主机审计与监控系统白皮书
主机审计与监控系统V1.5
技
术
白
皮
书
北京博睿勤技术发展有限公司
Beijing Bring Technology Development Co.,Ltd
目录
一系统简介 (1)
1.1系统概述 (1)
1.2系统结构 (1)
二主要功能 (3)
2.1概述 (3)
2.2控制功能 (3)
2.2.1 硬件资源控制 (3)
2.2.2 软件资源控制 (4)
2.2.3 移动存储设备控制 (4)
2.2.4 IP与MAC地址绑定 (4)
2.3监控功能 (4)
2.3.1 进程监控 (5)
2.3.2 服务监控 (5)
2.3.3 硬件操作监控 (5)
2.3.4 文件系统监控 (5)
2.3.5 打印机监控 (5)
2.3.6 非法外联监控 (6)
2.3.7 计算机用户账号监控 (6)
2.4审计功能 (6)
2.4.1 文件操作审计 (6)
2.4.2 外挂设备操作审计 (6)
2.4.3 非法外联审计 (6)
2.4.4 IP地址更改审计 (7)
2.4.5 服务、进程审计 (7)
2.5系统管理功能 (7)
2.5.1 代理状态监控 (7)
2.5.2 安全策略管理 (7)
2.5.3 主机监控代理升级管理 (7)
2.5.4 计算机注册管理 (8)
2.5.5 实时报警 (8)
2.5.6 历史信息查询 (8)
2.5.7 统计与报表 (8)
2.6其它辅助功能 (8)
2.6.1 资产管理 (8)
2.6.2 补丁分发 (8)
2.6.3 操作系统日志收集 (9)
三主要特色 (10)
3.1系统部署方式灵活、安装方便 (10)
3.2控制、监控与审计结合,全方位防止泄密 (10)
3.3高性能、高可靠性 (10)
3.4主机代理安装卸载方便 (10)
3.5监控模块可动态加载与卸载 (11)
3.6自动升级 (11)
3.7灵活的分级管理架构 (11)
3.8完善的自保护机制 (11)
3.9丰富的报表、报表类型灵活多样 (11)
3.10高兼容性 (11)
3.11系统通信安全性 (12)
3.12多方位的主机资源信息管理功能 (12)
四系统主要性能参数 (13)
五系统配置要求 (14)
一系统简介
1.1 系统概述
博睿勤公司《主机审计与监控系统V1.5》是北京博睿勤技术发展有限公司根据安全计算机通常出现的安全情况,独立研发的一款专门针对安全计算机系统进行控制、监控和审计的安全产品。
该系统对主机的安全防护根据保密防护分成事前、事中和事后三个步骤基本原理,采用了三大手段:控制、监控、审计,统筹考虑三个环节中可能出现的各信息泄密途径,对计算机的软硬件资源、文件系统进行集中的监控与管理。同时,为了加强涉密计算机的管理,系统内置了注册管理功能,对计算机的IP 地址、部门等信息进行集中管理,实现对计算机的实时跟踪和控制。
1.2 系统结构
涉密计算机审计与监控系统.采用B/S设计架构,系统架构如图1-2-1所示。从图中可以看出,系统由三部分组成:控制台,主机监控代理、后台数据库。其中控制台管理采用B/S模式,监控代理与控制台之间的通讯采用C/S模式。
控制台负责设置监控代理的安全策略、查看监控代理的活动状态、接受监控代理上传的报警事件并记入后台数据库以及对历史审计数据的查询以及报表等。控制台主要采用了JA V A技术和Web Service技术。
主机监控代理负责按照控制台制定的安全策略完成对主机软硬件资源、文件系统等的使用控制、监控和审计功能。将报警信息上传到控制台。监控代理按照模块化的设计思想,每个功能都是一个独立的模块,且各功能模块可按控制台的策略动态加载或移除。这使得监控代理的功能升级非常方便。
后台数据库是提供数据信息存储和数据信息交换的平台。本系统可根据管理的主机数量分别选择Oracle、SQL Server、My SQL等。数据库主要存储报警和审计数据。
图1-2-1博睿勤主机审计与监控系统体系架构
二主要功能
2.1 概述
本系统通过主机监控代理实现计算机的控制、监控与审计。不论计算机是否联网、登陆用户是否有超级权限,都能够有效控制计算机相关资源的使用。
本系统主要包括控制功能、监控功能、审计功能和系统管理功能四大类。
控制功能包括计算机硬件资源控制、软件资源控制、移动存储设备使用控制、IP与MAC地址绑定等。
监控功能包括服务监控、进程监控、硬件操作监控、文件系统监控、打印机监控、非法外联监控、计算机用户账号监控等。
审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、IP地址更改审计、服务与进程审计等。
系统管理功能包括系统用户管理、主机监控代理状态监控、安全策略管理、主机监控代理升级管理、计算机注册管理、实时报警、历史信息查询、统计与报表等。
另外,系统还包括其它一些辅助功能,例如资产管理、补丁分发、操作系统日志收集。
2.2 控制功能
涉密计算机审计与监控系统的控制功能是指对安装主机监控代理的计算机上的各种硬件资源、软件资源的使用等用户行为进行控制,使得非法用户或未授权用户的行为得到有效控制,从而达到保护主机系统机密信息不被非法盗取或意外泄漏的目的。
2.2.1 硬件资源控制
本系统能够管理控制(使用或禁用)的硬件设备包括所有的计算机外挂设备。这些外挂设备包括:USB设备、串口、并口、RAM盘、软驱、光驱、刻录机、红外设备等。
一旦控制中心设定的策略不允许使用某个设备,即使本机超级用户也无法使用该设备。这种控制功能和系统内核进行了结合,达到了强制控制的目的,即被禁用的设备无法使用,即便超级管理员也无法启用该设备。
另外,系统还可控制新添加的外挂硬件设备。只要控制台的策略不允许使用任何新添加的设备,计算机上的新加设备便不可使用。
2.2.2 软件资源控制
软件资源的控制主要是指对用户可使用的应用软件进行控制即对已安装的应用软件的使用进行控制。
对于已经安装的应用软件,系统可以采用黑名单的形式,禁止用户运行黑名单上的应用程序。
2.2.3 移动存储设备控制
系统可对移动存储设备的使用进行控制,包括U盘、移动硬盘、软盘。禁止移动设备的使用,当禁用移动设备后,用户无法向移动设备上拷贝任何文件,也无法访问移动设备上的文件。
2.2.4 IP与MAC地址绑定
系统可禁止用户自行修改主机的IP地址,这主要通过IP与MAC地址绑定来实现。如果计算机采用了固定IP地址管理方式,系统可将IP和MAC地址绑定,如何试图改变IP地址的企图都将无效。这为计算机的管理提供了方便。也有效防止了用户通过私自更改计算机IP地址的方式,进行非法操作。
2.3 监控功能
系统的监控功能主要是对计算机的运行状态和用户行为进行实时监视,并对出现的违规行为或非法行为采取必要的控制措施。通过系统监控功能,管理人员能够及时发现被监控计算机可能的泄密行为,也能够发现一些正在危害系统安全的特殊行为,并可自动采取控制措施阻止泄密行为的发生。
2.3.1 进程监控
进程监控是指对被监控计算机上正在运行的进程进行实时监视,并根据进程黑名单对进程进行控制。如果某个正在运行的进程被加入黑名单,主机监控代理将立即杀死该进程。其它位于黑名单中的未运行进程则永远不可运行,除非控制台将该进程从黑名单中移除。
2.3.2 服务监控
服务监控是指对被监控计算机上正在运行的服务进行实时监视,并根据服务黑名单对服务进行控制。如果某个已经启动的服务被加入黑名单,主机监控代理将立即停用该服务。其它位于黑名单中的未启动服务则永远无法启动,除非控制台将该服务从黑名单中移除。
2.3.3 硬件操作监控
本功能主要监视用户对外挂硬件设备的启用和禁用等操作,并对用户操作进行实时报警。例如,如果安全策略不允许用户启用某个外围设备,当用户试图启用这个设备时系统便会报警。
2.3.4 文件系统监控
该功能可针对被监控的计算机制定文件监控策略,对用户的文件操作进行监控,例如创建文件,更改文件名,删除文件等。系统能够识别创建或拷贝的文件是位于移动硬盘还是固定介质。监控策略包括文件类型、文件名等。可使用通配符“*”,“?”。这样就可针对文件名中包含的涉密关键字,监控可能的用户泄密操作。通过将用户操作事件写入数据库,还可为事后泄密责任的追查提供依据。
2.3.5 打印机监控
打印机监控是指对被监控计算机的文件打印操作进行监控,只要发现打印任务,立即向控制台发送报警信息。报警信息包括文档名、所有者、当前打印状态等。可监控的打印机包括本地打印机、共享打印机和网络打印机。
2.3.6 非法外联监控
非法外联是指未授权用户通过各种途径访问国际互联网的行为。该功能可根据设定的策略允许或者禁止用户访问互联网。可以禁止的互联网访问方式包括局域网上网、ADSL、MODEM拨号、无线上网、以及通过红外线和蓝牙设备上网等。系统一旦发现用户计算机连通了互联网,可立即禁止网络连接。该功能突破了传统的拨号上网连接控制,完全杜绝了非法上网行为。
2.3.7 计算机用户账号监控
该功能主要对计算机用户账号的更改情况进行监控,包括增加、删除、改名、修改属性等。一旦发现计算机用户账号有改动,立即向控制台发送报警信息。
2.4 审计功能
审计功能主要是针对系统监控所涉及的内容进行记录,并上传到控制台保存。如果被监控计算机处于离线状态,主机监控代理仍然可记录对于用户在离线状态下的行为,主机监控代理仍然进行记录,加密后保存在客户端。当该机器连接到内部网上后,这些记录可继续传输到控制台服务器,并由控制台写入后台数据库中。
2.4.1 文件操作审计
文件操作审计主要对用户进行的各种文件操作进行审计,如创建、读取、删除、修改等。通过该功能可实现对特定文件的跟踪审计。
2.4.2 外挂设备操作审计
该功能主要对用户企图启用或禁用计算机外挂设备的操作进行审计。通过功能可对用户使用外挂设备的企图进行记录,为日后的责任追查提供依据。2.4.3 非法外联审计
在系统设置了禁止非法外联安全策略情况下(即禁止用户计算机连接互联网),该功能可对用户连接互联网的操作进行审计、审计内容包括非法外联类型(拨号、ADSL、局域网等)、事件发生时间、拨号号码、接入网关和DNS等。
2.4.4 IP地址更改审计
在控制台设置地址绑定策略(MAC地址与IP地址绑定)后,如果用户擅自修改IP地址,系统会生成警报信息告知控制台,并将用户试图进行修改IP 地址的操作记录下来,记录信息包括原IP地址、MAC地址、更改后的IP地址以及更改时间等。
2.4.5 服务、进程审计
服务和进程审计主要是针对运行代理端的机器上的服务和进程的变化进行记录。当位于服务或进程黑名单中的服务或进程启动时,系统将记录该服务和进程。记录内容包括服务名、进程名、启动时间等。
2.5 系统管理功能
2.5.1 代理状态监控
该功能能够对安装的主机监控代理的运行状态进行监控,可实时监控主机代理的当前状态,包括活动、未活动、异常、未安装、安装后被卸载等情况。通过代理状态监控,管理员可识别异常代理,也可对用户非法卸载或破坏代理的情况进行监控。一旦发现异常,可通过控制台向管理员报警。
2.5.2 安全策略管理
安全策略管理是指对各主机监控代理的安全策略进行统一管理,包括设置、查看、修改等。策略分为主机策略和组策略,主机策略可自动继承组策略。通过组策可实现安全策略的群发,从而为用户提供高效率的策略配置方案。
系统可对策略进行集中查看,这大大方便了系统管理员对主机策略的监控和管理。
2.5.3 主机监控代理升级管理
该功能可实现主机监控代理的自动升级。升级对用户本身是透明的,用户端感觉不到任何异常,且升级无须重新启动计算机。系统由控制台对代理升级模块进行统一管理。
2.5.4 计算机注册管理
计算机注册管理是指对内网的计算机进行统一的注册,注册信息包括主机IP地址、MAC地址、拥有者、所在部门、房间号、联系电话等。通过注册实现内网计算机的统一管理。
2.5.5 实时报警
系统接受来自各主机监控代理的报警信息,一旦有报警信息达到中央控制台,系统会立即报警,通过可视化报警显示,为管理员采取进一步的防范措施提供参考。
2.5.6 历史信息查询
历史信息查询是指对系统存储的历史审计数据进行查询,查询可通过各种条件的组合进行,方便管理员对特定审计信息的检索。
2.5.7 统计与报表
系统还提供历史审计信息的统计和报表功能。管理员可按照各种模板实现历史日记的自动统计和报表(日报、周报、月报等),管理员还可自行定义统计和报表条件,对特定信息进行统计并生成报表。报表支持html、doc、excel、pdf等格式。
2.6 其它辅助功能
2.6.1 资产管理
该辅助功能可为系统使用单位提供简单的资产管理。系统可自动收集计算机各种软硬件资源信息、包括安装的各种应用程序、CPU、内存、硬盘等,并可对硬件的改动进行跟踪和报警。该功能可为企业的资产清查、统计和管理提供一定的帮助。
2.6.2 补丁分发
系统提供补丁分发功能。管理员可将需要分发的各种操作系统补丁、应用系统补丁以及其它一些辅助工具等统一部署到控制台,以计算机或组的方式向各计算机下发。计算机会自动提示用户有补丁程序需要安装,经计算机使用者
确认后即可安装补丁程序。
2.6.3 操作系统日志收集
通过该功能、主机监控代理可自动收集操作系统日志,并将日志上传到控制台存储。为系统管理员诊断和检查各计算机的故障以及安全情况提供帮助。
三主要特色
3.1 系统部署方式灵活、安装方便
本系统采用控制台和代理分离的设计方式,代理的安装可以通过控制台统一进行,大大简化了系统的安装。控制台可以主动从监控代理提取数据,也可以由监控代理主动向控制台发送数据,这使得主机代理和控制台的部署可以满足复杂网络拓扑。
主机监控代理的安装支持两种方式:本地安装和域安装。
3.2 控制、监控与审计结合,全方位防止泄密
该系统将主机控制、监控和审计功能完美地集成到一起,共同完成全方位的主机防护。审计可对主机的活动进行记录作为事后查询依据;监控可以实时发现主机的异常活动和入侵事件,为事中防护;控制可以禁止某些设备(如网络设备和存储设备)被使用,为事前防护。三者完美结合,完成主机事前、事中和事后三个环节的全方位防护任务。
3.3 高性能、高可靠性
中央控制台可以同时监控管理1000台以上的主机,在同时管理1000台主机的情况下,能够及时处理各主机监控代理传送的报警信息、策略请求、状态更新等。并能保证控制台稳定可靠地运行。主机代理对系统资源的占用非常低,CPU占用率<3%,对用户的计算机使用影响甚微。
3.4主机代理安装卸载方便
管理人员可以通过本地安装和域安装等方式为有关客户端PC安装代理引擎。
3.5监控模块可动态加载与卸载
主机监控代理采取模块化开发技术,各个功能模块可根据控制台最新的安全策略实现动态加载与卸载,且在此过程中,主机代理仍然正常工作,用户完全感觉不到主机代理模块的更改。
3.6自动升级
本系统的主机代理可根据控制台的指令自动进行升级,升级过程不影响正常的监控活动。
3.7灵活的分级管理架构
本系统采用分级管理的体系结构设计,增加了系统部署和管理的灵活性,极大地方便了大型跨地域企业的主机监控与管理。
3.8完善的自保护机制
主机代理采用多种系统内核技术,保证了自身不可卸载、不可停止。即便在安全模式下,自保护机制仍能保证自身不被恶意破坏。
3.9丰富的报表、报表类型灵活多样
系统具有丰富的日志信息,并可对日志进行方便的查询和生成报表。报表方式灵活,类型多样,支持word、excel、pdf、html等各种常见的报表格式,可满足用户和网络管理人员的报表要求。
3.10 高兼容性
系统在多种应用环境下的兼容性测试表明,本系统的兼容性非常好,目前兼容的应用包括各种办公软件、设计软件、管理软件、安全软件等,如OFFICE 系列、VISIO、UG、PRO e、MAT LAB、CAD、各种防病毒软件等,成为目前国内最成熟的同类产品之一。
3.11系统通信安全性
本系统为了确保各主机监控代理和控制台之间通讯的安全性,对传输数据进行了加密处理。另外,系统还具有日志本地暂存的功能,如果在数据通讯过程中出现网络故障,客户端代理将日志信息存放在本机上,并会自动定时尝试恢复连接,一旦网络连通,立即将本地日志信息上传至控制台。
3.12 多方位的主机资源信息管理功能
该系统可以提供主机的硬件资源信息、软件资源信息功能,还可提供用户组、办公室、房间号、联系电话、所在交换机端口等精确的主机定位管理功能。
四系统主要性能参数
五系统配置要求
一、主机引擎
软件环境:
Windows XP/2000/2003中英文版
硬件环境:
奔III或更高主频的PC计算机,原则上主频不低于500MHZ,内存128M 或更高,10/100MB网卡
二、控制台
软件环境:
Redhat Linux 9.0或Federa 3A操作系统
JA V A支持
Python支持
Tomcat Web服务系统
Oracle 9i 数据库(linux版本)
硬件环境:
博睿勤公司提供专用硬件设备或由用户自备高性能服务器,用户可根据需要选择。
打印监控与审计系统简介
{安辰打印安全监控与审计系统} 使用说明 光电安辰信息安全
目录 1 服务端软件安装 (1) 1.1系统运行环境 (1) 1.2 Apache安装 (2) 1.3 PHP安装 (4) 1.4 MYSQL安装 (4) 1.5 修改配置文件 (5) 1.6 管理系统安装 (6) 1.7 MYSQL连接器安装 (6) 1.8 安装通信服务器 (8) 2 客户端软件安装 (10) 2.1 客户端安装 (10) 2.2 刷卡认证打印终端安装 (10) 3 用户管理 (11) 3.1 用户登录 (11) 3.2 修改登录密码 (12) 3.3 添加用户 (12) 3.4 用户查询 (13) 3.5 锁定激活 (14) 4 部门管理 (15) 4.1 添加部门 (15) 4.2 部门查询 (15) 5 组管理 (16)
5.1 添加组 (16) 5.2 组查询 (16) 6 审批流程 (17) 6.1 添加审批 (17) 6.2 审批查询 (17) 7 系统设置 (18) 7.1 设置默认存储路径 (18) 7.2 设置磁盘预警 (18) 7.3 设置磁盘预警 (18) 7.4 系统校时 (18) 8 作业管理 (19) 8.1 打印作业 (19) 8.2 统计分析 (20) 9 作业审批 (21) 9.1 审批结果 (21) 9.2 作业审批 (21) 9.3审批历史 (21) 10 日志审计 (23) 10.1 操作日志 (23) 11 用户打印作业 (25) 11.1 用户提交打印作业 (25) 11.2用户刷卡打印 (25)
1 服务端软件安装1.1系统运行环境 服务端 客户端
运维安全管理与审计系统白皮书
360运维安全管理与审计系统 产品白皮书 2017年2月
目录 1.产品概述 (3) 2.产品特点 (3) 健全的账号生命周期管理 (3) 丰富多样的安全认证机制 (4) 细粒度的访问授权与控制 (4) 监控与敏感过程回放 (4) 性能资源弹性调度 (5) 成熟的高可用性机制 (5) 3.主要功能 (5) SSO单点登录 (5) 集中账号管理 (5) 集中身份认证 (6) 统一资源授权 (6) 集中访问控制 (6) 集中操作审计 (6) 4.核心功能列表 (7) 5.产品价值 (8) 规范运维管理 (8) 降低资源风险 (8) 提高管理效益 (8) 过程透明可控 (8) 完善责任认定 (8) 满足各组织合规要求 (8)
1.产品概述 随着企业信息系统规模的不断扩大,业务范围的快速扩张,运维工作量也随之增多。在运维过程中存在事前身份不确定、授权不清晰,事中操作不透明、过程不可控,事后结果无法审计、责任不明确导致客户业务及运维服务面临安全风险。 360运维安全管理与审计系统是针对政府、金融、医疗、电力、教育、能源、企业、军队、海关等重点行业客户推出的,主要解决事企业IT运维部门账号难管理,身份难识别,权限难控制,操作过程难监控,事件责任难定位等问题。360运维安全管理与审计系统基于软硬件一体化设计,集账号、认证、授权、审计为一体的设计理念,实现对事企业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计。对运维人员整个操作过程处于可管、可控、可见、可审的状态,为事企业IT中心运维构建一套事前预防、事中监控、事后审计完善的运维管理体系。 2.产品特点 健全的账号生命周期管理 通过主从账号分离的方式来将账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权,并针对自然人的行为审计。 密码强度策略对主从账号密码强度进行监测,强制对密码强度进行修改至符合强度要求才可进行修改或登录。 360运维安全管理与审计系统提供账号密码到期提醒功能,强制对密码到期的用户进行密码修改,结合密码强度实现定期对密码按照密码强度强制修改。 360运维安全管理与审计系统可对用户帐号密码、资源帐号密码按照密码策略要求进行定期、定时自动变更密码,防止口令因为过于简单易于猜测而被破解
数据库安全审计解决方案
一、数据库安全审计需求概述 数据库系统是一个复杂而又关键的系统,数据库存在各种管理和技术上的风险,如果这些风险变为事实,那么企业数据将遭受严重的经济损失和法律风险。 而面对数据库的安全问题,企业常常要面对一下问题: 数据库被恶意访问、攻击甚至数据偷窃,而企业无法及时发现、追踪并阻截这些恶意的行为。 数据库遭受恶意访问、攻击后,不能追踪到足够的证据。 不了解数据使用者对数据库访问的细节,从而无法保证数据安全,特别是敏感数据的管理。 来自内部的威胁:特权用户随意修改配置、改变或盗取数据,没有明确职责分工。 针对数据库、应用系统日志的审计只能做事后分析,周期长,且无法进行持续性审计。 审计缺乏规范性,无法有效成为公司的安全管理规范且满足外部审计需求。 人工审计面对海量数据,无法满足可见性,造成审计不完整。 权责未完全区分开,导致审计效果问题。 二、企业数据管理综合解决方案 提供的一组集成模块,使用一个统一的控制台和后端数据存储,管理整个数据库的安全与合规周期。通过,现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库,又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越,而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零,无需对数据库作任何变更,甚至不依赖本地数据库日志或审计工具。 三、通过管理数据安全 发现、分类并且自动寻找、分类和保护敏感信息 使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置,然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策
略。 评估加固漏洞、配置和行为评估,锁定与追踪 的数据库安全评估功能会扫描整个数据库架构,查找漏洞,并使用实时和历史数据提供持续的数据库安全状态评估。它预先配置了一个综合测试库,建立在特定平台漏洞和业界最佳实践案例的基础之上,可以通过的订阅服务得到定期更新。也可以自定义测试,以满足特定的要求。评估模块还会标记与合规相关的漏洞,如遵从和法规提供非法访问和数据表的行为。 监控¥执行—可视性,监控和执行各项策略,主动实时安全通过定制细粒化的实时策略来防止特权用户进行非法或可疑的行 为,同时抵挡欺诈用户或外来者的攻击。 审计报表—细粒度审计追踪,合规工作流自动化 创建一个覆盖所有数据库活动的连续、详细的追踪记录,并实时的语境分析和过滤,从而实现主动控制,生成需要的具体信息。生成的结果报表使所有数据库活动详细可见。 四、数据库安全审计解决方案的突出特点和优势: .可以同时支持监控管理多种数据库()的各种版本; .同时支持多种企业级应用()、应用服务器中间件服务器();.非入侵式部署,不影响网络、数据库服务器现有运行方式及状况,对用户、网络、服务器透明,不在数据库内安装,不需要数据库建立用户;.具有实时阻断非法访问,抵御攻击能力; .可以实现从用户、应用服务器到数据库的全程跟踪即可记录; .可以实现全方位准确监控(来自网络的访问和本地登录访问); .具备分布式部署和分层架构能力,支持企业级不同地域、多种数据库的应用; .部署容易简单; .独特跟踪下钻()功能,追查问题可以一步步到最底层; .多行业、众多客户成功应用案例的证明; .对、、等法律遵从性的良好支持; .国际著名审计公司的认同、认可; .第三方国际著名咨询评测机构的认可和赞赏; .支持多种异构操作系统; .记录的日志不可更改,完全符合法律要求;
中软主机监控与审计系统8.0系统介绍
中软主机监控与审计系统8.0
目录 第一章系统概述 (1) 第二章体系结构和运行环境 (3) 2.1系统体系结构 (3) 2.2推荐硬件需求 (4) 2.3推荐软件需求 (4) 第三章系统功能 (6) 3.1终端安全管理 (8) 3.1.1 终端健康检查 (8) 3.1.2 安全策略管理 (8) 3.1.3 用户身份认证 (8) 3.1.4 网络进程管理 (9) 3.1.5 防病毒软件监测 (9) 3.1.6 补丁分发管理 (10) 3.1.7文件安全删除 (10) 3.2终端运维管理 (11) 3.2.1软件分发管理 (11) 3.2.2 软硬件资产管理 (11) 3.2.3 系统运行状况监控 (12) 3.2.4 远程管理 (13) 3.3用户行为管理 (14) 3.3.1 网络行为管理 (14) 3.3.2 非法外联控制 (14) 3.3.3 存储介质管理 (14) 3.3.4 打印机管理 (15) 3.3.5 外设接口管理 (15) 3.4数据安全管理 (16) 3.4.1 我的加密文件夹 (16) 3.4.2 硬盘保护区 (16) 3.4.3 文件安全分发 (16) 3.4.4 安全文档管理 (16) 3.4.5可信移动存储介质管理 (17) 3.4.6 基于密级标识的文档安全管理 (18) 3.5终端接入管理 (19) 3.5.1终端接入认证 (19) 3.5.2 内网安全扫描 (19) 3.6系统管理与审计 (19) 3.6.1 组织结构管理 (19) 3.6.2 统计审计分析 (20) 3.6.3分级报警管理 (20)
3.6.4 响应与知识库管理 (20) 3.6.5 服务器数据存储空间管理 (20) 3.6.6 系统升级管理 (20) 3.6.7 B/S管理功能支持 (21) 3.6.7系统参数设置 (21) 3.7文档外发管理 (21) 3.7.1外发包的制作方式 (21) 3.7.2 外发包的使用方式 (22) 3.7.3 外发包的权限控制 (22) 3.7.4日志信息的查看 (23) 第四章系统特点 (24) 4.1全面的终端防护能力 (24) 4.2分权分级的管理模式 (24) 4.3方便灵活的安全策略 (24) 4.4终端安全风险量化管理 (24) 4.5周全详细的系统报表 (25) 4.6丰富的应急响应知识库 (25) 4.7完善的插件式系统架构 (25) 4.8方便快捷的安装、卸载和升级 (25) 4.9多级部署支持 (26) 附件一:名词解释 (27)
标准解决方案_北信源打印安全监控审计系统解决方案
北信源打印安全监控审计系统 解决方案 北京北信源软件股份有限公司
一、前言 随着网络应用的不断普及和发展,网络应用向多层次、立体化、空间化方向发展,网络空间数据的安全问题越来越突出,电子文档和敏感信息被有意无意的窃取、丢失、泄密等给建设高效、安全的网络空间带来很大挑战。 而纵观目前各个政府、企事业单位的信息安全建设状况,数据安全防御理念往往局限在网关级别、网络边界(防火墙、IDS、漏洞扫描)等方面,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部计算机终端的数据安全防护却往往被忽视。 在国家行业信息化推进的大环境下,信息安全在国民经济建设中日益显得举足轻重。特别是在政府机关网络中,工作秘密的泄露会使政府机关工作遭受损失,带来不必要的被动;而国家秘密的泄露会使国家的安全和利益遭到严重损害,泄密者也难免受到降职、降衔的严肃处理,甚至移交司法机关处理。 由此,如何应对数据安全问题,减少直至杜绝内部敏感信息的泄漏和重要数据的丢失而引发的安全事故,建设面向网络空间的、安全和谐的终端运行环境,形成有效的数据安全防护体系,则成为了政府机关网络、行业信息网络主管领导日常工作的重中之重。 而根据《计算机犯罪与安全调查报告》的调查结果显示,泄密的主要途径有三种:电子邮件泄密、移动存储泄密、打印信息泄密。通常,电子邮件泄密和移动存储泄密都得到了较好的控制,而来自内部的网络打印安全却很容易受到忽视,打印信息泄密,涉及到了用户较高等级甚至是核心级的机密,破坏力大,破案率低,极大地损害了个人、集体的利益,甚至是国家。 北信源公司由此推出自主研发的新产品—北信源打印安全监控审计系统,为用户彻底解决以打印方式造成数据泄漏的问题。
2020新版安全审计及监控管理办法
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 2020新版安全审计及监控管理 办法 Safety management is an important part of production management. Safety and production are in the implementation process
2020新版安全审计及监控管理办法 第一章总则 制度目标:为了加强信息安全保障能力,建立健全的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在安全体系框架下,本制度为加强信息安全事件的管理,规范安全事件的响应和操作流程。 适用范围:本制度适用于TCP/IP网络、以及所承载的业务系统。 使用人员及角色职责:本制度适用于网络信息系统维护及相关人员。 制度相关性:本制度与安全检查及监控等管理办法相关。 第二章职责 安全管理员负责所有系统及设备的超级用户帐号及权限管理员。 安全设备管理员负责安全设备的日常维护监控工作。
网络管理员负责网络系统的日常维护监控工作。 主机系统管理员负责主机、服务器、操作系统的监控工作。 数据库管理员负责数据库系统的监控工作。 应用系统管理员负责应用系统的监控工作。 安全审计员 负责信息安全审计的日常工作; 负责组织、计划定期的审计活动。 第三章规定 安全监控及审计职责 信息安全日常监控由各系统管理员、各数据库管理员、各应用系统管理员、各网络管理员等进行操作; 安全审计员根据各信息系统管理员的监控结果审计网络、各数据库、各计算机系统、各应用系统等的安全状况。 安全审计员定期将审计结果上报到信息安全管理工作组; 信息安全管理工作组根据安全审计员上报审计结果进行抽检和改进。
数据库安全审计建设立项申请报告
数据库安全审计建设立项申请报告 1数据库系统安全隐患分析 我单位的信息系统中关键数据库服务器群中的数据服务器存储着大量涉密、重要数据信息。用户数据服务器通过数据库管理系统实现对信息资源的存储管理。我单位信息系统网络系统用户数量众多,用户相互差别较大,对数据库涉密信息、重要业务信息的访问频繁。用户对数据库的任何恶意修改或误操作,都关系我单位信息系统业务数据信息的可用性、完整性与机密性,目前数据库安全隐患集中在: ●信息存储加密:数据的安全性; ●系统认证:口令强度不够,过期账号,登录攻击等; ●系统授权:账号权限,登录时间超时等; ●系统完整性:特洛伊木马,审核配置,补丁和修正程序等; 2建立数据库安全审计体系的必要性 2.1数据安全保护形势严峻 随着信息技术的不断发展,数字信息逐渐成为一种重要资产,尤其是在过去的20多年里,作为信息的主要载体——数据库,其相关应用在数量和重要性方面都取得了巨大的增长。几乎每一种组织都使用它来存储、操纵和检索数据。随着人们对数据的依赖性越来越高,各种数据信息都成为了关系组织生存的重要资产。网络化时代的到来、互联网技术的普及更加深了数据保护的矛盾,网络技术使得数字信息的泄漏和篡改变得更加容易,而防范则更加困难。 更为严重的是,所有信息泄漏事件中,源自内部人员所为的占了绝大部分。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过85%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5万美元
的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。 因此,近两年来,大多数企事业单位和政府机关纷纷把关注的目光投向信息系统数据的安全问题,尤其是内部网络的管理和防护。 2.2现有数据安全防护体系存在不足 现在较为普遍的做法是在原有网络安全防护(防火墙、IDS、UTM等传统安全设备)的基础上,采用上网行为管理类、终端管理类等具备较强防止内部信息外泄功能的产品,筑起了一道由内向外的安全防线,典型的安全防护体系如下图所示: 图:数据库安全防线的缺失 从这幅典型的网络拓扑图中,我们不难看出,安全防护体系中缺失的正是对服务器区的防护,对数据库的防护,对内部PC访问业务系统的防护! 尽管可能使用的数据库系统是Oracal、MS SQL是国际大品牌的产品,其本身有非常强的安全性,但依然可能存在诸多隐患: 1)对数据库访问的特权都有管理不当的问题。开发者、移动员工和外部顾
主机监控与审计系统设计方案
主机监控与审计系统 设计方案 北京市爱威电子技术公司 2010年5月
目录
1.系统简介 随着网络信息化的高速推进,人类社会的行为与活动已经和网络系统紧密联系起来。网络信息系统将人类传统的工作、管理模式“映射”到网络环境中,极大地提高了研究、工作和管理效率。人们对于内部网络系统,曾经假定“内部环境是安全的”,但自从网络系统采用了开放互连的TCP/IP协议后,这种假设条件在事实上已经不能完全成立了。各类单位(尤其是涉密单位)为了保证员工能通过网络(包括互联网)共享信息的同时,确保不会因为使用网络而有意或无意的泄漏敏感信息,都采取了相应的行政手段对本单位内部局域网的使用和操作规范进行强制性的、非技术性的管理,这些管理措施在特定时期和特定环境下是可用的,但仅依靠非技术性管理却是有悖于信息化初衷的,是不利于信息化进程发展的。 主机监控与审计系统的目的是:按照国家标准和保密局标准,结合长峰集团的实际情况,研制开发一套完善的、可持续扩展的安全保密信息审计系统。 该系统的实现,对于在信息化高速发展的同时,严格保证涉密信息系统及其审计系统的特殊性、安全性、可靠性、可控性、及时性、可扩展性有着积极的促进作用。 2.系统总体结构 2.1系统架构及基本工作原理 系统结构图 从统一管理的角度出发,主机监控与审计系统采用多极构架组成(如图),其基本工作原理描述如下: 第一层为计算机端机,通过安装的主机监控与审计系统的代理端软件,根据CMC对该端机的审计策略要求,对硬件设备的使用经行控制,对用户的操作行为进行数据采集,并将采集到的各类数据上传到CMC。在系统管理员授权的情况下
数据库审计系统_技术白皮书V1.0
此处是Logo 数据库审计系统 技术白皮书 地址: 电话: 传真: 邮编:
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。
目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)
当前数据库安全现状及其安全审计
当前数据库安全现状及其安全审计 大学数据库原理教科书中,数据库是这样被解释的:数据库是计算机应用系统中的一种专门管理数据库资源的系统。数据具有多种形式,如文字/数码/符号/图形/图象以及声音。 数据库安全现状 数据库系统立足于数据本身的管理,将所有的数据保存于数据库中,进行科学地组织,借助于数据库管理系统,并以此为中介,与各种应用程序或应用系统接口,使之能方便地使用并管理数据库中的数据,如数据查询/添加/删除/修改等。 数据库无所不在。海量的数据信息因为数据库的产生而变得更加容易管理和使用。政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业等行业,纷纷建立起各自的数据库应用系统,以便随时对数据库中海量的数据进行管理和使用,国家/社会的发展带入信息时代。同时,随着互联网的发展,数据库作为网络的重要应用,在网站建设和网络营销中发挥着重要的作用,包括信息收集/信息查询及搜索/产品或业务管理/新闻发布/BBS论坛等等。 然而,信息技术是一把双刃剑,为社会的进步和发展带来遍历的同时,也带来了许多的安全隐患。对数据库而言,其存在的安全隐患存在更加难以估计的风险值,数据库安全事件曾出不穷: 某系统开发工程师通过互联网入侵移动中心数据库,盗取冲值卡 某医院数据库系统遭到非法入侵,导致上万名患者私隐信息被盗取 某网游公司内部数据库管理人员通过违规修改数据库数据盗窃网游点卡 黑客利用SQL注入攻击,入侵某防病毒软件数据库中心,窃取大量机密信息,导致该防病毒软件公司严重损失 某证券交易所内部数据库造黑客股民入侵,盗窃证券交易内部报告 …… 数据库安全面临内部恶意操作以及外部恶意入侵两大夹击。如何有效保护数据库信息成为当前信息安全界最为关注的课题。 数据库安全分析 三大安全风险
数据库安全审计解决实施方案
数据库安全审计解决方案
————————————————————————————————作者:————————————————————————————————日期: 2
一、数据库安全审计需求概述 数据库系统是一个复杂而又关键的系统,数据库存在各种管理和技术上的风险,如果这些风险变为事实,那么企业数据将遭受严重的经济损失和法律风险。 而面对数据库的安全问题,企业常常要面对一下问题: ?数据库被恶意访问、攻击甚至数据偷窃,而企业无法及时发现、追踪并阻截这些恶意的行为。 ?数据库遭受恶意访问、攻击后,不能追踪到足够的证据。 ?不了解数据使用者对数据库访问的细节,从而无法保证数据安全,特别是敏感数据的管理。 ?来自内部的威胁:特权用户随意修改配置、改变或盗取数据,没有明确职责分工。 ?针对数据库、应用系统日志的审计只能做事后分析,周期长,且无法进行持续性审计。 ?审计缺乏规范性,无法有效成为公司的安全管理规范且满足外部审计需求。 ?人工审计面对海量数据,无法满足100%可见性,造成审计不完整。?DBA权责未完全区分开,导致审计效果问题。 二、Guardium企业数据管理综合解决方案 InfoSphere Guardium提供的一组集成模块,使用一个统一的控制台和后端数据存储,管理整个数据库的安全与合规周期。通过Guardium,IBM 现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库,又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越,而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零,无需对数据库作任何变更,甚至不依赖本地数据库日志或审计工具。 三、通过Guardium管理数据安全 ?发现、分类并且自动寻找、分类和保护敏感信息 使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置,然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策
安全审计系统产品白皮书
绿盟安全审计系统产品白皮书 ? 2011 绿盟科技
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,并受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■商标信息 绿盟科技、NSFOCUS、绿盟是绿盟科技的商标。
目录 一. 前言 (1) 二. 为什么需要安全审计系统 (1) 2.1安全审计的必要性 (2) 2.2安全审计系统特点 (3) 三. 如何评价安全审计系统 (3) 四. 绿盟科技安全审计系统 (4) 4.1产品功能 (4) 4.2体系架构 (5) 4.3产品特点 (7) 4.3.1 网络事件“零遗漏”审计 (7) 4.3.2 高智能深度协议分析 (7) 4.3.3 全面精细的敏感信息审计 (7) 4.3.4 多维度网络行为审计 (7) 4.3.5 全程数据库操作审计 (8) 4.3.6 业界首创“网站内容安全”主动审计 (9) 4.3.7 强劲的病毒检测能力 (9) 4.3.8 基于协议的流量分析 (10) 4.3.9 基于对象的虚拟审计系统 (10) 4.3.10 强大丰富的管理能力 (10) 4.3.11 审计信息“零管理” (12) 4.3.12 方便灵活的可扩展性 (13) 4.3.13 高可靠的自身安全性 (13) 4.4解决方案 (13) 4.4.1 小型网络之精细审计方案 (13) 4.4.2 中型网络之集中审计方案 (14) 4.4.3 大型网络之分级审计方案 (15) 五. 结论 (16)
安全监控及审计管理办法
编号:SM-ZD-46311 安全监控及审计管理办法Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
安全监控及审计管理办法 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 第一章总则 第一条策略目标:为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略规范公司安全监控及审计机制,和公司其他安全风险策略一起构建公司安全风险预防体系。 第二条适用范围:本策略适用于公司科技信息部。 第二章安全监控及审计管理 第一节安全监控及审计工作办法 第三条各部门安全管理组织中专、兼职安全管理员应监控并定期审计本部门各系统安全状况。 第四条各部门安全管理组织定期向公司网络与信息安全办公室汇报监控及安全审计结果。 第五条公司网络部根据各部门安全管理员上报审计结
果进行抽检和检验。 第六条公司网络部每半年巡检,进行安全审计,由公司科技信息部牵头,各部门协助执行。 第二节安全监控及审计的职责 第七条公司安全管理工作组负责: (一) 组织策划公司信息安全审计工作; (二) 协调有关部门,以获得对信息安全审计工作的理解和支持; (三) 确定信息安全审计工作的目的、范围和要求; (四) 制订信息安全审计工作具体实施计划和有关资源配置; (五) 监控信息安全审计工作进度和质量; (六) 审核信息安全审计工作情况汇报; (七) 负责向公司网络与信息安全领导小组汇报公司信息安全审计工作情况。 第八条各部门安全组织负责: (一) 参与公司信息安全审计制度的制订、修改和维护; (二) 参与公司信息安全审计工作具体实施计划的制订;
数据库内部安全审计
数据库内部安全审计 一、背景 在信息系统的整体安全中,数据库往往是最吸引攻击者的目标,许多网络攻击的根本目的就是获取存放在数据库中的重要信息。传统的数据库安全保障方法一定程度上提高了数据库系统的安全性,但是它们大多是被动的安全技术,以预防为主,无法有效地制止入侵行为,特别是对于数据库用户( 如数据库管理员等) 的权限滥用等内部攻击常常是无能为力的。 内部威胁问题具体表现为: (1)非故意的授权用户攻击,即用户不小心访问到了通常不访问的敏感信息,严重的是无意间将其错误地修改或者删除了; (2)盗取了正常用户信息的攻击者对数据库进行操作,他们拥有合法的访问权限,对数据库数据进行肆意的盗窃和破坏; (3)心怀不轨的内部工作人员对数据库的恶意攻击。 据统计,数据库安全问题近80%来自数据库系统内部,即数据库系统授权用户没有按照自身授权进行数据操作,而是跨越权限篡改或破坏数据。根据2013年Verizon的数据泄露调查报告:所有数据泄露事件中76%源自授权用户对敏感数据的访问;在47000多件安全事故中,69%的攻击来自于内部人员。京东发生的大型数据泄露事件造成5O亿条公民信息流出,导致用户损失数百万元,罪魁祸首就是内部工作人员。内部原因造成的数据库损失发生率和影响度都远远超过人们的想象。 由于此类安全问题发生在系统集团内部,因此,对数据库的危害极大,并且传统的入侵检测方法和数据库安全规则都不能有效防御这些问题,即使一些防火墙软硬件也无法实时检测内部入侵。因此,针对数据库系统中用户异常行为检测研究就显得尤为重要。 据统计,传统的数据安全模型是上个世纪 70 年代提出的,并且得到较好发展。到目前为止,在数据库上实现的安全策略基本上没有变化,仍旧为访问控制、用户认证、审计和加密存储。安全审计的任务是对用户已经完成的行为,给予回追式的分析,并对该行为的结果给出最终评价。这些安全机制在数据库管理上取得了较好成绩,但是面对高素质攻击人员、多样化攻击手段和复杂的网络环境,这些安全机制将无法实时监测入侵行为,保护数据库与数据的安全。基于异常的入侵检测是入侵检测研究领域中的一个重要课题,并取得了一定的研究成果。但是,这些研究成果主要针对操作系统和计算机网络,针对数据库系统的研究成果则相对较少。 以访问控制为例,虽然访问控制能够保证只有拥有相关权限的用户才可以访问数据,这也是防止数据泄露的第一道屏障,但是访问控制有一定的限制:如果采用严格的机制,访问控制的规则可能表达不够充分,在动态的环境中访问控制的规则可能需要频繁地更新,这些
安华金和数据库监控与审计系统(DBAudit)
安华金和数据库监控与审计系统 (DBAudit) 一. 产品概述 安华金和数据库监控与审计系统(简称DBAudit),是一款面向数据库运维和安全管理人员,提供安全、诊断与维护能力为一体的安全管理工具;DBAudit实现了数据库访问的全面精确审计,100%准确应用用户关联审计;DBAudit具备风险状况、运行状况、性能状况、语句分布的实时监控能力。 DBAudit通过数据库化的界面语言、智能化的协议识别、可视化的运行状况呈现、可交互可下钻的风险追踪能力,完美实现免实施、免培训、免维护的二代数据库审计产品。 二. 产品价值 2.1 安全事件追查 提供语句、会话、IP、数据库用户、业务用户、响应时间、影响行等多种维度的数据库操作记录和事后分析能力,成为安全事件后最为可靠的追查依据和来源。 通过SQL行为与业务用户的准确关联,使数据库访问行为有效定位到业务工作人员,可有效追责、定责。 2.2 数据库性能诊断 实时显示数据库的运行状况、数据库访问流量、并发吞吐量、SQL语句的响应速度;提供最慢语句、访问量最大语句的分析,帮助运维人员进行性能诊断。
2.3 发现程序后门 系统提供SQL学习和SQL白名单能力,实现对业务系统的SQL建模;通过合法系统行为的建模,使隐藏在软件系统中的后门程序在启动时,提供实时的告警能力,降低数据泄漏损失。 2.4 数据库攻击响应 系统提供数据库风险告警能力,对于SQL注入、数据库漏洞攻击、过量数据下载、危险SQL语句(如No where delete)等风险行为的策略制定能力,提供实时告警能力。 提供短信、邮件、SNMP、Syslog等多种告警方式。 三. 产品优势 3.1 全面审计(全) 挑战:基于网络流量镜像的数据库审计产品,无法有效实现加密通道下的审计、无法实现对数据库主机上的操作行为的审计、在网络流量过载时容易丢包,从而导致审计信息缺失,给入侵者提供了绕开审计设备的途径。 优势:DBAudit在网络镜像技术基础上,通过可配置的主机探针技术实现了数据库主机的流量捕获,从而实现了对数据库访问流量的全捕获。 3.2 准确审计(准) 挑战:不准确的审计记录,对于审计信息的有效性具有着致命的伤害,使其极大地失去了可信性。
蓝盾主机监控与审计系统操作手册
蓝盾主机监控与审计系统操作手册(BD-SECSYS) 操 作 手 册 广东天海威数码技术有限公司 2004年7月 广东天海威数码技术有限公司蓝盾内网安全保密系统(BD-SECSYS) 目录 第一章系统概述...................................................................... ............................. 4 1、系统组成...................................................................... ..................................... 4 2、主机代理功能特 点 ..................................................................... .. (4) 2.1、网络检测防护功能...................................................................... . (4) 2.2、共享防护...................................................................... .. (5)
2.3、文件检测防护...................................................................... (5) 2.4、注册表检测防护...................................................................... .. (6) 2.5、主机日志监控...................................................................... (6) 2.6、设备管理和认证...................................................................... .. (7) 2.7、主机资源审计...................................................................... (7) 2.8、异常检测...................................................................... .. (8) 2.9、外联监控...................................................................... .. (8) 2.10、关联安全功能...................................................................... . (8)
代码审计服务技术白皮书v1.1
专业服务技术白皮书代码审计服务
■版本变更记录 时间版本说明修改人2012/5/21 V1.0 文档创建、丰富内容专业服务部
目录 一. 概述 (1) 1.1基本概念 (1) 1.2代码审计与模糊测试 (1) 1.3服务的必要性 (1) 1.4客户收益 (1) 二. 服务的实施标准和原则 (2) 2.1政策文件或标准 (2) 2.2服务原则 (2) 三. XXXX代码审计服务 (3) 3.1服务范围 (3) 3.2服务分类 (3) 3.2.1 整体代码审计和功能点人工代码审计 (3) 3.2.2 单次服务和年度服务 (3) 3.3服务流程 (4) 3.4服务特点 (5) 3.5服务报告 (6) 3.6服务注意事项 (6) 四. 代码审计方法论 (6) 4.1代码检查技术 (6) 4.1.1 源代码设计 (7) 4.1.2 错误处理不当 (7) 4.1.3 直接对象引用 (7) 4.1.4 资源滥用 (8) 4.1.5 API滥用 (8) 4.2应用代码关注要素 (8) 4.2.1 跨站脚本漏洞 (8) 4.2.2 跨站请求伪装漏洞 (9) 4.2.3 SQL注入漏洞 (9) 4.2.4 命令执行漏洞 (9) 4.2.5 日志伪造漏洞 (9) 4.2.6 参数篡改 (9) 4.2.7 密码明文存储 (9) 4.2.8 配置文件缺陷 (10) 4.2.9 路径操作错误 (10) 4.2.10 资源管理 (10) 4.2.11 不安全的Ajax调用 (10) 4.2.12 系统信息泄露 (10)
4.2.13 调试程序残留 (10) 五. 相关工具 (11) 5.1信息收集工具 (11) 5.2静态分析工具 (11) 5.3源码提取工具 (11) 六. 为什么选择XXXX (11)
安全审计及监控管理规定
安全审计及监控管理规 定 Document number:NOCG-YUNOO-BUYTT-UU986-1986UT
《XXXX安全管理制度汇编》安全审计及监控管理办法
目录
第一章总则 第一条制度目标:为了加强信息安全保障能力,建立健全的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在安全体系框架下,本制度为加强信息安全事件的管理,规范安全事件的响应和操作流程。 第二条适用范围:本制度适用于TCP/IP网络、以及所承载的业务系统。 第三条使用人员及角色职责:本制度适用于网络信息系统维护及相关人员。 第四条制度相关性:本制度与安全检查及监控等管理办法相关。 第二章职责 第五条安全管理员负责所有系统及设备的超级用户帐号及权限管理员。 第六条安全设备管理员负责安全设备的日常维护监控工作。 第七条网络管理员负责网络系统的日常维护监控工作。 第八条主机系统管理员负责主机、服务器、操作系统的监控工作。 第九条数据库管理员负责数据库系统的监控工作。 第十条应用系统管理员负责应用系统的监控工作。 第十一条安全审计员 (一)负责信息安全审计的日常工作; (二)负责组织、计划定期的审计活动。 第三章规定 第一节安全监控及审计职责 第十二条信息安全日常监控由各系统管理员、各数据库管理员、各应用系统管理员、各网络管理员等进行操作;
第十三条安全审计员根据各信息系统管理员的监控结果审计网络、各数据库、各计算机系统、各应用系统等的安全状况。 第十四条安全审计员定期将审计结果上报到信息安全管理工作组; 第十五条信息安全管理工作组根据安全审计员上报审计结果进行抽检和改进。 第二节安全监控内容 第十六条网络监控 网络监控的内容主要包括数据流异常分析和黑客入侵监控。分别是指: (一)网络设备运行性能监控; (二)数据流分析通过全OSI七层解码,包括对数据库数据包进行分析,发现网络中数据流类型和内容,从中发现是否有违反安全策略的 行为和被攻击的迹象;同时根据数据协议类型发现当前数据趋势,帮 助分析网络状况,避免大规模病毒爆发; (三)黑客入侵监控要不仅能检测来自外部的入侵行为,同时也监控内部用户的未授权活动。 第十七条主机监控 主机监控的内容主要包括主机系统信息监控、主机重要文件和资源监控、主机网络连接的监控、主机系统进程的监控。分别是指: (一)主机系统信息监控对系统的配置信息和运行情况进行监控,包括主机机器名、网络配置、用户登录、进程情况、CPU和内存使用情 况、硬盘容量等; (二)对主机的重要文件和资源使用进行监控; (三)监控重要主机网络连接情况,监控主机开启的服务,对传输数据包内容进行过滤监控,对非法的连接进行跟踪。 第十八条数据库监控 (一)数据库性能监控; (二)数据库监控是对数据库的操作进行监控,以保护数据库的安全。 (三)数据库容量监控; (四)用户安全登录监控;
数据库安全审计系统滁州公共资源交易中心
(一)货物需求一览表
(二)技术要求 a).1 接入防火墙 ★1、2U机箱,配置≥6个10/100/1000BASE-T接口,≥2个SFP插槽,≥1个可插拨的
扩展槽,标配双冗余电源,防火墙吞吐率≥8Gbps;最大并发连接数≥260W。 ★2、所投设备应采用原厂商自主知识产权的专用安全操作系统,采用多核多平台并行处理特性(提供计算机软件著作权登记证明);支持多操作系统引导,出于安全性考虑,多系统需在设备启动过程中进行选择;具有防火墙系统自动修复功能(可在国家知识产权局网站查询提供网站截图证明); 3、支持ISL、802.1Q二层协议封装以及VLAN-VPN功能;可对各ADSL链路之间通过WCMP 与ECMP方式进行路由均衡;具有接口联动特性,使同一联动组内所有物理接口的UP/DOWN 状态同步变化(提供功能截图证明); 4、提供支持路由模式、交换模式、混合模式、虚拟线模式; 5、能够基于访问控制策略对最大并发连接数限制;支持在WEB界面中查看每条策略所匹配的当前会话、历史会话与报文统计信息;具有策略自学习功能,并且能够根据自学习结果直接生成访问控制策略;支持策略冲突检测功能; 6、具有防共享接入特性,能够有效识别、报警并阻断局域网网络共享行为;支持免客户端方式实现跨越路由(或其他三层设备)进行IP/MAC绑定功能(提供功能截图证明); 7、具有反垃圾邮件功能,需支持设置黑名单、白名单、灰名单;支持实时黑名单(RBL)功能,可添加5个以上的RBL提供商列表;内嵌快速扫描、深度扫描双引擎杀毒技术,并可以针对HTTP、SMTP、POP3、FTP和IMAP协议选择不同的扫描引擎;每种扫描引擎具有独立的病毒库(提供功能截图证明); 8、为适应业务发展需要,可扩展ASIC硬件加速卡。具有防火墙系统和防火墙多核多平台技术自主知识产权,可在国家知识产权局网站查询提供网站截图证明。 b) 3.2 入侵防御 ★1、2U标准机架式设备,4个10/100/1000Base-T端口持bypass),提供1个扩展插槽,整机吞吐率不小于5Gbps;最大并发连接数不小于100万;提供三年攻击规则库特征库升级授权及三年售后维保服务; ★2、内置SSD固态硬盘存储日志;具备硬件温度监控能力; 3、设备采用自主知识产权的专用安全操作系统,采用多核平台并行处理特性(提供相应资质证明);支持多操作系统引导,出于安全性考虑,多系统需在设备启动过程中进行选择,不得在WEB维护界面中设置系统切换选项(提供截图); 4、要求支持多端口链路聚合,支持11种链路负载均衡算法。(需提供界面截图); 5、系统内置攻击特征库、应用识别规则库、URL过滤库,要求URL过滤库单独分开,