风信子网络审计子系统
风信子认证审控系统(4A系统)网络审计产品(简称风信子网络审计子系统)结合网络中的安全问题,为企业已建立的系统部署本产品后,可以实时的、集中的、可视化审计,有效/及时的评估系统的安全性,并及时发现安全隐患并处理可能出现的安全事故。通过事后查询可快速确定安全事故出现的原因,帮助管理员有效定位责任人,最大可能降低网络系统的安全事故和安全损失。在同一网络中多个不同或者相同厂商的产品实现了技术上互操作,实现集中的审计,加强了系统的安全性,并且有效促进了管理;本产品适用于各种具有信息化网络的企业,为企业信息安全提供保障。
-
风信子网络审计子系统的部署不影响用户原有的网络环境,通过了企业核心交换机的数据镜像功能,采用旁路接入的形式进行IP报文采集,根据产品内部配置的审计策略对相应的TCP网络协议进行分类解析,并归类存储。
根据【风信子认证审控系统用户指南】中向导使用指示,可方便用户通过上述各种软件按照自身需求配置审计策略,形成审计日志及报表。
性能指标企业型专业型软件型
MAX网络会话数1500020002000
MAX网络流量1000Mbps100Mbps100Mbps
MAX审计策略数3000010001000
MAX查询响应时间5秒5秒5秒
MAX储存速度8000条/秒3000条/秒3000条/秒
-
支持多种TCP应用协议审计
风信子网络审计子系统针对以下常用网络应用进行协议分析:
超文本传输Web协议 HTTP
远程终端访问协议 Telnet/SSH/RSH/RLOGIN
文件传输协议 FTP
数据库 Oracle DB2 Sysbase SQLServer Informix Teradata
邮件协议 POP3 SMTP
丰富的网络行为高危操作字典
按照每一种协议不同特征,风信子网络审计子系统为它们量身定做了丰富的默认高危操作字典表,并且可以自行更新。通过审计默认高危操作,可以发现大量的不安全操作。当然,用户还可以配置自定义的高危操作,满足不同的用户需求。
支持应用账号收集
大多数标准TCP应用协议从安全性角度考虑都具备应用账号登录验证过程,每一个账号都有各自的应用权限,使用越高权限操作的账号对应用的危险就越大;风信子网络审计子系统对每一次的用户访问所使用的应用账号都有详细记录,为高权限账号的危害性提供了分析依据。
海量数据高速检索
通过尚良风信多年在网络安全审计项目中的经验,在复杂的企业信息业务中审计数据甚至一天高达80G字节,同时由于网络行为通常是一种非结构化的数据或叫做字符型的数据,因此采用普通的数据库查询手段无法真正提高查询速度,风信子网络审计子系统自主开发了高速搜索引擎,从而提高了对海量字符型数据的高速检索。
网络会话实时回放
风信子网络审计子系统还可以为用户提供当前TCP会话的监控,并且可以实时回放Telnet/SSH等字符终端操作协议。
实时告警,可及时发现安全隐患
通过告警系统第一时间将网络安全隐患和高危操作告知系统管理员,最大可能降低安全隐患和安全损失。
审计策略配置简单
风信子网络审计子系统的配置过程仅需在授权管理中心控制台中完成以下两个步骤:对“保护资源”进行策略配置;对被“绑定”的安全控制平台进行策略发放;这样就完成了网络审计策略配置。
专业定制或自制应用协议解析模型
常用的应用协议也存在一些较为特殊的操作,可能不被纳入默认的操作解析中;不常用的应用协议被用于用户的业务系统,也没有专门的协议解析;因此,风信子网络审计子系统提供了可以根据不常用操作或协议的特征,定义操作解析模型,以解决非常规协议解析。
标准化审计
风信子网络审计子系统的审计格式完全符合公安部计算机信息系统安全产品质量监督检验中心【信息技术网络通讯安全审计产品检验规范】;同时按照国际金融标准萨班斯法案(SOX)审计要求制定相关审计规则;具有符合电子信息规范的审计查询报表格式,能够灵活定制报表方案。
产品部署对用户网络环境无任何不良影响
风信子网络审计子系统在用户网络环境中部署时不要求用户对其网络进行改造,由于采用“SPAN”并行接入方式,侦听用户核心交换机的指定数据,因此对用户的网络传输性能、系统安全性、网络可靠性均无任何不良影响。
-
采用SPAN技术的数据采集
SPAN技术通常用于IPS、IDS等网络流量的侦听,由于它是一种并行技术,对用户网络环境影响非常小,因此风信子网络审计子系统采用了此技术进行数据采集,同时利用了高性能硬件处理器及高效算法大大提高了并行环境中的实时性。
分布式审计架构设计
风信子网络审计子系统实现了根据用户灵活多变的网络环境,非常快捷、方便的分布式部署HYPlus-SS和HYPlus-AS,同时解决了用户VLAN/NAT环境的数据审计,达到全面审计用户应用系统效果。
高效多模式匹配算法的高危操作解析
对于网络协议解析过程中,最常见的方式就是对明文字符的行为判定;风信子网络审计子系统采用了一种高效多模式匹配算法对各类常见协议的高危操作字符型操作进行快速解析和归类。
基于快速查找算法的策略匹配
审计策略是由很多条件设定产生的,策略具有数量大、关系复杂的特点;风信子网络审计子系统以“保护资源”的子网掩码作为报文匹配策略的首要条件,利用了“折半”快速查找算法在此方面的优势,从而提高了协议解析的速度。
XML信息数据交换技术
风信子网络审计子系统的数据文件配置均采用了XML文件形式存储和表现,XML不仅提供了清晰的结构化信息表现能力,同时作为一种流行的国际标准的信息数据交换形式,使得系统的数据及信息可以在不同平台及系统间自由交换,为与其它系统与平台进行有效整合提供了保障。
SSL+用户名/口令方式安全通讯
SSL(Secure SocketLayer)是网景(Netscape)公司设计的主要用于web的安全传输协议,后来该协议通过了国际电子信息委员会组织规范成了RFC标准协议,因此该协议也在各种网络应用层协议上广泛使用。风信子网络审计子系统各产品组件之间采用了SSL加密通讯的方式传输,同时在组件服务器端增加了用户名认证方式的传输,既防止了数据被恶意监听、篡改,又防止了外部非法接入系统;保障了整个系统的输入输出数据的安全性。
-
风信子网络审计子系统是针对企业用户各种复杂网络环境中的应用协议审计,它可以完全独立分布式部署,均衡企业环境中的各种负荷,使得审计达到一种平衡状态。其部署方案图如下:
上图Plus-SS,Plus-AS,Plus-PMC,Plus-AC部分是风信子网络审计子系统主要组件,图中是一种典型的集中式保护资源网络拓扑,多种访问入口,因此要做到全面保护需要在能接入保护资源的第一级交换机中实施数据镜像。
