精华内容
下载资源
问答
  • 第七章 信息系统安全审计;本讲内容;本讲内容;信息系统安全审计概述;信息系统安全审计概述;信息系统安全审计概述;信息系统安全审计概述;安全审计系统的体系结构;安全审计系统的体系结构;安全审计系统的体系结构;...
  • 信息系统的广泛应用给企业带来实时交互、高效运作等好处的同时,也提高了内部控制的管理难度,增加了企业经营、网络安全及数据泄露等相关风险,同时也给信息系统审计工作带来了不小的挑战,针对以上问题对一些在...
  • 附 录 A 资料性附录 代码安全审计报告 A.1 概述 本附录给出了第 5章代码安全审计过程中的审计报告的示例 A.2 报告内容 A.2.1 审计总体信息 审计总体信息应包括但不限于以下信息 a) 审计日期 b) 审计团队成员信息 c) ...
  • 堡垒机操作文档
  • 安全审计系统记录和活动的独立审查和检验。安全审计的目的包括: — 辅助识别和分析未经授权的动作或攻击; — 帮助确保将动作归结到为其负责的实体上; — 促进开发改进的损伤控制处理规程; — 确认符合既定的安全...
  • 安全审计月报告(模版).docx
  • 涉密计算机安全保密审计报告 审计对象 XX计算机 审计日期 XXXX年 XX月 XX 日 审计小组人员组成 姓名 XX 部门 XXX 姓名 XXX 部门 XXX 审计主要内容清单 1. 安全策略检查 2. 外部环境检查 3. 管理人员检查 审计记录 ...
  • 目录 最终用户软件许可协议 1 一公司简介 5 二功能与特性概述 6 2.1 NET110互联网信息安全审计管理系统 6 2.2任子行网吧管理系统 6 三软件包的内容和配件 7 四本手册的使用方法 8 五安装环境的准备 9 5.1网络结构的...
  • 审计系统作为安全数据库的一个重要组成部分,...给出了一个符合安全标记保护级要求的安全审计系统(SAS)的设计和实现。该系统是一个独立的审计系统,有完整的审计自身安全保护、完备的审计查阅、分析和自动报警功能。
  • 网络信息系统安全体系-综合审计系统
  • 第1章 信息系统审计概念 第2章 IT治理 第3章 信息系统架构控制与审计 第4章 信息系统开发与实施审计 第5章 信息系统运营与维护审计 第6章 信息安全控制与审计 第7章 信息系统审计技术方法
  • GBT 20945-2007信息安全技术 信息系统安全审计产品技术要求和测试评价方法.pdf
  • 信息安全技术工业控制系统网络审计产品安全技术要求.pdf
  • 1、CISA资格证书是信息系统审计安全和控制领域能力的良好证明,不论是希望提高工作业绩还是得到职务升迁或竞争新职位,拥有CISA资格证书都会使一个人拥有他人无法企及的竞争优势; 2、CISA资格证书表明职业人作为...
  • 针对目前大量存在的信息系统内部安全问题,提出了基于安全审计和入侵检测技术的信息系统安全审计平台,并具体给出了其内部工作流程和实现机制。鉴于信息系统内部安全的特点,作者提出了建立系统内部人员的个人诚信信息,...
  • 为了解决在代码安全审计过程中没有结合XXXX 公司实际情况的安全策略和 安全审计基线的问题,XXXX 公司因此邀请在业界在软件安全开发和安全审计方 面有丰富实践经验的咨询人员针对XXXX 公司的实际状况作安全咨询,...
  • 天玥网络安全审计系统-运维安全管控系统-运维人员使用手册.pdf
  • 天玥网络安全审计系统_产品白皮书北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权
  • 信息系统安全技术 一安全审计与日志分析 何长龙高级工程师 益安资讯 目录 专业安全审计系统体系结构分析 网络信息系统安全审计综述 审计与日志分析 审计结果分析 益安资讯 安全审计系统的必要性 一旦我们采用的防御...
  • ERP信息系统:SAP GRC IT安全审计报告.doc
  • BIT85网络信息系统安全体系综合审计系统.pptx
  • BIT84网络信息系统安全体系综合审计系统.pptx
  • 基于内容分类技术的网络内容安全审计系统的应用,胡亮,,随着互联网的普及以及快速发展,基于互联网应用的技术要求不断提出。信息检索领域的文本分类技术已经作为一项重要的技术在互联网
  • 基于内容的网络信息安全审计系统,论文资料分享给朋友们
  • 数据库安全审计系统 V3.0.2 FAQ 国都兴业信息审计系统技术北京有限公司 2012年3月 慧眼数据库安全审计系统v3.0.2FAQ 第 PAGE 1页, 共 NUMPAGES \*Arabic 5页 目录 TOC 1 产品登录 2 1.1 登录界面被锁定怎么办 2 1.2 ...
  • 信息安全审计系统S-Audit

    千次阅读 2017-02-21 21:27:08
    安全审计信息安全保障系统的一个重要组成部分,具体包括两方面的内容:1.采用网络监控和入侵防范系统,识别网络中各种违规操作与攻击行为,及时响应并进行阻断;2.对信息内容和业务流程的审计,可以防止内部机密和...

    安全审计的概念

    安全审计(Security Audit)是指主体对客体的访问及使用情况进行记录和审查,以保证安全规则被正确执行,帮助分析安全事故产生的原因。

    安全审计是信息安全保障系统的一个重要组成部分,具体包括两方面的内容:1.采用网络监控和入侵防范系统,识别网络中各种违规操作与攻击行为,及时响应并进行阻断;2.对信息内容和业务流程的审计,可以防止内部机密和敏感信息的非法泄露、单位资产的流失。

    安全审计采用数据挖掘和数据仓库技术。安全审计属于安全管理类产品。安全审计产品主要包括主机类、网络类、数据库类、业务应用系统级的审计产品。信息安全审计偏向业务审计,入侵检测偏向入侵类审计。

    安全审计的主要作用有:

    1.对潜在的攻击者起到震慑和警告作用

    2.对已经发生的系统破话行为提供纠正数据

    3.提供有价值的系统使用日志

    4.提供系统运行的统计日志

    网络安全审计的具体内容:

    1.监控网络内部活动

    2.占察系统中存在的潜在威胁

    3.对日常运行情况的统计分析

    4.对突发按键和异常事件的事后分析

    5.辅助侦破和取证

    安全审计的六个功能:

    1.自动响应功能。在被检测事件指示出一个潜在的安全攻击时做出响应,包括报警和行动

    2.数据生成功能。记录与安全相关的事件信息

    3.分析功能。分析系统活动和审计数据寻找可能的安全违规操作

    4.浏览功能。授权用户可以有效地浏览审计数据

    5.事件选择功能。系统管理员可以审计事件的安全属性进行审计、维护、检查、修改

    6.事件存储功能。提供控制措施保护审计数据。


    如何建立安全审计系统

    三种安全审计系统的主体建设方案:

    1.利用网络安全入侵检测预警系统实现网络与主机信息检测审计

    2.对重要应用系统运行情况的审计

    3.基于网络旁路监控方式安全审计

    入侵检测的基本定义:对计算机和网络资源上的恶意使用进行识别和响应的处理过程。入侵检测系统由安全控制中心和探测器以及分布于网络的系统代理组成,有两种实现的基本结构:基于网络检测的基本机构、基于主机检测的基本结构。基于网络的结构可以实时阻断,基于主机的结构可以实时监听。

    对重要应用系统运行情况的审计,从已知现有技术分析,主要有四种解决方案:

    1.基于主机操作系统代理。通用性实时性好,审计粒度粗,对确认违规操作不能实现阻断控制

    2.基于应用系统代理。实时性好,审计粒度可由用户控制,要增加额外编码工作,通用性不如前者

    3.基于应用系统独立程序。实时性好,通用性差,费用高,需要增加专用的审计服务应用进程到应用程序中

    4.基于网络旁路监控方式。实时记录,信息完整,不影响应用系统本身,数据保存安全


    信息安全审计是干什么的?

    个人观点:主要功能是记录客户在使用应用系统时的操作数据,其他的检测、分析、预测、预警都是基于采集到的数据进行的后续处理。安全审计的目的是为了保证系统的安全运行,客户的安全使用。


    选择性考察、客观性考察

    展开全文
  • 《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度,实施安全等级管理的重要基础性标准,他讲计算机信息系统分为5个安全等级。

    1.用户自主保护级

    该级通过隔离用户与数据使用户具备自主安全保护能力。

    1.1 自主访问控制

    计算机信息系统可信计算机定义和控制系统中命名用户对命名客体的访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。

    1.2身份鉴别

    计算机信息系统可信计算机初始执行时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。

    1.3数据完整性

    计算机信息系统可信计算机通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。

    2. 系统审计保护级

    该级的计算机信息系统可信计算机实施了粒度更细的自主访问控制,它通过登录规程审计安全性相关事件隔离资源,使用户对自己的行为负责。

    2.1自主访问控制

    计算机信息系统可信计算机定义和控制系统中命名用户对命名客体的访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。

    2.2身份鉴别

    计算机信息系统可信计算机初始执行时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识、计算机信息系统可信计算机能够使用户对自己的行为负责。计算机信息系统可信计算机还具备将身份标识与该用户所有可审计行为相关联的能力

    2.3客体重用

    在计算机信息系统可信计算机的空闲存储客体空间中,对客体初始指定、分配或再分配一个主体之前,撤销该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。(无主体时客体撤销所有授权,现有主体获得客体时不可获得旧主体的所有信息)

    2.4审计

    计算机信息系统可信计算机能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
    计算机信息系统可信计算机能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含来源(例如:终端标识符)对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名。
    对不能由计算机信息系统可信计算机独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算机独立分辨的审计记录。

    2.5数据完整性

    计算机信息系统可信计算机通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。

    3安全标记保护级

    该级的计算机信息系统可信计算机具有系统审计保护级所有功能。此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出 信息的能力;消除通过测试发现的任何错误。

    3.1 自主访问控制

    计算机信息系统可信计算机定义和控制系统中命名用户对命名客体的访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。

    3.2 强制访问控制

    计算机信息系统可信计算机对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。为主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计算机支持两种或两种以上成分组成的安全级。计算机信息系统可信计算机控制的所有主体对客体的访问应满足:仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能读客体仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中 的非等级类别,主体才能写一个客体。计算机信息系统可信计算机使用身份和鉴别数据,鉴别用户的身份,并保证用户创建的计算机信息系统可信计算机外部主体的安全级和授权受该用户的安全级和授权的控制。

    3.3 标记

    计算机信息系统可信计算机应维护与主体及其控制的存储客体(例如:进程、文件、段、设备)相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数据,计算机信息系统可信计算机向授权用户要求并接受这些数据的安全级别,且可由计算机信息系统可信计算机审计。

    3.4 身份鉴别

    计算机信息系统可信计算机初始执行时,首先要求用户标识自己的身份,而且,计算机信息系统可信计算机维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统可信计算机使用这些数据鉴别用户身份,并使用保护机制(例如:口令)来鉴别用户的身份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可信计算机能够使用用户对自己的行为负责。计算机信息系统可信计算机还具备将身份标识与该用户所有可审计行为相关联的能力。

    3.5 客体重用

    在计算机信息系统可信计算机的空闲存储客体空间中,对客体初始指定、分配或再分配 一个主体之前,撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。

    3.6 审计

    计算机信息系统可信计算机能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
    计算机信息系统可信计算机能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括: 事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名及客体的安全级别。此外,计算机信息系统可信计算机具有审计更改可读输出记号的能力。
    对不能由计算机信息系统可信计算机独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算机独立分辨的审计记录。

    3.7 数据完整性

    计算机信息系统可信计算机通过自主和强制完整性策略,阻止非授权用户修改或破坏敏 感信息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。

    4结构化保护级

    本级的计算机信息系统可信计算机建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算机的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当的抗渗透能力。

    4.1 自主访问控制

    计算机信息系统可信计算机定义和控制系统中命名用户对命名客体的访问。实施机制(例如:访问控制表)允许命名用户和(或)以用户组的身份规定并控制客体的共享;阻止非授用户读取敏感信息。并控制访问权限扩散。
    自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。

    4.2 强制访问控制

    计算机信息系统可信计算机对外部主体能够直接或间接访问的所有资源(例如:主体、存储客体和输入输出资源)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计算机支持两种或两种以上成分组成的安全级。计算机信息系统可信计算机外部的所有主体对客体的直接或间接的访问应满足:仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能读客体;仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含于客体安全级中的非等级类别,主体才能写一个客体。计算机信息系统可信计算机使用身份和鉴别数据,鉴别用户的身份,保护用户创建的计算机信息系统可信计算机外部主体的安全级和授权受该用户的安全级和授权的控制。

    4.3 标记

    计算机信息系统可信计算机维护与可被外部主体直接或间接访问到的计算机信息系统资源(例如:主体、存储客体、只读存储器)相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数据,计算机信息系统可信计算机向授权用户要求并接受这些数据的安全级别,且可由计算机信息系统可信计算机审计。

    4.4 身份鉴别

    计算机信息系统可信计算机初始执行时,首先要求用户标识自己的身份,而且,计算机信息系统可信计算机维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统可信计算机使用这些数据,鉴别用户身份,并使用保护机制(例如:口令)来鉴别用户的身份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可信计算机能够使用户对自己的行为负责。计算机信息系统可信计算机还具备将身份标识与该用户所有可审计行为相关联的能力。

    4.5 客体重用

    在计算机信息系统可信计算机的空闲存储客体空间中,对客体初始指定、分配或再分配一个主体之前,撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。

    4.6 审计

    计算机信息系统可信计算机能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
    计算机信息系统可信计算机能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体及客体的安全级别。此外,计算机信息系统可信计算机具有审计更改可读输出记号的能力。
    对不能由计算机信息系统可信计算机独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算机独立分辨的审计记录。
    计算机信息系统可信计算机能够审计利用隐蔽存储信道时可能被使用的事件。

    4.7 数据完整性

    计算机信息系统可信计算机通过自主和强制完整性策略。阻止非授权用户修改或破坏敏感信息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。

    4.8 隐蔽信道分析

    系统开发者应彻底搜索隐蔽存储信道,并根据实际测量或工程估算确定每一个被标识信道的最大带宽。

    4.9可信路径

    对用户的初始登录和鉴别,计算机信息系统可信计算机在它与用户之间提供可信通信路径。该路径上的通信只能由该用户初始化。

    5 访问验证保护级

    该级的计算机信息系统可信计算机满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的;必须足够小,能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算机在其构造时,排除那些对实施安全策略来说并非必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。

    5.1 自主访问控制

    计算机信息系统可信计算机定义并控制系统中命名用户对命名客体的访问。实施机制 (例如:访问控制表)允许命名用户和(或)以用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。并控制访问权限扩散。
    自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。访问控制能够为每个命名客体指定命名用户和用户组,并规定他们对客体的访问模式。没有存取权的用户只允许由授权用户指定对客体的访问权。

    5.2 强制访问控制

    计算机信息系统可信计算机对外部主体能够直接或间接访问的所有资源(例如:主体、存储客体和输入输出资源)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记 是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计算机支持两种或两种以上成分组成的安全级。计算机信息系统可信计算机外部的所有主体对客体的直接或间接的访问应满足:仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能读客体;仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的非等级类别,主体才能写一个客体。计算机信息系统 可信计算机使用身份和鉴别数据,鉴别用户的身份,保证用户创建的计算机信息系统可信计算机外部主体的安全级和授权受该用户的安全级和授权的控制。

    5.3 标记

    计算机信息系统可信计算机维护与可被外部主体直接或间接访问到计算机信息系统资源(例如:主体、存储客体、只读存储器)相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数据,计算机信息系统可信计算机向授权用户要求并接受这些数据的安全级别,且可由计算机信息系统可信计算机审计。

    5.4 身份鉴别

    计算机信息系统可信计算机初始执行时,首先要求用户标识自己的身份,而且,计算机信息系统可信计算机维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统可信计算机使用这些数据,鉴别用户身份,并使用保护机制(例如:口令)来鉴别用户的身份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可信计算机能够使用户对自己的行为负责。计算机信息系统可信计算机还具备将身份标识与该用户所有可审计行为相关联的能力。

    5.5 客体重用

    在计算机信息系统可信计算机的空闲存储客体空间中,对客体初始指定、分配或再分配 一个主体之前,撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。

    5.6 审计

    计算机信息系统可信计算机能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
    计算机信息系统可信计算机能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序出始化);删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件 的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名及客体的安全级别。此外,计算机信息系统可信计算机具有审计更改可读输出记号的能力。
    对不能由计算机信息系统可信计算机独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算机独立分辨的审计记录。计算机信息系统可信计算机能够审计利用隐蔽存储信道时可能被使用的事件。 计算机信息系统可信计算机包含能够监控可审计安全事件发生与积累的机制,当超过阈值时,能够立即向安全管理员发出报警。并且,如果这些与安全相关的事件继续发生或积累,系统应以最小的代价中止它们。

    5.7 数据完整性

    计算机信息系统可信计算机通过自主和强制完整性策略,阻止非授权用户修改或破坏敏感信息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。

    5.8 隐蔽信道分析

    系统开发者应彻底搜索隐蔽信道,并根据实际测量或工程估算确定每一个被标识信道的最大带宽。

    5.9 可信路径

    当连接用户时(如注册、更改主体安全级),计算机信息系统可信计算机提供它与用户之间的可信通信路径。可信路径上的通信只能由该用户或计算机信息系统可信计算机激活,且在逻辑上与其他路径上的通信相隔离,且能正确地加以区分。

    5.10 可信恢复

    计算机信息系统可信计算机提供过程和机制,保证计算机信息系统失效或中断后,可以进行不损害任何安全保护性能的恢复。

    安全策略设计

    现行信息化建设共有8个总原则和10个特殊原则。

    8个总原则

    (1)主要领导人负责原则

    信息安全工作事关大局,影响组织和机构的全局。主要领导人必须将信息安全列为最重要的问题之一,并负责提高、加强部门人员的认识,调动必要资源和经费,协调信息安全管理工作与各部门的工作,使之落实、有效。

    (2)规范定级原则

    根据信息重要程度、敏感程度及自身资源的客观条件,按标准确定信息安全管理要求的相应等级,在履行相应的审批手续后切实按照相应安全等级要求,制定相应安全策略,并认真实施。

    (3)依法行政原则

    信息安全管理工作主要体现为行政行为,因此必须保证信息系统安全行政主体合法、行政行为合法、行政内容合法、行政程序合法。

    (4)以人为本原则

    威胁和保护是信息安全管理工作的重点,根据经验它们很大程度受制于认为的因素。故加强信息安全管理教育、培训和管理。掌握技术是信息安全管理工作的重要保证。

    (5)注重效费比原则

    恰当的把握安全需求德不断增加和现实资源的有限性的平衡点是信息系统效费比的重要保证。

    (6)全面防范、突出重点原则

    全面防范是信息系统综合保障措施。需从人员、管理和技术多方面;在预警、保护、检测、反应、恢复和跟踪多个环节采用多种技术实施。并在具体实施时突出重点。

    (7)系统、动态原则

    信息系统安全管理系统特性突出,需协调各方面、各层次、各时期的相互协调,注重“木桶效应”。同时信息系统安全管理是一个动态的过程。随着系统脆弱性和时空特性的分布,需即使将现有策略,安全措施,风险进行复查、修改、调整以致提升安全等级。

    (8)特殊的安全管理原则

    10个特殊原则

    (A)分权制衡原则

    (B)最小特权原则

    (C)标准化原则

    (D)成熟的先进技术原则

    (E)失效保护原则

    (F)普遍参与原则

    (G)职责分离原则

    (H)审计独立原则

    (I)控制社会影响原则

    (J)保护资源和效率原则

    信息系统安全方案

    1系统组成因素

    (1)主要硬件设备的选型
    (2)操作系统和数据库的选型
    (3)网络拓扑结构的选型
    (4)数据存储方案和存储设备的选型
    (5)安全设备的选型
    (6)应用软件开发平台的选型
    (7)应用软件的系统结构的确定
    (8)供货商和集成商的选择等
    (9)业务运营和安全管理的职责(岗位)划分
    (10)应急处理方案的确定及人员的落实

    2确定信息系统安全方案

    确定信息系统安全方案主要包括以下内容:
    (1)确定采用MIS+S、S-MIS、S^2-MIS体系架构。
    (2)确定业务和数据存储的方案
    (3)网络拓扑结构
    (4)基础安全设施和主要安全设备的选型
    (5)系统资金和人员的投入

    展开全文
  • 网络安全审计系统产品竞品分析

    万次阅读 2018-05-07 11:29:06
    另一方面,随着国家、社会对信息保护的愈加重视,各个行业对审计要求愈加严格,可看出未来几年对安全审计产品的需求会越来越多。那么,未来安全审计产品在技术层面有哪些发展趋势?一、背景随着网络的日益普及,利用...

    一方面,随着安全防御建设由防外为主逐步转向以防内为主,内外兼顾,对于安全审计的需求会越来越多;另一方面,随着国家、社会对信息保护的愈加重视,各个行业对审计要求愈加严格,可看出未来几年对安全审计产品的需求会越来越多。那么,未来安全审计产品在技术层面有哪些发展趋势?

    wangluoanquan

    一、背景

    随着网络的日益普及,利用网络实施犯罪的新型网络违法与犯罪行为也随之日渐增多;网络的虚拟性与不确定性,造成传统的办案手段对此已力不从心,公安网监部门迫切需要新的技术手段来帮助其应对这一新挑战。

    网络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督,预防、制止数据泄密;满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、设备定位、系统安全管理和风险防范。目前,市场上有成熟的网络安全审计产品方案解决供应商,产品用于监控用户信息,为顾客提供安全网络防护和帮助公安部门更好、更快捷的进行安全监管。

    二、特点

    互联网安全审计系统必须具有提高非经营性互联网上网服务单位局域网内部管理水平的功能,并达到《互联网安全保护技术措施规定》的以下要求:

    1. 记录并留存用户登陆和退出时间、主叫号码、账号、互联网地址和域名、系统维护日志;
    2. 记录留存用户注册信息并向公安部门公共信息网络安全报警处置中心上传数据;
    3. 在公共信息服务中发现、停止传输违法信息,并保留相关记录;
    4. 具有至少60天记录备份功能等。

    三、 网络安全审计系统具备优势

    3.1 贴近网监业务模式,提高网络破案成功率

    系统功能依照公安网监的业务流程设置:从日常例行的网络行为巡察、到有目的地行为线索搜索;从发现嫌疑人虚拟身份线索后进行的虚拟身份分析,到依据发现的行为或身份线索进行监视布控;从系统实时监控网络行为并在策略条件满足时触发报警,到以布控策略组为单位查看布控告警结果等。上述功能体现了网监的真实业务内涵,并且操作非常便利,能够帮助警员最大限度地利用网络线索来侦破疑难案件。

    3.2 全面内容安全审计,满足所有合规性要求

    系统支持从网页访问、email、迅文件下载到即时通讯等数十种主要网络应用协议的识别还原,帮助用户最大限度地不遗漏有潜在安全风险的网络行为。从而完善了用户单位的IT内控与审计体系,满足各种合规性要求,并帮助企业顺利通过IT审计(例如:行政事业单位或国有企业有遵循等级保护的合规性要求)。

    3.3 智能虚拟身份分析,提高账号识别准确度

    越简单虚拟身份库功能局限的智能虚拟身份分析功能,能够将网络中的虚拟身份(网络帐号)与现实中的真实身份智能关联,有效地解决了网络行为角色的虚拟性所带来的种种问题。通过“虚拟身份关联中介算法”,能够最大限度地提高虚拟身份识别的准确度,为网监部门利用网络行为线索信息办案,提供了全新的技术手段。

    3.4 硬件高速抓包处理,不漏过任何网络线索

    场所端网络安全审计机采用了专门定制的高性能网络数据包处理卡,结合软件底层优化(linux硬件直通访问)技术,大幅度提高网络数据包的采集速度,避免数据包丢失。从而避免在出现突发大网络流量情形时,因处理不及时而漏掉了重要的网络行为信息。

    3.5 网络言论信息搜集,及时反馈网民

    系统采用了最新的数据挖掘技术,能够针对聊天、论坛和博客的发表/回复帖子、邮件内容及附件等载有文字内容的网络数据进行深度分析,以便及时识别网络行为热点和异常点,帮助相关部门随时掌握网民行为动态与发展趋势。

    四、基本功能

    无论是何种审计产品,从产品功能组成上都应该包括:

    1. 信息采集功能

    就是能够通过某种技术手段获取需要审计的数据,例如日志、网络数据包、SSID等。对于该功能的考察,关键是其采集信息的手段种类、采集信息的范围、采集信息的粒度(细致程度)。如果采用数据包审计技术的话,网络协议抓包和分析引擎显得尤为重要。如果采用日志审计技术的话,日志归一化技术则是产品基本功和专业能力的地方。

    2. 信息分析功能

    对于采集上来的信息进行分析、审计,这是审计产品的核心,审计效果好坏直接由此体现出来;在实现信息分析的技术上,简单的技术可以是基于数据库的信息查询和比较;复杂的技术则包括实时关联分析引擎技术,采用基于规则的审计、基于统计的审计,以及时序的审计算法等等。

    3. 信息存储功能

    对于采集到原始信息,以及审计后的信息都要进行保存、备查,并可以作为取证的依据。在该功能的实现上,关键点包括海量信息存储技术、以及审计信息安全保护技术。

    4. 信息展示功能

    包括审计结果展示界面、统计分析报表功能、报警响应功能、设备联动功能等等;这部分功能是审计效果的最直接体现。

    产品自身安全性和可审计性功能:审计产品自身必须是安全的,包括要确保审计数据的完整性、机密性和有效性,对审计系统的访问要安全。此外,所有针对审计产品的访问和操作也要记录日志,并且能够被审计。

    五. 安装的目的

    随着互联网的迅猛发展,在推进社会进步的同时也带来负面影响;在一些大型商场、小型商店、酒店、宾馆商户都会为顾客提供免费WIFI体验;有不法分子利用互联网进行网络诈骗、贩毒、赌博、散布有害信息、传播计算机病毒、恶意攻击服务器等不法案件日益严重,损害了国家和群众利益,也使一些企业蒙受经济损失。因此,对于非经营和经营上网服务场所落实安全技术保护设施建设迫在眉睫。

    六. 国内安全审计市场现状和需求分析

    一方面,随着安全防御建设由防外为主逐步转向以防内为主,内外兼顾,对于安全审计的需求会越来越多;另一方面,随着国家、社会对信息保护的愈加重视,各个行业对审计要求愈加严格,可看出未来几年对安全审计产品的需求会越来越多。

    目前,推出的一些国际、国家、行业的内控、审计标准,都对某些行业或企业提出需要具备安全审计产品的要求,因此像《企业内部控制基本规范》此类的规范对于销售安全审计产品是很有帮助的。

    有人将《企业内部控制基本规范》称作是中国版的SOX法案,可见对他的期待有多么高。虽然该规范还不能称作是完整意义上的法案,而只是规范性文件,但是他对于国内企业、尤其是大企业的公司治理、风险控制、IT内控,包括信息系统安全审计都起到了极大的推进作用。

    实际上,不仅是《企业内部控制基本规范》,包括之前国家大力开展的等级化保护建设工作,以及证券、金融、保险等行业颁布的各项风险和内控指引、要求等,都在努力构建一个从严的企业管控外部环境。作为这种外部压力的传导,企业的IT内控和审计自然摆到了各大企业信息部门的桌面上。

    可以肯定,未来企业用户,尤其是大型企业用户,会不断加强IT内控,并催生对信息系统安全审计的技术、产品和相关解决方案的需求,并带动国内安全审计市场的迅速增长。

    目前,国内不同的行业和客户对审计的需求差别很大:

    1. 对于一般的企业而言,目前比较大量的审计需求是对企业内部用户上网行为的审计。
    2. 对于政府部门和事业单位而言,由于他们的业务系统十分重要,承载了单位关键的应用和数据,因此,对业务系统的审计显得十分重要。这类客户需要审计内部用户访问业务系统的各种行为,防止针对核心业务系统和数据的违规访问,防止信息泄漏。
    3. 对于金融、电信类客户而言,除了需要对业务系统进行审计之外,还需要针对运维人员的主机操作审计。由于这类客户具有庞大的主机和服务器机群,上面运行了各种各样的核心应用。同时,这类客户的系统运维人员数量多、岗位职责多,不仅有本单位正式职工,还有第三方驻场工程师和外包运维人员,管理较为复杂。因此,对这些运维人员进行审计,审计他们针对主机系统的各种访问和操作行为就显得十分重要。
    4. 对于具有涉密性质的单位,以及安全要求等级高的部门,还会需要终端安全审计类产品,对单位职工的终端进行严格的安全审计。

    对于政府、事业单位,以及金融电信行业,最典型的一类需求就是针对这些单位的数据库系统进行审计。就在前不久,国家颁布实施了刑法第七修正案,其中第二百五十三条明确规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取、收买或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各相应条款的规定处罚”。

    这也就意味着单位如果泄露或非法获取公民个人信息,将被判处罚金,并追究直接负责的主管人员和其他直接责任人员的刑事责任。

    七、 竞品分析

    7.1 竞品信息

    7.1.1 广道

    广道网络安全审计系统针对互联网行为提供丰富的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督,预防、制止数据泄密;满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。

    主要功能介绍:

    (1)事件审计

    • 实时审计:对采集到的日志数据进行实时的审计,如果使用者的操作行为产生的日志事件与审计规则库中的对应规则完全匹配,则根据规则库的危险等级及交互模式给出响应,然后将此事件行为记录到审计数据库,同时将危险等级为高的事件行为通过邮件的形式发送到管理员邮箱。审计模型主要有基于线性序列的规则,多个事件构成一个事件行为;基于时间合理性的规则,主要判断用户账户登录及相关访问时间是否为指定时间;基于数理统计规则,主要判断连续多个同样的审核失败结果,特别是有关帐户远程登录审核。
    • 历史审计:历史审计实现了从审计结果数据库中提取审计数据,主要通过基于数理统计的方法(这些数据来自系统上次关闭到本次开始的所有系统安全日志),将连续多次产生的操作行为进行整理、归纳、合并与分析等方法完成对审计数据的综合审计。

    (2)规则管理与维护

    审计规则:系统本着方便实用的原则,功能模块中实现了对审计规则的管理与维护功能,主要是相关规则的添加、删除、更新等功能。该功能实现了审计规则的添加、删除、更新,规则修改后能够直接运用到审计系统中。

    系统中集成了一部分经确认危险程度较高的操作行为事件,并将这些行为进行特征分析、归纳,形成审计规则。这一部分主要集中在对象访问审核与帐号管理审核、帐号登录审核中。为了更加及时发现有关问题,用户在使用过程中可以将发现的重大问题形成规则添加到规则库中,系统实现了审计规则数据的即时添加与即时作用。

    在实际使用中,有些规则随着时间的推移及管理员有效的工作,有部分规则对系统己不起作用,还有一部分规则需要更改其内部的特性才能够更好地维护系统的安全。

    (3)审计结果查询

    审计结果:该功能实现了审计结果数据的查询,提供了对审计结果的分类查询,同时可以将有关查询的结果进行保存与打印,这有助于提高系统安全管理员的效率,对发现系统存在的问题有较大帮助。

    在结果查询中,可提供的查询方式有:审计模式、审核策略、事件ID、审计时间、工作站、用户帐号、危险等级等。然后再根据每一种方式给出具体的查询条件,查询即可。保存与打印将查询到的结果以文件的形式保存,同时根据要求通过打印机输出

    (4)审计报告

    审计报告:该功能实现了将审计原始数据与结果数据相结合,并从中分析相关操作行为及系统的安全状况。是对审计结果数据的汇总,然后从汇总的数据中得出系统存在哪些问题,并给出问题的严重性与解决建议。

    广道无线网络行为审计系统可获取的内容:

    (1)有线网络行为审计可获取的行为信息(PC端)

    1. 网页浏览,URL,内容等;
    2. 电子邮件,支持POP3、SMTP、webmail、可获取邮箱账号、邮件标题、内容、附件等等;
    3. 即使通讯工具,可获取账号、聊天内容;
    4. 论坛发/回帖,账号、贴文 ;
    5. 其他行为,telnet、FTP、http下载、游戏、股票软件等等。

    (2)移动APP的信息审计

    新闻客户端、邮件客户端、即时通讯客户端、网站等等。

    (3)AP(无线接入点)信息及STA(用户)信息

    可记录搜索到AP的MAC地址、SSID地址、基地服务识别码(BSSID)信号强度、上网频道、通讯用户数、加密方式和通讯用户的MAC地址、IP地址、SSID地址、基地服务识别码(BSSID)、信号强度、上网频道。

    7.1.2 任子行

    网络安全管理系统_SURF-RAG系统特点:

    (1)智能的协议识别

    提供对数据流的深度检测功能,对网络流量能准确的按协议类型识别,包括常规的应用、 国内外的各种 P2P 软件、IM 软件、网络游戏、在线视频等。配合强大的带宽管理与行为管 理功能,可有效提高带宽的利用率,规范用户的上网行为。

    (2)强大的流量控制功能

    支持基于线路、基于内网和外网的 IP 地址/IP 地址范围/IP 子网/地址簿/用户组、基于四层服务和根据特征识别的七层服务、基于单个服务、服务组、多服务的任意组合等进行带宽控制和流量阻断;支持基于流量优先级的流量控制策略;支持基于时间段的带宽控制和流量阻断策略;根据策略对某些用户或特定应用的最大带宽进行控制;通过策略或优先级,保证关键业务或 者 VIP 客户应用的带宽;对特定应用或重点客户进行预留一定带宽。

    能够根据 IP 地址/IP 地址范围/IP 子网/地址簿/用户组的配置来控制网络中单个用户的上行会并发会话数、下行并发会话数;针对流量异常的用户或者IP地址进行用户黑名单智能控制管理;根据每用户的“每日/每周/每月”使用的流量(上行/下行/双向)总和超过预设阀值,根据每用户在连续一段时间的“上行速率/下行速率”超过预设阀值、根据每用 户在连续一段时间的并发会话数(上行/下行)超过预设阀值、根据每用户在连续一段时间的 新建会话数(上行/下行)超过预设阀值等,则自动进入黑名单。并能控制用户滥用 P2P、防止病毒等。

    (3)先进的上网行为管理

    任天行网络安全管理系统_SURF-RAG系列设备提供了细致的上网行为管理方案,拥有着领先的网络行为识别能力。对用户的上网行为进行细致而灵活的管理,进而提高了员工的工作效率,避免了机密信息的泄漏。

    • URL过滤与记录:提供强大的 URL 过滤、全面的 URL 记录和 URL 排名功能。URL 库可达1000万以上,如与 WebSense 联动,可达 2000 万以上。
    • 网页内容过滤与记录:全面记录内网用户向公网 BBS、论坛、博客等发表的帖子内容及附件,还提供对帖子的内容进行关键字过滤。同时可对搜索引擎搜索的关键字进行过滤与记录;帮助企事业过滤不良网站。
    • 文件传输过滤与记录:智能识别 HTTP 网页与 FTP 协议的文件上传和文件下载,并对文 件的上传和下载进行过滤与记录。
    • 邮件过滤与记录:支持对邮件内容和附件等进行监控、过滤和审计功能。既可以监控到任何 一台计算机通过Outlook或 Foxmail 等邮件客户端软件使用 SMTP 和 POP3 收发邮件, 也可以监测到通过 Yahoo、Sohu、163、126、Hotmail、Tom、Sina、Gmail、QQmail 等 Webmail 提供商收发邮件的内容和附件。
    • 即时通讯过滤与记录:支持对即时通讯协议进行阻断,及对文字聊天、语音聊天及文件传输 进行过滤与内容记录。

    (4)高效的防火墙功能

    任天行网络安全管理系统_SURF-RAG系列设备内置了专业的防火墙功能。灵活的安全规则以及多种防护机制保护了网络免受攻击,提升了整个网络的安全性。

    • NAT 支持:提供多对一的源地址转换、一对一的双向地址转换以及端口映射等三种类型的 NAT。并且支持多种应用协议 NAT 穿越,支持 H.323、SIP、FTP、TFTP、RSH、RTSP、SQL Net、 HTTP、MS-RPC、PPTP/GRE、SUN-RPC 等协议的 ALG 功能。
    • VPN 支持:支持 IPSec VPN、PPTP VPN 功能。
    • 全面 DoS/DDoS 防护:提供全面的 DoS/DDoS 防护机制,支持 SYN Cookie,SYN 代理服务。
    • 防御各种网络攻击包括:IP 畸形包攻击、IP 假冒、TCP 劫持入侵、SYN flood、Smurf、Ping of Death、Teardrop、Land、Ping flood、UDP Flood 等。

    (5)丰富的用户认证方式

    支持多种方式的用户认证功能,包括本地数据库认证、AD认证、RADIUS 认证、LDAP 认 证、POP3 认证。灵活的认证策略提供了安全的终端接入。同时提供单点登录认证方式,用 户只需输入一次密码,降低密码泄露的风险。

    (6)酒店即插即用功能

    由于酒店客人的电脑的IP地址与 DNS 的配置各不相同,经常需要酒店网管人员为其进行一番配置后才能正常上网。不管客人电脑的 IP 与 DNS 如何配置,开启酒店即插 即用功能后,只要插上网线,客人即可上网。

    (7)HA 功能

    系统支持一主一备,或一主多备的 HA 模式;也支持多个主设备(多主一备/多主多备)的 HA 模式,多个主设备间可实现负载均衡。

    (8)完整的统计及报表功能

    任子行网络安全管理系统_SURF-RAG系列设备内置了强大的报表中心,可对全网的流 量进行采集和统计、分析用户网络行为。报表中心提供丰富的统计数据,可按长期(周/月/ 年)、短期(分钟/小时/日)和实时(秒)的方式显示带宽使用状况,并根据用户需求产生报表。 从而帮助管理者了解网络整体使用情况,轻松解决网络中存在的问题。

    • 流量统计:提供全网流量统计信息,主要包括:用户/IP统计、用户组统计、服务/服务组统 计、线路统计等,并可进一步查看 IP 地址、地址组和网络服务之间的关联。
    • 全局行为分析:配合行为管理功能,可提供丰富的流量审计信息,可以记录用户 URL 日志、BBS/论坛发帖内容及附件、网页评论记录、收发邮件详细内容、即时通讯记录、FTP 日志等。
    • 个人行为分析:根据组织结构中的逻辑树结构,可逐个展示用户,并将每个用户的上网行为分项统计并形象化显示。具体内容包括:个人网页统计、个人即时通讯记录、个人邮件记录、个人 FTP 记录。
    • 会话记录:通过检查完整的会话日志,管理者可以跟踪网络中的任何操作。会话记录包括:源 IP、目的 IP、协议和端口、是否进行 NAT 转换(可显示转换后的 IP 和端口)、七层应用名称、会话产生的时间和会话持续时间。
    • 报表生成:可生成转换为 PDF 、Excel 等格式的报表,大大简化了管理员手工制作报表。

    (9)集中管理平台

    与任天行网络安全管理系统_SURF-RAG系列设备配套的集中管理平台(CentralManagement,简称 CM)部署于企业总部,可对各分支机构的任天行网络安全管理系统_SURF-RAG系列设备统一进行策略下发、定时备份配置文件、上网行为日志管理、全网设备状态操控,同时还支持分支机构自行设置个性化管理策略,实现“个性化管理”与“集中管理”的完美结合。

    网络安全管理系统 SA 系列(网络应用审计产品):

    1、产品特点

    (1)识别上网应用

    • 行为识别 :面对互联网高速发展而产生的各种不断更新的版本、全新的乃至加密的应用,任天行产品研发团队一直专注跟踪随时出现的各种网络流行应用,并不断 在升级过程中实现协议和应用分析的更新。产品在庞大的 URL 分类数据库和应用识别能力基础之上提供了全面的行为和内容安全审计功能。
    • 内容识别 :在对关键字的内容审计功能上,任天行系列产品采用基于状态机的多模匹配算法,极大地提高了匹配效率和关键字识别的准确性,为可靠的内容关键字 审计功能提供了业界领先的技术保障。其中基于多编码的智能关键字匹配技术,更是独家率先解决了对国内部分地区特有语种(如维文、藏文等)的关 键字匹配和内容审计问题。
    • 对象识别:将上网人员与上网机器形成明确的对应关系,认清用户是谁,使用何种具体应用,采用独创的信息实名技术手段,对其实施准确、清晰的管理。

    任天行系列产品支持包括 IP+MAC 地址绑定认证、本地 Web 认证、AD 域认证、LDAP 认证、USB KEY 身份认证、刷卡认证、三层交换环境 MAC 探测和 白名单免监控管理等多种对象识别技术,可以实现对组织机构内部数量庞大的用户身份精准识别。

    (2)创新技术手段

    • 先进的系统体系结构:系统设计上采用了先进的模块化、层次化体系结构,基于面向对象的思想和插件化的并行协议栈,具有高度灵活扩展性,充分体现了资源的共享,提高 了运行效率和稳定性。
    • 高效的捕包引擎技术:使用 Intel 高性能网卡、独创零拷贝技术驱动、DMA 直接内存存取技术,使得系统在高负载下捕包分析的不稳定性与不安全性减至最小,而性能和可靠 性却得到了极大提升,处理效率比传统捕包引擎提高 1 倍以上
    • 高性能海量数据检索 :独有的高性能海量数据检索引擎,在浩如烟海的审计数据查询与分析中表现出卓越的性能。
    • 核心技术 领航安全:任天行多项技术突破了内容信息安全领域的难点和重点,填补了国内空白,具有独立的知识产权。作为国内信息安全领域的先行者,产品通过公安部检 测中心、中国人民解放军信息安全认证测评中心及国家保密局评测中心的检测与认证,是国内网安市场推荐的优秀品牌。

    (3)有效管理网络

    • 全面的上网行为管理:针对网络应用管理混乱所造成的不良影响,任天行产品提供了一系列贴近用户的 4W1H 五维智能化网络行为控管功能。产品支持包括对网页/各种在线娱乐软件/P2P 下载工具/在线视音频/流媒体/炒股软件/各种文件传输工具/IM 即时聊天软件/Telnet 等多种方式的信 息收发内容记录、关键字过滤、文件传档管控、报警。
    • 深度细粒审计管理:产品能够全面详实地记录网络内流经监听出口的各种网络行为,支持关于上网行为、内容、时间、用户等多种条件组合的信息审计策略和日志分析, 全面监测各种网络行为,进行深度细粒审计。内容审计既能进行无条件记录,又能通过策略指定访问者(IP 地址/帐号/分组)、时间范围、内容关键字等有针对条件的记录管理用户需要的访问 内容。不管是行为审计还是内容审计,都具备高度的灵活性、专业性和准确性,能够为管理机构进行事后追查、取证分析提供有力技术支撑。
    • 本地网络管理/异域分布统一管理 :任天行系统除了能够有效的管理本地网络外,也可以选择与任天行网络安全管理中心配合使用,实现异域分布统一管理,分散控制各地网络,达到DCS 式的管控效果;总部可以统一配发策略,实现网络行为的多点集中控管和数据横向对比分析,从而形成集团全面网络状况报表。通过设定特殊网络策略,可自动获取相关日志或远程主动调取更详细日志,让管理者一目了然,省力省心。
    • 别具匠心的管理者界面:任天行系统为企业管理层专门定制了一个管理者界面,该界面展现了员工使用的网络的整体情况,管理者可以从这个界面了解到员工的工作效率、心情动态、言论焦点;企业的信息泄露风险、法律风险等能为企业发展决策提供参考的信息。

    (4)多层面自身安全防护

    • 系统级安全防护:在对操作系统内核进行充分剖析的基础上,在操作系统级对系统各支撑引擎进行了修改和全面优化定制,全面防止攻击与劫持,提升系统整体性能的同 时保障自身系统级安全。
    • 操作级安全防护:多权分离,针对各种不同性质的功能模块可灵活配置权限级别,并提供更强安全性的 USBKEY 自定义敏感权限控制,最大保障自身操作级安全。
    • 数据级安全防护:采用自主的高效算法对关键审计数据的存储和传输进行加密防护,数据存储防篡改,数据传输防破解,多种加密防护措施保障自身数据级安全。
    • 网络级安全防护:旁路部署保障对网络性能完全没有影响,保证网络无单点故障,优先保障用户网络级安全,是上网机构在内网和互联网安全监管和保密资格测评过程中 最可信赖的安全工具。

    (5) 多种灵活部署方案

    • 丰富的线路部署方式:基本的旁路部署,全面支持电口镜像与分路、光口的镜像与分光、电口桥接等多种线路部署方式,在复杂网络环境下的部署游刃有余,运用自如。
    • 领先的多路并行捕包:业界领先的多路并行捕包技术,单台设备最多支持高达 4 路数据的并行捕获与分析,为在复杂环境下的 灵活部署提供先进的技术保障。
    • 扩展的多台分布部署:对于单台设备无法处理的超大流量环境,支持高扩展性的多台设备分布式部署方案,通过多台设备对超大的流量分而治之,又由统一的管理平台实现对 整个网络的透明、统一的管理。

    (6)直观丰富的统计报表

    • 支持合规细粒度审计:系统提供符合公安部 82 号令、SOX 法案、企业内控管理规范等多种合规审计报告,提供强大、多样化、面向用户需求的统计分析报表。
    • 全面准确的统计结果:报表汇集流量统计与日志统计分析数据,支持统计排名分析,全面呈现全局运行状况;使管理者能够直观便捷的掌握网络使用情况,为其合理分配带宽 资源,制定正确的管理决策提供有效依据。
    • 多维清晰的分析形式:系统能够智能分析各种上网数据, 得到能够客观反映整个企业状态的报表。
    • 智能便捷的输出形式:系统拥有数十种报表模板,支持报表自定义;报表可以以 EXCEL、PDF、WORD、HTML 等形式导出保存。根据不同管理层人员,可提供不同报表类型,报表 能够通过系统后台自动发送或 Email 自动订阅。

    2、功能介绍

    (1)网络行为审计

    任天行系统能够全面详实地记录网络内流经监听出口的各种网络行为,并根据国家有关法规规定保存至少 60 天,以便进行事后的审计和分析。日志以加 密的方式存放,只有管理者才能调阅读取。网络行为日志全面地记录了包括使用者、分组、访问时间、源 IP 地址、源端口、源 MAC 地址、目的 IP 地址、目 的端口、访问类型、访问地址/标识等关键数据项。支持在三层交换网络环境下获取用户计算机真实 MAC 地址功能;支持 GRE(通用路由协议封装)和 MPLS(Multi-Protocol Label Switching,多协议标签交换)两种协议及其应用环境下的网络数据审计还原。产品支持的协议和应用数量达到 260 多种,为国内 领先。主要包括以下类型的协议和应用:

    • 标准协议及其衍生应用:基于 HTTP 协议的网页浏览(GET)、网页提交(POST),其中 POST 应用可细分为 WEBMAIL、WEBBBS、WEBCHAT(聊天)、WEB 登录等上网行为,对基于 HTTPS 加密协议的网页浏览行为也将记录其关键数据;基于 TELNET 协议的远程登录;基于 FTP 协议的文件传输;基于 SMTP/POP3 的电子邮件收发、基于 Samba 协议的文件共享传输、基于 HTTP 的搜索引擎访问等。任天行系统将全面记录基于这些协议的行为日志和必要的帐号、文件名等关键信息。
    • 即时通讯(IM)/网络电话应用:包括 QQ、MSN、ICQ、雅虎通、新浪 UC、网易泡泡、Google Talk、飞信、阿里旺旺、搜 Q、E 话通等 10 多种国内外流行的 IM 或网络电话应用软件,任天 行系统将全面记录这些 IM/网络电话应用的行为日志和必要的帐号信息。
    • 流媒体/网络视频直播:标准的 MMS、RTSP 流媒体播放协议和主流视频网站和视频直播软件所使用的视频直播应用协议(QQLIVE、PPLIVE、PPStream、优酷、酷六、六间房、新 浪视频、搜狐视频、网易视频、央视高清等)。
    • P2P 下载应用:包括 BT、eMule 等国内外流行的 P2P 下载应用协议。
    • 娱乐/游戏应用:包括国内外流行的数种娱乐游戏平台和大型网络游戏,例如:联众、浩方、边锋、QQ 游戏、中国游戏中心、游戏茶苑、远航、CS、魔兽世界、武林外传、征服、跑跑卡丁车、劲舞团、大话西游、冒险岛等数十种网络游戏,任天行系统将全面记录这些娱乐/游戏应用的行为日志和必要的帐号信息。
    • 财经证券类:能够对国内流行的证券软件所使用的协议记录行为日志,主要包括以大智慧、钱龙、核新同花顺、通达信、大福星、龙卷风等研发厂商为核心的国内各 大证券商数十种 OEM 版本,如安信证券、广发证券、国联证券、银河证券、招商证券、方正泰阳证券、湘财证券、国信证券等。
    • 网上银行/网上支付:能够识别通过客户端、网页登陆的网上银行、网上支付应用,支持的银行有:工商银行、招商银行、建设银行、农业银行、光大银行、交通银行、中国 银行、民生银行、中信银行、上海浦东发展银行、华夏银行、深圳发展银行、广东发展银行、邮政储蓄银行、兴业银行、平安银行、渤海银行、杭州银 行、重庆银行、浙商银行、成都银行、大连银行、齐鲁银行、东莞银行、东莞农村商业银行、广州银行、汉口银行、台州银行、河北银行、长沙银行、 重庆农村商业银行、天津银行、上海农村商业银行、青岛银行、深圳农村商业银行、上海银行、包商银行、北京农村商业银行、北京银行、哈尔滨银行、 徽商银行、江苏银行、宁波银行、南京银行、吉林银行;支持的网上支持有:支付宝、快钱、易宝支付、财付通、贝宝、我爱卡。
    • 远程控制协议:支持识别主流远程控制协议,包括 SSH、远程桌面、PCAnywhere、QQ 远程控制(2010、2011)
    • 代理工具:能够识别各种代理工具,如 socks4/5、HTTP-Tunnel、HTTP-Proxy、ISA(包括 ISA2000、ISA2004、ISA2006、ISA2010)等。
    • 数据库访问:支持对 MS-SQLSERVER、ORACLE 等主流关系型数据库的远程访问和操作信息审计记录。 系统还提供了一系列的日志管理功能,包括存储管理、备份、恢复等,使用上具备高度的灵活性和专业性。

    (2)网络内容审计

    针对互联网上流行的可还原协议,任天行系统能够在记录网络内流经监听出口的各种网络行为产生的具体内容,包括正文、文件等信息,并根据国家有 关法规规定保存至少 60 天,以便进行事后的审计和分析,我们称这个范畴的审计功能为内容审计。内容审计既能够无条件记录,又能通过策略指定访问者(IP 地址/帐号/分组)、时间范围、内容关键字等条件下进行有条件的记录管理用户需要的访问内容。主要包括以下类型的协议和应用:

    • 标准电子邮件:标准电子邮件是指 POP3 /SMTP 两个使用最广泛的收发邮件协议。系统将详细记录访问者(IP 地址/机器名/帐号)、目标 IP 地址、邮件时间、发件人、 收件人、正文、附件等信息,并提供附件下载备份功能。
    • 网页浏览:网页浏览是指基于 HTTP 协议的 GET 请求产生的查看网页内容。系统将详细记录访问者(IP 地址/机器名/帐号)、目标 IP 地址、访问时间、网页 URL、 网页详细内容等信息,并提供模拟访问的功能以达到还原后的仿真浏览。支持对 google, baidu, sogou, soso 等常见搜索引擎的搜索关键字记录,并具 备良好的扩展能力,支持用户自定义其它搜索引擎。
    • 远程登录:远程登录是指基于 TELNET 协议的远程登录访问。系统将详细记录访问者(IP 地址/机器名/帐号)、目标 IP 地址、访问时间、TELNET 帐号、TELNET 交 互命令和执行回显等信息。
    • 文件传输:文件传输是指基于 FTP 协议的文件传输、下载及其命令操作。系统将详细记录访问者(IP 地址/机器名/帐号)、目标 IP 地址、访问时间、FTP 帐号、FTP交互命令和执行回显等信息,对 FTP 交互过程中发生的上传和下载文件操作,系统也将涉及的文件全部还原并提供下载备份功能。
    • 即时聊天:目前能够捕获还原详细内容的即时聊天工具包括 MSN(Windows Live Messenger)、Yahoo Messenger、中国移动飞信等。系统将详细记录访问者(IP地址/机器名/帐号)、目标 IP 地址、访问时间、聊天帐号、详细聊天内容等数据,并将聊天内容按次分组保存和展示。加密即时聊天部分即时聊天工具对聊天内容进行了加密。一般手段很难获取到解密后的聊天内容,任天行网络安全管理系统 SA 系列通过特有的破解手段,能识别出如QQ 等加密即时聊天工具的聊天内容。
    • 网页外发数据:网页外发数据是指基于 HTTP 协议的 POST 请求向外部的网站发布信息。由于 HTTP 的 POST 应用非常灵活,往往被用来实现多种应用,因此对网页外发数 据的处理有其特殊性。任天行系统使用了独有的表单特征匹配技术框架,摒弃了传统的逐个 WEB 网站分析方式,突破了逐个分析方式带来的有效网站数 量限制,可以准确分析出 100%的 POST 外发信息和文件,对 WEBMAIL、网页论坛等应用方式的识别率高达 95%以上。系统针对应用 HTTP-POST 最为广泛的 WEBMAIL、网页论坛、网页聊天、网页登录进行了应用方式识别并将其分类展示,对不能识别的其它 POST 应用则全部归类到“POST”中进行展示。系统 记录的主要数据包括访问者(IP 地址/机器名/帐号)、目标 IP 地址、URL 地址、访问时间、外发文本内容、外发文件等数据,并提供外发文件的下载备 份功能。
    • 数据库访问:支持对 MS-SQLSERVER、ORACLE、MySQL、DB2、Syabse、PostgreSQL、Informix 等 7 种主流关系型数据库的远程访问和操作信息审计记录,能够记录详细 的操作内容,包括对数据库的增删改等敏感操作语句。

    (3)网络行为控制

    对于多数企事业单位而言,如何通过有效的技术手段实现对单位职员上网行为进行规范的管理和控制是一个非常有意义的课题。任天行系统提供了丰富 的网络行为控制功能,以协助管理者实现上述目标。

    应用封堵策略

    对局域网内所有机器生效的外网访问权限控制。可根据人员帐号、机器、机器组对不同的时间段设置,可设置的应用封堵类型包括:

    • 网页类:可根据 URL 关键字、下载类型、搜索关键字、IP 网站、网页内容关键字、POST 网址、HTTPS 加密网页、自定义站点等组合条件进行设置。
    • 邮件类:对于 SMTP/POP3/IMAP 标准电子邮件协议,可根据服务器、邮箱地址、邮件标题、邮件正文、附件名、附件内容等多中关键字组合条件进行 设置。
    • 即时通讯:针对流行的 10 多种即时通讯应用,可根据应用类型和内容关键字进行设置,针对 MSN、QQ 文件传输、雅虎通、飞信等明文传输的即时通讯应用可根据内容关键字封堵。
    • 网络游戏:支持近百种流行网络游戏的封堵设置。
    • P2P 下载:支持流行的 BT、eMule 等典型 P2P 下载进行设置。
    • 文件传输:主要针对 FTP 文件传输,可根据服务器、文件类型、帐号、传输内容等关键字进行设置。
    • 远程登录:主要针对 TELNET,可根据服务器与账号进行封堵设置。
    • 音视频:支持流行的近 20 种网络音视频应用进行设置。
    • 财经股票:支持流行的 20 多种财经股票行情与交易应用进行封堵设置。
    • 网上银行:支持封堵国内各个银行的客户端和网页登录。
    • 远程控制:支持封堵如 SSH、远程桌面、PCAnywhere 等远程控制工具。
    • 代理工具:可封堵 socks4/5、HTTP-Tunnel、HTTP-Proxy、ISA 等代理上网工具。
    • 自定义协议:可以自己根据需要基于特殊 IP、端口的自定义协议设置封堵。
    • 分类站点:系统内置 3000 多万 URL 分类站点库,可根据这些分类设置封堵。
    • 数据库:支持针对 SQL Server、Oracle、Mysql、DB2、Sybase、PostgreSQL、Informix Online 数据库的帐号、服务器IP地址、sql关键字进行封堵。

    流量控制

    流量控制可实现用户在某一个时间段的带宽限制和保证。用户可自由设定在这个时间段能拥有的上下行最大带宽,以及在网络资源紧张的情况下,用户 对象最少能拥有的上下行保障带宽。并且可对同一用户的不同的源、目的端口,目的 IP、不同应用的流量设置不同的流量控制和带宽保障。

    流量限制

    可对任意用户对象或团体设置每日、每周、每月的上下行流量或总流量进行上限设置,超出设置的上限之后将禁止上网。

    IP/MAC 绑定

    可以灵活设置多种形式的 IP/MAC 绑定,用于限制非法修改 IP 地址与移动办公的应用场景,包括单一绑定、一个 IP 绑定多个 MAC、多个 IP 绑定一个 MAC

    等方式。

    黑白名单

    • 机器黑白名单:可基于 IP 或 MAC 设置,对于被设为黑名单的机器,系统将无条件禁止其与外网的一切通讯。对于被设为白名单的机器,则其的网络访问不受全局或局部策略的影响,在任何条件下都不对其进行封堵,其网络日志可灵活设置为是否记录。
    • 站点黑白名单:可基于目标 IP 或网址设置,对于被设为黑名单的站点,则网络内的所有机器(白名单机器除外)都不能访问此站点。对于被设为白 名单的站点,则网络内的所有机器(黑名单机器除外)都可以访问此站点。
    • 帐号黑白名单:在帐号控制模式下应用,对于被设为黑名单的帐号,系统将无条件禁止其与外部网络的一切通讯。对于被设为白名单的帐号,则其 的网络访问不受全局或局部策略的影响,在任何条件下都不对其进行封堵,但其网络日志仍将被记录。基于帐号的控制可有效避免动态 IP 地址环境 或 IP 人为变更造成的网络控制漏洞。
    • 免审计 KEY:给特殊用户配置上网时豁免审计与控制的 USBKEY。

    (4)上网用户管理

    局域网内的上网用户管理,在任天行系统中是重要的一个环节。它不仅为管理者提供了方便的管理功能,而且在配合网络行为控制与审计策略的配置实 施过程中起到基础性的关键作用。对于上网用户的组织架构,可以对自动或手动搜索生成的设备列表采用多层多组方式划分组别,最大层次可达 16 级。用户 管理部分的主要功能包括:

    组织管理自动分组

    用户可根据实际的网络规划,对系统管理的 IP 地址段、IP 段分组规划进行事先设置。根据事先设定的搜索范围,任天行系统将自动获取指定范围 内的机器信息资料,包括机器名、分组、IP 地址、MAC 地址等,也可进行手工搜索,在机器管理功能中可对这些信息进行增、删、改、导入、导出、设 置控制方式等操作。随着系统总的识别方式的设置不同,机器管理也将以 IP 地址或 MAC 地址字段作为机器的唯一标识。在认证识别方式下,系统还提供帐号管理功能,可对上网认证的帐号进行增、删、改、注销上网、本地文件导入、帐号分组管理等各种操作;对基 于 USB 锁的上网认证器则提供对应的上网认证器的配置、密钥导入等管理功能。

    用户识别方式

    • 企事业单位接入外部网络的方式各不相同,其内部局域网的组网方式、设备等环境也千差万别。任天行系统能够针对各种不同的网络环境,结合用 户的组网规划和对网络控制的不同需求,采取灵活的上网控制方式设置,应对各种差异化需求。
    • 任天行系统支持的上网识别方式包括认证识别和透明识别。认证识别是指用户上网之前必须经过上网认证操作才能接入互联网;透明识别是指不需

    经过认证,系统可适应复杂多变的网络环境,根据 IP、MAC、各种外部认证帐号等多种方式自动识别用户特征,实现上网实名审计。

    • 透明识别方式包括:AD 域帐号识别、HTTP 代理用户识别、IP 识别、MAC 识别、POP3 账号识别、PPPoE 帐号识别等。
    • 认证识别方式包括:客户端认证、本地 WEB 认证、远程 AD 认证、远程 ESMTP 认证、远程 LDAP 认证、远程 POP3 认证、远程 RADIUS 认证等。
    • 针对各种不同的用户环境设置灵活多样的控制方式,使任天行系统最大限度地与用户现有的认证环境相结合,保护已有投资。

    (5)统计分析与智能报表

    根据历史上网日志数据统计产生丰富详细的报表,包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析、自定义报表等。可按 年度、月度或者指定时间范围生成周期性报表。报表种类包括柱状图,饼图,曲线图,折线图等。报表可以以 EXCEL、PDF、WORD、HTML 等形式导出保存。并 支持自定义的周期性报表自动生成和订阅。任天行支持的统计分析功能包括:

    智能报表

    任天行将审计到的数据经过智能分析,形成各种智能报表,目前内置有离职风险报表、工作效率报表、行为违规报表、安全风险报表、泄密风险报表、 法律风险报表、焦点人物报表、焦点事件报表、带宽资源评估报表、互联网指数报表。并且用户可自定义其他类型报表。

    统计报表

    可根据用户、行为、流量、上下机、搜索引擎、时间、外发文件等多个维度对各种网络活动在自定义的时间周期内输出表格形式的统计数据。

    用户分析

    以上网用户为统计主体,对其各种网络行为在自定义的时间范围、自定义的团体范围内进行基于日志数量的上网活动分析,输出柱状统计图表。

    行为分析

    以某一种具体的网络行为为统计主体,在自定义的时间范围、团体范围内进行基于日志数量上网排名分析,输出柱状统计图表。

    流量分析

    以上网用户为统计主体,在自定义的时间范围、团体范围内进行基于流量的上网排名分析,输出柱状统计图表。

    上机分析

    以上网用户为统计主体,在自定义的时间范围、团体范围内进行基于上机次数的排名分析,输出柱状统计图表。

    搜索分析

    以搜索引擎关键字为统计主体,在自定义的时间范围、团体范围内进行基于关键字的排名分析,输出柱状统计图表。

    趋势分析

    以上网用户为统计主体,在自定义的时间周期、团体范围内进行基于各种上网行为次数的时间趋势分析,输出折线统计图表。

    外发文件分析

    以上网用户为统计主体,在自定义的时间周期、团体范围内进行基于外发文件次数的排名分析,输出柱状统计图表。

    报表订阅

    对于上述各种统计报表,可实现自定义条件的周期性报表订阅,订阅后系统将按照预先定义条件自动生成统计报告并自动发送到用户指定的邮箱。

    订阅历史

    可以在系统中查询以往订阅的历史报表。

    (6)系统管理与配置

    为了保障系统正常、稳定、有效、安全地运行,任天行系统本身的管理设置和附加功能必不可少。其主要作用在于为系统提供符合网络环境要求的基础 性参数设置、为系统提供足够的访问管理权限安全保障、为一些故障判断提供辅助工具等。包括但不限于:IP 地址位置查询、网络诊断工具、自定义站点分 类、角色与权限管理、连接管理中心参数设置、产品升级、远程维护开关等。

    7.1.3 小云无线上网安全管理系统(小云)

    1、特点(着重商业化模式)

    • 用户行为数据分析:基于现有WiFi环境,通过识别用户的智能手机,了解用户店内滞留时间,还有光顾频率
    • 多维度的客流分析:多维度分析采集的客流数据,透明化你的店铺运营情况。(数据可视化展示,地域、时间段)
    • 监测数据多样化:终端停留时长、设备分析(型号、MAC)、新用户、到店的频率、到访的次数、核心用户次数、重复访客
    • 可视化的数据解析:多种数据报表形式,形象展现店内运营情况,保持变化的营销对策。

    7.1.4 顺网无线安全审计产品(顺网)

    1. 功能

    • 产所管理:新施工场所:填写场所信息;旧方案升级:在加盟商/施工账户的场所管理中查找该场所对应的场所编号,录入后即可找回场所信息。
    • 流量控制:控制所有 AP 的总流量以及单终端流量,控制终端下载速率对于速率较大的终端可以进行限制。
    • 上网行为控制:场所选择对应的认证模式,是否允许 PC 上网等信息、是否强制使用 APP 登录等(PS:只有用户 使用顺网无线客户端,才可以接收场所发送的活动推送通知)。
    • 消息推送:场所可以查看到可推送的用户数,将编辑好的内容进行一键发布。
    • WiFi 首页设置:场所可以自定义上网首页内容,上传场所、商品图片,编辑场所以及商品介绍的内容。
    • 黑白名单设置:将要添加的终端的 MAC 地址添加到对应的模块中即可生效。
    • 设备信息:在该界面可以查看每个 AP 的状态,修改对应的热点名称(可设置多个热点名称)、发射功率、无 线信道等内容,修改完成需要输入账户进行验证。

    7.1.5 博网通公共场所无线上网安全管理系统(博施盾)

    1、特点

    • 通用性:在原有的系统下支持应用所有后台对接
    • 灵活性:应允许客户从不同的地理位置,使用不同的终端设备(PC笔记本电脑iPad安卓平板智能手机等)方便的访问生产管理系统,随时使用、查阅、修 改数据 跨平台兼容性:管理系统的发布与客户端是何种平台基本无关,可将Windows平台下的软件发布到各种常用系统平台。无论客户端是windows系统,还是linux、iOS、Android,用户均可以利用其直接访问到应用系统并正常使用。不需要针对这些平台逐一做应用系统的定制开发。管理员做维护的 时候也不需要考虑各种平台的差异性,只要维护Windows版本的软件即可
    • 权限管理:管理员应该可以对何种用户有权限访问何种应用系统,可以集中设置权限。只让用户访问他们应该访问的
    • 数据安全性:所有应用系统的数据都集中部署在总部服务器处理,实现实时集中管理。用户不论在何处、何时使用应用系统,所查看、编辑、修改、创建的数据,始终位于服务器端,客户端不应有任何数据存留。
    • 通讯安全性:远程用户与服务器端的数据通讯应该是安全的。经过身份认证的用户,才有可能访问到应用系统并得到。

    7.1.6 搜WI-FI公共场所无线上网安全管理系统(搜WI-FI北京博艺)

    能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为。封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P应用。杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等。独特的敏感内容拦截和安全审计功能,防止机密泄露。全面记录网络行为日志,避免法律风险,并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表。再辅以BYWATCHMEN的其他安全扩展功能,全方位保障您的网络安全。

    7.2 产品定位及优势对比

    审计技术与时俱进,随着国内外网络安政策、安全审计技术体系日益完善,用户需求将更加理性、全面;不同行业也将出现多样性需求;审计需求也将更加务实,审计产品也将占用资源少、审计迅速。安全审计技术发展将呈现明确的政策合规审计、企业内控管理、数据风险控制的特点发展。具体特点包括:

    政策合规审计

    安全审计技术将更加紧密地与“信息系统安全等级保护”、“企业信息内部控制基本规范”、“SOX法案”等政策要求相结合,依据ISO/IEC17799、ITIL、COBIT、COSO等标准,提供更符合企事业单位政策合规管理需要的安全审计功能,输出细粒度的合规审计报告。例如:企业信息内控审计报告、SOX审计报告等,帮助用户提升审计力度,降低人工审计工作量,有效控制了信息安全风险。

    基于账号的网络安全审计

    网络安全审计技术将逐步与身份认证管理技术结合,实现基于账号的网络安全审计,相比传统的基于IP、MAC地址等用户身份的审计判定手段,将能够更加准确的追踪定位到人,全面提升审计对象身份的可靠性。

    专业的数据库安全审计

    数据库已成为广大企业的数据核心资产,其重要性毋庸置疑。近年来,在各行业中频繁发生企业数据库的重要敏感数据被篡改牟利、泄密事件,已经引起各方面的广泛高度重视。数据库安全审计技术作为数据库安全的重要监测手段,将越来越受到政府、金融、电信等用户重视。为了进一步提高数据库审计的完整性和准确性,须追根溯源,从源头抓起。需要安全厂商与数据库厂商加强技术合作,共同推动完善数据库安全审计技术。

    不同行业多样性需求 

    随着网络安全审计越来越重要,面对的将是各行各业的需求,审计的接口将接入公安网监部门,对于审计的要求也会越来越精细化和高要求。

    7.3 产品主要功能

    审计系统支持数据采集精细化分类,数据留存时间在90天以上;从而牵引出审计系统的主要功能:

    1. 数据多样性
    2. 数据统计展示
    3. 数据留存时间延长
    4. 行为数据精细化
    5. 数据的跟踪
    6. 行为信息的追踪

    7.4 分析总结

    网络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督,预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。

    在商业wifi行业中,网络安全审计系统产品是必不可少的互联网产品,这也标志着这个行业的门槛;如果没有强有利的研发能力、数据整合能力、产品迭代更新、产品质量保证(经过三所认证许可),软件研发能力以及开放性的商业模式注定是要被扫地出门。

    从近几年的商业wifi发展看,网络安全审计系统硬件产品必须具有高性能:

    1. 连接人数增长
    2. 同时连接人数上线增长
    3. 加载功能后产品质量保证
    4. 功能加载后终端的失败率分析
    5. 连接的方式、展现的方式创新才能获得更好的发展。

    八. 安全审计产品的发展趋势

    未来安全审计产品在技术层面具有以下几个发展趋势:

    1. 产品多样性及高性能

    由于大企业、金融和电信客户需求走强,审计的范围和规模越来越大,对审计产品的处理性能提出了更高的要求。因为,未来高性能审计技术是发展的必然,例如高性能的日志采集技术、海量日志存储技术、借助硬件加速的高性能网络协议分析功能,更好的DPI与DFI结合的技术。

    2. 单一审计产品将向综合审计类产品演进

    未来,一个安全审计产品将能够同时审计多种对象、多种协议。综合审计产品将占据大部分市场。而单一审计产品也仍然会存在,但是会做的更加精细化,并且去满足特定行业用户的特定需求。因此,异构的日志归一化技术、跨对象的关联分析引擎技术将得到极大的发展和应用。

    3. 从审计的实效性上,当前的安全审计产品偏重于事中、事后审计,未来将会出现针对事前审计的产品,例如配置基线审核、系统策略稽核等。

    4. 安全审计与一体化安全集中管理产品的融合

    对于较大规模的客户而言,安全审计系统是超越现有安全设备的一类产品,在客户的信息安全体系建设中,位于安全设备和安全防护之上,是面向整个IT环境的一类审计系统。因此,未来,大型客户的安全审计系统将逐步与企业的一体化安全集中管理系统融合,成为管理系统的一个组成部分。

    5. 云计算+审计

    云审计可定义为:构建与互联网,基于云计算而搭建的一个第三方审计平台,是云计算和审计相结合的产物。云审计不仅提高了安全数据的整合也加快了审计的速度。

    虚拟化技术已逐渐应用于企业网络的各个层面,如服务器虚拟化、操作系统虚拟化、桌面虚拟化、应用虚拟化、存储虚拟化等。因此,如何在虚拟化环境中较好地实现安全审计也十分重要。

    参考资料

    竞品信息来源于各竞品官网信息(如虎嗅网、36氪、艾瑞咨询、雷锋网、CNCC、经验网、搜狐网、中国国家互联网信息中心等)

     

    展开全文
  • Linux操作系统安全审计功能

    千次阅读 2018-03-26 20:16:00
    service auditd status我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员工的...

    内核编译时,一般打开NET选项就打开AUDIT选项了。
    在系统中查看audit是否打开,root 用户执行:
    service auditd status

    我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,
    但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,
    如果我们想实现监管企业员工的操作行为就需要开启审计功能,也就是auditd。

    1、首先执行以下命令开启auditd服务

    service auditd start

    2、接着查看看auditd的服务状态,有两种方法可以实现,使用auditctl命令时主要看enabled是否为1,1为开启,0为关闭
    [root@ns-master-c01 ~]# service auditd status
    auditd (pid  20594) is running...

    [root@ns-master-c01 ~]# auditctl -s
    AUDIT_STATUS: enabled=1 flag=1 pid=20594 rate_limit=0 backlog_limit=320 lost=0 backlog=0

    3、开启了auditd服务后,所有的审计日志会记录在/var/log/audit/audit.log文件中,
    该文件记录格式是每行以type开头,
    其中红框处是事件发生的时间(代表从1970年1月1日到现在过了多久,可以用date命令转换格式),
    冒号后面的数字是事件ID,同一个事件ID是一样的。

    4、audit可以自定义对指定的文件或命令进行审计(如监视rm命令被执行、/etc/passwd文件内容被改变),
    只要配置好对应规则即可,配置规则可以通过命令行(临时生效)或者编辑配置文件(永久生效)两种方式来实现。
     
    编辑配置文件(永久生效):

    auditd的配置文件为/etc/audit/audit下的auditd.conf 和audit.rules
    auditd.conf 主要是定义了auditd服务日志和性能等相关配置,
    audit.rules才是定义规则的文件,

     
    修改完后重启服务
    service auditd restart
     
     
    5.如果直接使用tailf等查看工具进行日志分析会比较麻烦,
    好在audit已经提供了一个更好的事件查看工具——ausearch,使用auserach -h查看下该命令的用法:

    这里列出几个常用的选项:

    -a number  #只显示事件ID为指定数字的日志信息,如只显示926事件:ausearch -a 926

    -c  commond  #只显示和指定命令有关的事件,如只显示rm命令产生的事件:auserach  -c  rm

    -i  #显示出的信息更清晰,如事件时间、相关用户名都会直接显示出来,而不再是数字形式

    -k  #显示出和之前auditctl -k所定义的关键词相匹配的事件信息
     
     
    6、使用auditctl还可以查看和清空规则

    auditctl -l 查看定义的规则
    auditctl -D 清空定义的规则

     
    -------------------
    安装 auditd

    REL/centos默认已经安装了此套件,如果你使用ubuntu server,则要手工安装它:
    sudo apt-get install auditd
    它包括以下内容:
    auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。
    /etc/audit/audit.rules : 记录审计规则的文件。
    aureport : 查看和生成审计报告的工具。
    ausearch : 查找审计事件的工具
    auditspd : 转发事件通知给其他应用程序,而不是写入到审计日志文件中。
    autrace : 一个用于跟踪进程的命令。
    /etc/audit/auditd.conf : auditd工具的配置文件。



    Auditd文件和目录访问审计

    首次安装 auditd 后, 审计规则是空的。可以用 sudo auditctl -l 查看规则。文件审计用于保护敏感的文件,如保存系统用户名密码的passwd文件,文件访问审计方法:
    sudo auditctl -w /etc/passwd -p rwxa

    -w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
    -p : 指定触发审计的文件/目录的访问权限
    rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

    目录进行审计和文件审计相似,方法如下:
    $ sudo auditctl -w /production/
    以上命令对/production目录进行保护。


    查看审计日志
    添加规则后,我们可以查看 auditd 的日志。使用 ausearch 工具可以查看auditd日志。
    sudo ausearch -f /etc/passwd

    -f 设定ausearch 调出 /etc/passwd文件的审计内容

    查看审计报告

    以上命令返回log如下:
    time->Mon Dec 22 09:39:16 2016
    type=PATH msg=audit(1419215956.471:194): item=0 name="/etc/passwd"
    inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
    type=CWD msg=audit(1419215956.471:194): cwd="/home/somebody"
    type=SYSCALL msg=audit(1419215956.471:194): arch=40000003 syscall=5
    success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231 auid=4294967295
    uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

    comm="sudo" exe="/usr/bin/sudo" key=(null)
    time : 审计时间。
    name : 审计对象
    cwd : 当前路径
    syscall : 相关的系统调用
    auid : 审计用户ID
    uid 和 gid : 访问文件的用户ID和用户组ID
    comm : 用户访问文件的命令
    exe : 上面命令的可执行文件路径

    备注:随笔中内容来源于网上资料整理,仅供参考。

    转载于:https://www.cnblogs.com/Alanf/p/8653395.html

    展开全文

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 54,781
精华内容 21,912
关键字:

信息系统安全审计内容