项目背景
中国XX银行在利用NetEye访问控制设备、数据加密设备、网络审计设备进行网络层面的安全体系建设后,进一步提出构架应用层安全审计系统的设想。在该需求中,安全系统将直接定位于对应用层访问行为审计、用户身份与权限关联分析,约束应用层行为的合法性,提高应用层交易安全程度。
为基本囊括所有针对中国XX银行业务系统的访问行为,中国XX银行要求对大部分网络活动进行跟踪记录、重组,最后对这些网络操作进行全面的记录,同时可以根据检索规则对业务系统使用的常见协议(如FTP、Telnet、HTTP、SMTP和POP3等)进行全程回放或重现,并且能理解TELNET、FTP协议的内容,并对这两种协议进行审计。对于其他的应用层协议,可通过在网络服务配置中添加协议端口,即可实现对此服务的原始数据的会话重组,并可通过审计系统界面进行回放。通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。
同时,为保护中国XX银行信息资产的安全性,中国XX银行提出对数据系统访问行为进行有效审计和关联分析的要求,这一环节将构成除了数据库本身自带审计系统以外的唯一的审计系统,而且因为该系统与保护对象数据库之间的独立性,能够有效提高日志审计的安全性和公正性。
另外,为中国XX银行提供安全防护服务的其他基础性网络安全设备同样被纳入本次应用安全审计的考虑范围,如前期工程中所大量部署的各类防火墙、IDS和数据加密设备等。
从基本的边界访问控制开始,直至本次安全建设,中国XX银行安全体系将完成对技术意义上各个层面的完整覆盖,为实现最终的应用安全目标迈出最直接的一步。
需求分析
本次安全建设的重点在于实现关键应用协议的内容检索、身份识别和关联分析,因此要求安全设备能够切实理解所有关键应用协议的指令、语法等内部细节,此类关键应用协议包括:
- HTTP
- FTP
- TELNET
- INFORMIX的DBACCESS
- AIX的SMIT
- ODBC数据源连接
- NOKIA防火墙认证协议
- 东软NetEye防火墙认证协议
- 对其他应用要求提供自定义接口,供管理员在需要的时候自行定制检测规则。
所以,如何理解并支持中国XX银行业务系统所涉及到的诸多协议称为解决方案首要考虑的课题。而且,在此基础上,能够有效从关键流量中提取出访问者身份信息、行为企图和访问目标的权限控制并进行关联分析成为本次解决方案的重要亮点。
解决方案
针对中国XX银行给出的既定目标,东软公司提供了以应用行为审计、业务指令监听记录、命令行操作还原、访问身份与目标资源关联为核心的银行应用业务审计系统解决方案。
该解决方案建立在东软公司NetEye安全阵营中的银行业务系统安全审计系统产品的基础之上,通过流量筛选过滤、特征匹配、协议分析、关键信息提取、身份权限与目标信息敏感度关联、访问行为日志记录、敏感流量应用层内容再现和过程回放等技术手段实现了第三方的应用级安全审计系统。
具体实施
东软银行应用业务安全审计解决方案是围绕NetEye安全审计系统产品而展开的。
NetEye安全审计系统产品有两大部分组成,采用了层次化的体系结构和模块化的功能设计:
- 探头:是由策略驱动的网络监听和分析系统,它监听所在物理网络上的所有通信信息,分析这些网络信息,将分析结果与网探上运行的策略集相匹配,依照匹配结果对网络信息执行报警、阻断、日志等安全响应。同时它还需要完成对来自管理中心请求的接收和响应工作;
- 控制系统:是整个监控审计系统的集中管理和控制软件系统,它负责控制网探的运行状态,接收和处理网探传送的网络信息,同时它还要为用户提供各项管理规则的配置接口以及网络数据统计信息的查询显示接口,是管理员与审计系统的人机接口。
以该银行省会分行节点为例,该节点共部署两台探头设备和一套控制系统:
- 两台探头设备,以千兆链路分别连接两台核心交换机Catalyst 6509交换机的监听口,主要负责收集对关键服务器主机的攻击行为和业务请求访问操作。由于探头部署方式比较类似于IDS设备,以旁路方式连接到网络中,因此不需要改变网络的物理结构及网络逻辑划分和配置;
- 探头通过百兆FE链路与控制系统进行交互。由于每台探头均提供物理上分离的管理接口,因此可有效实现监听流量与管理流量的物理隔离,保障审计系统在网络中的部署隐蔽性;
- 控制系统向管理员提供各种服务的人机界面,包括流量分析、协议恢复、报警、日志审计、系统管理等各项操作;