XXXX年3月13日TA、TD培训文档-TOPSEC.ppt

1、内容行为审计系统TopAudit-Watch第1页，共35页。主要内容 TA-W产品简介产品简介 数据处理过程数据处理过程 主要功能主要功能 配置与管理配置与管理第2页，共35页。TA-W产品简介第3页，共35页。产品需求 客户通常需要对网络行为的内容进行深入分析 违规操作发现、各种应用流量、服务器负载情况、客户机上网情况统计分析第4页，共35页。审计系统与行为控制产品的区别 网络审计系统不影响用户现有网络与应用 网络审计系统提供更为高级的分析能力 网络审计系统可用于后期取证，对网络潜在威胁者予以威慑 网络审计系统的监控是无法逃避的 行为控制产品只能面向小型网络第5页，共35页。实现原理 根据

2、跟踪检测、协议还原技术开发 旁路、透明接入，获取并还原通讯数据 提供强大的内容审计功能 网络通信的监测、审查、调查取证第6页，共35页。InternetInternet内网用户邮件服务器源镜像区域核心交换机TA-WWeb管理界面监听口管理口内网区域ftp服务器数据库服务器第7页，共35页。TA-W3.0 特点 系统集审计服务器、审计探针于一体，内置存储。百兆设备内置500G存储 千兆设备内置1T存储 支持网络行为审计 支持数据库行为审计 详细的流量统计第8页，共35页。TA-W3.0 特点 线速抓包、高速审计查询、快速报表 B/S管理界面，支持https加密，支持串口、SSH下的CLI管理 完

3、善的用户管理、支持CA证书认证第9页，共35页。应用环境 政府、军队机关的网络管理部门 公安、保密、司法等国家授权的网络安全监察部门 金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心 大中型企业网络管理中心 第10页，共35页。数据处理过程第11页，共35页。审计事件发现 通过交换机镜像获取数据 基于IP地址与端口、数据包内容的协议协议识别 审计事件记录内容包括事件发生时间、源目的IP、源目的MAC、源目的端口、VLAN ID与各个协议的详细信息 支持IP地址与人员映射 支持IP地址与IP归属地映射第12页，共35页。数据捕获流量统计HTTP(WebMail)SMTPPOP3

4、FTPP2PMSNQQTELNETSQL SERVERORACLEDB2SYBASEMYSQLINFORMIX接口流量统计数据过滤协议流量统计协议识别统计各应用协议的数据流量，应用协议流量策略中配置了要统计的协议名称应用协议流量统计第13页，共35页。数据捕获流量统计解析还原接口流量统计数据过滤协议流量统计协议识别应用协议流量统计编码转换事件获取文件还原数据库表名字段名数据库规则Ip用户名映射第14页，共35页。数据捕获流量统计解析还原事件输出数据呈现编码转换事件解析文件还原数据库表名字段名数据库规则Ip用户名映射事件入库实时监视数据统计分析数据安全审计实时监视统计分析流量监控流量统计数据第1

5、5页，共35页。主要功能第16页，共35页。安全审计实时监视流量统计审计分析统计报表审计策略配置管理系统日志（Web、CLI）报 警联 动磁盘空间管理备份还原计划任务用户管理访问控制主要功能模块数据包捕获处理数据管理第17页，共35页。实时监视 界面显示最新的n条事件（n的取值范围1-50）支持手动刷新、定时刷新 支持源、目的地址过滤 页面显示列可配置第18页，共35页。实时监控界面第19页，共35页。安全审计 根据审计条件从数据库中查询 可以灵活配置审计条件 数据分批查询，快速返回查询结果 审计详情还原协议内容 审计结果保存功能可将查询结果写入pdf文件，打包导出 支持网络协议字段和内容的关

6、键字审计第20页，共35页。安全审计第21页，共35页。流量监控 接口、协议、应用流量统计 监听域内主机流量、忙闲时段分析 接口负载分析 接口连接数分析 Vlan信息 丰富的图表、flash，形象的展示统计结果第22页，共35页。流量监控第23页，共35页。统计报表 应用协议报表、数据库报表、流量报表 灵活的报表条件 报表10秒内未生成会转入后台执行，完成后可在统计报表列表中下载 目前只支持pdf格式，数据量大时生成报表的时间较长，报表内容还不够丰富第24页，共35页。数据库审计分析 支持历史与当前关联分析 支持统计与明细关联分析 支持统计与排名关联分析 支持统计与主机关联分析第25页，共35

7、页。数据库审计分析第26页，共35页。用户管理角色管理提供对所有系统功能细粒度的权限控制用户组管理拥有角色，实现对一组用户的统一管理用户 用户优先继承自身角色的权限，当自身角色权限未指定时，继承所在用户组的角色权限用户登录安全管理 控制允许用户错误登录的次数，实现对错误登录用户的锁定和解锁功能第27页，共35页。配置与管理第28页，共35页。配置安装完成后，需在CLI中配置管理口IP，系统会自动添加一条路由，默认监听口是eth1，之后的配置可在界面完成在【系统管理-网络管理】界面中可以进行监听口和路由的配置在策略管理模块完成其他配置策略管理：协议识别的策略流量策略：流量监视的IP范围应用协议流

8、量策略：进行流量监视的应用协议 ftpdata、bittorrent、edonkey需手动添加协议匹配：BT和电驴匹配开关Webmail：WebMail模板配置 审计级别：控制网络协议的还原程度，数据库协议部分字段还原第29页，共35页。配置过程第30页，共35页。管理功能管理功能主要集中在系统管理模块系统状态：监视磁盘空间、CPU、内存等使用情况网络配置：接口、路由相关配置服务器配置：设备名、DNS、FTP、SMTP、防火墙服务器配置联动规则配置：防火墙联动配置访问规则配置：配置可访问设备的地址范围报警处理规则配置：根据事件危险级别进行报警的相关配置服务管理：系统主要服务的管理数据备份与还原：数据库备份和还原功能磁盘空间管理策略：依据磁盘利用率触发的管理操作系统配置管理：配置保存、导入、导出、恢复，设备重启、关机系统计划任务：配置定期自动执行的任务系统升级：升级功能第31页，共35页。数据备份与还原 本地备份 备份文件保存在设备磁盘中 ftp远程备份 备份完成后备份文件自动上传到ftp服务器 需要先配置ftp服务器 数据还原 支持本地和远程ftp服务器上备份文件的还原第32页，共35页。ftp备份与还原第33页，共35页。Q&A第34页，共35页。演讲完毕，谢谢观看！第35页，共35页。