【導(dǎo)讀】信息安全實驗室建設(shè)方案。北京啟明星辰信息安全技術(shù)有限公司。©啟明星辰第頁共47頁2

　　

【正文】 用戶完成審計策略的精確定義。審計策略可根據(jù)業(yè)務(wù)系統(tǒng)和業(yè)務(wù)用戶、時間（即策略生效時間，可以是某一固定時間，也可以是某個周期性時間）、業(yè)務(wù)規(guī)則集（定義需要被審計的操作集合）、響應(yīng)方式（包括事件風(fēng)險級別、是否記錄入庫等）等要素來定義。 很多情況下，用戶只關(guān)注部分用戶 的關(guān)鍵業(yè)務(wù)訪問行為，因而需要審計系統(tǒng)提供操作級的策略定義，細(xì)粒度的審計策略定義乃是精確審計的保障。 特定賬號行為跟蹤 天玥系統(tǒng)能夠?qū)崿F(xiàn)對“用戶網(wǎng)絡(luò)環(huán)境中出現(xiàn)的特定賬號或特定賬號執(zhí)行某種操作后”的場景進行賬號跟蹤，提供對后繼會話和事件的審計。這樣，管理員能夠?qū)Τ霈F(xiàn)在網(wǎng)絡(luò)中的特權(quán)賬號，比如 root、 DBA 等，進行重點的監(jiān)控，特別是哪些本不應(yīng)出現(xiàn)在網(wǎng)絡(luò)上的特權(quán)賬號突然出現(xiàn)的事件。 訪問操作 /命令及內(nèi)容 /字段智能分析 天玥系統(tǒng)能夠根據(jù)審計業(yè)務(wù)的類型進行命令和字段的自動提取，用戶可以選擇提取后的命令或字段作為重點對象 進行分析。針對數(shù)據(jù)庫類業(yè)務(wù)，可分析并形成數(shù)據(jù)庫名、表名、命令等列表；針對 web 業(yè)務(wù)，可分析并形成 URL、訪問模式等列表。通過智能分析功能，可以簡化用戶對審計數(shù)據(jù)的分析過程，大大提高分析的效率。 多編碼環(huán)境支持 天玥系統(tǒng)適用于多種應(yīng)用環(huán)境，特別是在異構(gòu)環(huán)境中，某些數(shù)據(jù)庫同時采用幾種編碼與應(yīng)用服務(wù)器進行通訊，若系統(tǒng)不能識別多種編碼，會導(dǎo)致審計結(jié)果出現(xiàn)亂碼，對多編碼的支持是衡量審計系統(tǒng)環(huán)境適應(yīng)性的重要指標(biāo)之一，目前天玥系統(tǒng)支持如下編碼格式： ASCII、 Unicode、 UTF UTF1 GB231 EBCDIC。 業(yè)務(wù)黑白名單 天玥系統(tǒng)提供業(yè)務(wù)用戶和操作的黑白名單功能，通過調(diào)整規(guī)則集設(shè)置和策略生效順序，就能順利達(dá)到這一目的。 例如，我們想把操作員小李放入訪問者的黑名單，則可以將業(yè)務(wù)用戶為“小169。啟明星辰 第 頁 共 47 頁 33 李”的策略，規(guī)則集定義為任意操作。將此策略提前至此數(shù)據(jù)庫所有策略的第一條，則小李對于此數(shù)據(jù)庫的所有訪問均被告警，黑名單設(shè)置成功。如果此條策略的響應(yīng)方式為通過不記錄，則小李進入了白名單。 如果我們想把針對某業(yè)務(wù)系統(tǒng)的“刪除用戶資料”操作放入黑名單?？梢远x一條針對此操作策略，選擇所有業(yè)務(wù)用戶，規(guī)則集包括“刪除用戶資料”，響應(yīng)方式設(shè)置為告警，同時將此策略提前至此服務(wù)器的第一條。 業(yè)務(wù)異常發(fā)現(xiàn) 天玥系統(tǒng)業(yè)務(wù)異常告警功能，當(dāng)某關(guān)鍵業(yè)務(wù)出現(xiàn)異常，比如在某時間段內(nèi)操作頻次超過限定值，有越權(quán)訪問等情況，天玥可提供告警。 審計員權(quán)限獨立 針對大中型用戶，需要審計的業(yè)務(wù)系統(tǒng)或者設(shè)備范圍較廣，通常的情況下，各個業(yè)務(wù)系統(tǒng)彼此獨立，在保密要求更加嚴(yán)格的用戶中，各個業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)需互相隔離，受保密限制。此時對審計系統(tǒng)的要求就變得更加嚴(yán)格，需要能夠針對不同的業(yè)務(wù)系統(tǒng)或者設(shè)備范圍來劃分出不同的審計員，不同的審計員可以審計的范圍有明確的限制。天玥系 統(tǒng)完美的支持了這種針對數(shù)據(jù)權(quán)限要求進行劃分的用戶需求，用戶可以根據(jù)角色或者根據(jù)用戶組來設(shè)定不同的審計范圍，最終實現(xiàn)了不同審計人員通過使用不同的審計賬號登陸天玥系統(tǒng)來實現(xiàn)不同范圍的審計功能。 訪問關(guān)聯(lián)審計 經(jīng)調(diào)查， 80%的業(yè)務(wù)系統(tǒng)服務(wù)模式是瀏覽器－ WEB 中間件－數(shù)據(jù)庫的三層架構(gòu)。一般來說，雖然用戶采用不同的賬戶訪問 WEB 中間件，但是中間件對數(shù)據(jù)庫的操作卻是通過某一內(nèi)置的固定賬號進行的，如果單純審計中間件對數(shù)據(jù)庫的操作，就無法將數(shù)據(jù)庫行為對應(yīng)到具體業(yè)務(wù)用戶，單純審計業(yè)務(wù)用戶對中間件的操作，又無法得知這些操作帶來 的數(shù)據(jù)庫改變。如何將最前端的用戶訪問行為和最后端的數(shù)據(jù)庫改變關(guān)聯(lián)起來，這對審計系統(tǒng)來說是很大的挑戰(zhàn)。 天玥采用獨有的專利技術(shù)“ CN101388899 一種 Web 服務(wù)器前后臺關(guān)聯(lián)審計方法及系統(tǒng) ”，通過前后臺關(guān)聯(lián)，完美的解決了這一難題，實現(xiàn)了數(shù)據(jù)庫改變（ SQL）至具體用戶（ HTTPID）的實時關(guān)聯(lián)。 三層關(guān)聯(lián)的技術(shù)實現(xiàn)示意圖如下： 169。啟明星辰 第 頁 共 47 頁 34 User 1User 2User N… ...Web S er ve r Da taBase S er ve r 前臺審計探針后臺審計探針審計日志庫多用戶訪問 單一賬戶訪問 圖 2. 天玥系統(tǒng)三層關(guān)聯(lián)技術(shù)實現(xiàn)示意圖 前臺審計探針負(fù)責(zé)解析不同的業(yè)務(wù)用戶到 WEB 服務(wù)器的訪問數(shù)據(jù)，這種訪問通常應(yīng)用 HTTP 協(xié)議 ，后臺審計探針負(fù)責(zé)解析 WEB 服務(wù)器到數(shù)據(jù)庫的訪問數(shù)據(jù)，這種訪問通常應(yīng)用的是數(shù)據(jù)庫協(xié)議，前后臺探針將各自的解析結(jié)果提交到三層關(guān)聯(lián)模塊，此模塊負(fù)責(zé)對這兩類不同協(xié)議的解析結(jié)果進行關(guān)聯(lián)，關(guān)聯(lián)得到的審計事件信息記入日志庫。一般情況下，前臺審計探針和后臺審計探針可以分別位于一臺審計引擎，也可以分別位于一臺審計引擎的兩個網(wǎng)絡(luò)接口，甚至是同一個網(wǎng)絡(luò)接口（引擎為旁路部署的模式），具體應(yīng)用情況可根據(jù)用戶網(wǎng)絡(luò)特點進行個性化選擇。 天玥系統(tǒng)針對三層關(guān)聯(lián)結(jié)果，提供完整的事件信息查詢和獨有的關(guān)聯(lián)報表。在事件查詢頁面，用戶能看到每個訪問 行為的業(yè)務(wù)用戶名、客戶端 IP、訪問的URL、對應(yīng)的 SQL 語句等信息，如下圖所示。 時間 業(yè)務(wù)賬號 客戶端 IP 業(yè)務(wù) URL 數(shù)據(jù)庫名 表名 命令 SQL 20200315 16:30:01 Alice .6 m/xx ORAL User_roles SELECT SELECT name FROM user_roles WHERE role = 39。CONNECT39。 169。啟明星辰 第 頁 共 47 頁 35 20200315 16:30:01 Bob .3 m/xx ORAL User_roles UPDATE Update user_roles set password ＝ ’123’ WHERE role = 39。CONNECT39。 圖 3. 三層關(guān)聯(lián)結(jié)果示意圖 強身份認(rèn)證 傳統(tǒng)的網(wǎng)絡(luò)安全審計系統(tǒng)通過網(wǎng)絡(luò)層捕獲實現(xiàn)審計數(shù)據(jù)的解析，對網(wǎng)絡(luò)行為的定位往往局限于 IP 地址和 MAC 地址，在某些場景，比如要求自然人和網(wǎng)絡(luò)行為關(guān)聯(lián)的情況下，由于 IP 地址或 MAC 地址不具備源頭可信任，追蹤稽查效果大 打折扣。針對這種情況，天玥系統(tǒng)提供了 USB 硬件令牌、靜態(tài)口令、標(biāo)準(zhǔn)Radius 支持、吉大正元認(rèn)證服務(wù)器聯(lián)動、北京 CA 認(rèn)證服務(wù)器聯(lián)動等多種方式進行認(rèn)證，用戶可選擇適合自身使用習(xí)慣的認(rèn)證方式實現(xiàn)對自然人的綁定，當(dāng)自然人在進行網(wǎng)絡(luò)操作時，其真實身份將會和網(wǎng)絡(luò)行為進行關(guān)聯(lián)，從而實現(xiàn)對自然人的追蹤和稽查。 多種響應(yīng)方式 天玥系統(tǒng)對審計到的網(wǎng)絡(luò)操作，可以及時的進行各種響應(yīng)，協(xié)議網(wǎng)絡(luò)和安全管理人員及時了解和控制各種網(wǎng)絡(luò)訪問行為。天玥系統(tǒng)提供了多種響應(yīng)方式，包括： 在天玥審計服務(wù)器中記錄相應(yīng)的操作過程； 在日常審計報告中標(biāo) 注； 向天玥管理控制臺發(fā)出告警信息； 通過 Syslog 方式進行告警 通過 SNMP Trap 方式進行告警 通過郵件方式進行告警 169。啟明星辰 第 頁 共 47 頁 36 終端 安全 管理系統(tǒng) 產(chǎn)品綜述 啟明星辰天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)提供的產(chǎn)品功能覆蓋終端安全管理建設(shè)的 “基礎(chǔ)認(rèn)知及運維階段”、“合規(guī)建設(shè)階段” 和 “主動防御及強制階段” 三個階段，全部核心功能模塊，如下圖所示： 圖 3 天珣功能 模塊示意圖 其中： ? 覆蓋 “基礎(chǔ)認(rèn)知及運維階段” 的五個功能模塊是：“ 資產(chǎn)管理 ”、“軟件分發(fā)”、“遠(yuǎn)程桌面”、“補丁管理” 和“ 主機防火墻” 。 ? 覆蓋 “合規(guī)建設(shè)階段” 的 四個功能模塊是：“ 主機監(jiān)控審計”、“非法外聯(lián)控制”、“移動存儲管理” 和“ 涉密信息發(fā)現(xiàn)” 。 ? 覆蓋 “主動防御及強制階段” 的兩個功能模塊是：“ 準(zhǔn)入控制” 和“ 安全基線管理” 。 對照終端安全管理建設(shè)路線圖，天珣所提供的功能已經(jīng)完全覆蓋了終端安全管理建設(shè)四個階段的前三個，即“基礎(chǔ)認(rèn)知及運維階段”、“合規(guī)管理建設(shè)階段”和“主動防御及強制階段”，通過引入天珣作為終端安全管理體系建設(shè)的支撐產(chǎn)品，即可實現(xiàn)終端安全管理跨越式發(fā)展，如下圖所示： 169。啟明星辰 第 頁 共 47 頁 37 圖 4 天珣 幫助終端安全管理實現(xiàn)跨越式發(fā)展 啟明星辰終端安全管理建設(shè)路線圖以天珣為核 心，全面 覆蓋終端安全管理建設(shè)的四個階段和所有關(guān)鍵終端安全子系統(tǒng)， 實現(xiàn)終端安全管理跨越式發(fā)展。 主要功能 最易部署的終端管理產(chǎn)品 借助獨特的 CSC 體系架構(gòu)和天珣強大的多層準(zhǔn)入控制，天珣解決了終端產(chǎn)品部署的難題，是終端部署變得簡單。利用準(zhǔn)入控制創(chuàng)造的“客戶端用戶自助安裝”模式，管理員足不出戶，完成客戶端安裝成為可能。 細(xì)粒度強控制 天珣具備真正的安全內(nèi)核，能夠?qū)崿F(xiàn)對終端和終端用戶行為最細(xì)粒度的控制，保證終端用戶行為按照預(yù)定規(guī)范執(zhí)行，并有效杜絕各種潛在攻擊和違規(guī)行為所帶來的安全風(fēng)險。 全過程終端安全管理 天珣提供 的產(chǎn)品功能覆蓋終端安全管理建設(shè)的“基礎(chǔ)認(rèn)知及運維階段”、“合規(guī)建設(shè)階段”和“主動防御及強制階段”三個階段，為終端提供全過程過的安全管理。 業(yè)界最全面的準(zhǔn)入控制技術(shù) 天珣從終端接入網(wǎng)絡(luò)、對網(wǎng)絡(luò)資源訪問和終端之間的互訪，都提供了業(yè)界最完善和全面的準(zhǔn)入控制技術(shù)，準(zhǔn)入控制條件豐富，準(zhǔn)入控制手段全面，能夠適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境，確保準(zhǔn)入控制無盲點。 確定性終端合規(guī)管理 169。啟明星辰 第 頁 共 47 頁 38 借助多層準(zhǔn)入控制手段提供的強制能力，有效保證天珣客戶端程序運行，確保 100%的計算機終端接受有效管理，實現(xiàn)確定性的桌面合規(guī)管理和終端行為審計，促進內(nèi)網(wǎng)安全 持續(xù)改善。 集中管理、分級控制，滿足多級跨地域分支機構(gòu)的管理需求 天珣分布式 多級服務(wù)器級聯(lián)管理架構(gòu) ☆ ，可 以支持無限級的中心服務(wù)器進行級聯(lián)當(dāng)然，單級服務(wù)器在又可以分為中心服務(wù)器和多個本地服務(wù)器，結(jié)合無限級的服務(wù)器級聯(lián)，對終端的管理規(guī)?？梢詿o限擴展。實現(xiàn)集中管理和分級控制。適應(yīng)對 全球網(wǎng)絡(luò) 范圍內(nèi)的 任何一臺計算機終端 進行查詢和管理 。 天珣 管理員 支持分級管理， 可以設(shè)置不同的管理角色，并 授權(quán) 對 不同的區(qū)域進行管理。級聯(lián)管理員也有權(quán)限根據(jù)級聯(lián)管理的要求隨時更改服務(wù)器上下級級聯(lián)關(guān)系，以適應(yīng)網(wǎng)絡(luò)環(huán)境和級聯(lián)管理變化要求，巡查級聯(lián) 管理下屬的 區(qū)域的安全策略執(zhí)行情況和審計報表 和所有終端，完全適應(yīng)對 各類用戶、各種復(fù)雜網(wǎng)絡(luò)的個性化管理要求。 支持 Windows 集成用戶認(rèn)證和三權(quán)分立用戶認(rèn)證 從內(nèi)控的角度來看， IT 系統(tǒng)的使用權(quán)、管理權(quán)與監(jiān)督權(quán)必須三權(quán)分立，在三權(quán)分立的基礎(chǔ)上實現(xiàn)終端合規(guī)管理與審計，有效地控制操作風(fēng)險（包括終端操作風(fēng)險與運維操作風(fēng)險）。天珣支持 Windows 集成用戶認(rèn)證和三權(quán)分立用戶認(rèn)證，幫助企業(yè)完善 IT 內(nèi)控機制。 PassThrough 方式的 LDAP 用戶認(rèn)證 天珣支持主流的 LDAP 用戶認(rèn)證，比如 AD 域、 iPla、 OpenLDAP 等。對通過認(rèn)證的用戶可以下發(fā)基于用戶的安全策略，為訪問控制提供高度靈活的管理手段。天珣支持 PassThrough 認(rèn)證方式，直接使用企業(yè)現(xiàn)有的目錄服務(wù)，不需要導(dǎo)入任何用戶數(shù)據(jù)庫，使系統(tǒng)更具實時性、減輕管理員的工作量。 本地用戶數(shù)據(jù)庫用戶認(rèn)證 天珣自帶本地用戶數(shù)據(jù)庫，無需第三方 LDAP，即可實現(xiàn)終端用戶賬號集中管理，支持用戶的創(chuàng)建、修改、刪除和用戶集中認(rèn)證管理，也可以批量導(dǎo)入和導(dǎo)出用戶，并提供用戶導(dǎo)入模塊，為用戶提供更多、更靈活的用戶管理和認(rèn)證的選擇。 數(shù)字證書認(rèn)證管理 169。啟明星辰 第 頁 共 47 頁 39 天珣支持文件數(shù)字證書和 UKey 數(shù)字證書的身份認(rèn)證方式。支持轉(zhuǎn)發(fā)數(shù)字證書轉(zhuǎn)發(fā)認(rèn)證，無需導(dǎo)入用戶證書。天珣可以同時支持多種認(rèn)證方式，可以只允許使用數(shù)字證書進行登錄認(rèn)證，也可以由終端用戶自己選擇使用用戶名 /密碼認(rèn)證，或者任一合法的證書進行認(rèn)證，靈活適應(yīng)終端用戶不同的使用習(xí)慣和身份認(rèn)證管理要求。數(shù)字證書認(rèn)證，即可作為準(zhǔn)入控制的身份認(rèn)證條件，又可作為安全狀態(tài)策略，如果數(shù)字證書認(rèn)證失敗，系統(tǒng)將可以拒絕終端接入內(nèi)網(wǎng)和訪問內(nèi)部服務(wù)器資源。 完備客戶端注冊機制