真实案例带来的问题
福建省海峡信息技术有限公司
Logo 问题出在哪？
福建省海峡信息技术有限公司
Logo 问题的根源!
如何监管?!
开发人员
如何监管?! 维护人员
如何监管?! 外包供应商 如何监管?!
使用者
福建省海峡信息技术有限公司
Logo 寻找答案!
信息安全管理相关的标准从不同的角度提出各自的控制体系！
海峡信息 Logo
第8层防御—安全审计
福建省海峡信息技术有限公司 工程师：张 铭
2013年7月13日星期六
Logo
提纲
缘起 应对 特色 应用 FAQ
福建省海峡信息技术有限公司
Logo
福建省海峡信息技术有限公司
Logo
福建省海峡信息技术有限公司
Logo
福建省海峡信息技术有限公司
Logo
访问控制机制 入侵检测机制
执行和使用 ISMS
ISO/IEC 17799
ISO 27001
安全策略 P
防护 Protect
P
设计检测 ISMS
D
改进和升级ISMS
行动
安全模型 MP2DRR
Detecห้องสมุดไป่ตู้ 计划
ACT
R
COSO
COBIT
M 响应
PDRR
检查 恢复
R
安全响应机制
ITIL
NIST SP800
福建省海峡信息技术有限公司
Logo HD-SAS 系统组件
控制端
解析服务器
捕包引擎
福建省海峡信息技术有限公司
Logo HD-SAS 功能综述
用户操作监管： 用户监管包括用户名监管、 机器名监管、拥有者监管等。 通过对登录用户的用户名、机 器名、数据库拥有者权限及操 作记录的监管，及时发现异常 非法操作，加强数据安全监管。
福建省海峡信息技术有限公司
Log “预警策略”的 设置
o
预警结 果
福建省海峡信息技术有限公司
Logo
案例2通过审计”斩断”伸向业务系统的” 黑手”
密码猜解正确后，详细 完整的操作过程审计
福建省海峡信息技术有限公司
Logo 业务系统需要第8层防御 知道业务系统出问题! 知道为什么出问题! 知道问题出在哪!
管理
React
监控和检查ISMS 备份与恢复机制
Restore
信息安全的实现管理最重要性！ 信息安全审计是信息安全管理中的重要环节！ 面向业务的信息安全审计是审计的最高表现形式！
福建省海峡信息技术有限公司
Logo 第8层防御之面向业务的审计
业务审计
业务层 应用层
漏洞修复 攻击检测
传输层 网络层 物理层
Logo 预警与实时审计
福建省海峡信息技术有限公司
Logo 审计数据管理 高压缩率存储 历史数据备份与导入 缓存安全机制
福建省海峡信息技术有限公司
Logo 数据库攻击检测 发现生产数据库一些潜在的安全威胁，比如SQL注 入，密码猜解，执行操作系统级的命令等
福建省海峡信息技术有限公司
Logo 告警配置 独立的告警配置功能模块，方便用户在设置不同 的规则或者触发事件，按照不同的级别进行不同 方式的告警方式
福建省海峡信息技术有限公司
Logo HD-SAS 功能综述
数据操作方式监管： 数据监管包括新增、修改、删除数 据监管等，通过数据监管发现操作量大 的表及时调整数据库参数或配置，保障 系统性能。同时在误删数据时，能及时 通过日志进行数据恢复。
福建省海峡信息技术有限公司
Logo HD-SAS 功能综述
Logo
语句数
Logo
案例1 数据性能分析提供的价值
通过数据库审计系统得知，该PC在上午9：40-9：50分， 大量重复执行一条SQL语句：select fpxz,fpks,fpjs from SF_FPDJK 很明显，业务系统出现了逻辑故障，进入了死循环状态。 这种故障不会引起很大的网络及系统资源消耗，但业务队 列却被充满了，使正常业务延时很大，表现为系统运行缓 慢！ 问题得到定位，开发商也很容易去查找代码问题。
Logo
福建省海峡信息技术有限公司
Logo
福建省海峡信息技术有限公司
Logo 实例分析,价值所在!
通过审计解决业务系统资源异常耗尽 通过审计”斩断”伸向业务系统的”黑手”
福建省海峡信息技术有限公司
Logo 案例1 数据性能分析提供的价值 某业务系统在业务高峰期间经常性的性能下降， 导致前台柜面操作排起了长龙队伍。为了维持系 统正常运行，只能频繁地切换主备服务器以缓解 系统缓慢问题!
福建省海峡信息技术有限公司
案例1 数据性能分析提供的价值
100000 80000 60000 40000 20000 0 次数 次数
19 2. 1. 19 118 19 2.1 .10 2. .1 0 1. 67 19 110 .9 2 . 17 .1. 113 2. 16 19 16. 7.8 2. 36 1. .5 19 132 0 17 2.1 .33 2. .1 17 16. .12 2. 36 17 16. .18 2. 36 17 16. .49 2. 36 16 .6 19 .36 1 17 2.1 .32 2. .9 17 16. .37 2. 36 17 16. .52 2. 36 19 16. .14 2. 36 1. .1 15 7 8. 43
福建省海峡信息技术有限公司
Logo
案例1 数据性能分析提供的价值
紧急警报！ 业务高峰期 （9：00-10：00） 系统运行异常缓 慢，柜台排起了 长龙队伍！！！
业务终端
业务系统
操作系统
生产系统
正常！
CPU,内 存正常！ 中间件正常！ 数据库资
数据库系统 WEB系统
网络流程正常！
？
!
核心网络
终端没
中间件系统 安全子系统
福建省海峡信息技术有限公司
Logo
高比例压缩的审计文件
审计数据存储于审 计服务器 审计数据需要长期 存储 我们所提供的解决 方案:压缩与外存 (自动压缩与刻盘)
100%
5%
福建省海峡信息技术有限公司
Logo
提纲
缘起 应对 特色 应用 FAQ
福建省海峡信息技术有限公司
Logo
福建省海峡信息技术有限公司
福建省海峡信息技术有限公司
Logo FAQ A：这套系统有自身审计功能吗？ Q：该系统对每个组件都有详细的审计信息记录， 对“什么时间，什么对象，发生了什么，结果怎 么样”进行记录，并将加入风险级别条件。对审 计数据查看和管理权限进行严格限制。 A：该系统后台使用什么数据库存储？ Q：考虑到审计数据一般量比较大，该系统后台支 持Oracle各种版本进行存储，当然会陆续开发出 支持更多后台数据库存储的方式。
福建省海峡信息技术有限公司
Logo
案例1 数据性能分析提供的价值
新上一套数据库安全审计系统，看看哪里有没有 信息？ 查看9：00后的数据库操作流量：
福建省海峡信息技术有限公司
查找9：00-10：00的数据库访问操作报表：
经查，排名第一的IP是某后勤业务科室的一台PC，第二名为前置服务器，访 问量分别为8万和5万，其余机器访问量稳定在1-2万之间 前置机访问量大是正常的，但192.1.118.100访问量比前置机都大了3万多， 肯定有问题！
访问控制
冗灾备份
福建省海峡信息技术有限公司
Logo
提纲
缘起 应对 特色 应用 FAQ
福建省海峡信息技术有限公司
Logo
应对
面向业务的信息安全审计
福建省海峡信息技术有限公司
Logo HD-SAS 工作原理
福建省海峡信息技术有限公司
Logo HD-SAS 价值所在
信息源
报表分析
一项事件
通过使用审计系统我们可以做到 知其然, 知其所以然!
福建省海峡信息技术有限公司
Logo
提纲
缘起 应对 特色 应用 FAQ
福建省海峡信息技术有限公司
Logo
FAQ
A：部署该产品，会影响原来网络性能吗? Q：不会，本系统采用的旁路接入网络的方式，一 般通过交换机镜像口进行捕包分析，不会影响到 原网络性能。 A：这套设备是否是标准的电信标准硬件型号？ Q：是的，本设备支持标准的电信标准硬件型号。
福建省海峡信息技术有限公司
Logo 灵活的数据采集 只采集用户关心的数据，剔除垃圾数据，减少查 询时没用信息的干扰。
福建省海峡信息技术有限公司
Logo 审计结果展示 丰富的查询条件与方式 灵活多样的报表输出 审计预警 实时审计
福建省海峡信息技术有限公司
Logo 审计报表
福建省海峡信息技术有限公司
Logo
900 800 700 600 500 400 300 200 100 0
福建省海峡信息技术有限公司
通过统计报表一目了然：
案例1 数据性能分析提供的价值
经一步查询192.1.118.100的数据情况：
发现其每秒 192.1.118.100分时执行语句数 中进行的数 据库操作达 到了600700条SQL 语句。
9:10:03 9:11:28 9:13:51 9:15:29 9:17:05 9:23:02 9:29:41 9:33:33 9:44:57 9:45:13 9:45:29 9:45:45 9:46:01 9:46:17 9:46:33 9:46:49 9:52:32 9:55:47 9:56:38 10:00:14 10:02:01 10:02:40 10:05:14 10:06:29 10:07:28 10:08:18 10:12:16 10:13:48 10:14:04 10:14:44 10:15:25 10:16:34