网络安全审计案例与解决方案.docx

网络安全审计案例与解决方案.docx

《网络安全审计案例与解决方案.docx》由会员分享，可在线阅读，更多相关《网络安全审计案例与解决方案.docx（42页珍藏版）》请在冰豆网上搜索。

网络安全审计案例与解决方案

网络安全审计案例与解决方案

网络平安审计系统运用于企业，可以规范员工上网行为、提高任务效率、防止企业秘密资料外泄，为企业的网络提供保证，使企业的网络资源发扬应有的经济效益。

从企业管理的角度，以可视化的方式描画、剖析企业网络信息系统的实践运用状况，提高企业信息系统的任务效率，增强企业外部管理，降低企业的运营本钱，协助管理者发现潜在的要挟，增加人为要素和管理缺失形成的关键业务停顿形成的损失。

协助您对IT平安事情停止有效监控、协调并迅速做出照应，快速完成ROI

需求背景1：

某部委是我国拟定方针政策、开展战略和中临时规划，组织起草有关法律法规并监视实施的国度部委。

某部的网络是一个跨地域、跨部门的综合性网络系统，下辖多个数据中心，比如水土坚持监测中心等，该网络由国度信息中心同全国省级、副省级、地市级和县级四级政府部门信息中心构成的完全体系构成。

政务外网与政务内网物理隔离，与互联网逻辑隔离。

国度电子政务外网平安管理平台用于管理国度电子政务外网中央城域网、广域网主干网的主要网络设备、平安设备和网络承载的业务系统的平安事情。

某部委信息中心希望经过部署审计系统，旨在提高对各类平安事情的防范，规范信息发布，保证外部重要关键主机的业务正常运转。

详细而言主要包括几局部外容：

第一，对各省及地市的接入数据库的人员能准确定位，并且可以控制，只要授权容许的人员才干观察其访问授权范围内的内容。

第二，对具有访问授权的人员所停止的网络行为操作做记载。

第三，可以对办公自动化OA系统的操作停止审计，较为关注办公自动化中收发邮件、网络共享等基本网络操作行为的审计。

处置方案：

某部委网络由一个中心网络机房构成，全国省级、副省级、地市级和县级四级政府部门信息中心与该机房的中心交流相连。

网络平安树立较为完善，主要设备有防火墙、IDS、洞扫描、网关防病毒等网络平安产品。

该方案在原有网络平安设备基础上，在中心交流机处部了署审计产品，状况如以下图所示：

案例点评：

理想上，整个方案将审计产品作为全体平安的关键设备，审计产品部署在交流机出口处作为监控预警的环节，对内外部的各关键节点停止维护，同时，经过审计系统，完成了与综合管理平台SOC的有效结合与一致管理。

该方案为信息中心网络构建了一道提供了从微观到微观的多层次，平面化的网络平安维护体系。

信息中心主任照实说，〝审计产品在我们的整个网络中发扬了比拟重要的作用，协助我们在日常运维的任务中构成了一个有效的监管机制，准确定位相关人员对我们系统的数据库、效劳器等系统维护的网络行为，因此，我们对天玥网络平安审计系统表示满意。

〞

需求背景2：

某市广播电影电视局是国度的重要行政单位，是我国研讨并拟定广播电视宣传和

影视创作的方针政策，掌握言论导向的政府机构。

随着我国广播电影电视的蓬勃开展，某市广播电影电视局担负着越来越繁重的管理任务，尤其是在信息化时代到来的明天，某市广播电影电视局必需应对新情势下的管理和言论导向。

该局为增强对外部管理和树立，对内外网着手部署了审计系统，主要到达以下目的：

第一，随着总局IT系统的增多，用户的操作权限无法失掉有效的控制和管理，假设外部网络维护人员针对中心效劳器停止telnet、x11、Rlogin的操作时，没有有效的监控机制必将带来很大隐患。

第二，该局后台系统中有少量的业务运用系统，包括但不限于：

业务审批系统、电子报文系统、流媒体制造播放管理系统、Web效劳系统、流媒体后台管理系统、运营业务管理系统、宽带互动访谈系统、硬件系统等，承载这些系统的每一个关键效劳器，都是需求做平安保证和防护的，最为重要的是，必需可以做到角色和用户完成一对一的对应关系，保证登录用户身份的真实性。

处置方案：

某市广播电影电视局包括这样一些详细的运用系统：

比如，流媒体制造播放系统、Web效劳系统、流媒体后台管理系统、运营业务管理系统、宽带互动访谈系统、硬件系统等。

为了确保其内网/外网的网络平安，提供片面的网络平安树立方案，我们针对网络的特殊性，提出了全局平安网络〔GSN〕处置方案，经过联动全网的网络设备、网络终端及IDS、审计系统等，完成片面的平安防护，详细部署状况的表示图，如下：

案例点评：

该局采用的网络设备多为国际自主研发的设备，因此，审计产品也不例外，必需坚持采用国产设备，一方面可以提高厂家效劳照应速度，另一方面，国产设备更为平安和牢靠，完全可以顺应新情势下的管理要求。

随着信息化树立的深化开展，政府机构外部，政府机构之间，政府部门与群众之间，政府部门与企业之间的沟通越来越严密，因此，对信息系统的合规性管理就显得尤为重要，不只可以提升政府外部平安性，同时，更提升我政府机构的笼统，所以，在经过搭建动摇牢靠的审计平台，完成以数字化管理的目的，为政府部门办事效率的提高赢来更多赞许。

需求背景3：

某市财政局是拟定并贯彻实施全区财政税收的开展战略、中临时规划;担任全市政支出的组织和预决算任务;布置行政事业单位经费预算和拨付;组织筹措高新区树立资金;担任区属行政、企事业单位的国有资产管理;担任国有树立投资财务决算及审批任务;担任政府推销任务;担任社会保险资金的统筹、监管等任务。

众所周知，电子政务是近年来国度政府单位的重点树立项目，完成政府办公的便利性及信息的有效互动是政府任务革新的重要目的,为完成这一目的某市财政局加快了革新步伐，此次财政局国库支付中心系统树立项目是某市财政局的第一个试点项目，此中心建成后会将税务、银行、省厅及所辖的各县数据库停止互连和共享，以增加国库支付的时间和流程，提高财政任务的效率。

国库集中支付是一种崭新的预算执行制度，是经过国库单一帐户体系的设置及与中央银行停止实时清算的方法一致管理财政资金的各类支进项目，实行该制度，进一步增强对〝人、财、物〞管理体制的革新力度，经过树立和健全制度，强化财务管理，发扬国库集中支付的监视制约作用，这不只是加大治标力度，也是治标良策，是深化财政制度革新与推进廉政树立的又一无机结合点，将进一步从源头上预防和处置糜烂效果。

因此，某市财政局充沛看法到该项目任务的重要性，立足于当下信息平安的开展趋向，坚决地部署审计系统，保证系统中心效劳器系统的动摇性和数据的平安牢靠性。

处置方案：

由于触及到国度财政方面的任务，建成的国库支付中心系统需求对发生的海量数据停止处置和维护，同时对历史数据停止记载和积聚，因此本项目最首要的效果就是必需保证系统中心效劳器系统的动摇性和数据的平安牢靠性。

除了数据的平安牢靠性，另外前期信息平安方案支持以及系统树立完工后的售后维护任务能否可以提供可继续的效劳也被财政局列入调查重点和考评的依据。

作为国度政府推销项目，如何保证国度的每一份投入都能最大的发扬作用，如何树立一个高性价比的审计系统是财政局思索的重要要素，详细部署状况如以下图所示：

平安审计是几年前出现的概念，它的开展十分迅速，3年前还很少有人说起平安审计，如今却是产品满天飞。

不过据我看来，关于平安审计这个概念，众多客户和厂商的了解都不同。

那么究竟什么是平安审计呢？

一、网络平安审计的基本概念

首先，我们要把范围界定一下，我们的平安审计是指在一个网络环境下以维护网络平安为目的的审计，因此叫网络平安审计。

深刻地说，网络平安审计就是在一个特定的企事业单位的网络环境下，为了保证网络和数据不受来自外网和内网用户的入侵和破坏，而运用各种技术手腕实时搜集和监控网络环境中每一个组成局部的系统形状、平安事情，以便集中报警、剖析、处置的一种技术手腕。

这里特地提一下其他行业的案例审计概念，如金融和财务中的平安审计，目的是反省资金不被乱用、挪用，或许反省有没有偷税事情的发作；路途平安审计是为了保证路途平安而停止的路途、桥梁的平安反省；民航平安审计是为了保证飞机飞行平安而对飞机、空中设备、法规执行等停止的平安和应急措施反省等等。

特别的，金融和财务审计也有网络平安审计的说法，仅仅是指应用网络停止远程财务审计，和网络平安没有关系。

二、实施平安审计的价值表达

一个典型的网络环境有网络设备、效劳器、用户电脑、数据库、运用系统和网络平安设备等组成局部，我们把这些组成局部称为审计对象。

要对该网络停止网络平安审计就必需对这些审计对象的平安性都采取相应的技术和措施停止审计，关于不同的审计对象有不同的审计重点，下面逐一引见：

对网络设备的平安审计：

我们需求从中搜集日志，以便对网络流量和运转形状停止实时监控和预先查询。

对效劳器的平安审计：

为了平安目的，审计效劳器的平安破绽，监控对效劳器的任何合法和合法操作，以便发现效果后查找缘由。

对用户电脑的平安审计：

〔1〕为了平安目的，审计用户电脑的平安破绽和入侵事情〔2〕为了防泄密和信息平安目的，监控上网行为和内容，以及向外拷贝文件行为〔3〕为了提高任务效率目的，监控用户非任务行为。

对数据库的平安审计：

对合法和合法访问停止审计，以便预先反省。

对运用系统的平安审计：

运用系统的范围较广，可以是业务系统，也可以是各类型的效劳软件。

这些软件基本都会构成运转日志，我们对日志停止搜集，就可以知道各种合法和合法访问。

对网络平安设备的平安审计：

网络平安设备包括防火墙、网闸、IDS/IPS、灾难备份、VPN、加密设备、网络平安审计系统等等，这些产品都会构成运转日志，我们对日志停止搜集，就能一致剖析网络的平安状况。

三、平安审计的技术分类

目前的平安审计处置方案有以下几类：

日志审计：

目的是搜集日志，经过SNMP、SYSLOG、OPSEC或许其他的日志接口从各种网络设备、效劳器、用户电脑、数据库、运用系统和网络平安设备中搜集日志，停止一致管理、剖析和报警。

主机审计：

经过在效劳器、用户电脑或其他审计对象中装置客户端的方式来停止审计，可到达审计平安破绽、审计合法和合法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非任务行为等目的。

依据该定义，理想上主机审计曾经包括了主机日志审计、主机破绽扫描产品、主机防火墙和主机IDS/IPS的平安审计功用、主机上网和上机行为监控等类型的产品。

网络审计：

经过旁路和串接的方式完成对网络数据包的捕捉，而且停止协议剖析和恢复，可到达审计效劳器、用户电脑、数据库、运用系统的审计平安破绽、合法和合法或入侵操作、监控上网行为和内容、监控用户非任务行为等目的。

依据该定义，理想上网络审计曾经包括了网络破绽扫描产品、防火墙和IDS/IPS中的平安审计功用、互联网行为监控等类型的产品。

针对典型网络环境下的各个审计对象的平安审计需求，结合以上的平安审计处置方案，我们可以得出以下审计对象和处置方案表。

                                         表一　审计对象和处置方案表

我们可以看到这三种审计方案之间的关系：

日志审计的目的是日志搜集和剖析，它要以其他审计对象生成的日志为基础。

而主机审计和网络审计这两种处置方案就是生成日志的最重要的技术方法。

主机审计和网络审计的方案各有优缺陷，停止比拟后得出下表：

                                         表二　主机审计和网络审计方案对比表

注：

－表示不用比拟。

   从上可知，主机审计在效劳器和用户电脑上装置了客户端，因此在平安破绽审计、以及效劳器和用户电脑

∙|

∙收藏本站

∙|

∙上一篇文章：

脚本攻击防范战略完全篇 （3）

∙下一篇文章：

浅析网络平安审计原理和技术 

（2）

引荐导读

 新开课程------------黑客揭秘班

 远程放假公告

 取消：

湖南分代理戴威尔网络与信息平安

 戴威尔声明

 北京3月20号新开实地网络平安工程师班

 新开课程------------

 2020五一放假通知

 新开课程———swing面向对象顺序设计课

 新开课程---------网络平安基础班

 戴威尔远程放假公告

 新开课程———运用Sql Server管理和查

 元月5号新开 网赚班

最新文章

 新开课程------------黑客揭秘班

 远程放假公告

 新开课程------------C言语经典入门班

 取消：

湖南分代理戴威尔网络与信息平安

 戴威尔声明

 北京3月20号新开实地网络平安工程师班

 总结三种不同的防Ping平安战略方法

 怎样审查遭受入侵系统的日志

 效劳器被入侵后的紧急弥补方法

 系统与网络平安

 应用google给新手找锻炼提权的时机

 55种木马的手工肃清方法

∙最新旧事

∙基础入门

∙黑客技术

∙平安旧事

∙业界事情

∙本站公告

∙政策法规

∙黑客现象

∙基础知识

∙工具引见

∙木马乐园

∙QQ小技巧

∙收费资源

∙阅历心得

∙加密解密

∙病毒知识

∙Exploit

∙脚本游戏

∙后门技术

∙脚本攻击

∙代码编写

∙攻防实战

∙网络管理

∙顺序开发

∙网页编程

∙运用平安

∙网络架设

∙入侵检测

∙疑问技巧

∙数据恢复

∙无盘网络

∙C和汇编

∙vc和vb

∙delphi

∙其它类别

∙IT考试

∙ASP编程

∙CGI编程

∙PHP编程

∙jsp编程

∙数据库类

∙其它类别

的上机行为和防泄密功用上比网络审计强，网络审计是在网络上停止监控，无法管理到效劳器和用户电脑的本机行为。

主机审计的客户端，是它具有这些技术优势的缘由，也恰恰是对它在实践运用上不利的一点，用户对装置客户端的接受水平不高，就像在用户上方装置一个摄像头一样，谁都不喜欢被监控的觉得。

而网络审计是装置在网络出口，装置时可以事前通知用户，也可以让用户毫无知觉，相关于主机审计，用户对远远在外的监控系统的接受水平比装置在自己电脑上的客户端要高得多。

用户的接受水平不同使得主机审计和网络审计在运用行业范围也有一切区别。

主机审计目前集中在政府和军队中，其他行业运用较少；而网络审计的运用范围却是普遍，只需能上网的单位都可以运用。

四、平安审计的体系

依据以上审计对象和审计技术的剖析，我们可以归结出一个企事业单位内的网络平安审计体系。

该体系分为以下几个组件：

1、日志搜集代理，用于一切网络设备的日志搜集。

2、主机审计客户端，装置在效劳器和用户电脑上，停止平安破绽检测和搜集、本机上机行为和防泄密行为监控、入侵检测等。

关于主机的日志搜集、数据库和运用系统的平安审计也经过该客户端完成。

3、主机审计效劳器端，装置在任一台电脑上，搜集主机审计客户端上传的一切信息，并且把日志集中到网络平安审计中心中。

4、网络审计客户端，装置在单位内的物理子网出口或许分支机构的出口，搜集该物理子网内的上网行为和内容，并且把这些日志上传到网络审计效劳器。

关于主数据库和运用系统的平安审计也可以经过该网络审计客户端完成。

5、网络审计效劳器，装置在单位总部内，接纳网络审计客户端的上网行为和内容，并且把日志集中到网络平安审计中心中。

假设是小型网络，那么网络审计客户端和效劳器可以分解一个。

6、网络平安审计中心，装置在单位总部内，接纳网络审计效劳器、主机审计效劳器端和日志搜集代理传输过去的日志信息，停止集中管理、报警、剖析。

并且可以对各系统停止配置和战略制定，方便一致管理。

这样，几个组件构成一个完整的审计体系，可以满足一切审计对象的平安审计需求。

就目前而言，完成的产品类型有：

日志审计系统、数据库审计系统、桌面管理系统、网络审计系统、破绽扫描系统、入侵检测和防护系统等等，这些产品都完成了网络平安审计的一局部功用，只要完成片面的网络平安审计体系，平安审计才是完整的。

五、网络平安审计技术的开展趋向

1、体系化。

下面说过，目前的产品完成未能涵盖网络平安审计体系。

今后的产品应该向这个方向开展，给客户以一致的平安审计处置方案。

2、控制化。

审计不应当只是记载，而且还要有控制的功用，理想上目前许多产品都曾经有了控制的功用，如网络审计的上网行为控制、主机审计的泄密行为控制、数据库审计中对某些SQL语句的控制等等。

3、智能化。

一个大型网络中每天发生的审计数据以百万计，假设从浩如烟海的日志中给网络管理员、人力资源经理、老板、下级主管部门和每一个关心该审计结果的用户出现出最想要、最关键的信息，这是今后的开展趋向。

其中包括了数据开掘、智能报表等技术。

网络平安审计作为一个新兴的概念和开展方向，曾经表现出弱小的生命力，围绕着该概念发生了许多新产品和处置方案，如桌面平安、员工上网行为监控、内容过滤等，谁能在这些产品中独领风骚，谁就能跟上这一轮网络平安的开展潮流

∙|

∙收藏本站

∙|

首先，依据表象初步判别

　　医生判别一个病人能否感冒了，可以从能否流鼻涕、能否鼻塞、能否附带咳嗽等表象停止判别，而要想判别系统能否感染了流氓软件，也可以从表象来判别。

当系统感染了流氓软件后普通有以下几种可疑迹象可以经过觉得来判别：

　　①系统运转速度越来越慢

　　装置了病毒防火墙，系统中最近也并没装置什么软件，但是系统的运转速度一天比一天慢，而杀毒软件也没有停止病毒正告，这种状况下，十之八九中了流氓软件的招。

　　②局部软件，特别是阅读器设置被强行修正

　　由于流氓软件外表上是为用户提供了一些有用的功用，但实质上，它们是为了到达宣传自己的网站、自己的产品等目的。

因此，流氓软件一旦成功入侵电脑，它们便会在一些软件上提供相应的插件工具栏，以阅读器类软件居多，在阅读器家族中又以IE最受流氓软件欢迎。

当发现日常运用的软件的工具栏被添加了一些项目或是像阅读器的设置被修正了，也足可以说明系统中能够感染了流氓软件。

　　③自动弹出广告窗口

　　在正常运用电脑进程中，时而不时地自动弹出一些广告窗口，封锁后隔一断时间又会出现，做广告本是流氓软件的一个目的，因此，当你频繁地看到自动弹出的广告时，系统也有能够感染了流氓软件。

　　④自动翻开网站

　　与自动弹出广告相似，有些流氓软件更猖狂，会自动启动阅读器并翻开一些网站，假设你遇到了这种状况也说明系统有招流氓软件的迹象了。

　　其次，应用工具检测

　　依据表象判别只是精略地推断能否感染流氓软件，就像医生给病毒看病一样，先是经过讯问等方式来大致地判别病情，最后还会运用相关的医疗机器停止确诊。

判别系统能否招流氓软件也应该经过工具来〝确诊〞。

　　①运用系统的义务管理器

　　当系统感染了流氓软件后，只需流氓软件正在运转的话，普通都是可以经过系统的义务管理器来寻觅其踪影：

　　按下〝Ctrl+Shift+Esc〞翻开义务管理器窗口，再单击〝进程〞选项卡，在进程列表中将会看到流氓软件的踪影了。

不过，这种方法只适宜那些对电脑系统比拟熟习并对流氓软件对应的进程有所了解的冤家们采用。

　　②运用公用检测工具

　　运用义务管理器这个系统自带的工具来检测流氓软件对用户的要求相对高些，为此，可运用专业的流氓软件检测工具来检测，这样既直观，操作也会方便很多。

　　经过以上方法系统的区分与监测，能保证系统的安康水平，当然今后的平安防范也不能抓紧。

需求背景1：

       某部委是我国拟定方针政策、开展战略和中临时规划，组织起草有关法律法规并监视实施的国度部委。

某部的网络是一个跨地域、跨部门的综合性网络系统，下辖多个数据中心，比如水土坚持监测中心等，该网络由国度信息中心同全国省级、副省级、地市级和县级四级政府部门信息中心构成的完全体系构成。

政务外网与政务内网物理隔离，与互联网逻辑隔离。

国度电子政务外网平安管理平台用于管理国度电子政务外网中央城域网、广域网主干网的主要网络设备、平安设备和网络承载的业务系统的平安事情。

       某部委信息中心希望经过部署审计系统，旨在提高对各类平安事情的防范，规范信息发布，保证外部重要关键主机的业务正常运转。

详细而言主要包括几局部外容：

       第一，对各省及地市的接入数据库的人员能准确定位，并且可以控制，只要授权容许的人员才干观察其访问授权范围内的内容。

       第二，对具有访问授权的人员所停止的网络行为操作做记载。

       第三，可以对办公自动化OA系统的操作停止审计，较为关注办公自动化中收发邮件、网络共享等基本网络操作行为的审计。

       处置方案：

       某部委网络由一个中心网络机房构成，全国省级、副省级、地市级和县级四级政府部门信息中心与该机房的中心交流相连。

网络平安树立较为完善，主要设备有防火墙、IDS、洞扫描、网关防病毒等网络平安产品。

该方案在原有网络平安设备基础上，在中心交流机处部了署审计产品，状况如以下图所示：

       案例点评：

       理想上，整个方案将审计产品作为全体平安的关键设备，审计产品部署在交流机出口处作为监控预警的环节，对内外部的各关键节点停止维护，同时，经过审计系统，完成了与综合管理平台SOC的有效结合与一致管理。

       该方案为信息中心网络构建了一道提供了从微观到微观的多层次，平面化的网络平安维护体系。

信息中心主任照实说，〝审计产品在我们的整个网络中发扬了比拟重要的作用，协助我们在日常运维的任务中构成了一个有效的监管机制，准确定位相关人员对我们系统的数据库、效劳器等系统维护的网络行为，因此，我们对天玥网络平安审计系统表示满意。

〞

需求背景2：

     某市广播电影电视局是国度的重要行政单位，是我国研讨并拟定广播电视宣传和

影视创作的方针政策，掌握言论导向的政府机构。

随着我国广播电影电视的蓬勃开展，某市广播电影电视局担负着越来越繁重的管理任务，尤其是在信息化时代到来的明天，某市广播电影电视局必需应对新情势下的管理和言论导向。

     该局为增强对外部管理和树立，对内外网着手部署了审计系统，主要到达以下目的：

     第一，随着总局IT系统的增多，用户的操作权限无法失掉有效的控制和管理，假设外部网络维护人员针对中心效劳器停止telnet、x11、Rlogin的操作时，没有有效的监控机制必将带来很大隐患。

     第二，该局后台系统中有少量的业务运用系统，包括但不限于：

业务审批系统、电子报文系统、流媒体制造播放管理系统、Web效劳系统、流媒体后台管理系统、运营业务管理系统、宽带互动访谈系统、硬件系统等，承载这些系统的每一个关键效劳器，都是需求做平安保证和防护的，最为重要的是，必需可以做到角色和用户完成一对一的对应关系，保证登录用户身份的真实性。

处置方案：

     某市广播电影电视局包括这样一些详细的运用系统：

比如，流媒体制造播放系统、Web效劳系统、流媒体后台管理系统、运营业务管理系统、宽带互动访谈系统、硬件系统等。

为了确保其内网/外网的网络平安，提供片面的网络平安树立方案，我们针对网络的特殊性，提出了全局平安网络〔GSN〕处置方案，经过联动全网的网络设备、网络终端及IDS、审计系统等，完成片面的平安防护，详细部署状况的表示图，如下：

案例点评：

     该局采用的网络设备多为国际自主研发的设备，因此，审计产品也不例外，必需坚持采用国产设备，一方面可以提高厂家效劳照应速度，另一方面，国产设备更为平安和牢靠，完全可以顺应新情势下的管理要求。

     随着信息化树立的深化开展，政府机构外部，政府机构之间，政