天珣内网安全风险管理与审计系统v6694patch6694

天珣内网安全风险管理与审计系统

安装配置手册

（V6.6.9.4）

启明星辰

Beijing Venustech Cybervision Co., Ltd.

2012年11月

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

“天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得侵犯。

免责条款

本文档依据现有信息制作，其内容如有更改，恕不另行通知。

北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

1综述

天珣内网安全风险管理与审计系统的集端点主动安全防护和桌面管理于一身，具有世界领先水平的产品体系架构，从根本上解决了客户端从蠕虫病毒的主动防御、可靠的补丁管理、非授权访问控制、端点准入控制、桌面运行环境的标准化和自动化管理等一系列问题，帮助用户创建高可靠、高可用和高安全级别的可信任网络环境。

天珣内网安全风险管理与审计系统架构如下图所示。主要由策略服务器、天珣客户端、策略网关组成。

策略服务器包括中心服务器、本地服务器、补丁分发服务器、radius服务器、告警服务器等组件，所有功能服务器集中管理，组件可根据具体情况增减。数据库采用SQL SERVER，统一管理报警日志及审计等数据。

2安装环境及要求

客户端（Clients）计算机没有很高的系统要求。客户端软件(也被称CC)可以被安装在Windows 系统之上，包括 Windows2000 SP4, Windows Server 2003 和32/64位Windows XP，Windows Vista, 32/64位Windows Server 2008，32/64位Windows 7

数据库支持32位 Microsoft SQL Server 2000，32/64位Microsoft SQL Server 2005

32/64位 Microsoft SQL Server 2008

中心服务器（Server）是整个策略架构的管理中心、策略中心。必须运行2003 SERVER SP1 (32/64) 或 2008 Server SP1 (64)的平台上。中心服务器通过web方式管理，要求安装IIS服务器。其对硬件要求的高低应根据所管理的客户端数量的多少来定，其中，服务器安装要求的最低配置如下：

硬件：

CPU PIII 1G或以上

Memory 1G或以上

硬盘40G空闲

软件：

Windows 2003 Server SP1以上

Internet Information Services 6.0以上

Dot Net Framework2.0

MDAC 2.7或以上

中心服务器、攻击告警服务器需要安装SQL Server数据库，可根据现场环境选择独立安装或集中安装于中心服务器，若安装于中心服务器，请确保中心服务器有足够的内存和硬盘空间。

策略网关代理(Plug-in Proxy)：管理所有关联的策略网关，策略网关代理从Local Server上取插件策略。当策略网关激活时，策略网关代理将策略发送给各个关联的策略网关。策略网关代理的主要作用在于可以将安装在多个应用服务器上的有相同插件策略的插件策略网关交给同一个策略网关代理管理，从而简化管理员的配置；同

时，各个插件策略网关可相互共享CC的状态，如CC1在插件1上通过了认证，那么通过插件2访问时就无需第2次认证，提高系统性能。

IIS策略网关、ISA策略网关、Exchange策略网关以及中性策略网关：策略检查点（checkpoint），与CC配合强制用户满足策略。策略网关从关联的策略网关代理上取插件策略。

3.天珣内网安全风险管理与审计系统主要组件介绍

天珣内网安全风险管理与审计系统为CSC架构，即天珣客户端（Clients）、策略服务器（Server）、策略网关（Check Point）。3.1.服务器组件

3.1.1.中心策略服务器

所有策略集中存放的地方，系统中唯一的Web管理控制台也与中心服务器集成在一起。管理员从Web管理控制台登录到Center Server，进行策略配置，报表查询。Center Server同时兼作一个Local Server。

3.1.2.本地策略服务器

本地策略服务器是客户端日常取策略的地方，也是客户端发送报表的目的地。本地策略服务器从Center Server同步得到策略。设置本地策略服务器的目的是为了适应企业大区域的分布式分级管理架

构。本地策略服务器从中心策略服务器获取策略，客户端直接与本地策略服务器通讯。

3.1.3.Radius服务器

Radius服务器是天珣内网安全风险管理与审计系统网络准入的必须组件。结合各类LDAP认证，使用802.1x协议或EOU协议在交换机网络端口实施网络准入认证，确保只有通过认证的客户端接入并访问网络。

3.1.

4.攻击告警服务器

攻击告警服务器兼作为攻击日志告警服务器和终端审计日志服务器，收集由客户端发来的攻击告警信息和终端审计信息。并在中心服务器管理界面，可进行统计和分类查询。

3.1.5.软件分发服务器

通过软件分发服务器可建立软件安装包，可根据目标地址或地址段、指定时间段分发软件包或自定义文件。

3.1.6.HOD远程桌面服务器

HOD远程桌面服务器用于记录在线的远程桌面管理员的相关信息，为其关联管理网段后，管理网段内的用户就可使用客户端集成的远程桌面客户端，向在线管理员发起远程桌面帮助请求。

3.2.策略网关组件

作为系统及应用准入的准入控制点，检查访问者的客户端运行状态，与客户端配合强制用户满足策略。策略网关从策略网关代理上取策略网关策略。有时策略网关策略又叫插件策略。策略网关分为中性策略网关和IIS、ISA Proxy、Email、DNS等插件策略网关。

3.2.1.策略网关代理

策略网关的管理者。所有的策略网关都直接连接到策略网关代理，从策略网关代理获取策略，接受管理。而策略网关代理直接指向策略服务器，并从策略服务器获取策略。连接到同一个策略网关代理的所有策略网关使用相同的策略。设置策略网关代理这个角色的目的是简化策略网关的配置，因为有时一个企业需要安装多个策略网关，而每个策略网关的策略相同。

3.2.2.中性策略网关

中性策略网关，也叫做中性插件，是安装在任意的X32位的Windows 2000 /2003/2008服务器或Linux的服务器上，执行应用准入控制，它与安装的服务器操作系统有关，而与该服务器运行何种应用无关。

当终端访问到该服务器，都需要进行安全基线检查，若不符合安全策略，将被拒绝访问该服务器，并给出提示信息（只有基于http 访问，才能正确提示）。其中安全基线包括是否安装客户端软件、安

装客户端软件的终端是否达到安全策略要求。

3.2.3.IIS策略网关

部署在IIS服务器上，对所有访问该WEB服务器的终端实施应用准入控制，检查终端是否符合安全策略，若不符合策略，则拒绝访问，并给出提示信息。

3.2.

4.ISA策略网关

对所有通过ISA服务器上网的终端，实施应用准入控制，若不符合安全策略，则不允许终端通过ISA访问INTERNET，并给出提示信息。

3.2.5.EXCHANGE策略网关

部署在Exchange邮件服务器上，对访问EXCHANGE邮件服务器的终端实施应用准入控制，检查客户端是否符合安全策略。对于不符合安全策略的终端，Exchange策略网关将阻断其邮件服务，并给出提示信息。（只支持EXCHANGE 2003邮件服务器）

3.2.6.DNS策略网关及旁路监听式DNS策略网关

普通DNS策略网关部署在DNS服务器上，对需要进行DNS域名解析的终端实施准入控制，检查终端是否符合安全策略，对于不符合安全策略的终端，DNS策略网关将阻断其DNS请求，并给出提示信息。如果是旁路监听式DNS策略网关，则可部署在DNS服务器上也可部署

在互联网出口的某台服务器上对所有DNS请求进行监听。如果是在DNS服务器上，那么功能与传统DNS策略网关相同，如果不是，那么旁听式的DNS网关必须安装在链接互联网出口交换机上的某台交换机上，对这台交换机上的其他端口的DNS请求进行镜像，并在旁听式DNS网关的端口上进行监听，对需要进行DNS解析的终端实施准入控制，检查终端是否符合安全策略，对于不符合安全策略的终端，旁听式DNS策略网关将阻断其DNS请求，并给出提示信息。

3.2.7.客户端

每台终端都必须安装客户端（CC）。客户端是安装在每个被策略管理的用户的电脑上的代理程序。执行企业策略，安全基线检查，客户端准入控制，访问控制，主动安全防御，资产管理，远程帮助，软件分发，移动存储认证和控制，终端行为审计终端相关功能。从本地策略服务器上取策略，向本地策略服务器发送报表，当用户不满足策略时，向用户提示相关信息。

3.2.8.按需支援管理端

如果安装了按需支援（HOD）的远程桌面服务器，需要在承担远程支持服务的管理员电脑上安装按需支援管理端软件。安装完成后，如果有终端用户发来远程支持请求，远程支持管理员就可以收到请求信息，并直接进行远程协助。

3.2.9.客户端打包程序

客户端代理软件的打包程序。客户端打包程序将和中心服务器一起安装。打包程序将服务器IP地址、指定安装目录、是否静默安装、是否采用网络准入等参数与安装程序打包成可执行文件。

4.天珣内网安全风险管理与审计系统的安

装

安装部署共有两种安装选项：快速安装和自定义安装。

运行Autorun.exe后出现以下主安装界面。

4.1.快速安装

快速安装默认安装服务器的以下组件：中心策略服务器、中心同步服务器、天珣服务状态监控服务、远程桌面服务器、攻击告警服务器、RADIUS服务器、策略网关代理服务器、中性策略网关、DNS策略网关、软件分发服务器、客户端打包程序，服务器卸载工具。

快速安装选项的目的是一次安装所有服务器相关的组件及DNS准入控制组件，如果部署在网络出口，则可利用DNS准入达到即插即用的效果。对中小应用环境，我们的方案首推这种即插即用的部署。

4.1.1快速安装部署

1．快速安装。将天珣内网安全风险管理与审计系统安装光盘放入光驱，可直接进入安装选择界面。请点击“快速安装”。

2．进入天珣内网安全风险管理与审计系统服务器的快速安装界面。

3．安装程序检测系统环境。

1）系统必须安装“MDAC2.7或以上版本”,“IIS”和“Dot Net Framework 2.或者以上版本”。系统还未安装上述的系统组件。则不能进行下一步操作。可以点击旁边的“安装”按钮安装所需的系统组件。

2）系统组件所用的SQL Server 可以选择连接到本机或者其它机器的SQL Server。

如果您想将系统组件所用的SQL Server部署在本机，本机又没有安装SQL Server。您可以选择安装SQL Server。您也可以选择点击检测界面SQL Server旁边的“安装”按钮，运行安装光盘带的里的SQL SERVER2005 EXPRESS版本。（注意：SQL Server Express 2005是由微软公司开发的 SQL Server 2005的缩减版，这个版本是免费的，单个数据库大小限制为4G）。

进行解压缩，压缩完成后将如下图：

点击下一步，进行组件的配置

配置完成请点击next,进行数据库的安装：

点击下一步，可以看到配置组件成功，继而就可以安装数据库了。输入用户名和公司名，再点击下一步：

注意：为安装的方便，请将数据库所有的组件均选中，进行完全的安装，数据库建议使用6g的磁盘空间，所以请选择适当的磁盘。

选择认证模式为混合模式，并输入密码，点击下一步；

选择模式设置，点击下一步；

点击安装并等待安装完毕。

配置SQL SERVER数据库

1、打开SQL数据库配置管理工具（SQL Server Configuration Manager）配置SQL EXPRESS的ip协议为tcp1433（当然也可以更改端口）如下：

双击ＴＣＰ／ＩＰ，弹出下图，配置如下图：

Enabled选项默认为“No”，修改为“Yes”。

注意：ip地址为安装数据库的实际ip地址，TCP Port请填写“1433”。点击应用并重新启动sql数据库的服务如下图：

安装完SQL SERVER2005 EXPRESS之后。安装检测程序会自动开启SQL Server 的1433监听端口。（注意：如果系统已经安装SQL数据库, 天珣内网安全风险管理与审计安装程序是不会帮助SQL Server 打开1433监听端口）。

4．安装过程中，系统会提示用户选择安装的组件的路径，并需要管理员指定中心服务器IP地址、初始管理网段地址等信

息。

1）指定服务器的安装路径，安装组件所在盘符的空闲空间必须大于2G

2）指定中心服务器IP地址,预置为当前服务器已连通网卡的地址，

管理控制台默认端口为8833，请确保8833端口未被其他应用占用；3）设置中心服务器中初始管理网段地址，预置是当前选择网卡地址的子网网段；

4）选择使用管理模式；

5）设置所用的SQL Server 的连接的参数；

6）填写创建数据库的用户的帐号。预置用户名是tx_user ,密码是 !QAZ@WSX#EDC$RF1qaz2wsx3edc4rf

7）安装程序将提示您选择授权文件License.dat的路径。License.dat文件请与启明星辰联系获取最新的授权文件。点击“浏览”选择受权文件的路径，选择有效的授权文件如果服务,若没有授权，需使用上级服务器分配的授权，则点击使用上级授权.

8）安装检查完成，点击“安装”进行快速安装部署；

5．快速安装的安装完各组件之后，安装程序会自动运行客户端打包程序进行客户端安装包的制作.

其中可以自行设置中心服务器地址，指定客户端的安装目录以及客户端的安装模式。总共可设置三种安装模式，以普通模式安装时会出现提示对话框，需由用户进行“确认用户许可”、“选择安装目录”等操作；以自动模式安装时会出现安装界面，但不需要用户进行任何操作，客户端将自动安装至默认目录；以静默模式安装时，正常情况下客户端安装过程中不会有任何提示，客户端将自动安装至默认目录，如果安装的是带防火墙模块的客户端则安装完毕后会有重新启动计算机的提示。此外该打包程序还提供了多种选择，用户可灵活选择

客户端安装包是否包含802.1x交换机认证模块。

说明：打包客户端工具的使用以winrar软件为前提，在安装客户端打包工具前请确保操作系统中已经安装有winrar软件。

制作客户端包完成之后。关掉客户端打包工具程序。即弹出要求系统重启的界面。重启系统。此时快速安装部署天珣内网安全风险管理与审计系统已经完成。

6．安装完成后，请先检查%InstallFolder%\config\database 目录的安全属性，确定该目录及目录下的文件能被System用

户及从Web登录的管理员修改或者已赋予everyone用户完全

控制权限。然后请进入服务控制器，若系统已经自动添加并运

行“ES Center Server”服务，则表明中心服务器已经安装配

置成功。

7．在天珣内网安全风险管理与审计系统中心服务器的默认安装目录C:\Program Files\Venustech\Endpoint Security\ESServer中，Config目录是天珣内网安全风险管理

与审计系统的Web管理站点主目录；Download目录是下载服务

的根目录，用于存放天珣内网安全风险管理与审计系统客户端

安装包、系统补丁等相关的软件。

8．安装程序会自动创建一个虚拟主机“天珣内网安全风险管理与审计系统配置服务”，这个虚拟主机对应上文所提到的

“C:\Program Files\Venustech\Endpoint Security\ESServer\config”目录，对应的TCP端口则为8833。

注意：由于系统8833端口可能事先被占用等原因，可能会造成策略服务器安装设置虚拟站点不成功，在这种情况下请手动设置IIS，创建天珣内网安全风险管理与审计系统配置服务虚拟站点：

1)修改%InstallFolder%\config\database目录的安全属性，使

该目录及目录下的文件能被System用户及从Web登录的管理员修改或者赋予everyone用户完全控制权限。

2)创建一个虚拟站点，作为web管理界面的入口。

●打开Internet服务管理器，右击服务器名称，点击“新建Web

站点”。

●根据提示进行到“IP地址和端口设置”，将端口变为“8833”，

其他设置保存为默认。天珣内网安全风险管理与审计系统的

Web管理端口默认是8833，您也可以指定其他端口。当您使用

其它端口时，您需要在“服务器设置”中修改服务器的管理端

口信息。

●在指定Web站点主目录时将目录设为%InstallFolder%\

ESServer \config，并将“允许匿名访问此Web站点”选项去

除。

●完成后续的步骤完成虚拟站点配置。

●从服务控制器中启动ES Center Server Service，安装配置

中心Server完成。

安装成功后，请在浏览器输入网址（如），进入天珣内网安全风险管理与审计系统配置服务虚拟站点，进行策略等相关设

置，然后再安装相应的策略网关。

4.1.2基本配置

安装完中心服务器，需要添加管理网段和IP组，设置保护网络的边界。

4.1 2.1. 修改全局策略

控制设置天珣内网安全风险管理与审计系统服务器和客户端的一些开关性质的内容和最基本的参数，此处的参数决定策略系统的运行方式和后台交互的频度，以及全局范围内的默认设置。

说明：一般初步测试时，只需更改如下两项的参数，其余参数可按需修改或保持默认值。

客户端启动后发送报表时间，如果本地客户端检查了对方客户端，对方客户端的信息在本地有一个缓存，此处指定的时间就是缓存的时间，单位为分钟。缓存一过期，又要重新检查远端的客户端。这个时间也决定了客户端最少多长时间向Primary Server发送一次报表（如果需要发送）。默认时间为15分钟。一般在测试中可设置为稍短的时间，例如2分钟，这样可尽快看到测试效果。

安全防护相关设置，在访问控制策略中，如果没有指定操作类型，则以此处设定的操作类型为准。

4.1 2.2. 添加策略服务器

配置天珣内网安全风险管理与审计系统的第一步。天珣内网安全风险管理与审计系统支持分布式多服务器架构。天珣内网安全风险管理与审计系统需要一个中心服务器，也只需一个中心服务器。同时也至少需要一个本地服务器，本地服务器可由中心服务器兼任。所以中心服务器同时也是一个本地服务器。当您配置中心服务器时，同时也是在配置其兼任的本地服务器，请在其“中心服务器IP地址”栏位上填写自己的IP地址。（快速安装模式和自定义安装中心服务器都已经默认配置中心策略服务器的参数）

4.1 2.3. 添加管理网段

配置天珣内网安全风险管理与审计系统的第二步。管理网段一般配置一个大的网段，包括一个企业园区，或一个办公区域；管理网段可以包含很多小的网段，比如开发部的子网段等，这些小网段共享相同的本地服务器，下载服务器，补丁安装策略。例如：192.168.0.10-192.168.0.252

点击管理网段设置，显示所有的server，用户选中一个server，进入该server的管理网段的管理。先显示这个server的所有的管理网段。

权限：普通用户只能修改自己所管理的管理网段的下载服务器信息，其他信息由全局管理员进行配置。

点击添加可添加不同的管理网段。

可以为不同的管理网段指定不同的下载服务器，默认的下载服务器位于Primary Server上的HTTP ://localserver:8833/download/。

4.1 2.4. 添加IP组

IP是管理网段的一个子网段，天珣内网安全风险管理与审计系统的策略作用对象分别为IP地址和用户，IP组是IP地址策略作用的最小单位。点击“IP组”，用户可选择按照服务器及管理网段分类查看IP组。每个用户可以添加IP组，修改、删除自己所管理的IP组点击“添加”，添加IP组。

填入IP组的名称和IP地址。选择所属的服务器和管理网段。

排除的IP地址：填写在IP地址段中不需要包含的IP地址。

本IP组应用的策略：通过查看及编辑按钮进行此IP组的相应策略配置。若此IP组还没有设置策略的话，则会在此处提示用户“还没有应用策略”。

认证策略：选择IP内的CC是否启用用户登录和可信MAC，U—M—I 绑定策略。

4.2.自定义安装

自定义安装是可选择地安装服务器各组件。可分别选择安装各服务器组件的安装程序，以便高级用户单独安装一些服务组件或重装维护一些服务器组件。

4.2.1自定义安装中心服务器

自定义安装中心服务的安装界面与快速安装类似。

有区别的是自定义安装中心服务器可以根据需要其它组件安装（注意：默认自定义安装中心服务器时，至少要安装中心服务器和软件分发服务器。具体操作可见上面的快速安装。

4.3.本地服务器的安装配置

1点击“安装天珣本地服务器”进入天珣内网安全风险管理与审计系统服务器的本地服务器安装界面。

2本地服务器安装程序检测系统环境。

2）系统组件所用的SQL Server 可以选择连接到本机或者其它机器的SQL Server。

如果您想将系统组件所用的SQL Server部署在本机。本机又没有安装SQL Server。您可以选择方式安装SQL Server。您也可以选择点击检测界面SQL Server旁边的“安装”按钮，运行安装光盘带的里的SQL SERVER2005 EXPRESS版本。（注意：SQL Server Express 2005是由微软公司开发的 SQL Server 2005的缩减版，这个版本是免费的，单个数据库大小限制为4G）。

涉密计算机信息系统的安全审计

涉密计算机信息系统的安全审计来源：CIO时代网一、引言随着网络的发展，网络信息的安全越来越引起世界各国的重视，防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用，但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展，发现由于内部人员造成的泄密或入侵事件占了很大的比例，所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视，要做到这点就需要在网络中实现对网络资源的使用进行审计。在当今的网络中各种审计系统已经有了初步的应用，例如：数据库审计、应用程序审计以及网络信息审计等，但是，随着网络规模的不断扩大，功能相对单一的审计产品有一定的局限性，并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一，跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。二、什么是安全审计国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖)，简称“五性”。安全审计是这“五性”的重要保障之一，它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计，记录所有发生的事件，提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统，不论是什么人进出银行，都进行如实登记，并且每个人在银行中的行动，乃至一个茶杯的挪动都被如实的记录，一旦有突发事件可以快速的查阅进出记录和行为记录，确定问题所在，以便采取相应的处理措施。近几年，涉密系统规模不断扩大，系统中使用的设备也逐渐增多，每种设备都带有自己的审计模块，另外还有专门针对某一种网络应用设计的审计系统，如：操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等，但是都无法做到对计算机信息系统全面的安全审计，另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况，就需要对每种设备的审计模块熟练操作，并且结合多种专用审计产品才能够做到。为了能够方便地对整个计算机信息系统进行审计，就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术，实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理，在必要时通过多种途径向管理员发出警告或自动采取排错措施，并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面： 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志，使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。三、涉密信息系统安全审计包括的内容《中华人民共和国计算机信息系统安全保护条例》中定义的计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在《计算机信息系统保密管理暂行规定》中定义为：采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该

IT运维安全审计(堡垒机)解决方案

网域NSYS运维安全审计（堡垒机）解决方案网域运维安全审计（堡垒机）提供运维用户操作以及违规事件等多种审计报表，过报表功能，即能够满足大部分客户的日常审计需求，也可满足如" 等级保护"、" 萨班斯法案"等合规性要求。同时，系统也支持通过自定义或二次开发方式进行灵活扩展。集中统一管理、安全审计、统一账号管理, 统一身份认证, 统一授权管理,统一操作审计,流程管理，单点登录，并能图像形式的回放操作员记录、使管理员操作简单快捷。运维用户通过一个统一的平台就能登录所有的目标设备，包Unix 、Linux 、Win dows月服务器以及各类网络设备。集中管理用户、设备、系统账号；集中管理用户、系统账号的密码；所有用户集中登录、集中认证；集中配置账号密码策略、访问控制策略；集中管理所有用户操作记录；访问控制 1. 根据用户角色设置分组访问控制策略； 2. 实现" 用户－系统－系统账号"的对应关系；权限控制 1. 可设置以命令为基础的权限控制策略； 2. 可支持IT 运维人员对多种远程维护方式，如字符终端方式（SSH、Telnet 、Rlogin）、图形方式（RDR X11、VNC Radmin PCAnywhere、文件传输（FTP、SFTP以及多种主流数据库工具按照用户/用户组、资源/资源组、运维时间段、运维会话时长等授权。实时的操作告警及审计机制监控告警机制能对运维用户的所有操作进行实时的控制阻断、告警及监控，避免由于一些敏感的操作导致网络中断或企业信息泄露。详尽的会话审计与回放机制系统提供运维协议Telnet 、FTP、SSH、SFTP、RDP（Windows Terminal ）、Xwindows、VNC、AS400、Http 、Https 等完整会话记录，完全满足内容审计中信息百分百不丢失的要求。 1. 能记录所有操作并能随时根据审计的需要查询任何时候任何人员所做的任何操作。 2. 提供图像形式的回放，真实、直观、可视地重现当时操作过程。 3. 能记录加密维护协议SSH数据符合法律法规

简述信息系统审计的主要内容--(出自第七单元)

第1页（共3页）管理学作业答题纸管理信息系统作业02（第5-8单元）答题纸学籍号：姓名：分数：学习中心：专业：____________ 本次作业满分为100分。请将每道题的答案写在对应题目下方的横线上。题目1 [50 分] 答：内部控制制度审计：为了保证信息系统能够安全可靠地运行，严格内部控制制度十分必要，它可以保证数据功能所产生的信息具有正确性、完整性、及时性和有效性。应用程序审计：计算机应用程序审计是信息系统审计的重要内容，这是因为企业处理经济业务的目的、原则和方法都体现在计算机程序之中，他们是否执行国家的方针政策，是否执行财经纪律和制度也往往在应用程序中体现出来。数据文件审计：数据文件审计包括由打印机打印出来的数据文件和存储在各种介质之上的数据文件的审计，包括会计凭证、会计帐本和会计报表，需要通过信息技术进行测试。主要包括三个方面：测试信息系统数据文件安全控制的有效性；测试信息系统数据文件安全控制的可靠性；测试信息系统数据文件安全控制的真实性和准确性。处理系统综合审计：对信息系统中的硬件功能、输入数据、程序和文件４个因素进行综合的审计，以确定其可靠性和准确性。系统开发审计：指对信息系统开发过程进行审计。包括两个目的：一是要检查开发的方法和程序是否科学合理，是否受到恰当的控制；

第2页（共3页）二是要检查开发过程中产生的系统资料和凭证是否符合规范。题目2 [50 分] 答：(1) 模块通常是指用一个名字就可以调用的一段程序语句为物理模块。在模块结构图中，用长方形框表示一个模块，长方形中间标上能反映模块处理功能的模块名字。模块名通常由一个动词和一个作为宾语的名词组成。 (2) 调用模块间用箭头线联接，箭尾表示调用模块，箭头表示被调用模块。箭尾菱形表示有条件调用，弧形箭头表示循环调用。调用关系有：直接调用、条件调用（判断调用）和循环调用（重复调用）。(3) 数据模块之间数据的传递，使用与调用箭头平行的带空心圆的箭头表示，并在旁边标上数据名。箭头方向表示数据传送方向。 (4) 控制信息为了指导程序下一步的执行，模块间有时还必须传送某些控制信息，例如，数据输入完成后给出的结束标志。控制信息与数据的主要区别是前者只反映数据的某种状态，不必进行处理。在模块结构图中，用带实心圆点的箭头表示控制信息。其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。二．培训的及要求培训目的安全生产目标责任书

110110天珣实用工具手册V1.1_ 天珣内网安全风险管理与审计系统V6.6.9.2

天珣实用工具手册用户手册（V6.6.9.2）启明星辰 Beijing Venustech Cybervision Co., Ltd. 2011年1月

版权声明北京启明星辰信息安全技术有限公司版权所有，并保留对本手册及本声明的最终解释权和修改权。本手册中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。本文档中的信息归北京启明星辰信息安全技术有限公司所有并受著作权法保护。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得仿冒。信息更新本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提供信息，并且随时可由北京启明星辰信息安全技术有限公司（下称“启明星辰”）更改或撤回。免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。北京启明星辰信息安全技术有限公司可能已经拥有或正在申请与本文档主题相关的各项专利。提供本文档并不表示授权您使用这些专利。您可将许可权查询资料用书面方式寄往北京启明星辰信息安全技术有限公司。北京启明星辰信息安全技术有限公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本手册中的遗漏、不准确、或错误导致的损失和损害承担责任。出版时间 2011年1月10日

1.天珣实用工具说明 (4) 2.天珣客户端诊断工具 (4) 3.天珣服务器诊断工具 (5) 4.客户端卸载工具 (6) 5.Winmd5Hash.exe (7) 6.离线同步工具 (9)

运维安全管理与审计系统白皮书

360运维安全管理与审计系统产品白皮书 2017年2月

目录 1.产品概述 (3) 2.产品特点 (3) 健全的账号生命周期管理 (3) 丰富多样的安全认证机制 (4) 细粒度的访问授权与控制 (4) 监控与敏感过程回放 (4) 性能资源弹性调度 (5) 成熟的高可用性机制 (5) 3.主要功能 (5) SSO单点登录 (5) 集中账号管理 (5) 集中身份认证 (6) 统一资源授权 (6) 集中访问控制 (6) 集中操作审计 (6) 4.核心功能列表 (7) 5.产品价值 (8) 规范运维管理 (8) 降低资源风险 (8) 提高管理效益 (8) 过程透明可控 (8) 完善责任认定 (8) 满足各组织合规要求 (8)

1.产品概述随着企业信息系统规模的不断扩大，业务范围的快速扩张，运维工作量也随之增多。在运维过程中存在事前身份不确定、授权不清晰，事中操作不透明、过程不可控，事后结果无法审计、责任不明确导致客户业务及运维服务面临安全风险。 360运维安全管理与审计系统是针对政府、金融、医疗、电力、教育、能源、企业、军队、海关等重点行业客户推出的，主要解决事企业IT运维部门账号难管理，身份难识别，权限难控制，操作过程难监控，事件责任难定位等问题。360运维安全管理与审计系统基于软硬件一体化设计，集账号、认证、授权、审计为一体的设计理念，实现对事企业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计。对运维人员整个操作过程处于可管、可控、可见、可审的状态，为事企业IT中心运维构建一套事前预防、事中监控、事后审计完善的运维管理体系。 2.产品特点健全的账号生命周期管理通过主从账号分离的方式来将账号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权，并针对自然人的行为审计。密码强度策略对主从账号密码强度进行监测，强制对密码强度进行修改至符合强度要求才可进行修改或登录。 360运维安全管理与审计系统提供账号密码到期提醒功能，强制对密码到期的用户进行密码修改，结合密码强度实现定期对密码按照密码强度强制修改。 360运维安全管理与审计系统可对用户帐号密码、资源帐号密码按照密码策略要求进行定期、定时自动变更密码，防止口令因为过于简单易于猜测而被破解

信息系统安全审计管理制度

信息系统安全审计管理制度第一章工作职责安排第一条安全审计员职责 1.制定信息安全审计的范围和曰程； 2.管理详尽的审计过程； 3.分析审计结果并提出对信息安全管理体系的改进意见； 4.召开审计启动会议和审计总结会议； 5.向主管领导汇报审计的结果及建议； 6.为相关人员提供审计培训。第二条评审员甶审计负责人指派，协助主评审员进行评审,其职责是： 1.准备审计清单； 2.实施审计过程； 3.完成审计拫告； 4.提交纠正和预防措施建议； 5.审查纠正和预防措施的执行情况。第三条受审员来自相关部门 1.配合评审员的审计工作； 2.落实纠正和预防措施； 3.提交纠正和预防措施的实施报告。第二章审计计划的制订第四条审计计划应包括以下内容：

1.审计的目的； 2.审计的范围； 3.审计的准则； 4.审计的时间； 5.主要参与人员及分工情况。第五条制定审计计划应考虑以下因素： 1.每年应进行至少一次涵盖所有部门的审计； 2.当进行巨大变更后（如架抅、业务方向等)，需要进行一次涵盖所有部门的审计。第三草安全审计实施第六条审计的准备 1 .评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单，其内容主要包括： (1)需要访问的人员和调查的问题； (2)需要查看的文档和记录（包括日志)； (3)需要现场查看的安全控制措施。第七条在进行实际审计前，召开启动会议，其内容主要包括: 1,评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议，受审员应提出声明（例如：限制可访问的人员、可调查的系统等）； 2.向受审员说明审计通过抽查的方式来进行。

网络安全审计系统的实现方法

网络安全审计系统的实现方法司法信息安全方向王立鹏1 传统安全审计系统的历史传统的安全审计系统早在70年代末、80年代初就已经出现在某些UNDO系统当中，其审计的重点也是本主机的用户行为和系统调用。在随后的20年间，其他的各个操作系统也有了自己的安全审计工具，如符合C2安全级别的Windows NT, Nnux的syslog机制以及SUN 13SM等。 2 常用安全措施的不足和基于网络的安全审计系统的出现近几年来，随着开放系统Internet的飞速发展和电子商务的口益普及，网络安全和信息安全问题日益突出，各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多，特别是防火墙技术以及IDS(人侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。 2.1防火墙技术的不足防火墙技术是发展时间最长，也是当今防止网络人侵行为的最主要手段之一，主要有包过滤型防火墙和代理网关型防火墙两类。其主要思想是在内外部网络之间建立起一定的隔离，控制外部对受保护网络的访问，它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟的一种技术，但是由于防火墙技术自身存在的一些缺陷，使其越来越难以完全满足当前网络安全防护的要求。包过滤型防火墙如只实现了粗粒度的访问控制，一般只是基于IP地址和服务端口，对网络数据包中其他内容的检查极少，再加上其规则的配置和管理极其复杂，要求管理员对网络安全攻击有较深人的了解，因此在黑客猖撅的开放Internet系统中显得越来越难以使用。而代理网关防火墙虽然可以将内部用户和外界隔离开来，从外部只能看到代理服务器而看不到内部任何资源，但它没有从根本上改变包过滤技术的缺陷，而且在对应用的支持和速度方面也不能令人满意 2.2入侵检测技术的不足人侵检测技术是防火墙技术的合理补充，能够对各种黑客人侵行为进行识别，扩展了网络管理员的安全管理能力。一般来说，人侵检测系统(IDS)是防火墙之后的第二层网络安全防护机制。目前较为成熟的IDS系统可分为基十主机的IDS和基于网络的IDS两种。基于主机的IDS来源于系统的审计日志，它和传统基于主机的审计系统一样一般只能检测发生在本主机上面的人侵行为。基于网络的IDS系统对网络中的数据包进行监测，对一些有人侵嫌疑的包作出报警。人侵检测的最大特色就是它的实时性…准实时性)，它能在出现攻击的时候发出警告，让管理人员在在第一时间了解到攻击行为的发生，并作出相应措施，以防止进一步的危害产生。实时性的要求使得人侵检测的速度性能至关重要，因此决定了其采用的数据分析算法不能过于复杂，也不可能采用长时间窗分析或把历史数据与实时数据结合起来进行分析，所以现在大

网络安全审计系统(数据库审计)解决方案

数据库审计系统技术建议书

目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计....................... 错误！未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计........................... 错误！未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书......................... 错误！未定义书签。

1.综述随着计算机和网络技术发展，信息系统的应用越来越广泛。数据库做为信息技术的核心和基础，承载着越来越多的关键业务系统，渐渐成为商业和公共安全中最具有战略性的资产，数据库的安全稳定运行也直接决定着业务系统能否正常使用。围绕数据库的业务系统安全隐患如何得到有效解决，一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商，结合多年的安全研究经验，提出如下解决思路：管理层面：完善现有业务流程制度，明细人员职责和分工，规范内部员工的日常操作，严格监控第三方维护人员的操作。技术层面：除了在业务网络部署相关的信息安全防护产品（如FW、IPS 等），还需要专门针对数据库部署独立安全审计产品，对关键的数据库操作行为进行审计，做到违规行为发生时及时告警，事故发生后精确溯源。不过，审计关键应用程序和数据库不是一项简单工作。特别是数据库系统，服务于各有不同权限的大量用户，支持高并发的事务处理，还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求，还会降低数据库性能并增加管理费用。 2.需求分析随着信息技术的发展，XXX已经建立了比较完善的信息系统，数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露，轻则造成企业或者社会的经济损失，重则影响企业形象甚至社会安全。通过对XXX的深入调研，XXX面临的安全隐患归纳如下：

天珣内网安全风险管理与审计系统

天珣内网安全风险管理与审计系统安装配置手册（V6.6.9.4）启明星辰 Beijing Venustech Cybervision Co., Ltd. 2012年11月

版权声明北京启明星辰信息安全技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得侵犯。免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

目录版权声明 (1) 免责条款 (1) 信息反馈........................................... 错误!未定义书签。1综述 . (4) 2安装环境及要求 (4) 3.天珣内网安全风险管理与审计系统主要组件介绍 (6) 3.1.服务器组件 (6) 3.1.1. 中心策略服务器 (6) 3.1.2. 本地策略服务器 (6) 3.1.3. 资产管理服务器................................错误!未定义书签。 3.1.4. Radius服务器 (6) 3.1.5. 攻击告警服务器 (6) 3.1.6. 软件分发服务器 (7) 3.1.7. HOD远程桌面服务器 (7) 3.2.策略网关组件 (7) 3.2.1. 策略网关代理 (7) 3.2.2. 中性策略网关 (7) 3.2.3. IIS策略网关 (8) 3.2.4. ISA策略网关 (8) 3.2.5. EXCHANGE策略网关 (8) 3.2.6. DNS策略网关及旁路监听式DNS策略网关 (8) 3.2.7. 客户端 (9) 3.2.8. 按需支援管理端 (9) 3.2.9. 客户端打包程序 (9) 4.天珣内网安全风险管理与审计系统的安装 (9) 4.1.快速安装 (10) 4.1.1 快速安装部署 (10) 4.1.2 基本配置 (27) 4.2.自定义安装 (31) 4.2.1 自定义安装中心服务器 (32) 4.3.本地服务器的安装配置 (33) 4.3.1 添加策略服务器 (37) 4.4.策略网关配置 (38) 4.4.1 添加策略网关代理 (38) 4.4.2 安装中性策略网关 (39) 4.5.远程桌面的系统配置 (46) 4.5.1 安装添加远程桌面服务器 (46) 4.5.2 添加远程桌面管理员 (46) 4.5.3 安装按需支援管理员端程序 (47) 4.5.4 用户请求管理员远程帮助 (49) 4.6.软件分发安装与配置 (49) 4.6.1 安装软件分发服务器 (49)

信息安全审计报告

涉密计算机安全保密审计报告审计对象：xx计算机审计日期：xxxx年xx月xx日审计小组人员组成：姓名：xx 部门：xxx 姓名：xxx 部门：xxx 审计主要内容清单： 1. 安全策略检查 2. 外部环境检查 3. 管理人员检查审计记录篇二：审计报告格式审计报告格式一、引言随着网络的发展，网络信息的安全越来越引起世界各国的重视，防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用，但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展，发现由于内部人员造成的泄密或入侵事件占了很大的比例，所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视，要做到这点就需要在网络中实现对网络资源的使用进行审计。在当今的网络中各种审计系统已经有了初步的应用，例如：数据库审计、应用程序审计以及网络信息审计等，但是，随着网络规模的不断扩大，功能相对单一的审计产品有一定的局限性，并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一，跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。二、什么是安全审计国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖)，简称“五性”。安全审计是这“五性”的重要保障之一，它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计，记录所有发生的事件，提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统，不论是什么人进出银行，都进行如实登记，并且每个人在银行中的行动，乃至一个茶杯的挪动都被如实的记录，一旦有突发事件可以快速的查阅进出记录和行为记录，确定问题所在，以便采取相应的处理措施。近几年，涉密系统规模不断扩大，系统中使用的设备也逐渐增多，每种设备都带有自己的审计模块，另外还有专门针对某一种网络应用设计的审计系统，如：操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等，但是都无法做到对计算机信息系统全面的安全审计，另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况，就需要对每种设备的审计模块熟练操作，并且结合多种专用审计产品才能够做到。为了能够方便地对整个计算机信息系统进行审计，就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术，实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理，在必要时通过多种途径向管理员发出警告或自动采取排错措施，并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面： 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志，使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。

安全审计系统

第二章招标项目内容、数量、规格和技术要求核心数据和核心设备的安全是数据中心管理的重中之重。05年以来我市劳动保障数据中心网络安全防护管理不断加强，陆续配置了防火墙、防毒墙、网闸等安全设备，建立了数据级异地容灾系统，较好地保障了劳动保障网络信息系统的稳定安全运行。但因经费等原因，数据中心在核心设备和核心数据安全防护方面还相对较弱，按照劳动保障网络信息系统安全等级保护的要求和数据中心网络安全管理实际需要，为进一步完善劳动保障网络信息系统安全防护体系，提出本次网络安全设备采购需求。一、网络安全设备采购需求（一）网络安全设备采购清单：分类设备名称基本目的基本参数要求数量备注网络安全防御千兆防火墙防护核心数据安全，提高整个网络可靠性 2U机架式结构；最大配置不少于24个接口，现配8个千兆SFP（含4个原厂SFP光模块）和8 个10/100/1000BASE－TX电接口，2个 10/100/1000BASE－TX管理口。要求接口支持STP 协议。网络吞吐量不少于5G，最大并发连接数不少于200万，每秒最大新建连接数不少于5万，现配置双电源。 2台原厂三年质保 IPS入侵防御系统抵御网络攻击，防护网络系统安全 1U机架式结构，最大配置不少于24个接口，现配4个SFP口（含4个原厂SFP光模块）和4个 10/100/1000BASE－TX接口，支持4路Bypass 功能，2个10/100/1000BASE－TX管理口，吞吐量不少于6G，具有3000条以上的攻击事件，三年特征库升级服务 1台原厂三年质保网络交换设备24口二层交换机根据网络整合需要添置，与核心交换机H3C 9508对接 H3C S5100-24P-SI 24个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口（Combo） 4台原厂三年质保

运维安全审计

运维安全审计配置运维审计整体解决方案

目录 1. 概述 (3) 2. 解决方案介绍 (4) 2.1业务目标 (4) 2.2解决方案 (4) 2.3方案亮点 (6) 3. 典型应用场景 (7)

1.概述据权威机构统计，80%的系统和系统故障与配置的漏洞和变更有关；在有计划的系统变更中，有60%的系统故障因系统配置的缺陷引起。系统的配置指挥着系统如何的运行，如果配置出现差错，系统故障是随之而来的。但是，面对各类繁杂、数量众多的IT设备，如何才能高效、合理的管理设备和应用的配置却不是一件简单的事情。主要体现在如下几个方面： ●很多同类型的设备需要重复性的去配置，每次巡检的时候，需要人工进行逐一核查。效率低下，而且极易出错。 ●设备数量和类型众多，配置文件的存在形式，操作方式，配置项目都不一样。管理起来非常的复杂。 ●配置的变更如何控制？如何检测非法的配置变更，管理人员也没有一个完整的视图来观察设备配置的变化情况，变化趋势。 ●配置的备份都放到管理员自己的电脑上，特别是多人配置的时候，会有不同的配置版本出来，当出现故障进行恢复的时候，一是都找不到最后正常运行时候的配置文件。 ●行业法规，企业法规的遵从上，也无法进行定期的检查。 ●设备的配置效果如何，是否存在安全上的漏洞，新的漏洞发布了后，涉及到配置上的更改是否及时进行了。都无从强制的贯彻下去。秉承着”客户的困难就是我们的困难，客户的成功就是我们的成功”的理念，我们推出了IT设备与系统配置管理的方案。本解决方案可以帮助您建立集中的自动化管理平台，实现对服务器，IT系统，应用的统一操作和管理，有效的减低认为操作的失误，保姆式的监控和管理IT系统的配置状况和对系统设备配置的非法操作，配置的合理性等多个方面。它针对各种开放平台（Windows, AIX, HP-UX, SUSE, Redhat, Solaris 等），中间件，网络设

运维安全审计系统H运维管理员使用手册

运维安全审计系统（HAC）运维管理员手册广州江南科友科技股份有限公司 2012年3月

1前言 1.1 概述本文档为运维安全审计系统的运维管理员使用手册，是运维管理员使用HAC的操作指南。 1.2 阅读说明本手册包含运维管理员的全部日常操作，主要是与运维相关的操作。包含如何添加用户（组），如何添加资源（组），怎样给用户进行授权，并且分配该用户能自动登录使用的帐户，以及定义应用发布，如何对运维方面的配置进行设置。 1.3 适用版本本手册，适用于的发布版。 1.4 使用环境 HAC的运维管理员使用WEB登录方式作为用户界面。HAC的运维管理员，可以使用Microsoft Internet Explore或以其为内核的其他浏览器，因部分控件的兼容问题，如果您使用的是IE 8浏览器，请在兼容模式下进行运行。

2准备工作 2.1 确定用户即确定运维人员的用户名、授权信息（主要是指某运维人员可以通过哪些协议访问哪些核心服务器或网络设备）。 2.2 确定访问服务器的协议该内容是准备工作的重点，主要是确定核心服务器提供何种类型的运维协议供运维终端访问，即确定运维终端使用Telnet、SSH、FTP、SFTP、RDP、HTTP、HTTPS、AS400、XWIN 和VNC的哪些协议、端口去访问核心服务器进行日常运行维护操作。 2.3 确定自动登录帐户该内容是为运维用户进行自动登录（SSO）做配置，主要是确定核心服务器提供的后台登录帐户可以由哪个运维用户使用。如果，您所在的公司有独立的口令管理员，则帐户分配的

网络安全审计

网络安全审计系统的实现方法 1 传统安全审计系统的历史传统的安全审计系统早在70年代末、80年代初就已经出现在某些UNDO系统当中，其审计的重点也是本主机的用户行为和系统调用。在随后的20年间，其他的各个操作系统也有了自己的安全审计工具，如符合C2安全级别的Windows NT, Nnux的syslog机制以及SUN 13SM等。 2 常用安全措施的不足和基于网络的安全审计系统的出现近几年来，随着开放系统Internet的飞速发展和电子商务的口益普及，网络安全和信息安全问题日益突出，各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多，特别是防火墙技术以及IDS(人侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。 2.1防火墙技术的不足防火墙技术是发展时间最长，也是当今防止网络人侵行为的最主要手段之一，主要有包过滤型防火墙和代理网关型防火墙两类。其主要思想是在内外部网络之间建立起一定的隔离，控制外部对受保护网络的访问，它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟的一种技术，但是由于防火墙技术自身存在的一些缺陷，使其越来越难以完全满足当前网络安全防护的要求。包过滤型防火墙如只实现了粗粒度的访问控制，一般只是基于IP地址和服务端口，对网络数据包中其他内容的检查极少，再加上其规则的配置和管理极其复杂，要求管理员对网络安全攻击有较深人的了解，因此在黑客猖撅的开放Internet系统中显得越来越难以使用。而代理网关防火墙虽然可以将内部用户和外界隔离开来，从外部只能看到代理服务器而看不到内部任何资源，但它没有从根本上改变包过滤技术的缺陷，而且在对应用的支持和速度方面也不能令人满意 2.2入侵检测技术的不足人侵检测技术是防火墙技术的合理补充，能够对各种黑客人侵行为进行识别，扩展了网络管理员的安全管理能力。一般来说，人侵检测系统(IDS)是防火墙之后的第二层网络安全防护机制。目前较为成熟的IDS系统可分为基十主机的IDS和基于网络的IDS两种。

运维安全审计-技术简介

产品简介运维安全审计系统（HAC）着眼于解决关键IT基础设施运维安全问题。它能够对Unix和Windows主机、服务器以及网络、安全设备上的数据访问进行安全、有效的操作审计，支持实时监控和事后回放。HAC补了传统审计系统的不足，将运维审计由事件审计提升为内容审计，集身份认证、授权、审计为一体，有效地实现了事前预防、事中控制和事后审计。审计要求针对安然、世通等财务欺诈事件，2002年出台的《公众公司会计改革和投资者保护法案》（Sarbanes-Oxley Act）对组织治理、财务会计、监管审计制定了新的准则，并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。与此同时，国内相关职能部门亦在内部控制与风险管理方面制定了相应的指引和规范。由于信息系统的脆弱性、技术的复杂性、操作的人为因素，在设计以预防、减少或消除潜在风险为目标的安全架构时，引入运维管理与操作监控机制以预防、发现错误或违规事件，对IT风险进行事前防范、事中控制、事后监督和纠正的组合管理是十分必要的。 IT系统审计是控制内部风险的一个重要手段，但IT系统构成复杂，操作人员众多，如何有效地对其进行审计，是长期困扰各组织的信息科技和风险稽核部门的一个重大课题。解决之道 XX因市场对IT运维审计的需求，集其多年信息安全领域运维管理与安全服务的经验，结合行业最佳实践与合规性要求，率先推出基于硬件平台的“运维安全审计系统（HAC）”，针对核心资产的运维管理，再现关键行为轨迹，探索操作意图，集全局实时监控与敏感过程回放等功能特点，有效解决了信息化监管中的一个关键问题。系统功能 - 完整的身份管理和认证解决IT系统中普遍存在的交叉运维而无法定位到具体人的问题，满足审计系统“谁做的”要求，支持静态口令、动态口令、LDAP、AD域证书KEY等认证方式； - 灵活、细粒度的授权系统提供基于用户、运维协议、目标主机、运维时间段（年、月、日、周、时间）、会话时长、运维客户端IP等组合的授权功能，实现细粒度授权功能，满足用户实际授权的需求。 - 后台资源自动登陆后台资源自动登陆功能是运维人员通过HAC认证和授权后，HAC根据配置策略实现后台资源的自动登录。此功能提供了运维人员到后台资源帐户的一种可控对应，同时实现了对后台资源帐户的口令统一保护。 - 实时监控提供在线运维的操作的实时监控功能。针对命令交互性协议可以图像方式实时监控正在运维的各种操作，其信息与运维客户端所见完全一致。 - 违规操作实时告警与阻断针对运维过程中可能存在潜在操作风险，HAC根据用户配置的安全策略实施运维过程中的违规操作检测，对违规操作提供实时告警和阻断，从而达到降低操作风险及提高安全管理与控制的能力。 - 完整记录网络会话过程系统提供运维协议Telnet、FTP、SSH、SFTP、RDP（Windows Terminal）、Xwindows、VNC、AS400等网络会话的完整会话记录，完全满足内容审计中信息百分百不丢失的要求。 - 详尽的会话审计与回放 HAC提供视频回放的审计界面，以真实、直观、可视的方式重现操作过程。 - 完备的审计报表功能 HAC提供运维人员操作，管理员操作以及违规事件等多种审计报表。 - 各类应用运维操作审计功能

主机运维安全审计产品技术白皮书-V3.5

金融行业运维安全审计系统技术白皮书东华软件股份公司 2011年4月

目录 1.........................................................................................................................................审计要求 1 2解决之道 (2) 2.1HAC简介 (2) 2.2应用环境 (2) 2.3认证资质 (3) 3产品介绍 (4) 3.1系统功能 (4) 3.1.1完整的身份管理和认证 (4) 3.1.2灵活、细粒度的授权 (4) 3.1.3后台资源自动登陆 (4) 3.1.4实时监控 (5) 3.1.5违规操作实时告警与阻断 (5) 3.1.6完整记录网络会话过程 (5) 3.1.7详尽的会话审计与回放 (6) 3.1.8完备的审计报表功能 (6) 3.1.9各类应用运维操作审计功能 (6) 3.1.10可结合ITSM（IT服务管理） (7) 3.1.11其他功能 (7) 3.2系统部署 (7) 3.3系统特点 (9) 3.3.1支持Unix和W indows平台下运维操作审计 (9) 3.3.2更严格的审计管理 (9) 3.3.3分权管理机制 (9) 3.3.4部署灵活、操作方便 (9) 3.3.5完善的系统安全设计 (9) 3.4与网络审计类产品比较 (9)

4技术指标 (11) 4.1型号说明 (11) 4.2HAC1000接口配置 (13) 4.3HAC1000兼容性 (13) 5典型案例 (14) 5.1现状描述 (14) 5.2部署方案 (15) 5.3方案特点 (15)

网络安全审计系统需求分析

安全审计系统需求分析关键字：行为监控，内容审计摘要：系统集内容审计与行为监控为一体，以旁路的方式部署在网络中，实时采集网络数据，并按照指定策略对数据进行过滤，然后将数据所体现的内容和行为特性一并存在到数据服务器上。向用户提供审计分析功能，以及后期取证功能。需求背景按等级进行计算机信息系统安全保护的相关单位或部门，往往需要对流经部门与外界接点的数据实施内容审计与行为监控的，以防止非法信息恶意传播及国家机密、商业知识和知识产权等信息泄露。并且单位的网管部门需要掌握网络资源的使用情况，提高单位或部门的工作效率。所涉及的单位类型有政府、军队机关的网络管理部门，公安、保密、司法等国家授权的网络安全监察部门，金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心，大中型企业网络管理中心等。一、实现的效果和目的 a. 对用户的网络行为监控、网络传输内容审计（如员工是否在工作时间上网冲浪、聊天，是否访问不健康网站，是否通过网络泄漏了公司的机密信息，是否通过网络传播了反动言论等）。 b. 掌握网络使用情况（用途、流量），提高工作效率。 c. 网络传输信息的实时采集、海量存储。 d. 网络传输信息的统计分析。 e. 网络行为后期取证。 f. 对网络潜在威胁者予以威慑。二、典型的系统组成安全审计系统由三部分组成：审计引擎、数据中心、管理中心。图1 ：典型的单点部署审计引擎（硬件）：审计引擎对流经HUB/Switch的信息进行采集、过滤、重组、预分析，

并把分析后的数据流发送给数据中心。数据中心（软件）：对审计引擎传送过来的数据流进行存储；按照用户的指令对数据进行还原、解码、解压缩，并可进行关键字查询审计、统计分析。管理中心（软件）：提供WEB形式的管理界面，可以方便的对系统进行管理、对网络行为监控、内容审计。用户使用WEB浏览器可以实现对整个系统的管理、使用。图2：适合多级管理的分布式部署三、所需功能细分 1．量监控与统计功能对重要IP进行流量监测，并绘制出直观的流量曲线图，有效发现网上出现的异常流量。支持对历史流量统计分析。 2．持多种应用协议议的还原、审计 Web浏览（HTTP）——能完全截获、记录、回放、归档被监测网络中所有用户浏览的WEB内容。电子邮件（POP3、SMTP、WEB MAIL）——能完全截获、记录、回放、归档被监测网络中所有用户收发的电子邮件。文件下载(FTP)——能记录、查询访问FTP服务器的用户名、口令。回放用户在服务器上的操作过程、还原用户传输的数据。即时聊天（例如MSN、QQ等）——能完全记录用户登录时间、离开时间；用户登录IP地址、目的IP地址；聊天时使用的用户名；能监视用户聊天频率、还原用户聊天内容。流媒体（MMS、RTSP）——能记录用户访问的流媒体地址，访问开始时间、结束时间，访问流媒体名称及简介。远程登录（TELNET）——能记录和查询访问服务器上TELNET的用户名和口令字；

运维安全审计系统(HAC)_口令管理员手册

运维安全审计系统（HAC）口令管理员手册广州江南科友科技股份有限公司 2010年5月

目录 1.前言 (2) 1.1 概述 (2) 1.2 阅读说明 (2) 1.3 适用版本 (2) 1.4 使用环境 (2) 2.准备工作 (3) 2.1 确定设备对应的帐户 (3) 2.2 确定统一帐户进行运维的用户 (3) 3.首次登陆 (4) 4.统一帐户管理 (6) 5.设备帐户管理 (9) 5.1 设备帐户管理 (9) 5.2 设备帐户托管 (11) 5.3 设备帐户获取 (13) 6.SSO配置 (15) 6.1 配置模板 (15) 6.2 配置内容 (17) 7.口令管理配置 (19) 8.密函打印审批 (20) 9.技术支持 (21)

1.前言 1.1 概述本文档为运维安全审计系统的口令管理员使用手册，是口令管理员使用HAC的操作指南。 1.2 阅读说明本手册包含口令管理员的全部日常操作，主要是与后台核心服务器的帐户密码管理相关的操作。包含如何添加统一主机帐户，如何添加设备帐户，怎样进行设备口令的托管，帐户的获取，如何根据主机的个性配置情况进行自动登录配置文件的调整，以及与口令相关的配置。 1.3 适用版本本手册，依据HAC 3.6.5374E版本编写，适用于3.6的发布版。 1.4 使用环境 HAC的运维管理员使用WEB登录方式作为用户界面。HAC的运维管理员，可以使用Microsoft Internet Explore或以其为内核的其他浏览器，因部分控件的兼容问题，如果您使用的是IE 8浏览器，请在兼容模式下进行运行。