网络哨兵服务器审计技术解决方案—模板.docx

《网络哨兵服务器审计技术解决方案—模板.docx》由会员分享，可在线阅读，更多相关《网络哨兵服务器审计技术解决方案—模板.docx（19页珍藏版）》请在三一办公上搜索。

1、中科新业网络哨兵服务器安全审计系统技术解决方案深圳市中科新业信息科技发展有限公司2023年1月2日第 19 页 共 19 页目 录1、概述32、XX企事业单位服务器安全审计面临的问题和挑战33、中科新业网络哨兵服务器安全审计系统解决方案43.1、系统部署53.2、方案主要实现的功能及效果64、产品选型及参数125、产品获得主要资质136、案例介绍177、中科新业简介191、 概述随着人们对网络的使用越来越普及，网络给我们带来许多方便的同时，在网络中承担众多功能的服务器也带来了许多风险和挑战，例如：非法访问服务器、利用合法访问服务器身份对服务器进行非法操作、正常访问服务器对服务器进行误操作、上传

2、发表不良言论、泄露公司敏感和机密信息。这些威胁和挑战事件多数是来自于内部合法访问者的“合法”操作，仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对这些网络安全事件（特别是基于应用程序）的行为审计要求，网络哨兵服务器版正是在这样的需求下产生的。凭借在安全审计领域多年的技术积累和研发经验，中科新业在成功开发和应用网络哨兵的基础平台上，推出的适用于多种网络环境的新一代网络安全审计系统。它通过专门细致的网络数据获取协议分析技术、数据存储技术、数据查询技术并配合完善的管理规则，帮助访问者应对来自网络的风险和挑战。2、 XX企事业单位服务器安全审计面临的问题和挑战保存在服务器信息资产是企事业单

3、位核心业务开展过程中最具有战略性的资产，通常都保存着重要的信息，这些信息需要被保护起来，以防止非法者获取。互联网的急速发展使得数据库信息价值及可访问性得到了提升，同时，也致使类似数据库等服务器信息资产面临严峻的挑战，概括起来主要表现在以下三个层面：管理层面：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。技术层面：现有的数据库内部操作不明，无法通过外部的任何安全工具(比如：防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。审计层面：现有的依赖于系统运行日志文件的

4、审计方法，存在诸多的弊端,比如:服务器审计功能的开启会影响服务器本身的性能、服务器日志文件本身存在被篡改的风险，难于体现审计信息的真实性。XX企事业单位作为重要的涉密单位，内部服务器存放着大量的涉密资料，一旦这些服务器遭到攻击或者被恶意操作，造成服务器宕机、数据丢失等，严重影响企业内部办公，网络管理人员无法及时获悉，及时处理，也无法准确定位责任人，迫切需要建立专业的针对服务器访问操作行为的安全审计机制。经过与XX企事业单位网络管理人员沟通，结合我们在服务器安全审计系统建设领域多年的实践经验，目前XX企事业单位建设服务器安全审计系统主要是为了解决以下问题：1、 通过统一的管理平台，全面记录管理员

5、或使用者对数据库服务器访问操作，当“数据库表结构、控制数据访问的权限和数据库配置模式”等发生变化时，需要进行自动追踪。2、 全面审计对OA、ERP、邮件、ftp等关键服务器访问操作行为，发现可能存在的内容安全操作漏洞。3、 建议智能的、针对数据库可疑操作的报警系统；可疑行为发生时可以自动启动预先设置的告警流程，防范数据库风险的发生；不论在什么时间、以什么方式、只要数据被恶意修改或查看了就需要自动对其进行追踪。4、 从多个层面追踪到的信息自动整合到一个便于管理的，长期通用的数据存储，这些数据需要独立于被审计服务器本身。5、 防止利用合法访问服务器身份对服务器进行非法操作、正常访问服务器对服务器进

6、行误操作；防范上传或发送或发表不良言论、发送不良或有害文件、泄露单位敏感和机密信息。3、 中科新业网络哨兵服务器安全审计系统解决方案深圳市中科新业信息科技发展有限公司（以下简称“中科新业”）是国内网络安全审计领域的先行者和领导厂商，针对企事业单位在网络安全审计需求，凭借着强大的研发团队和在网络应用协议分析、网络安全系统集成等近10年的实践经验，推出了业界领先的网络哨兵（Seentech，即服务器安全审计系统），中科新业一直致力于为广大客户打造安全、可靠、和谐的上善网络，发现可能存在的恶意、有意无意的针对服务器操作行为。为了解决上述问题，我们通过在XX企事业单位中部署中科新业网络哨兵服务器安全审

7、计系统，该系统易于部署和操作，系统支持旁路部署方式，采用旁路部署时完全不改变原有网络架构和网络配置，不影响系统其运行性能，为XX企事业单位提供数据库、Web 、Ftp、邮件、telnet等针对服务器操作级别一体化审计技术解决方案。通过建成XX企事业单位服务器安全审计系统，能够有效的对内部服务器的异常操作进行报警，全程记录所有用户针对关键后台数据库的操作命令，实现对网络中对服务器的访问行为、内容进行审计、报警、查询和分析，如网页浏览、收发邮件、数据库访问等全方位的审计。3.1、 系统部署中科新业网络哨兵服务器安全审计系统旁路接入网络，不改变XX企事业单位原有的网络架构。网络哨兵服务器安全审计系统

8、部署如上图示，在典型的网络环境下，与单位内部服务器连接的交换机必须支持端口镜像功能，网络哨兵旁路接入交换机镜像端口，审计对服务器的操作行为。3.2、 方案主要实现的功能及效果3.2.1、 静态数据库审计，及时预警安全事件在XX企事业单位网络内部署网络哨兵服务器审计系统，可以审计用户对数据库访问的行为，代替繁琐的手工检查,预防安全事件的发生。系统审计用户的IP、访问时间、端口、数据库所在的服务器IP、以及访问数据库的命令、以及命令返回的结果等追踪信息，任何尝试的攻击或违反审计规则的操作都会被检测到并实时告警（告警方式：短信或者邮件），以确保及时发现可能存在的非法操作，为后续的审计的安全策略设置提

9、供有力的依据。目前支持针对DB2、Oracle、SQL-Server、MySQL等4种数据库的访问。3.2.2、 FTP协议审计，降低文件被恶意操作风险在XX企事业单位网络内部署网络哨兵服务器审计系统，可以对内部上网用户使用FTP协议进行文件传输行为，审计访问者IP、端口、FTP服务所在的服务器IP、以及FTP进行文件传输行为（上传、下载）、命令、FTP用户名、上传下载时间等信息。记录恶意删除文件，保存用户下载文件记录，一旦服务器发生数据丢失做到有据可查。3.2.3、 Telnet操作回放，防止恶意操作在XX企事业单位网络内部署网络哨兵服务器版审计访问者通过TELNET协议远程登入服务器的行为

10、，审计访问者IP、端口、TELNET服务所在的服务器IP、以及TELNET进行远程登陆的命令、用户名等信息。3.2.4、 数据交互审计，检测网络访问安全在XX企事业单位网络内部署网络哨兵服务器安全审计系统可以审计用户访问内部邮件、Web 、BBS站点等服务器行为，记录访问内容信息，审计访问者的IP、访问时间、端口、访问网页所在的服务器IP，对可能出发报警关键字的访问进行及时报警，并保存日志，以备查验。检测内容包括：通过内部邮件服务器收发邮件完整信息（SMTP、POP3、webmail），Web 站点点击率、内部BBS站点发帖详细信息内容（POST），防止服务器遭到攻击、外发一些可能触及法律责任

11、的非法信息，为内容外发增加预警机制。可以针对网页内容，标题关键字报警；POST（BBS）内容关键字报警；BBS账号关键字报警；POP3&SMTP收发邮件账号报警；POP3&SMTP收发邮件标题关键字报警；POP3&SMTP收发邮件内容关键字报警；POP3&SMTP收发邮件附件内容关键字报警；WEB MAIL 发送邮件账号报警；WEB MAIL 发送邮件标题关键字报警；WEB MAIL 发送邮件内容关键字报警；WEB MAIL发送邮件附件内容关键字报警；Ftp账号报警；Ftp上传文件内容关键字，文件名称报警；Telnet 账号，内容关键字报警。3.2.5、 服务器访问流量实时监控系统对服务器流入

12、流出数据包流量可以以列表的形式显示所选服务器的数据包流量和流速，包括总数据包数、外发数据包数、外发包速、流入数据包数、流入包速、总流量、流入流量、流入速度、流出流量、流出速度，如下图所示：检测服务器访问流量是否异常，为科学规划服务器带宽资源提供科学依据。3.2.6、 强大的日志报表分析统计报表为用户提供了强大的审计日志统计分析功能，用户可以在评估报表中根据自身的需求，生成多种自定义审计报表，系统支持多种样式的审计结果显示方式，如：报表、柱状图、折线图、趋势图、横向图、柱状均势图、饼状图、折线填充图等；借助网络哨兵日志分析报表系统，XX企事业单位网络管理人员可以清晰掌握服务器的被访问操作行为，快

13、速查找可能存在的服务器操作安全事件。4、 产品选型及参数 型号项目SSA5000SSA7000产品图片操作系统基于优化的Linux系统基于优化的Linux系统处理器2颗INTEL XEON5500系列CPU2颗INTEL XEON5600系列CPU内存4G8G尺寸规格2U2U默认支持IP数5个IP授权（可扩展15）15个IP授权（可扩展50）网络接口4*10/100/1000M电口，2*1000M多模光口 （光口选配）2*10/100/1000M电口，4*1000M多模光口 （光口选配）电磁兼容性国家标准Class A 以上国家标准Class A 以上操作温度 035 035存储温度:-208

14、0-2080相对湿度:0%95%0%95%网卡最大捕包速度100000pps(每秒数据包)120000pps(每秒数据包)数据保存时间90天以上90天以上备注一般认为一个服务器只有一个网卡，即一个IP授权5、 产品获得主要资质国家保密局涉密信息系统产品检测证书 广东省自主创新产品证书 深圳市自主创新产品认定证书 中国国家信息安全产品认证证书一种多链路抓包系统方法及网络审计系统发明专利证书服务器上传文件的敏感信息过滤系统及方法发明专利证书分布式审计系统发明专利证书6、 案例介绍昆明电信IDC中科新业IDC审计项目构建云南电信“黄毒”防火墙，获中央电视台连续报道！2011年1月3日晚中央电视台一台

15、的焦点访谈专题报道云南构建“黄毒”防火墙， 该项目一共在5条1G的，线路上部署5台网络哨兵服务器安全审计系统，并通过统一管理中心管理所有5条线路的审计系统，为IDC机房的服务器安全提供预警机制，一旦发现黄赌毒邪网站访问或者借助IDC机房机器发布不良资源立即报警，同时，详细记录数据库服务器所有用户的操作行为，一旦发现不符合规则的操作立即报警，为保证关键服务器提供全面的预警！深圳市宝安区教育局网络哨兵服务器安全审计系统为宝安区教育局绿色校园网络护航！防止透过借助校内服务器发布不良信息，及时发现对服务器不良操作行为，加强服务器管理安全！ 7、 中科新业简介深圳市中科新业信息科技发展有限公司以下简称“

16、中科新业”，成立于2002年9月，位于称为“创业的沃土，成功的家园”的深圳市高新技术产业园区。中科新业是国家级高新技术企业，多次获得国家级课题及省、市各种荣誉。如国家发改委产业示范化项目、国家科技部火炬计划项目；深圳市自主创新百强企业、深圳市南山区民营科技领军企业。2010年5月，中科新业获得“深圳市重点软件企业”称号。中科新业网络哨兵获得“2010年度国家重点新产品计划”立项，这也是网络哨兵继获得“2008年深圳市科技创新奖”，“2009年深圳市自主创新产品称号”，“2009年广东省自主创新产品称号”，“2009年广东省科学技术奖三等奖”等荣誉后的又一重大产品成就。获得的技术发明专利有“分布

17、式审计系统”、“服务器上传文件的敏感信息过滤系统及方法”、“一种多链路抓包系统、方法及网络审计系统”，专利号分别为：ZL200610061404.7、ZL200610061403.2、ZL200710076153.4。中科新业控股的深圳麦克沃德科技有限公司（以下简称“麦克沃德”）于2010年初与MicroWorld合作，成为eScan产品线在中国大陆和澳门地区的总代理。MicroWorld科技公司是一家专注于反病毒、反垃圾邮件、内容安全和网络入侵防御的全球知名、先进安全方案提供商。 中科新业秉承“上善网络”的理念，坚持“网络管理.疏胜于堵”，将和谐网络、绿色网络、效益网络、安全网络、人性化管理网络的诉求完美结合于产品当中，为客户提供满足其需求的产品和服务。