领信综合安全审计系统是一套集身份(帐号)管理、访问控制管理、行为审计等功能于一体的综合安全管理系统,即4A解决方案。由四大组件组成,分别是:领信身份管理系统(IM),领信安全审计网关(SAG ),领信安全审计系统(SA),领信数据库审计系统(DA)。
功能特点
一、领信身份管理系统
帐号口令集中管理系统与安全网关无缝结合,为用户提供了完全支持移动4A规范和萨班斯(SOX)法案要求产品;
帐号口令集中管理系统本身具有很高的安全性,提供对RSA认证、SafeWord认证、联创动态口令认证的支持;
以帐号为核心,从两种视角维护和管理帐号,更大程度方便用户的管理和操作;
提供帐号的用户帐号申请、批准、建立、撤销等帐号管理流程功能的实现,完全符合用户的操作习惯和实际工作流程;
界面友好,功能强大,能够以快速的方式和良好的界面来呈现数据;
对口令的安全策略规划合理,划分粒度最小;
与业界份额更大的安氏领信SOC(安全管理中心:Security Operation Center)无缝集成。
二、领信安全审计网关
安全便捷的部署方式
旁路代理方式部署,仅需要为系统分配一个IP即可,无需安装任何服务端软件和客户端软件。
支持主动监控
业界的主动监控技术,支持通过C/S方式自动显示当前正在进行的访问操作,适合监控中心使用。
完善的自审计功能
系统具备详细的自审计功能,所有系统操作均会生成相应的日志记录,包括:用户登录、系统操作、录像查看、修改密码、邮件发送任务、记录归档任务、系统升级等等。
深入的协议解析能力
不仅能够解析明文操作,而且能够识别SSH加密操作,对于RDP远程访问操作,系统能够记录其键盘输入、窗口标题,方便后期审计。
良好的协议扩展能力
除了常见的SSH、RDP、VNC、HTTP等访问协议以外,还支持Radmin、Pcanywhere等应用,并且可以通过二次开发方式方便的增加其他第三方应用。
三、领信安全审计系统
多维度的日志追踪与分析能力; 海量日志的集中处理能力; 灵活的日志收集方式; 安全事件的全面解析; 集中式的安全审计平台; 审计对象全面; 审计功能先进; 审计过程的实时性; 基于策略的审计; 审计流程的支持; 以人员审计为核心的审计视角; 自动指定审核人功能; 加密通道的行为审计; 命令级审计; 强大的审计报表功能; 灵活安全的管理模式; 审计信息的及时响应; 萨班斯合规性审计的支持; 完善灵活的事件备份、恢复机制; 实用的报表定时发布功能。
四、领信数据库审计系统
安全便捷的部署方式
对数据库操作访问行为采用全旁路方式进行审计,不改变客户原有的登陆方式,部署便捷;不会破坏本身网络结构;不影响数据库系统的性能;系统进行维护、升级时不会影响到正常业务的运行,也不会影响到网络性能。
强大的日志采集分析
系统目前支持采集的数据库系统有:Oracle、DB2、MSSQL、Sybase、Informix、Mysql种类丰富,能适应绝大多数的单位应用。
高速的日志检索能力
系统采用了公司自主开发的基于海量日志索引的日志检索引擎和先进的技术手段,实现了对日志的高速检索能力。
海量日志安全保障
对采集到的数据库操作行为日志能做到全方位的安全保障。
与安全管理中心的信息共享
系统可与安氏领信安全管理中心(SOC:Security Operation Center)实现信息共享。
部署方案
下图是领信身份管理系统的典型部署图:
图中:
WEB门户服务器运行在Unix主机或Windows Server操作系统上,在该服务器上部署IM的前台WEB管理模块; 后台服务器运行在Windows系统上,对于一般的用户而言,AgentServer和Agent都在该服务器上部署; 安全网关运行在Unix主机操作系统上,在该服务器上部署IM的安全网关; 数据库部署在Unix主机或Windows Server操作系统上,使用oracle数据库。
领信安全审计网关
领信安全审计网关采用旁路代理方式部署,在实际部署时只需为其配置一个独立的IP地址即可,该IP 要求能够与服务器区、维护区互相访问。
领信安全审计系统
系统安装需三台服务器:
服务器 |
安装组件 |
操作系统 |
核心服务器 |
Web应用服务器
核心引擎
审计引
关联引擎 |
RedHat AS 5
或CentOS 5 |
数据库服务器 |
SA数据库
(包括备份管理服务器) |
RedHat AS 5
或CentOS 5 |
采集服务器 |
采集服务器
Syslog服务器 |
RedHat AS 5
或CentOS 5
或Windows 2003 server SP1简体中文版 |
典型部署图如下:
在这个部署图中,用户通过IE浏览器访问核心服务器上的Web应用服务器,即可完成对整个系统的管理、 配置,审计事件的处理等所有工作。
领信数据库审计系统
系统按如图所示的拓扑结构方式接入网络,此图考虑的是通常情况,在具体应用时,请根据自己网络的拓扑结构加以调整。