网镜业务认证审计系统产品白皮书(2007年9月修订)四川赛贝卡信息技术有限公司2007年第1页共18页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共18页目录第2页共18页第1页共18页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共18页1.体系结构及系统构成网镜业务认证审计系统集认证、授权、安全响应和安全审计为一体,为计算机系统提供了一个统一、集中的授权、访问控制和审计平台。典型的系统配置和部署如下图所示。网镜系统典型配置安全风险往往出现在“不同”之中,出现在“设想”之外。网镜业务认证审计系统从多角度显示系统在怎样的运行、后一时刻与前一时刻的运行有何不同,系统的实际运行状况与设计(或设想)的运行模式有何不同,并针对这些不同作出恰当的响应。网镜业务认证审计系统基于“IP数据俘获→强身份认证→应用层数据分析→审计和响应”实现各项功能,设计中充分贯彻了平台化的思路,使得它具备“安全认证和审计工具”的特征,与基于日志收集的审计系统有着很大的区别。基于日志收集的审计系统将原系统中的日志信息收集起来,综合形成审计报告,审计功能受限于原系统的日志功能和访问控制功能,在审计深度、审计响应的实时性方面都难以获得很第3页共18页第2页共18页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共18页好的审计效果。在基本安全功能的基础上,网镜业务认证审计系统可针对具体的应用需求,如FTP/Telnet系统维护操作、SQL数据库维护操作,制定应用级别的认证和审计策略,使得系统能针对具体的应用或业务系统实现命令级别、访问逻辑级别的的认证和审计。如果再辅以专业安全服务商提供的安全咨询和服务,网镜业务认证审计系统可以更及时、准确地反映系统的安全运行状况,并进行相应的控制。网镜业务认证审计系统主要实现以下安全功能:1.强身份认证和访问控制:基于CA数字证书或一次性动态口令对访问者进行身份认证,之后根据经认证的身份实现访问控制,禁止非法用户访问被保护的信息。2.应用级的安全审计和响应:特有的“策略库(ApplicationPolicyLibrary)”可以深入到应用层协议(如操作命令、业务操作过程)实现详细的安全审计,并根据安全策略采取诸如记录、审计、告警、阻断等响应。3.提供多视角的审计报告:根据实时记录的网络访问情况,提供多种安全审计报告,更清晰地了解系统的使用情况以及安全事件的发生情况,并可根据这些安全审计报告进一步修改和完善“策略库(ApplicationPolicyLibrary)”。网镜-Console管理控制台:安装于Windows2000操作系统之上,提供管理控制界面。网镜-Server认证审计服务器:基于专门硬件构建,负责安全策略的生成、解释、管理,审计数据的记录和整理。网镜-Sensor嗅探器:基于专门硬件构建,根据安全策略对俘获的数据进行比对、分析,并做出响应动作,如告警、阻断等。网镜-Agent认证代理:安装于客户端计算机之上,配合网镜-Sensor完成用户的强身份认证。网镜-PL(PolicyLibrary)策略库:针对不同的应用协议、应用(业务)系统提供状命令级的安全策略支持。是网镜系统中最具特色、最具价值的模块。网镜系统独具特色的“策略库(PolicyLibrary)”设计,使得网镜系统不但具备了功能强大的安全审计功能,更使得网镜系统具备了网络安全分析工具及“应用层IDS”的特征。用户可以自己定义符合业务特征的“策略库”,也可选用针对特定业务系统设计的“策略库”。网镜系统的策略库分为两类:基础策略库,和针对具体应用、具体业务的策略库。基础策略库(BasicPL)提供了基于IP报的安全策略的制定功能。用户可以直接编辑安全策略,也可利用网镜系统提供的“录制”功能,在俘获的IP报的基础上,提炼出符合需要的安全策略。应用策略库则针对不同的通信协议、业务系统进行设计,目前提供了数据库(DB)策略库(PL/DB)、Unix主机策略库(PL/UMG),并提供了专门的模块,以支持SSH协议和远程桌面终端登录(RDP、3389协议)的审计。针对不同协议或业务系统的应用“策略库(PolicyLibrary)”使得用户可以灵活地制定数第4页共18页第3页共18...
