CPS Ultimate Auditor 整合式安控稽核系統

CPS Ultimate Auditor 整合式安控稽核系統

 

協助管理者快速地通過對網路資料的即時收集分析、監控來自網路內部和外部的管理者對核心系統與資料庫的存取活動,即時識別合發現其中是否存在安全威脅與非常行為,解決核心系統與資料庫存取的安控稽核問題。

完整、正確、清楚記錄下最關鍵機敏的「完整核心系統與資料庫訪問行為

web01 

可稽核分析系統操作者普遍使用的網路協定操作,與應用伺服器對於資料庫的存取指令,並集中授權管控系統操作者的存取行徑與行為。可自動即時收集網路中系統操作者的指令操作與資料庫存取資訊,並進行記錄歷史軌跡,對於違法存取行為主動的施以阻擋。

Ultimate Auditor整合式安控稽核系統可記錄發生在網路、主機作業系統,應用系統中的重要資訊與系統中的各種各樣會話和事件。這些稽核資訊反映了資訊系統運作的基本追查軌跡。當然,它可以幫助管理者和稽核者審核資訊系統的運行是否符合法律/法規的要求或企業內的安全性原則;另一方面,這些寶貴的稽核資訊在資訊系統出現故障和安全事件時,就像飛機的“黑盒子”一樣,幫助調查者深入挖掘事件背後故事,重組事件發生的過程,直到完整的分析定位事件的最終根源 ,並佈署進一步的預防措施來避免事件的再次發生。風險管理和內控等議題是現代企業不遺餘力地投入很多資源,極力完成的終極目標,而完善、健全及有效的稽核系統就是通往這一目標的重要途徑和手段。所以,為因應安全標準規範的需求,Ultimate Auditor整合式安控稽核系統將提供最佳的解決方案。

Ultimate Auditor整合式安控稽核系統是新一代維運安控稽核系統,它採用軟硬體一體化設計,透過Http進行系統設定管理,其主要功能為:能夠將網路中連線服務設備和資料庫等等實施統一強迫認證;具有與身份認證系統無縫結合的操作介面;實現對操作網路中連線服務設備和資料庫等過程的全程監控與稽核,支援帳號與連線管控的流程管理,以及對違規者操作行為的第一時間即時阻斷。採用先進的設計理念,支援對多種遠端維護方式的管控,如:遠端存取連線方式(SSH、Telnet、HTTP)、遠端桌面(RDP、VNC)、檔案資料傳輸(FTP、SFTP)以及多種主流資料庫的存取操作, 完整的稽核報告,可針對各種不同日誌資訊輸出不同的稽核報表,還可對關聯日誌資訊產生關聯稽核報告,綜合有效利用日誌資訊為網管提供IT網路的整體運行現狀。完全可滿足電信、金融、政府、企業等各種行業客戶的稽核要求。

採用無衝擊部署方式

沒有作業系統平台的限制、不需於主機端安裝程式,可彈性部署於現有環境。採取旁聽模式 SPAN Mode 擷取封包分析。系統通過獨有的核心封包擷取技術,高效能的封包拆解引擎,可分析應用伺服器對於資料庫的存取指令,與系統管理操作者的存取行為,實現對特權使用者的操作控管與存取軌跡稽核。

提供強化網路身份認證機制

具有加強管理者的網路身份認證功能。系統提供用戶認證程式,可使用USB Token、SoftwareToken、ID-Password等方式來增強網路身份的保護,避免未經身份認證的存取發生,可有效防止駭客竊取使用合法帳號權限來存取資料的行為。

完善的即時監控和操作畫面重播功能

所有進出伺服器的連線都將會被記錄,可偵測出系統操作者普遍使用的網路協定操作,及對資料庫存取的完整SQL語法。並可記錄所有的操作和回應情況,提供即時監控和重播(VCR Replay)。針對異常的行為還可即時發出警示通知(Alarm)、進行日誌記錄(Sys-Log)或是產生阻擋的動作(TCP Reset)。

具政策性的存取控管功能

提供基於存取規則、使用者角色及其安全性政策來判斷該採用何種稽核原則和存取控制政策。存取規則是針對某種服務設定的一系列操作規則,系統對側錄後的IP相關資料進行重組後,將操作內容與存取規則進行即時比對,當發現符合存取規則的操作內容時,將觸發相對應的安全性政策Policy。

深度的稽核功能與海量記錄資料搜尋

可針對所記錄的資料進行查核,查核可依據會話Session、指令Command、存取規則Audit、使用者日誌User Log等多種角度來進行海量的資料搜尋。並可依各角度進行進階查核,包括時間、關鍵字、指令、回應內容、主機、服務、人員等來進行搜尋,可快速與精準的定位要稽核分析的行為內容。

安全的Web管理主控台與可制定的管理者權限 

管理者進入管理介面時,需使用USB Token密鑰認證後才可登入進行系統管理,可強化管理主控台的安全強度,防止駭客入侵破壞系統。可制定各種管理者的權限,如設定一般管理者只可查詢日誌的權限或管理的User Group,讓管理與稽核更貼近管理部門的組織。

完備的系統管理日誌功能

提供完善的系統管理稽核日誌,對於設備管理者於系統平台上所有的操作行為,可自動留下無法修改刪除的操作日誌,提供管理者操作日誌查詢介面(Admin Activities Query),並提供授權使用者登入/登出的日誌記錄(Admin Audit Log)。

自動化稽核報表管理功能

提供四大稽核管理報表,可以日報、周報、月報方式定期產出html格式報表。

1. 統計Session and Traffic數量的報表

2. 有阻斷命令的總報表

2-1阻斷詳細內容報表

3. 未授權登入的總報表

3-1未授權登入詳細內容報表

4. 用戶權限分配報表

並可進一步點選結果作即時的Query,可依感興趣的部份做更進一步的查找,達到精確的定位出相關操作日誌細部。即時的Query內容與更進一步的查找結果內容可最後轉匯為PDF與CSV格式產出。來滿足符合SOX、HIPAA、PCI DSS、ISO等國際法規與國內規範之個人資料保護法之稽核管理需求。

完善的日誌資料備份與歷史資料查詢機制

設備本機提供較大的儲存空間(支援提供2TB~24TB儲存空間),對於歷史的資料可設定時間與備份儲存空間來進行備份工作,並且系統支援備份資料匯出至外部儲存系統,也支持外部備份資料匯入本機查詢的機制。提供可設定歷史資料匯入查詢的暫存空間,當外部儲存的歷史資料匯入時,設備本機也提供較充足的儲存空間來供大量的歷史資料匯入查詢需求。

高效益的解決方案

可以獨監控與稽核資庫的各種活動– 包含授權管理者的行為稽核。

  • 建置特權使用者控制項目– 針對 System Admin、DBA、Operator 進行稽核,避免特權使用者進行非授權的存取與資料修改。
  • 活動記錄安全的儲存於資料庫外面/分責控管– 滿足法庭上的證據力。
  • 能落實資料庫的分權、分責管理– 避免資料庫管理者可以單獨異動稽核資料。
  • 可政策比對,並支援政策違反時的通知與政策執行– 可針對異常操作與敏感資訊欄位的查詢識別異常,並通知稽核人員。
  • 法規遵循 – 滿足如沙賓法案SOX、HIPAA、個人資料保護法、PCI等法規的要求。

設備型號規格

硬體式設備(Hardware Appliance)架構,使用嵌入式專屬作業系統,外觀符合標準19吋機架式規格

CPS-UAM-5   提供 5 個保護主機授權,2個10/100/1000Base-TX連接埠,4TB Storage

CPS-UAM-10  提供10個保護主機授權2個10/100/1000Base-TX連接埠,4TB Storage

CPS-UAM-25  提供25個保護主機授權,2個10/100/1000Base-TX連接埠,8TB Storage

CPS-UAM-50  提供50個保護主機授權,4個10/100/1000Base-TX連接埠,16TB Storage

以上型號皆可依客戶實際需求,可再另選購硬體元件來擴增硬體的規格與效能的表現

可稽核的資料庫種類

ORACLE、SYBASE、DB2、Informix、MS-SQL、MySQL、TeraData

可稽核的通訊協定種類

Telnet、FTP、HTTP、Rlogin   (需選購Proxy 模組)SSH、VNC、RDP、SFTP

系統功能

  • 可稽核分析應用伺服器對於資料庫的存取指令與特權使用者存取行徑統一納入授權管控。
  • 可針對主機服務進行存取控管 (可防止非法存取與蛙跳行為)。
  • 具使用者網路身份強化認證功能與主機服務授權認證 (帳號密碼、USB TOKEN、CA憑證)。
  • 可依照主機服務類型記錄下所有操控行為 (Command、畫面)。
  • 具可自行定義使用者Command是否允許下達的功能 (可使用關鍵字、SQL運算語法、正規表示式、字串特徵碼等方式來定義規則)。
  • 具使用者操作畫面錄影重播(VCR Replay),並提供錄影檔案下載播放功能(Off-line Replay)。
  • 提供 Oracle 16 進制語法數值反向解碼功能,可解析出使用者操作的 value 值,進而分析SQL語句中對數值改動的情況,提供進階的稽核需求。
  • 可以依照 Session、時間、主機服務、Command、稽核規則、使用者角色、指令回應時間等方式進行稽核查詢。
  • 完整的操作稽核功能,能真實地解析、分析、記錄使用者操作,當發現異常操作時提供即時告警或阻斷功能。
  • 可對系統關鍵資源進行即時監控,提供回應時間、回應結果的統計,進而輔助系統性能監控與故障分析需求。
  • 具週期性報表產出功能,可設定產出日報、周報、月報。

產品安全性設計

  • 產品於出廠時,會於系統內設定相關硬體元件資訊,無法任意更動硬體元件與任意複製程式。
  • 設備內部的硬碟並無系統程式檔案,硬碟只有儲存側錄稽核資料的資料庫,且資料庫受密碼保護與封鎖,管理者無法擅自更改與刪除。
  • 系統底層不開放管理者登入,底層受動態密碼方式保護。
  • 管理者進入管理介面時,需使用CPS USB Token來認證登入管理,每部設備於出廠時只配置唯一的CPS USB Token密鑰。
  • 系統具有自我稽核機制,管理者於管理介面任何的管理操作行為都會被系統自動記錄,管理者無法擅自更改與刪除。
  • 產品於出廠時會執行弱點掃描來檢視系統安全,並於系統內建立防火牆防禦功能。

 資訊安全趨勢

  • 事前導入政策管理
  • 事中及時發現並處理
  • 事後分析追查

(閱讀全文…)