论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 23 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 对启明合规审计产品——天玥的几点疑惑?
帖子发表于 : 2009-06-29 23:07 
离线
顶级用户

注册: 2008-05-24 12:30
最近: 2018-05-15 13:08
拥有: 17,902.90 安全币

奖励: 15343 安全币
在线: 22264 点
帖子: 943
最近在研究一些满足合规要求的安全产品,也很关注国内厂家在这方面的产品和解决方案。看了一些国内知名厂商的产品原理和特性,有些疑惑特此提出来,希望有了解的能讨论下。

首先从产品的类型来看,天玥分为业务网型和互联网型。互联网型其实就是一个上网行为管理产品,但是确实能给审计提供素材,关键是看其日志内容是否全面详细,格式和内容是否规范,是否有良好的提供外部收集端的接口,当然最关键的是开启全部审计日志记录后是否会对性能造成影响?互联
网型不是我要重点讨论的,下面还是说针对业务网型的吧。

从产品架构和原理来看,业务网型也是对数据包进行分析,然后产生审计日志。然而这就带来了两个问题,也是我的疑惑。

1、由于审计的数据来源都是网络数据包,那么这是否会导致审计的对象不够全面,无法满足合规的严格要求呢?诚然现在很多业务都是通过网络进行,但是对于那些不通过网络的操作怎么能达到合规如萨班斯的严格审计和监控的要求呢?比如直接管理员登录业务应用系统,没有通过网络。这时如何对他的操作进行审计呢?在比如防病毒的日志,许多合规中对此有审计要求,要求定期地更新病毒库,对那些升级失败的主机要进行记录。防病毒客户端升级失败,从网络来看有可能就是几次失败的tcp连接记录,那么对于此类事件怎么审计呢?

2、第1点也同时引出了第2点。在天玥的功能特点中也写道"全面协议解析(从内容广度上适应不同业务协议的审计要求)。支持所有主流运维协议、数据库协议、OA协议及自定义协议的细粒度内容审计和访问控制”。确实很强大,主流的运维协议、数据库和OA协议都支持。也支持自定义协议,然而这必然带来了一个开发问题。难道碰到客户每个新的应用协议都分析并开发么?我以前也做过协议分析,如果没有协议规范说明,直接对数据包分析。要想搞清楚整个业务流程的协议也是需要一番功夫的。当然了这也和业务的协议复杂度有关,如果加密的话也更加麻烦了。如果客户的应用根本不走网络怎么审计呢?


最后申明我对启明这款产品没有任何批评的意思,启明也是我很向往的地方。只是看了产品的结构、原理,再看宣传资料和成功案例,总觉得有些地方心里有疑惑,有熟悉的或者对这些问题清楚的可以回答或者共同讨论下了,呵呵。


--------本帖迄今已累计获得47安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-04 17:52 
离线
超级用户

注册: 2004-09-21 11:01
最近: 2015-08-10 15:28
拥有: 4,566.50 安全币

奖励: 324 安全币
在线: 10935 点
帖子: 407
地址: 北京
往往现实与希望都是有很大差距的。我觉得现有的审计产品主要需要解决两方面的问题,第一就是数据来源层面,也就是你所质疑的数据收集是否全面,能否收集诸如防病毒日志、应用管理员登陆应用系统的操作日志等。这些都带有很强的“定制”性。现有的审计产品是无法做到全面支持此类日志数据的。这里面原因很多,比如人家是否愿意提供数据采集接口给审计产品等等问题吧。第二就是对收集到的数据是否能够很好的按照合规性要求所规定的格式、内容来形成有一定审计价值的细粒度报告。目前国内的审计产品在这方面也仅停留在日志数据的汇集、简单的分类等等。针对合规性要求的符合度不高。启明的这款产品没用过,不过产品的功能是否真的像它所说的不敢妄下定论,最好的验证就是使用,拿到客户环境中去验证是否真的有其吹嘘的那么好。


--------本帖迄今已累计获得62安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-08-23 21:26 
离线
初级用户

注册: 2009-08-02 23:46
最近: 2014-06-15 10:50
拥有: 81.00 安全币

奖励: 0 安全币
在线: 94 点
帖子: 23
楼主有想法,我支持。


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-08-23 23:18 
离线
高级用户

注册: 2008-11-24 19:39
最近: 2017-09-07 15:08
拥有: 15.00 安全币

奖励: 515 安全币
在线: 841 点
帖子: 164
天钥没用过哎 !~


--------本帖迄今已累计获得10安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-21 17:33 
离线
新手

注册: 2009-07-12 16:53
最近: 2009-12-31 01:37
拥有: 40.00 安全币

奖励: 0 安全币
在线: 221 点
帖子: 17
启明天玥审计系统,业务网型是OEM赛贝卡的,互联网型是OEM任子行的


--------本帖迄今已累计获得10安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-21 17:59 
离线
顶级用户

注册: 2007-09-24 12:46
最近: 2015-07-18 17:29
拥有: 4,927.20 安全币

奖励: 2704 安全币
在线: 6552 点
帖子: 707
地址: Beijing,China
ibmsec 写道:
启明天玥审计系统,业务网型是OEM赛贝卡的,互联网型是OEM任子行的


这都是哪年的历史了?楼主应该刷新一下看法了........

天玥互联网型是OEM任子行的,这是2年以前的事情了.


--------本帖迄今已累计获得7安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-21 19:06 
离线
版主

注册: 2008-09-01 08:52
最近: 2017-06-11 10:30
拥有: 24,773.80 安全币

奖励: 15810 安全币
在线: 13686 点
帖子: 1236
地址: 福建/浙江
ISwalker 写道:
ibmsec 写道:
启明天玥审计系统,业务网型是OEM赛贝卡的,互联网型是OEM任子行的


这都是哪年的历史了?楼主应该刷新一下看法了........

天玥互联网型是OEM任子行的,这是2年以前的事情了.

互联网型似乎因任子行不再提供贴牌,今年09年开始没有了;
业务网的,倒不知道有什么变化,不知道是用谁的。
感觉难以搞清楚到底哪些是它自己的产品?

1.常规网络审计产品,只能对网络协议解包审计,当然是不够全面完善的,主要优点是部署方便对原来业务影响小;
2.产品总是夸大其词的。实际上,网络审计只能针对常规的有限协议。特殊协议或者全面的审计这类产品是不适合的。


--------本帖迄今已累计获得19安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-22 14:41 
离线
新手

注册: 2007-07-08 20:05
最近: 2012-02-10 15:55
拥有: 74.10 安全币

奖励: 0 安全币
在线: 415 点
帖子: 7
互联网型已停产。
业务网型,现在转为纯B/S结构。变化得比较大。
业务网的多数就是对一些管理协议或数据库操作的进行审计,如果是私有协议,当然要找厂家要接口了。
说白了,这类的审计就是抓包+分析+回放+报表,看那个厂家的功力深了。


--------本帖迄今已累计获得53安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-12-23 15:05 
离线
超级用户

关注按钮

注册: 2009-12-22 13:25
最近: 2013-08-27 09:45
拥有: 2,732.00 安全币

奖励: 1109 安全币
在线: 4247 点
帖子: 407
全面协议审计我感觉是相对的,比其他的同类产品多审计一个协议,就全面了。否则协议那么多,rfc1700上随便挑几个,谁敢说能审计。

审计产品从原理上看很简单,但是用了就会发现几个问题:
1、海量日志,想找个事件,哪怕明知道库里面有,你就是一个星期找不到。
2、日志要保存多久?每个月有多少日志?如果网络大点,审计的对象多点,1个T的空间很快满了,还得加硬盘或买存储。
3、对于3层架构的应用,数据库审计有鸟用?记录不到用户,就记录了app或web访问db的记录,一堆垃圾信息。
4、数据库审计,审计到什么程度,这个一定要问清楚,就审几个select,delete,insert等,用处不大。


--------本帖迄今已累计获得44安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-12-23 23:24 
离线
初级用户

注册: 2009-12-15 12:25
最近: 2014-09-12 14:51
拥有: 94.00 安全币

奖励: 14 安全币
在线: 148 点
帖子: 31
启明有很多高手,但是高手们的技术都在自己肚子里,没开发出自己的产品。如果计算机杀毒都是找计算机高手一个一个找,那多累啊,还是应该开发出完全有自己特色和个性的东西,服务社会。
别生气!


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 对启明合规审计产品——天玥的几点疑惑?
帖子发表于 : 2010-05-13 11:27 
离线
中级用户

注册: 2004-09-17 15:55
最近: 2015-08-25 10:53
拥有: 966.10 安全币

奖励: 4 安全币
在线: 2332 点
帖子: 110
合规性大多是从业务角度考虑的,单纯从网络入手片面性太强,对客户的帮助有限,很多时候也并不是合规性要求的重点。


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 对启明合规审计产品——天玥的几点疑惑?
帖子发表于 : 2010-07-05 16:25 
离线
新手

注册: 2008-12-03 14:44
最近: 2012-07-27 16:35
拥有: 32.90 安全币

奖励: 0 安全币
在线: 134 点
帖子: 5
启明的互联网审计是因为任子行的OEM合约到期了,所以不卖了,现在只剩下个业务审计,只有数据库审计功能,审计功能覆盖显得有些单薄了。

大家知道,启明的天玥IV--就是那个堡垒机,还在市场上卖么?


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 对启明合规审计产品——天玥的几点疑惑?
帖子发表于 : 2010-07-05 16:42 
离线
新手

注册: 2007-07-08 20:05
最近: 2012-02-10 15:55
拥有: 74.10 安全币

奖励: 0 安全币
在线: 415 点
帖子: 7
不止审计数据库,还的管理类协议一直有审计,
天玥4也在卖,


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 对启明合规审计产品——天玥的几点疑惑?
帖子发表于 : 2010-07-30 16:24 
离线
中级用户

注册: 2010-01-09 17:36
最近: 2016-01-07 16:21
拥有: 233.00 安全币

奖励: 0 安全币
在线: 872 点
帖子: 73
到底启明有哪些产品是从一开始是自己自主研发的?


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 对启明合规审计产品——天玥的几点疑惑?
帖子发表于 : 2010-07-30 17:03 
离线
超级用户

注册: 2004-04-11 21:49
最近: 2015-09-06 15:31
拥有: 13,135.00 安全币

奖励: 9537 安全币
在线: 3492 点
帖子: 479
这么多人关注启明的天玥审计,可喜啊!
更可喜的是大家都没有打错字,没有打成天月或者是天钥,真是可喜可贺!
天玥采用从网络抓包进行协议分析,其实技术上有几个难点:
1、协议分析要越全越好,甚至要能解析一些偏门的东西,比如几个国产的数据库。
2、大容量数据库的存储、查询速度要越快越好,
3、在3层架构的模式下,能审计出相应的信息,解决此问题才能在现有的网络环境中有现实意义。
从目前了解的情况,这几方面启明应该是解决的不错的,希望有真正用过的能出来说一下感受。

至于合规性,一定不是靠这一个产品能解决所有的问题的,还得结合其他的产品才行,就像网络出口的安全也不只是靠架一个防火墙就能解决的。
另外启明的天玥业务网审计目前是自主研发的,之前OEM的任子行的互联网审计早已经不卖了。


--------本帖迄今已累计获得30安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 23 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012