安全審計(jì)系統(tǒng)的功能設(shè)計(jì)及其技術(shù)要求

1、安全審計(jì)系統(tǒng)的功能設(shè)計(jì)及其技術(shù)要求安全審計(jì)系統(tǒng)的功能設(shè)計(jì)及其技術(shù)要求隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的迅速發(fā)展， 人們的工作、 學(xué)習(xí)和生活方式正在發(fā)生巨大變化，效率大為提高，信息資源得到最大程度的共享。即使部署了防火墻、防病毒、入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品，制定了嚴(yán)格安全策略、發(fā)布了多項(xiàng)管理制度，各種網(wǎng)絡(luò)安全事件任然有增無(wú)減，根據(jù) CERTCERT 的年度研究報(bào)告顯示，高達(dá) 50%50%以上的數(shù)據(jù)破壞是由內(nèi)部人員造成的，內(nèi)部人員對(duì)自己的信息系統(tǒng)非常熟悉，又位于防火墻的后端，對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的誤操作或者蓄意的破壞會(huì)對(duì)企業(yè)造成惡劣的影響以及重大損失，無(wú)法定責(zé)，不方便管理。安全審計(jì)通過(guò)收集、分析、評(píng)估安全信息

2、、掌握安全狀態(tài)，制定安全策略，確保整個(gè)安全體系的完備性、合理性和適用性，將系統(tǒng)調(diào)整到最安全和最低風(fēng)險(xiǎn)的狀態(tài)。1 1 什么是安全審計(jì)系統(tǒng)安全審計(jì)系統(tǒng)是在一個(gè)特定的企事業(yè)單位的網(wǎng)絡(luò)環(huán)境下， 為了保障業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)信息數(shù)據(jù)不受來(lái)自用戶的破壞、泄密、竊取，而運(yùn)用各種技術(shù)手段實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容，以便集中收集、分析、報(bào)警、處理的一種技術(shù)手段。能夠規(guī)范員工上網(wǎng)行為、提高工作效率、防止企業(yè)機(jī)密資料外泄，幫助管理者發(fā)現(xiàn)潛在的威脅，減少人為因素和管理缺失造成的關(guān)鍵業(yè)務(wù)停頓造成的損失。幫助您對(duì) ITIT 安全事件進(jìn)行有效監(jiān)控、協(xié)調(diào)弁迅速做出響應(yīng)。對(duì)潛在的攻擊者起到展懾和替告的作用，對(duì)于己經(jīng)發(fā)生的

3、系統(tǒng)破壞行為提供有效的追究證據(jù)。2 2 安全審計(jì)系統(tǒng)功能安全審計(jì)系統(tǒng)由審計(jì)主機(jī)以及探測(cè)器組成， 采用旁路方式進(jìn)行審計(jì)， 不在網(wǎng)絡(luò)中串聯(lián)設(shè)備，不破壞網(wǎng)絡(luò)結(jié)構(gòu)，不影響正常業(yè)務(wù)的運(yùn)行，也不會(huì)影響到網(wǎng)絡(luò)性能，通過(guò) HTTPSHTTPS 方式對(duì)主機(jī)進(jìn)行管理。系統(tǒng)主要由以下功能模塊組成：1 1）網(wǎng)絡(luò)審計(jì)模塊：防止非法內(nèi)連和外連，負(fù)責(zé)網(wǎng)絡(luò)通信系統(tǒng)的審計(jì)，在加強(qiáng)內(nèi)外部網(wǎng)絡(luò)信息控制監(jiān)管的同時(shí)，為避免相關(guān)信息外泄及事后的追溯取證提供了有效的技術(shù)支撐。2 2）操作系統(tǒng)審計(jì)模塊：對(duì)重要服務(wù)器主機(jī)操作系統(tǒng)的審計(jì)，記錄操作時(shí)間、IPIP 地址、用戶賬號(hào)、服務(wù)器賬號(hào)、操作指令、操作結(jié)果等信息。用戶即可通過(guò)操作日志查看詳細(xì)操

4、作指令，也可通過(guò)錄像回放查看詳細(xì)的操作過(guò)程3 3）數(shù)據(jù)庫(kù)審計(jì)模塊：對(duì)重要數(shù)據(jù)庫(kù)操作的審計(jì)，對(duì)信息系統(tǒng)中各類數(shù)據(jù)庫(kù)系統(tǒng)的用戶訪問(wèn)行為進(jìn)行實(shí)時(shí)采集、實(shí)時(shí)分析，用戶登錄、登出數(shù)據(jù)庫(kù)，對(duì)數(shù)據(jù)表內(nèi)容做插入、刪除、修改等操作，記錄內(nèi)容可以精確回放 SQLSQL 操作語(yǔ)句。詳細(xì)記錄每次操作的發(fā)生時(shí)間、數(shù)據(jù)庫(kù)類型、數(shù)據(jù)庫(kù)名、表名、源 MACMAC 地址、目的 MACMAC 地址、源端口、目標(biāo)端口、數(shù)據(jù)庫(kù)名、用戶名、客戶端 IPIP、服務(wù)器端 IPIP、操作指令、操作返回狀態(tài)值。4 4）主機(jī)審計(jì)模塊：主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)重要區(qū)域的客戶機(jī)進(jìn)行審計(jì)，包括對(duì)終端系統(tǒng)安裝了哪些不安全軟件的審計(jì)，弁設(shè)置終端系統(tǒng)的權(quán)限等，在配合

5、網(wǎng)絡(luò)行為控制與審計(jì)策略的配置實(shí)施過(guò)程中起到基礎(chǔ)性的作用。5 5）應(yīng)用審計(jì)模塊：主要負(fù)責(zé)重要服務(wù)器主機(jī)的應(yīng)用平臺(tái)軟件，以及重要應(yīng)用系統(tǒng)進(jìn)行審計(jì)。監(jiān)測(cè)及采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問(wèn)行為、系統(tǒng)運(yùn)行日志、系統(tǒng)運(yùn)行狀態(tài)等各類信息，經(jīng)過(guò)規(guī)范化、過(guò)濾、歸弁和告警分析等處理后，以統(tǒng)一格式的日志形式進(jìn)行集中存儲(chǔ)和管理，形成清晰的記錄。6 6）運(yùn)維審計(jì)模塊：主要負(fù)責(zé)監(jiān)控系統(tǒng)管理員及第三方運(yùn)維人員（代維/原廠工程師） 系統(tǒng)操作時(shí)的審計(jì)， 對(duì)于所有遠(yuǎn)程訪問(wèn)目標(biāo)設(shè)備的會(huì)話連接，實(shí)現(xiàn)同步過(guò)程監(jiān)視，運(yùn)維人員在服務(wù)器上做的任何操作都會(huì)同步顯示在審計(jì)人員的監(jiān)控畫面中，包括 vivi、smitsmit 以及圖形化的 R

6、DPRDP、VNCVNC、X11X11 等操作，管理員可以根據(jù)需要隨時(shí)切斷違規(guī)操作會(huì)話。記錄訪問(wèn)者和被訪問(wèn)者的 IP/MACIP/MAC地址，訪問(wèn)時(shí)間等信息。3 3 安全審計(jì)系統(tǒng)特點(diǎn)安全審計(jì)系統(tǒng)實(shí)現(xiàn)功能模塊，具有如下特點(diǎn)：3.13.1 細(xì)粒度的操作內(nèi)容審計(jì)（深度協(xié)議分析）采用協(xié)議識(shí)別和智能關(guān)聯(lián)技術(shù)，可對(duì)網(wǎng)站訪問(wèn)、郵件收發(fā)、遠(yuǎn)程終端訪問(wèn)、數(shù)據(jù)庫(kù)訪問(wèn)、論壇發(fā)帖等關(guān)鍵信息進(jìn)行監(jiān)測(cè)、還原；從鏈路層到應(yīng)用層對(duì)協(xié)議進(jìn)行深度分析，根據(jù)內(nèi)容自動(dòng)識(shí)別各個(gè)連接的應(yīng)用協(xié)議類型。 保障審計(jì)的準(zhǔn)確性。 為管理機(jī)構(gòu)進(jìn)行事后追查、取證分析提供有力技術(shù)支撐。3.23.2 全面的網(wǎng)絡(luò)行為審計(jì)（精準(zhǔn)的網(wǎng)絡(luò)行為實(shí)時(shí)監(jiān)控）安全審計(jì)系

7、統(tǒng)可對(duì)網(wǎng)絡(luò)行為，如網(wǎng)站訪問(wèn)、郵件收發(fā)、數(shù)據(jù)庫(kù)訪問(wèn)、遠(yuǎn)程終端訪問(wèn)、即時(shí)通訊、論壇、在線視頻、P2PP2P 下載、網(wǎng)絡(luò)游戲等，提供全面的行為監(jiān)控，支持全面的行為審計(jì)、支持目前常見的各種網(wǎng)絡(luò)應(yīng)用，方便事后追查取證；在旁路部署模式下可實(shí)現(xiàn)較強(qiáng)的網(wǎng)絡(luò)行為控制功能，包括對(duì)網(wǎng)頁(yè)瀏覽、電子郵件服務(wù)器、即時(shí)通訊、P2PP2P 下載、流媒體、在線游戲等應(yīng)用的控制。3.33.3 日志規(guī)則庫(kù)自帶基于日志內(nèi)容分析的專家規(guī)則庫(kù)， 針對(duì)日志源數(shù)據(jù)進(jìn)行實(shí)時(shí)等級(jí)劃分，智能分析日志信息中所反映出的諸如設(shè)備故障、配置錯(cuò)誤、系統(tǒng)警告、應(yīng)用程序出錯(cuò)、傳播違規(guī)違法信息、數(shù)據(jù)庫(kù)敏感操作等信息，弁能及時(shí)通過(guò)郵件或短信方式通知管理員。規(guī)則庫(kù)能

8、夠定時(shí)自動(dòng)升級(jí)，應(yīng)對(duì)新增的安全風(fēng)險(xiǎn)。3.43.4 綜合流量分析安全審計(jì)系統(tǒng)可對(duì)網(wǎng)絡(luò)流量進(jìn)行綜合分析， 為網(wǎng)絡(luò)帶寬資源的管理提供可靠策略支持；通過(guò)傳統(tǒng)安全手段與安全審計(jì)技術(shù)相結(jié)合，在功能上互相協(xié)調(diào)、補(bǔ)充，構(gòu)建一個(gè)立體的保障管理體系。3.53.5 可靠的安全保障能力自身的安全性高， 不易遭受攻擊， 在操作系統(tǒng)級(jí)對(duì)系統(tǒng)各支撐引擎進(jìn)行了修改和全面優(yōu)化定制，全面防止攻擊與劫持，提升系統(tǒng)整體性能的同時(shí)保障自身系統(tǒng)級(jí)安全。對(duì)關(guān)鍵審計(jì)數(shù)據(jù)的存儲(chǔ)和傳輸進(jìn)行加密防護(hù)，利用數(shù)據(jù)防篡改、防刪除技術(shù)；嚴(yán)格訪問(wèn)權(quán)限、審計(jì)權(quán)限控制體系達(dá)到系統(tǒng)級(jí)安全防護(hù)，旁路部署保障對(duì)網(wǎng)絡(luò)性能完全沒(méi)有影響，保證網(wǎng)絡(luò)無(wú)單點(diǎn)故障，優(yōu)先保障用戶網(wǎng)

9、絡(luò)級(jí)安全，是上網(wǎng)機(jī)構(gòu)在內(nèi)網(wǎng)和互聯(lián)網(wǎng)過(guò)程中最可信賴的安全工具。3.63.6 高效的事件定位能力系統(tǒng)運(yùn)行日志數(shù)據(jù)大致可分為兩類： 結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)， 結(jié)構(gòu)化數(shù)據(jù)主要包括行為日志和報(bào)警日志等，而非結(jié)構(gòu)化數(shù)據(jù)則主要包括內(nèi)容審計(jì)數(shù)據(jù)。通過(guò)使用先進(jìn)的全文檢索引擎，實(shí)現(xiàn)高效的事件定位能力。3.73.7 良好的擴(kuò)展性設(shè)計(jì)，部署靈活支持分級(jí)部署、集中管理，滿足不同規(guī)模網(wǎng)絡(luò)的使用和管理需求；對(duì)于單臺(tái)設(shè)備無(wú)法處理的超大流量環(huán)境或含有分支機(jī)構(gòu)的分布式環(huán)境，系統(tǒng)支持高擴(kuò)展性的多臺(tái)設(shè)備分布式部署方案，通過(guò)多臺(tái)設(shè)備對(duì)超大的流量或各分支機(jī)構(gòu)分而治之，又由統(tǒng)一的管理平臺(tái)實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的透明、統(tǒng)一的管理。3.83.8 多

10、種報(bào)表全面詳細(xì)的審計(jì)信息，豐富可定制的報(bào)表系統(tǒng)，系統(tǒng)根據(jù)歷史審計(jì)日志數(shù)據(jù)進(jìn)行統(tǒng)計(jì)可產(chǎn)生豐富詳細(xì)和直觀的報(bào)表，包括分組上網(wǎng)排名、人員上網(wǎng)排名、網(wǎng)絡(luò)應(yīng)用統(tǒng)計(jì)、訪問(wèn)資源統(tǒng)計(jì)、趨勢(shì)分析、自定義報(bào)表等。能夠從上網(wǎng)對(duì)象、時(shí)間、分類、目標(biāo)等多個(gè)維度對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行查詢分析，弁以柱狀圖，餅圖，曲線圖,折線圖等形式來(lái)體現(xiàn)排名、結(jié)構(gòu)、趨勢(shì)等上網(wǎng)概況，使管理者對(duì)所掌握的數(shù)據(jù)有清晰直觀的認(rèn)識(shí)。報(bào)表可以以 EXCELEXCEL、PDFPDF、WORDWORD、 HTMLHTML 等形式導(dǎo)出保存， 弁支持自定義的周期性報(bào)表自動(dòng)生成和訂閱。日志可以按照要求保留 9090 天以上，歸檔的日志可通過(guò)各種組合條件進(jìn)行在線查詢，也可以遠(yuǎn)程備份到異地進(jìn)行