1、 HYPERLINK / 中科新業(yè)網(wǎng)絡(luò)哨兵服務(wù)器安全審計(jì)系統(tǒng)技術(shù)解決方案深圳市中科新業(yè)信息科技進(jìn)展有限公司 TIME yyyy年M月d日 2020年11月4日目 錄 TOC o 1-2 h z u HYPERLINK l _Toc301202409 1、概述 PAGEREF _Toc301202409 h 3 HYPERLINK l _Toc301202410 2、XX企事業(yè)單位服務(wù)器安全審計(jì)面臨的問題和挑戰(zhàn) PAGEREF _Toc301202410 h 3 HYPERLINK l _Toc301202411 3、中科新業(yè)網(wǎng)絡(luò)哨兵服務(wù)器安全審計(jì)系統(tǒng)解決方案 PAGEREF _Toc30120

2、2411 h 4 HYPERLINK l _Toc301202412 3.1、系統(tǒng)部署 PAGEREF _Toc301202412 h 5 HYPERLINK l _Toc301202413 3.2、方案要緊實(shí)現(xiàn)的功能及效果 PAGEREF _Toc301202413 h 6 HYPERLINK l _Toc301202414 4、產(chǎn)品選型及參數(shù) PAGEREF _Toc301202414 h 12 HYPERLINK l _Toc301202415 5、產(chǎn)品獲得要緊資質(zhì) PAGEREF _Toc301202415 h 13 HYPERLINK l _Toc301202416 6、案例介紹 P

3、AGEREF _Toc301202416 h 17 HYPERLINK l _Toc301202417 7、中科新業(yè)簡(jiǎn)介 PAGEREF _Toc301202417 h 19概述隨著人們對(duì)網(wǎng)絡(luò)的使用越來(lái)越普及，網(wǎng)絡(luò)給我們帶來(lái)許多方便的同時(shí)，在網(wǎng)絡(luò)中承擔(dān)眾多功能的服務(wù)器也帶來(lái)了許多風(fēng)險(xiǎn)和挑戰(zhàn)，例如：非法訪問服務(wù)器、利用合法訪問服務(wù)器身份對(duì)服務(wù)器進(jìn)行非法操作、正常訪問服務(wù)器對(duì)服務(wù)器進(jìn)行誤操作、上傳發(fā)表不良言論、泄露公司敏感和機(jī)密信息。這些威脅和挑戰(zhàn)事件多數(shù)是來(lái)自于內(nèi)部合法訪問者的“合法”操作，僅靠某些安全產(chǎn)品如防火墻等的日志和操縱功能并不能專門好的滿足對(duì)這些網(wǎng)絡(luò)安全事件（特不是基于應(yīng)用程序）的行為

4、審計(jì)要求，網(wǎng)絡(luò)哨兵服務(wù)器版正是在如此的需求下產(chǎn)生的。憑借在安全審計(jì)領(lǐng)域多年的技術(shù)積存和研發(fā)經(jīng)驗(yàn)，中科新業(yè)在成功開發(fā)和應(yīng)用網(wǎng)絡(luò)哨兵的基礎(chǔ)平臺(tái)上，推出的適用于多種網(wǎng)絡(luò)環(huán)境的新一代網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。它通過(guò)專門細(xì)致的網(wǎng)絡(luò)數(shù)據(jù)獵取協(xié)議分析技術(shù)、數(shù)據(jù)存儲(chǔ)技術(shù)、數(shù)據(jù)查詢技術(shù)并配合完善的治理規(guī)則，關(guān)心訪問者應(yīng)對(duì)來(lái)自網(wǎng)絡(luò)的風(fēng)險(xiǎn)和挑戰(zhàn)。XX企事業(yè)單位服務(wù)器安全審計(jì)面臨的問題和挑戰(zhàn)保存在服務(wù)器信息資產(chǎn)是企事業(yè)單位核心業(yè)務(wù)開展過(guò)程中最具有戰(zhàn)略性的資產(chǎn)，通常都保存著重要的信息，這些信息需要被愛護(hù)起來(lái)，以防止非法者獵取?；ヂ?lián)網(wǎng)的急速進(jìn)展使得數(shù)據(jù)庫(kù)信息價(jià)值及可訪問性得到了提升，同時(shí)，也致使類似數(shù)據(jù)庫(kù)等服務(wù)器信息資產(chǎn)面臨嚴(yán)峻

5、的挑戰(zhàn)，概括起來(lái)要緊表現(xiàn)在以下三個(gè)層面：治理層面：要緊表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部職員的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時(shí)，無(wú)法追溯并定位真實(shí)的操作者。技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫(kù)內(nèi)部操作不明，無(wú)法通過(guò)外部的任何安全工具(比如：防火墻、IDS、IPS等)來(lái)阻止內(nèi)部用戶的惡意操作、濫用資源和泄露企業(yè)機(jī)密信息等行為。審計(jì)層面：現(xiàn)有的依靠于系統(tǒng)運(yùn)行日志文件的審計(jì)方法，存在諸多的弊端,比如:服務(wù)器審計(jì)功能的開啟會(huì)阻礙服務(wù)器本身的性能、服務(wù)器日志文件本身存在被篡改的風(fēng)險(xiǎn)，難于體現(xiàn)審計(jì)信息的真實(shí)性。XX企事業(yè)單位作為重要的涉密單位，內(nèi)部服務(wù)器存放著大量的涉密資料，一旦

6、這些服務(wù)器遭到攻擊或者被惡意操作，造成服務(wù)器宕機(jī)、數(shù)據(jù)丟失等，嚴(yán)峻阻礙企業(yè)內(nèi)部辦公，網(wǎng)絡(luò)治理人員無(wú)法及時(shí)獲悉，及時(shí)處理，也無(wú)法準(zhǔn)確定位責(zé)任人，迫切需要建立專業(yè)的針對(duì)服務(wù)器訪問操作行為的安全審計(jì)機(jī)制。通過(guò)與XX企事業(yè)單位網(wǎng)絡(luò)治理人員溝通，結(jié)合我們?cè)诜?wù)器安全審計(jì)系統(tǒng)建設(shè)領(lǐng)域多年的實(shí)踐經(jīng)驗(yàn)，目前XX企事業(yè)單位建設(shè)服務(wù)器安全審計(jì)系統(tǒng)要緊是為了解決以下問題：通過(guò)統(tǒng)一的治理平臺(tái)，全面記錄治理員或使用者對(duì)數(shù)據(jù)庫(kù)服務(wù)器訪問操作，當(dāng)“數(shù)據(jù)庫(kù)表結(jié)構(gòu)、操縱數(shù)據(jù)訪問的權(quán)限和數(shù)據(jù)庫(kù)配置模式”等發(fā)生變化時(shí)，需要進(jìn)行自動(dòng)追蹤。全面審計(jì)對(duì)OA、ERP、郵件、ftp等關(guān)鍵服務(wù)器訪問操作行為，發(fā)覺可能存在的內(nèi)容安全操作漏洞。建

7、議智能的、針對(duì)數(shù)據(jù)庫(kù)可疑操作的報(bào)警系統(tǒng)；可疑行為發(fā)生時(shí)能夠自動(dòng)啟動(dòng)預(yù)先設(shè)置的告警流程，防范數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)的發(fā)生；不論在什么時(shí)刻、以什么方式、只要數(shù)據(jù)被惡意修改或查看了就需要自動(dòng)對(duì)其進(jìn)行追蹤。從多個(gè)層面追蹤到的信息自動(dòng)整合到一個(gè)便于治理的，長(zhǎng)期通用的數(shù)據(jù)存儲(chǔ)，這些數(shù)據(jù)需要獨(dú)立于被審計(jì)服務(wù)器本身。防止利用合法訪問服務(wù)器身份對(duì)服務(wù)器進(jìn)行非法操作、正常訪問服務(wù)器對(duì)服務(wù)器進(jìn)行誤操作；防范上傳或發(fā)送或發(fā)表不良言論、發(fā)送不良或有害文件、泄露單位敏感和機(jī)密信息。中科新業(yè)網(wǎng)絡(luò)哨兵服務(wù)器安全審計(jì)系統(tǒng)解決方案深圳市中科新業(yè)信息科技進(jìn)展有限公司（以下簡(jiǎn)稱“中科新業(yè)”）是國(guó)內(nèi)網(wǎng)絡(luò)安全審計(jì)領(lǐng)域的先行者和領(lǐng)導(dǎo)廠商，針對(duì)企事業(yè)單

8、位在網(wǎng)絡(luò)安全審計(jì)需求，憑借著強(qiáng)大的研發(fā)團(tuán)隊(duì)和在網(wǎng)絡(luò)應(yīng)用協(xié)議分析、網(wǎng)絡(luò)安全系統(tǒng)集成等近10年的實(shí)踐經(jīng)驗(yàn)，推出了業(yè)界領(lǐng)先的網(wǎng)絡(luò)哨兵（Seentech，即服務(wù)器安全審計(jì)系統(tǒng)），中科新業(yè)一直致力于為寬敞客戶打造安全、可靠、和諧的上善網(wǎng)絡(luò)，發(fā)覺可能存在的惡意、有意無(wú)意的針對(duì)服務(wù)器操作行為。為了解決上述問題，我們通過(guò)在XX企事業(yè)單位中部署中科新業(yè)網(wǎng)絡(luò)哨兵服務(wù)器安全審計(jì)系統(tǒng)，該系統(tǒng)易于部署和操作，系統(tǒng)支持旁路部署方式，采納旁路部署時(shí)完全不改變?cè)芯W(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)配置，不阻礙系統(tǒng)其運(yùn)行性能，為XX企事業(yè)單位提供數(shù)據(jù)庫(kù)、Web 、Ftp、郵件、telnet等針對(duì)服務(wù)器操作級(jí)不一體化審計(jì)技術(shù)解決方案。通過(guò)建成XX企

9、事業(yè)單位服務(wù)器安全審計(jì)系統(tǒng)，能夠有效的對(duì)內(nèi)部服務(wù)器的異常操作進(jìn)行報(bào)警，全程記錄所有用戶針對(duì)關(guān)鍵后臺(tái)數(shù)據(jù)庫(kù)的操作命令，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中對(duì)服務(wù)器的訪問行為、內(nèi)容進(jìn)行審計(jì)、報(bào)警、查詢和分析，如網(wǎng)頁(yè)掃瞄、收發(fā)郵件、數(shù)據(jù)庫(kù)訪問等全方位的審計(jì)。系統(tǒng)部署中科新業(yè)網(wǎng)絡(luò)哨兵服務(wù)器安全審計(jì)系統(tǒng)旁路接入網(wǎng)絡(luò)，不改變XX企事業(yè)單位原有的網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)哨兵服務(wù)器安全審計(jì)系統(tǒng)部署如上圖示，在典型的網(wǎng)絡(luò)環(huán)境下，與單位內(nèi)部服務(wù)器連接的交換機(jī)必須支持端口鏡像功能，網(wǎng)絡(luò)哨兵旁路接入交換機(jī)鏡像端口，審計(jì)對(duì)服務(wù)器的操作行為。方案要緊實(shí)現(xiàn)的功能及效果靜態(tài)數(shù)據(jù)庫(kù)審計(jì)，及時(shí)預(yù)警安全事件在XX企事業(yè)單位網(wǎng)絡(luò)內(nèi)部署網(wǎng)絡(luò)哨兵服務(wù)器審計(jì)系統(tǒng)，能夠?qū)徲?jì)

10、用戶對(duì)數(shù)據(jù)庫(kù)訪問的行為，代替繁瑣的手工檢查,預(yù)防安全事件的發(fā)生。系統(tǒng)審計(jì)用戶的IP、訪問時(shí)刻、端口、數(shù)據(jù)庫(kù)所在的服務(wù)器IP、以及訪問數(shù)據(jù)庫(kù)的命令、以及命令返回的結(jié)果等追蹤信息，任何嘗試的攻擊或違反審計(jì)規(guī)則的操作都會(huì)被檢測(cè)到并實(shí)時(shí)告警（告警方式：短信或者郵件），以確保及時(shí)發(fā)覺可能存在的非法操作，為后續(xù)的審計(jì)的安全策略設(shè)置提供有力的依據(jù)。目前支持針對(duì)DB2、Oracle、SQL-Server、MySQL等4種數(shù)據(jù)庫(kù)的訪問。FTP協(xié)議審計(jì)，降低文件被惡意操作風(fēng)險(xiǎn)在XX企事業(yè)單位網(wǎng)絡(luò)內(nèi)部署網(wǎng)絡(luò)哨兵服務(wù)器審計(jì)系統(tǒng)，能夠?qū)?nèi)部上網(wǎng)用戶使用FTP協(xié)議進(jìn)行文件傳輸行為，審計(jì)訪問者IP、端口、FTP服務(wù)所在的服

11、務(wù)器IP、以及FTP進(jìn)行文件傳輸行為（上傳、下載）、命令、FTP用戶名、上傳下載時(shí)刻等信息。記錄惡意刪除文件，保存用戶下載文件記錄，一旦服務(wù)器發(fā)生數(shù)據(jù)丟失做到有據(jù)可查。Telnet操作回放，防止惡意操作在XX企事業(yè)單位網(wǎng)絡(luò)內(nèi)部署網(wǎng)絡(luò)哨兵服務(wù)器版審計(jì)訪問者通過(guò)TELNET協(xié)議遠(yuǎn)程登入服務(wù)器的行為，審計(jì)訪問者IP、端口、TELNET服務(wù)所在的服務(wù)器IP、以及TELNET進(jìn)行遠(yuǎn)程登陸的命令、用戶名等信息。數(shù)據(jù)交互審計(jì)，檢測(cè)網(wǎng)絡(luò)訪問安全在XX企事業(yè)單位網(wǎng)絡(luò)內(nèi)部署網(wǎng)絡(luò)哨兵服務(wù)器安全審計(jì)系統(tǒng)能夠?qū)徲?jì)用戶訪問內(nèi)部郵件、Web 、BBS站點(diǎn)等服務(wù)器行為，記錄訪問內(nèi)容信息，審計(jì)訪問者的IP、訪問時(shí)刻、端口、訪問

12、網(wǎng)頁(yè)所在的服務(wù)器IP，對(duì)可能動(dòng)身報(bào)警關(guān)鍵字的訪問進(jìn)行及時(shí)報(bào)警，并保存日志，以備查驗(yàn)。檢測(cè)內(nèi)容包括：通過(guò)內(nèi)部郵件服務(wù)器收發(fā)郵件完整信息（SMTP、POP3、webmail），Web 站點(diǎn)點(diǎn)擊率、內(nèi)部BBS站點(diǎn)發(fā)帖詳細(xì)信息內(nèi)容（POST），防止服務(wù)器遭到攻擊、外發(fā)一些可能觸及法律責(zé)任的非法信息，為內(nèi)容外發(fā)增加預(yù)警機(jī)制。能夠針對(duì)網(wǎng)頁(yè)內(nèi)容，標(biāo)題關(guān)鍵字報(bào)警；POST（BBS）內(nèi)容關(guān)鍵字報(bào)警；BBS賬號(hào)關(guān)鍵字報(bào)警；POP3&SMTP收發(fā)郵件賬號(hào)報(bào)警；POP3&SMTP收發(fā)郵件標(biāo)題關(guān)鍵字報(bào)警；POP3&SMTP收發(fā)郵件內(nèi)容關(guān)鍵字報(bào)警；POP3&SMTP收發(fā)郵件附件內(nèi)容關(guān)鍵字報(bào)警；WEB MAIL 發(fā)送郵件賬

13、號(hào)報(bào)警；WEB MAIL 發(fā)送郵件標(biāo)題關(guān)鍵字報(bào)警；WEB MAIL 發(fā)送郵件內(nèi)容關(guān)鍵字報(bào)警；WEB MAIL發(fā)送郵件附件內(nèi)容關(guān)鍵字報(bào)警；Ftp賬號(hào)報(bào)警；Ftp上傳文件內(nèi)容關(guān)鍵字，文件名稱報(bào)警；Telnet 賬號(hào)，內(nèi)容關(guān)鍵字報(bào)警。服務(wù)器訪問流量實(shí)時(shí)監(jiān)控系統(tǒng)對(duì)服務(wù)器流入流出數(shù)據(jù)包流量能夠以列表的形式顯示所選服務(wù)器的數(shù)據(jù)包流量和流速，包括總數(shù)據(jù)包數(shù)、外發(fā)數(shù)據(jù)包數(shù)、外發(fā)包速、流入數(shù)據(jù)包數(shù)、流入包速、總流量、流入流量、流入速度、流出流量、流出速度，如下圖所示：檢測(cè)服務(wù)器訪問流量是否異常，為科學(xué)規(guī)劃服務(wù)器帶寬資源提供科學(xué)依據(jù)。強(qiáng)大的日志報(bào)表分析統(tǒng)計(jì)報(bào)表為用戶提供了強(qiáng)大的審計(jì)日志統(tǒng)計(jì)分析功能，用戶能夠在評(píng)估

14、報(bào)表中依照自身的需求，生成多種自定義審計(jì)報(bào)表，系統(tǒng)支持多種樣式的審計(jì)結(jié)果顯示方式，如：報(bào)表、柱狀圖、折線圖、趨勢(shì)圖、橫向圖、柱狀均勢(shì)圖、餅狀圖、折線填充圖等；借助網(wǎng)絡(luò)哨兵日志分析報(bào)表系統(tǒng)，XX企事業(yè)單位網(wǎng)絡(luò)治理人員能夠清晰掌握服務(wù)器的被訪問操作行為，快速查找可能存在的服務(wù)器操作安全事件。產(chǎn)品選型及參數(shù) 型號(hào)項(xiàng)目SSA5000SSA7000產(chǎn)品圖片操作系統(tǒng)基于優(yōu)化的Linux系統(tǒng)基于優(yōu)化的Linux系統(tǒng)處理器2顆INTEL XEON5500系列CPU2顆INTEL XEON5600系列CPU內(nèi)存4G8G尺寸規(guī)格2U2U默認(rèn)支持IP數(shù)5個(gè)IP授權(quán)（可擴(kuò)展15）15個(gè)IP授權(quán)（可擴(kuò)展50）網(wǎng)絡(luò)接口4

15、*10/100/1000M電口，2*1000M多模光口 （光口選配）2*10/100/1000M電口，4*1000M多模光口 （光口選配）電磁兼容性國(guó)家標(biāo)準(zhǔn)Class A 以上國(guó)家標(biāo)準(zhǔn)Class A 以上操作溫度 0 0存儲(chǔ)溫度:-20-20相對(duì)濕度:0%95%0%95%網(wǎng)卡最大捕包速度100000pps(每秒數(shù)據(jù)包)120000pps(每秒數(shù)據(jù)包)數(shù)據(jù)保存時(shí)刻90天以上90天以上備注一般認(rèn)為一個(gè)服務(wù)器只有一個(gè)網(wǎng)卡，即一個(gè)IP授權(quán)產(chǎn)品獲得要緊資質(zhì)國(guó)家保密局涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書 廣東省自主創(chuàng)新產(chǎn)品證書 深圳市自主創(chuàng)新產(chǎn)品認(rèn)定證書 中國(guó)國(guó)家信息安全產(chǎn)品認(rèn)證證書一種多鏈路抓包系統(tǒng)方法及網(wǎng)絡(luò)審計(jì)系

16、統(tǒng)發(fā)明專利證書服務(wù)器上傳文件的敏感信息過(guò)濾系統(tǒng)及方法發(fā)明專利證書分布式審計(jì)系統(tǒng)發(fā)明專利證書案例介紹昆明電信IDC中科新業(yè)IDC審計(jì)項(xiàng)目構(gòu)建云南電信“黃毒”防火墻，獲中央電視臺(tái)連續(xù)報(bào)道！2011年1月3日晚中央電視臺(tái)一臺(tái)的焦點(diǎn)訪談專題報(bào)道云南構(gòu)建“黃毒”防火墻， HYPERLINK /video/2011-01/04/c_12943457.htm /video/2011-01/04/c_12943457.htm該項(xiàng)目一共在5條1G的，線路上部署5臺(tái)網(wǎng)絡(luò)哨兵服務(wù)器安全審計(jì)系統(tǒng)，并通過(guò)統(tǒng)一治理中心治理所有5條線路的審計(jì)系統(tǒng)，為IDC機(jī)房的服務(wù)器安全提供預(yù)警機(jī)制，一旦發(fā)覺黃賭毒邪網(wǎng)站訪問或者借助IDC

17、機(jī)房機(jī)器公布不良資源立即報(bào)警，同時(shí)，詳細(xì)記錄數(shù)據(jù)庫(kù)服務(wù)器所有用戶的操作行為，一旦發(fā)覺不符合規(guī)則的操作立即報(bào)警，為保證關(guān)鍵服務(wù)器提供全面的預(yù)警！深圳市寶安區(qū)教育局網(wǎng)絡(luò)哨兵服務(wù)器安全審計(jì)系統(tǒng)為寶安區(qū)教育局綠色校園網(wǎng)絡(luò)護(hù)航！防止透過(guò)借助校內(nèi)服務(wù)器公布不良信息，及時(shí)發(fā)覺對(duì)服務(wù)器不良操作行為，加強(qiáng)服務(wù)器治理安全！ 中科新業(yè)簡(jiǎn)介深圳市中科新業(yè)信息科技進(jìn)展有限公司以下簡(jiǎn)稱“中科新業(yè)”，成立于2002年9月，位于稱為“創(chuàng)業(yè)的沃土，成功的家園”的深圳市高新技術(shù)產(chǎn)業(yè)園區(qū)。中科新業(yè)是國(guó)家級(jí)高新技術(shù)企業(yè)，多次獲得國(guó)家級(jí)課題及省、市各種榮譽(yù)。如國(guó)家發(fā)改委產(chǎn)業(yè)示范化項(xiàng)目、國(guó)家科技部火炬打算項(xiàng)目；深圳市自主創(chuàng)新百?gòu)?qiáng)企業(yè)、深圳市南山區(qū)民營(yíng)科技領(lǐng)軍企業(yè)。2010年5月，中科新業(yè)獲得“深圳市重點(diǎn)軟件企業(yè)”稱號(hào)。中科新業(yè)網(wǎng)絡(luò)哨兵獲得“2010年度國(guó)家重點(diǎn)新產(chǎn)品打算”立項(xiàng)，這也是網(wǎng)絡(luò)哨兵繼獲得“2008年深圳市科技創(chuàng)新獎(jiǎng)”，“2009年深圳市自主創(chuàng)新產(chǎn)品稱號(hào)”，“2009年廣東省自主創(chuàng)新產(chǎn)品稱號(hào)”，“2009年廣東省科學(xué)技術(shù)獎(jiǎng)三等獎(jiǎng)”等榮譽(yù)后的又一重大產(chǎn)品成就。獲得的技術(shù)發(fā)明專利有“分布式審計(jì)系統(tǒng)”、“服務(wù)器上傳文件的敏感信息過(guò)濾系統(tǒng)及方法”、“一種多鏈路抓包系統(tǒng)、方法及網(wǎng)絡(luò)審計(jì)系統(tǒng)”，專