网镜业务认证审计系统产品经典白皮书

精心整理安恒信息明御WEB应用防火墙产品白皮书摘要：本文档描述了杭州安恒信息技Web用防火的主要功能及特点⋯关：Web用防火，Web平安，安恒信息概述Web网站是企和用、合作伙伴及工的快速、高效的交流平台。

Web网站也容易成黑客或意程序的攻目，造成数据失，网站改或其他平安威。

根据国家算机网急技理中心〔称CNCERT/CC〕的工作告示：目前中国的互网平安状况仍不容。

各种网平安事件与去年同期相比都有明增加。

政府和平安管理相关网站主要采用改网的攻形式，以到达泄和炫耀的目的，也不排除放置意代的可能，致政府网站存在平安患。

中小企，尤其是以网核心的企，采用注入攻、跨站攻以及用拒服攻〔DenialOfService〕等，影响的正常开展。

2007年到2021年上半年，中国大被改网站的数量相比往年于明上升。

1.1.常见攻击手法目前的用和网攻方法很多，些攻被分假设干。

下表列出了些最常的攻技，其中最后一列描述了安恒WAF如何攻行防。

表1.1:对不同攻击的防御方法攻方式描述安恒WAF的防方法跨站脚本攻跨站脚本攻利用网站漏洞攻那通用流量，阻止些站点的用，常目的是窃各种意的脚本插入到取站点者相关的用登或URL,header及form中。

信息。

SQL注入攻者通入一段数据代通用流量，窃取或修改数据中的数据。

是否有危的数据命令或句被插入到URL,header及form中。

精心整理命令注入攻击者利用网页漏洞将含有操作系通过检查应用流量，检测统或软件平台命令注入到网页访问并阻止危险的系统或软件语句中以盗取数据或后端效劳器的平台命令被插入到控制权。

URL,header及form中。

cookie/seesion Cookie/seesion通常用于用户身份通过检查应用流量，拒绝劫持认证，并且可能携带用户敏感的登陆伪造身份登录的会话访信息。

攻击者可能被修改问。

Cookie/seesion提高访问权限，或伪装成他人的身份登陆。

参数〔或表单〕通过修改对URL、header和form利用参数配置文档检测应篡改中对用户输入数据的平安性判断，并用中的参数，仅允许合法且提交到效劳器。

绿盟安全审计系统产品白皮书© 2011 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，并受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■商标信息绿盟科技、NSFOCUS、绿盟是绿盟科技的商标。

目录一. 前言 (1)二. 为什么需要安全审计系统 (1)2.1安全审计的必要性 (2)2.2安全审计系统特点 (3)三. 如何评价安全审计系统 (3)四. 绿盟科技安全审计系统 (4)4.1产品功能 (4)4.2体系架构 (5)4.3产品特点 (7)4.3.1 网络事件“零遗漏”审计 (7)4.3.2 高智能深度协议分析 (7)4.3.3 全面精细的敏感信息审计 (7)4.3.4 多维度网络行为审计 (7)4.3.5 全程数据库操作审计 (8)4.3.6 业界首创“网站内容安全”主动审计 (9)4.3.7 强劲的病毒检测能力 (9)4.3.8 基于协议的流量分析 (10)4.3.9 基于对象的虚拟审计系统 (10)4.3.10 强大丰富的管理能力 (10)4.3.11 审计信息“零管理” (12)4.3.12 方便灵活的可扩展性 (13)4.3.13 高可靠的自身安全性 (13)4.4解决方案 (13)4.4.1 小型网络之精细审计方案 (13)4.4.2 中型网络之集中审计方案 (14)4.4.3 大型网络之分级审计方案 (15)五. 结论 (16)插图索引图2.1 信息安全体系结构模型 (2)图4.1 绿盟安全审计系统功能 (4)图4.2 绿盟SAS典型部署 (5)图4.3 绿盟安全审计体系结构 (6)图4.4 绿盟SAS数据库审计 (8)图4.5 主动审计 (9)图4.6 虚拟审计系统 (10)图4.7 单级管理 (11)图4.8 主辅管理 (11)图4.9 多级管理 (12)图4.10 小型网络之精细审计方案 (14)图4.11 中型网络之集中审计方案 (15)图4.12 大型网络之分级审计方案 (16)一. 前言随着信息技术的日新月异和网络信息系统应用的发展，网络技术的应用层次正在从传统的、小型业务系统逐渐向大型、关键业务系统扩展，政府、企业用户的网络应用也逐渐增多。

绿盟安全审计系统-堡垒机产品白皮书【绿盟科技】■文档编号产品白皮书■密级完全公开■版本编号■日期2013-1-8■撰写人刘敏■批准人段小华2020 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■版本变更记录时间版本说明修改人2011-12-13新建，根据更新内容刘敏2013-1-8根据V版本更新内容刘敏2013-7-19根据版本特性更新内容赵永2014-2-12根据版本特性更新内容刘敏目录插图索引一. IT安全运维管理的变革刻不容缓随着信息化的发展，企事业单位IT系统不断发展，网络规模迅速扩大、设备数量激增，建设重点逐步从网络平台建设，转向以深化应用、提升效益为特征的运行维护阶段， IT系统运维与安全管理正逐渐走向融合。

信息系统的安全运行直接关系企业效益，构建一个强健的IT运维安全管理体系对企业信息化的发展至关重要，对运维的安全性提出了更高要求。

目前，面对日趋复杂的IT系统，不同背景的运维人员已给企业信息系统安全运行带来较大潜在风险，主要表现在：1.账号管理无序，暗藏巨大风险多个用户混用同一个账号这种情况主要出现在同一工作组中，由于工作需要，同时系统管理账号唯一，因此只能多用户共享同一账号。

不仅在发生安全事故时难以定位账号的实际使用者和责任人，而且无法对账号的使用范围进行有效控制，存在较大安全隐患。

一个用户使用多个账号目前，一个维护人员使用多个账号是较为普遍的情况，用户需要记忆多套口令同时在多套主机系统、网络设备之间切换。

如果设备数量达到几十甚至上百台时，维护人员进行一项简单的配置需要分别逐一登录相关设备，其工作量和复杂度成倍增加，直接导致的后果是工作效率低下、管理繁琐甚至出现误操作，影响系统正常运行。

图 1.1 用户与账号的关系现状2.粗放式权限管理，安全性难以保证大多数企事业单位的IT运维均采用设备、操作系统自身的授权系统，授权功能分散在各设备和系统中。

明御WEB应用监控审计系统白皮书一、基于WEB的企业关键应用面临的安全挑战随着互联网技术的迅猛发展，许多企业的关键业务活动越来越多地依赖于WEB应用，在企业向客户提供通过浏览器访问企业信息功能的同时，企业所面临的风险在不断增加。

主要表现在两个层面：一是随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗。

然而与之形成鲜明对比的却是：现阶段的安全解决方案无一例外的把重点放在网络安全层面，致使面临应用层攻击(如：针对WEB应用的SQL注入攻击、跨站脚本攻击、恶意文件包含等等)发生时，传统的网络防火墙、IDS/IPS等安全产品形同虚设。

在如此众多因素的综合影响下，使得Web应用潜在的隐患越来越频繁的暴露在互联网之下。

常见的Web攻击分为两类：一是利用Web服务器的漏洞进行攻击，如CGI 缓冲区溢出，目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击，如SQL注入，跨站脚本攻击等。

据OWASP(开放式 WEB应用程序安全项目)2007年上半年发布的10大WEB应用脆弱性排名显示，“跨站脚本攻击、注入式攻击、不安全的远程文件包含”已经成为影响 WEB应用安全的首要问题。

而在国内，据国家计算机网络应急技术处理协调中心的统计数据显示，2007年上半年中国的互联网安全状况仍不容乐观，各种网络安全事件与去年同期相比都有明显增加、被植入木马的主机数量大幅攀升。

攻击者的目标明确、趋利化特点明显，针对不同网站所采用的攻击手段不同，对于政府类或安全管理相关网站，攻击者主要采用篡改网页、放置恶意代码等攻击形式，干扰正常业务的开展(如利用网络钓鱼和网址嫁接等对金融机构、网上交易等站点进行网络仿冒)、蓄意破坏政府或企业形象，严重的导致网站被迫停止服务。

对于个人用户，攻击者更多的是通过用户身份窃取(如：利用间谍软件和木马程序等)手段，偷取用户游戏账号、银行账号、密码等，窃取用户的私有财产。

东软东软NetEye数据库审计系统技术白皮书NetEye数据库审计系统目录一、前言 (4)二、数据库安全建设的必要性 (5)2.1合规指导要求 (7)2.2提高安全水平 (9)2.3促进稳定运行 (10)2.4对传统安全体系进行强化 (11)2.4.1传统安全设备的薄弱点 (11)2.4.2数据库自身审计的局限性 (12)三、东软NETEYE数据库审计系统简介 (13)3.1主要应用目标 (13)3.2功能模块构成 (14)3.3产品架构设计 (15)3.4专门保护SQL应用 (17)四、主要功能模块 (17)4.1数据库审计与分析 (17)4.1.1详细日志记录 (18)4.1.2本地审计代理 (19)4.1.3双向审计能力 (19)4.1.4三层关联分析 (19)4.1.5自我审计机制 (20)4.1.6多级管理体系 (20)4.1.7全程监控跟踪 (20)4.1.8多种告警方式 (21)4.1.9敏感数据隐藏 (21)4.1.10非法攻击检测 (21)4.1.11旁路阻断防御 (21)4.1.12应用代理模式 (22)NetEye数据库审计系统4.1.13规则导入导出 (22)4.1.14攻击回放追溯 (22)4.1.15角色分权管理 (22)4.1.16数据报表与分析 (23)4.2数据库过滤防护 (24)4.2.1消除隐蔽通道 (24)4.2.2强力访问控制 (25)4.2.3数据库攻击防御 (26)4.2.4自动学习建模 (27)4.2.5保证口令强度 (27)4.3数据库状态监控 (27)4.3.1Oracle监控 (27)4.3.2SQL Server监控 (28)4.3.3MySql监控 (29)4.4数据库风险评估 (30)4.4.1口令检测 (30)4.4.2风险扫描 (31)4.4.3SQL注入 (31)4.4.4扫描策略管理 (31)4.5Web审计与关联分析 (32)4.5.1日志审计 (32)4.5.2三层关联 (32)4.5.3兼容CA (33)五、关键技术的采用 (33)5.1分析/检测扁平化 (33)5.2分析粒度超细化 (33)5.3软硬件平台化 (34)5.4检索/存储定制化 (34)六、产品部署模式 (34)6.1串联网关模式 (35)6.2旁路监听模式 (36)6.3软件探针模式 (37)七、产品技术特点 (38)NetEye数据库审计系统7.1数据库兼容性 (38)7.2产品简要特征 (39)7.3核心技术实力 (40)八、产品应用价值 (41)8.1贯彻合规要求 (41)8.2防止权限滥用 (42)8.3保护重要数据 (42)8.4独立审计机制 (43)8.5定制分析报表 (43)8.6促进管理监督 (43)NetEye数据库审计系统一、前言本文档适用于沈阳东软系统集成工程有限公司(以下简称东软公司、东软或者本公司)制造的NetEye数据库审计系统的销售工作，力图从产品技术角度提供必要的参考说明。

天融信产品白皮书网络卫士内容与行为审计平台TA-NET系列内容与行为审计平台TA-NET天融信网络卫士安全审计系统内容审计平台TA-W是专用于防止非法信息恶意传播，避免国家机密、商业信息、科研成果泄漏的产品；并可实时监控网络资源使用情况，提高整体工作效率。

该产品适用于需实施内容审计与行为监控的网络环境，尤其是按等级进行计算机信息系统安全保护的相关单位或部门。

内容和行为审计系统具有实时的网络数据采集能力、智能的信息处理能力、强大的审计分析功能。

该产品基于天融信公司具有自主知识产权的安全操作系统TOS (Topsec Operating System)，采用开放性的系统架构及模块化的设计，是一款安全高效，易于管理和扩展的网络安全审计产品。

产品可实现：◆ 对用户的网络行为监控、网络传输内容审计 (如员工是否在工作时间上网冲浪、聊天，是否访问不健康网站，是否通过网络泄漏了公司的机密信息，是否通过网络传播了反动言论等)◆ 掌握网络使用情况，提高工作效率◆ 网络传输信息的实时采集、海量存储、统计分析◆ 网络行为后期取证，对网络潜在威胁者予以威慑部署方式简便旁路模式接入，不改变用户的网络拓扑结构，对用户的网络性能没有任何影响。

独立部署，方便灵活。

提供基于Rich Client技术的WEB管理界面。

兼具B/S模式的便捷与C/S模式的高效、易用。

高速的数据采集分布式部署数据采集引擎，优化的数据采集技术，直接从内核中采集数据包。

延迟小、效率高、实时性强。

智能包重组和流重组具有强大的IP碎片重组（IP Fragments Reassembly）能力和TCP流重组（TCP Stream Reassembl y）能力，任何基于协议碎片的逃避检测手段对本产品无效。

自适应深度协议分析从链路层到应用层对协议进行深度分析。

自动识别基于HTTP协议的邮件、论坛等操作行为。

根据内容自动识别各个连接的应用协议类型。

保障审计的准确性数据海量存储和备份系统内置海量数据存储空间，支持百兆、千兆网络环境下，高速、大流量数据的采集、存储。

鹰眼网络安全审计系统技术白皮书V2.2版权声明成都三零盛安信息系统有限公司©2005版权所有，保留一切权力。

未经成都三零盛安信息系统有限公司书面同意不得擅自拷贝、传播、复制、泄漏或复写本文档的全部或部分内容。

本文档中的所有信息归成都三零盛安信息系统有限公司所有并受中国知识产权法和国际公约的保护。

“鹰眼”是成都三零盛安信息系统有限公司的注册商标，不得侵犯。

信息更新本文档及其相关软件文档仅用于为最终用户提供信息，并且随时可由三零盛安信息系统有限公司（下称“三零盛安”）更改或者撤回。

信息反馈如果您有任何宝贵意见，请反馈至：⏹公司地址：成都高新区创业路6号⏹邮编：610041⏹电子邮箱：support-cd@⏹电话：86-28-85169419免责条款根据国家适用法律的许可范围，三零盛安按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的的适用性或无侵害性。

在任何情况下，三零盛安都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使三零盛安明确得知这些损失或损坏，这些损失包括（但不局限于）利润损失、业务中断、信誉或数据丢失。

本白皮书中所有引用产品的使用及其本白皮书均受最终用户可适用的特许协议约束。

出版时间本白皮书由成都三零盛安信息系统有限公司于2006年10月制作出版。

目录1. 公司简介 (4)2. 产品概述 (4)3. 产品定位 (5)4. 产品架构 (5)5. 产品功能 (6)5.1. 审计功能 (6)5.2. 管理功能 (7)5.3. 图表分析功能 (7)6. 产品特性 (7)6.1. 高性能的核心抓包机制 (7)6.2. 优化的数据库结构 (8)6.3. 可灵活配置的监控规则 (8)6.4. 完备的自身安全性 (8)6.5. 高可靠性 (9)7. 应用环境 (9)7.1. 安装方式 (9)7.2. 典型应用 (11)8. 主要技术指标 (12)产品硬件规格 (12)9. 支持与服务 (13)1.公司简介三零盛安信息系统有限公司是有中国电子科技集团公司第三十研究所控股的成都三零信息系统工程有限公司（三零信息）于四川卫士安全软件（安全软件）有限公司合并组建而成，是专业从事信息系统安全产品研发、安全信息系统集成、行业应用软件及信息安全服务的高科技企业。

网络卫士主机监控与审计系统技术白皮书目录第一章前言 (1)第二章产品概述 (1)2.1产品架构 (2)2.2设计依据 (3)第三章功能简介 (3)3.1统一安全策略管理 (3)3.2集中补丁管理及软件分发 (3)3.3终端行为监控 (3)3.4终端系统状态监控 (4)3.5非法外联监控 (5)3.6非法内联监控 (5)3.7终端设备监控 (5)3.8移动存储介质管控 (5)3.9文件监控及网络共享监视 (5)3.10终端敏感信息检查 (5)3.11终端流量监控 (6)3.12安全审计 (6)3.13安全报警 (6)3.14资产管理 (7)3.15与天融信TopAnalyzer的完美整合 (7)3.16系统管理责权分立 (7)第四章产品优势与特点 (7)第五章产品性能指标 (7)第六章运行环境与部署 (8)6.1运行环境 (8)6.2产品应用部署 (8)6.2.1局域网应用部署 (8)6.2.2广域网应用部署 (9)第七章产品资质 (10)第八章关于天融信 (10)第一章前言随着计算机网络技术的飞速发展与应用，各行业信息化办公已经得到普及。

各单位经过多年的信息化建设，单位内部网络应用日益复杂，主要体现在网络分布广泛、终端数量庞大、业务应用系统越来越多。

虽然大部分单位都部署了防火墙、漏洞扫描等网络边界安全设备，但是由于业务运行保密性需求越来越高，边界防御产品无法对员工的个人行为进行管制，网络中的终端PC的安全运行无法得到保障，使得单位内部网络想日常运营存在重大的安全隐患，内部网络中的大量敏感信息也受到严重威胁。

来自网络内部终端PC的安全威胁成为众多安全管理者需要面临的新问题，主要体现在以下几方面：1)移动办公设备、终端PC以及存储介质随意接入内网该如何防范。

2)内网中的涉密设备非法连接外网该如何防范。

3)网络中占用大量带宽的终端如何才能及时发现。

4)如何及时发现网络中的终端设备的系统漏洞并自动分发、安装补丁。