XX单位安全审计平台建设建议方案

按需构建协同部署XX单位安全审计平台建设建议方案网御神州科技（北京）有限公司2009年2月24日XX单位安全审计平台建设建议方案第1页©2020网御神州密级：商业机密文档信息文档名称XX单位安全审计平台建设建议方案文档管理编号保密级别商业机密文档版本号V1.0制作人王铁成制作日期2009-02-24复审人孙立波复审日期扩散范围XX单位、网御神州项目组扩散批准人王铁成文档说明本文档是网御神州科技（北京）有限公司（以下简称为网御神州）为XX单位（以下简称为XX单位）提交的安全审计平台建设建议方案，供XX单位安全管理相关人员阅读。文中的资料、说明等相关内容归网御神州所有。本文中的任何部分未经网御神州许可，不得转印、影印或复印。版本变更记录时间版本说明修改人2009-02-241.0文档创建王铁成XX单位安全审计平台建设建议方案第2页©2020网御神州密级：商业机密目录一.项目概述......................................................................................................................3二.方案设计依据与原则..................................................................................................42.1方案设计依据...................................................................................................42.2方案设计原则...................................................................................................4三.需求分析......................................................................................................................63.1日志审计需求分析...........................................................................................63.2业务审计需求分析...........................................................................................6四.方案设计......................................................................................................................74.1日志审计解决方案...........................................................................................84.1.1网御神州日志审计系统介绍....................................................................84.1.2网御神州日志审计系统产品特点............................................................84.2业务审计解决方案.........................................................................................144.2.1网御神州业务审计系统产品介绍..........................................................144.2.2网御神州业务审计系统产品特点..........................................................15五.方案产品列表............................................................................................................22六.方案结论....................................................................................................................23XX单位安全审计平台建设建议方案第3页©2020网御神州密级：商业机密一.项目概述XX单位非常重视信息化建设，各类相关业务都在朝着无纸化、网络化、智能化应用的方向发展。依托网络、借助信息化建设成果开展工作，已经成为XX单位提高办公效率、服务内部客户的重要手段。伴随XX单位信息化建设正不断向基层延伸，安全问题的复杂性日益加大，如内部业务数据、重要敏感文件通过数据库访问、远程终端访问(TELNET、FTP等)、网络文件共享（NETBIOS）等方式被篡改、泄露和窃取等，而这些威胁绝大部分与内部各种网络访问行为有关。目前的情况是，XX单位早期采取的相关安全措施已经无法应对新一代的信息安全问题，无法有效保障各类业务的正常应用。另外在公安部颁布的信息系统等级保护的基本技术要求中，从第二级开始，针对网络安全、主机安全、应用安全都有明确的安全审计控制点。在信息系统等级保护的管理要求中，“安全事件处置”控制点从第二级开始要求对日志和告警事件进行存储；从第三级开始提出了“监控管理与安全管理中心”的控制点要求。如何对业务系统访问和网络行为进行有效的审计、监控，已经成为XX单位重点关注的问题。XX单位安全审计平台建设建议方案第4页©2020网御神州密级：商业机密二.方案设计依据与原则2.1方案设计依据在进行XX单位安全审计平台建设方案设计、规划时，本方案依照公安部颁布的《信息系统安全等级保护基本要求》对各级安全要求中安全审计控制点的要求从安全日志审计、业务审计两个方面对XX单位安全审计平台的建设进行规划和设计，并在本方案附录A中对各级安全要求中的安全审计控制点要求进行了归纳整理。2.2方案设计原则在进行XX单位安全审计平台建设方案设计、规划时，本方案遵循以下原则：完整性原则信息安全建设必需保证整个防御体系的完整性。一个较好的安全措施往往是多种方法适当综合的应用结果。单一的安全产品对安全问题的发现处理控制等能力各有优劣，从安全性的角度考虑需要不同安全产品之间的安全互补，通过这种对照、比较，可以提高系统对安全事件响应的准确性和全面性。经济性原则根据保护对象的价值、威胁以及存在的风险，制定保护策略，使得系统的安全和投资达到均衡，避免低价值对象采用高成本的保护，反之亦然。动态性原则随着网络脆弱性的改变和威胁攻击技术的发展，使网络安全变成了一个动态的过程，静止不变的产品根本无法适应网络安全的需要。所选用的安全产品必须及时地、不断地改进和完善，及时进行技术和设备的升级换代，只有这样才能保证系统的安全性。专业性原则攻击技术和防御技术是网络安全的一对矛盾体，两种技术从不同角度不断地对系XX单位安全审计平台建设建议方案第5页©2020网御神州密级：商业机密统的安全提出了挑战，只有掌握了这两种技术才能对系统的安全有全面的认识，才能提供有效的安全技术、产品、服务，这就需要从事安全的公司拥有大量专业技术人才，并能长期的进行技术研究、积累，从而全面、系统、深入的为用户提供服务。可管理性原则由于国内的一些企事业单位独有的管理特色，安全系统在部署的时候也要适合这种管理体系，如分布、集中、分级的管理方式在一个系统中同时要求满足。标准性原则遵守国家标准、行业标准以及国际相关的安全标准，是构建系统安全的保障和基础。可控性原则系统安全的任何一个环节都应有很好的可控性，他可以有效的保证系统安全在可以控制的范围，而这一点也是安全的核心。这就要求对安全产品本身的安全性和产品的可客户化。易用性原则安全措施要由人来完成，如果措施过于复杂，对人的要求过高，一般人员难以胜任，有可能降低系统的安全性。XX单位安全审计平台建设建议方案第6页©2020网御神州密级：商业机密三.需求分析3.1日志审计需求分析XX单位在IT信息安全领域面临比以往更为复杂的局面。一方面，网络中的各种网络设备、安全设备、主机、应用和业务系统在工作中都产生了大量的安全日志，却没有统一的进行管理，使得各个系统之间缺乏协同，整体安全无法得到保障。另一方面如何满足《信息系统安全等级保护基本要求》中对日志审计的各项要求，、以及持续增强的业务持续性需求，也对当前XX单位日志审计提出了严峻的挑战。综上所述，XX单位迫切迫切需要一个全面的、面向IT计算环境的、集中的安全审计平台及其系统，这个系统能够收集来自XX单位计算环境中各种设备和应用的安全日志，并进行存储、监控、分析、报警、响应和报告。3.2业务审计需求分析随着信息和网络技术的普及，XX单位的核心业务信息系统不断的网络化，随之而来的就是面临的信息安全风险日益增加。而这些安全风险中，来自内部的违规操作和信息泄漏最为突出。由于XX单位的核心业务系统（例如数据库系统、核心业务主机系统）都实现了网络化访问，内部用户可以方便地利用内部网络通过各种通讯协议进行刺探，获取、删除或者篡改重要的数据和信息。同时，一些内部授权用户由于对系统不熟悉而导致的误操作也时常给业务系统造成难以恢复的损失。为了加强国家信息安全管理，公安部颁布了《信息系统安全等级保护基本要求》，并从第二级开始就提出了对业务应用系统重要安全事件进行审计的要求。综上所述，XX单位迫切需要专门针对网络业务系统进行行为审计。XX单位安全审计平台建设建议方案第7页©2020网御神州密级：商业机密四.方案设计根据XX单位网络安全现状，依据上面所做的风险风险和需求分析，结合网御神州在安全行业的成功经验，本方案推荐使用网御神州“SecFox-LAS”日志审计系统和“SecFox-NBA”网络行为审计系统（业务审计型），以保障关键业务系统安全为中心出发点，从综合日志审计、关键业务访问监控和审计、内网机密信息保护等多个角度来搭建一个功能完善的关键业务审计平台，实现全网综合安全审计，满足《信息系统安全等级保护基本要求》中的提出的各项安全审计要求。产品部署示意图如下图所示：核心路由器防火墙核心交换机接入交换机接入交换机接入交换机互联网服务器区安全管理区办公区SecFox-LAS日志审计系统审计管理中心SecFox-NBA行为审计系统（业务型）XX单位安全审计平台建设建议方案第8页©2020网御神州密级：商业机密4.1日志审计解决方案4.1.1网御神州日志审计系统介绍SecFox-LAS（LogAuditSystem）日志安全审计系统作为一个统一日志监控与审计平台，能够实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到审计中心，实现全网综合安全审计。SecFox-LAS能够实时地对采集到的不同类型的信息进行归并和实时分析，通过统一的控制台界面进行实时、可视化的呈现，协助安全管理人员迅速准确地识别安全事故，消除了管理员在多个控制台之间来回切换的烦恼，同时提高工作效率。SecFox-LAS能够实时采集NetFlow数据流，对一段时间内的网络流量或者网络连接数进行统计，并描绘趋势曲线。通过对某个IP地址的流量趋势分析获悉该IP地址的访问流量模型，进而对异常流量和行为进行审计。SecFox-LAS能够自动地或者在管理员人工干预的