網(wǎng)絡(luò)安全審計案例與解決方案43

1、網(wǎng)絡(luò)安全審計案例與解決方案網(wǎng)絡(luò)安全審計系統(tǒng)應(yīng)用于企業(yè)，能夠規(guī)范員工上網(wǎng)行為、 提高工作效率、防止企業(yè)機密資料外泄，為企業(yè)的網(wǎng)絡(luò)提 供保障，使企業(yè)的網(wǎng)絡(luò)資源發(fā)揮應(yīng)有的經(jīng)濟(jì)效益。從企業(yè)管理的角度，以可視化的方式描述、分析企業(yè)網(wǎng) 絡(luò)信息系統(tǒng)的實際使用狀況，提高企業(yè)信息系統(tǒng)的工作效 率，加強企業(yè)內(nèi)部管理，降低企業(yè)的運營成本，幫助管理 者發(fā)現(xiàn)潛在的威脅，減少人為因素和管理缺失造成的關(guān)鍵 業(yè)務(wù)停頓造成的損失。 幫助您對IT安全事件進(jìn)行有效監(jiān)控、 協(xié)調(diào)并迅速做由響應(yīng)，快速實現(xiàn)ROI需求背景1:奧部委是我國擬定方針政策、 發(fā)展戰(zhàn)略和中長期規(guī)劃, 組織起草有關(guān)法律法規(guī)并監(jiān)督實施的國家部委。奧部的網(wǎng)絡(luò) 是一個跨地

2、區(qū)、跨部門的綜合性網(wǎng)絡(luò)系統(tǒng)，下轄多個數(shù)據(jù)中 心，比如水土保持監(jiān)測中心等，該網(wǎng)絡(luò)由國家信息中心同全 國省級、副省級、地市級和縣級四級政府部門信息中心構(gòu)成 的完整體系構(gòu)成。政務(wù)外網(wǎng)與政務(wù)內(nèi)網(wǎng)物理隔離，與互聯(lián)網(wǎng) 邏輯隔離。國家電子政務(wù)外網(wǎng)安全管理平臺用于管理國家電 子政務(wù)外網(wǎng)中央城域網(wǎng)、廣域網(wǎng)骨干網(wǎng)的主要網(wǎng)絡(luò)設(shè)備、安 全設(shè)備和網(wǎng)絡(luò)承載的業(yè)務(wù)系統(tǒng)的安全事件。莫部委信息中心希望通過部署審計系統(tǒng)，旨在提高對各類安全事件的防范，規(guī)范信息發(fā)布，保障內(nèi)部重要關(guān)鍵主 機的業(yè)務(wù)正常運行。具體而言主要包括幾部分內(nèi)容：第一， 對各省及地市的接入數(shù)據(jù)庫的人員能準(zhǔn)確定 位，并且能夠控制，只有授權(quán)許可的人員才能察看其訪問授

3、權(quán)范圍內(nèi)的內(nèi)容。第二，對具有訪問授權(quán)的人員所進(jìn)行的網(wǎng)絡(luò)行為操作 做記錄。第三， 能夠?qū)k公自動化 OA系統(tǒng)的操作進(jìn)行審計， 較為關(guān)注辦公自動化中收發(fā)郵件、網(wǎng)絡(luò)共享等基本網(wǎng)絡(luò)操作 行為的審計。解決方案：莫部委網(wǎng)絡(luò)由一個核心網(wǎng)絡(luò)機房構(gòu)成，全國省級、副 省級、地市級和縣級四級政府部門信息中心與該機房的核心 交換相連。網(wǎng)絡(luò)安全建設(shè)較為完善，主要設(shè)備有防火墻、IDS、 洞掃描、網(wǎng)關(guān)防病毒等網(wǎng)絡(luò)安全產(chǎn)品。該方案在原有網(wǎng)絡(luò)安 全設(shè)備基礎(chǔ)上，在核心交換機處部了署審計產(chǎn)品，情況如下 圖所示：案例點評：事實上，整個方案將審計產(chǎn)品作為整體安全的關(guān)鍵設(shè) 備，審計產(chǎn)品部署在交換機由口處作為監(jiān)控預(yù)警的環(huán)節(jié)，對 內(nèi)外部的各

4、關(guān)鍵節(jié)點進(jìn)行保護(hù)，同時，通過審計系統(tǒng)，實現(xiàn) 了與綜合管理平臺 SOC的有效結(jié)合與統(tǒng)一管理。該方案為信息中心網(wǎng)絡(luò)構(gòu)建了一道提供了從宏觀到微 觀的多層次，立體化的網(wǎng)絡(luò)安全保護(hù)體系。信息中心主任如 實說，“審計產(chǎn)品在我們的整個網(wǎng)絡(luò)中發(fā)揮了比較重要的作 用，幫助我們在日常運維的工作中形成了一個有效的監(jiān)管機 制，準(zhǔn)確定位相關(guān)人員對我們系統(tǒng)的數(shù)據(jù)庫、服務(wù)器等系統(tǒng) 維護(hù)的網(wǎng)絡(luò)行為，因此，我們對天珥網(wǎng)絡(luò)安全審計系統(tǒng)表示 滿意?！毙枨蟊尘?:莫市廣播電影電視局是國家的重要行政單位，是我國 研究并擬定廣播電視宣傳和影視創(chuàng)作的方針政策，把握輿論導(dǎo)向的政府機構(gòu)。隨 著我國廣播電影電視的蓬勃發(fā)展，莫市廣播電影電視局擔(dān)負(fù)

5、 著越來越沉重的管理工作，尤其是在信息化時代到來的今 天，奧市廣播電影電視局必須應(yīng)對新形勢下的管理和輿論導(dǎo) 向。該局為加強對內(nèi)部管理和建設(shè)，對內(nèi)外網(wǎng)著手部署了 審計系統(tǒng)，主要達(dá)到以下目的：第一， 隨著總局IT系統(tǒng)的增多，用戶的操作權(quán)限無 法得到有效的控制和管理，如果內(nèi)部網(wǎng)絡(luò)維護(hù)人員針對核心 服務(wù)器進(jìn)行telnet、x11、Rlogin的操作時，沒有有效的監(jiān)控 機制必將帶來很大隱患。第二，該局后臺系統(tǒng)中有大量的業(yè)務(wù)應(yīng)用系統(tǒng)，包括 但不限于：業(yè)務(wù)審批系統(tǒng)、電子報文系統(tǒng)、流媒體制作播放 管理系統(tǒng)、Web服務(wù)系統(tǒng)、流媒體后臺管理系統(tǒng)、運營業(yè)務(wù) 管理系統(tǒng)、寬帶互動訪談系統(tǒng)、硬件系統(tǒng)等，承載這些系統(tǒng) 的每

6、一個關(guān)鍵服務(wù)器，都是需要做安全保障和防護(hù)的，最為 重要的是，必須能夠做到角色和用戶實現(xiàn)一對一的對應(yīng)關(guān) 系，保證登錄用戶身份的真實性。解決方案：莫市廣播電影電視局包括這樣一些具體的應(yīng)用系統(tǒng)： 比如，流媒體制作播放系統(tǒng)、Web服務(wù)系統(tǒng)、流媒體后臺管理系統(tǒng)、運營業(yè)務(wù)管理系統(tǒng)、寬帶互動訪談系統(tǒng)、硬件系統(tǒng) 等。為了確保其內(nèi)網(wǎng)/外網(wǎng)的網(wǎng)絡(luò)安全，提供全面的網(wǎng)絡(luò)安全 建設(shè)方案，我們針對網(wǎng)絡(luò)的特殊性，提由了全局安全網(wǎng)絡(luò)(GSN)解決方案，通過聯(lián)動全網(wǎng)的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)終端及 IDS、審計系統(tǒng)等，實現(xiàn)全面的安全防護(hù)，具體部署情況的 示意圖，如下：案例點評：該局采用的網(wǎng)絡(luò)設(shè)備多為國內(nèi)自主研發(fā)的設(shè)備，因此,審計產(chǎn)品也不

7、例外，必須堅持采用國產(chǎn)設(shè)備，一方面可以提 高廠家服務(wù)響應(yīng)速度，另一方面，國產(chǎn)設(shè)備更為安全和可靠， 完全能夠適應(yīng)新形勢下的管理要求。隨著信息化建設(shè)的深入發(fā)展，政府機構(gòu)內(nèi)部，政府機 構(gòu)之間，政府部門與公眾之間，政府部門與企業(yè)之間的溝通 越來越緊密，因此，對信息系統(tǒng)的合規(guī)性管理就顯得尤為重 要，不僅能夠提升政府內(nèi)部安全性，同時，更提升我政府機 構(gòu)的形象，所以，在通過搭建穩(wěn)定可靠的審計平臺，實現(xiàn)以 數(shù)字化管理的目的，為政府部門辦事效率的提高贏來更多贊 許。需求背景3:奧市財政局是擬定并貫徹實施全區(qū)財政稅收的發(fā)展戰(zhàn) 略、中長期規(guī)劃；負(fù)責(zé)全市政收入的組織和預(yù)決算工作；安排行政事業(yè)單位經(jīng)費預(yù)算和撥付；組織籌

8、措高新區(qū)建設(shè)資金；負(fù) 責(zé)區(qū)屬行政、企事業(yè)單位的國有資產(chǎn)管理；負(fù)責(zé)國有建設(shè)投資 財務(wù)決算及審批工作；負(fù)責(zé)政府采購工作；負(fù)責(zé)社會保險資金 的統(tǒng)籌、監(jiān)管等工作。眾所周知，電子政務(wù)是近年來國家政府單位的重點建 設(shè)項目，實現(xiàn)政府辦公的便利性及信息的有效互動是政府工 作改革的重要目標(biāo)，為實現(xiàn)這一目標(biāo)莫市財政局加快了改革 步伐，此次財政局國庫支付中心系統(tǒng)建設(shè)項目是莫市財政局 的第一個試點項目，此中心建成后會將稅務(wù)、銀行、省廳及 所轄的各縣數(shù)據(jù)庫進(jìn)行互連和共享，以減少國庫支付的時間 和流程，提高財政工作的效率。國庫集中支付是一種嶄新的預(yù)算執(zhí)行制度，是通過國 庫單一帳戶體系的設(shè)置及與中央銀行進(jìn)行實時清算的辦法

9、統(tǒng)一管理財政資金的各類支由項目，實行該制度，進(jìn)一步加強對“人、財、物”管理體制的改革力度，通過建立和健全 制度，強化財務(wù)管理，發(fā)揮國庫集中支付的監(jiān)督制約作用， 這不僅是加大治標(biāo)力度，也是治本良策，是深化財政制度改 革與推進(jìn)廉政建設(shè)的又一有機結(jié)合點，將進(jìn)一步從源頭上預(yù) 防和解決腐敗問題。因此，莫市財政局充分認(rèn)識到該項目工 作的重要性，立足于當(dāng)下信息安全的發(fā)展趨勢，堅定地部署 審計系統(tǒng)，保證系統(tǒng)核心服務(wù)器系統(tǒng)的穩(wěn)定性和數(shù)據(jù)的安全 可靠性。解決方案：由于涉及到國家財政方面的工作，建成的國庫支付中 心系統(tǒng)需要對產(chǎn)生的海量數(shù)據(jù)進(jìn)行處理和保護(hù)，同時對歷史 數(shù)據(jù)進(jìn)行記錄和積累，因此本項目最首要的問題就是必須

10、保 證系統(tǒng)核心服務(wù)器系統(tǒng)的穩(wěn)定性和數(shù)據(jù)的安全可靠性。除了 數(shù)據(jù)的安全可靠性，另外前期信息安全方案支持以及系統(tǒng)建 設(shè)完工后的售后維護(hù)工作是否能夠提供可持續(xù)的服務(wù)也被 財政局列入考察重點和考評的依據(jù)。作為國家政府采購項 目，如何保證國家的每一份投入都能最大的發(fā)揮作用，如何 建設(shè)一個高性價比的審計系統(tǒng)是財政局考慮的重要因素，具 體部署情況如下圖所示：安全審計是幾年前由現(xiàn)的概念，它的發(fā)展非常迅速，3年前 還很少有人說起安全審計，現(xiàn)在卻是產(chǎn)品滿天飛。不過據(jù)我看來，對于安全審計這個概念，眾多客戶和廠商的理解都不 同。那么到底什么是安全審計呢？ 一、網(wǎng)絡(luò)安全審計的基本概念首先，我們要把范圍界定一下，我們的安

11、全審計是指在一個 網(wǎng)絡(luò)環(huán)境下以維護(hù)網(wǎng)絡(luò)安全為目的的審計，因而叫網(wǎng)絡(luò)支金 審計。通俗地說，網(wǎng)絡(luò)安全審計就是在一個特定的企事業(yè)單位的網(wǎng) 絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外網(wǎng)和內(nèi)網(wǎng)用戶的 入侵和破壞，而運用各種技術(shù)手段實時收集和監(jiān)控網(wǎng)絡(luò)環(huán)境 中每一個組成部分的系統(tǒng)狀態(tài)、安全事件，以便集中報警、 分析、處理的一種技術(shù)手段。這里順便提一下其他行業(yè)的案例審計概念，如金融和財務(wù)中 的安全審計，目的是檢查資金不被亂用、挪用，或者檢查有 沒有偷稅事件的發(fā)生；道路安全審計是為了保障道路安全而 進(jìn)行的道路、橋梁的安全檢查；民航安全審計是為了保障飛 機飛行安全而對飛機、地面設(shè)施、法規(guī)執(zhí)行等進(jìn)行的安全和 應(yīng)急措施檢

12、查等等。特別的，金融和財務(wù)審計也有網(wǎng)絡(luò)安全 審計的說法，僅僅是指利用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程財務(wù)審計、和網(wǎng)絡(luò) 安全沒有關(guān)系。二、實施安全審計的價值體現(xiàn)一個典型的網(wǎng)絡(luò)環(huán)境有網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶電腦、數(shù)據(jù) 隹、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備等組成部分，我們把這些組成 部分稱為審計對象。要對該網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)安全審計就必須對 這些審計對象的安全性都采取相應(yīng)的技術(shù)和措施進(jìn)行審計， 對于不同的審計對象有不同的審計重點，下面一一介紹：對網(wǎng)絡(luò)設(shè)備的安全審計：我們需要從中收集日志，以便對網(wǎng) 絡(luò)流量和運行狀態(tài)進(jìn)行實時監(jiān)控和事后查詢。對服務(wù)器的安全審計：為了安全目的，審計服務(wù)器的安全漏 洞，監(jiān)控對服務(wù)器的任何合法和非法操作，以便發(fā)現(xiàn)問

13、題后 查找原因。對用戶電腦的安全審計：（1）為了安全目的，審計用戶電 腦的安全漏洞和入侵事件（2）為了防泄密和信息安全目的， 監(jiān)控上網(wǎng)行為和內(nèi)容，以及向外拷貝文件行為（3）為了提高工作效率目的，監(jiān)控用戶非工作行為。對數(shù)據(jù)庫的安全審計:對合法和非法訪問進(jìn)行審計，以便事 后檢查。對應(yīng)用系統(tǒng)的安全審計：應(yīng)用系統(tǒng)的范圍較廣，可以是業(yè)務(wù) 系統(tǒng)，也可以是各類型的服務(wù)軟件。這些軟件基本都會形成 運行日志，我們對日志進(jìn)行收集，就可以知道各種合法和非 法訪問。對網(wǎng)絡(luò)安全設(shè)備的安全審計：網(wǎng)絡(luò)安全設(shè)備包括防火墻、網(wǎng) 閘、IDS/IPS、災(zāi)難備份、VPN加密設(shè)備、網(wǎng)絡(luò)安全審計系 統(tǒng)等等，這些產(chǎn)品都會形成運行日志， 我

14、們對日志進(jìn)行收集， 就能統(tǒng)一包迥絡(luò)的安全狀況。三、安全審計的技術(shù)分類目前的安全審計解決方案有以下幾類：日志審計：目的是收集日志，通過SNMP SYSLOG OPSE誠者其他的日志接口從各種網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶電腦、數(shù) 據(jù)庫、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備中收集日志，進(jìn)行統(tǒng)一管理、分析和報警。主機審計：通過在服務(wù)器、用戶電腦或其他審計對象中安裝 客戶端的方式來進(jìn)行審計，可達(dá)到審計安全漏洞、審計合法 和非法或入侵操作、監(jiān)控上網(wǎng)行為和內(nèi)容以及向外拷貝文件 行為、監(jiān)控用戶非工作行為等目的。根據(jù)該定義，事實上主 機審計已經(jīng)包括了主機日志審計、主機漏洞掃描產(chǎn)品、主機 防火墻和主機IDS/IPS的安全審計功能、主

15、機上網(wǎng)和上機行 為監(jiān)控等類型的產(chǎn)品。網(wǎng)絡(luò)審計：通過旁路和串接的方式實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的捕 獲，而且進(jìn)行協(xié)議分析和還原,可達(dá)到審計服務(wù)器、用戶電 腦、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的審計安全漏洞、合法和非法或入侵 操作、監(jiān)控上網(wǎng)行為和內(nèi)容、監(jiān)控用戶非工作行為等目的。根據(jù)該定義，事實上網(wǎng)絡(luò)審計已經(jīng)包括了網(wǎng)絡(luò)漏洞掃描產(chǎn) 品、防火墻和IDS/IPS中的安全審計功能、互聯(lián)網(wǎng)行為監(jiān)控 等類型的產(chǎn)品。針對典型網(wǎng)絡(luò)環(huán)境下的各個審計對象的安全審計需求，結(jié)合 以上的安全審計解決方案，我們可以得由以下審計對象和解 決方案表。表一審計對象和解決方案表審計港日志宙十主機審計兩牯審計I諛福7服善留7用戶電腦7J4數(shù)據(jù)庫7J應(yīng)用系就4V阿

16、第五全漫&寸我們可以看到這三種審計方案之間的關(guān)系：日志審計的目的 是日志收集和分析它要以其他審計對象生成的日志為基 礎(chǔ)。而主機審計和網(wǎng)絡(luò)審計這兩種解決方案就是生成日志的 最重要的技術(shù)方法。主機審計和網(wǎng)絡(luò)審計的方案各有優(yōu)缺 點，進(jìn)行比較后得由下表：表二主機審計和網(wǎng)絡(luò)審計方案對比表就a由小日翻!嚅.生同近而丹J行理頓點jK1投砰1靜作dd!及上樹行為JX制正入展行為*幫尸也跑/捏J史痂中右愉行劉WW審計訴#河足徨曳窗上耦行為JXIE控人田行先4R罡漏洞承H限受校審4款片障IE登阿用案件d4晤置入艮行為JJ立用實境吏漸同苗計/程度讓庫W密點對擊鼻it*J施插入強行第J4色達(dá)院毫-用尸描商網(wǎng)晶酒奇.服

17、鼻普J(rèn)*角尸印前XC在用尸血t五騙罌戶庭*月月羽電接期，JE行對干主禮百中位受1要含j雙貳哮S4度用城姓H記氤用潴莊加中左派船，至ULK斯苕行業(yè)13注：一表示不用比較。從上可知，主機審計在服務(wù)器和用戶電腦上安裝了客戶端，因而在安全漏洞審計、以及服務(wù)器和用戶電腦? I? 收藏本站 TOC o 1-5 h z ?，新開課程使用 Sql Server管理和查，元月5號新開網(wǎng)賺班 I最新文章, 利用google給新手找鍛煉提權(quán)的機會.55種木馬的手工清除方法L? 最新新聞? 基礎(chǔ)入門?黑客技術(shù)? 安全新聞?業(yè)界事件? 本站公告?政策法規(guī)?黑客現(xiàn)象?上一篇文章：腳本攻擊防范策略完全篇（3）?下一篇文章：

18、淺析網(wǎng)絡(luò)安全審計原理和技術(shù)（2）推薦導(dǎo)讀斗新開課程 黑客揭秘班遠(yuǎn)程放假公告,取消：湖南分代理戴威爾網(wǎng)絡(luò)與信息安全戴威爾聲明北京3月20號新開實地網(wǎng)絡(luò)安全工程師班上 新開課程.2010五一放假通知，新開課程swing面向?qū)ο蟪绦蛟O(shè)計課.新開課程 網(wǎng)絡(luò)安全基礎(chǔ)班，戴威爾遠(yuǎn)程放假公告到新開課程 黑客揭秘班遠(yuǎn)程放假公告新開課程 C語言經(jīng)典入門班,取消：湖南分代理戴威爾網(wǎng)絡(luò)與信息安全戴威爾聲明北京3月20號新開實地網(wǎng)絡(luò)安全工程師班. 總結(jié)三種不同的防 Ping安全策略方法怎樣審查遭受入侵系統(tǒng)的日志，服務(wù)器被入侵后的緊急補救方法.系統(tǒng)與網(wǎng)絡(luò)安全網(wǎng)絡(luò)管理?程序開發(fā)? 網(wǎng)頁編程?應(yīng)用安全?網(wǎng)絡(luò)架設(shè)?入侵檢測?

19、疑難技巧?數(shù)據(jù)恢復(fù)?無盤網(wǎng)絡(luò)的上機行為和防泄密功能上比網(wǎng)絡(luò)審計強，網(wǎng)絡(luò)審計是在網(wǎng) 絡(luò)上進(jìn)行監(jiān)控，無法管理到服務(wù)器和用戶電腦的本機行為。主機審計的客戶端，是它具有這些技術(shù)優(yōu)勢的原因，也恰恰 是對它在實際應(yīng)用上不利的一點，用戶對安裝客戶端的接受 程度不高，就像在用戶上方安裝一個攝像頭一樣，誰都不喜 歡被監(jiān)控的感覺。而網(wǎng)絡(luò)審計是安裝在網(wǎng)絡(luò)由口，安裝時可 以事先通知用戶，也可以讓用戶毫無知覺， 相對于主機審計, 用戶對遠(yuǎn)遠(yuǎn)在外的監(jiān)控系統(tǒng)的接受程度比安裝在自己電腦 上的客戶端要高得多。用戶的接受程度不同使得主機審計和網(wǎng)絡(luò)審計在應(yīng)用行業(yè) 范圍也有所有區(qū)別。主機審計目前集中在政府和軍隊中，其他行業(yè)應(yīng)用較少；

20、而網(wǎng)絡(luò)審計的應(yīng)用范圍卻是廣泛，只要能 上網(wǎng)的單位都可以使用。四、安全審計的體系根據(jù)以上審計對象和審計技術(shù)的分析，我們可以歸納由一個 企事業(yè)單位內(nèi)的網(wǎng)絡(luò)安全審計體系。該體系分為以下幾個組 件：1、日志收集代理，用于所有網(wǎng)絡(luò)設(shè)備的日志收集。2、主機審計客戶端，安裝在服務(wù)器和用戶電腦上，進(jìn)行安 全漏洞檢測和收集、本機上機行為和防泄密行為監(jiān)控、入侵 檢測等。對于主機的日志收集、數(shù)據(jù)庫和應(yīng)用系統(tǒng)的安全審 計也通過該客戶端實現(xiàn)。3、主機審計服務(wù)器端，安裝在任一臺電腦上，收集主機審 計客戶端上傳的所有信息，并且把日志集中到網(wǎng)絡(luò)安全審計 中心中。4、網(wǎng)絡(luò)審計客戶端，安裝在單位內(nèi)的物理子網(wǎng)由口或者分 支機構(gòu)的由

21、口，收集該物理子網(wǎng)內(nèi)的上網(wǎng)行為和內(nèi)容，并且 把這些日志上傳到網(wǎng)絡(luò)審計服務(wù)器。對于主數(shù)據(jù)庫和應(yīng)用系 統(tǒng)的安全審計也可以通過該網(wǎng)絡(luò)審計客戶端實現(xiàn)。5、網(wǎng)絡(luò)審計服務(wù)器，安裝在單位總部內(nèi)，接收網(wǎng)絡(luò)審計客 戶端的上網(wǎng)行為和內(nèi)容，并且把日志集中到網(wǎng)絡(luò)安全審計中 心中。如果是小型網(wǎng)絡(luò)，則網(wǎng)絡(luò)審計客戶端和服務(wù)器可以合 成一個。6、網(wǎng)絡(luò)安全審計中心,安裝在單位總部內(nèi)，接收網(wǎng)絡(luò)審計 服務(wù)器、主機審計服務(wù)器端和日志收集代理傳輸過來的日志 信息，進(jìn)行集中管理、報警、分析。并且可以對各系統(tǒng)進(jìn)行 配置和策略制定，方便統(tǒng)一管理。這樣，幾個組件形成一個完整的審計體系，可以滿足所有審 計對象的安全審計需求。就目前而言，實現(xiàn)的產(chǎn)

22、品類型有： 日志審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、桌面管理系統(tǒng)、網(wǎng)絡(luò)審計 系統(tǒng)、漏洞掃描系統(tǒng)、入侵檢測和防護(hù)系統(tǒng)等等,這些產(chǎn)品 都實現(xiàn)了網(wǎng)絡(luò)安全審計的一部分功能，只有實現(xiàn)全面的網(wǎng)絡(luò) 安全審計體系,安全審計才是完整的。五、網(wǎng)絡(luò)安全審計技術(shù)的發(fā)展趨勢1、體系化。上面說過，目前的產(chǎn)品實現(xiàn)未能涵蓋網(wǎng)絡(luò)安全 審計體系。今后的產(chǎn)品應(yīng)該向這個方向發(fā)展，給客戶以統(tǒng)一 的安全審計解決方案。2、控制化。審計不應(yīng)當(dāng)只是記錄， 而且還要有控制的功能, 事實上目前許多產(chǎn)品都已經(jīng)有了控制的功能，如網(wǎng)絡(luò)審計的上網(wǎng)行為控制、主機審計的泄密行為控制、數(shù)據(jù)庫審計中對 某些SQL語句的控制等等。3、智能化。一個大型網(wǎng)絡(luò)中每天產(chǎn)生的審計數(shù)據(jù)

23、以百萬計, 如果從浩如煙海的日志中給網(wǎng)絡(luò)管理員、人力資源經(jīng)理、老 板、上級主管部門和每一個關(guān)心該審計結(jié)果的用戶呈現(xiàn)由最 想要、最關(guān)鍵的信息，這是今后的發(fā)展趨勢。其中包含了數(shù) 據(jù)挖掘、智能報表等技術(shù)。網(wǎng)絡(luò)安全審計作為一個新興的概念和發(fā)展方向，已經(jīng)表現(xiàn)由 強大的生命力，圍繞著該概念產(chǎn)生了許多新產(chǎn)品和解決方 案，如桌面安全、員工上網(wǎng)行為監(jiān)控、內(nèi)容過濾等，誰能在 這些產(chǎn)品中獨領(lǐng)風(fēng)騷，誰就能跟上這一輪網(wǎng)絡(luò)安全的發(fā)展潮 流? I? 收藏本站? 1首先，根據(jù)表象初步判斷醫(yī)生判斷一個病人是否感冒了，可以從是否流鼻涕、是 否鼻塞、是否附帶咳嗽等表象進(jìn)行判斷，而要想判斷系統(tǒng)是 否感染了流氓軟件，也可以從表象來判斷

24、。當(dāng)系統(tǒng)感染了流氓軟件后一般有以下幾種可疑跡象可以通過感覺來判斷：系統(tǒng)運行速度越來越慢安裝了病毒防火墻，系統(tǒng)中最近也并沒安裝什么軟件, 但是系統(tǒng)的運行速度一天比一天慢，而殺毒軟件也沒有進(jìn)行 病毒警告，這種情況下，十之八九中了流氓軟件的招。部分軟件，特別是瀏覽器設(shè)置被強行修改由于流氓軟件表面上是為用戶提供了一些有用的功能， 但實質(zhì)上，它們是為了達(dá)到宣傳自己的網(wǎng)站、自己的產(chǎn)品等 目的。因此，流氓軟件一旦成功入侵電腦，它們便會在一些 軟件上提供相應(yīng)的插件工具欄，以瀏覽器類軟件居多，在瀏 覽器家族中又以IE最受流氓軟件歡迎。當(dāng)發(fā)現(xiàn)日常使用的 軟件的工具欄被增加了一些項目或是像瀏覽器的設(shè)置被修 改了，也

25、足可以說明系統(tǒng)中可能感染了流氓軟件。自動彈由廣告窗口在正常使用電腦過程中，時而不時地自動彈由一些廣告 窗口，關(guān)閉后隔一斷時間又會由現(xiàn)，做廣告本是流氓軟件的一個目的，因此，當(dāng)你頻繁地看到自動彈生的廣告時，系統(tǒng) 也有可能感染了流氓軟件。自動打開網(wǎng)站與自動彈由廣告類似，有些流氓軟件更猖狂，會自動啟 動瀏覽器并打開一些網(wǎng)站，如果你遇到了這種情況也說明系 統(tǒng)有招流氓軟件的跡象了。其次，利用工具檢測根據(jù)表象判斷只是精略地推斷是否感染流氓軟件，就像 醫(yī)生給病毒看病一樣，先是通過詢問等方式來大致地判斷病 情，最后還會使用相關(guān)的醫(yī)療機器進(jìn)行確診。判斷系統(tǒng)是否 招流氓軟件也應(yīng)該通過工具來“確診”。使用系統(tǒng)的任務(wù)管

26、理器當(dāng)系統(tǒng)感染了流氓軟件后，只要流氓軟件正在運行的 話，一般都是可以通過系統(tǒng)的任務(wù)管理器來尋覓其蹤影：按下“ Ctrl+Shift+Esc ”打開任務(wù)管理器窗口，再單擊“進(jìn)程”選項卡，在進(jìn)程列表中將會看到流氓軟件的蹤影 了。不過，這種方法只適合那些對電腦系統(tǒng)比較熟悉并對流 氓軟件對應(yīng)的進(jìn)程有所了解的朋友們采用。使用專用檢測工具使用任務(wù)管理器這個系統(tǒng)自帶的工具來檢測流氓軟件 對用戶的要求相對高些，為此，可使用專業(yè)的流氓軟件檢測 工具來檢測，這樣既直觀，操作也會方便很多。通過以上方法系統(tǒng)的辨別與監(jiān)測，能保證系統(tǒng)的健康程 度，當(dāng)然今后的安全防范也不能放松。需求背景1:某部委是我國擬定方針政策、發(fā)展戰(zhàn)

27、略和中長期規(guī)劃， 組織起草有關(guān)法律法規(guī)并監(jiān)督實施的國家部委。某部的網(wǎng)絡(luò) 是一個跨地區(qū)、跨部門的綜合性網(wǎng)絡(luò)系統(tǒng)，下轄多個數(shù)據(jù)中 心，比如水土保持監(jiān)測中心等，該網(wǎng)絡(luò)由國家信息中心同全 國省級、副省級、地市級和縣級四級政府部門信息中心構(gòu)成 的完整體系構(gòu)成。政務(wù)外網(wǎng)與政務(wù)內(nèi)網(wǎng)物理隔離，與互聯(lián)網(wǎng) 邏輯隔離。國家電子政務(wù)外網(wǎng)安全管理平臺用于管理國家電 子政務(wù)外網(wǎng)中央城域網(wǎng)、廣域網(wǎng)骨干網(wǎng)的主要網(wǎng)絡(luò)設(shè)備、安 全設(shè)備和網(wǎng)絡(luò)承載的業(yè)務(wù)系統(tǒng)的安全事件。莫部委信息中心希望通過部署審計系統(tǒng)，旨在提高對各類安全事件的防范，規(guī)范信息發(fā)布，保障內(nèi)部重要關(guān)鍵主機 的業(yè)務(wù)正常運行。具體而言主要包括幾部分內(nèi)容：第一，對各省及地市的

28、接入數(shù)據(jù)庫的人員能準(zhǔn)確定位， 并且能夠控制，只有授權(quán)許可的人員才能察看其訪問授權(quán)范 圍內(nèi)的內(nèi)容。第二，對具有訪問授權(quán)的人員所進(jìn)行的網(wǎng)絡(luò)行為操作 做記錄。第三， 能夠?qū)k公自動化 OA系統(tǒng)的操作進(jìn)行審計， 較為關(guān)注辦公自動化中收發(fā)郵件、網(wǎng)絡(luò)共享等基本網(wǎng)絡(luò)操作 行為的審計。解決方案：莫部委網(wǎng)絡(luò)由一個核心網(wǎng)絡(luò)機房構(gòu)成，全國省級、副省級、地市級和縣級四級政府部門信息中心與該機房的核心交 換相連。網(wǎng)絡(luò)安全建設(shè)較為完善，主要設(shè)備有防火墻、IDS、洞掃描、網(wǎng)關(guān)防病毒等網(wǎng)絡(luò)安全產(chǎn)品。該方案在原有網(wǎng)絡(luò)安 全設(shè)備基礎(chǔ)上，在核心交換機處部了署審計產(chǎn)品，情況如下 圖所示：案例點評：事實上，整個方案將審計產(chǎn)品作為整體安

29、全的關(guān)鍵設(shè) 備，審計產(chǎn)品部署在交換機由口處作為監(jiān)控預(yù)警的環(huán)節(jié)，對 內(nèi)外部的各關(guān)鍵節(jié)點進(jìn)行保護(hù)，同時，通過審計系統(tǒng)，實現(xiàn) 了與綜合管理平臺 SOC的有效結(jié)合與統(tǒng)一管理。該方案為信息中心網(wǎng)絡(luò)構(gòu)建了一道提供了從宏觀到微 觀的多層次，立體化的網(wǎng)絡(luò)安全保護(hù)體系。信息中心主任如 實說，竄計產(chǎn)品在我們的整個網(wǎng)絡(luò)中發(fā)揮了比較重要的作 用，幫助我們在日常運維的工作中形成了一個有效的監(jiān)管機 制，準(zhǔn)確定位相關(guān)人員對我們系統(tǒng)的數(shù)據(jù)庫、服務(wù)器等系統(tǒng) 維護(hù)的網(wǎng)絡(luò)行為，因此，我們對天珥網(wǎng)絡(luò)安全審計系統(tǒng)表示 滿意。”需求背景2:莫市廣播電影電視局是國家的重要行政單位，是我國研 究并擬定廣播電視宣傳和影視創(chuàng)作的方針政策，把握輿

30、論導(dǎo)向的政府機構(gòu)。隨著我國 廣播電影電視的蓬勃發(fā)展，莫市廣播電影電視局擔(dān)負(fù)著越來 越沉重的管理工作，尤其是在信息化時代到來的今天，莫市 廣播電影電視局必須應(yīng)對新形勢下的管理和輿論導(dǎo)向。該局為加強對內(nèi)部管理和建設(shè)，對內(nèi)外網(wǎng)著手部署了審計系統(tǒng)，主要達(dá)到以下目的：第一，隨著總局IT系統(tǒng)的增多，用戶的操作權(quán)限無法 得到有效的控制和管理，如果內(nèi)部網(wǎng)絡(luò)維護(hù)人員針對核心服 務(wù)器進(jìn)行telnet、x11、Rlogin的操作時，沒有有效的監(jiān)控機 制必將帶來很大隱患。第二，該局后臺系統(tǒng)中有大量的業(yè)務(wù)應(yīng)用系統(tǒng)，包括但不限于：業(yè)務(wù)審批系統(tǒng)、電子報文系統(tǒng)、流媒體制作播放管 理系統(tǒng)、Web服務(wù)系統(tǒng)、流媒體后臺管理系統(tǒng)、運

31、營業(yè)務(wù)管 理系統(tǒng)、寬帶互動訪談系統(tǒng)、硬件系統(tǒng)等，承載這些系統(tǒng)的 每一個關(guān)鍵服務(wù)器，都是需要做安全保障和防護(hù)的，最為重 要的是，必須能夠做到角色和用戶實現(xiàn)一對一的對應(yīng)關(guān)系， 保證登錄用戶身份的真實性。解決方案:某市廣播電影電視局包括這樣一些具體的應(yīng)用系統(tǒng)：比如，流媒體制作播放系統(tǒng)、Web服務(wù)系統(tǒng)、流媒體后臺管理系統(tǒng)、運營業(yè)務(wù)管理系統(tǒng)、寬帶互動訪談系統(tǒng)、硬件系統(tǒng)等。 為了確保其內(nèi)網(wǎng)/外網(wǎng)的網(wǎng)絡(luò)安全，提供全面的網(wǎng)絡(luò)安全建設(shè) 方案，我們針對網(wǎng)絡(luò)的特殊性， 提由了全局安全網(wǎng)絡(luò)（GSN） 解決方案，通過聯(lián)動全網(wǎng)的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)終端及IDS、審計系統(tǒng)等，實現(xiàn)全面的安全防護(hù)，具體部署情況的示意圖， 如下：案例

32、點評：該局采用的網(wǎng)絡(luò)設(shè)備多為國內(nèi)自主研發(fā)的設(shè)備，因此， 審計產(chǎn)品也不例外，必須堅持采用國產(chǎn)設(shè)備，一方面可以提 高廠家服務(wù)響應(yīng)速度，另一方面，國產(chǎn)設(shè)備更為安全和可靠, 完全能夠適應(yīng)新形勢下的管理要求。隨著信息化建設(shè)的深入發(fā)展，政府機構(gòu)內(nèi)部，政府機構(gòu) 之間，政府部門與公眾之間，政府部門與企業(yè)之間的溝通越 來越緊密，因此，對信息系統(tǒng)的合規(guī)性管理就顯得尤為重要， 不僅能夠提升政府內(nèi)部安全性，同時，更提升我政府機構(gòu)的 形象，所以，在通過搭建穩(wěn)定可靠的審計平臺，實現(xiàn)以數(shù)字 化管理的目的，為政府部門辦事效率的提高贏來更多贊許。需求背景3:奧市財政局是擬定并貫徹實施全區(qū)財政稅收的發(fā)展戰(zhàn) 略、中長期規(guī)劃；負(fù)責(zé)全

33、市政收入的組織和預(yù)決算工作；安排 行政事業(yè)單位經(jīng)費預(yù)算和撥付；組織籌措高新區(qū)建設(shè)資金；負(fù) 責(zé)區(qū)屬行政、企事業(yè)單位的國有資產(chǎn)管理；負(fù)責(zé)國有建設(shè)投資 財務(wù)決算及審批工作；負(fù)責(zé)政府采購工作；負(fù)責(zé)社會保險資金 的統(tǒng)籌、監(jiān)管等工作。眾所周知，電子政務(wù)是近年來國家政府單位的重點建設(shè) 項目，實現(xiàn)政府辦公的便利性及信息的有效互動是政府工作 改革的重要目標(biāo)，為實現(xiàn)這一目標(biāo)莫市財政局加快了改革步 伐，此次財政局國庫支付中心系統(tǒng)建設(shè)項目是奧市財政局的 第一個試點項目，此中心建成后會將稅務(wù)、銀行、省廳及所 轄的各縣數(shù)據(jù)庫進(jìn)行互連和共享，以減少國庫支付的時間和 流程，提高財政工作的效率。國庫集中支付是一種嶄新的預(yù)算執(zhí)行

34、制度，是通過國庫單一帳戶體系的設(shè)置及與中央銀行進(jìn)行實時清算的辦法統(tǒng) 一管理財政資金的各類支由項目，實行該制度，進(jìn)一步加強 對 人、財、物”管理體制的改革力度， 通過建立和健全制度, 強化財務(wù)管理，發(fā)揮國庫集中支付的監(jiān)督制約作用，這不僅 是加大治標(biāo)力度，也是治本良策，是深化財政制度改革與推 進(jìn)廉政建設(shè)的又一有機結(jié)合點，將進(jìn)一步從源頭上預(yù)防和解 決腐敗問題。因此，莫市財政局充分認(rèn)識到該項目工作的重 要性，立足于當(dāng)下信息安全的發(fā)展趨勢，堅定地部署審計系 統(tǒng)，保證系統(tǒng)核心服務(wù)器系統(tǒng)的穩(wěn)定性和數(shù)據(jù)的安全可靠 性。解決方案：由于涉及到國家財政方面的工作，建成的國庫支付中心 系統(tǒng)需要對產(chǎn)生的海量數(shù)據(jù)進(jìn)行處理

35、和保護(hù)，同時對歷史數(shù) 據(jù)進(jìn)行記錄和積累，因此本項目最首要的問題就是必須保證 系統(tǒng)核心服務(wù)器系統(tǒng)的穩(wěn)定性和數(shù)據(jù)的安全可靠性。除了數(shù) 據(jù)的安全可靠性，另外前期信息安全方案支持以及系統(tǒng)建設(shè) 完工后的售后維護(hù)工作是否能夠提供可持續(xù)的服務(wù)也被財 政局列入考察重點和考評的依據(jù)。作為國家政府采購項目， 如何保證國家的每一份投入都能最大的發(fā)揮作用，如何建設(shè)一個高性價比的審計系統(tǒng)是財政局考慮的重要因素，具體部署情況如下圖所示：案例點評：由于該項目涉及金額較大，而且行業(yè)影響顯著，國內(nèi)可 提供的數(shù)據(jù)庫審計的設(shè)備水平又參差不齊，各產(chǎn)品提供商都 希望以最好的性價比及良好的售后服務(wù)取得勝利，財政局最 后通過全面考察廠家的

36、信譽、性價比、服務(wù)等因素，最終定 牌選擇天 網(wǎng)絡(luò)安全審計系統(tǒng)作為本項目唯一審計提供商。 天網(wǎng)絡(luò)安全審計系統(tǒng)也不辱使命，為某市財政局搭建了一 個堅實的業(yè)務(wù)審計平臺。啟明星辰憑借在電子政務(wù)領(lǐng)域的豐 富實戰(zhàn)經(jīng)驗和天 網(wǎng)絡(luò)審計系統(tǒng)良好的使用效果，在對用戶 的業(yè)務(wù)系統(tǒng)應(yīng)用環(huán)境進(jìn)行全面考察后，為財政局提供了一套 網(wǎng)絡(luò)審計解決方案，為核心服務(wù)器和中心數(shù)據(jù)庫存儲系統(tǒng)的 業(yè)務(wù)安全，做由了巨大的貢獻(xiàn)。在整個審計方案中，天珥網(wǎng)絡(luò)審計系統(tǒng)主要的特點得到 了用戶的認(rèn)可，首先，是滿足用戶審計性能的需求方面，整 個國庫支付中心系統(tǒng)的數(shù)據(jù)庫操作，必須是要做到全過程審 計，因此，這對記錄審計數(shù)據(jù)的硬件設(shè)備提由了較高的要求, 包

37、括事件入庫的速度和數(shù)量等一些具體指標(biāo)上，天珥網(wǎng)絡(luò)審 計系統(tǒng)采用了較高的硬件設(shè)備配置，其強大的處理性能使整 個系統(tǒng)得到很大提升。另外為了提高數(shù)據(jù)處理的效率方面， 配置了優(yōu)化審計策略，避免了數(shù)據(jù)傳輸?shù)钠款i，充分解決了 用戶對審計性能不足的擔(dān)心。不僅各項綜合指標(biāo)突生，而且 在可靠性、可用性、可擴(kuò)展型和管理性方面都得到了用戶的 贊賞。其次，是審計系統(tǒng)的可靠性方面，由于整個系統(tǒng)承擔(dān) 著舉足輕重的任務(wù)，因此國庫支付中心對整個系統(tǒng)的可靠性 要求很高，財政局方面堅持使用破壞性測試的驗證來證明產(chǎn) 品的可靠性，最終，審計系統(tǒng)用專業(yè)的技術(shù)指標(biāo)折服了用戶正是因為審計產(chǎn)品很好的解決了國庫支付中心最關(guān)心 的性能和可靠性這

38、兩方面，從根本上打動了用戶，最終下決 心選擇采購了天 網(wǎng)絡(luò)審計系統(tǒng)。值得一提的是，啟明星辰 公司不僅提供的是高性能、高品質(zhì)及穩(wěn)定性的產(chǎn)品，同時，還擁有充足的售后服務(wù)技術(shù)人員、高水平的技術(shù)支持和豐富 實戰(zhàn)經(jīng)驗。此次在財政局的成功應(yīng)用，是啟明星辰公司的產(chǎn) 品、技術(shù)、方案在政府電子政務(wù)領(lǐng)域得到的又一次認(rèn)可和肯 定，充分證明了啟明星辰公司在業(yè)務(wù)安全領(lǐng)域的技術(shù)優(yōu)勢。奧市財政局的項目負(fù)責(zé)人說：從前期的項目環(huán)境考察到方案提供，再到不久前實施完畢的系統(tǒng)搭建，啟明星辰公司 都表現(xiàn)由專業(yè)的服務(wù)精神和服務(wù)水準(zhǔn)，同時，天珥網(wǎng)絡(luò)審計 系統(tǒng)帶給我們的現(xiàn)實作用，為我們數(shù)據(jù)庫安全奠定了十分重 要的基礎(chǔ)，這是國內(nèi)很多安全產(chǎn)品提

39、供商所不具備的。”需求背景4:在國家發(fā)展與改革委員會的直接領(lǐng)導(dǎo)下，國家信息中心 通過加強國民經(jīng)濟(jì)中長期發(fā)展戰(zhàn)略研究，宏觀經(jīng)濟(jì)預(yù)測監(jiān) 測，重點、熱點、難點問題的對策研究和快速反映，為國務(wù) 院和宏觀經(jīng)濟(jì)綜合管理部門提供了高質(zhì)量的決策咨詢服務(wù)， 發(fā)揮了信息源、智囊團(tuán)和思想庫的作用。國家信息中心積極 參與國家信息化決策重大問題研究、重點信息化工程建設(shè)， 建立和完善綜合經(jīng)濟(jì)信息系統(tǒng)。國家經(jīng)濟(jì)信息系統(tǒng)是 1986年經(jīng)國務(wù)院批準(zhǔn)建設(shè)的由國 家、省、地、縣四級政府部門信息中心構(gòu)成的完整體系。目 前，國家經(jīng)濟(jì)信息系統(tǒng)在全國31個省（區(qū)、市）、16個副省級省會城市、計劃單列市、地級市和1200多個縣成立了信息中心

40、。隨著我國信息化事業(yè)的迅速發(fā)展和各級政府領(lǐng)導(dǎo)對 信息化的日益重視，各級信息中心在推動當(dāng)?shù)匦畔⒔ㄔO(shè)中的 作用也越來越重要。在國家信息中心公務(wù)內(nèi)網(wǎng)中存有大量重 要且涉密的信息數(shù)據(jù)，為了有效地對訪問這些重要信息數(shù)據(jù) 的操作行為進(jìn)行監(jiān)控與審計，國家信息中心進(jìn)行了網(wǎng)絡(luò)改造 和審計項目建設(shè)，其具體需求是：.針對內(nèi)部工作人員對國家信息中心重要信息數(shù)據(jù)的 訪問行為進(jìn)行記錄、審計、回放 ；.針對相關(guān)各國家單位對國家信息中心重要信息數(shù)據(jù) 的訪問行為進(jìn)行記錄、審計、回放 ；.針對各省市信息中心對國家信息中心重要信息數(shù)據(jù) 的訪問行為進(jìn)行記錄、審計、回放。解決方案：根據(jù)國家信息中心的需求，結(jié)合啟明星辰在政府行業(yè)內(nèi) 控審

41、計項目的相關(guān)經(jīng)驗，在國家經(jīng)濟(jì)信息系統(tǒng)的核心交換機 處部署天 審計數(shù)據(jù)中心1臺、天 審計引擎1臺、管理控 制中心一套、被保護(hù)服務(wù)授權(quán)若干。通過在核心交換機鏡像 端口部署天 審計引擎，可以實時對通過該交換機內(nèi)外部的 網(wǎng)絡(luò)流量和網(wǎng)絡(luò)行為進(jìn)行高強度監(jiān)控，從而有效規(guī)范內(nèi)部工作人員、各國家單位及各省市信息中心對國家信息中心重要 資源的訪問行為，避免安全事故的發(fā)生。費電用vlit案例點評：計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則第三級安全標(biāo)記保護(hù)級”中規(guī)定：計算機信息系統(tǒng)可信計算基應(yīng)能記錄使 用身份鑒別機制、將客體引入用戶地址空間（例如：打開文件、 程序初始化）、刪除客體、由操作員、系統(tǒng)管理員或 （和）系統(tǒng) 安全

42、管理員實施的動作、以及其他與系統(tǒng)安全有關(guān)的事件。在本案例中，在審計系統(tǒng)上根據(jù)被保護(hù)主機安全需求添加相 應(yīng)的審計策略，對國家信息中心核心信息資源的操作與訪問 行為進(jìn)行監(jiān)督和控制，形成審計記錄。通過以上技術(shù)手段， 能夠有效加強內(nèi)部工作人員和國家各機關(guān)、各省市信息中心 人員針對國家信息中心重要數(shù)據(jù)資源網(wǎng)絡(luò)行為的監(jiān)督和控制，進(jìn)一步規(guī)避系統(tǒng)面臨的來自內(nèi)外部的、應(yīng)用級的安全風(fēng) 險，有效提高國家經(jīng)濟(jì)信息系統(tǒng)的內(nèi)控機制。需求背景5:中共山西省委辦公廳計算機技術(shù)管理中心自成立以來， 在市委、市政府的親切關(guān)懷和委黨組的正確領(lǐng)導(dǎo)下，堅持為 政府宏觀經(jīng)濟(jì)調(diào)控和城市信息化建設(shè)服務(wù)的宗旨，充分依托 國家經(jīng)濟(jì)信息系統(tǒng)的整體

43、優(yōu)勢和自身的技術(shù)優(yōu)勢，努力貼近 政府需求，中心歷屆領(lǐng)導(dǎo)和員工歷經(jīng)數(shù)十年的艱苦創(chuàng)業(yè)，各 項事業(yè)都取得了很大的成就，在政府信息化基礎(chǔ)設(shè)施建設(shè)、 宏觀經(jīng)濟(jì)監(jiān)測預(yù)測、公共信息服務(wù)和信息技術(shù)推廣應(yīng)用等方 面開展了卓有成效的工作，積累了寶貴的經(jīng)驗，形成了一定的優(yōu)勢。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，中共山西省委辦公廳認(rèn)識到 對內(nèi)部人員的行為管理和規(guī)范僅通過行文是很難奏效的，必 須通過高科技手段來解決當(dāng)前諸多內(nèi)部引發(fā)的安全問題。中 共山西省委辦公廳的信息化系統(tǒng)針對審計系統(tǒng)的主要需求 有以下一些內(nèi)容：第一，針對 Oracle、SQL Server、Sybase、Informix、 DB2數(shù)據(jù)庫的訪問審計，通過對信息數(shù)據(jù)

44、庫的訪問行為進(jìn)行 有效的審計監(jiān)控，避免非法刪除、插入、篡改等行為發(fā)生； 第二，對數(shù)據(jù)庫訪問的網(wǎng)絡(luò)行為能夠回放，至少支持動態(tài)仿 真回放和靜態(tài)回放兩種方式；第三，審計統(tǒng)計功能，至少支持按IP、部門、時間、引擎、協(xié)議、帳戶等條件進(jìn)行會話統(tǒng) 計和審計事件的統(tǒng)計，提供 TOP N統(tǒng)計方式，支持組合條 件統(tǒng)計方式。解決方案：中共山西省委辦公廳由于考慮到與黨政網(wǎng)相互連接，根據(jù)相關(guān)要求，對網(wǎng)絡(luò)內(nèi)部而言，計算機設(shè)備，需要具有資源 分類別、分級別、密級區(qū)別等特點進(jìn)行管理，如果違反密級 規(guī)定要求數(shù)據(jù)傳播，無論以何種形式，必須做好審計記錄， 以便追查。部署如下圖所示：.針對所有通過內(nèi)網(wǎng)的數(shù)據(jù)庫的訪問行為進(jìn)行有效的監(jiān)控

45、 和審計，設(shè)置審計策略，禁止任何用戶對已錄入的信訪數(shù)據(jù) 進(jìn)行的操作，一旦發(fā)生風(fēng)險事件，能夠第一時間向管理員告 警，另外，設(shè)置審計策略，針對所有高風(fēng)險維護(hù)操作以及數(shù) 據(jù)改動等行為能夠第一時間向管理員告警并完全記錄事件 全過程的日志。.通過產(chǎn)品部署，實現(xiàn)對數(shù)據(jù)庫訪問的網(wǎng)絡(luò)行為的動態(tài)仿真 回放和靜態(tài)回放；.通過產(chǎn)品部署，實現(xiàn)對審計事件的統(tǒng)計，提供 TOP N統(tǒng) 計方式和組合條件統(tǒng)計方式，為用戶提供多樣性和細(xì)粒度的 報告。案例點評：中共山西省委辦公廳在經(jīng)過悉心的篩選后，選擇了天 網(wǎng)絡(luò)安全審計系統(tǒng)，以便加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、避免核 心資產(chǎn)包括比如數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備等的損失、保障 信息中心業(yè)務(wù)系統(tǒng)

46、的正常運營， 從而提高 信息網(wǎng)絡(luò)的管理服 務(wù)”的效率和為城市信息化建設(shè)、為市經(jīng)濟(jì)發(fā)展和社會事業(yè)的 服務(wù)水平。中共山西省委辦公廳在部署天網(wǎng)絡(luò)安全審計系統(tǒng)后，較為全面地解決了用戶長期受的困惑和不安，從技術(shù)層面保 障了信息中心各類業(yè)務(wù)的應(yīng)用。天網(wǎng)絡(luò)安全審計系統(tǒng)的功能完善、安裝和配置簡單、詳細(xì)的系統(tǒng)日志和報警功能、完 善的報告，給信息中心帶來很多便利。在使用效率上看，天 網(wǎng)絡(luò)安全審計系統(tǒng)也比一般的網(wǎng)絡(luò)安全產(chǎn)品更為實用，能夠 自定義審計策略，貼近信息中心的業(yè)務(wù)要求，而這些策略的 價值不僅僅體現(xiàn)在一張張審計報表上，更是成為信息中心制 定規(guī)章制度的重要依據(jù)。在本案例中，天 網(wǎng)絡(luò)安全審計系統(tǒng)不僅從產(chǎn)品角度，

47、滿足用戶得需求，以事前定義、事中監(jiān)測、事后追溯的全過 程審計，有效提高了中共山西省委辦公廳的防護(hù)能力，而且，從社會影響面，通過部署這類合規(guī)產(chǎn)品，更增強了政府機關(guān) 在人民群眾中的公信度，影響面十分廣泛。中共山西省委辦 公廳專門為此給由了用戶證明文件。需求背景6:奧市體育局是主管本市體育工作的市政府直屬機構(gòu)。主要職責(zé)是：貫徹國家體育工作的方針、政策和法規(guī)，研究擬 訂本市體育工作的法規(guī)、政策和發(fā)展規(guī)劃，并組織實施；負(fù) 責(zé)本市體育體制改革，制訂本市體育發(fā)展戰(zhàn)略，編制中長期 發(fā)展規(guī)劃，并組織實施；組織、指導(dǎo)各部門、各行業(yè)開展群 眾體育活動，推動體育社會化，組織實施全民健身計劃；統(tǒng) 籌規(guī)劃本市競技運動項目

48、的布局，指導(dǎo)優(yōu)秀運動隊的建設(shè)及 業(yè)余訓(xùn)練工作；制訂體育競賽計劃，管理、指導(dǎo)全市性體育 競賽；指導(dǎo)體育科研工作，加強科研攻關(guān)和科研成果的推廣； 組織開展反興奮劑工作；開發(fā)體育人才資源等工作職能尤其是奧市體育局歷來十分重視信息安全的發(fā)展動向，在體育場所信息管理系統(tǒng)方面，部署力量，保障信息網(wǎng)絡(luò)的 安全，體育場所信息管理系統(tǒng)分為前臺服務(wù)查詢系統(tǒng)和后臺 操作管理系統(tǒng)。因此，部署審計系統(tǒng)主要是由于對前臺和后 臺操作的審計，能夠達(dá)到實施反映、審計策略簡便、查詢方 便等需求。解決方案：奧市體育局的網(wǎng)絡(luò)系統(tǒng)中前臺是市民可通過互聯(lián)網(wǎng)登 陸前臺系統(tǒng)，點擊專欄進(jìn)入后，根據(jù)自身健身需求，對體育 運動項目經(jīng)營單位的基本信

49、息和安全信息進(jìn)行查、咨詢的系 統(tǒng)，前臺系統(tǒng)還可以提供體育運動項目經(jīng)營單位的相關(guān)網(wǎng)站 鏈接，并刊登經(jīng)營單位的簡要介紹。后臺是業(yè)務(wù)應(yīng)用和操作 管理系統(tǒng)，其中包括了體育場所信息管理系統(tǒng)等，這些業(yè)務(wù) 應(yīng)用會不斷完善和發(fā)展，需要實現(xiàn)了對體育運動項目經(jīng)營單 位的市區(qū)兩級實時聯(lián)動管理。前臺為社會公眾提供了完整， 詳細(xì)的查、咨詢服務(wù)。如下圖所示：案例點評：該體育局在部署產(chǎn)品后，徹底解決了用戶長期受到內(nèi)部 人員操作安全隱患、以及工作維護(hù)人員可能的安全隱患、包 括最高權(quán)限用戶可能的安全隱患等問題?？梢哉f，天珥網(wǎng)絡(luò) 安全審計系統(tǒng)為用戶提供了一個整體高效的安全解決方案， 從實現(xiàn)應(yīng)用角度提由的全面的整體安全解決方案。對

50、于體育局來說，選擇針對業(yè)務(wù)系統(tǒng)的審計產(chǎn)品主要有 以下幾個方面發(fā)揮了比較好的作用：第一，天珥網(wǎng)絡(luò)安全審 計系統(tǒng)的審計監(jiān)控可以實時反映由日期、產(chǎn)生時間、用戶名、客戶端IP、客戶端源端口、服務(wù)端 IP、服務(wù)端端口、 MAC 地址、協(xié)議類型、登陸帳號、事件級別、操作類別、事件內(nèi) 容（輸入命令明細(xì)）、引擎IP、引擎動作等條件內(nèi)容，即在 般情況下已經(jīng)可以通過 IP地址、端口、 MAC地址三個條 件將事件定位到人，在特殊條件下可以通過強身份認(rèn)證將事 件定位到強身份認(rèn)證用戶；第二，天珥網(wǎng)絡(luò)安全審計系統(tǒng)預(yù) 置200多條審計規(guī)則，有效滿足用戶的要求，在產(chǎn)品使用時 不用耗費更多時間去配置審計策略；策略生效時間靈活定

51、 義，有效滿足相關(guān)單位的員工工作時段分配要求；第三，天 珥網(wǎng)絡(luò)安全審計系統(tǒng)提供 20余種條件查詢功能，支持用戶 自定義查詢模版管理，不僅最大程度降低內(nèi)審人員的工作 量，提高了系統(tǒng)的易用性，更能精確定位所關(guān)注的審計信息， 同時，系統(tǒng)匯集二維統(tǒng)計、 三維統(tǒng)計、折線趨勢、柱狀統(tǒng)計、 餅狀統(tǒng)計等多種圖表統(tǒng)計分析手段，全面呈現(xiàn)業(yè)務(wù)全局運行 狀況，支持對網(wǎng)絡(luò)會話過程全面回放?；诖耍撌畜w育局對產(chǎn)品的功能特點表示肯定，對產(chǎn)品發(fā)揮的作用表示贊賞。需求背景7:莫省統(tǒng)計局是該省人民政府的統(tǒng)計行政主管部門，負(fù)責(zé)組織和協(xié)調(diào)本行政區(qū)域內(nèi)的統(tǒng)計工作，并對國民經(jīng)濟(jì)和社會 發(fā)展情況進(jìn)行統(tǒng)計調(diào)查、統(tǒng)計分析、提供統(tǒng)計資料和統(tǒng)計

52、咨 詢意見，實行統(tǒng)計監(jiān)督。省統(tǒng)計局是統(tǒng)計執(zhí)法機構(gòu)，在工作 中起維護(hù)統(tǒng)計秩序，確保數(shù)據(jù)質(zhì)量、凈化統(tǒng)計環(huán)境的作用。省統(tǒng)計局內(nèi)設(shè)行政處、 事業(yè)處等機構(gòu)，還有企調(diào)隊和城調(diào)隊。 省統(tǒng)計局以 工位一體”的重要思想，積極創(chuàng)新統(tǒng)計環(huán)境，并根據(jù)統(tǒng)計工作實際，與時俱進(jìn)地提由了省經(jīng)濟(jì)的行動指南。國家統(tǒng)計局經(jīng)過九五”統(tǒng)計信息化工程建設(shè)項目的實 施，現(xiàn)已初步建成了以國家統(tǒng)計局為樞紐、連接 64個節(jié)點 的國家統(tǒng)計信息系統(tǒng)，省統(tǒng)計根據(jù)國家統(tǒng)計局十五”國家統(tǒng)計信息化建設(shè)規(guī)劃及統(tǒng)計信息化十五”規(guī)劃，在該網(wǎng)絡(luò)上開展了數(shù)據(jù)報送、數(shù)據(jù)處理、辦公事務(wù)管理、統(tǒng)計直 報等業(yè)務(wù)。省統(tǒng)計信息化建設(shè)的戰(zhàn)略目標(biāo)是：基于現(xiàn)代信息 技術(shù)，以規(guī)范的統(tǒng)計

53、業(yè)務(wù)流程、統(tǒng)計信息標(biāo)準(zhǔn)為基礎(chǔ)，以內(nèi) 容豐富、結(jié)構(gòu)合理、高效安全、充分共享為特征的國家統(tǒng)計 信息資源建設(shè)為核心，建立一個面向統(tǒng)計調(diào)查對象、統(tǒng)計工 作者、政府相關(guān)部門和社會公眾的以現(xiàn)代信息技術(shù)支撐的國 家統(tǒng)計信息系統(tǒng)，全面實現(xiàn)統(tǒng)計工作的網(wǎng)絡(luò)化。解決方案：根據(jù)建設(shè)目標(biāo)，省統(tǒng)計局信息化系統(tǒng)移內(nèi)部主干網(wǎng)絡(luò) 為基礎(chǔ)，具有較強抗干擾能力、獨立的國家統(tǒng)計快速調(diào)查系 統(tǒng)”；建設(shè)作為國民經(jīng)濟(jì)和社會信息資源樞紐的國家統(tǒng)計數(shù)據(jù)中心”；在資源整合的基礎(chǔ)上，建設(shè)一個規(guī)范統(tǒng)一的統(tǒng)計工作信息化平臺。按照國家要求，結(jié)合全省實際，在現(xiàn)有統(tǒng) 計網(wǎng)絡(luò)基礎(chǔ)平臺上，采用現(xiàn)代信息技術(shù)，根據(jù)統(tǒng)計改革要求， 進(jìn)一步規(guī)范統(tǒng)計制度方法，建立適應(yīng)社

54、會主義市場經(jīng)濟(jì)的指 標(biāo)體系，在可靠的安全保密體系下，充分利用信息港寬帶網(wǎng)成果，構(gòu)筑全省企業(yè)網(wǎng)上統(tǒng)計報表申報、綜合統(tǒng)計信息 數(shù)據(jù)倉庫”應(yīng)用和統(tǒng)計信息ASP在線服務(wù)等系統(tǒng)為主體的統(tǒng)計應(yīng) 用基礎(chǔ)平臺。建成統(tǒng)計系統(tǒng)廣域網(wǎng)，實現(xiàn)與各市、區(qū)縣統(tǒng)計 局的聯(lián)網(wǎng)和信息共享。按照省政府城市信息化建設(shè)要求，充 分利用國家統(tǒng)計信息網(wǎng)絡(luò)資源，為各級領(lǐng)導(dǎo)決策提供正確及 時的全方位、多層次的優(yōu)質(zhì)信息服務(wù)。本著統(tǒng)一規(guī)劃、統(tǒng)一實施、統(tǒng)一開發(fā)、分布管理的原則， 市統(tǒng)計局統(tǒng)一規(guī)劃、設(shè)計組織，各市、區(qū)、縣統(tǒng)計局負(fù)責(zé)各 自的設(shè)備及相應(yīng)管理。省統(tǒng)計局在技術(shù)及相關(guān)設(shè)備方面給予 一定支持，爭取在三年內(nèi)逐步實現(xiàn)與市、區(qū)、縣統(tǒng)計局專線 聯(lián)網(wǎng)，使

55、市、區(qū)、縣統(tǒng)計局除進(jìn)行郵件通信以外，還可通過 市局聯(lián)到國家統(tǒng)計局以至全國其他省市統(tǒng)計局，可極大地豐 富信息量。省統(tǒng)計局從數(shù)據(jù)資源訪問的有效防護(hù)由發(fā)，首先針對所有內(nèi)部工作人員對這些核心數(shù)據(jù)資源的訪問行為進(jìn)行審計 和監(jiān)控，以保障所有訪問資源和訪問信息的真實性和安全 性。結(jié)合現(xiàn)有的這種賬號口令管理措施與系統(tǒng)進(jìn)行無縫鏈 接，省統(tǒng)計局通過綜合分布式部署，最終實現(xiàn)了全面有效的 數(shù)據(jù)庫安全防護(hù)。部署情況如下圖所示：案例點評：該省統(tǒng)計局響應(yīng)國家對統(tǒng)計系統(tǒng)的信息化建設(shè)要求，積極踐行開拓進(jìn)取、求實創(chuàng)新，針對統(tǒng)計信息工程、統(tǒng)計制度 方法改革、統(tǒng)計數(shù)據(jù)質(zhì)量等方面取得了重大突破，實現(xiàn)了統(tǒng) 計工作的全面整合、全面提高、全

56、面進(jìn)步。本次審計產(chǎn)品的 綜合分布式部署，省統(tǒng)計局達(dá)到了以下一些目的，第一，對 所有業(yè)務(wù)支撐系統(tǒng)建立一套統(tǒng)一的認(rèn)證、授權(quán)和審計系統(tǒng)， 對多人共用帳號而產(chǎn)生的網(wǎng)絡(luò)操作行為進(jìn)行監(jiān)控，以便確定 安全事故真正責(zé)任人，提升系統(tǒng)的事前防護(hù)，第二，對所有 業(yè)務(wù)系統(tǒng)中的每個網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫 系統(tǒng)的運行、維護(hù)以及管理等操作行為進(jìn)行集中、統(tǒng)一的審 計，以便綜合關(guān)聯(lián)分析，及時發(fā)現(xiàn)違規(guī)行為，提升了主客體 之間的事中防護(hù)；第三，對所有業(yè)務(wù)系統(tǒng)提供二維統(tǒng)計、三 維統(tǒng)計、折線趨勢、柱狀統(tǒng)計、餅狀統(tǒng)計等多種圖表統(tǒng)計分 析手段，全面呈現(xiàn)了業(yè)務(wù)全局運行狀況，使得管理者可以實時直觀的了解信息系統(tǒng)的運行狀況、預(yù)測信

57、息系統(tǒng)的未來發(fā)展趨勢，提升了審計結(jié)果的事后總結(jié)能力。什么是審計跟蹤審計跟蹤(audit trail )是系統(tǒng)活動的流水記錄。該記錄 按事件從始至終的途徑，順序檢查、審查和檢驗每個事件的 環(huán)境及活動。審計跟蹤通過書面方式提供應(yīng)負(fù)責(zé)任人員的活 動證據(jù)以支持職能的實現(xiàn)。審計跟蹤記錄系統(tǒng)活動和用戶活 動。系統(tǒng)活動包括操作系統(tǒng)和應(yīng)用程序進(jìn)程的活動；用戶活 動包括用戶在操作系統(tǒng)中和應(yīng)用程序中的活動。通過借助適 當(dāng)?shù)墓ぞ吆鸵?guī)程，審計跟蹤可以發(fā)現(xiàn)違反安全策略的活動、 影響運行效率的問題以及程序中的錯誤。審計跟蹤可以做為對正常系統(tǒng)操作的一種支持，也可以 做為一種保證策略或前兩者兼而有之。做為保證策略，所維 護(hù)的

58、審計跟蹤只在需要時使用，比如系統(tǒng)中斷。做為對操作 的支持，審計跟蹤用于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免 遭黑客、內(nèi)部使用者或技術(shù)故障的傷害。在很大程度上，信息的完整性和機密性取決于使用人的 職能。也就是說，人們必須為他們的行為負(fù)責(zé)。這是一種探 測和威懾機制。首先應(yīng)該制定一系列行為標(biāo)準(zhǔn)，使用人必須認(rèn)可這些行為標(biāo)準(zhǔn)；還要由較高級別的管理直對違反標(biāo)準(zhǔn)的 人進(jìn)行處罰。讓用戶知道自己的行為被監(jiān)控也可以阻止?jié)撛?的破壞者對安全的侵害。 用戶職能可以通過策略、授權(quán)方案、識別和鑒別機制、訪問控制、審計跟蹤和審計實現(xiàn)。編輯審計跟蹤的方法審計跟蹤提供了實現(xiàn)多種安全相關(guān)目標(biāo)的一種方法，這 些目標(biāo)包括個人職能、事件重

59、建、入侵探測和故障分析。編輯個人職能(individual accountability )審計跟蹤是管理人員用來維護(hù)個人職能的技術(shù)手段。通 過告知用戶應(yīng)該為自己的行為負(fù)責(zé)，通過審計跟蹤記錄用戶 的活動，管理人員可以改善用戶的行為方式。如果用戶知道 他們的行為被記錄在審計日志中，他們就不太會違反安全策 略和繞過安全控制措施。例如在訪問控制中，審計跟蹤可以用于鑒別對數(shù)據(jù)的不 恰當(dāng)修改(如在數(shù)據(jù)庫中引入一條錯誤記錄)和提供與之相 關(guān)的信息。審計跟蹤可以記錄改動前和改動后的記錄，以確定所作的實際改動。這可以幫助管理層確定錯誤到底是由用 戶、操作系統(tǒng)、應(yīng)用軟件還是由其它因素造成的。邏輯訪問控制是用于限

60、制對系統(tǒng)資源的訪問，允許用戶 訪問特定資源意味著用戶通常要通過這種訪問完成他們的 工作。當(dāng)然，被授權(quán)的訪問也會被濫用，這種情況下審計跟 蹤就能發(fā)揮作用。當(dāng)無法阻止用戶通過其合法身份訪問資源 時，審計跟蹤就可以用于檢查他們的活動。比方說人事部的 某員工需要訪問他們所負(fù)責(zé)的員工的人事記錄，通過審計跟 蹤發(fā)現(xiàn)該員工對人事記錄的超常打印，這也許意味著盜賣人 事數(shù)據(jù)。再比方說某工程師需要通過使用計算機來設(shè)計新產(chǎn) 昆，通過審計跟蹤發(fā)現(xiàn)在該工程師在設(shè)計結(jié)束前通過調(diào)制解 調(diào)器進(jìn)行了可疑的對外通信，這可以用來協(xié)助調(diào)查公司的專 利數(shù)據(jù)被非法泄漏給其它公司的事件。編輯事件重建(reconstruction of e