数据库访问过程进行监控和统计，并设置报警阈值。对于数据库资源，监控和统计的结果包括的访问量、访问用户的分布情况、资源访问的响应时间等信息。对于数据库访问过程，监控和审计的结果包括执行次数、响应成功率、响应时间等信息。例如，在数据库系统中，某个数据库的操作过程的响应时间、访问成功率可能代表了整个系统的运行效率、运行的稳定度；就可以针

24、对这个操作过程设置匹配规则，并进行监控、统计和告警。在业务系统层次可以针对某些关键的操作过程定义匹配规则，对这些过程的响应时间、响应结果进行监控和统计，并设置报警阈值。例如在业务系统中，某个WEB页面、某个按钮、某个菜单的响应时间、访问成功率代表了业务系统的运行效率、运行的稳定度；就可以针对这个操作过程设置匹配规则，并进行监控、统计和告警。利用访问响应时间的统计和报警功能，管理员能动态地掌握数据库系统、业务系统的运行效率；并可根据经验或历史统计数据设置报警阈值，当响应时间超过设定的阈值时，主动发出告警信息，使得系统管理员有充分的时间进行故障排查。2.3.2 辅助故障分析在发现系统出现故障或性能

25、波动后，可以利用网镜系统的审计信息，以及实时监控、过程回放、审计查询等功能，查找引起系统性能波动或故障的原因。例如，对于数据库系统而言，通过网镜系统发现从某一时刻起，数据库的运行效率下降、访问的响应时间变长。在这种情况下，首先，可以基于时间、IP地址、数据库系统账号等信息，查找出该时间段内的相关TCP连接。利用回放功能，可以重现这些数据库操作过程，并显示详细的数据库操作语句（SQL）、操作对象等。同时，也可以使用“命令查询”功能，主动地查找可能引起性能波动的数据库操作。在基本确定了怀疑对象后，如某个SQL语句或数据库操作过程，可以针对怀疑对象过程定义匹配规则，并要求网镜系统精确记录这些访问的次

26、数、响应时间、响应成功率等，启动“实时监控”。在业务系统重再次进行此类操作，通过查看网镜系统提供的信息，验证最初的怀疑。如果业务系统在某一刻出现致命性的错误，甚至是服务中断。在这种情况下，首先需要分析可能引起错误或服务中断的原因，如Unix系统或数据库系统中执行了不正确的操作命令等，然后在网镜系统中进行查询；同时，也可以提取在服务中断前的TCP连接进行分析和查看，这些TCP连接可能是应用系统发起的，也可能是管理员通过SQL PLUS之类的数据库管理软件发起的，也可能是通过Telnet发起的。综合利用网镜的各种功能，逐步缩小怀疑的范围，并最终确定发生的原因。2.4 多种审计报告输出网镜业务认证审

27、计系统从安全管理的角度出发，设计一套完善的审计报告输出机制。2.4.1 围绕安全策略生成审计报告直观、便于理解的审计报告是一个审计系统、甚至是一个安全系统设计是否成功的关键所在。一些IDS系统、系统漏洞扫描系统、甚至是主机的日志系统，本身具有很好的安全功能，但是由于审计报告的不直观、难以理解，在实际使用中往往难以发挥有效的作用。网镜业务认证审计系统围绕安全策略输出审计报告，很好地解决了这个问题。系统管理员制定的安全策略本身就充分体现了系统管理员重点关心的问题，围绕安全策略设定审计输出报告，使得系统管理员能迅速地得到自己最关心的信息。并且，由于安全策略本身是系统管理员自己定义的，他（她）就更容易

28、理解这些基于安全策略生成的审计报告。2.4.2 多种筛选条件网镜业务认证审计系统提供了强大、灵活的筛选条件设置机制。在设置筛选条件时，系统管理员可基于以下要素的组合进行设置：用户自定义的过程名称；访问对象的内容（如SQL的表单名称）；IP地址；网段；应用端口号；时间段；用户的身份；安全策略或安全规则名称；访问命令；IP数据的传递方向；审计响应的动作类型等。系统管理员可根据需要灵活地设置审计报表的各种要素，迅速地生成自己希望看到的审计内容。网镜业务认证审计系统可以实时地根据系统管理员设定的筛选条件生成审计报告，也允许系统管理员设定审计报表的输出时间，如日报表、月报表、年报表等。系统管理员也可将已

29、经生成的审计报表作为生成新的审计报表的原始数据，重新生成精确度更高的审计报表。2.4.3 形式多样的审计报表网镜业务认证审计系统可以生成形式多样的审计报告，满足不同场合对审计报表格式及显示方式的不同要求。网镜业务认证审计系统支持生成HTML格式的报表文件，在这些文件中详细地列出了用户希望查看的系统使用信息，并对某些关键的审计结果给出解释和风险评估。网镜业务认证审计系统也支持基于柱型图、饼图、曲线形式的图形输出，直观地显示出系统的运行状况，例如某TCP端口号的使用情况、某个应用层命令的使用情况等。2.5 历史分析及安全趋势预测审计并不等同与日志，更不是事件的罗列；审计应该基于真实的事件记录提供更

30、高层次的信息综合分析，从不同的侧面展示审计对象的运行状况、使用情况；审计的目的并不仅仅是提供事后的追踪，还应该提供预防措施和决策依据。网镜业务认证审计系统在真实记录关键事件的基础上，提供了强有力的“历史分析及安全趋势预测”功能。网镜系统的“历史分析及安全趋势预测”功能建立在这样的安全理念之上“上周期系统运行是安全的，如果本周期系统的运行特征与上周期类似，则可以基本判定本周期的运行是安全、健康的”。网镜系统一方面可以提供任何时间段内被审计系统的翔实的运行、使用情况；另一方面，也可以提供不同周期内运行、使用情况的变化情况。通过网镜系统提供的“报表及分析向导”功能，系统管理员可以自行定义或修改需要进

31、行分析和评估的关键事件，这些关键事件包括：网络流量、TCP连接数量、用户登录/登出、关键命令或操作、匹配规则触发情况等。网镜系统强根据所定义的条件和内容，提供关键事件的历史分析，并对系统的安全性能进行预测。在建立“报表及分析向导”时，允许系统管理员针对不同的关键事件设定不同的“波动阈值”，当关键事件的变化超过了“波动阈值”时，将主动向系统管理员告警，提示系统管理员系统的运行、使用出现了异常情况，这种异常可能是安全事故发生的前兆。系统管理员可及时使用网镜系统提供的各项查询、跟踪手段对系统进行安全诊断，以判断这种异常是否潜在着安全风险。如果评估的结果是安全风险比较高，则可以重点监控出现异常的网络行

32、为；或者及时地采取相应的安全防范措施。除了网镜系统产品本身提供的“历史分析及安全趋势预测”功能外，作为长期从事行业安全审计产品开发和安全服务的提供商，赛贝卡积累了丰富的行业经验，对于行业业务系统的安全运行特点有比较深刻的了解。利用这些经验和积累的行业安全知识，赛贝卡可以帮助用户设置比较恰当的安全策略，使得网镜系统能尽快地发挥出最大的安全审计、安全管理、安全评估作用。2.6 集中统一的安全管理网镜业务认证审计系统的网镜-Console控制台提供了集中的管理控制界面，系统管理员通过网镜-Console控制台就能管理和综合分析所有嗅探器的审计信息和状态信息，并形成审计报表。网镜业务认证审计系统支持分

33、级管理模式，可对不同的系统管理员设定不同的管理权限。例如，超级管理员拥有所有的管理权限；而某些普通管理员则可能仅拥有查看审计报表的权限，某些管理员可以拥有设置安全策略或安全规则的权限。如果系统中配置有多个网镜-Sensor嗅探器，也可以把不同的嗅探器的管理权限赋予不同的系统管理员。为了便于远程维护，网镜业务认证审计系统支持一套专门设计的、安全的远程维护协议，使得维护人员可以通过网络对系统进行远程诊断和故障维护。网镜-Server及网镜-Sensor均支持系统软件的在线升级和参数的备份，在不中断、不影响正常工作的情况下对系统软件进行升级。3. 策略库策略库（PL，Application Poli

34、cy Library）是网镜业务认证审计系统的核心部件之一，除了基础策略库外，目前提供数据库策略库（DB PL）、管理协议策略库（Management PL）两种通用的策略库，以及针对具体业务系统的专业策略库，如移动行业的经营决策系统、BOSS系统的策略库。3.1 数据库审计及响应（网镜-PL/DB）数据库策略库（DB PL）基于SQL-92协议集定义了一套丰富的安全审计和响应策略，支持各个版本的Informix 、Oracle、Sybase 、DB2、MS SQL Server。3.1.1 数据库操作审计网镜业务认证审计系统支持SQL-92命令集及其对不同类型的数据库、不同版本的数据库的SQ

35、L语句的扩展，支持诸如查询（Select）、插入（Insert）、删除（Delete）、创建（Create）等SQL命令以及存储过程的执行进行审计和分析。网镜业务认证审计系统可以根据基本SQL命令和存储过程进行组合，形成一个有实际意义的访问过程，并对其进行显示和查询；可以对指定用户、指定时间段内的整个登录、操作、退出的完整访问过程进行还原、查看和分析。3.1.2 数据库操作的访问控制当发现与登录者身份不符合的SQL命令、应用操作命令或流程时，网镜-Sensor将及时采用拆除连接的方式阻断该访问，并向系统管理员发出告警。告警方式包括：图形（告警对话框）、声音、E-Mail、手机短信。网镜业务认证

36、审计系统可基于指定的数据库对象（如数据库、表、视图、存储过程等）和指定操作（如创建、修改、添加、删除等）进行访问控制和审计；也可基于管理员自定义的关键字进行访问控制和审计。3.1.3 面向操作和应用的智能化分析网镜业务认证审计系统针对数据库的使用特点设计了一套智能化的审计输出界面，通过对SQL命令的截获、分析和还原，直观地显示出关键操作的结果，并可对多个操作进行并发跟踪和分析，便于管理员分析系统存在的安全漏洞。用户可基于自定义的过程名称、命令进行审计信息的查询、跟踪和分析，使得管理员能基于对业务系统的理解对系统进行审计跟踪，大大地提高了系统的易用性。这些过程可以包含多个来往与服务器和客户端的S

37、QL命令、应用系统命令。3.2 Unix主机操作审计及响应（网镜-PL/UMG）FTP、Telnet、rlogin、RCP被广泛应用于Unix主机、路由交换设备的维护，这些协议的灵活性、易用性也正是它们的安全缺陷所在，网镜-PL/UMG策略库针对这些常用的协议进行了命令级的访问控制，使得在使用FTP/Telnet/rlogin/RCP等进行维护时，系统的安全性有很大的提高。3.2.1 细粒度访问控制普通的FTP/Telnet/rlogin/RCP系统的访问控制粒度一般仅限于文件和目录的读、写、删除等，无法实现细粒度的访问控制。网镜-PL/UMG除了实现对读、写、删除的授权和控制外，还针对FTP

38、/Telnet/rlogin/RCP协议进行命令、字符级的访问控制，为每个用户设定特定的命令子集，甚至可以针对FTP/Telnet/rlogin/RCP的具体应用特征限制或开放某些特定的字符串。系统管理员也可以根据系统维护的操作特点设定由若干个FTP/Telnet/rlogin/RCP操作命令组成的、具有一定业务特征的操作过程，对其进行审计和控制。网镜-PL/UMG也支持将FTP/Telnet/rlogin/RCP命令与操作对象进行组合后形成安全规则，完成响应的审计或控制策略。3.2.2 审计和回放对于FTP/Telnet/rlogin/RCP协议，网镜-PL/UMG除了提供上面介绍的认证审计

39、功能外，还提供了实时操作监控和过程回放两种功能。所谓实时操作监控，是指系统管理员可以实时地选取一个或多个在线的FTP/Telnet/rlogin/RCP会话过程，监控其操作命令及操作结果。在网镜-Console控制台的界面中将出现与实际FTP/Telnet/rlogin/RCP操作完全相同的显示界面，当发现非法的操作时，系统管理员可以发出控制命令来阻断当前的FTP/Telnet/rlogin/RCP会话。过程回放是指网镜-PL/UMG可以从审计数据库中调用一个或多个FTP/Telnet/rlogin/RCP通信的原始数据，在的网镜-Console控制台中重新显示当时的操作过程和服务器响应情况。

40、这个功能尤其适用于对安全问题出现的原因进行事后分析和定位。3.3 SSH协议审计及响应（网镜-Proxy/UnixTerm）随着安全问题的日益突出，人们越来越多地采用SSH协议来替换原来的Telnet协议，以加强远程登录的安全性。由于SSH采用了传输加密技术，使得网镜系统无法解析出具体的通信内容，为此，网镜系统针对SSH协议提供了专门的解决方案：在网镜-Sensor网络嗅探器中安装网镜-Proxy/UnixTerm模块，该模块提供了对SSH协议审计的支持。网镜-Proxy/UnixTerm模块首先提供了一个标准的SSH服务器，可以兼任支持各种类型的SSH客户端登录。当用户需要通过SSH协议访问

41、后台的主机时，必须先登录到网镜-Proxy/UnixTerm提供的SSH服务器，然后再以SSH或Telnet的方式跳转到后台的服务器。网镜-Proxy/UnixTerm在提供SSH服务器的同时，通过对SSH协议的解密、分析，从而实现对所有SSH操作的审计和控制。用户在使用SSH协议时，同样可以要求他必须通过CA认证，并且，在网镜系统的审计记录中，记录的是登录者的原始IP地址和CA认证后的身份；而不是SSH跳转服务器的IP地址。网镜系统对SSH些的审计和控制功能与对Telnet协议的支持完全相同，可以解析用户SSH账号，结合账号和强身份认证结果设定用户的角色，对用户的操作命令进行实时监控、告警、

42、阻断等，并提供事后的会话查询、命令查询、TCP会话的回放等。3.4 Windows远程操作（RDP）审计网镜系统支持对Windows远程桌面（RDP、3389协议）操作的审计。为了对该协议进行审计，需要配置一台基于Windows的RDP跳转服务器，访问者首先通过远程桌面方式登录到RDP跳转服务器，然后再登录到后台的其它Windows系统，这样，网镜系统就可以对远程桌面的访问过程进行审计记录。由于Windows远程桌面访问基于图形方式进行，因此，网镜系统只能对通信过程进行记录、回放，再现当时的实际操作情况；但无法提供访问命令的实时审计和阻断，也无法提供命令的查询。4. 典型应用及成功案例网镜业务

43、认证审计系统基于“IP数据俘获强身份认证应用层数据分析审计和响应”实现各项功能，无需改变原系统的网络结构就可以迅速地在系统中布置网镜业务认证审计系统。4.1 中小网络应用 配置要点： 网镜-Server和网镜-Sensor安装在一个硬件平台上，接入集线器或交换机的镜像端口； 网镜-Console安装于内网任意一台Windows2000/XP的计算机上； 需要认证的用户配发USB令牌并安装网镜-Agent认证代理软件。 功能要点：远端用户访问后台主机前，必须使用USB令牌完成强身份认证；之后的通信过程被网镜-Sensor俘获，并根据设定的安全策略进行控制和审计。4.2 大型网络应用 配置要点：

44、配置一台网镜-Server/H审计服务器，对系统内若干个网镜-Sensor进行管理和审计； 综合考虑业务类型、流量、连接数、网络的物理结构等因素，配置若干台网镜-Sensor； 网镜-Console安装于一台或多台Windows2000/XP的计算机上，并可设置分级管理； 需要认证的用户配发USB令牌并安装网镜-Agent认证代理软件。 功能要点：根据审计对象和审计内容的不同，各个网镜-Sensor加载不同的策略库。 配置于核心交换机的网镜-Sensor加载FTP/Telnet策略库，完成对FTP/Telnet用户（主要是系统维护人员）的强身份认证和操作审计及控制。 配置于数据库网段的网镜-Sensor加载数据库审计及响应模板和策略库，对数据库用户进行身份认证并实现基于SQL的访问控制和审计。 配置于服务器网段的网镜-Sensor加载业务系统应用模板和策略库，对业务系统用户实现强身份认证，并根据业务特征进行审计和操作控制。