XX单位安全审计平台建设建议方案.docx
- 文档编号:2809869
- 上传时间:2022-11-15
- 格式:DOCX
- 页数:16
- 大小:508.19KB
XX单位安全审计平台建设建议方案.docx
《XX单位安全审计平台建设建议方案.docx》由会员分享,可在线阅读,更多相关《XX单位安全审计平台建设建议方案.docx(16页珍藏版)》请在冰豆网上搜索。
XX单位安全审计平台建设建议方案
按需构建协同部署
XX单位安全审计平台建设
建议方案
网御神州科技(北京)有限公司
2009年2月24日
文档信息
文档名称
XX单位安全审计平台建设建议方案
文档管理编号
保密级别
商业机密
文档版本号
V1.0
制作人
王铁成
制作日期
2009-02-24
复审人
孙立波
复审日期
扩散范围
XX单位、网御神州项目组
扩散批准人
王铁成
文档说明
本文档是网御神州科技(北京)有限公司(以下简称为网御神州)为XX单位(以下简称为XX单位)提交的安全审计平台建设建议方案,供XX单位安全管理相关人员阅读。
文中的资料、说明等相关内容归网御神州所有。
本文中的任何部分未经网御神州许可,不得转印、影印或复印。
版本变更记录
时间
版本
说明
修改人
2009-02-24
1.0
文档创建
王铁成
项目概述
XX单位非常重视信息化建设,各类相关业务都在朝着无纸化、网络化、智能化应用的方向发展。
依托网络、借助信息化建设成果开展工作,已经成为XX单位提高办公效率、服务内部客户的重要手段。
伴随XX单位信息化建设正不断向基层延伸,安全问题的复杂性日益加大,如内部业务数据、重要敏感文件通过数据库访问、远程终端访问(TELNET、FTP等)、网络文件共享(NETBIOS)等方式被篡改、泄露和窃取等,而这些威胁绝大部分与内部各种网络访问行为有关。
目前的情况是,XX单位早期采取的相关安全措施已经无法应对新一代的信息安全问题,无法有效保障各类业务的正常应用。
另外在公安部颁布的信息系统等级保护的基本技术要求中,从第二级开始,针对网络安全、主机安全、应用安全都有明确的安全审计控制点。
在信息系统等级保护的管理要求中,“安全事件处置”控制点从第二级开始要求对日志和告警事件进行存储;从第三级开始提出了“监控管理与安全管理中心”的控制点要求。
如何对业务系统访问和网络行为进行有效的审计、监控,已经成为XX单位重点关注的问题。
一.方案设计依据与原则
一.1方案设计依据
在进行XX单位安全审计平台建设方案设计、规划时,本方案依照公安部颁布的《信息系统安全等级保护基本要求》对各级安全要求中安全审计控制点的要求从安全日志审计、业务审计两个方面对XX单位安全审计平台的建设进行规划和设计,并在本方案附录A中对各级安全要求中的安全审计控制点要求进行了归纳整理。
一.2方案设计原则
在进行XX单位安全审计平台建设方案设计、规划时,本方案遵循以下原则:
Ø完整性原则
信息安全建设必需保证整个防御体系的完整性。
一个较好的安全措施往往是多种方法适当综合的应用结果。
单一的安全产品对安全问题的发现处理控制等能力各有优劣,从安全性的角度考虑需要不同安全产品之间的安全互补,通过这种对照、比较,可以提高系统对安全事件响应的准确性和全面性。
Ø经济性原则
根据保护对象的价值、威胁以及存在的风险,制定保护策略,使得系统的安全和投资达到均衡,避免低价值对象采用高成本的保护,反之亦然。
Ø动态性原则
随着网络脆弱性的改变和威胁攻击技术的发展,使网络安全变成了一个动态的过程,静止不变的产品根本无法适应网络安全的需要。
所选用的安全产品必须及时地、不断地改进和完善,及时进行技术和设备的升级换代,只有这样才能保证系统的安全性。
Ø专业性原则
攻击技术和防御技术是网络安全的一对矛盾体,两种技术从不同角度不断地对系统的安全提出了挑战,只有掌握了这两种技术才能对系统的安全有全面的认识,才能提供有效的安全技术、产品、服务,这就需要从事安全的公司拥有大量专业技术人才,并能长期的进行技术研究、积累,从而全面、系统、深入的为用户提供服务。
Ø可管理性原则
由于国内的一些企事业单位独有的管理特色,安全系统在部署的时候也要适合这种管理体系,如分布、集中、分级的管理方式在一个系统中同时要求满足。
Ø标准性原则
遵守国家标准、行业标准以及国际相关的安全标准,是构建系统安全的保障和基础。
Ø可控性原则
系统安全的任何一个环节都应有很好的可控性,他可以有效的保证系统安全在可以控制的范围,而这一点也是安全的核心。
这就要求对安全产品本身的安全性和产品的可客户化。
Ø易用性原则
安全措施要由人来完成,如果措施过于复杂,对人的要求过高,一般人员难以胜任,有可能降低系统的安全性。
需求分析
一.3日志审计需求分析
XX单位在IT信息安全领域面临比以往更为复杂的局面。
一方面,网络中的各种网络设备、安全设备、主机、应用和业务系统在工作中都产生了大量的安全日志,却没有统一的进行管理,使得各个系统之间缺乏协同,整体安全无法得到保障。
另一方面如何满足《信息系统安全等级保护基本要求》中对日志审计的各项要求,、以及持续增强的业务持续性需求,也对当前XX单位日志审计提出了严峻的挑战。
综上所述,XX单位迫切迫切需要一个全面的、面向IT计算环境的、集中的安全审计平台及其系统,这个系统能够收集来自XX单位计算环境中各种设备和应用的安全日志,并进行存储、监控、分析、报警、响应和报告。
一.4业务审计需求分析
随着信息和网络技术的普及,XX单位的核心业务信息系统不断的网络化,随之而来的就是面临的信息安全风险日益增加。
而这些安全风险中,来自内部的违规操作和信息泄漏最为突出。
由于XX单位的核心业务系统(例如数据库系统、核心业务主机系统)都实现了网络化访问,内部用户可以方便地利用内部网络通过各种通讯协议进行刺探,获取、删除或者篡改重要的数据和信息。
同时,一些内部授权用户由于对系统不熟悉而导致的误操作也时常给业务系统造成难以恢复的损失。
为了加强国家信息安全管理,公安部颁布了《信息系统安全等级保护基本要求》,并从第二级开始就提出了对业务应用系统重要安全事件进行审计的要求。
综上所述,XX单位迫切需要专门针对网络业务系统进行行为审计。
方案设计
根据XX单位网络安全现状,依据上面所做的风险风险和需求分析,结合网御神州在安全行业的成功经验,本方案推荐使用网御神州“SecFox-LAS”日志审计系统和“SecFox-NBA”网络行为审计系统(业务审计型),以保障关键业务系统安全为中心出发点,从综合日志审计、关键业务访问监控和审计、内网机密信息保护等多个角度来搭建一个功能完善的关键业务审计平台,实现全网综合安全审计,满足《信息系统安全等级保护基本要求》中的提出的各项安全审计要求。
产品部署示意图如下图所示:
一.5日志审计解决方案
一.5.1网御神州日志审计系统介绍
SecFox-LAS(LogAuditSystem)日志安全审计系统作为一个统一日志监控与审计平台,能够实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计。
SecFox-LAS能够实时地对采集到的不同类型的信息进行归并和实时分析,通过统一的控制台界面进行实时、可视化的呈现,协助安全管理人员迅速准确地识别安全事故,消除了管理员在多个控制台之间来回切换的烦恼,同时提高工作效率。
SecFox-LAS能够实时采集NetFlow数据流,对一段时间内的网络流量或者网络连接数进行统计,并描绘趋势曲线。
通过对某个IP地址的流量趋势分析获悉该IP地址的访问流量模型,进而对异常流量和行为进行审计。
SecFox-LAS能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,实现安全审计的管理闭环。
SecFox-LAS为客户提供了丰富的报表,使得管理人员能够从各个角度对企业和组织的安全状况进行审计,并自动、定期地产生报表。
SecFox-LAS紧扣信息系统等级保护中对安全审计的技术要求和对安全事件处置的管理要求,提供了一个面向等级保护的审计包。
一.5.2网御神州日志审计系统产品特点
SecFox-LAS安全审计平台的主要特点包括:
Ø统一日志监控
Ø全面日志审计
Ø符合等级保护要求的安全审计
Ø日志归并和实时分析
Ø集中日志存储
Ø趋势分析
Ø快速响应
Ø事后分析
Ø报表报告
一.5.2.1统一日志监控
SecFox-LAS将企业和组织的IT计算环境中部署的各类网络或安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来,使得用户通过单一的管理控制台对IT计算环境的安全信息(日志)进行统一监控。
借助SecFox-LAS的统一日志监控,用户不必时常在多个控制台软件之间来回切换、浪费宝贵的时间。
与此同时,由于企业和组织的所有安全信息都汇聚到一起,使得用户可以全面掌控IT计算环境的安全状况,对安全威胁做出更加准确的判断。
一.5.2.2全面日志审计
SecFox-LAS能够对企业和组织的IT计算环境中各类网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。
一.5.2.3符合等级保护要求的日志审计
在信息系统等级保护的基本技术要求中,从第二级开始,针对网络安全、主机安全、应用安全都有明确的安全审计控制点。
在信息系统等级保护的管理要求中,“安全事件处置”控制点从第二级开始要求对日志和告警事件进行存储;从第三级开始提出了“监控管理与安全管理中心”的控制点要求。
SecFox-LAS提供了与上述要求相一致的实时审计场景,以及各种面向等级保护的统计报表模板。
一.5.2.4日志归并和实时分析
SecFox-LAS收集企业和组织中的所有安全日志和告警信息,在归并后通过智能日志分析引擎,帮助安全管理员实时进行日志分析,迅速识别安全事故,从而及时做出响应。
SecFox-LAS为安全管理员提供了一套强大的实时分析工具。
用户可以定义不同的实时分析场景,从不同的观察角度对来自企业和组织各个角落的安全日志进行准实时分析,通过分析引擎对安全日志进行实时分析、统计和趋势分析。
SecFox-LAS为用户内置了大量的实时分析场景,从设备类型、操作系统类型、应用类型、日志等级、性能、协议等不同角度为用户提供了全面监视IT网络安全的工具。
SecFox-LAS实时分析为用户提供了一套进行深入的日志审计与追踪的工具——事件调查工具。
借助网御神州独有的启发式事件搜索技术(HeuristicEventSearchingTechnology),管理员通过事件调查工具可以对某条感兴趣的日志中的源IP地址、目的IP地址、或者目的端口进行相关性日志检索。
一.5.2.5集中日志存储
SecFox-LAS可以将采集来的所有日志、事件和告警信息统一存储起来,建立一个企业和组织的集中日志存储系统,实现了国家标准和法律法规中对于日志存储的强制性要求,降低了日志分散存储的管理成本,提高了日志管理的可靠性,消除了本地日志存储情况下可能被抹掉的危险,也为日后出现安全事故的时候增加了一个追查取证的信息来源和依据。
SecFox-LAS具有海量日志接收和存储的能力。
在优化的硬件配置下,单个SecFox-LAS系统能够以每秒30000条的规模接收日志,以每秒15000条的规模处理和分析日志,并能够在线存储多达10亿条日志记录,相当于管理约800G的数据量。
加上系统的数据归档与离线存储功能,SecFox-LAS能够存储的数据量大小仅取决于服务器磁盘存储空间的大小。
借助SecFox-LAS分布式部署的方案,日志存储性能还能提升。
SecFox-LAS在进行数据管理的时候,对数据存储算法进行了充分优化,使得
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 单位 安全 审计 平台 建设 建议 方案