网络哨兵服务器安全审计系统解决方案模板——政府行业(2)

其他诸如应用程序修改、数据源触发器、统一认证系统授权等等方式，均只能记录有限的信息，更加无法提供细料度的数据库操作审计。

所以关键数据库服务器的操作安全审计不得不引起重视，政府作为关系国计民生的特殊行业，政府行业数据库记录了大量的重要信息，一旦丢失或被恶意操作，找不到相关责任人，后果不堪设想。

总体来说，政府行业关键数据库服务器操作安全审计方面存在以下几点急需解决： 1、

通过统一的管理平台，全面记录管理员或使用者对服务器（数据库、OA、ERP、邮件、ftp）访问操作，当“数据库表结构、控制数据访问的权限和数据库配置模式”等发生变化时，需要进行自动追踪。

2、

建议智能的、针对数据库可疑操作的报警系统；可疑行为发生时可以自动启动预先设置的告警流程，防范数据库风险的发生；不论在什么时间、以什么方式、

安全网关技术白皮书

只要数据被恶意修改或查看了就需要自动对其进行追踪。

3、

从多个层面追踪到的信息自动整合到一个便于管理的，长期通用的数据存储，这些数据需要独立于被审计数据库本身。

4、

防止利用合法访问服务器身份对服务器进行非法操作、正常访问服务器对服务器进行误操作；防范上传或发送或发表不良言论、发送不良或有害文件、泄露单位敏感和机密信息、通过服务器攻击其他网站等

基于以上需求，中科新业服务器安全审计系统应运而生，实际弥补了服务器安全应用操作级的安全漏洞，以下将从产品部署、功能方面详细介绍产品性能。

2、 网络哨兵服务器安全审计系统解决方案 2.1、 系统部署

中科新业网络哨兵服务器审计版在工作时，采用旁路侦听的方式；安装部署时，不需要破坏原有的网络结构。因此在网络结构中，也不会造成任何数据流量上的瓶颈。在设计规划整个网络结构时，只需在接入交换机上预留出端口。在整个实施完工后，在交换机上设置好镜像端口并连接上网络哨兵即可。

由于在核心交换机上的业务流量众多，所有的网络流量都将经过此处，对于核心交换机的处理能力是一个考验。为了最大程度地确保终端产生业务流量的安全审计，消除整个系统中可能存在或产生的流量与设备处理性能瓶颈，同时也使服务器安全审计系统无缝地融合进网络中，中科新业认为在此采用旁路接入的方式最为适合。以下是接入网络哨兵后示意图（仅供参考，具体应以实际网络拓扑而定）：

安全网关技术白皮书

路经核心交换机处至服务器区交换机的数据流量完全是安全审计所需侦听的流量，网络哨兵的监听口本身不配置IP地址，所以并不会对原有的网络结构造成大的改变。将网络哨兵按照图正确接入后，就可以利用机房局域网内任何一台电脑对网络哨兵进行管理。同时将网络哨兵本身的管理地址映射到外网。

2.2、 审计步骤说明

整个审计过程分为四步：

规划：确认审计对象、审计目的、审计标准，并开始在客户网络中部署网络哨兵服务器版 分析：这是整个审计活动中的重点，通过对已获取数据进行统计分析，帮助用户对整个服务器的使用做一个全面的评估，迅速发现问题，并找到解决问题的办法

部署管理策略：所有规划和分析的目的都是为了这一步做准备，只有基于对整个服务器进行的深入的分析和研究，所制定的管理策略才能起到它的作用。

评估：在这个阶段，我们将对整个客户网络服务器资源使用状况进行再一次的评估，把所得数据与前一次数据进行对比，评估管理策略的实际效果。 规划

基本要素：

审计对象：确定审计的对象可以帮助我们有针对性的实施审计计划，并可以把整个过程控制在一个可接受的范围之内，并保持整个过程的高效。

审计的目的：审计的最终目的是通过审计确定、解除被审计服务器的安全负荷，此次审计目

安全网关技术白皮书

的是要帮助客户对访问服务器行为进行审计和分析，实现对服务器安全的管理，提高服务器资源利用率，净化服务器环境。

审计的标准：为整个审计行为定下一个得到广泛认可的标准，可以确保整个审计过程的客观、真实，并具有可计量性和可比较性, 此次审计过程中，我们将利用服务器安全审计系统，帮助用户打开这一黑匣子，规范网络行为准则，所有不符合网络管理规定以及与规定不符、危害服务器正常使用、滥用服务器资源影响正常运作的行为均被视为不符合标准，应当列入被审计范围以内。 数据分析

网络哨兵提供了多种针对服务器行为的审计手段，首先我们先对我们所获得的网络浏览方面的数据进行一个深入的分析

第一步：数据获取

我们通过在网络哨兵的审计档案中设定所要查询数据的起始日期和截止日期，把在我们审计范围内的数据提取出来，经过汇总统计，全网所有审计对象的访问服务器记录，同样我们可对访问服务器的POP3、SMTP、TELNET、FTP等各种网络行为在网络哨兵中留下的日志纪录进行汇总统计，同时对数据库支持针对DB2、Oracle、SQL-Server、MySQL等4种数据库的访问全面记录。

第二步：数据筛选，面对如此之大的数据量，我们如何从中找到自己想要的内容呢，如果逐条核查逐条验证，必然耗费巨大的精力，而且也是几乎不可能做到的，网络哨兵为网管员提供了对获取数据进行挖掘、筛选的功能，帮助网管员缩小查询的范围，在最短时间里找到自己想要找到的东西。整个过程我们采取渐进式聚焦的方法，用最快的方法找到我们希望找到的东西，

首先我们可以利用统计视图，依照协议、数据库、机器名、源主机对服务器和服务器流量进行分类统计，并以柱状图或饼状图的形式表现出来，这样做可以帮助我们初步对网络使用状况有一个比较直观的了解，使我们能够及时了解到网络中用户的行为取向。

具体来说我们可以得到以下信息：

可以了解访问服务器中存在哪些协议，如上图我们可以发现网络中服务器存在有以下几种通讯协议：HTTP、TELNET、FTP、SMTP、POP3及其它若干协议等，根据这些信息，我们可以进行下一步的分析，如有哪些机器在什么时间访问了服务器服务，有哪些机器使用了邮件服务和FTP服务等。

我们可以了解WEB服务器各种类别的网站其用户访问次数和时间，帮助管理员发现违规行为通过以上步骤，我们可以成功的把问题焦点缩小在以下几个范围之中，它们有可能是： 是否存在不应该在服务器中开放的服务，如FTP等 各项服务以及每个用户占用了服务器多少网络资源 网络访问内容中是否含有不良信息，如色情网站等

安全网关技术白皮书

个别用户是否由于遭到攻击而发生不寻常的网络行为，如不断对服务器发送大量的数据包或者服务器流量突然增大等

各种行为对服务器的影响有多大，如是否对正常的网络服务有影响

第三步：数据分析，下面我们可以针对筛选出的数据做进一步分析，在这一阶段我们需要找出问题的根源，它应该是针对以下几种问题的回答： 谁在违犯规定 违反了哪些规定 谁在以什么方式违犯规定

如此，问题的焦点集中在了一个方面：即对网络中单个用户或极少数违犯规定的用户和违规上了。

我们可以通过以下方式找到答案，在网络活动日志中根据IP地址、机器名、以及通讯协议等找到目标机器对应的网络活动纪录，进行进一步的分析，比如我们可以选定IP地址为192.168.0.3的机器，查询这台机器所有服务器通讯纪录，如它上过哪些不良信息的网站，在这台机器上是否运行着与规定不符的网络应用程序 …… 此处隐藏：3011字，全部文档内容请下载后查看。喜欢就下载吧 ……