网络安全行为审计系统
04.06.2018 01:39
本文来源: 青海热线
为什么需要审计?
1、“内控”的需求:明确规定职责分工控制,授权控制,信息技术控制;及时、准确、完整的收集与企业经营管理相关的各种信息,并进行专项监督检查。
2、SOX法案在404条款中明确规定内部控制的重要性,强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任。
3、BS7799/ISO17799,ISO27001(国际): ISO17799:2005标准(即BS7799第一部分),是信息安全管理实施细则,明确规定了133个安全控制(安全策略、信息安全组织、物理和环境安全、通信和操作管理、信息安全事件管理)。
ISO27001:2005标准详细说明了建立、实施和维护信息安全管理体系的要求。
审计的分类:
背景介绍:
解决之道——架构设计
Session Auditor是一个基于网络的行为审计系统。传统的基于日志的审计系统记录的是计算机系统中分立时刻产生的各种单个事件。而Session Auditor则记录用户在一个登录会话中与所有应用交互的全过程,包括屏幕的更新、鼠标的移动与点击以及来自键盘的输入。因此在回放会话时,您可以看到用户所有行为的全过程,就像站在他身边看着他操作一样。
如图所示,Session Auditor由传感器(SAS)、数据中心(SAD)和控制台(SAC)等三个系统模块组成。
传感器:收集并预处理各种网络会话对应的数据,并上传至数据机。
数据中心:收集传感器获得的各种网络会话数据,并按照控制台的控制指令进行相应的处理和查询。
控制台:人机界面,提供各种管理功能,并且负责监视审计系统的整体运行状况。
解决之道—部署方式
Session Auditor的传感器(SAS)以透明方式运行,可以智能识别流经它的各种网络协议包括上面提到的RDP和SSH等多种加密协议,将这些网络数据严格地按照会话进行重组并且记录下来,传送回数据中心(SAD),以备审计和查询使用。控制台(SAC)可以根据审计策略实时改变传感器的工作方式和审计的范围、协议和粒度。
依靠Session Auditor可以实现功能强大的审计体系。
产品功能:
支持协议
覆盖大多数加密和非加密网络协议,包括RDP、SSH、ICA、SNMP、POP3、SMTP、Telnet、VNC、FTP、HTTP、Oracle、Sybase、MS SQL、文件共享CIFS/SMB等。
l 可编程智能审计脚本AuditScript(这是智能审计最强大的功能,能够使用脚本自定义各种策略,智能审计提供方便的脚本编程,例如判断Windows下删除文件的脚本不超过20行)
l 图形与文本处理(行为审计是优势,但是如果仅凭人去逐个查看回放是不现实的,使得审计系统不可用。智能审计支持图形与文本的处理,能自动识别行为操作,例如Windows下使用鼠标操作删除了文件等,自动的批量进行智能审计使得行为审计真正能实用起来)。
l 拖拽、搜索、自动定位(会话回放可拖拽、搜索是基础功能。对于审计到的事件能自动定位到操作画面,例如自动定位到删除文件的画面)
l 输出可定制报表
l 记录所有数据,而不仅仅是日志或告警信息是行为审计的基础
l 以会话为基础的行为分析(以会话为基础的一系列相关操作行为分析,与单条日志分析是不一样的,单条日志分析的数据价值不高并且可能被淹没在海量类似日志中,而行为审计是最好的解决方法)
l 图形方式完全回放(回放是行为审计最基础的一种方法,由于其直观性,被广泛需要)
审计对象、策略定制(固定的控制不能适合所有用户环境,可任意定制的策略使得控制功能真正能实用起来)
• 内置状态防火墙(SA系列自身是一个桥方式的状态防火墙)
• 实时监控自动告警/阻断会话(安全性要求的高的客户需要能自动告警与实时阻断, INLINE模式的SA系列能完美地实现这一功能)
• 协议级细粒度控制,如单向剪贴板,在保证安全的前提下兼顾操作方便性
• 阻断当前活动会话(可即时手动阻断当前正活动的任何会话,无论是否定义预警/阻断规则)
• 自动超时阻断会话(长时间登录无操作,可设置超时后自动阻断,这也是SNIFFER型审计无法做到的)
l密码代填支持四种协议,RDP、FTP、TELNET、SSH.
l密码代填功能是可选项
l支持外部MySQL数据库保存认证及目标账号授权信息。通过外部MySQL数据库,可以支持多个SA共用同一套认证及目标账号授权库。后期考虑支持LDAP进行认证及目标账号授权。来源:青海省大数据有限责任公司
本文来源: 青海热线
04.06.2018 01:39