信息安全审计解决方案.docx
《信息安全审计解决方案.docx》由会员分享,可在线阅读,更多相关《信息安全审计解决方案.docx(30页珍藏版)》请在冰豆网上搜索。
信息安全审计解决方案
网络信息安全审计解决方案
----主机审计、网络行为审计、数据库审计解决方案
1概述4
1.1信息安全审计产生的背景4
1.2信息系统安全审计的必要性5
2某信息安全审计体系结构5
3某信息安全审计方案介绍7
3.1主机审计7
3.1.1企业内部主机操作的风险问题7
3.1.2某主机审计系统解决方案8
3.2网络行为审计12
3.2.1企业互联网管理面临的问题12
3.2.2网络行为审计解决方案13
3.3数据库审计24
3.3.1数据库安全面临的风险24
3.3.2数据库审计产品解决方案25
4方案部署37
5方案优势38
6方案总结39
1概述
1.1信息安全审计产生的背景
随着全球信息化技术的快速发展以及计算机信息技术在各行各业的深入运用。
计算机信息化技术已经深入的覆盖到工作及生产的每一个角落。
传统的手工生产已经逐渐的被信息化生产所替代。
信息化生产大大的提高了社会化生产的效率,但是同时,作为生产工具的信息化系统存在着可能导致生产崩溃的风险和威胁。
信息系统遭受内部攻击、违法违规操作以及信息泄露的事件时有发生并且呈不断升温的趋势。
基于以上情况,全球信息技术发展最快的美国于2002年颁布了SOX法案(国内简称萨班斯法案)用以规范上市公司在计算机信息系统的安全性和可审计性,从而消除或者减少信息系统中导致生产崩溃的风险和威胁。
在中国加入WTO之后,在生产和信息技术上不断的向发达国家靠拢的同时,也需要不断的完善计算机信息系统安全及审计的技术规范和技术手段。
其中的技术规范应该覆盖内部信息体系的审计与控制以及由内到外的信息系统行为的审计与控制。
从2009年7月1号开始实施的由财政部、审计署、证监会、保监会、银监会联合颁发的《企业内部基本控制规范》以及《计算机信息系统安全保护等级划分准则-GB17859-1999》等法规文件中都明确要求需要对信息系统进行审计与控制。
尤其在等级保护的第二级开始明确要求“计算机信息系统可信计算机能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏”。
另外,2006年,公安部也颁布了《互联网安全保护技术措施规定》(简称“公安部82号令”),要求互联网提供者对访问互联网的用户行为进行记录保存并可查询,其中要求日志保存时间在60天以上。
1.2信息系统安全审计的必要性
相关权威机构的调查显示,80%左右的机构信息风险都来自于机构内部,因此,对于机构内部的信息系统操作行为等进行审计非常有必要,这其中包括对主机系统操作的审计、对企业员工访问互联网的行为审计以及对生产业务系统的数据库访问的审计。
通过对信息系统审计记录进行分析,可以快速的定位信息系统中存在的风险因素,便于及时制定有效的信息系统风险控制策略,通过相关的技术手段可以将企业或机构中存在的因信息系统风险而造成损失的几率降至最低。
因此,在信息系统中实行审计,在当前的技术发展和社会背景下,是相当重要和必要的。
2某信息安全审计体系结构
某公司根据多年的技术积累,遵循相关的法律法规标准的要求,结合某现有的信息系统审计产品,推出了针对企业信息系统的某信息系统审计解决方案。
该审计方案覆盖主机终端、业务系统数据库及互联网访问行为三个空间范畴的审计方法。
提供从用户、应用、时间、行为等多维角度的审计记录。
便于企业/机构准确分析企业信息系统的使用情况、员工的工作情况以及企业信息生产系统中存在的风险因素。
图-1某信息系统审计体系结构
3某信息安全审计方案介绍
某信息系统审计方案从信息系统安全的角度出发,从内部主机泄密、业务系统数据库保护以及企业员工互联网行为等角度出发,对信息系统内部涉及泄密途径的内部操作、对涉及业务信息系统数据库的非法操作、对内部信息系统的恶意破坏以及内部员工违反规定的互联网访问等行为进行详细审计。
同时提供审计备份记录的存储,便于在出现风险事故的时候进行查询。
图-2某信息系统审计方案
3.1主机审计
3.1.1企业内部主机操作的风险问题
企业/机构内部的计算机主机是构成企业/计算机信息系统的基本单元,所有针对计算机信息系统的操作几乎都由企业/机构内部的计算机主机发起的。
因此,大部分企业/机构内部的计算机信息系统危害事件(信息泄密、越权修改/删除文件、违规打印等)都源自企业内部主机的违法违规行为。
由于对主机行为缺乏记录和管理,造成企业发生计算机信息系统危害事件之后无据可查,无证可考,不利于针对企业/机构计算机信息系统进行长期的信息系统风险分析和控制,从而导致相同的主机违法违规事件一再发生。
3.1.2某主机审计系统解决方案
某主机监控审计系统通过Web方式对整个系统进行应用策略配置,管理网络和查询审计数据,方便用户操作,有效防范不安全因素对内部终端构成的威胁,真正做到内部终端的安全管理,防止信息泄密,满足客户对内部终端管理的功能需求。
3.1.2.1网络访问行为审计和控制
以黑白名单的方式对用户的网络访问行为进行控制,并对用户访问的网络等进行审计和记录。
3.1.2.2文件保护及审计
提供对终端的OS系统、软件和共享等目录中的文件的保护功能,设定访问、删除、修改权限;支持对设定目录文件的操作审计,包括文件创建、打印、读写、复制、改名、删除、移动等的记录,同时将信息上报管理信息库供查询。
3.1.2.3网络文件输出审计
对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录。
3.1.2.4打印审计
根据策略对主机打印行为进行监控审计,防止非授权的信息被打印,同时根据要求还可以备份打印内容。
3.1.2.5敏感信息检查
根据用户自主设定的敏感信息查询条件,设定对指定目录或盘符下的指定类型文件进行内容检查,检查其是否包含敏感内容,系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。
3.1.2.6用户权限审计
能够审计用户权限更改,及操作系统内用户增加和删除操作。
3.1.2.7独立的权限分配体系
提供系统管理员、系统审核员(安全员)、系统审计员和一般操作员权限分配,使之分别进行不同的管理操作。
3.1.2.8系统日志审计
支持不同权限管理员在Web控制台对终端用户的日志(系统日志、应用日志、安全日志等)进行远程读取查看。
3.2网络行为审计
某上网行为管理系统VRVBehaviorManagementGateway(简称VRVBMG)是某公司基于“VRVSpecSEC面向网络空间的终端安全管理体系”架构下隆重推出的一款基于终端用户网络行为审计和管理的硬件网关,是某公司“VRVSpecSEC面向网络空间的终端安全管理体系”的重要组成部分。
可以针对终端行为实现“行为前、行为中、行为后”三位一体的管理解决方案,为企业/机构的信息安全及互联网安全提供高质量的保障,既可以即时审计企业/机构内部员工的互联网行为,同时还可以有效的管理企业/机构的网络带宽分配和员工的工作效率。
3.2.1企业互联网管理面临的问题
从互联网与信息安全以及对“人”的行为管理角度来看,作为一个信息管理员或网络管理员,必然会面临以下问题:
●如何避免脆弱的终端接入到不安全的互联网?
●如何对接入互联网/外联网的终端进行有效的授权与控制?
●如何避免企业的重要信息泄露给竞争对手?
●如何规避由于内部过激或者敏感言论所带来的法律风险问题?
●怎样控制终端的网页访问权限?
●如何有效的记录并保存所有终端的应用行为?
●网络带宽怎样进行合理的分配?
●怎样有效的管理员工的上网行为,提高工作效率?
●……
网络管理方向
3.2.2网络行为审计解决方案
某上网行为管理系统针对内部用户的所有外网访问行为进行审计,包括应用访问审计、网站访问审计、邮件审计、即时聊天审计、发帖审计、FTP行为审计、Telnet行为审计、MMS审计以及RTSP审计等。
某上网行为管理系统VRVBMG采用领先的知识发现KDT(KnowledgeDiscoveryTechnology)技术(该技术是数据挖掘与DSI深度业务识别检测两种技术的结晶,它可以根据不同的业务类型进行有针对性的内容还原解码),审计内容备份的时间超过60天,完全符合《公安部82号令》中“互联网提供者和联网使用单位依照本规定落实的技术留存措施,应当具有至少保存六十天记录备份的功能”的要求。
3.2.2.1网页访问审计
详细记录每条URL访问记录产生的时间、终端主机、URL链接、URL所属网站分类以及命中的访问控制策略,并且提供可查询的接口。
。
3.2.2.2邮件审计
详细记录邮件的发送和接收帐号、邮件发送时间、涉及的主机、邮件的内容及附件,并且提供可查询的接口,同时支持对邮件内容的还原。
3.2.2.3即时聊天审计
详细记录使用的聊天工具类型、发送和接收的帐号、聊天记录产生的时间、涉及的终端主机以及消息内容等,并且提供可查询的接口。
3.2.2.4网络发帖审计
详细记录发帖记录产生的时间、涉及的终端主机、发帖记录产生的网站以及发帖标题等,并且提供可查询的接口。
3.2.2.5FTP审计
详细记录FTP行为产生的时间、涉及的终端主机、涉及的端口、访问的FTP服务器、执行的命令以及涉及的参数,可以详细审计具体涉及到的文件等,并且提供可查询的接口。
3.2.2.6Telnet审计
详细记录Telnet行为产生的时间、涉及的终端主机、涉及的端口、访问的服务器以及执行的命令,并且提供可查询的接口。
3.2.2.7MMS访问审计
详细记录MMS行为产生的时间、涉及的终端主机、涉及的端口、访问的服务器、执行的命令以及详细的文件名,并且提供可查询的接口。
3.2.2.8RTSP访问审计
详细记录RTSP行为产生的时间、涉及的终端主机、涉及的端口、访问的服务器、执行的命令以及详细的文件名,并且提供可查询的接口。
3.2.2.9其它功能
在对信息系统内部员工上网行为进行审计的基础上,某上网行为管理系统依据审计结果可以提供一定的风险控制手段,例如准入控制、访问控制、内容过滤以及应用控制等。
通过对网络访问行为设置准入门槛,可以有效的降低企业内部出现的网络风险事件。
3.2.2.9.1网络接入控制
某上网行为管理系统VRVBMG可以针对多种形式接入的终端用户实现对互联网或者外联网的接入控制,通过和某终端安全管理软件进行配合,为企业或者组织提供全面的接入控制方案,减少企业或组织内部的信息安全风险,该方案主要实现以下功能:
●对未安装某安全认证客户端软件的终端阻止接入互/外联网并重定向至客户端下载页面。
●对已安装某安全认证客户端软件但未通过认证的终端阻止接入互/外联网
●对已安装某安全认证客户端软件并通过认证的终端允许接入互/外联网并监测终端状态
●对接入终端的网络行为进行多角度和多维度的监控并管理
●对未安装指定系统补丁、未启用防火墙的终端禁止接入接入互/外联网
从应用系统的角度,该准入控制方案可以很好的应用在内部终端对互联网、内部业务系统以及内部服务系统等多种场合,可有效的控制终端的接入范围。
从网络结构的角度,该准入控制方案可以应用在内部局域网、企业/组织机构专网甚至VPN远程接入等多种网络体系,只需要将某上网行为管理系统VRVBMG串行部署在被管应用系统的前端,就可以有效的解决终端用户的接入管理问题,避免企业资源被非授权用户访问,从而起到保护企业重要信息资源的作用。
3.2.2.9.2网络访问控制
某上网行为管理系统VRVBMG提供的网络访问控制解决方案主要应用在终端对互联网访问行为的管理。
主要解决以下问题:
●对访问互联网的用户进行二次授权认证
在企业/机构内部,怎样保证终端的互联网行为是终端使用者本
升级会员 