[【财务管理内部审计 】网镜认证审计系统白皮书]

PAGE 1

目录

1.体系结构及系统构成 2

1.1 网镜-CONSOLE 控制台 4

1.2 网镜-SERVER 审计服务器 4

1.3 网镜-SENSOR 嗅探器 5

1.4 网镜-AGENT 认证代理 5

1.5 策略库（PL）6

2.主要效用及特点 6

2.1 集中管理的强身份认证 7

2.2 审计及响应 8

2.3 系统性能监控和辅助故障分析 9

2.4 多种审计报告输出 11

2.5 历史分析及安全趋势预测 12

2.6 集中统一的安全管理 13

3.策略库 13

3.1 数据库审计及响应（DB PL）13

3.2 FTP/TELNET 审计及响应（MANAGEMENT PL）14

3.3 SSH 契约审计及响应（网镜-PROXY/UNIXTERM）15

3.4 远程桌面终端（RDP）操作审计 16

4.典型应用及成功案例 16

4.1 中小网络应用 16

4.2 大型网络应用 17

1. 体系结构及系统构成

网镜业务认证审计系统集认证、授权、安全响应和安全审计为一体,为计算机系统提

供了一个统一、集中的授权、访问控制和审计平台。典型的系统配置和部署如下图所示。

网镜系统典型配置

安全风险往往出现在“不同”之中,出现在“设想”之外。

网镜业务认证审计系统从多角度显示系统在怎样的运行、后一时刻与前一时刻的运行

有何不同,系统的实际运行状况与设计（或设想）的运行模式有何不同,并针对这些不同

作出恰当的响应。

网镜业务认证审计系统基于“IP 数据俘获→强身份认证→应用层数据分析→审计和响应”

实现各项效用,设计中充分贯彻了平台化的思路,使得它具备“安全认证和审计工具”的特

征,与基于日志收集的审计系统有着很大的区别。

基于日志收集的审计系统将原系统中的日志信息收集起来,综合形成审计报告,审计

效用受限于原系统的日志效用和访问控制效用,在审计深度、审计响应的实时性方面都难

以获得很好的审计效果。

在基本安全效用的基础上,网镜业务认证审计系统可针对具体的应用需求,如

FTP/Telnet 系统维护操作、SQL 数据库维护操作,制定应用级别的认证和审计策略,使

得系统能针对具体的应用或业务系统实现命令级别、访问逻辑级别的的认证和审计。如果

再辅以专业安全服务商提供的安全咨询和服务,网镜业务认证审计系统可以更及时、准确

地反映系统的安全运行状况,并进行相应的控制。

网镜业务认证审计系统主要实现以下安全效用：

1. 强身份认证和访问控制：基于 CA 数字证书或一次性动态口令对访问者进行身份

认证,之后根据经认证的身份实现访问控制,禁止非法用户访问被保护的信息。

2. 应用级的安全审计和响应：特有的“策略库（ApplicationPolicyLibrary）”可以深入

到应用层契约（如操作命令、业务操作过程）实现详细的安全审计,并根据安全

策略采取诸如记录、审计、告警、阻断等响应。

3. 提供多视角的审计报告：根据实时记录的网络访问情况,提供多种安全审计报告,

更清晰地了解系统的使用情况以及安全事件的发生情况,并可根据这些安全审计

报告进一步修改和完善“策略库（ApplicationPolicyLibrary）”。

?

?

?

网镜-Console 管理控制台：安装于 Windows2000 操作系统之上,提供管理控制

界面。

网镜-Server 认证审计服务器：基于专门硬件构建,负责安全策略的生成、解释、

管理,审计数据的记录和整理。

网镜-Sensor 嗅探器：基于专门硬件构建,根据安全策略对俘获的数据进行比对、

分析,并做出响应动作,如告警、阻断等。

?

?

网镜-Agent 认证代理：安装于客户端计算机之上,配合网镜-Sensor 完成用户的

强身份认证。

网镜-PL（PolicyLibrary）策略库：针对不同的应用契约、应用（业务）系统提

供状命令级的安全策略支持。是网镜系统中最具特色、最具价值的模块。

网镜系统独具特色的“策略库（PolicyLibrary）”设计,使得网镜系统不但具备了效用强

大的安全审计效用,更使得网镜系统具备了网络安全分析工具及“应用层 IDS”的特征。用

户可以自己定义符合业务特征的“策略库”,也可选用针对特定业务系统设计的“策略库”。

网镜系统的策略库分为两类：基础策略库,和针对具体应用、具体业务的策略库。

基础策略库（BasicPL）提供了基于 IP 报的安全策略的制定效用。用户可以直接编

辑安全策略,也可利用网镜系统提供的“录制”效用,在俘获的 IP 报的基础上,提炼出符

合需要的安全策略。

应用策略库则针对不同的通信契约、业务系统进行设计,目前提供了数据库（DB）

策略库（PL/DB）、Unix 主机策略库（PL/UMG）,并提供了专门的模块,以支持 SSH 协

议和远程桌面终端登录（RDP、3389 契约）的审计。

针对不同契约或业务系统的应用“策略库（PolicyLibrary）”使得用户可以灵活地制定数

据俘获、安全审计及响应策略,根据系统实际的运行情况输出恰当的审计报告,更全面、

更有重点地了解和掌握系统的运行状况。

随着研发工作的不断深入,我们还会根据不同的应用契约或应用系统开发出具备应用

特征、行业特征的“策略库（PolicyLibrary）”。这也是网镜系统最具生命力的特点：随着网

镜系统的应用和“策略库（ApplicationPolicyLibrary）”的及时更新,网镜系统所提供的效用

将越来越丰富、越来越接近用户的实际使用需求。

1.1 网镜-Console 控制台

网镜-Console 控制台提供了一个图形化的管理、使用、和维护的界面。通过网镜

-Console 控制台制定的各种访问控制和安全审计策略将自动下载到网镜-Server 执 行；访

问控制和安全审计结果通过网镜-Server 收集后,按照用户设定的输出内容、输出方式通

过网镜-Console 形成最终的安全审计报告。

网镜-Console 控制台支持 Windows2000XP 操作系统,一个系统中可以配置多个网

镜-Console 控制台。

1.2 网镜-Server 审计服务器

网镜-Server 审计服务器是整个认证审计系统的核心部件,向上接受网镜-Console 管

理控制台制定的各种安全策略,并将这些安全策略贯彻到网镜-Sensor 嗅探器、网镜

-Agent；向下接收由网镜-Sensor 嗅探器获取的原始通信数据并写入数据库,形成审计报

告后提给予网镜-Console 管理控制台。

网镜-Server 审计服务器基于赛贝卡自行设计的硬件平台构建,目前有两种型号的产

品。

型号

网镜-Server/M

网镜-Server/H

使用环境

管理会话数

以太网接口

存储器

大、中型网络

大型网络

4.5

万个

9

万个

10/100M×2 100/1000M×2

；

10/100M×2 100/1000M×2

；

标配

1.5TRaid0/5,最高 2.0T

标配

2U×19

2.0TRaid0/5,最高 3.2T

外观

2U×19

英尺标准机箱

英尺标准机箱

供电

标配单~220V,可选配冗余~220V

支持

热备效用

MTBF

45,000 小时

60,000 小时

一台网镜-Server 认证审计服务器可以同时对多个网镜-Sensor 嗅探器进行管理并存

储和整理由这些嗅探器传递来的信息。

1.3 网镜-Sensor 嗅探器

网镜-Sensor 嗅探器对通信内容进行扫描和匹配检查,根据安全策略进行安全响应。

当发现访问者要访问被保护的信息时,要求访问者基于网镜-Console 控制台颁发的

USB 进行身份认证,如果访问者不能通过身份认证,则拒绝访问者对网络进行访问。

对正常通信的信息,网镜-Sensor 嗅探器根据网镜-Server 发布的安全审计策略对应

用操作进行匹配和过程分析,当发现符合安全规则（策略）的通信时,采取相应的措施。

网镜-Sensor 嗅探器基于赛贝卡自行设计的硬件平台构建,目前有两种型号的产品。

型号

网镜-Sensor/M

中、小型网络

1

网镜-Sensor/H

使用环境

审计并发会话数

大型网络

万个；可扩充

2

万个；可扩充

以太网接口

；

10/100M×2 100/1000M×2

；

10/100M×2 100/1000M×2

热备工作模式

MTBF

支持

60,000 小时

支持

60,000 小时

外观

2U×19

英尺标准机箱

供电

单~220V；可选配冗余电源

1.4 网镜-Agent 认证代理

网镜-Agent 认证代理安装于客户端计算机之上,负责实现访问者与网镜-Sensor 之间

的身份认证。

当访问者需要访问被保护的信息时,在计算机的 USB 接口上插入由网镜-Console 颁

发的 USB 令牌（CA 证书）,网镜-Agent 负责从 USB 令牌中提取出 CA 证书,并与网镜

-Sensor 配合完成用户的身份认证。

网镜-Agent 支持 WindowsNT2000XP、Linux 操作系统。

1.5 策略库（PL）

如果说网镜-Console、网镜-Server、网镜-Sensor、网镜-Agent 形成了网镜系统的骨

骼和躯干,那么,策略库则是网镜系统的灵魂和血液。

不同的审计策略库针对不同的应用系统和安全目的进行设计。

基础策略库（BasicPL）提供了基于 IP 报的安全策略的制定效用。用户可以直接编

辑安全策略,也可利用网镜系统提供的“录制”效用,在俘获的 IP 报的基础上,提炼出符

合需要的安全策略。

DB（数据库）策略库（PL/DB）提供了基于 SQL 命令的数据库操作审计及响应效用,

实现数据库操作审计、还原和响应,支持各个版本的 Informix、DB2、Oracle、Sybase、

MSSQLServer、MySQL 数据库系统。

Unix 主机策略库（PL/UMG）提供了 FTPrlogin/RCP 操作审计及响应效用,针对

FTPrlogin/RCP 契约进行命令、字符级的访问控制和审计,并可回放 FTPrlogin/RCP 的

操作过程及结果；为每个用户设定特定的命令子集,针对 FTPrlogin/RCP 的具体应用需

求禁止或允许某些特定的操作。

由于 FTPrlogin/RCP 契约通常也被用于各种网络设备的维护操作,因此,Unix 主机

策略库（PL/UMG）同样可以对各种网络设备的操作进行审计和访问控制。

另外,网镜系统也提供了专门的软件模块,对 SSH 契约和远程桌面契约（RDP、3389

契约）进行审计和访问控制。

除了针对上述通用的应用提供策略库外,网镜系统还针对一些行业的普遍应用设计了

策略库,例如,针对移动行业经营决策系统、BOSS 系统设计的策略库。

2. 主要效用及特点

网镜认证审计系统突出的三大效用为：

1. 提供基于 CA 数字证书或一次性动态口令的强身份认证；

2. 针对不同的应用契约,如数据库操作,提供基于应用操作的审计及响应；

3. 根据设定输出不同的安全审计报告。

2.1 集中管理的强身份认证

身份认证是系统安全中最基本、也是最重要的一个环节。

一般的网络设备、主机系统、业务系统都提供了“UserName+Password”的身份认证

机制,然而,这种身份认证机制的安全性越来越受到置疑和挑战,网镜系统在不修改原系

统任何软件或硬件配置的基础上,提供了额外的、安全强度更高的二次身份认证机制,可

选择的认证方式包括：

1. 基于 CA 证书的身份认证机制；

2. 支持基于短信系统传递一次性动态口令,进行动态口令认证；在这种情况下,需

要用户提供相应的短信传输接口,并进行一定的客户化定制开发；

3. 基于 Radius 契约,与任何第三方的动态口令系统、强身份认证系统集成。

为了使用网镜提供的强身份认证效用,需要在客户端安装网镜-Agent 认证代理软件,

并配置专门的 USB 身份认证令牌。

首先,系统管理员需要通过网镜-Console 对用户的身份及访问权限等信息进行设置：

1. 为用户产生一个基于 X.509 标准的 CA 证书并写入 USB 令牌,之后将该 USB

令牌发放给用户；

2. 设定该用户可以访问的网络资源及命令权限,如 IP 地址段、TCP 端口号等；

3. 如果需要,可以设定更高层次的安全审计及响应策略；或者应用由“策略库”提供

的安全策略。

对用户而言,当需要访问被保护的信息时,在计算机中插入 USB 令牌并输入正确的

USB 保护口令,网镜-Agent 将自动与网镜-Senor 完成对用户的强身份认证。如果用户没

有通过强身份认证,则拒绝用户对保护信息的访问；如果通过了强身份认证,则加载相应

的访问控制、审计及响应策略,对访问过程进行审计和控制。

网镜的强身份认证效用提高了原系统的身份认证强度,为系统安全奠定了坚实的基础。

在此基础上,网镜系统的其它效用模块,包括访问控制、审计及响应等,能更有效、更有

针对性地实施各种安全策略；网镜系统之外的其它安全系统,也可以借助网镜提供的强身

份认证效用,发挥出更好的安全防护效能。

通过对特定通信契约的解析,网镜系统还可以自动获取用户的系统身份；网镜系统可

以基于用户的“网镜身份”和“系统身份”提供访问控制、安全审计效用。

在使用短信动态口令进行身份认证,或者使用 Radius 集成第三方身份认证时,用户

的操作过程与上述 CA 认证过程类似。不同之处在于：无需使用 USB 令牌,在输入保护

口令时,这些口令来自于其它介质提供的动态口令,如：一次性动态口令卡显示的动态口

令,或者收到的短消息中给出的一次性动态口令。

2.2 审计及响应

网镜业务认证审计系统基于“IP 数据俘获→强身份认证→应用层数据分析→审计和响应”

的模式提供各项安全效用,使得它的审计效用大大优于基于日志收集的审计系统。

基础策略库（BasicPL）作为必购模块包含于网镜系统软件包中,它提供了基本的审

计响应效用,这些效用同样会沿用到选配的其它策略库之中。具体的应用级审计策略库的

详细介绍见“3.策略库”。

2.2.1 面向服务和操作者的审计和响应

网镜业务认证审计系统的审计和响应效用所要完成的任务可以简单地描述为：“某个

特定的服务（如 FTP、Telnet、SQL、SNMP 等）可以（或不可以）被某个特定的用户

怎样地访问”,这使得它提供的审计和响应具有很强的针对性和准确性。

础策略库（BasicPL）提供了基于 IP 报及其组合的审计和策略响应效用,用户可针

对具体的业务系统制定安全审计及响应策略,这些策略可以基于一个 IP 报的,也可以基

于多个有业务逻辑的 IP 报,然后将该策略赋予对应的访问者,由此实现对应用操作和访

问的精确审计及响应。

2.2.2 策略定制和样本录制

网镜业务认证审计系统提供了专门的策略和规则定义模块,使得用户可以自行设定和

调整各种安全审计及响应的策略。

然而,在某些情况下,用户可能不是很了解业务的操作特征,针对这种情况,网镜业

务认证审计系统提供了“样本录制及规则提取”效用,使得用户可以在纷繁的操作中提取规

律性的信息,进一步提炼成“安全规则”,然后将这些规则整理、编辑,并加入“访问对象”、

“审计响应动作”、“操作时间”等信息后形成最终的“安全策略”。

“策略定制和样本录制”体现了这样一种安全思路：一种网络行为是否被判定为进攻,

一定与具体的业务系统相关,也一定与操作者的身份及当时的环境相关。

2.2.3 基于业务特征的规则库

用户可以通过手工录入、样本录制等方式制定符合业务特征的规则,然后将多个规则

进行汇总、编辑和命名,形成具备某种业务特征的规则写入用户自定义的规则库。这样,

用户在针对某个特定用户制定认证审计策略时,可以直观地使用自命名的规则进行设置,

方便了各种策略的制定和查询。

网镜业务认证审计系统在形成审计报告时,也使用用户自定义的规则名或策略名,这

样,用户在阅读审计报告时,看到的是直观的业务操作,而不是晦涩难懂的网络术语或杂

乱无章的 IP 数据报。

2.2.4 多种响应方式

网镜业务认证审计系统提供了多种响应方式,包括：

1. 在网镜-Sever 审计服务器中记录相应的操作过程；

2. 在日常审计报告中标注；

3. 向网镜-Console 控制台发出告警信息；

4. 向管理员手机发出告警短消息；

5. 实时阻断通信连接。

2.2.5 实时跟踪和回放

管理员可以通过网镜-Console 控制台实时地跟踪一个或多个网络连接,通过系统提

供的“时标”清晰地显示不同网络连接中每个操作的先后顺序及操作结果,当发现可疑的操

作或访问时,可以实时阻断当前的访问。

管理员也可以从网镜-Server 中提取审计数据对通信过程进行回放,便于分析和查找

系统安全问题,并以次为依据制定更符合业务特征和系统安全需求的安全规则和策略。目

前,网镜业务认证审计系统支持 FTP、Telnet 两种契约的过程回放,随着研发工作的深

入,还将支持更多契约的过程回放。

2.3 系统性能监控和辅助故障分析

网镜系统在完成审计的同时,可以记录每个访问请求的时间,以及该请求的响应时间、

响应结果等。这使得它具备了系统性能监控和辅助故障分析的能力。

2.3.1 性能监控

在网络、主机、服务层次,网镜系统提供了诸如访问流量、访问次数、访问用户数等

信息,并通过图形、表格等形式进行显示。通过查看这些参数,管理员能对系统的整体运

行情况有个概略的了解。

例如：对于某个应用系统,动态地显示了它的流量情况、访问次数、访问用户的分布

情况等；通过查看这些实时信息,并将这些信息于历史统计数据进行比对,就可基本了解

应用系统当前是否工作正常。如果流量情况、访问次数、访问用户的分布出现较大的波动,

甚至是中断,则预示着系统出现了故障。

在数据库层次,可以对数据库表、存储过程等进行监控和统计,并设置报警阈值；也

可以对特别定义的数据库访问过程进行监控和统计,并设置报警阈值。

对于数据库资源,监控和统计的结果包括的访问量、访问用户的分布情况、资源访问

的响应时间等信息。

对于数据库访问过程,监控和审计的结果包括执行次数、响应成功率、响应时间等信

息。例如,在数据库系统中,某个数据库的操作过程的响应时间、访问成功率可能代表了

整个系统的运行效率、运行的稳定度；就可以针对这个操作过程设置匹配规则,并进行监

控、统计和告警。

在业务系统层次可以针对某些关键的操作过程定义匹配规则,对这些过程的响应时间、

响应结果进行监控和统计,并设置报警阈值。

例如在业务系统中,某个 WEB 页面、某个按钮、某个菜单的响应时间、访问成功率

代表了业务系统的运行效率、运行的稳定度；就可以针对这个操作过程设置匹配规则,并

进行监控、统计和告警。

利用访问响应时间的统计和报警效用,管理员能动态地掌握数据库系统、业务系统的

运行效率；并可根据经验或历史统计数据设置报警阈值,当响应时间超过设定的阈值时,

主动发出告警信息,使得系统管理员有充分的时间进行故障排查。

2.3.2 辅助故障分析

在发现系统出现故障或性能波动后,可以利用网镜系统的审计信息,以及实时监控、

过程回放、审计查询等效用,查找引起系统性能波动或故障的原因。

例如,对于数据库系统而言,通过网镜系统发现从某一时刻起,数据库的运行效率下

降、访问的响应时间变长。

在这种情况下,首先,可以基于时间、IP 地址、数据库系统账号等信息,查找出该

时间段内的相关 TCP 连接。

利用回放效用,可以重现这些数据库操作过程,并显示详细的数据库操作语句

（SQL）、操作对象等。同时,也可以使用“命令查询”效用,主动地查找可能引起性能波

动的数据库操作。

在基本确定了怀疑对象后,如某个 SQL 语句或数据库操作过程,可以针对怀疑对象

过程定义匹配规则,并要求网镜系统精确记录这些访问的次数、响应时间、响应成功率等,

启动“实时监控”。在业务系统重再次进行此类操作,通过查看网镜系统提供的信息,验证

最初的怀疑。

如果业务系统在某一刻出现致命性的错误,甚至是服务中断。在这种情况下,首先需

要分析可能引起错误或服务中断的原因,如 Unix 系统或数据库系统中执行了不正确的操

作命令等,然后在网镜系统中进行查询；同时,也可以提取在服务中断前的 TCP 连接进

行分析和查看,这些 TCP 连接可能是应用系统发起的,也可能是管理员通过 SQLPLUS

之类的数据库管理软件发起的,也可能是通过 Telnet 发起的。综合利用网镜的各种效用,

逐步缩小怀疑的范围,并最终确定发生的原因。

2.4 多种审计报告输出

网镜业务认证审计系统从安全管理的角度出发,设计一套完善的审计报告输出机制。

2.4.1 围绕安全策略生成审计报告

直观、便于理解的审计报告是一个审计系统、甚至是一个安全系统设计是否成功的关

键所在。一些 IDS 系统、系统漏洞扫描系统、甚至是主机的日志系统,本身具有很好的

安全效用,但是由于审计报告的不直观、难以理解,在实际使用中往往难以发挥有效的作

用。网镜业务认证审计系统围绕安全策略输出审计报告,很好地解决了这个问题。

系统管理员制定的安全策略本身就充分体现了系统管理员重点关心的问题,围绕安全

策略设定审计输出报告,使得系统管理员能迅速地得到自己最关心的信息。并且,由于安

全策略本身是系统管理员自己定义的,他（她）就更容易理解这些基于安全策略生成的审

计报告。

2.4.2 多种筛选条件

网镜业务认证审计系统提供了强大、灵活的筛选条件设置机制。

在设置筛选条件时,系统管理员可基于以下要素的组合进行设置：用户自定义的过程

名称；访问对象的内容（如 SQL 的表单名称）；IP 地址；网段；应用端口号；时间段；

用户的身份；安全策略或安全规则名称；访问命令；IP 数据的传递方向；审计响应的动

作类型等。

系统管理员可根据需要灵活地设置审计报表的各种要素,迅速地生成自己希望看到的

审计内容。

网镜业务认证审计系统可以实时地根据系统管理员设定的筛选条件生成审计报告,也

允许系统管理员设定审计报表的输出时间,如日报表、月报表、年报表等。

系统管理员也可将已经生成的审计报表作为生成新的审计报表的原始数据,重新生成

精确度更高的审计报表。

2.4.3 形式多样的审计报表

网镜业务认证审计系统可以生成形式多样的审计报告,满足不同场合对审计报表格式

及显示方式的不同要求。

网镜业务认证审计系统支持生成 HTML 格式的报表文件,在这些文件中详细地列出

了用户希望查看的系统使用信息,并对某些关键的审计结果给出解释和风险评估。

网镜业务认证审计系统也支持基于柱型图、饼图、曲线形式的图形输出,直观地显示

出系统的运行状况,例如某 TCP 端口号的使用情况、某个应用层命令的使用情况等。

2.5 历史分析及安全趋势预测

审计并不等同与日志,更不是事件的罗列；审计应该基于真实的事件记录提供更高层

次的信息综合分析,从不同的侧面展示审计对象的运行状况、使用情况；审计的目的并不

仅仅是提供事后的追踪,还应该提供预防措施和决策依据。

网镜业务认证审计系统在真实记录关键事件的基础上,提供了强有力的“历史分析及

安全趋势预测”效用。

网镜系统的“历史分析及安全趋势预测”效用建立在这样的安全理念之上“上周期系统运

行是安全的,如果本周期系统的运行特征与上周期类似,则可以基本判定本周期的运行是

安全、健康的”。网镜系统一方面可以提供任何时间段内被审计系统的翔实的运行、使用

情况；另一方面,也可以提供不同周期内运行、使用情况的变化情况。

通过网镜系统提供的“报表及分析向导”效用,系统管理员可以自行定义或修改需要进

行分析和评估的关键事件,这些关键事件包括：网络流量、TCP 连接数量、用户登录/登

出、关键命令或操作、匹配规则触发情况等。网镜系统强根据所定义的条件和内容,提供

关键事件的历史分析,并对系统的安全性能进行预测。

在建立“报表及分析向导”时,允许系统管理员针对不同的关键事件设定不同的“波动阈

值”,当关键事件的变化超过了“波动阈值”时,将主动向系统管理员告警,提示系统管理员

系统的运行、使用出现了异常情况,这种异常可能是安全事故发生的前兆。系统管理员可

及时使用网镜系统提供的各项查询、跟踪手段对系统进行安全诊断,以判断这种异常是否

潜在着安全风险。如果评估的结果是安全风险比较高,则可以重点监控出现异常的网络行

为；或者及时地采取相应的安全防范措施。

除了网镜系统产品本身提供的“历史分析及安全趋势预测”效用外,作为长期从事行业

安全审计产品开发和安全服务的提供商,赛贝卡积累了丰富的行业经验,对于行业业务系

统的安全运行特点有比较深刻的了解。利用这些经验和积累的行业安全知识,赛贝卡可以

帮助用户设置比较恰当的安全策略,使得网镜系统能尽快地发挥出最大的安全审计、安全

管理、安全评估作用。

2.6 集中统一的安全管理

网镜业务认证审计系统的网镜-Console 控制台提供了集中的管理控制界面,系统管

理员通过网镜-Console 控制台就能管理和综合分析所有嗅探器的审计信息和状态信息,

并形成审计报表。

网镜业务认证审计系统支持分级管理模式,可对不同的系统管理员设定不同的管理权

限。例如,超级管理员拥有所有的管理权限；而某些普通管理员则可能仅拥有查看审计报

表的权限,某些管理员可以拥有设置安全策略或安全规则的权限。

如果系统中配置有多个网镜-Sensor 嗅探器,也可以把不同的嗅探器的管理权限赋予

不同的系统管理员。

为了便于远程维护,网镜业务认证审计系统支持一套专门设计的、安全的远程维护协

议,使得维护人员可以通过网络对系统进行远程诊断和故障维护。网镜-Server 及网镜

-Sensor 均支持系统软件的在线升级和参数的备份,在不中断、不影响正常工作的情况下

对系统软件进行升级。

3. 策略库

策略库（PL,ApplicationPolicyLibrary）是网镜业务认证审计系统的核心部件之一,

除 了 基 础 策 略 库 外 , 目 前 提 供 数 据 库 策 略 库 （ DBPL ）、 管 理 协 议 策 略 库

（ManagementPL）两种通用的策略库,以及针对具体业务系统的专业策略库,如移动

行业的经营决策系统、BOSS 系统的策略库。

3.1 数据库审计及响应（网镜-PL/DB）

数据库策略库（DBPL）基于 SQL-92 契约集定义了一套丰富的安全审计和响应策略,

支持各个版本的 Informix、Oracle、Sybase、DB2、MSSQLServer。

3.1.1 数据库操作审计

网镜业务认证审计系统支持 SQL-92 命令集及其对不同类型的数据库、不同版本的数

据库的 SQL 语句的扩展,支持诸如查询（Select）、插入（Insert）、删除（Delete）、创

建（Create）等 SQL 命令以及存储过程的执行进行审计和分析。

网镜业务认证审计系统可以根据基本 SQL 命令和存储过程进行组合,形成一个有实

际意义的访问过程,并对其进行显示和查询；可以对指定用户、指定时间段内的整个登录、

操作、退出的完整访问过程进行还原、查看和分析。

3.1.2 数据库操作的访问控制

当发现与登录者身份不符合的 SQL 命令、应用操作命令或流程时,网镜-Sensor 将

及时采用拆除连接的方式阻断该访问,并向系统管理员发出告警。告警方式包括：图形

（告警对话框）、声音、E-Mail、手机短信。

网镜业务认证审计系统可基于指定的数据库对象（如数据库、表、视图、存储过程等）

和指定操作（如创建、修改、添加、删除等）进行访问控制和审计；也可基于管理员自定

义的关键字进行访问控制和审计。

3.1.3 面向操作和应用的智能化分析

网镜业务认证审计系统针对数据库的使用特点设计了一套智能化的审计输出界面,通

过对 SQL 命令的截获、分析和还原,直观地显示出关键操作的结果,并可对多个操作进

行并发跟踪和分析,便于管理员分析系统存在的安全漏洞。

用户可基于自定义的过程名称、命令进行审计信息的查询、跟踪和分析,使得管理员

能基于对业务系统的理解对系统进行审计跟踪,大大地提高了系统的易用性。这些过程可

以包含多个来往与服务器和客户端的 SQL 命令、应用系统命令。

3.2 Unix 主机操作审计及响应（网镜-PL/UMG）

FTP、Telnet、rlogin、RCP 被广泛应用于 Unix 主机、路由交换设备的维护,这些协

议的灵活性、易用性也正是它们的安全缺陷所在,网镜-PL/UMG 策略库针对这些常用的

契约进行了命令级的访问控制,使得在使用 FTPrlogin/RCP 等进行维护时,系统的安全

性有很大的提高。

3.2.1 细粒度访问控制

普通的 FTPrlogin/RCP 系统的访问控制粒度一般仅限于文件和目录的读、写、删除

等,无法实现细粒度的访问控制。

网镜-PL/UMG 除了实现对读、写、删除的授权和控制外,还针对 FTPrlogin/RCP 协

议进行命令、字符级的访问控制,为每个用户设定特定的命令子集,甚至可以针对

FTPrlogin/RCP 的具体应用特征限制或开放某些特定的字符串。

系统管理员也可以根据系统维护的操作特点设定由若干个 FTPrlogin/RCP 操作命令

组成的、具有一定业务特征的操作过程,对其进行审计和控制。

网镜-PL/UMG 也支持将 FTPrlogin/RCP 命令与操作对象进行组合后形成安全规则,

完成响应的审计或控制策略。

3.2.2 审计和回放

对于 FTPrlogin/RCP 契约,网镜-PL/UMG 除了提供上面介绍的认证审计效用外,还

提供了实时操作监控和过程回放两种效用。

所 谓 实 时 操 作 监 控 , 是 指 系 统 管 理 员 可 以 实 时 地 选 取 一 个 或 多 个 在 线 的

FTPrlogin/RCP 会话过程,监控其操作命令及操作结果。在网镜-Console 控制台的界面

中将出现与实际 FTPrlogin/RCP 操作完全相同的显示界面,当发现非法的操作时,系统

管理员可以发出控制命令来阻断当前的 FTPrlogin/RCP 会话。

过程回放是指网镜-PL/UMG 可以从审计数据库中调用一个或多个 FTPrlogin/RCP

通信的原始数据,在的网镜-Console 控制台中重新显示当时的操作过程和服务器响应情

况。这个效用尤其适用于对安全问题出现的原因进行事后分析和定位。

3.3 SSH 契约审计及响应（网镜-Proxy/UnixTerm）

随着安全问题的日益突出,人们越来越多地采用 SSH 契约来替换原来的 Telnet 契约,

以加强远程登录的安全性。

由于 SSH 采用了传输加密技术,使得网镜系统无法解析出具体的通信内容,为此,

网镜系统针对 SSH 契约提供了专门的解决方案：在网镜-Sensor 网络嗅探器中安装网镜

-Proxy/UnixTerm 模块,该模块提供了对 SSH 契约审计的支持。

网镜-Proxy/UnixTerm 模块首先提供了一个标准的 SSH 服务器,可以兼任支持各种

类型的 SSH 客户端登录。

当用户需要通过 SSH 契约访问后台的主机时,必须先登录到网镜-Proxy/UnixTerm

提供的 SSH 服务器,然后再以 SSH 或 Telnet 的方式跳转到后台的服务器。

网镜-Proxy/UnixTerm 在提供 SSH 服务器的同时,通过对 SSH 契约的解密、分析,

从而实现对所有 SSH 操作的审计和控制。

用户在使用 SSH 契约时,同样可以要求他必须通过 CA 认证,并且,在网镜系统的

审计记录中,记录的是登录者的原始 IP 地址和 CA 认证后的身份；而不是 SSH 跳转服务

器的 IP 地址。

网镜系统对 SSH 些的审计和控制效用与对 Telnet 契约的支持完全相同,可以解析用

科教兴国

相关热词搜索： 审计 白皮书 财务管理 内部审计