1、慧眼网络安全审计系统技术白皮书国都兴业信息审计系统技术(北京)有限公司慧眼网络安全审计系统技术白皮书 Captech (China)Co.,Ltd. 2版权声明本技术白皮书是对国都兴业信息审计系统技术(北京)有限公司慧眼网络安全审计(简称:网络慧眼)的描述。与内容相关的权利归国都兴业信息审计系统技术(北京)有限公司所有。白皮书中的任何内容未经本公司许可,不得转印、复制。本资料将定期更新,如欲索取最新资料,请访问本公司网站: 100193106 Great Road Building, Zhongguancun Software Park, 8 Dongbeiwang Western RD, H
2、aidian District, Beijing 100193,P.R.China电话 (Tel): +86-10-82585166传真 (Fax): +86-10-82825363电子信箱: 慧眼网络安全审计系统技术白皮书 Captech (China)Co.,Ltd. 3公司简介国都兴业信息审计系统技术(北京)有限公司,是中国第一家专业从事 IT 系统审计技术研究与产品开发的企业,公司总部位于北京中关村软件园。公司在不断地探索和实践中奠定了中国 IT 审计技术基础,锤炼出一支专业从事 IT 审计的专业团队。国都兴业是国内 IT 审计技术应用的倡导者。国都兴业以 COBIT 模型为基础,创建
3、了IT 审计技术体系,将具有自主知识产权的“信息系统审计(ITA )技术”和“信息系统安全审计(ITSA)技术”应用于国内关键行业及重要部门的信息系统中。在政府、军队、金融、电信、能源、交通、医疗等重要行业发挥着无可替代的作用。国都兴业主营业务包括:基于资产的 IT 风险评估、IT 审计解决方案、IT 审计产品和IT 审计服务。从 IT 治理角度,对用户 IT 资产与流程进行风险性分析,采用 IT 审计技术对风险点进行连续性地审计监测分析与评估,实现对信息系统风险的全面控制。其具有自主知识产权的“慧眼审计”IT 综合审计平台系统,采用先进的 SOA 架构,通过网络、主机、数据库、业务和日志审计
4、等审计引擎实现对 IT 资产和流程的连续性审计监测和评估,及时发现 IT 安全风险和业务风险,为有效规避风险提供了真正的技术手段。该系统填补了国内信息系统审计技术应用的空白,提高了用户对信息系统的风险控制和规范管理能力。随着国内 IT 审计技术的不断发展,国都兴业得到了社会的广泛认可。2008 年荣获“中国信息化建设 30 周年杰出贡献奖” ;ITEC “中国信息安全最值得信赖品牌” 、 “中国信息产业高成长性企业” ;并以突出贡献获得了北京奥运会信息安全保障 “共铸网络利剑,携手平安奥运”表彰;公司董事长徐亚非先生荣获中国信息化协会授予的“中国信息化建设杰出贡献人物”荣誉称号;2009 年被
5、第十二届中国金融高峰会评为“中国最具投资价值高成长企业” 。博观而约取,厚积而薄发。国都兴业将秉承“诚信、自信、创新、兴业”的企业精神,引领中国信息系统审计技术的发展,实现“信息审计创造价值” 。慧眼网络安全审计系统技术白皮书 Captech (China)Co.,Ltd. 4目录一.背景和必要性 51.1 国内网络应用现状 .51.2 信息安全审计紧迫感和必要性 6二.产品介绍 72.1 产品技术原理 .72.2 产品体系架构 .82.3 产品主要功能 .82.4 产品鲜明特点 .102.4.1 全向的网络行为识别 102.4.2 泄密事件全审计 .112.4.3 独有的深度内容审计技术 1
6、12.4.4 海量数据转储 .122.4.5 完备的自身安全性 122.5 产品部署 .122.6 产品资质、成功案例 .142.6.1 产品资质 .142.6.2 成功案例 .15三.社会效益 15慧眼网络安全审计系统技术白皮书 Captech (China)Co.,Ltd. 5一.背景和必要性1.1 网络应用现状随着互联网的普及,网络安全事件的发生离我们越来越近,我们经常遇到如下情况: 员工利用工作时间,即时通信、论坛发帖、炒股、在线视频、P2P 下载、网络游戏等等行为,不仅占用正常网络带宽还影响工作效率; 员工访问不良网站,浏览非法网站、发表敏感信息和传播非法言论、遭受恶意代码、间谍软件
7、及钓鱼式攻击等,影响企业网络正常运行,并可能涉及国家法律问题; 员工随意通过 EMAIL、即时通讯、网络共享文件夹、文件上传下载等方式发送敏感业务信息和关键数据,导致信息外泄事件发生,对企业造成极大的损失;慧眼网络安全审计系统技术白皮书 Captech (China)Co.,Ltd. 6面对上述网络信息安全管理风险和技术风险,不少企事业单位在防火墙、入侵检测、防病毒等方面投入大量资金,但是却收效甚微,信息泄密、网络违规事件依然层出不穷。如何保证企业网络信息资产安全,净化网络环境,规范上网行为,同时符合国家计算机信息系统安全保护等级准则和计算机信息系统安全保护分级准则 、 (公安部 82 号令)
8、等法规对信息审计的要求,帮助完善各组织机构的 IT 内控与审计体系,符合 萨班斯(SOX)法案要求,从而满足各种合规性要求,使得各组织机构能够顺利通过 IT 审计是广大企业迫切需要解决的问题。在安全风险管理方面,企业和政府部门随着信息化建设的不断发展促使信息价值不断提升。随着业务和 IT 融合不断地深入和数据共享需求的不断扩展,信息资产安全面临着管理、技术和审计的多方面风险。1.2 信息安全审计紧迫感和必要性随着日益增长的互联网安全风险,安全问题复杂、性隐蔽性不断增加。根据 ITSC 所公布的报告,2008 年数据外泄件数总计有 656 件,比 2007 年的 446 件增加了 47%;其中一
9、般企业的数据外泄情况更有愈来愈严重的倾向。另外依据 FBI 和 CSI 对 484 家企业的调查及中国国家计算机网络应急协调中心CNCERT/CC 的调查结果显示大约 76%的网络安全威胁来自于网络内部,其危害程度更是高出了黑客攻击和病毒造成的损失,而这些威胁大部分与内部各种网络访问行为有关,而且大量重要信息的泄露是由内部人员造成的,这基本上是传统安全设备的盲点,内部网络防护的关键已经上升到了内容安全的高度。传统的网络安全手段,可实现对网络异常行为的管理和监测,如网络连接和访问行为的合法性进行控制管理、监测控制网络攻击事件等,但是不能监控网络内容和已经授权的正常内部网络访问行为,因此对正常的网
10、络访问行为导致的信息泄密事件、网络资源滥用行为(即时通信、论坛发帖、在线视频、P2P 下载、网络游戏等)也无能为力,难以实现针对网络内容、网络行为的监控管理及安全事件的报警响应、追查取证的目标。因此迫切需要一种安全手段对上述问题进行有效地监控和管理,对于任何慧眼网络安全审计系统技术白皮书 Captech (China)Co.,Ltd. 7一个安全体系来讲,审计取证手段都是必不可少的,是整个信息安全体系中不可缺少的重要组成部分。二.产品介绍2.1 产品技术原理网络安全审计系统主要通过旁路监视并记录对数据库服务器的各类操作行为,通过对各类网络行为的分析,实时地、智能地监控审计,并将审计数据存储,以
11、便日后进行查询、分析,实现对整个网络环境内的操作访问行为的监控和审计。慧眼网络安全审计系统技术白皮书 Captech (China)Co.,Ltd. 82.2 产品体系架构慧眼网络审计系统主要由高效采集分析、动态协议监测、算法匹配、策略管理、数据建模分析、条件组和审计和事件预警响应等功能模块组成。2.3 产品主要功能1 全面的网络行为识别能力慧眼 NetAudit 提供全面细粒度的网络行为审计解决方案。系统支持基于时慧眼网络安全审计系统技术白皮书 Captech (China)Co.,Ltd. 9间、用户、协议、内容等多种条件组合的信息审计策略,对邮件收发(WEBMAIL、SMTP、POP3)
12、 、文件上传下载(HTTP、FTP) 、论坛、博客、即时通讯(QQ、MSN、YahooIM 等) 、P2P(BT、Edonkey、迅雷、PPlive 等) 、终端类行为(Telnet、SSH、RDP 等)等多种网络行为进行全面信息审计,通过 IP 地址和协议端口等逻辑组合的横向甄别和以独立数据包、独立会话、会话关联等多视角构建要素的纵向识别,提供实时告警、信息还原功能,对机密信息外泄、非法言论传播等行为的及时响应处理、事后追查取证提供有力支持。2详尽的统计分析能力慧眼网络审计系统具有详细的统计分析功能,提供了基于行为类型、行为类型组的网络行为实时统计;提供了基于总流量、流入流量、流出流量的实时
13、流量统计;还提供了基于字节与包数的分类统计,统计结果同时以直方图、饼图、折线图、TOP 排名等多种形式相结合进行统计结果直观完美的展现。3高效的关键词查询能力慧眼网络审计系统不仅能实现对 HTML 正文、邮件正文、Word、PPT、PDF等文档中包含的关键词等基本要素的实时监测、查询。同时支持自定义内容关键字库,实现敏感信息的深度检测识别还原,高效的关键词查询能力保证成千上万个网络记录中命中关键的内容。4深度的内容展现能力慧眼 NetAudit 不但实现了准确无误的提取各种网络行为中的各项属性,如URL、邮件地址、QQ 账号、MSN 账号、文件名等信息,而且可以实现对各种类型的 Doc 文档、
14、Pdf 文档的文本抽取。同时还能够实现对 HTML 正文、邮件正文等基本要素的实时监测、查询,还可以监测、查询网络中传输的 Word、PPT、PDF等文档中包含的关键词,包括通过 ZIP、RAR、GZIP 等压缩文件中的内容。5丰富的报表展示能力慧眼 NetAudit 提供丰富的审计查询条件和细致的统计分析条件,通过多样化的关联查询分析能力,保证数据展现的灵活多样。同时提供强大的报表模板以及可定制的客户化报表,满足用户不同层次的需要,提供直观、多样的统计与审计报表的输出功能。慧眼网络安全审计系统技术白皮书 Captech (China)Co.,Ltd. 102.4 产品鲜明特点2.4.1 全向
15、的网络行为识别慧眼 NetAudit 提供全面细粒度的网络行为审计解决方案,通过 IP 地址和协议端口等逻辑组合的横向甄别和以独立数据包、独立会话、会话关联等多视角构建要素的纵向识别进行全向网络行为分析审计。 2.4.2 独有的深度内容审计技术慧眼 NetAudit 不但实现了准确无误的提取各种网络行为中的各项属性,如URL、邮件地址、QQ 账号、MSN 账号、文件名等信息,而且可以实现对各种类型慧眼网络安全审计系统技术白皮书 Captech (China)Co.,Ltd. 11的 Doc 文档、Pdf 文档的文本抽取。同时还能够实现对 HTML 正文、邮件正文等基本要素的实时监测、查询,还可
16、以监测、查询网络中传输的 Word、PPT、PDF等文档中包含的关键词,包括通过 ZIP、RAR、GZIP 等压缩文件中的内容。2.4.3 海量数据转储慧眼 NetAudit 面对海量的审计数据具有手动转储和自动转储的数据转储功能,通过设置灵活的转储策略,定时将系统内的审计数据转储到存储服务器上。需要事后查看时,可根据转出的信息源进行还原信息。完整的转储日志包括,时间、类型、转储系统、策略管理、授权起始日期、源 IP、目的 IP、信息和监控配置等信息,完全符合国家相关法规对审计数据和日志保存时间的要求。2.4.4 完备的自身安全性慧眼 NetAudit 通过设定系统管理员、用户管理员、系统审计
17、员并赋予相应权限以达到完整的三权分立,符合审计合规要求,拥有特色的资源监控、智能诊断、SSL 加密、安全密码等自身安全性机制,确保系统自身良好的可靠性、安全性、业务连续性。2.5 产品部署慧眼网络安全审计系统采用旁路侦听工作原理,支持二种部署方式:一种慧眼网络安全审计系统技术白皮书 Captech (China)Co.,Ltd. 12是采用网络(光电)信号旁路接入器(TAP) ,它的工作方式是采用网络电信号或光信号的复制原理来旁路网络信号。其优点是不占用交换机端口,不会影响交换机的性能,TAP 采用 BYPASS 电路,当 TAP 发生故障时二个接入(RX和 TX)口内部形成短路直通,不影响网
18、络工作。另一种是采用端口镜像方式监听数据。具体部署示意如下:部署说明如下图:部署网络审计系统,采用端口镜像方式将用户上网流量分别连接到慧眼网络安全审计系统,在系统设置相应的审计对象及审计规则:通过部署部署网络安全审计系统,能够及时发现业网络内的各种上网行为,一旦出现违规事件,及时通知相关的责任人员进行及时处理,同时对安全事件的发生可通过远程操作回放等功能实现追溯并定位。慧眼网络安全审计系统技术白皮书 Captech (China)Co.,Ltd. 132.6 产品资质、成功案例2.6.1 产品资质2.6.2 成功案例三.社会效益慧眼网络安全审计产品的价值体现:慧眼网络安全审计系统技术白皮书 C
19、aptech (China)Co.,Ltd. 141. 满足合规性要求,促进 IT 审计目前,越来越多的单位面临一种或者几种合规性要求。例如:政府等行政部门或国有企业有遵循等级保护等合规性要求;在美国上市的中国企业面临SOX 法案的合规性要求;商业银行面临银监会的合规性要求。慧眼网络审计产品为用户提供了一系列具有针对性的 IT 审计解决方案,有助于完善组织的 IT 内控体系,从而满足各种合规性要求,并且使组织能够顺利通过 IT 审计。2. 追踪溯源,便于事后取证企业不但要制定相应的规章制度,而且还要制定相应的管理监督机制,一方面不形成规章制度或者未成文的规则是很难实施的,同时如果员工违反了安全
20、管理制度,若没有合理的监督审计机制也很难达到落实的效果。网络慧眼网络审计能够提供各类责任到人的访问记录,保证操作的可追溯性。帮助企业进行事后追查原因与界定责任。3.提高工作效率和资源的利用率慧眼网络审计系统的使用,能有效降低企业内部人员上班时间聊天、论坛发帖、炒股、在线视频、P2P 下载、网络游戏等网络行为,避免了员工非法言论的法律风险,提高了网络资源使用率和企业的整体经济效益。4.合规性的审计报表,系统运行状况实时掌握提供符合性报表集,加快按照各种法规/最佳做法等框架(包括 SOX、等级保护、分级保护等)进行的审计、安全和符合性检查工作。这些报表不仅关注具体法规标准,而且还关注与业务应用相关的指标。慧眼网络审计系统提供的业务流量监控与审计事件统计分析功能,能够直观地反映网络环境的安全状况。使得管理者可以直观的实时了解业务系统安全状况。5. 实现独立审计与三权分立,完善 IT 内控机制从内控的角度来看,IT 系统的使用权、管理权与监督权必须三权分立。网络安全审计系统实现独立审计,帮助监督人员获得有效的技术手段,基于三权分立的基础上实施内控与审计,能有效控制操作风险,从而完善企业 IT 内控机制。
