《XX单位安全审计平台建设建议方案.pdf》由会员分享,可在线阅读,更多相关《XX单位安全审计平台建设建议方案.pdf(24页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、按需构建协同部署XX单位安全审计平台建设建议方案网御神州科技(北京)有限公司2009年 2 月 24 日XX 单位安全审计平台建设建议方案第 1 页?2013 网御神州密级:商业机密文档信息文档名称XX 单位安全审计平台建设建议方案文档管理编号保密级别商业机密文档版本号V1.0 制作人王铁成制作日期2009-02-24 复审人孙立波复审日期扩散范围XX 单位、网御神州项目组扩散批准人王铁成文档说明本文档是网御神州科技(北京)有限公司(以下简称为网御神州)为 XX 单位(以下简称为 XX 单位)提交的安全审计平台建设建议方案,供XX 单位安全管理相关人员阅读。文中的资料、说明等相关内容归网御神州
2、所有。本文中的任何部分未经网御神州许可,不得转印、影印或复印。版本变更记录时间版本说明修改人2009-02-24 1.0 文档创建王铁成XX 单位安全审计平台建设建议方案第 2 页?2013 网御神州密级:商业机密目录一.项目概述 .3二.方案设计依据与原则 .42.1方案设计依据.42.2方案设计原则.4三.需求分析 .63.1日志审计需求分析.63.2业务审计需求分析.6四.方案设计 .74.1日志审计解决方案.84.1.1网御神州日志审计系统介绍.84.1.2网御神州日志审计系统产品特点.84.2业务审计解决方案.144.2.1网御神州业务审计系统产品介绍.144.2.2网御神州业务审计
3、系统产品特点.15五.方案产品列表 .22六.方案结论 .23XX 单位安全审计平台建设建议方案第 3 页?2013 网御神州密级:商业机密一.项目概述XX 单位非常重视信息化建设,各类相关业务都在朝着无纸化、网络化、智能化应用的方向发展。依托网络、借助信息化建设成果开展工作,已经成为XX 单位提高办公效率、服务内部客户的重要手段。伴随 XX 单位信息化建设正不断向基层延伸,安全问题的复杂性日益加大,如内部业务数据、重要敏感文件通过数据库访问、远程终端访问(TELNET、FTP 等)、网络文件共享(NETBIOS)等方式被篡改、泄露和窃取等,而这些威胁绝大部分与内部各种网络访问行为有关。目前的
4、情况是,XX 单位早期采取的相关安全措施已经无法应对新一代的信息安全问题,无法有效保障各类业务的正常应用。另外在公安部颁布的信息系统等级保护的基本技术要求中,从第二级开始,针对网络安全、主机安全、应用安全都有明确的安全审计控制点。在信息系统等级保护的管理要求中,“安全事件处置”控制点从第二级开始要求对日志和告警事件进行存储;从第三级开始提出了“监控管理与安全管理中心”的控制点要求。如何对业务系统访问和网络行为进行有效的审计、监控,已经成为XX 单位重点关注的问题。XX 单位安全审计平台建设建议方案第 4 页?2013 网御神州密级:商业机密二.方案设计依据与原则2.1 方案设计依据在进行 XX
5、 单位安全审计平台建设方案设计、规划时,本方案依照公安部颁布的信息系统安全等级保护基本要求对各级安全要求中安全审计控制点的要求从安全日志审计、业务审计两个方面对XX 单位安全审计平台的建设进行规划和设计,并在本方案附录 A 中对各级安全要求中的安全审计控制点要求进行了归纳整理。2.2 方案设计原则在进行 XX 单位安全审计平台建设方案设计、规划时,本方案遵循以下原则:完整性原则信息安全建设必需保证整个防御体系的完整性。一个较好的安全措施往往是多种方法适当综合的应用结果。单一的安全产品对安全问题的发现处理控制等能力各有优劣,从安全性的角度考虑需要不同安全产品之间的安全互补,通过这种对照、比较,可
6、以提高系统对安全事件响应的准确性和全面性。经济性原则根据保护对象的价值、威胁以及存在的风险,制定保护策略,使得系统的安全和投资达到均衡,避免低价值对象采用高成本的保护,反之亦然。动态性原则随着网络脆弱性的改变和威胁攻击技术的发展,使网络安全变成了一个动态的过程,静止不变的产品根本无法适应网络安全的需要。所选用的安全产品必须及时地、不断地改进和完善,及时进行技术和设备的升级换代,只有这样才能保证系统的安全性。专业性原则攻击技术和防御技术是网络安全的一对矛盾体,两种技术从不同角度不断地对系XX 单位安全审计平台建设建议方案第 5 页?2013 网御神州密级:商业机密统的安全提出了挑战,只有掌握了这
7、两种技术才能对系统的安全有全面的认识,才能提供有效的安全技术、产品、服务,这就需要从事安全的公司拥有大量专业技术人才,并能长期的进行技术研究、积累,从而全面、系统、深入的为用户提供服务。可管理性原则由于国内的一些企事业单位独有的管理特色,安全系统在部署的时候也要适合这种管理体系,如分布、集中、分级的管理方式在一个系统中同时要求满足。标准性原则遵守国家标准、行业标准以及国际相关的安全标准,是构建系统安全的保障和基础。可控性原则系统安全的任何一个环节都应有很好的可控性,他可以有效的保证系统安全在可以控制的范围,而这一点也是安全的核心。这就要求对安全产品本身的安全性和产品的可客户化。易用性原则安全措
8、施要由人来完成,如果措施过于复杂,对人的要求过高,一般人员难以胜任,有可能降低系统的安全性。XX 单位安全审计平台建设建议方案第 6 页?2013 网御神州密级:商业机密三.需求分析3.1 日志审计需求分析XX 单位在 IT 信息安全领域面临比以往更为复杂的局面。一方面,网络中的各种网络设备、安全设备、主机、应用和业务系统在工作中都产生了大量的安全日志,却没有统一的进行管理,使得各个系统之间缺乏协同,整体安全无法得到保障。另一方面如何满足信息系统安全等级保护基本要求中对日志审计的各项要求,、以及持续增强的业务持续性需求,也对当前XX 单位日志审计提出了严峻的挑战。综上所述,XX 单位迫切迫切需
9、要一个全面的、面向IT 计算环境的、集中的安全审计平台及其系统,这个系统能够收集来自XX 单位计算环境中各种设备和应用的安全日志,并进行存储、监控、分析、报警、响应和报告。3.2 业务审计需求分析随着信息和网络技术的普及,XX 单位的核心业务信息系统不断的网络化,随之而来的就是面临的信息安全风险日益增加。而这些安全风险中,来自内部的违规操作和信息泄漏最为突出。由于 XX 单位的核心业务系统(例如数据库系统、核心业务主机系统)都实现了网络化访问,内部用户可以方便地利用内部网络通过各种通讯协议进行刺探,获取、删除或者篡改重要的数据和信息。同时,一些内部授权用户由于对系统不熟悉而导致的误操作也时常给
10、业务系统造成难以恢复的损失。为了加强国家信息安全管理,公安部颁布了 信息系统安全等级保护基本要求,并从第二级开始就提出了对业务应用系统重要安全事件进行审计的要求。综上所述,XX 单位迫切需要专门针对网络业务系统进行行为审计。XX 单位安全审计平台建设建议方案第 7 页?2013 网御神州密级:商业机密四.方案设计根据 XX 单位网络安全现状,依据上面所做的风险风险和需求分析,结合网御神州在安全行业的成功经验,本方案推荐使用网御神州“SecFox-LAS”日志审计系统和“SecFox-NBA”网络行为审计系统(业务审计型),以保障关键业务系统安全为中心出发点,从综合日志审计、关键业务访问监控和审
11、计、内网机密信息保护等多个角度来搭建一个功能完善的关键业务审计平台,实现全网综合安全审计,满足信息系统安全等级保护基本要求中的提出的各项安全审计要求。产品部署示意图如下图所示:核心路由器防火墙核心交换机接入交换机接入交换机接入交换机互联网服务器区安全管理区办公区SecFox-LAS日志审计系统审计管理中心SecFox-NBA行为审计系统(业务型)XX 单位安全审计平台建设建议方案第 8 页?2013 网御神州密级:商业机密4.1 日志审计解决方案4.1.1 网御神州日志审计系统介绍SecFox-LAS(Log Audit System)日志安全审计系统作为一个统一日志监控与审计平台,能够实时不
12、间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计。SecFox-LAS 能够实时地对采集到的不同类型的信息进行归并和实时分析,通过统一的控制台界面进行实时、可视化的呈现,协助安全管理人员迅速准确地识别安全事故,消除了管理员在多个控制台之间来回切换的烦恼,同时提高工作效率。SecFox-LAS 能够实时采集NetFlow 数据流,对一段时间内的网络流量或者网络连接数进行统计,并描绘趋势曲线。通过对某个IP 地址的流量趋势分析获悉该IP地址的访问流量模型,进而对异常流量和行为进行审计。SecFox-LAS 能够
13、自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,实现安全审计的管理闭环。SecFox-LAS 为客户提供了丰富的报表,使得管理人员能够从各个角度对企业和组织的安全状况进行审计,并自动、定期地产生报表。SecFox-LAS 紧扣信息系统等级保护中对安全审计的技术要求和对安全事件处置的管理要求,提供了一个面向等级保护的审计包。4.1.2 网御神州日志审计系统产品特点SecFox-LAS 安全审计平台的主要特点包括:统一日志监控全面日志审计符合等级保护要求的安全审计日志归并和实时分析
14、XX 单位安全审计平台建设建议方案第 9 页?2013 网御神州密级:商业机密集中日志存储趋势分析快速响应事后分析报表报告4.1.2.1 统一日志监控SecFox-LAS 将企业和组织的IT 计算环境中部署的各类网络或安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来,使得用户通过单一的管理控制台对IT 计算环境的安全信息(日志)进行统一监控。借助 SecFox-LAS 的统一日志监控,用户不必时常在多个控制台软件之间来回切换、浪费宝贵的时间。与此同时,由于企业和组织的所有安全信息都汇聚到一起,使得用户可以全面掌控IT 计算环境的安全状况,对安全威胁做出更加
15、准确的判断。4.1.2.2 全面日志审计SecFox-LAS 能够对企业和组织的IT 计算环境中各类网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。4.1.2.3 符合等级保护要求的日志审计在信息系统等级保护的基本技术要求中,从第二级开始,针对网络安全、主机安全、应用安全都有明确的安全审计控制点。在信息系统等级保护的管理要求中,“安全事件处置”控制点从第二级开始要求对日志和告警事件进行存储;从第三级开始提出了“监控管理与安全管理中心”的控制点要求。SecFox-LAS 提供了与上述要求相一致的实时审计场景,以及各种面向等级保护的统计
16、报表模板。XX 单位安全审计平台建设建议方案第 10 页?2013 网御神州密级:商业机密4.1.2.4 日志归并和实时分析SecFox-LAS 收集企业和组织中的所有安全日志和告警信息,在归并后通过智能日志分析引擎,帮助安全管理员实时进行日志分析,迅速识别安全事故,从而及时做出响应。SecFox-LAS 为安全管理员提供了一套强大的实时分析工具。用户可以定义不同的实时分析场景,从不同的观察角度对来自企业和组织各个角落的安全日志进行准实时分析,通过分析引擎对安全日志进行实时分析、统计和趋势分析。SecFox-LAS 为用户内置了大量的实时分析场景,从设备类型、操作系统类型、应用类型、日志等级、
17、性能、协议等不同角度为用户提供了全面监视IT 网络安全的工具。SecFox-LAS 实时分析为用户提供了一套进行深入的日志审计与追踪的工具事件调查工具。借助网御神州独有的启发式事件搜索技术(Heuristic Event Searching Technology),管理员通过事件调查工具可以对某条感兴趣的日志中的源IP 地址、目的 IP 地址、或者目的端口进行相关性日志检索。XX 单位安全审计平台建设建议方案第 11 页?2013 网御神州密级:商业机密4.1.2.5 集中日志存储SecFox-LAS 可以将采集来的所有日志、事件和告警信息统一存储起来,建立一个企业和组织的集中日志存储系统,实
18、现了国家标准和法律法规中对于日志存储的强制性要求,降低了日志分散存储的管理成本,提高了日志管理的可靠性,消除了本地日志存储情况下可能被抹掉的危险,也为日后出现安全事故的时候增加了一个追查取证的信息来源和依据。SecFox-LAS 具有海量日志接收和存储的能力。在优化的硬件配置下,单个SecFox-LAS 系统能够以每秒30000 条的规模接收日志,以每秒15000 条的规模处理和分析日志,并能够在线存储多达10 亿条日志记录,相当于管理约800G 的数据量。加上系统的数据归档与离线存储功能,SecFox-LAS 能够存储的数据量大小仅取决于服务器磁盘存储空间的大小。借助SecFox-LAS 分
19、布式部署的方案,日志存储性能还能提升。SecFox-LAS 在进行数据管理的时候,对数据存储算法进行了充分优化,使得使用小型数据库的情况下就达到了上述性能。此外,用户在使用本系统的时候,无需购买额外的数据库管理系统和许可,也不必花费专门的精力去维护数据库,这些都大大降低了用户的总拥有成本。SecFox-LAS 提供多种日志存储策略,能够方便地进行日志备份和恢复。XX 单位安全审计平台建设建议方案第 12 页?2013 网御神州密级:商业机密4.1.2.6 趋势分析SecFox-LAS 能够进行日志流量的趋势分析。通过采集NetFlow 数据流或者防火墙的网络流量日志,对最近一段时间的网络流量或
20、者网络连接数进行统计,并描绘趋势曲线。通过某个IP 地址的流量趋势分析获悉该IP 地址的访问流量模型,并发现异常流量和行为。SecFox-LAS 允许用户定义不同的趋势分析场景,从不同的观察角度对来自企业和组织中的各类IP 地址进行流量比较和分析。趋势分析场景的客户价值就在于每个场景都可以反复调用,省却了用户反复指定查询条件麻烦。4.1.2.7 快速响应SecFox-LAS 在识别出安全事故后,能够自动或者用户手工的对威胁进行响应,采取安全对策,从而形成安全审计的闭环。SecFox-LAS 由于可以综合分析来自防火墙、IDS、系统日志、网络等等一系列的信息,因而能够更为精确地定位安全威胁,使得
21、实时自动阻止攻击变得更加可行。在发生告警后,SecFox-LAS 可以通过电子邮件、SNMP Trap 等方式对外发出通告;能够执行预定义命令行程序,并将事件属性作为参数传递给该命令行程序。SecFox-LAS 可通过与网络设备或安全设备共同协作来关闭威胁通信,以阻止正XX 单位安全审计平台建设建议方案第 13 页?2013 网御神州密级:商业机密在进行的攻击。SecFox-LAS 可以与众多第三方网络设备、安全设备进行联动。例如,在发现攻击后,阻断网络交换机的端口,或者更改防火墙和入侵检测系统的安全规则,阻止攻击的扩散和恶化。SecFox-LAS 支持与市场上大部分安全设备和网络设备之间的策
22、略联动。此外,通过 SecFox-LAS 与网御神州其他SecFox 安全管理产品的综合使用,可以实现完整的从安全风险监控、分析到决策的安全管理流程的闭环。4.1.2.8 事后分析SecFox-LAS 收集并存储了来自企业和组织的所有安全日志,并为管理员提供了强大的事后分析工具,使得管理员能够最大限度地对这些日志进行深度挖掘,寻找潜在的安全威胁。事后分析和实时分析相对。实时分析强调安全事件的事中处理,针对较短的一段时间内的日志进行审计;而事后分析则注重对大规模历史日志的审计。一方面,事后分析可以帮助安全管理员找到造成安全事故的原因,获得检测和预防同类事故再犯的手段和措施,作为下一轮安全防御的预
23、警;另一方面,通过对海量安全日志的数据挖掘,尤其是基于较长时间段的数据分析,可以帮助管理员发现IT 计算环境中存在的安全隐患,例如入侵者为发起后续攻击而事先在网络中种植的木马和僵尸,或者慢攻击行为。此外,SecFox-LAS 的事后分析功能可以协助管理员进行计算机取证分析,收集外部入侵或者内部违规的证据。4.1.2.9 报表报告SecFox-LAS 具有以下统计分析和报表报告功能:能从多种角度多种维度对数据进行分析;能提供实时分析、历史分析等分析手段;能对比统计的结果,分析数据的发展趋势;能将结果以图形方式(直方图、饼图等)显示、打印或转存为html 或 Excel XX 单位安全审计平台建设
24、建议方案第 14 页?2013 网御神州密级:商业机密报表方式输出。SecFox-LAS 的报表报告生成系统灵活易用。它提供大量预定义的报表模板,用户可使用预定义的报表模板生成报表。SecFox-LAS 生成的报表图文并茂,报表可以按组管理,可以对报表生成进行日程规划,提供打印、导出以及邮件送达等服务,并根据计划归档报告,归档之后发送邮件通知。报告可用PDF、HTML、Excel、CSV 或 RTF 等格式存档。4.2 业务审计解决方案4.2.1 网御神州业务审计系统产品介绍网御神州SecFox-NBA(Network Behavior Analysis for Business Audit)
25、网络行为审计系统(业务审计型)采用旁路侦听的方式对通过网络连接到重要业务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采集、分析和识别,实时监视用户访问业务系统的状态,记录各种访问行为,发现并及时制止用户的误操作、违规访问或者可疑行为。产品部署简便,不需要修改任何网络结构和应用配置,不会影响用户的业务运行。SecFox-NBA 网络行为审计系统(业务审计型)能够对业务环境下的网络操作行XX 单位安全审计平台建设建议方案第 15 页?2013 网御神州密级:商业机密为进行细粒度审计。系统通过制定符合业务网的审计策略,对符合策略的网络操作行为进行解析、分析、记录、汇报,以帮助用户事前规
26、划预防,事中实时监控、违规行为响应,事后合规报告、事故追踪回放,帮助用户加强内外部网络行为监管、避免核心资产(数据库、网络服务器等)损失、保障业务系统的正常运营。通过 SecFox-NBA(业务审计型)的应用协议流量分布和协议流量分布可以定位业务网中问题主机;通过数据包分布和流量分布,可能查看当前、最近一小时、最近一天、最近七天和最近三十天的流量分布状况,可以提前对业务网网络资源进行更合理的安排;通过协议流量,可以预测网络中是否存在ARP 风暴;通过应用协议流量分布可以确定占用带宽最多的应用协议,。借助SecFox-NBA(业务审计型)对业务网中流量的深入分析,客户能够发现异常流量和存在问题的
27、主机,提前做出相关决定,从而更合理地使用业务网中有限的网络资源。SecFox-NBA(业务审计型)能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,实现安全审计的管理闭环。SecFox-NBA(业务审计型)为客户提供了丰富的报表,使得管理人员能够从各个角度对业务系统的安全状况进行审计,并自动、定期地产生报表。SecFox-NBA(业务审计型)紧扣国家法律法规、等级保护和行业的内控要求,为客户提供面向萨班斯审计的SOX 审计包、面向等级化保护的等保审计包,以及ISO17799
28、审计包。4.2.2 网御神州业务审计系统产品特点SecFox-NBA 网络行为审计系统(业务审计型)的主要特点包括:面向业务的安全审计旁路侦听的工作模式和简洁的部署方式业务操作实时监控、过程回放快速响应和跨设备协同防御事后分析、调查取证合规审计报表报告XX 单位安全审计平台建设建议方案第 16 页?2013 网御神州密级:商业机密4.2.2.1 面向业务的安全审计业务系统是由包括主机、网络设备、安全设备、应用系统、数据库系统等在内的多种 IT 资源有机组合而成的。因此,针对业务的审计就要对构成业务系统的各个IT 资源之间的访问行为以及业务系统之间的操作的审计。因此,面向业务的安全审计系统不单是
29、一个主机审计系统、也不是一个单纯的网络审计或者数据库审计系统。只有通过审计构成业务系统的各种IT 资源的运行行为才能真正反映出业务系统的安全状态。网神SecFox-NBA 网络行为审计系统(业务审计型)就是这样一个集成了数据库审计、主机审计、应用审计和网络流量审计的综合安全审计系统。4.2.2.1.1 全方位的业务审计SecFox-NBA(业务审计型)能够针对客户业务网络中的各种数据库、Windows 和Unix 主机、WEB 应用系统进行全方位的安全审计。SecFox-NBA(业务审计型)产品的核心目标就是保障客户业务网络中数据安全和操作合规,具体包括:1)数据访问审计:记录所有对保护数据的
30、访问信息,包括主机访问,文件操作,数据库执行SQL 语句或存储过程等。系统审计所有用户对关键数据的访问行为,防止外部黑客入侵访问和内部人员非法获取敏感信息。2)数据变更审计:审计和查询所有被保护数据的变更记录,包括核心业务数据库表结构、关键数据文件的修改操作,等等,防止外部和内部人员非法篡改重要的业务数据。3)用户操作审计:统计和查询所有用户的主机、数据库和应用系统的登录成功记录和登录失败尝试记录,记录所有用户的访问操作和用户配置信息及其权限变更情况,可以用于事故和故障的追踪和诊断。4)违规访问行为审计:记录和发现用户违规访问。系统可以设定用户黑白名单,以及定义复杂的合规规则(例如定义合法的访
31、问时间段、合法的源IP 地址库、合法的用户账号库),可以设置合理的审计策略进行告警和阻断。5)恶意攻击审计:记录和发现利用主机,数据库的漏洞对资源的攻击行为,例XX 单位安全审计平台建设建议方案第 17 页?2013 网御神州密级:商业机密如主机扫描、DoS/DDoS 攻击、ARP 欺骗和攻击等,并可以对攻击行为进行告警和阻断。4.2.2.1.2 面向业务的审计策略网神 SecFox-NBA(业务审计型)是一个策略驱动的审计系统。借助网御神州独有的面向业务的审计策略(Business-oriented Audit Policy,简称 BAP)技术,用户可以在一个策略中对某业务所包含的主机,数据
32、库,主机进行综合设定,实现对该业务的精确审计,从而及时发现该业务的安全隐患。例如,用户下发一条审计策略就能够审计出哪些非法主机在尝试访问业务系统,哪些主机在非法的时间段访问业务,哪些用户在业务中执行非法数据库操作,评估业务中各个主机和数据库的访问量,通过关键字审计被保护业务系统中的重要数据和敏感数据,等等。用户通过操作SecFox-NBA(业务审计型)的web 管理页面能够实时地配置符合业务保护要求的审计策略,无须重启设备、中断网络会话采集,策略下发成功后,立即生效。用户在制定审计策略的时候可以按照审计要求随意设置审计时间段。用户可以按照业务要求设置一个或者多个保护对象;对符合业审计务策略要求
33、的事件可以阻断和记录。XX 单位安全审计平台建设建议方案第 18 页?2013 网御神州密级:商业机密4.2.2.2 旁路侦听的工作模式和简洁的部署方式SecFox-NBA(业务审计型)采用旁路侦听的方式进行工作,对业务网络中的数据包进行应用层协议和流量分析与审计,就像真实世界的摄像机。利用网御神州先进的业务协议检测技术(Business Protocol Inspection Technology),SecFox-NBA(业务审计型)能够识别各类数据库的访问协议、FTP 协议、TELNET 协议、VNC 协议、文件共享协议,以及其它20 多种应用层协议,经过审计系统的智能分析,发现网络入侵和
34、操作违规行为。同时,借助网御神州先进的业务流量监测技术(Business Flow Inspection Technology),SecFox-NBA(业务审计型)识别网络中各种应用层协议的流量分布,及时发现流量违规和异常。SecFox-NBA(业务审计型)部署十分方便,即插即用,不必对业务网络配置做任何更改,对业务网络没有任何影响。SecFox-NBA(业务审计型)可以同时审计多个不同的网段;多个系统可以级联,实现分布式部署,实现对大规模业务网络的审计。4.2.2.3 业务操作实时监控、过程回放SecFox-NBA(业务审计型)对访问数据库、FTP、网络主机的各种操作进行实时、详细的监控和审
35、计,包括各种登录命令、数据操作指令、网络操作指令,并审计操作结果,支持过程回放,真实地展现用户的操作。传统的数据库或者网络审计系统都采用基于指令的行为分析(Command-based Behavior Analysis)技术,可以显示出所有与数据库主机相关的操作,但是这些操作都是一条条孤立的指令,无法体现这些操作之间的关联,例如是否是同一用户的操作、以及操作的时间先后,审计员被迫从大量的操作记录中自行寻找蛛丝马迹,效率低下。借助网御神州独有的基于会话的行为分析(Session-based Behavior Analysis)技术,审计员可以对当前网络中所有访问者进行基于时间的审查,了解每个访问
36、者任意一段时间内先后进行了什么操作,并支持访问过程回放。SecFox-NBA(业务审计型)真正实现了对“谁、什么时间段内、对什么(数据)、进行了哪些操作、结果如何”的全程审计。XX 单位安全审计平台建设建议方案第 19 页?2013 网御神州密级:商业机密4.2.2.4 快速响应和跨设备协同防御SecFox-NBA(业务审计型)在识别出安全事故后,能够自动或者用户手工的对威胁进行响应,采取安全对策,从而形成安全审计的闭环。SecFox-NBA(业务审计型)对符合策略的告警事件可以进行阻断,因而能够更为精确地定位安全威胁,可以实时自动阻止可疑行为。在发生告警后,SecFox-NBA(业务审计型)
37、可以通过电子邮件、SNMP Trap 等方式对外发出通告,能够执行预定义命令行程序,并将事件属性作为参数传递给该命令行程序。SecFox-NBA(业务审计型)可通过与网络设备或安全设备共同协作来关闭威胁通信,以阻止正在进行的攻击。SecFox-NBA(业务审计型)可以与众多第三方网络设备、安全设备进行联动。例如,在发现攻击后,阻断网络交换机的端口,或者更改防火墙和入侵检测系统的安全规则,阻止攻击的扩散和恶化。SecFox-NBA(业务审计型)支持与市场上大部分安全设备和网络设备之间的策略联动。此外,通过SecFox-NBA(业务审计型)与网御神州其他SecFox 安全管理产品的综合使用,可以实
38、现完整的从安全风险监控、分析到决策的安全管理流程的闭环。4.2.2.5 事后分析、调查取证SecFox-NBA(业务审计型)可以将采集到的所有数据包和告警信息统一存储起来,建立一个企业和组织的集中事件存储系统,实现了国家标准和法律法规中对于事件存储的强制性要求,为日后出现安全事故的时候增加了一个追查取证的信息来源和依据。SecFox-NBA(业务审计型)具有海量事件处理和存储的能力。单个 SecFox-NBA(业务审计型)系统能够以每秒2000 个事务 1 到 15000 个事务的规模接收数据包,能够在线存储10 亿到 40 亿条事件记录。加上系统的数据归档与离线存储功能,SecFox-NBA
39、(业务审计型)能够存储的数据量大小仅取决于服务器磁盘存储空间的大小。SecFox-NBA(业务审计型)具有极强的存储扩展能力,产品自带500GB2TB 的XX 单位安全审计平台建设建议方案第 20 页?2013 网御神州密级:商业机密存储空间,用户亦可以在后期通过热插入硬盘的方式进行容量扩展,或者直接外接存储设备。SecFox-NBA(业务审计型)在进行数据管理的时候,对数据存储算法进行了充分优化,使得使用小型数据库的情况下就达到了上述性能。此外,用户在使用本系统的时候,无需购买额外的数据库管理系统和许可,也不必花费专门的精力去维护数据库,这些都大大降低了用户的总拥有成本。SecFox-NBA
40、(业务审计型)提供多种事件存储策略,能够方便地进行事件备份和恢复。SecFox-NBA(业务审计型)为管理员提供了强大的事后分析工具,使得管理员能够最大限度地对这些事件进行深度挖掘,寻找潜在的安全威胁。事后分析和实时分析相对。实时分析强调安全事件的事中处理,针对较短的一段时间内的事件进行审计;而事后分析则注重对大规模历史事件的审计。一方面,事后分析可以帮助安全管理员找到造成违规操作,获得检测和预防同类事故再犯的手段和措施,作为下一轮安全防御的预警;另一方面,通过对海量事件的数据挖掘,尤其是基于较长时间段的数据分析,可以帮助管理员发现IT 计算环境中存在的安全隐患。此外,SecFox-NBA(业
41、务审计型)的事后分析功能可以协助管理员进行计算机取证分析,收集外部入侵或者内部违规的证据。4.2.2.6 合规审计报表报告SecFox-NBA(业务审计型)的报表报告生成系统灵活易用。它提供大量预定义的报表模板,用户可使用预定义的报表模板生成报表。SecFox-NBA(业务审计型)生成的报表图文并茂,报表可以按组管理,可以对报表生成进行日程规划,提供打印、导出以及邮件送达等服务,并根据计划归档报告,归档之后发送邮件通知。报告可用PDF、HTML、Excel、CSV 或 WORD 等格式存档。SecFox-NBA(业务审计型)支持9 类遵循萨班斯法案(SOX)要求的报表。SecFox-NBA(业
42、务审计型)支持审计主机用户和数据库用户的行为趋势报表,XX 单位安全审计平台建设建议方案第 21 页?2013 网御神州密级:商业机密可以生成指定时间段用户行为趋势报表,包含用户的操作行为曲线,可以审计和分析用户的行为特点,为决策分析和调查取证提供数据支持。4.2.2.7 与 SecFox-LAS日志审计系统集成SecFox-NBA(业务审计型)可以作为SecFox-LAS 日志审计系统的组成部分。如果 SecFox-LAS 日志审计系统所在的网络无法采集事件或者日志,则可以在网络中部署SecFox-NBA(业务审计型)设备主动地收集网络中的业务操作数据包,转化为事件或日志,并传送给 SecF
43、ox-LAS 日志审计系统,从而极大的扩展SecFox-LAS日志审计系统的用户环境适应性。XX 单位安全审计平台建设建议方案第 22 页?2013 网御神州密级:商业机密五.方案产品列表产品名称产品型号规格指标数量数量单位网御神州日志审计系统SecFox-LAS-R2 2U标准机架式,支持冗余电源;采集事件性能超过30000EPS;事件处理性能达到 15000EPS;自带 2TB热插拔硬盘,支持 Raid,硬盘容量可以扩展;支持外接存储,例如 DAS、NAS、SAN等;支持光纤接口。1 台网御神州业务审计系统SecFox-NBA(BA)-G4 千兆 2U标准机架式,默认2个电口,可扩展到6
44、个;事务处理性能达到 15000事务数/秒(TPS,Transactions per Second);自带 2TB热插拔硬盘,支持 Raid,硬盘容量可以动态扩展;支持外接存储,例如 DAS、NAS、SAN等;支持光纤接口,支持冗余电源。1 台XX 单位安全审计平台建设建议方案第 23 页?2013 网御神州密级:商业机密六.方案结论在 XX单位 信 息 网络 中 部 署网 御神州SecFox-LAS 综 合 日 志审 计系 统 和SecFox-NBA 网络行为审计系统(业务型)后,可以实现通过统一的审计管理平台对来自单位外部和单位内部的各种安全事件进行记录及响应,有效掌握网络安全状态,预防核心业务数据的外泄和丢失,实现对内部网络信息的整体智能关联分析、评估、调查及安全事件的准确跟踪定位,为 XX 单位整体安全策略的制定提供权威可靠的支持。
黑公网安备:91230400333293403D