1、信息安全网络隔离装置 SGI-NDS200操作手册信息安全网络隔离装置 项目组信息安全网络隔离装置 SGI-NDS 200 操作手册I版 权 声 明SGI-NDS 200 信息安全网络隔离装置版权归国家电网公司所有,任何侵犯版权的行为将被追究法律责任。未经版权所有者的书面准许,不得将本手册的任何部分以任何形式、采用任何手段(电子的或机械的,包括照相复制或录制) 、或为任何目的,进行复制或扩散。Copyright2009-2010 国家电网公司。版权所有,复制必究。国家电网公司不对因为使用该软件、用户手册或由于该软件、用户手册中的缺陷所造成的任何损失负责。信息安全网络隔离装置 SGI-NDS 2
2、00 操作手册II前 言互联网从无到有以飞快的速度发展着,它的开放性在给人们带来巨大便利的同时,也带来了系统入侵、信息泄密等网络安全问题。网络的存在使得信息高度共享和迅速传递,但是也要清楚认识到,网络安全问题作为一个十分重要和极具威胁性的问题是一直存在着的。目前,有很多网络安全工具,比如防火墙、IDS 等等,网络安全隔离作为近几年来国内研究开发的网络安全技术也飞速发展起来,在市场上占有一席之地,相信在不久的将来网络安全隔离在信息安全领域将扮演着越来越重要的角色。SGI-NDS 200 信息安全网络隔离装置采用接口代理的技术架构,替换客户端访问的 JDBC 驱动,通过 SGI-NDS 200 设
3、备进行实际的数据库访问。系统可以控制内外网之间的交互数据,对于访问进行深层的过滤与全面的检测。信息安全网络隔离装置 SGI-NDS 200 操作手册III阅 读 指 南手册目标本手册是国家电网公司的产品 SGI-NDS 200 信息安全网络隔离装置的用户指南,它详细地介绍了设备功能和操作。通过阅读本手册,用户可以掌握 SGI-NDS 200 信息安全网络隔离装置的使用方法和功能。阅读对象本手册是专为购买 SGI-NDS 200 信息安全网络隔离装置的用户编写的。用户在使用 SGI-NDS 200 信息安全网络隔离装置之前请仔细阅读本手册,以免误操作,造成不必要的损失。手册构成本手册主要由以下几
4、个部分组成:1第 1 章“信息安全网络隔离装置介绍”和第 2 章“SGI-NDS 200 信息安全网络隔离装置简介” ,介绍了与网络安全隔离技术有关的背景知识以及 SGI-NDS 200 信息安全网络隔离装置的功能。2第 3 章“SGI-NDS 200 信息安全网络隔离装置管理” ,介绍了 SGI-NDS 200信息安全网络隔离装置管理器的使用方法。手册约定【注意】 、 【提示】的意思是请读者注意那些需要注意的事项。信息安全网络隔离装置 SGI-NDS 200 操作手册IV目录1 信息安全网络隔离装置介绍 .11.1 信息安全网络隔离装置的定义 .11.2 信息安全网络隔离装置在网络中的位置
5、.11.3 信息安全网络隔离装置访问控制策略 .12 SGI-NDS 200 信息安全网络隔离装置 简介 .32.1 工作原理 .32.2 功能和特性 .32.2.1 基本功能 .32.2.2 增强的安全功能 .32.2.3 数据库专用防护功能 .42.2.4 安全方便的维护管理 .42.3 产品实施步骤 .52.4 系统启动过程简介 .63 SGI-NDS 200 信息安全网络隔离装置 管理 .73.1 登录 .73.2 用户管理 .93.2.1 用户类型与权限 .93.2.2 管理用户 .103.2.3 修改密码 .113.2.4 查看用户信息 .113.2.5 超级管理员 .123.3
6、应用规则管理 .123.3.1 应用系统导航图 .123.3.2 应用系统 .173.3.3 应用服务器 .183.3.4 虚拟数据库 .193.3.5 真实数据库 .20信息安全网络隔离装置 SGI-NDS 200 操作手册V3.3.6 SQL 词法白名单 .213.3.7 特征过滤黑名单 .223.4 监控管理模块 .223.4.1 操作系统监控 .233.4.2 SQL 代理服务器监控 .233.5 系统信息管理模块 .243.5.1 查看硬件配置信息 .243.5.2 查看代理服务器版本信息 .253.6 配置管理模块 .253.6.1 配置导入 .253.6.2 配置导出 .263.
7、7 日志管理模块 .273.8 工具栏 .283.9 菜单栏 .284 FAQ.294.1 客户端软件运行异常 .294.1.1 界面菜单和功能显示不全 .294.1.2 界面显示全为英文,并且没有功能 .294.1.3 关闭软件重新打开后直接进入关闭前的界面 .294.2 应用系统运行异常 .294.2.1 使用了数据库私有接口 .29信息安全网络隔离装置 SGI-NDS 200 操作手册第 1 页1 信息安全网络隔离装置介绍1.1 信息安全网络隔离装置的定义信息安全网络隔离装置是将可信任的信息内网和不可信任的信息外网进行隔离,因此必须保证信息内网和信息外网之间的 SQL 通信均通过信息安全
8、网络隔离装置进行,同时还必须保证信息安全网络隔离装置自身的安全性。 1.2 信息安全网络隔离装置在网络中的位置1.3 信息安全网络隔离装置访问控制策略访问控制策略是信息安全网络隔离装置的基础,它可以按如下两种逻辑来制订:1、 默认禁止:访问控制规则没有明确允许的都禁止访问;2、 默认允许:访问控制规则没有明确禁止的都允许访问。对于网络通讯的控制,采用默认禁止的方式,即为配置相应通讯策略的协议,均无法通过装置。图 1-1 普通网络系统连接示意图信息安全网络隔离装置 SGI-NDS 200 操作手册第 2 页对于应用 SQL 语句的控制,装置采用词法匹配和内置默认规则方式进行过滤,一方面提升效率,
9、同时增强了安全性。未明确禁止的 SQL 语句可通过本装置。信息安全网络隔离装置 SGI-NDS 200 操作手册第 3 页2 SGI-NDS 200信息安全网络隔离装置 简介2.1 工作原理信息安全网络隔离装置是适应网络按照安全等级进行分区的需要,对数据库进行保护的专用装置。本装置可以对信息内外网间的传输进行过滤,只允许特定的应用服务器通过特定的程序对特定的数据库服务器进行访问,并且对客户端程序访问数据库服务的内容和行为进行控制。2.2 功能和特性信息安全网络隔离装置具备以下几大功能:2.2.1 基本功能信息安全网络隔离装置具备通用防火墙产品的基本功能。1) 防御功能 提供实时监控、审计和告警
10、功能; 2) 安全管理 操作系统提供分权管理安全机制;提供管理员和审计员分权管理的安全机制,保证安全产品的安全管理。 提供丰富完整的审计机制;装置的日志审计功能十分完善,有对系统管理体系的分类日志(管理日志、通信事件日志) ,也有按日期对应的运行日志。日志内容包括事件时间、日志主体和事件摘要等。 提供日志查询功能;日志查询和分级分类筛选,这为用户进行日志的审计和分析提供了方便。3) 操作管理 提供灵活的本地管理方式; 2.2.2 增强的安全功能1) 加固的安全操作系统采用安全 linux 操作系统,根据最小特权原则对装置的软件,制定MAC(强制访问控制)策略;信息安全网络隔离装置 SGI-ND
11、S 200 操作手册第 4 页2) 严格的访问控制策略只有特定的 Tcp 链路才能通过本装置。本装置可以配置对源 IP 进行控制,最大程度让数据库服务器对非法访问者不可见,以保障数据库安全。2.2.3 数据库专用防护功能SQL 语句控制对于连接上数据库的通讯内容进行全方位分析,从其中分析出完整的 SQL语句,对其进行过滤。如果通过词法分析并与已知合法 SQL 语句相匹配,则进行放过。如果不与已知的合法 SQL 语句相匹配,这进行恶意特征检查。若包含恶意特征,本装置将立即阻止该 SQL 语句执行或者切断其连接,将恶意 SQL 语句及时阻挡住,使之无法在数据库服务器上执行。SQL 解析和过滤SQL
12、 解析和过滤模块,进行深入的 SQL 分析过滤,并根据用户配置的安全控制策略,对来自特定网络地址范围以及具有特定内容的应用数据进行阻断或允许操作,将来自外部网络中企图对后台数据库进行攻击的危险行为阻断,从而在一定程度上保证了只有来自可信网络的不具攻击性的数据才能进入内部网络,确保后台数据库的安全。信息安全网络隔离装置对一些常见的 SQL 注入攻击预置了相应的默认过滤规则,随着黑客技术的发展和网络攻击手段的进步,技术人员可以对过滤规则进行及时更新。规则的更新是实时动态生效的,装置无需重新启动,因此并不会阻断上层应用。SQL 阻断方式对于常规的恶意语句,装置将拒绝该语句执行,记录详细的操作日志,并在 JDBC 端抛出 “SQL check failed!”的异常信息。对于恶意编码的 SQL 语句,如含有不可打印字符等,装置将直接切断其连接。2.2.4 安全方便的维护管理SGI-NDS 200 信息安全网络隔离装置配置非常简便,对它的操作及设置基本