天玥网络安全审计系统白皮书.docx

{财务治理内部审计}天玥 网络安全审计系统白皮书版权声明北京启明星辰信息技术2022 版权全部，保存一切权利未经北京启明星辰信息技术〔以下简称启明星辰〕书面同意不得擅自传播、复 制、泄露或复写本文档的全部或局部内容本文档中的信息归启明星辰全部并受中国学问产 权法和国际公约的保护信息更新本文档及与之相关的计算机软件程序〔以下称为文档〕用于为最终用户供给信息，并且 随时可由启明星辰更改或撤回公布日期： 2022 年 9月适用范围：《天玥网络安全审计系统 V6.0》信息反响如有任何意见或建议，请按如下联系方式反响给启明星辰邮政地址：北京市海淀区东北旺西路 8号中关村软件园 21号楼启明星辰大厦 邮政编码： 100094 ： 86-10-8 ： 86-10-0E-mail： cpyj@免责条款依据适用法律的许可范围，启明星辰原样”供给本文档而不担当任何形式的担保，包 括〔但不限于〕任何隐含的适销性、特别目的适用性或无侵害性在任何状况下，启明星辰 都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使 启明星辰明确得知这些损失或损坏，这些损失或损坏包括〔但不限于〕利润损失、业务中断、 信誉或数据丧失。

本文档中全部引用产品的使用及本文档均受最终用户可适用的特许协议约束名目1 产品概述 11.1 产品简介 11.2 适用场景 11.3 核心价值 12 用户需求〔面临的问题〕 22.1 内部人员操作安全隐患 22.2 第三方维护人员安全隐患 22.3 最高权限用户安全隐患 23 产品主要功能 33.1 面对业务的审计 33.2 数据库响应时间及返回码的审计 43.3 细粒度审计规章和响应 53.3.1定制审计大事规章 53.3.2特定账号行为跟踪 53.3.3强大的数据库细粒度规章 53.3.4多编码环境支持 53.3.5多种响应方式 63.4 强身份认证 63.5 审计报告输出 63.5.1多种筛选条件 63.5.2自动任务支持 73.5.3数据和报表备份 73.6 自身治理 73.6.1安全治理 73.6.2状态治理 73.6.3时间同步治理 84 关键特性与客户收益 94.1 关键特性 94.2 客户收益 94.2.1满足合规性要求，顺当通过 IT审计 94.2.2有效削减核心信息资产的破坏和泄漏 104.2.3追踪溯源，便于事后追查缘由与界定责任 104.2.4直观把握业务系统运行的安全状况 104.2.5实现独立审计与三权分立，完善 IT内控机制 105 部署与使用 115.1 部署方式 115.2 使用留意事项 116 产品型号 137 产品资质 148 效劳支持 151 产品概述1.1 产品简介天玥网络安全审计系统，以下简称天玥，是启明星辰网络安全审计系列产品之一。

天玥网络安全审计系统是针对业务环境下的网络操作行为进展细粒度审计的合规性管 理系统它通过对被授权人员和系统的网络行为进展解析、分析、记录、汇报，以帮助用户 事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，加强内外部 网络行为监管、促进核心资产〔数据库、效劳器、网络设备等〕的正常运营1.2 适用场景天玥的用户通常拥有重要的业务应用系统或者网络根底设施，相应地具备如下需求中的 局部或者全部：1、需要满足各种合规要求，比方等级保护、分级保护、 SOX 等要求；2、需要对重要/关键数据的访问进展审计；3、需要对重要/关键效劳器的访问进展审计；4、期望有效地把握操作风险；5、需要进展事后追查，但缺乏数据记录与追查方法1.3 核心价值天玥的核心价值表达在：完善业务系统的安全防范体系，满足组织机构内外部合规性要 求，全面表达治理者对业务系统信息资源的全局把控和调度力量主要表现在：1、如同不知疲乏的网络警察，时刻监视着对重要资源的访问；2、当消灭安全大事后，能依据翔实的审计记录，一步步地追查出攻击者；3、找出导致安全大事、性能波动的真正缘由；4、帮助用户加强内外部网络行为监管、满足企业内部把握或者外部政策等合规性要求。

2 用户需求〔面临的问题〕2.1 内部人员操作安全隐患随着企业信息化进程不断深入，企业的业务系统变得日益简单，由内部员工违规操作导 致的安全问题变得日益突出起来防火墙、防病毒、入侵检测系统等常规的安全产品可以解 决一局部安全问题，但对于内部人员的违规操作却无能为力依据最新统计资料，对企业造成 严峻攻击中的 70％是来自于组织里的内部人员2.2 第三方维护人员安全隐患企业在进展的过程中，由于战略定位和人力等诸多缘由，越来越多的会将非核心业务外 包给设备商或者其他专业代维公司如何有效地监视设备厂商和代维人员的操作行,进展严 格的审计是企业面临的一个关键问题2.3 最高权限用户安全隐患一般来说，我们都是从各种系统日志里面去觉察是否有入侵后留下来的“蛛丝马迹”来判 断是否发生过安全大事但是，系统是在经受了大量的操作和变化后，才渐渐变得担忧全 从系统变更的角度来看，网络审计日志比系统日志在定位系统安全问题上更可信〔比方， 系统的最高权限用户 root/Administra等tos期以来始终处于不行治理的状态〕3 产品主要功能天玥网络安全审计系统基于 P 数据俘获→强身份认证〔可选〕 →应用层数据分析→审计 和响应”的模式供给各项安全功能，使它的审计功能明显优于目标系统依靠自主保护策略的提审供 计功能。

主要表达在以下几个方面： 与目标系统的状态无关无论目标系统是否遭到入侵，安全机制是否正常运转，天玥的审计结果仍旧是可信的； 能够审计到更细的粒度天玥审计的最小粒度为命令级，而一般操作系统供给的日志受日志来源限制，往往只 能到进程级或者会话级； 能够进展更机敏的自定义审计天玥可以依据用户业务系统的不同供给强大的自定义审计功能，而一般操作系统供给的日志完全取决于自身审计功能，不支持用户自定义；天玥网络安全审计系统主要功能如下： 针对不同的应用协议，供给基于应用操作的审计； 供给数据库操作语义解析审计，实现对违规行为的准时监视和告警； 供给上百种合规规章，支持自定义规章〔正那么表达式等〕，实现机敏多样的响应； 供给基于硬件令牌、静态口令、 Radius 支持的强身份认证； 依据设定输出不同的安全审计报告；3.1 面对业务的审计 数据库审计天玥网络安全审计系统能够监视并记录对数据库效劳器的各类操作行为，实时地、智能 地解析对数据库效劳器的各种操作，一般操作行为如数据库的登录，特定的操作如对数据库 表的插入、删除、修改，执行特定的存贮过程等，都能够被记录和分析，分析的内容要求可 以准确到 SQL 操作语句一级。

并记录这些操作的用户名、机器 IP 地址、操作时间等重要信 息系统能够对承受 ODBC 、JDBC 、OLE-DB 、命令行嵌入方式对数据库的访问进展审计和 响应SQL 语句的支持 SQL92 标准，主要包括以下几种类型的审计： DDL ：Create,Drop,Grant,Revoke… DML ：Update,Insert,Delete… DCL ：Commit,Rollback,Savapoint… 其他：AlterSystem,Connect,Allocate… 存储过程目前，天玥网络安全审计系统支持以下数据库系统的审计 Oracle SQL-Server DB2 Informix Sybase Teradata Mysql PostgreSQL Cache 网络运维审计天玥网络安全审计系统支持常用的运维协议，比方 Te nP 、Rlogi X11 、Radius等协议的审计，能够全程记录用户在效劳器上的各种操作〔包括命令行操作、交互菜单操作、 业务系统操作〕，并且可以实现类似窗口录像回放形式的复原 OA 审计天玥网络安全审计系统支持 、 POP3 、 SMTP 、 Netbio NFS 协议的审计，能够 记录网页 URL 、内容、发件人、收件人、邮件内容、网络邻居的各种操作等信息。

3.2 数据库响应时间及返回码的审计天玥网络安全审计系统支持对 SQLServer、DB2 、Oracl Informix等数据库系统的 SQL 操作响应时间和返回码的审计通过对响应时间和返回码的审计，可以帮助用户对数据库的 使用状态全面把握、准时响应故障信息，特别是当新业务系统上线、业务繁忙、业务模块更新 时，通过天玥网络安全审计系统对超长时间和关键返回码进展审计并实时报警有助于提高业务 系统的运营水平，降低数据库故障等带来的运维风险3.3 细粒度审计规章和响应3.3.1定制审计大事规章天玥网络安全审计系统供给了大事规章用户自定义模块，允许用户自行设定和调整各种 安全审计大事的触发条件与响应策略例如，用户特别关注在 telne过t程中消灭 rm、passwd、shutdown 等命令的行为，那么 用户就可以利用天玥网络安全审计系统定义相应的审计大事规章这样，天玥网络安全审计系 统就可以针对网络中发生的这些行为进展响应3.3.2特定账号行为跟踪系统能够实现对“用户网络环境中消灭的特定账号或特定账号执行某种操作”后的场景进行账号跟踪，供给对后继会话和大事的审计。

这样，治理员能够对消灭在网络中的特权账， 如 roo、t DBA 等，进展重点的监控，特别是哪些本不应消灭在网络上的特权账号突然消灭的事 件3.3.3强大的数据库规章系统能够依据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数 据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件，对用户关心的违规行为 进展响应，特别是针对重要表、重要字段的各种操作，能够通过简洁的规章定义，实现准确审 计，降低过多审计数据给治理员带来的信息爆炸3.3.4多编码环境支持天玥网络安全审计系统适用于多种应用环境，特别是在异构环境中，比方 IBMAS/400 通常承受 EBCDIC 编码方式实现 telnet协议的传输、某些数据库同时承受几种编码与客户端 进展通讯，假设系统不能识别多种编码，会导致审计数据消灭乱码，对多编码的支持是衡量审计 系统环境适应性的重要指标之一，目前天玥网络安全审计系统支持如下编码格式 ASCII Unicode UTF-8 UTF-16 GB2312 EBCDIC3.3.5多种响应方式天玥网络安全审计系统供给了多种响应方式，包括： 在天玥审计效劳器中记录相应的操作过程； 在日常审计报告中标注； 向天玥治理把握台发出告警信息； 实时 RST 阻断会。