天玥 网络安全审计系统 营销主打胶片（完全版） 启明星辰 产品管理中心 2012.09.

Presentation on theme: "天玥 网络安全审计系统 营销主打胶片（完全版） 启明星辰 产品管理中心 2012.09."— Presentation transcript:

1 天玥 网络安全审计系统 营销主打胶片（完全版） 启明星辰 产品管理中心

2

3 用户需求 目录 产品介绍 特性优势 客户价值

4 一个案例引发的思考 发现合法的人做非法的事情刻不容缓 直接危害 Intranet 假如危害持续 Internet 巨额经济损失 巨大信誉损失
大量法律纠纷 Intranet A地运营商 假如危害持续 充值密码循环盗用 大量客户资料被窃 商业核心机密泄漏 业务数据信息清空 业务信息系统中断 某工程师 循环作案数月之久 我们来看一个实际的案例，这个案例是2006年运营商一个影响很大的案件，某运维人员通过VPN远程进入到运营商系统，从某省系统跳转到另一省的系统，篡改了充值卡数据，将作废的充值卡置为有效，并在taobao上进行销售，累计获利400多万，在最后一次修改系统时，由于自身疏忽，被购买者报告到客服，最终被发现。 通过该案件，我们可以看到合法的人做非法的事情隐蔽性很高，整个作案时间跨度4个多月，若不是这个人自己犯了错误又或许这个人提前收手了，那么这样的损失可能根本无法知道。而这样的事情给用户带来的损失是显而易见的，直接经济损失、间接的信誉损失、法律纠纷等； 发现合法的人做非法的事情对于用户来说是刻不容缓的事情。 Internet 发现合法的人做非法的事情刻不容缓

5 传统安全手段的不足 行为 破坏 DB 针对数据库的不合规行为需要监控和审计 IDS IPS USG AV Hacker 入侵攻击
不包含威胁特征的操作行为 IP欺骗 蠕虫病毒 …… IDS IPS USG AV 入侵攻击 木马僵尸 Hacker 行为 合法用户滥用操作和误操作 不明账号的操作 DBA或超级用户的操作 共用账号操作无法溯源 利用技术手段空缺的行为滥用 不规范操作带来的DB风险 破坏 DB 从上面的例子我们可以发现一个问题，对于运营商用户，他们的安全措施是比较完善的，部署了多种安全设备，比如防火墙、IDS、防病毒等，但是为什么还会出现这样的事情，主要原因在于传统的安全技术手段是通过对攻击特征、攻击方法进行识别而起到预警或防御作用，但是一个违规的行为有可能是正常的操作行为，其本身并不包含威胁特征，这样就导致了传统技术手段无法识别出这种内部违规行为。 数据库存在的违规安全风险？  ●获取数据库里的内容，出卖泄露给需要者，你的秘密暴露无遗；  ●删除数据库里的内容，神不知鬼不觉，你的资产就受到了损失；  ●增加数据库里的内容，莫须有，你怎么知道是谁做的；  ●修改数据库里的内容，颠倒黑白，你看到的不一定真实。 数据库服务器自身审计？不，那样是不够的。  ●自身审计记录了有限的数据变更，但是没有记录是谁做的；  ●自身审计可以记录但是不能发告警给您，需要自己开发程序；  ●自身审计可以记录但是不能出合规性报告，需要自己开发报表程序；  ●ORACEL的记录方式和SQL Server的记录方式是不一样的，需要专业人员分析查看；  ●注意，设置的审计内容越多越细，对正常业务造成的影响越大；  ●注意，所有的这些信息数据库管理员都可以删除。 针对数据库的不合规行为需要监控和审计

6 相关政策法规-审计 时间 法规 相关行业 2001 《计算机信息系统安全保护等级划分准则》 政府行业 2002 《商业银行内部控制指引 》
金融行业 《 2002 Sarbanes-Oxley Act (bilingual) 》 《 PCAOB Auditing Standard No. 2》 在美国上市的企业（涉及多个行业） 《中国移动集团内控手册》 《中国移动业务支撑网安全域划分和边界整合技术规范》 《中国电信股份有限公司内部控制手册》 《中国网通集团信息质量问责管理若干规定 》 《中国网通集团内部控制体系建设指导意见 》 电信行业 2006 《银行业金融机构信息系统风险管理指引》 《商业银行合规风险管理指引》 《中国银行业监督委员会办公厅文件银监办通313号》 《保险公司内部审计指引（试行）》 《保险公司风险管理指引（试行）》 《深圳证券交易所上市公司内部控制指引 》 《上海证券交易所上市公司内部控制指引 》 在中国上市的企业（涉及多个行业） 对于这些问题，实际上国家主管安全机构及部分行业都已经充分认识到其中的紧迫性，纷纷出台相关政策以加强对内部违规行为的审计； 刑法     国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金； 等级保护     审计需要覆盖到服务器的每个数据库用户，需要记入操作发生的日期、时间、命令、数据库用户、操作类型、操作数据表、操作结果等信息； 分级保护     所有涉密系统里必须要对数据库进行审计，按需对敏感审计内容进行屏蔽； SOX、PCI、HIPPA     要记录数据库中发生的事情，公司高管需要对数据库中发生的风险负责； 需要数据库审计的行业规定     中国移动集团内控手册、银行业金融机构信息系统风险管理指引、商业银行合规风险管理指引、保险公司内部审计指引、证券交易所上市公司内部控制指引等。

7 相关政策法规-防统方 时间 政策 1997 中华人民共和国刑法第285条第2款 2004 《卫生部八项行业纪律》 2007
卫生部办公厅关于加强医院信息系统药品、高值耗材统计功能管理的通知<卫办医发[2007]163号> 2010 卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知<卫办发[2010]59号> 2011 卫生行业信息安全等级保护工作的指导意见 卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知<卫办综函〔2011〕1126号>

8 用户需求 目录 产品介绍 特性优势 客户价值

9 天玥网络安全审计系统 深层监测 精确溯源 让数据库安全变得简单 全面协议支持 业务网合规审计 数据库细粒度审计 数据库安全监控 关注应用安全
深层监测 精确溯源 全面协议支持 - 数据库协议：Oracle等12种 - 字符协议：Telnet、SSH - 图形协议：RDP、VNC - 文件协议：Netbios、FTP、NFS - 邮件协议：SMTP、POP3 - 其他：Radius、HTTP 业务网合规审计 数据库细粒度审计 - 操作对象细分 - 操作类型细分 - 客户端类型细分 - 数据库响应细分 数据库安全监控 产品特性 关注应用安全 数据库访问关联 - 实时三层关联 - 跳转访问审计 - 嵌套操作审计 全过程审计 以数据为核心 审计日志处理 - 高速日志记录 - 有效日志检索 - 客户化审计报表 高性能处理 客户价值 让数据库安全变得简单

10 产品架构 数据中心 天玥网络安全审计系统 引擎 浏览器 网络数据包 管理系统 报表系统 网络数据包 通信 捕包 解析 响应 审计策略 系统
配置 报表系统 日志 存储 关联 分析 网络数据包 天玥网络安全审计系统 通信 捕包 解析 响应 零 拷贝 解密 技术 状态 检测 协议 解析 日志 上传 事件 告警 引擎 碎片 重组 流 重组 规则 匹配 攻击 检测 违规 阻断 对外 接口 审计策略

11 丰富的产品型号和性能规格，覆盖绝大多数用户的部署需求
天玥网络安全审计系统 CA6500 大型企业级千兆网络应用 CA3600 CA2800 大中型企业级千兆网络应用 CA2300 GE1800ER GE1500ER 中型企业级千兆网络应用 GE1000E CA500 中型企业级准千兆网络应用 GE500E 中小型企业级百兆网络应用 丰富的产品型号和性能规格，覆盖绝大多数用户的部署需求

12 全面审计 围绕数据库的业务网络的合规审计，同时支持各种运维协议。 数据库操作 非公开协议解析的能力 不同的编码格式的协议 公开协议解析
Oracle SQL-Server Informix DB2 Teradata Sybase 非公开协议解析的能力 数据库操作 MySQL PostgreSQL Cache 不同的编码格式的协议 人大金仓 达梦数据库 南大通用 公开协议解析 Telnet Rlogin SSH 不同版本的协议 运维协议 SCP SFTP FTP RDP/VNC Netbios/NFS HTTP SMTP/POP3 … HTTP(S) 围绕数据库的业务网络的合规审计，同时支持各种运维协议。

13 细粒度审计--策略配置 详细定义针对各种数据库行为的审计策略，包括数据库响应。 自然人帐号 后台资源 时间策略项
服务：是针对系统支持的协议类型而定义来的，需要先配置定义 说到规则集，这是一个规则的集合，规则就是我们针对我们的具体业务制定的具体的业务规则 5W1H：谁，从哪里，什么时间，对什么，做了什么操作，凭据是什么 详细定义针对各种数据库行为的审计策略，包括数据库响应。

14 规则集 可以自定义规则集 自定义具体的规则

15 审计策略-续 响应方式：是自定义出来的，可以配置是否上报，事件如何过滤处理

16 HTTP规则配置

17 策略向导 审计策略配置普遍比较复杂 策略配置中涉及到的元素较多

18 细粒度审计－日志展现 对于审计到的网络访问行为进行细粒度解析和记录，具体到列和值。

19 查询任务 查询和统计支持以后台任务方式执行
设置查询的时间段和协议过滤条件后，即可以“任务执行”的方式运行，避免长时间的查询或者统计影响用户在系统中操作的效率，任务执行完毕之后可以在任务管理中查看执行结果

20 查询模板 对于经常反复执行的查询或者统计，可以将查询条件保存为模板，之后每次操作时只需要选择模板和时间范围即可

21 关联审计－过程关联 三层关联配置 三层关联学习结果 URL SQL 对跳转访问、嵌套操作、三层模式访问进行关联审计。

22 关联审计－日志关联 审计会话与事件互相关联、三层访问行为关联。

23 数据库漏洞扫描 最大、最全的漏洞知识库确保扫描对象全面，粒度细微 全面&细微 漏洞库总数4500+ 兼容CVE、CNCVE、CNNVD
每周新增漏洞种类10+ 数据库漏洞数580+ ADLab提交CVE漏洞数85+ 微软MAPP合作伙伴

24 数据库漏洞扫描

25 邮件告警/短信告警

26 防统方

27 防统方

28 防统方告警

29 防统方疑似事件统计

30 专业的统方事件翻译

31 报表系统 报表系统，提供审计状态展现、日志查询、统计取证、审计报告。 状态 查询 统计 取证 报告
对HTML格式的离线报表提供事件统计钻取和事件详细列表钻取 报表系统，提供审计状态展现、日志查询、统计取证、审计报告。

32 报表钻取

33 典型部署 Internet WAN LAN IDS TDS 入侵与威胁态势分析 OS & Web Scanner 外网边界 脆弱性与安全评估
UTM / FW IPS Web Server DB Server WAG LAN 办公区 Endpoint Security APP Server DB Server AUDIT 天玥 服务器区

34 多级分布式管理 多级管理：适应用户多层管理架构，可以实现审计系统的多级管理。 分布式部署：一个数据中心可以对多个审计引擎进行管理和控制。

35 用户需求 目录 产品介绍 特性优势 客户价值

36 三层关联 针对数据库的三层访问结构，浏览器-WEB服务器－数据库。
能够将后台的SQL访问关联到前台具体的用户，而不仅仅是前台访问的IP地址，实现IP-ID的追溯。能够帮助发现业务系统滥用、误用、恶意使用的行为。

37 硬件异常/断电 → BYPASS启动无源通道
在线审计引擎 SSH/RDP客户端 服务器 引擎审计分析进程 捕包 解析 转发 实时进程状态监控 进程异常→进程恢复 物理 接口 物理 接口 实时系统状态监控 硬件异常/断电 → BYPASS启动无源通道 在线审计引擎强调控制能力，对于加密协议也能做到有效审计。

38 防绕行

39 医疗防统方

40 HTTP精确审计 众多的web服务是使用http(s)通信协议 传统的Web MVC框架基本上都只支持GET和POST两种HTTP方法
GET提交，请求的数据会附在URL之后  /DEMOWebServices2.8/Service.asmx/CancelOrder?UserID=string&PWD=string &OrderConfirmation=string HTTP/1.1  Host: api.efxnow.com  POST提交，把提交的数据放置在是HTTP包的包体中  /DEMOWebServices2.8/Service.asmx/CancelOrder HTTP/1.1  Content-Type: application/x-www-form-urlencoded  Content-Length: length  UserID=string&PWD=string&OrderConfirmation=string  天玥使用Key – Value的形式对参数进行有效展示 UserID string PWD

41 数据库审计—命令阻断 命令阻断功能：匹配到策略的敏感命令无法执行，当前会话依然存活，不影响其他正常操作继续执行 支持所有的数据库协议

42 Select * from T-User 数据库审计—Oracle响应包解析
双向审计：系统通过对双向数据包的解析、识别及还原，不仅对数据库操作请求进行实时审计，而且还可对数据库系统返回结果进行完整的还原和审计 Select * from T-User ID name age 1 a 16 2 b 32 3 c 28

43 三权分立 职责分离： 通过内置“使用人员角色”、“权限分配角色”、“审计员角色”来真正的实现职责分离 内置“超级管理员”，可按需使用
业务分离： 通过对不同的“使用人员”限定业务范围，例如A只能够配置和查询A部门的审计策略和审计事件；B只能配置和查询B部门的审计策略和审计事件 可以设置A组和B组，组内的权限共享

44 数据库全方位审计 数据库服务器区域 在线审计实现的基础为“建立唯一访问路径，一切的行为均通过该路径进行访问，只审计该路径”
审计数据中心 在线审计引擎 运维区域 旁路审计引擎 在线审计实现的基础为“建立唯一访问路径，一切的行为均通过该路径进行访问，只审计该路径” 旁路审计实现的基础为“一切网络访问行为均不可信，均需要审计” 两种审计部署方式存在着很强的互补性，通常都会一起部署，从而实现控制与审计的完美结合

45 各种专业统计信息 数据库访问实时统计 数据库访问趋势统计 最近30天告警事件统计 最近3个月告警事件统计 最近30天告警事件操作对象表统计
最近3个月告警事件操作对象表统计

46 高性能处理 数据中心与审计引擎采用独立平台，将管理与检测分担在不同硬件，提高整体处理性能。
IDS 审计 借鉴启明星辰IDS的零拷贝技术，千兆网络捕包性能达到线速。 零拷贝 采用专业的状态检测和特征匹配相结合算法，提升数据包解析速度。 状态检测 特征匹配 审计响应 DB 专业设计的数据库结构，优化审计日志入库方式，提升入库速度，达3万条/秒以上。 审计日志 数据预处理技术，将日志的检索和统计工作分散进行，1T日志的检索速度达秒级。 预处理 审计报表

47 多领域研究成果 DB CA FW IDS 以FW的访问控制、IDS的协议解析为基础，结合身份认证技术和数据库研究积累，打造业界领先的数据库审计与监控产品！

48 专利技术 CN1953454 基于角色管理的安全审计方法及系统 CN101388010 一种Oracle数据库审计方法及系统
CN 一种Web服务器前后台关联审计方法及系统 CN 一种oracle数据库绑定变量的sql语句审计方法及系统 CN 一种数据库错误信息提取方法及系统 CN 网络行为审计访问规则定义方法及系统 CN DB2数据库操作的信息提取和审计方法及其装置、系统 CN 一种网络审计类软件的授权方法 CN 一种通过回显解析telnet协议的方法及系统 CN 一种基于被审计对象的报文过滤方法及系统 CN TELNET用户操作过程静态数据的保存回放方法 CN 一种实时监视远程用户网络操作行为的方法 。。。。。。

49 特性优势总结 深层监测 精确溯源 最广泛深入的协议解析 协议支持最多：全面覆盖12类数据库系统；全面覆盖业务网运维环境；
协议解析最深：精确到命令级的深层审计；SQL语义解析； 技术基础最厚：创新型的RBAC审计模型；融合IDS的技术积累; 业务操作全过程审计 实时三层关联：数据库行为到WEB客户端的精确定位； 业务跳转审计：通过服务器的跳转访问行为全程跟踪； 日志关联查询：访问会话和具体操作的关联查询；关联统计报表。 紧贴客户的最佳实践 行业应用最广：已遍及四大运营商、金融、大企业、政府机构等； 行业应用最多：超过100家大型用户的应用锤炼； 应用基础最厚：融合在风险评估、管理咨询、安全域建设等领域的实践积累。

50 用户需求 目录 产品介绍 特性优势 客户价值

51 客户价值总结 行为 破坏 DB 天玥 IDS IPS USG AV Hacker 满足合规性要求，顺利通过等级保护、分级保护、IT审计
不包含威胁特征的操作行为 IP欺骗 蠕虫病毒 …… IDS IPS USG AV 入侵攻击 木马僵尸 Hacker 行为 合法用户滥用操作和误操作 不明账号的操作 DBA或超级用户的操作 共用账号操作无法溯源 利用技术手段空缺的行为滥用 不规范操作带来的DB风险 破坏 DB 天玥 满足合规性要求，顺利通过等级保护、分级保护、IT审计 有效响应、减少业务系统核心信息资产的破坏和泄漏 有效控制运维操作风险，便于事后追查原因与界定责任 有效控制业务运行风险，直观掌握业务系统安全状况 实现独立审计与三权分立，完善IT内控机制 提升声誉 降低损失 取证免责 把控全局 完善机制 等级保护 审计需要覆盖到服务器的每个数据库用户，需要记入操作发生的日期、时间、类型、数据库用户、操作类型、操作数据表、操作结果等信息； 分级保护 所有涉密系统里必须要对数据库进行审计，按需对敏感审计内容进行屏蔽；

52 产品资质与荣誉 计算机信息系统安全专用产品销售许可证 国家信息安全认证产品证书（ EAL ） 计算机软件著作权登记证书
涉密信息系统产品检测证书 3C强制认证（增强级）产品证书 军用信息安全产品认证证书 行业采购网络安全产品首选品牌 北京市自主创新产品 2010年度最佳数据库安全审计产品

53 成功案例 政府行业 电信运营商 金融及其他 国家人事部 中国移动通信集团重庆有限公司 国家开发银行 国家财政部信息网络中心
国家安全生产监督管理总局 国家住房与城乡建设部 国家广播电影电视总局 国家水利部 国家外汇管理局 国家基础地理信息中心 国家知识产权局 国家海洋局 国家计算机网络与信息安全管理中心 北京市委组织部 北京市西城区信息中心 北京市海淀区信息中心 上海市纪律检查委员会 上海市世博局 江苏省统计局 江苏省人民检察院 广东省政府办公厅 广东省公安厅 深圳市政府信息办 山东省委组织部 …… 电信运营商 中国移动通信集团重庆有限公司 中国移动通信集团新疆有限公司 中国移动通信集团贵州有限公司 中国移动通信集团广东有限公司 中国移动通信集团河北有限公司 中国移动通信集团青海有限公司 中国移动通信集团福建有限公司 中国移动通信集团陕西有限公司 中国联通有限公司广东分公司 中国联通有限公司北京分公司 广东省电信有限公司 广西省电信有限公司 广东省网通有限公司 北京网通有限公司 河北网通有限公司 …… 国家开发银行 中国建设银行广东省分行 中国建设银行江苏省分行 中国建设银行西藏区分行 中国长城资产管理公司 中国信达资产管理公司 大连商品交易所 中投证券公司 开联信息技术有限公司 博时基金管理有限公司 信达澳银基金管理有限公司 厦门市商业银行 哈尔滨市商业银行 重庆市三峡银行 中远财务有限责任公司 华东电网有限公司 山西省电力公司 河南省电力公司 内蒙古鄂尔多斯羊绒集团 中航油集团 山西汾西重工有限责任公司 …… 金融及其他

54

55 谢 谢！