需求分析


信息化办公时代,IT管理和信息安全日益重要,了解内部网络有哪些人在用,这些人都操作了什么,对于IT管理人员尤为重要,《中华人民共和国网络安全法》提出明确要求,‘采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。’天玥网络审计系统专门用来记录用户操作,监控用户行为,发现网络异常,帮忙IT管理人员了解网络状况,规范网络操作。

 

产品简介

产品简介


天玥网络安全审计系统(以下简称天玥系统)是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对业务人员访问系统的行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部网络行为监管、促进核心资产(文件服务器、邮件服务器、数据库服务器等)的正常运营。对于业务系统的核心系统审计能力表现尤其出色,是解析粒度最细的审计产品。

 

功能特点

  • 具有审计日志的大数据分析能力,为海量日志下的异常分析和取证溯源提供支持。

  • 具备多种审计报告模板,可按照日、月、季度等周期性生成审计报告,审计报告支持PDF、Word等多种格式导出,可定制化各种审计报告。

  • 事件查询统计提供了精细的过滤条件定义,方便用户精确查询历史行为,查询到的事件和会话之间可以做到互相关联,方便用户分析。

  • 审计日志信息全面,包括时间、客户端IP和端口、服务端IP和端口、客户端程序、操作关键内容、事件级别、业务用户身份、资源账号等信息。

  • 对审计到的操作可以及时的进行各种响应,协助网络和安全管理人员及时了解和控制各种网络访问行为。

  • 可针对各种常用业务网关键服务器,如文件服务器、邮件服务器、数据库服务器等的访问进行审计,内置了针对不同协议的各种规则集模板,用户可自由选择。

 

技术优势

  • 多种维度的合规报告

    系统提供60余种报告模板,提供事件的决策依据。多种维度的合规报告:系统提供各类多维的统计分析模板,可定制各类审计报告。

  • 及时多样的响应方式

    系统提供了多种响应方式,可与第三方管理平台进行联动。

  • 独特的端口认证功能

    系统提供了三种认证方式,实现对自然人的追踪和稽查。

  • 高速的事件入库能力

    系统采用了固化硬件架构设计,超大容量数据存储空间。

  • 灵活的规则定义能力

    系统预置了业界全面的审计规则集。

  • 多码环境的适应能力

    系统具备识别多种编码的能力,避免出现乱码情况。

  • 全面的协议覆盖能力

    系统提供了对不同类别数据库、运维操作、OA操作审计。

  • 强大的协议解析能力

    系统融合了语义检测技术和特征检测技术,实现三到七层的协议分析。

 

典型应用


有两种典型的应用部署方案:
天玥网络安全审计系统部署示意图
天玥审计部署示意图
天玥网络安全审计系统多级分布式部署示意图 

天玥多级分布式部署示意图


产品特点


● 全面的协议覆盖


启明星辰GE支持运维协议、常见内网网络协议以及互联网行为的审计,同时也可以支持数据库协议的审计;

 

1.png


● 多编码环境支持


启明星辰GE适用于多种应用环境,特别是在异构环境中,比如IBM AS/400通常采用EBCDIC编码方式实现Telnet协议的传输、某些数据库同时采用几种编码与客户端进行通讯,若系统不能识别多种编码,会导致审计数据出现乱码,对多编码的支持是衡量审计系统环境适应性的重要指标之一,启明星辰GE支持如下编码格式:ASCII、UTF-8、UTF-16、GB2312、EBCDIC。


● 支持多种响应方式


启明星辰GE提供了多种响应方式,支持包括记录、忽略、定级、界面告警、RST阻断、Syslog、SNMP Trap、邮件等技术手段,并可与第三方管理平台进行联动(如SOC平台、4A平台等),以帮助用户实时掌握审计信息。


● 支持灵活的审计规则


为了使审计策略更加灵活、精准,启明星辰GE采用了灵活的审计规则和黑白名单的机制,大大降低了审计策略的复杂程度,同时也减轻了管理人员的工作量:


审计规则的定制条件包括时间IP、端口、账号名称、事件级别、内容等,能够以精确匹配、模糊匹配、正则表达式匹配方式对审计事件进行匹配,帮助用户对关键操作进行及时响应;


启明星辰GE提供了事件规则用户自定义模块,允许用户自行设定和调整各种安全审计事件的触发条件与响应策略。

支持IP黑白名单、账号黑白名单、账号发现、账号跟踪审计、账号行为事件分级等多种特性,便于在实际审计过程中进行灵活设置。

 


产品功能列表


功能项

功能详细描述

部署和管理

支持旁路部署方式,无须在被审计系统上安装软件,对原有网络不造成影响,审计产品的故障不影响被审计系统的正常运行;

支持透明部署,支持Bypass;

支持混合模式部署,可在线和旁路方式同时使用;

可HA部署,产品支持主备方式;

支持分布式集群部署,可对审计引擎进行统一管理、支持2个以上的引擎同时管理,由管理中心进行统一存储、查询、分析、统计;

数据库审计

支持oracle 8,9,10,11,12、SQL Server商用数据库、mySQL开源数据库、DB2、PostgreSQL、 Informix、Sybase、Teradata、PostgreSQL、Cache、MongoDB、Redis、Hive、HBase、ES的审计;支持人大金仓(Kingbase)、达梦(DM)、南大通用(GBase)、神舟通用(OSCAR) 、高斯等国产数据库的审计;

支持根据SQL语句关键字进行查询,查询事件为SQL语句中包含该关键字的所有符合条件的操作记录;

支持对针对数据库的XSS攻击、SQL注入、CVE高危漏洞利用、口令攻击、缓冲区溢出等攻击行为进行审计;

支持双向审计,支持对Select操作返回行数和返回内容的审计;

支持访问数据库的源主机名、源主机用户、SQL操作响应时间、数据库操作成功、失败的审计

支持数据库操作类、表、视图、索引、触发器、存储过程、游标、事物等各种对象的SQL操作审计;支持对超长SQL语句的审计,支持对数据库绑定变量方式访问的审计;系统自带100个以上缺省审计规则库,方便用户选择使用;

数据抽取与转换

支持局域网环境内不同数据库之间的数据抽取与转换;

能够按照既定数据抽取策略,自动定时定量从运行数据库抽取数据;

在数据抽取时,支持剪切,映射,去重,替换,合并,行列转换,排序等自定义组合规则的数据转换操作;

支持实时监控当前执行的任务数量,以及根据任务名称,时间,执行结果等过滤条件查询任务执行日志;

网络协议审计

支持Telnet、FTP、SSH协议的审计,能够审计用户名、操作命令、命令响应时间、返回码等;

支持审计网络邻居的用户名、读写操作、文件名等;

支持审计NFS协议的用户名、文件名等;

支持审计Radius协议的认证用户MAC、认证用户名、认证IP、NAS服务器IP;

支持审计HTTP和HTTPS协议的URL、访问模式、cookie、页面内容、Post内容;;

支持RDP协议审计,可记录会话过程;

支持SCP和SFTP协议审计,能够审计用户名、命令、文件、命令响应时间、返回码等;

IP-MAC策略

系统可针对IP和MAC地址关联关系进行策略配置,如果发现异常,可上报相关事件;

审计策略支持

系统内置规则集,审计策略支持时间、源IP、目的IP、协议、端口、登陆账号、数据库类型、数据库客户端软件名称、数据库名、数据库表名、数据库字段名、数据库返回码、命令作为响应条件,可对数据库DML、DCL、DDL等数据库操作指令等自定义组合监测策略;

用户可自定义审计策略,审计策略支持时间、源IP、目的IP、协议、端口、登陆账号、数据库类型、数据库客户端软件名称、数据库名、数据库表名、数据库字段名、数据库返回码、命令作为响应条件;

数据库审计策略支持数据库客户端软件名称、数据库名、数据库表名、数据库字段名、数据库返回码作为响应条件(非正则表达式方式);

数据库审计策略支持频次统计与告警,某一操作在周期时间内达到设定的次数阀值后可以进行单独记录和展示,周期事件和次数可按需配置;

审计策略支持字段名称和字段值作为分项响应条件(非正则表达式方式);

响应方式

支持数据库操作的命令级阻断,可阻断单个操作,但会话保持;

支持Telnet命令级阻断,可阻断单个操作,但会话保持;

支持SSH命令级阻断,可阻断单个操作,但会话保持;

支持按照风险级别进行告警,告警方式支持界面告警、Syslog告警、SNMP trap告警、短信告警、邮件告警;

 

日志查询统计

支持用户操作轨迹图展示,轨迹图维度可根据资源账号、源IP、客户端程序名、命令、表名、错误码等按需定义,可根据昨天、最近七天、最近30天以及自定义时间进行轨迹显示,可显示下一节点数量,可在某一维度中进行筛选;

支持按时间、级别、源\目的IP、源\目的MAC、协议名、源\目的端口为条件进行查询;

支持将查询条件保存为固定模板,方便后续查询时使用,支持模板管理,可对已有查询模板进行查询和删除;

数据库访问日志,支持按数据库名、数据库表名、字段值、数据库登陆账号、数据库操作命令、SQL语句关键字、数据库返回码、SQL响应时间、数据库返回行数作为查询和统计条件;

支持根据SQL语句关键字进行查询,查询事件为SQL语句中包含该关键字的所有符合条件的操作记录; 

支持查询统计条件之间的与、或、非逻辑组合;

支持自定义报表模板,包括数据集、图表设计、数据设计等,数据设计可根据不同数据集提供不同的分析维度和指标供用户进行选择;

支持按每天、每周、每月、手动指定某一时刻生成报表,生成的报表支持邮件方式自动发送;

支持生成Word、PDF、xls、HTML、WPS格式的报表导出;

自身管理

支持一键自检功能,可以检查系统当前运行状态,检查内容包括:系统信息、进程信息、数据库信息、授权信息、用户信息等17项内容,协助管理员迅速定位系统异常,减少日常维护工作量;

提供管理员权限设置和分权管理,提供三权分立功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身安全审计功能;

支持动态口令卡认证,账号具备独立动态口令卡,提升管理员账号安全级别,降低账号泄露风险;

提供CPU、内存、磁盘、网口、运行时间、运行状态等信息的监视功能;

联动功能

支持与Web应用防火墙(WAF)的联动,可对WAF上报的应用系统攻击实现场景还原展示;

支持与APT检测产品的联动,对于网络传输的文件不仅可以审计,还支持恶意代码检测,报告可疑的攻击文件;

第三方接口

支持SNMP方式,提供系统运行状态给第三方网管系统;

支持Syslog、SNMP方式向外发送审计日志;

支持NTP时间同步


产品规格


2.png

用户价值

天玥网络安全审计系统,帮助安全管理人员掌握网络安全态势和各类关键IT资产的访问情况,及时有效的发现安全风险,降低了各类网络信息资产被损坏和窃取等风险,提升了客户荣誉。天玥网络安全审计系统的应用,不仅满足了等级保护、分级保护、各行业内控规范等规范要求,满足了网络安全法中“”网络事件“”的日志留存要求,也为面向信息系统的内部管理控制制度的完善提供了依据。

服务热线

400-624-3900

客服电话:400-624-3900

周一至周五 9:00-17:30