Transcript 绿盟冰之眼安全审计系统
冰之眼安全审计系统 ——日常使用、配置相关 www.nsfocus.com © 2010 绿盟科技 1 审计系统SAS简介 2 审计系统SAS上线配置 3 审计策略配置 4 审计系统SAS常见维护 SAS 产品简介 面临的主要问题 等级保护 • 国家颁布的安全等级保护技术要求,在确立为第 二级(指导保护级)以及以上级的信息系统中必 须建立并保存下面的各种访问日志 公安部82号令 • 明确要求互联网服务提供者和连接到互联网上的 企事业单位必须记录、跟踪网络运行状态,监测 互联网安全事件 萨班斯法案 • 在美国上市公司必须遵循的“萨班斯(SOX)法案” 中要求对企业内部网络信息系统进行评估,其中 涉及对业务系统操作、数据库访问等业务行为的 审计 绿盟科技安全审计 产品功能示意 数据库操作审计 • 支持ORALCE、SQL SERVER、MY SQL、 INFORMIX、DB2等数据库;支持多种组合 策略 邮件审计 • 支持SMTP、POP3、WEBMAIL等协议 • 支持基于邮箱地址、邮件主题、邮件内容、附 件名的关键字审计功能 业务操作命令审计 论坛审计 •支持FTP/TELNET • 覆盖国内多数主流论坛 • 实现命令级审计 • 完整记录日志信息包括发帖主题、发帖内容等 上网行为审计 即时通信行为审计 •基于关键字的网页内容审计 • 支持QQ、MSN Messenger、ICQ、雅虎通、 • 网站访问行为审计 • 庞大的URL库,超过一千万条 新浪UC等 文件上传下载 用户认证 • 支持HTTP、FTP 协议 • WEB登录认证 • 用户可自定义下载文件类型,对文件上传、下 • 支持LDAP/RADIUS认证 载类型进行审计 • 完整日志信息记录,包括操作命令、文件名等 部署示意 产品架构 系统三大组件 • 网络引擎 • 安全中心/WEB控制台 • 升级站点 产品上线配置 冰之眼SAS配置-Web登录 • 端口默认的IP地址为192.168.端口号.1/24 • Web登录:https://192.168.x.1(默认用户/密码: webadmin/webadmin) 冰之眼SAS配置-导入证书 •证书(License) –控制系统工作模式 –控制有效工作口数 –控制正常升级期限 •导入 –解压证书文件 –导入sensor文件夹中文件 即可 –按照提示操作(重启引擎), 生效 冰之眼SAS配置-配置网络接口 • 配置设备管理地址 – 修改对应接口的IP即可 – 对应安全区为【带外管理】 – 配置管理地址对应的网关(可省略) • 配置监听口的安全区 – 对应安全区为【监听】 例如上图中ETH1为审计数据口,ETH0为设备管理口 冰之眼SAS配置-系统控制 • 通过系统控制,将配置更改生效 – 应用配置:策略配置生效 – 重启引擎:网络接口配置生效,有瞬断现象 策略配置生效 网络配置更改生效 冰之眼SAS配置-安全中心 • 安全中心:设备统一管理+日志分析 • 安全中心的安装 –确认没有安装IIS、apache 和postgresql 应用服务,如 果已安装必须先卸载或者进行特殊配置 –安装的硬盘分区格式必须是NTFS –双击setup.exe文件进行安装 –安装完毕可以通过双击桌面图标和浏览器远程访问( https://IP地址)2种方式,用账号admin/admin登录 安全中心配置:冰之眼管理 • 添加需要管理的SAS引擎 冰之眼SAS配置-管理配置 • 引擎配置安全中心地址,完成数据日志发送 – 本机地址:SAS的管理地址 – 主安全中心地址:安全中心服务器地址 – 一号安全中心地址:安全中心服务器地址 小结 • 网络接口分配(如:eth0管理,eth2 监听) • 探测器的安装:浏览器进行初始配置 –登录:webadmin/webadmin –sensor证书导入:系统-〉证书管理 –网络配置:网络-〉接口 –接口IP地址改变 –添加路由 (探测器与控制台不在一个子网;起三层模式) –网络配置:系统配置-〉安全中心连接 –保存、重起引擎 • 安全中心的安装 –确认没有安装IIS、apache 和postgresql 应用服务,如果已安装必须先 卸载或者进行特殊配置 –安装的硬盘分区格式必须是NTFS –admin/admin登录,添加需管理的探测器 审计策略配置 图示 • 策略完全基于对象组成 配置要点 • 内容审计策略的核心是审计对象 • 审计对象聚焦于您的关注点 – 数据库审计 – 上网行为审计 – 网上应用审计 – 服务器操作审计 – …….. • 审计对象的核心是关键字 – 关键字越精确,审计效果越好 – 存在部分审计对象,基于规则,如视频/P2P… 审计对象 • 系统审计对象 • 自定义审计/审计组 • 审计策略通过对审计对象的组合实现不同的审计要 求 实现上网行为审计 • 网站访问审计 – HTTP_访问普通站点 – HTTP_访问特定站点 • 网页内容审计 – HTTP_搜索引擎提交关键字 – HTTP_访问页面包含特定关键字 – HTTP_论坛发贴子包含特定关键字 – TELNET_论坛发贴子包含特定关键字 信息泄漏审计 • 邮件审计 – SMTP_邮件发送 – POP3_邮件接收 – WEBMAIL_邮件发送 – 审计的附件包括word/pdf/文本文件 • 即时通信工具审计 – MSN_发送/接收消息 – QQ_发送/接收消息 • 文件传输审计 – HTTP_文件上传、下载 – FTP_文件传输 数据库审计 • 典型数据库审计策略如下: • 包含多种操作命令审计 业务操作命令审计 • 业务操作审计 – 默认对FTP/TELNET 操作进行审计 – 策略包含审计对象如下所示: 其他审计要求:资源滥用 • 对使用网络的行为进行审计 – ANY_在线视频 – ANY_在线游戏 – ANY_IM聊天 – ANY_股票软件 关键字 • 关键字的类型 – 常规关键字 – 正则表达式:regex_ – 16进制关键字:hex_ • 关键字的匹配原则 • 关键字的设置 – 关键字字段 – 关键字列表文件 高级功能:协议还原 • 系统支持对若干重要对象提供协议还原功能, • 支持的对象包括: HTTP • 浏览网页 • 论坛发帖 • Web Mail SMTP •邮件发送 POP3 •邮件接收 Telnet •操作命令 FTP •操作命令 例子1 邮件事件信息 邮件事件摘要 邮件还原信息 例子2 发帖事件信息 事件摘要 发帖还原信息 实时论坛发帖记录 发帖内容全面还原 协议还原配置方法 • 在内容审计规则上配置协议还原 • 审计对象支持协议还原时才会出现相关选项 • 组对象与多选对象不支持协议还原 还原信息查看方法 • Web界面 – 在事件报表中进行查看 – 带有还原信息的事件以粗体显示 – 事件摘要中包含还原文件的链接 还原信息查看方法 • 安全中心 – 在日志分析中进行查看 – 在系统->系统设置->协议还原文件接收设置 可以进行内容管理事件协议还原文件的接收设置,包括帐 号、密码和协议还原文件的存放目录。 还原信息查看方法 • 还原文件的格式 – HTTP协议 • 还原文件为html格式 • 可以直接在浏览器中查看 – SMTP&POP3协议 • 还原文件为eml格式 • 可以保存到本地后双击查看 – Telnet&FTP协议 • 还原文件为txt格式 • 可以直接在浏览器中查看 还原信息同步 • 还原信息通过FTP同步到安全中心 • 需要在引擎上配置同步信息 – 服务器地址 – 用户名 – 密码 – 同步时间 • 需要在安全中心上配置FTP服务器 – 同步用户的根目录需设置到安全中心的安装目录 常见维护 安全中心之 日志分析 日志分析 • 日志查询 • 报表 • 日志维护 安全中心之: 日志分析 日志分析 • 日志查询 • 报表 • 日志维护 安全中心之: 日志分析 日志分析 • 日志查询 • 报表 • 日志维护 • 备份 • 恢复 • 清除 • 自动备份 升级相关 • 设备升级 – 访问http://update.nsfocus.com/,即可获取最新的升级 文件 – 登陆设备web管理界面,系统->升级恢复 中导入 升级相关 • 安全中心在线升级 – 可以在 系统系统设置自动升级设置 里进行设置 升级相关 • 安全中心离线升级 – 访问http://update.nsfocus.com/,即可获取最新的升 级文件 – 在安全中心上导入 联系我们 • 客户支持热线 400-818-6868 • 24小时手机 13321167330 谢 谢! www.nsfocus.com © 2010 绿盟科技