业务系统是由包括主机、网络设备、安全设备、应用系统、数据库系统等在内的多种IT资源有机组合而成的。因此,面向业务的审计就要对构成业务系统的各个IT资源之间的访问行为以及业务系统之间的操作的审计,这样才能真正反映出业务系统的安全状态。网神SecFox-NBA(业务审计型)就是这样一个集成了数据库审计、主机审计、应用审计和网络流量审计的面向业务的综合安全审计系统。
SecFox-NBA(业务审计型)产品采用多种方式来更深入具体地分析业务系统: 复杂环境支持:根据实际网络情况,系统管理员可以定义多个业务网络。
业务网络拓扑:系统能够记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,根据业务网络的变化可以快速查看业务网络中各个设备和整个业务网络的事件和告警信息。
可视化行为分析:通过可视化的行为分析,可以清晰地定位访问源、访问目标服务器、应用协议及其操作内容。
业务流量展现:系统能够展示出业务网络中各个节点(包括主机、无IP设备)在网络中的应用层的流量分布情况,管理员可以根据业务网络流量优化业务网络。
三层架构的业务审计:现行的很多业务系统都是基于客户端/浏览器、应用服务器和数据库的三层架构。单纯审计数据库,可能获取的用户名称和访问地址都是中间件的用户和地址,难于定位访问源。采用基于业务的审计就可能化解这个问题,系统可以将客户端访问的服务,中间件,数据库建立一个审计的业务,利用访问时间作为关联条件,将客户端访问和数据库访问关联,通过可视化的行为分析,定位访问源。
应用服务实时监控
应用服务是企业和组织IT应用的核心,SecFox-NBA(业务审计型)采用先进的主动探测监控方式,无需在应用服务系统中安装任何代理或软件,模拟应用数据直接监控这些应用服务,一旦这些服务出现无法响应或响应太慢,将会触发事件告警及时通知管理员,管理员可以迅速采取相应的措施。管理员可以根据自定义的时间段生成监控报表,报表可以另存为HTML、EXCEL、文本、PDF等多种格式。通过这些报表可以了解应用服务的实际运行性能,帮助管理员制定相关应变措施,帮助应用开发人员进行调整优化。
SecFox-NBA(业务审计型)可监控企业和组织的各类应用服务,包括各类数据库、中间件等,不但可以监控这些应用和服务的状态和响应时间,还可以监控他们的详细性能指标,例如Oracle数据库的表空间大小等,可以为管理员提供全面而详实的参考信息。
系统还提供监控快照功能,实时提供各种详细的监控指标。管理员可以在一个界面上查看所
方案
有的监控信息,并了解之间的联系,而不是孤立地看待每个指标。系统提供图形和数据等多种方式,便于管理员全面的了解和分析应用和业务的性能和故障。 资源转换与审计控制
SecFox-NBA(业务审计型)支持敏感信息的屏蔽,防止审计人员看到不归他管的敏感数据;当用户所属角色没有敏感信息查看的权限时,则该用户在查看事件明细时,将无法查看【操作内容】、【返回信息】、【原始消息】三个可能包含敏感内容的字段。
资源转换:将原始的SQL语句中某些字段以指定内容进行显示。包括:帐号资源、数据表资源。此功能可自动将原始的SQL语句转换成用户一目了然的业务操作流程,以中文方式显示审计内容中的重要字段,不仅方便数据库管理员,也方便非专业人员进行审计信息的查看。
内置数据库防攻击策略
SecFox-NBA(业务审计型)内置抗攻击策略,在识别出对数据库服务器进行攻击时记录相关操作。用户可以手动设置报警,以便及时进行相应。典型的内置防攻击策略包括: SQL insert 注入攻击 SQL exec 注入攻击 SQL update 注入攻击
IBM DB2数据库xmlquery缓冲区溢出尝试 Oracle安全备份命令exec_qr注入攻击
Oracle BEA WebLogic Apache连接器HTTP版本拒绝服务攻击 Oracle安全备份POST exec_qr注入攻击
Oracle安全备份msgid 0x901用户名字段缓冲区溢出尝试 快速响应和协同防御
SecFox-NBA(业务审计型)在识别出安全事故后,能够自动或者用户手工的对威胁进行响应,采取安全对策,从而形成安全审计的闭环。
SecFox-NBA(业务审计型)能够对业务网中所有IP的流量进行分析,因而能够更为精确地定位安全威胁,并对符合策略的告警事件进行阻断,实时自动阻止可疑行为。
在发生告警后,SecFox-NBA(业务审计型)可以通过电子邮件、SNMP Trap等方式对外发出通告,能够执行预定义命令行程序,并将事件属性作为参数传递给该命令行程序。
SecFox-NBA(业务审计型)可通过与网络设备或安全设备共同协作来关闭威胁通信,以阻止正在进行的攻击。SecFox-NBA(业务审计型)可以与众多第三方网络设备、安全设备进行联动。例如,在发现攻击后,阻断网络交换机的端口,或者更改防火墙和入侵检测系统的安全规则,阻止攻击的扩散和恶化。SecFox-NBA(业务审计型)支持与市场上大部分安全
方案
设备和网络设备之间的策略联动。
此外,通过SecFox-NBA(业务审计型)与网神其他SecFox安全管理产品的综合使用,可以实现完整的从安全风险监控、分析到决策的安全管理流程的闭环。 海量存储便于事后分析
SecFox-NBA(业务审计型)可以将采集到的所有数据包和告警信息统一存储起来,建立一个企业和组织的集中事件存储系统,满足国家标准和法律法规中对于事件存储的强制性要求,为安全事故增加追查取证的信息来源和依据。
SecFox-NBA(业务审计型)具有海量事件处理和存储的能力。单个SecFox-NBA(业务审计型)系统能够以每秒6000条到24000条的规模接收数据包,能够在线存储10亿到40亿条事件记录。加上系统的数据归档与离线存储功能,SecFox-NBA(业务审计型)能够存储的数据量大小仅取决于服务器磁盘存储空间的大小。
SecFox-NBA(业务审计型)具有极强的存储扩展能力,产品自带500GB~2TB的存储空间,用户亦可以在后期进行容量扩展,或者直接外接存储设备。
SecFox-NBA(业务审计型)在进行数据管理的时候,对数据存储算法进行了充分优化,使得
使用小型数据库的情况下就达到了上述性能。此外,用户在使用本系统的时候,无需购买额外的数据库管理系统和许可,也不必花费专门的精力去维护数据库,这些都大大降低了用户的总拥有成本。
SecFox-NBA(业务审计型)提供多种事件存储策略,能够方便地进行事件备份和恢复。 SecFox-NBA(业务审计型)为管理员提供了强大的事后分析工具,使得管理员能够最大限度地对这些事件进行深度挖掘,寻找潜在的安全威胁。
此外,SecFox-NBA(业务审计型)的事后分析功能可以协助管理员进行计算机取证分析,收集外部入侵或者内部违规的证据。 部署灵活简单易用
SecFox-NBA(业务审计型)采用旁路侦听的方式进行工作,对业务网络中的数据包进行应用层协议和流量分析与审计,就像真实世界的摄像机。利用网神先进的业务协议检测技术(Business Protocol Inspection Technology),SecFox-NBA(业务审计型)能够识别各类数据库的访问协议、FTP协议、TELNET协议、VNC协议、文件共享协议,以及其它20多种应用层协议,经过审计系统的智能分析,发现网络入侵和操作违规行为。同时,借助网神先进的业务流量监测技术(Business Flow Inspection Technology),SecFox-NBA(业务审计型)识别网络中各种应用层协议的流量,及时发现流量违规和异常。
SecFox-NBA(业务审计型)部署十分方便,即插即用,不必对业务网络结构做任何更改,对业务网络没有任何影响。SecFox-NBA(业务审计型)可以同时审计多个不同的网段;多个系统可以级联,实现分布式部署,实现对大规模业务网络的审计。 系统部署后立竿见影,即可自动发现所侦听网络中的数据库访问行为。
详尽有效审计报表
SecFox- NBA(业务审计型)具有强大的报表分析功能。系统的报表分析引擎能从多种角度多种维度对数据进行分析;能提供实时分析、历史分析等分析手段;能对比统计的结果,分析数据的发展趋势;能将结果以图形方式(柱图、饼图、曲线图等)显示、打印;报告可用PDF、HTML、Excel或RTF等格式存档。 SecFox- NBA(业务审计型)的报表报告生成系统灵活易用。它提供大量预定义的报表模板,用户可使用预定义的报表模板生成报表。
SecFox- NBA(业务审计型)具备强大的自定义报表功能。用户可以通过报表编辑器,只需
方案
4步,即可方便地自己定义各种复杂的报表,包括报表的内容、布局,以及运行调度设置,满足企业和组织自身不断业务发展的需要。
SecFox- NBA(业务审计型)允许用户对报表生成进行日程规划,定期自动生成审计报表,提供打印、导出以及邮件送达等服务,并根据计划归档报告,归档之后发送邮件通知。
SecFox-NBA(业务审计型)支持审计主机用户和数据库用户的行为趋势报表,可以生成指定时间段用户行为趋势报表,包含用户的操作行为曲线,可以审计和分析用户的行为特点,为决策分析和调查取证提供数据支持。
方案
产品简介 产品组成
SecFox-NBA(业务审计型)产品仅包括硬件形态的审计器。产品采用B/S架构,管理员无需安装任何客户端软件,通过IE浏览器登录审计器即可进行各种操作。管理员也可以将分布在网络上的多个审计器的信息统一发送到SecFox安全管理中心,通过IE浏览器登录SecFox安全管理中心进行集中审计。 Web控制台 平台 Windows 支持的操作系统 Microsoft Windows 2000 系列 Microsoft Windows 2003系列 Microsoft Windows XP系列 系统需求 -最低Pentium III 1.1GHz CPU -至少512M内存 -16位真彩,建议分辨率为1024×768以上 -Internet Explorer 7.0+
功能列表 功能点 说明 支持对包括MS SQL Server、Oracle、DB2、Sybase、MySQL、Infomix、达梦在数据库及业务内的多种数据库,包括Windows、Unix、Linux、AIX在内的各种操作系统,包服务审计范围 括WebShpere、WebLogic在内的中间件,以及VNC、FTP、HTTP、SMTP、POP3、NETBIOS、TELNET、Web Service等各种网络通讯和数据访问协议进行审计 可审计数据库的DDL(数据定义语言):例如Create、Alter、Dro等;DML(数据操纵语言):例如insert、delete、update、select等;DCL(数据控制语言):例如特权帐户执行的grant、deny、revoke等操作;以及其它操作:例如事务处理操作、备份恢复操作、执行系统或者自定义存储过程等)。审计内容可以细化到域、模式、库、表、视图、记录、字段、用户、存储过程、函数、绑定变量 系统能够记录数据操作请求的返回结果,包括成功和失败。如果返回失败信息,则还能记录错误码 系统能够在审计员进行操作查询分析的时候隐藏敏感信息,例如涉及公司机密的重要字段对应的数值,避免因为安全审计本身出现信息泄露 数据库操作记录审计 数据库返回记录审计 数据库敏感信息隐藏 可审计VNC、Telnet、网上邻居和定制的主机协议的登录、注销和一般操作等行为;可审计FTP协议的登录、注销和一般操作等行为,可以审计FTP操作的文网络行为审计 件/目录名称;可审计HTTP协议的访问行为,并可以对URL进行基于正则表达式的关键字匹配审计;可审计SMTP/POP3协议的访问行为,包括发件人、收件人、邮件主题等内容 审计从三层到七层协议的流量,能够审计20种以上的应用层协议,包括IM、P2P、HTTP、POP3、SMTP、DNS等。流量审计的内容包括数据包分布审计、流量分布审计、应用协议流量审计、端口流量审计,用户可以进行协议分析、会话分析、节点分析 管理员可以根据实际网络情况定义多个业务,并建立可视化的业务拓扑视图,快速查看业务网络中各个设备和整个业务网络的事件和告警信息。用户对业务拓扑进行编辑、拖放、连接等操作 系统能够对记录下来的数据库操作及其返回结果以会话为单位进行回放。回放的时候能够显示当前会话的源、目的地址以及会话持续的时长 可以通过实时统计功能清楚看到业务网内部告警事件、活动会话、活动会话的事件列表、被保护对象的访问情况,统计最近10分钟的数据 流量审计 业务审计 操作回放 实时统计 方案
机房整改解决方案 doc - 图文
