局域網(wǎng)安全審計(jì)解決方案

局域網(wǎng)安全審計(jì)解決方案姓名：厚貴涵

時(shí)間：2010-06-20典型的局域網(wǎng)拓?fù)鋱D局域網(wǎng)安全審計(jì)解決方案背景安全審計(jì)概述、標(biāo)準(zhǔn)及目標(biāo)需求分析安全審計(jì)主要功能安全審計(jì)系統(tǒng)工作流程安全審計(jì)具體實(shí)現(xiàn)及案例產(chǎn)生的效果總結(jié)背景局域網(wǎng)安全問題的特點(diǎn)內(nèi)網(wǎng)面臨三大威脅：內(nèi)部資源的誤用、濫用和惡用難發(fā)現(xiàn)難防御威脅大背景局域網(wǎng)安全的嚴(yán)重性GARTNER調(diào)查70%企業(yè)內(nèi)部攻擊FBI和CSI對(duì)484家公司調(diào)查，發(fā)現(xiàn)：

32%15%16%14%12%11%內(nèi)部威脅背景局域網(wǎng)安全審計(jì)的提出企業(yè)管理層意識(shí)到—重要性部署的網(wǎng)絡(luò)安全產(chǎn)品—防外不防內(nèi)功能缺陷—不能記錄日志和操作行為符合需求的產(chǎn)品—迫切需要背景國(guó)內(nèi)外現(xiàn)狀國(guó)外：2001年“安然”、“世通”公司的財(cái)務(wù)造假事件，安全管理方面的缺陷和不足——薩班斯法案國(guó)內(nèi)：我國(guó)政府清醒地認(rèn)識(shí)到信息安全問題的重要性——《企業(yè)內(nèi)部控制基本規(guī)范》安全審計(jì)概述、標(biāo)準(zhǔn)及目標(biāo)安全審計(jì)概述1.審計(jì)一詞的來源

審計(jì)：audit-會(huì)計(jì)金融2.計(jì)算機(jī)信息系統(tǒng)中安全審計(jì)

被保護(hù)的資源安全狀態(tài)進(jìn)行監(jiān)視和檢查安全審計(jì)概述、標(biāo)準(zhǔn)及目標(biāo)安全審計(jì)標(biāo)準(zhǔn)1.TCSEC標(biāo)準(zhǔn)TCSEC（TrustdeComputerSystemEvaluationCriteria），是美國(guó)國(guó)防部計(jì)算機(jī)安全中心于1988年發(fā)布的“可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則”。C2級(jí)要求審計(jì)以下事件：用戶的身份標(biāo)識(shí)和鑒別、用戶地址空間中客體的引入和刪除、計(jì)算機(jī)操作員/系統(tǒng)管理員/安全管理員的行為、其它與安全有關(guān)的事件。2.CC標(biāo)準(zhǔn)CC標(biāo)準(zhǔn)是信息技術(shù)安全性通用評(píng)估準(zhǔn)則，用來評(píng)估信息系統(tǒng)或者信息產(chǎn)品的安全性。CC準(zhǔn)則的安全功能需求定義了多個(gè)安全功能需求類，其中包括安全審計(jì)類。安全審計(jì)概述、標(biāo)準(zhǔn)及目標(biāo)3.國(guó)標(biāo)GB17859-1999依據(jù)我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則國(guó)標(biāo)GB17859-1999第三級(jí)中關(guān)于安全審計(jì)的要求，應(yīng)確定如下的審計(jì)事件作為審計(jì)內(nèi)容：身份鑒別機(jī)制的使用；將客體引入用戶地址空間；客體的刪除；操作員、系統(tǒng)管理員或系統(tǒng)安全管理員所實(shí)施的動(dòng)作；其它的與安全相關(guān)的事件等。安全審計(jì)概述、標(biāo)準(zhǔn)及目標(biāo)目標(biāo)：通過對(duì)局域網(wǎng)安全的審計(jì)，對(duì)異常行為進(jìn)行分析，及時(shí)發(fā)現(xiàn)局域網(wǎng)內(nèi)部的安全隱患，對(duì)一些惡意行為進(jìn)行取證和警示，降低企業(yè)內(nèi)部安全風(fēng)險(xiǎn)，幫助企業(yè)管理者更好的管理企業(yè)內(nèi)部的重要信息資料和提高員工的工作效率，方便網(wǎng)絡(luò)管理員更好的管理網(wǎng)絡(luò)，提高網(wǎng)絡(luò)資源的利用率，發(fā)揮網(wǎng)絡(luò)資源應(yīng)有的經(jīng)濟(jì)效益，促進(jìn)內(nèi)網(wǎng)安全持續(xù)改善。需求分析局域網(wǎng)面臨的威脅主要分為：基于人的行為基于終端的基于服務(wù)器基于網(wǎng)絡(luò)自身局域網(wǎng)內(nèi)部威脅需求分析需要解決的問題：如何有效監(jiān)控網(wǎng)絡(luò)系統(tǒng)訪問行為和敏感信息傳播，準(zhǔn)確掌握網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，及時(shí)發(fā)現(xiàn)違反安全策略的事件并實(shí)時(shí)告警、記錄，同時(shí)進(jìn)行安全事件定位分析，事后追查取證，滿足合規(guī)性審計(jì)要求，是企業(yè)迫切需要解決的問題。需求分析基于人的行為需要解決的問題12違規(guī)行為：工作時(shí)間看電影、玩游戲、看小說、安裝應(yīng)用程序、盜版軟件等；誤操作：文件的篡改、刪除、越權(quán)使用；非法操作：拷貝重要資料、泄密、竊取等；外來人員進(jìn)入網(wǎng)絡(luò)的違規(guī)行為。內(nèi)部人員違規(guī)、非法操作外部人員接入網(wǎng)絡(luò)需求分析對(duì)于終端需要解決的問題

需求分析外部設(shè)備接入網(wǎng)絡(luò)12345IP地址隨意更改非法撥號(hào)上網(wǎng)計(jì)算機(jī)硬件設(shè)備更換移動(dòng)存儲(chǔ)設(shè)備亂用6終端系統(tǒng)日志7系統(tǒng)漏洞需求分析對(duì)于服務(wù)器需要解決的問題需求分析1打印服務(wù)器2服務(wù)器進(jìn)程3服務(wù)器開啟服務(wù)4共享文件的誤操作、越權(quán)行為5開啟的賬號(hào)需求分析對(duì)于網(wǎng)絡(luò)設(shè)備需要解決的問題

需求分析需求分析12對(duì)設(shè)備的操作和行為；網(wǎng)絡(luò)設(shè)備日志信息的提取和分析；設(shè)備故障點(diǎn)的定位；網(wǎng)絡(luò)流量進(jìn)行分析；設(shè)備端口異常流量包的抓取、分析等。交換機(jī)路由器需求分析需求的提出企業(yè)需要審計(jì)內(nèi)部人員的操作行為企業(yè)需要審計(jì)第三方人員的行為內(nèi)部網(wǎng)絡(luò)安全運(yùn)維的需求為了日后取證的需求。安全審計(jì)功能要求安全審計(jì)的功能主要有：1.安全審計(jì)自動(dòng)響應(yīng)2.安全審計(jì)數(shù)據(jù)產(chǎn)生3.安全審計(jì)分析4.安全審計(jì)瀏覽5.安全審計(jì)事件選擇6.安全審計(jì)事件存儲(chǔ)安全審計(jì)系統(tǒng)工作流程審計(jì)點(diǎn)（事件）的選擇審計(jì)事件可以來自網(wǎng)絡(luò)層，操作系統(tǒng)層和應(yīng)用層。局域網(wǎng)安全審計(jì)主要的審計(jì)數(shù)據(jù)源是來自內(nèi)部網(wǎng)絡(luò)各個(gè)主機(jī)（操作系統(tǒng)層和應(yīng)用層）的審計(jì)數(shù)據(jù)，另外還包括對(duì)網(wǎng)絡(luò)層的審計(jì)。安全審計(jì)系統(tǒng)工作流程SNMP、RMON、Trap、Syslog、Telnet、WMI、HTTP、Agent、ODBC安全審計(jì)流程圖安全審計(jì)系統(tǒng)工作流程系統(tǒng)框架局域網(wǎng)安全審計(jì)實(shí)現(xiàn)安全審計(jì)技術(shù)與審計(jì)對(duì)象一般的對(duì)應(yīng)關(guān)系圖審計(jì)對(duì)象和審計(jì)技術(shù)的選擇局域網(wǎng)安全審計(jì)實(shí)現(xiàn)主機(jī)審計(jì)：對(duì)系統(tǒng)日志審計(jì)、主機(jī)資源審計(jì)、進(jìn)程審計(jì)、服務(wù)審計(jì)、主機(jī)端口審計(jì)、主機(jī)賬號(hào)審計(jì)、主機(jī)文件操作審計(jì)、對(duì)非法內(nèi)外聯(lián)行為記錄、對(duì)客戶端所有外設(shè)的使用進(jìn)行記錄。用戶行為審計(jì)：對(duì)企業(yè)和組織的人員進(jìn)行審計(jì)。局域網(wǎng)安全審計(jì)內(nèi)容網(wǎng)絡(luò)審計(jì)：對(duì)網(wǎng)絡(luò)中各種訪問、操作的審計(jì)，對(duì)主機(jī)網(wǎng)絡(luò)實(shí)時(shí)信息的審計(jì)，記錄和審計(jì)主機(jī)的網(wǎng)絡(luò)連接情況，對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行分析，非法的連接產(chǎn)生報(bào)警事件。能夠有效的發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部新接入的訪問數(shù)據(jù)的計(jì)算機(jī)。設(shè)備審計(jì)：對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備等各種設(shè)備的操作和行為進(jìn)行審計(jì)。服務(wù)器審計(jì)：對(duì)服務(wù)器所開啟的服務(wù)、進(jìn)程進(jìn)行記錄和檢測(cè)，發(fā)現(xiàn)可疑服務(wù)提供報(bào)警；對(duì)服務(wù)器上的指定文件進(jìn)行檢測(cè)；對(duì)服務(wù)器所開啟的賬號(hào)進(jìn)行審計(jì)；對(duì)服務(wù)器的軟、硬件資源進(jìn)行記錄，發(fā)現(xiàn)變動(dòng)可產(chǎn)生報(bào)警信息。打印審計(jì)：對(duì)主機(jī)的打印操作進(jìn)行審計(jì)，包括打印機(jī)名稱、打印機(jī)位置、打印對(duì)象、打印份數(shù)及打印用戶和打印時(shí)間等。案例某單位為了應(yīng)對(duì)內(nèi)審和外審以及對(duì)企業(yè)內(nèi)部員工的行為審計(jì)的需要，部署了安全審計(jì)產(chǎn)品，本案例從主機(jī)端到網(wǎng)絡(luò)設(shè)備，從用戶行為、安全日志到網(wǎng)絡(luò)內(nèi)容部署了多層次全方位的信息審計(jì)，切實(shí)落實(shí)審計(jì)的要求，保障業(yè)務(wù)的正常運(yùn)行。案例XX公司安全審計(jì)部署方案圖案例整個(gè)審計(jì)方案主要包括以下五個(gè)方面：主機(jī)端審計(jì)服務(wù)器審計(jì)網(wǎng)絡(luò)審計(jì)設(shè)備日志審計(jì)統(tǒng)一審計(jì)平臺(tái)案例方案的優(yōu)勢(shì)與特點(diǎn)多緯度、全方位數(shù)據(jù)采集滿足合規(guī)性需求強(qiáng)大的數(shù)據(jù)融合能力支持關(guān)聯(lián)安全標(biāo)準(zhǔn)完善的報(bào)表生成解決問題（效果）通過部署安全審計(jì)產(chǎn)品，可以有效掌握網(wǎng)絡(luò)安全狀態(tài)，實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)信息的整體智能關(guān)聯(lián)分析、評(píng)估、調(diào)查及安全事件的準(zhǔn)確跟蹤定位，為整體安全策略的制定提供權(quán)威可靠的支持，為日后的調(diào)查、取證提供有力的保證。安全審計(jì)產(chǎn)品的實(shí)施，也對(duì)用戶的操作行為起到了一定的威懾作用。