信息安全审计解决方案.docx
《信息安全审计解决方案.docx》由会员分享,可在线阅读,更多相关《信息安全审计解决方案.docx(33页珍藏版)》请在冰豆网上搜索。
信息安全审计解决方案
网络信息安全审计解决方案
----主机审计、网络行为审计、数据库审计解决方案
1概述4
1.1信息安全审计产生的背景4
1.2信息系统安全审计的必要性5
2某信息安全审计体系结构5
3某信息安全审计方案介绍7
3.1主机审计7
3.1.1企业内部主机操作的风险问题7
3.1.2某主机审计系统解决方案8
3.2网络行为审计12
3.2.1企业互联网管理面临的问题12
3.2.2网络行为审计解决方案13
3.3数据库审计24
3.3.1数据库安全面临的风险24
3.3.2数据库审计产品解决方案25
4方案部署37
5方案优势38
6方案总结39
1概述
1.1信息安全审计产生的背景
随着全球信息化技术的快速发展以及计算机信息技术在各行各业的深入运用。
计算机信息化技术已经深入的覆盖到工作及生产的每一个角落。
传统的手工生产已经逐渐的被信息化生产所替代。
信息化生产大大的提高了社会化生产的效率,但是同时,作为生产工具的信息化系统存在着可能导致生产崩溃的风险和威胁。
信息系统遭受内部攻击、违法违规操作以及信息泄露的事件时有发生并且呈不断升温的趋势。
基于以上情况,全球信息技术发展最快的美国于2002年颁布了SOX法案(国内简称萨班斯法案)用以规范上市公司在计算机信息系统的安全性和可审计性,从而消除或者减少信息系统中导致生产崩溃的风险和威胁。
在中国加入WTO之后,在生产和信息技术上不断的向发达国家靠拢的同时,也需要不断的完善计算机信息系统安全及审计的技术规范和技术手段。
其中的技术规范应该覆盖内部信息体系的审计与控制以及由内到外的信息系统行为的审计与控制。
从2009年7月1号开始实施的由财政部、审计署、证监会、保监会、银监会联合颁发的《企业内部基本控制规范》以及《计算机信息系统安全保护等级划分准则-GB17859-1999》等法规文件中都明确要求需要对信息系统进行审计与控制。
尤其在等级保护的第二级开始明确要求“计算机信息系统可信计算机能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏”。
另外,2006年,公安部也颁布了《互联网安全保护技术措施规定》(简称“公安部82号令”),要求互联网提供者对访问互联网的用户行为进行记录保存并可查询,其中要求日志保存时间在60天以上。
1.2信息系统安全审计的必要性
相关权威机构的调查显示,80%左右的机构信息风险都来自于机构内部,因此,对于机构内部的信息系统操作行为等进行审计非常有必要,这其中包括对主机系统操作的审计、对企业员工访问互联网的行为审计以及对生产业务系统的数据库访问的审计。
通过对信息系统审计记录进行分析,可以快速的定位信息系统中存在的风险因素,便于及时制定有效的信息系统风险控制策略,通过相关的技术手段可以将企业或机构中存在的因信息系统风险而造成损失的几率降至最低。
因此,在信息系统中实行审计,在当前的技术发展和社会背景下,是相当重要和必要的。
2某信息安全审计体系结构
某公司根据多年的技术积累,遵循相关的法律法规标准的要求,结合某现有的信息系统审计产品,推出了针对企业信息系统的某信息系统审计解决方案。
该审计方案覆盖主机终端、业务系统数据库及互联网访问行为三个空间范畴的审计方法。
提供从用户、应用、时间、行为等多维角度的审计记录。
便于企业/机构准确分析企业信息系统的使用情况、员工的工作情况以及企业信息生产系统中存在的风险因素。
图-1某信息系统审计体系结构
3某信息安全审计方案介绍
某信息系统审计方案从信息系统安全的角度出发,从内部主机泄密、业务系统数据库保护以及企业员工互联网行为等角度出发,对信息系统内部涉及泄密途径的内部操作、对涉及业务信息系统数据库的非法操作、对内部信息系统的恶意破坏以及内部员工违反规定的互联网访问等行为进行详细审计。
同时提供审计备份记录的存储,便于在出现风险事故的时候进行查询。
图-2某信息系统审计方案
3.1主机审计
3.1.1企业内部主机操作的风险问题
企业/机构内部的计算机主机是构成企业/计算机信息系统的基本单元,所有针对计算机信息系统的操作几乎都由企业/机构内部的计算机主机发起的。
因此,大部分企业/机构内部的计算机信息系统危害事件(信息泄密、越权修改/删除文件、违规打印等)都源自企业内部主机的违法违规行为。
由于对主机行为缺乏记录和管理,造成企业发生计算机信息系统危害事件之后无据可查,无证可考,不利于针对企业/机构计算机信息系统进行长期的信息系统风险分析和控制,从而导致相同的主机违法违规事件一再发生。
3.1.2某主机审计系统解决方案
某主机监控审计系统通过Web方式对整个系统进行应用策略配置,管理网络和查询审计数据,方便用户操作,有效防范不安全因素对内部终端构成的威胁,真正做到内部终端的安全管理,防止信息泄密,满足客户对内部终端管理的功能需求。
3.1.2.1网络访问行为审计和控制
以黑白名单的方式对用户的网络访问行为进行控制,并对用户访问的网络等进行审计和记录。
3.1.2.2文件保护及审计
提供对终端的OS系统、软件和共享等目录中的文件的保护功能,设定访问、删除、修改权限;支持对设定目录文件的操作审计,包括文件创建、打印、读写、复制、改名、删除、移动等的记录,同时将信息上报管理信息库供查询。
3.1.2.3网络文件输出审计
对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录。
3.1.2.4打印审计
根据策略对主机打印行为进行监控审计,防止非授权的信息被打印,同时根据要求还可以备份打印内容。
3.1.2.5敏感信息检查
根据用户自主设定的敏感信息查询条件,设定对指定目录或盘符下的指定类型文件进行内容检查,检查其是否包含敏感内容,系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。
3.1.2.6用户权限审计
能够审计用户权限更改,及操作系统内用户增加和删除操作。
3.1.2.7独立的权限分配体系
提供系统管理员、系统审核员(安全员)、系统审计员和一般操作员权限分配,使之分别进行不同的管理操作。
3.1.2.8系统日志审计
支持不同权限管理员在Web控制台对终端用户的日志(系统日志、应用日志、安全日志等)进行远程读取查看。
3.2网络行为审计
某上网行为管理系统VRVBehaviorManagementGateway(简称VRVBMG)是某公司基于“VRVSpecSEC面向网络空间的终端安全管理体系”架构下隆重推出的一款基于终端用户网络行为审计和管理的硬件网关,是某公司“VRVSpecSEC面向网络空间的终端安全管理体系”的重要组成部分。
可以针对终端行为实现“行为前、行为中、行为后”三位一体的管理解决方案,为企业/机构的信息安全及互联网安全提供高质量的保障,既可以即时审计企业/机构内部员工的互联网行为,同时还可以有效的管理企业/机构的网络带宽分配和员工的工作效率。
3.2.1企业互联网管理面临的问题
从互联网与信息安全以及对“人”的行为管理角度来看,作为一个信息管理员或网络管理员,必然会面临以下问题:
●如何避免脆弱的终端接入到不安全的互联网?
●如何对接入互联网/外联网的终端进行有效的授权与控制?
●如何避免企业的重要信息泄露给竞争对手?
●如何规避由于内部过激或者敏感言论所带来的法律风险问题?
●怎样控制终端的网页访问权限?
●如何有效的记录并保存所有终端的应用行为?
●网络带宽怎样进行合理的分配?
●怎样有效的管理员工的上网行为,提高工作效率?
●……
网络管理方向
3.2.2网络行为审计解决方案
某上网行为管理系统针对内部用户的所有外网访问行为进行审计,包括应用访问审计、网站访问审计、邮件审计、即时聊天审计、发帖审计、FTP行为审计、Telnet行为审计、MMS审计以及RTSP审计等。
某上网行为管理系统VRVBMG采用领先的知识发现KDT(KnowledgeDiscoveryTechnology)技术(该技术是数据挖掘与DSI深度业务识别检测两种技术的结晶,它可以根据不同的业务类型进行有针对性的内容还原解码),审计内容备份的时间超过60天,完全符合《公安部82号令》中“互联网提供者和联网使用单位依照本规定落实的技术留存措施,应当具有至少保存六十天记录备份的功能”的要求。
3.2.2.1网页访问审计
详细记录每条URL访问记录产生的时间、终端主机、URL链接、URL所属网站分类以及命中的访问控制策略,并且提供可查询的接口。
。
3.2.2.2邮件审计
详细记录邮件的发送和接收帐号、邮件发送时间、涉及的主机、邮件的内容及附件,并且提供可查询的接口,同时支持对邮件内容的还原。
3.2.2.3即时聊天审计
详细记录使用的聊天工具类型、发送和接收的帐号、聊天记录产生的时间、涉及的终端主机以及消息内容等,并且提供可查询的接口。
3.2.2.4网络发帖审计
详细记录发帖记录产生的时间、涉及的终端主机、发帖记录产生的网站以及发帖标题等,并且提供可查询的接口。
3.2.2.5FTP审计
详细记录FTP行为产生的时间、涉及的终端主机、涉及的端口、访问的FTP服务器、执行的命令以及涉及的参数,可以详细审计具体涉及到的文件等,并且提供可查询的接口。
3.2.2.6Telnet审计
详细记录Telnet行为产生的时间、涉及的终端主机、涉及的端口、访问的服务器以及执行的命令,并且提供可查询的接口。
3.2.2.7MMS访问审计
详细记录MMS行为产生的时间、涉及的终端主机、涉及的端口、访问的服务器、执行的命令以及详细的文件名,并且提供可查询的接口。
3.2.2.8RTSP访问审计
详细记录RTSP行为产生的时间、涉及的终端主机、涉及的端口、访问的服务器、执行的命令以及详细的文件名,并且提供可查询的接口。
3.2.2.9其它功能
在对信息系统内部员工上网行为进行审计的基础上,某上网行为管理系统依据审计结果可以提供一定的风险控制手段,例如准入控制、访问控制、内容过滤以及应用控制等。
通过对网络访问行为设置准入门槛,可以有效的降低企业内部出现的网络风险事件。
3.2.2.9.1网络接入控制
某上网行为管理系统VRVBMG可以针对多种形式接入的终端用户实现对互联网或者外联网的接入控制,通过和某终端安全管理软件进行配合,为企业或者组织提供全面的接入控制方案,减少企业或组织内部的信息安全风险,该方案主要实现以下功能:
●对未安装某安全认证客户端软件的终端阻止接入互/外联网并重定向至客户端下载页面。
●对已安装某安全认证客户端软件但未通过认证的终端阻止接入互/外联网
●对已安装某安全认证客户端软件并通过认证的终端允许接入互/外联网并监测终端状态
●对接入终端的网络行为进行多角度和多维度的监控并管理
●对未安装指定系统补丁、未启用防火墙的终端禁止接入接入互/外联网
从应用系统的角度,该准入控制方案可以很好的应用在内部终端对互联网、内部业务系统以及内部服务系统等多种场合,可有效的控制终端的接入范围。
从网络结构的角度,该准入控制方案可以应用在内部局域网、企业/组织机构专网甚至VPN远程接入等多种网络体系,只需要将某上网行为管理系统VRVBMG串行部署在被管应用系统的前端,就可以有效的解决终端用户的接入管理问题,避免企业资源被非授权用户访问,从而起到保护企业重要信息资源的作用。
3.2.2.9.2网络访问控制
某上网行为管理系统VRVBMG提供的网络访问控制解决方案主要应用在终端对互联网访问行为的管理。
主要解决以下问题:
●对访问互联网的用户进行二次授权认证
在企业/机构内部,怎样保证终端的互联网行为是终端使用者本人操作的呢?
如果终端使用者暂时离开座位,怎样避免他人借用该终端访问互联网并造成泄密事件呢?
某上网行为管理系统VRVBMG提供二次授权认证的功能,可以有效的避免借用、盗用他人身份进行泄密的行为,为企业信息安全提供双重保护。
●对访问互联网用户进行实名认证和审计
相关机构对于互联网实名制的呼声越来越高,并出台了一系列的实名制的规章制度,对于企业/机构,同样存在实名审计的要求,终端和IP并不能真正的确定使用者。
某上网行为管理系统VRVBMG通过在内部建立实名帐号,访问互联网的用户必须输入帐号和密码进行二次认证后,才可以访问互联网,将终端、IP以及使用者绑定在一起,并针对使用者帐号进行网络行为审计,即使更换终端及IP,也可以有效的审计实名帐号的网络行为。
3.2.2.9.3网络应用行为管理
某上网行为管理系统VRVBMG采用深度业务识别DSI(DeepServiceInspection)技术,通过自身内置100余种常见网络应用的业务特征,综合运用HADL继承式应用描述语言,可以检测出网络中90%以上的应用行为,同时允许网络管理者针对不同的内网用户、不同时段,结合企业/机构的实际需求制定适合本企业的网络应用行为管理规范,有效的解决企业/机构对员工访问互联网/外联网存在的以下问题:
●上班时间进行与工作无关的访问,影响工作效率
●员工上班时间进行高带宽占用的网络行为,影响其它员工的正常访问
●上班时间游戏、购物、网络视频……,影响办公室环境,造成其它员工效仿,破坏企业文化。
网络应用行为识别排名
3.2.2.9.4网页过滤检查
某上网行为管理系统VRVBMG内置36大类超过100万条的中文网页过滤分类数据库,能够实现基于URL预分类网站列表的访问控制、基于用户和访问时间段的控制管理、基于URL关键字的URL过滤、支持URL访问记录的查询,以及可以对访问内容、访问量和访问者的统计排名等功能。
可以有效的解决企业/机构中对色情、赌博、暴力、社区游戏以及高风险网站访问的管理问题。
网页分类
3.2.2.9.5敏感信息及非法关键字过滤
某上网行为管理系统VRVBMG采用业界独创的技术,在不影响产品性能的情况下可以实时的针对邮件、搜索引擎关键字和论坛发帖内容进行过滤,针对影响国家安全和稳定的关键字进行过滤,可以大大的规避企业/机构的法律风险,针对企业/机构制定的敏感信息关键字进行过滤,可以有效的避免企业/机构重要信息外流。
和大多数上网行为管理对敏感信息的过滤机制不同的是,某上网行为管理系统VRVBMG在进行过滤时采用了分布式“云”处理的理念,将敏感信息的检测组件分布式的部署在使用者的终端,通过终端上报给VRVBMG,进行集中过滤处理,大大减轻VRVBMG的负担,通常情况下,如果直接将检测功能安装在上网行为管理系统上,将会降低上网行为管理系统近20%的处理能力。
分布式处理示意图
3.2.2.9.6带宽流量管理
互联网是一个开放的IP环境,由于IP协议机制采用“best-effort”的机制进行数据包转发,因此必然会造成“不公平”,这种“不公平”主要体现在:
●应用的不公平,不同的网络应用由于低层处理机制不同,在对带宽抢占上存在着很大的差异,例如:
P2P应用,由于采用点对点的机制,可以在多个peer节点之间建立连接并保持连接的最优化,因此它们往往能占据更多的带宽,而一些用户体验优先级较高的网络应用(例如http)往往因为带宽被抢占而无法正常的使用。
●用户的不公平,由于终端用户的网络习惯不一样,有些用户可能占据了网络中80%的带宽,而另外一些用户可能连1%都占不到,这种
情况在当今互联网的环境中比比皆是。
针对以上情况,某上网行为管理系统VRVBMG可以根据内网用户的不同访问需求公平合理的分配网络访问带宽,防止某些用户独占过多带宽带来网络拥塞。
同时还可以针对具体的应用进行带宽分配,对一些比较重要的,涉及到生产力的应用进行带宽保证,而对一些无关紧要的应用进行带宽限制,合理的规范网络带宽的使用。
3.2.2.9.7分布式部署、集中化管理
对于拥有多个分支机构的组织,可能面临分布式部署的集中管理问题,某上网行为管理系统VRVBMG支持多级结构的集中管理,支持策略统一下发。
集中管理示意图
3.2.2.9.8人性化的报表分析统计
某上网行为管理系统VRVBMG内置人性化的报表模块,支持对用户、应用、时间、数量等多维度的报表展现,并可以按照用户的需求定义报表类型,全面有效的展现用户最关心的报表内容,同时为使用者提供具有实际意义的策略依据。
综合分析报表
3.3数据库审计
数据是企业业务的根本,数据库是企业数据的载体,数据库系统是企业信息系统的心脏,在其上面存储了企业所关心的:
人,财,物等重要数据。
从信息安全角度看,数据库系统的安全是IT系统安全的核心,引起了信息系统建设者的高度重视,在数据库的管理制度,物理安全和网络安全方面做了完善的安全防护,例如采取了严格访问控制和容灾备份等安全措施。
但是,从近年来发生的安全事件来看,数据库安全问题远远不止是物理层面安全和网络层面的安全,数据库系统面临这从安全管理到安全技术等各方面的安全隐患,这些风险将会给企业业务带来严重的影响,可能会造成巨大的经济损失,或引起法律的纠纷。
而且这些事件难以追查和弥补。
3.3.1数据库安全面临的风险
管理风险
◆系统管理员存在的误操作、违规操作、越权操作,损害业务系统安全运行;
◆多人公用一个帐号,责任难以分清;
◆第三方开发维护人员的误操作,恶意操作和篡改;
◆超级管理员权限过大,无法审计监控;
技术风险
◆数据库服务器操作系统漏洞攻击;
◆数据库系统漏洞攻击;
◆应用系统开发商后门或漏洞;
◆离职员工留下后门。
审计风险
◆审计日志不完整导致安全事件难以追查定位;
◆达不到国家等级保护明确要求;
◆满足不了行业信息安全合规性文件要求;
3.3.2数据库审计产品解决方案
3.3.2.1数据采集过滤
VRV-DBAS支持审计引擎在进行数据捕包时,接受用户自定义的采集过滤规则(其中,过滤的条件包括操作源IP、操作源MAC、计算机名、程序名、生产数据库名、生产数据库用户名、操作内容、表名等),从而只采集用户关心的数据,剔除垃圾数据,减少查询时没用信息的干扰。
该功能对数据量非常大,但是所关注审计数据又清晰可定义的用户很有帮助。
3.3.2.2审计预警
VRV-DBAS支持用户自定义预警策略,对自己所关注的敏感信息进行独立记录和邮件告警。
预警出来的数据可以进一步进行查询获取关注数据。
3.3.2.3数据库攻击检测
VRV-DBAS能够通过审计记录发现生产数据库一些潜在的安全威胁,比如SQL注入,密码猜解,执行操作系统级的命令等,同时内置了丰富的数据库入侵检测规则库,及时发现并阻止生产数据库安全威胁,保证生产数据库更加安全运行。
3.3.2.4审计告警
VRV-DBAS内置独立的告警配置功能模块,方便用户在设置不同的规则或者触发事件,按照不同的级别进行不同方式的告警方式。
支持邮件告警,声音告警,短信告警等多种告警方式。
3.3.2.5灵活的审计结果展示
Ø支持丰富的查询条件与方法
VRV-DBAS为用户提供了基于时间、地址、数据库类型、用户名、操作类型、数据库名、表名、字段名等等多种丰富的组合查询模式,用户可以按照自己的需要查找所关心的符合审计规则的数据库操作记录。
VRV-DBAS查询功能还支持二次检索,模糊查询,快速链接查询,select可选独立查询等功能以达到精确检索的目的。
VRV-DBAS还可以支持对审计数据中提取出来的表名、IP地址、MAC地址等进行中文备注说明,并在查询结果中进行备注替换显示,极大的提高数据库审计内容的易读性。
查询结果支持按照不同视角进行归并展示,适合不同用户和观测重点需要。
Ø支持专业化报表输出
VRV-DBAS支持趋势报表,通过这些报表可以把审计结果,按照不同的内容和形式果直观地展现给用户:
●支持年、月、周、日、时总访问量趋势报表;
●支持年、月、周、日、时选定数据库用户趋势报表;
●支持年、月、周、日、时选定数据表趋势报表;
●支持年、月、周、日、时选定操作方式趋势报表;
●支持年、月、周、日、时选定程序名趋势报表;
●支持年、月、周、日、时选定访问源IP趋势报表;
●支持年、月、周、日、时选定存储过程趋势报表;
VRV-DBAS支持统计报表
●支持年、月、周、日、时数据库用户统计排名(topN)报表;
●支持年、月、周、日、时数据表统计排名(topN)报表;
●支持年、月、周、日、时操作方式统计排名(topN)报表;
●支持年、月、周、日、时程序名统计排名(topN)报表;
●支持年、月、周、日、时访问源IP统计排名(topN)报表;
●支持年、月、周、日、时存储过程统计排名(topN)报表;
Ø支持报表结果的深度分析
VRV-DBAS支持对生成的报表结果进行深度分析,逐渐缩小报表的统计分析精度,更准确定位事件的发生时间,同时可以更迅速找到与事件关联的各种信息。
Ø支持实时审计功能
VRV-DBAS支持实时审计数据的展示,方便用户及时发现数据库操作或者用户行为异常。
用户可以自定义实时显示的刷新频率和条数等参数。
实时审计功能包含“实时预警”、“实时会话”和“实时数据”几种情况
Ø支持灵活编码格式
VRV-DBAS支持灵活多样的编码格式策略配置,适合不同数据库业务环境。
3.3.2.6高效的审计数据管理
Ø支持数据高压缩比例存储
对海量审计数据,长期保持原始日志,以便后期查询需要,同时尽量节约空间,高压缩比例的存储是很重要的,VRV-DBAS拥有高达95%以上的高压缩比例保存,而且所有的压缩解压过程都是按照预定策略自动实现的。
Ø支持缓存安全机制
在VRV-DBAS的审计引擎上,有大容量的缓存安全机制,保证用户的审计数据在人为或者意外情况下,都可以最大限度的保证原始审计数据的安全。
Ø支持历史数据自由回档与检索
对压缩保存好的历史审计数据,可以自由选择需要重新检索的数据范围,进行自动回档操作,并对回档出来的数据重新检索。
3.3.2.7审计对象与审计深度
Ø支持可扩展的审计架构
VRV-DBAS对业务系统的审计环境的支持范围,采用灵活的可扩展的插件式架构设计,也就是说所支持的环境类型可以通过统一接口进行扩展,目前全面支持对ORACLE、SQLServer、Sybase等数据库环境的审计。
该架构的优势利于在业务环境变化或者升级的时候进行灵活简单的适应性变更,降低成本。
Ø支持细料度审计分析
VRV-DBAS支持对生产数据库的SQL操作进行细粒度审计,可以审计到详细的所有客户端对生产数据库访问的记录,包括客户端的IP地址、MAC地址、计算机名、目的地址、客户端程序名、数据库名、表名、操作方式、操作内容、返回成功与否,执行时长等。
通过细粒度的审计,可以实现对用户的登录过程以及权限变更记录进行审计,及时发现异常用户活动,可以对生产数据库用户角色权限的授予情况进行跟踪,特别是对DBA权限的授予情况。
也可以发现异常的客户端登录,找到隐患。
对客户端可以审计到不同的层面(比如网络IP/MAC等,到业务层面的数据库用户等)。
可以发现重点表/存储过程的被访问情况(增、删、改。
查等操作)。
Ø支持数据库会话审计
VRV-DBAS支持数据库会话审计,能够完整的保存不同数据库客户端与数据库服务器的整个会话状态,并按照不同类型展示出来,允许用户通过多条件进行
升级会员 