某政府机构业务审计系统技术建议书

数据安全平台--基础安全平台设计与开发项目审计系统部分技术建议书上海信息技术有限公司2015年1月i目录1.综述..............................................11.1.遵循的标准.....................................11.1.1.遵循的国际国内标准和规范..........................11.1.2.参考的企业标准、规范和指南........................12.需求分析..........................................22.1.现状...........................................22.2.需求分析.......................................22.2.1.用户权限分配......................................22.2.2.数据操作命令、内容审计............................22.2.3.核心数据访问控制..................................22.2.4.审计数据收集、报告................................23.审计系统设计方案..................................33.1.SNAM系统工作原理..............................43.1.1.基本工作原理......................................43.1.2.系统安全性设计....................................73.1.3.负面影响评价......................................73.1.4.交换机性能影响评价................................83.2.设计方案及系统配置............................103.2.1.详细配置方案.....................................103.2.2.功能内容实现.....................................113.3.主要功能介绍..................................133.4.审计及响应....................................133.4.1.面向业务和操作者的审计和响应.....................133.4.2.定制审计事件规则.................................133.4.3.基于业务特征的规则库.............................14ii3.4.4.多种响应方式.....................................143.4.5.实时跟踪和回放...................................143.5.审计报告输出..................................153.5.1.基于审计策略生成审计报告.........................153.5.2.多种筛选条件.....................................153.6.审计管理......................................153.7.第三方接口....................................15业务网审计系统技术建议书上海信息技术有限公司第1页1.综述1.1.遵循的标准1.1.1.遵循的国际国内标准和规范符合ISO、ITU-T、ETSI、IMTC、IEEE、IETF等有关标准。ISO-17799/BS7799信息安全管理体系国际标准CC–ISO15408和GB/T18336信息技术安全性评估准则ISO-13335IT安全管理指南工作流管理联盟WFMC定义的工作流标准软件开发服从ISO9001AS/NZS4360:风险管理1.1.2.参考的企业标准、规范和指南熙菱信息信息安全保障框架(VISAF)系列模型熙菱信息安全管理支撑平台(V-SMSS/SOSS)系列规范书业务网审计系统技术建议书上海信息技术有限公司第2页2.需求分析2.1.现状敏感信息可能遭受越权访问、违规操作、恶意篡改、信息泄漏等威胁，数据中心操作人员等合法用户的权限也有可能被误用或滥用，如其对数据库进行日常管理的过程中，对数据库中的对象进行的误操作。2.2.需求分析2.2.1.用户权限分配对每个用户分配最小权限，限定其执行特定操作的能力和其对特定方案对象执行操作的能力。2.2.2.数据操作命令、内容审计对数据库中的某些关键对象（例如考生基本信息、成绩、录取情况等表对象）进行重点保护，对针对这些数据的操作命令和操作内容进行审计。防止这些核心业务对象被具有数据库系统访问权限的用户有意或无意的删除或破坏。2.2.3.核心数据访问控制进一步控制入侵者可能对数据库系统产生的攻击，规范考试院数据库的使用制度。实现对于非内部IP、非正常工作时间段，非应用系统的各类客户端等禁止访问核心数据。2.2.4.审计数据收集、报告提供审计自动收集、监视和报告流程，及时发现和追踪各种违规操作。业务网审计系统技术建议书上海信息技术有限公司第3页3.审计系统设计方案通过对IT系统现状的分析和安全需求分析，归结起来，我们认为IT信息系统目前迫切需要解决以下几方面的安全问题：1.引入集中用户管理技术，将全系统的用户进行集中管理，一方面降低系统管理的复杂度和难度，更重要的是通过用户的集中管理来规避用户管理混乱的问题，从而使得全系统的用户管理可以严格地按照相关的安全规定、安全策略来有效地实施。2.引入强身份认证技术，提升原有的身份认证强度，杜绝出现口令泄漏、共用账号、盗用账号等问题。3.引入审计机制，不仅要对对网络访问的结果进行监督，更重要的是要对访问过程进行全程的监督。4.在审计的基础上，引入访问控制机制，更合理地管理IT系统的资源及其访问权限。审计是一种事后稽查机制，更多地起到威慑和事后追查的作用；而控制机制则可以有效地遏制信息资源的盗用、滥用，避免信息资产遭到人为的破坏。在充分理解IT系统安全需求的前提下，我们也注意到：进行本次IT系统的安全建设，最终的目的是要使得IT系统更加稳定、有序，因此，对安全系统提出了很高的要求，即：安全技术的实施，应尽量减少对原系统的绕动，包括对原系统稳定性、处理能力的影响等，应该降低到最小的程度。基于上述的情况，我公司提出了以SNAM网络安全审计系统为核心，建设IT系统集中审计系统的设计方案。下面首先对SNAM系统的基本工作原理进行简单的介绍。业务网审计系统技术建议书上海信息技术有限公司第4页3.1.SNAM系统工作原理SNAM网络安全审计系统基于“IP数据俘获→应用层数据分析→审计和响应”实现各项功能，设计中充分贯彻了平台化的思路；由于采用旁路接入的工作模式，使得SNAM系统在实现各种安全功能的同时，对原系统的绕动和影响降到最低。SNAM网络安全审计系统主要实现以下安全功能：1.应用级的安全审计和响应：特有的“审计策略库”可以深入到应用层协议（如操作命令、业务操作过程）实现详细的安全审计，并根据安全策略采取诸如记录、审计、告警、阻断等响应。2.提供多视角的审计报告：根据实时记录的网络访问情况，提供多种安全审计报告，更清晰地了解系统的使用情况以及安全事件的发生情况，并可根据这些安全审计报告进一步修改和完善“审计策略库”。3.1.1.基本工作原理SNAM网络安全审计系统由以下3大部分构成：1.审计展现中心：SNAM管理控制台，安装于Windows系列操作系统之上，提供管理控制界面，审计报表的输出等；2.SNAM监测服务器：基于专门硬件构建，根据安全策略对俘获的数据进行比对、分析，并做出响应动作，如告警、阻断等。监测服务器的“嗅探端口”需要连接到交换机的“镜像目的”端口上，以获取网络通信数据；“管理和阻断”端口需要分配一个合法的IP地址，连接到交换机的普通通信端口上。3.SNAM审计服务器：基于专门硬件构建，主要用于接收SNAM监测服务器的数据、负责审计数据的存储。需要分配一个合法的IP地址，连接到交换机的普通通信端口上。业务网审计系统技术建议书上海信息技术有限公司第5页实时审计和控制的实现实时审计和控制功能由SNAM网络监测服务器完成，SNAM网络监测服务器有两种类型的端口：1.信息嗅探端口：用于俘获需要审计的通信数据，一般连接到交换机的数据镜像目的端口，无需设置IP地址；信息嗅探端口的数量可以根据需要、审计流量、审计策略数等进行配置。2.管理端口：用于与SNAM审计服务器，交互管理信息、传递审计信息，一般连接到交换机的普通数据通信端口，需要设置一个IP地址，并且能被SNAM审计服务器访问到；SNAM网络监测服务器通过“管理端口”接受管理，并从SNAM审计服务器那里获取所有的安全策略。SNAM网络监测服务器通过“信息嗅探端口”获取通信流量进行解析，使用“审计策略库”对过往的信息进行实时的比对，当发现越权访问或违规操作时，通过“管理端口”同时向客户端和受保护的主机和服务发出阻断信息；需要审计记录的原始信息、审计信息则通过“管理端口”发送给SNAM审计服务器进行存储和整理。SNAM系统独具特色的“审计策略库”设计，使得SNAM系统不但具备了功能强大的安全审计功能，更使得SNAM系统具备了网络安全分析工具及“应用层IDS”的特征。用户可以自己定义符合业务特征的“应用策略库”。SNAM系统在配置不同类型的“审计策略库”后，即具备了应用层审计及响应的功能。例如，如果配置了“数据库策略库”，即可对数据库操作进行命令级的审计和响应；如果配置了“管理策略库，即可对FTP/Telnet等管理协议进行命令级的审计和响应。“审计策略库”使得用户可以灵活地制定数据俘获、安全审计及响应策略，根据系统实际的运行情况输出恰当的审计报告，更全面、更有重点地了解和掌握系统的运行状况。随着研发工作的不断深入，熙菱信息还会根据不同的应用协议或应用系统开发出具备应用特征、行业特征的“审计策略库”。这也是SNAM系统最具生命力的特点：随着SNAM业务网审计系统技术建议书上海信息技术有限公司第6页系统的应用和“审计策略库”的及时更新，SNAM系统所提供的功能将越来越丰富、越来越接近用户的实际使用需求。审计信息的整理和输出审计信息的整理、输出，以及各种安全策略的解析、存储、分发等，均由SNAM审计服务器完成。SNAM审计服务器采用经裁减、加固、改进的专用操作系统，并安装了熙菱信息针对SNAM系统数据管理要求自行设计的数据库，各种审计信息、、安全策略信息均存储在该数据库中。另外，依据型号的不同，在SNAM审计服务器中设计有不同容量的磁盘整列，以满足大数据量存储和访问的要求。在SNAM管理控制台上，提供了多种查询方法，并允许用户自行定义审计报表的内容。SNAM系统同时也提供了用户可自定义内容的审计报表输出功能，通过SNAM管理控制台，管理员可以自定义审计报表，并可将审计报表存储为一个.html格式的文件，或者在打印机上进行打印。SNAM展现中心，提供如下内容：提供了审计事件、审计会话、审计流量、系统用户操作等信息的查询和统计功能审计事件和审计会话查询支持引擎、用户、协议、客户端IP、服务器端IP、客户端端口、服务器端端口、主机、事件级别、规则列表、登录系统帐号、关键字等条件的输入查询，要可满足用户对于查询的需求。条件模板管理，对于用户常用的条件，制作成模板，不需要每次重新输入。系统默认内置了30多种报表用户自定义报表功能支持分页功能，查询速度大大提高