1、 Xx 信息安全等级保护(三级)建设方案 目录 1.前言.错误错误!未定义书签。未定义书签。1.1 概述.错误错误!未定义书签。未定义书签。1.2 相关政策及标准.错误错误!未定义书签。未定义书签。2.现状及需求分析.错误错误!未定义书签。未定义书签。2.1.现状分析.错误错误!未定义书签。未定义书签。2.2.需求分析.错误错误!未定义书签。未定义书签。3.等保三级建设总体规划.错误错误!未定义书签。未定义书签。3.1.网络边界安全建设.错误错误!未定义书签。未定义书签。3.2.日记集中审计建设.错误错误!未定义书签。未定义书签。3.3.安全运维建设.错误错误!未定义书签。未定义书签。3.4.
2、等保及安全合规性自查建设.错误错误!未定义书签。未定义书签。3.5.建设方案优势总结.错误错误!未定义书签。未定义书签。4.等保三级建设相关产品介绍.错误错误!未定义书签。未定义书签。4.1.网络边界安全防护.错误错误!未定义书签。未定义书签。4.1.1 标准规定.错误错误!未定义书签。未定义书签。4.1.2 明御下一代防火墙.错误错误!未定义书签。未定义书签。4.1.3 明御入侵防御系统(IPS).错误错误!未定义书签。未定义书签。4.2.日记及数据库安全审计.错误错误!未定义书签。未定义书签。4.2.1 标准规定.错误错误!未定义书签。未定义书签。4.2.2 明御综合日记审计平台.错误错误
3、!未定义书签。未定义书签。4.2.3 明御数据库审计与风险控制系统.错误错误!未定义书签。未定义书签。4.3.安全运维审计.错误错误!未定义书签。未定义书签。4.3.1 标准规定.错误错误!未定义书签。未定义书签。4.3.2 明御运维审计和风险控制系统.错误错误!未定义书签。未定义书签。4.4.核心 WEB 应用安全防护.错误错误!未定义书签。未定义书签。4.3.1 标准规定.错误错误!未定义书签。未定义书签。4.3.2 明御 WEB 应用防火墙.错误错误!未定义书签。未定义书签。4.3.3 明御网站卫士.错误错误!未定义书签。未定义书签。4.5.等保及安全合规检查.错误错误!未定义书签。未定
4、义书签。4.5.1 标准规定.错误错误!未定义书签。未定义书签。4.5.2 明鉴 WEB 应用弱点扫描器.错误错误!未定义书签。未定义书签。4.5.3 明鉴数据库弱点扫描器.错误错误!未定义书签。未定义书签。4.5.4 明鉴远程安全评估系统.错误错误!未定义书签。未定义书签。4.5.5 明鉴信息安全等级保护检查工具箱.错误错误!未定义书签。未定义书签。4.6.等保建设征询服务.错误错误!未定义书签。未定义书签。4.6.1 服务概述.错误错误!未定义书签。未定义书签。4.6.2 安全服务遵循标准.错误错误!未定义书签。未定义书签。4.6.3 服务内容及客户收益.错误错误!未定义书签。未定义书签。
5、5.等保三级建设配置建议.错误错误!未定义书签。未定义书签。1.前言 1.1 概述 随着互联网金融的快速发展,金融机构对信息系统的依赖限度日益增高,信息安全的问题也越来越突出。同时,由于利益的驱使,针对金融机构的安全威胁越来越多,特别是涉及民生与金融相关的单位,收到袭击的次数日渐频繁,相关单位必须加强自身的信息安全保障工作,建立完善的安全机制来抵御外来和内在的信息安全威胁。为提高我国重要信息系统整体信息安全管理水平和抗风险能力。国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于 2023 年联合颁布 861 号文献关于开展全国重要信息系统安全等级保护定级工作的告知和信息安全等级保
6、护管理办法,规定涉及国计民生的信息系统应达成一定的安全等级,根据文献精神和等级划分的原则,涉及到政府机关、金融等核心信息系统,构筑至少应达成三级或以上防护规定。互联网金融行业是关系经济、社会稳定等的重要单位,等级保护制度的确立和实行,无疑对互联网金融单位加快自身信息安全建议具有前瞻性、系统性的指导意义。从国家层面上看,在重点行业、单位推行等级保护制度是关系到国家信息安全的大事,为保证重要行业和单位的等级保护信息系统顺利开展实行,同时出台了一系列政策文献来规范、指导和推动风险评估工作的进行,等级保护也积极响应各种标准和政策,以保障重点行业信息系统安全。1.2 相关政策及标准 国家相关部门对等级保
7、护安全规定相称重视,相继出台多个信息安全相关指导意见与法规,重要有:中华人民共和国计算机信息系统安全等级保护条例(国务院 147 号令)关于推动信息安全等级保护测评体系建设和开展等级测评工作的告知(公信安2023303)GB/T 22239-2023 信息安全技术 信息系统安全等级保护基本规定 GB/T209842023 信息安全技术 信息安全风险评估规范 GB17859-1999 信息系统安全等级保护测评准则 其中,目前等级保护等保重要安全依据,重要参照GB17859-1999 信息系统安全等级保护测评准则和GB/T 22239-2023 信息安全技术 信息系统安全等级保护基本规定,本方案亦
8、重要依据这两个标准,以其他规定为辅,来建立本技术方案。2.现状及需求分析 2.1.现状分析 xx 核心业务系统为互联网客户提供在线业务以及线下业务支持。通过该系统平台,实现互联网金融业务信息全面融合、集中管理、内部管理的流程化、标准化和信息化,为 xx管理工作提供全面的系统支持。该系统定级为安全保护等级三级,通过第三方测评、整体分析与风险分析,xx 业务系统中存在与国家等级保护三级标准规定不符合项。2.2.需求分析 为了满足达成国家 GB/T 22239-2023信息技术信息系统安全等级保护基本规定相应的等级保护能力规定,xx 业务管理系统启动等级保护安全整改工作,以增强系统的安全防护能力,有
9、效抵御内部和外部威胁,为切实达成国家及行业信息安全等级保护相应规定,使xx 业务管理系统在现有运营环境下风险可控,可认为 xx 客户及内部各部门提供安全、稳定的业务服务。本次方案结合初步检查报告,由于 xx 业务系统只采用防护墙进行安全防护措施,针对安全运维管理、应用层安全防护、第三方日记审计、管理制度等方面的薄弱之处,建议部署相关安全防护设备,结合安全管理制度,将满足相应的等级保护防护能力。一、安全防护:安全防护设计网络安全、主机安全等多个测评内容,针对所发现的安全问题风险中,如网络边界未部署防恶意代码设备,可通过对重点系统的网络边界部署相应的安全防护设备来进行解决。二、审计分析:审计分析在
10、三级等级保护规定中,占据重要地位,涉及网络安全、主机安全、应用安全等诸多环节,xx 业务系统在第三方审计相关建设上缺少必要手段,并且对部分重要系统的安全现状难以了解,加强系统安全检测能力,和审计分析能力十分必要。三、安全运维:安全运维管理涉及网络安全、主机安全、安全运维管理,在所发现安全问题风险中,对远程设备进行双因子认证,实现特权用户分离,对网络用户的接入访问控制,敏感资源的访问控制等,可通过加强安全运维管理和部署相应管理设备加以解决。四、管理制度:管理制度的完善,在等级保护建设中具有非常重要的意义,通过第三方专业人员的现场指导、协助管理制度的完善、填补安全管理制度中的局限性,从管理制度整体
11、协助满足等级保护的相关规定。3.等保三级建设总体规划 根据现有安全形势特点,针对三级等级保护的各项规定,需针对网络边界安全、日记集中审计、安全运维、合规性自查四个层面进行建设,选择典型安全系统构建。3.1.网络边界安全建设 在网络边界处需加强对网络防护、WEB 应用防护措施,通过相关的网络安全设备部署核心链路中,按照信息安全等级保护标准进行建设。3.2.日记集中审计建设 数据库审计系统为旁路部署,需要将客户端请求数据库的的数据和数据库返回给客户端的数据双向镜像到一个互换机接口作为数据库审计设备的采集口,如需同时审计 WEB 应用的访问请求等同样需要把数据进行镜像。综合日记审计系统为旁路部署,仅
12、需要将系统分派好 IP 地址,对各型服务器、数据库、安全设备、网络设备配置日记发送方式,将自动收集各类设备的安全日记和运营日记,进行集中查询和管理。数据库弱点扫描器部署在专用电脑上,定期对数据库进行安全检测。3.3.安全运维建设 将运维审计与风险控制系统放置与办公内网,并设定各服务器、网络设备、安全设备的允许登录 IP,仅允许运维审计与风险控制系统可登录操作,运维和管理人员对各类服务器、网络设备、安全设备的操作,均需先得到运维审计与风险控制系统的许可,所有操作均会被运维审计与风险控制系统审计下来,并做到资源控制的设定。3.4.等保及安全合规性自查建设 为提高核心业务系统内部网络安全防护性能和抗
13、破坏能力,检测和评估已运营网络的安全性能,需一种积极积极的安全防护技术,提供了对内部袭击、外部袭击和误操作的实时保护,在网络系统受到危害之前可以提供安全防护解决措施,通过远程安全评估系统实现网络及系统合规性自查;为对核心业务系统提供配置安全保证,满足监管单位及行业安全规定,平衡信息系统安全付出成本与所可以承受的安全风险,遵行信息安全等级保护中对网络、主机、应用及数据四个安全领域的安全,需提供一套针对基线配置的安全检查工具,定期检查其配置方面的与安全基准的偏差措施;核心业务系统的信息安全等级保护建设过程中,以及在正式测评之前徐运用信息安全等级保护检查工具箱进行自测,根据结果和整改措施进行信息安全
14、建设。将工具箱的检测报告和整改措施建议作为整改的依据和参考的标准。由于信息安全是个动态的过程,整改完毕不代表信息安全建设工作完毕,可运用工具箱进行不断的自检自查。3.5.建设方案优势总结 通过安全运维、安全防护、审计分析、安全制度四部分的部署加固,满足事前检测(数据库弱点扫描器)、事中防护(明御 WEB 应用防火墙、运维审计与风险控制系统)、事后追溯(明御综合日记审计系统、明御数据库审计与风险控制系统)的安全规定,结合安全服务对管理制度的完善,提供对重要信息系统起到一体化安全防护,保证了核心应用和重要数据的安全。满足三级等级保护对相关检测项目的规定。一、通过部署事前检测工具,依据权威数据库安全
15、专家生成的最全面、最准确和最新的弱点知识库,提供对数据库“弱点、不安全配置、弱口令、补丁”等深层次安全检测及准确评估。通过 WEB 应用弱点扫描器及明鉴数据库弱点扫描器的部署,可以定期对 WEB 应用和数据库进行安全检测,从而发现安全问题及相关隐患后可以及时修补。二、通过部署事中防御设备,针对黑客的恶意进行全方位的袭击防护,防止各类对网站的恶意袭击和网页木马等,保证网站安全健康运营;同时采用智能异常引擎及关联引擎准确辨认复杂袭击,有效遏制应用层 DDOS 袭击,依靠高速环境下的线速捕获技术实现 100%的数据捕获,通过事件回放为安全事件的快速查询与定位、成因分析、责任认定提供有力证据,可采用直
16、连或者旁路部署模式,在无需更改现有网络结构及应用配置的情况下,可以对网站应用实时监控。通过网络安全网关、IPS、WEB 应用防火墙的部署,实现核心业务系统、应用的袭击防护,保证所定级的核心业务系统安全健康运营。三、通过部署事后追溯设备,一方面采用独有的三层审计的数据库审计设备实现 WEB应用与数据库的自动关联审计,并提供细粒度的安全审计,实时监控来自各个层面的所有数据库活动,涉及数据库操作请求、返回状态及返回结果集。另一方面通过综合日记审计平台对客户网络设备、安全设备、主机和应用系统日记进行全面的标准化解决,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,保证客户业务的不间断运营
17、安全。通过数据库审计与风险控制系统及综合日记审计系统实现网络设备、安全设备、数据存储、WEB 应用、数据库、主机及其它软硬件资产的日记审计,并可以进行行为的还原和回放。四、通过加强管理制度的建设,运用第三方安全公司长期在等级保护中的经验及专业的测评工具,帮助客户快速的对业务系统进行专业的自查并提供评估报告,以便客户后期更高效的通过等级保护测评,减少因自身经验局限性而产生的测评不通过的风险,减少在时间与金钱方面的损失。客户可以依托第三方安全公司在信息安全合规性建设中的经验,完善自身规章制度,摆脱繁琐的制度合规性审查并切实有效的提高自身管理水品。针对客户在等级保护建设中管理制度的经验局限性,提供合
18、规性制度解决方案,协助客户一起加强信息安全管理制度建设,并顺利的通过等级保护。4.等保三级建设相关产品介绍 4.1.网络边界安全防护 4.1.1 标准规定 1.1.1.1 访问控制(G3)本项规定涉及:a)应在网络边界部署访问控制设备,启用访问控制功能;b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;c)应对进出网络的信息内容进行过滤,实现相应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制;d)应在会话处在非活跃一定期间或会话结束后终止网络连接;e)应限制网络最大流量数及网络连接数;f)重要网段应采用技术手段防止地址欺骗;g)应按
19、用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;h)应限制具有拨号访问权限的用户数量。在网络边界部署安全网关。1.1.1.2 安全审计(G3)本项规定涉及:a)应对网络系统中的网络设备运营状况、网络流量、用户行为等进行日记记录;b)审计记录应涉及:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应可以根据记录数据进行分析,并生成审计报表;d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。部署专业的日记审计系统。1.1.1.3 边界完整性检查(S3)本项规定涉及:a)应可以对非授权设备私自联到内部网络的行为进行检查
20、,准拟定出位置,并对其进行有效阻断;部署终端安全管理系统,运用IP/MAC 绑定及 ARP 阻断功能实现非法接入控制。b)应可以对内部网络用户私自联到外部网络的行为进行检查,准拟定出位置,并对其进行有效阻断。部署终端安全管理系统,提供非法外联监控功能。1.1.1.4 入侵防范(G3)本项规定涉及:a)应在网络边界处监视以下袭击行为:端口扫描、强力袭击、木马后门袭击、拒绝服务袭击、缓冲区溢出袭击、IP 碎片袭击和网络蠕虫袭击等;b)当检测到袭击行为时,记录袭击源 IP、袭击类型、袭击目的、袭击时间,在发生严重入侵事件时应提供报警。部署入侵检测系统。1.1.1.5 恶意代码防范(G3)本项规定涉及
21、:a)应在网络边界处对恶意代码进行检测和清除;b)应维护恶意代码库的升级和检测系统的更新。部署病毒过滤网关系统。4.1.2 明御下一代防火墙 明御下一代防火墙 DAS-NGFW 是安恒公司自主研发、拥有知识产权的新一代安全网关产品。明御下一代防火墙基于角色、深度应用的多核安全架构突破了传统防火墙只是基于 IP和端口的防御机制。百兆到万兆的解决能力使明御下一代防火墙合用于多种网络环境,涉及中小公司级市场、政府机关、大型公司、电信运营商和数据中心等机构。丰富的软件功能为网络提供不同层次及深度的安全控制以及接入管理,例如基于角色深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过
22、滤、内容安全等。1)功能说明 功能 描述 部署方式 支持透明部署、路由部署、混合部署模式 袭击防护 TCP/IP 袭击防护(IP 碎片袭击、IP Option 袭击、IP 地址欺骗袭击、Land 袭击、Smurf 袭击、Fraggle 袭击、Huge ICMP 包袭击、ARP 欺骗袭击、WinNuke 袭击、Ping-of-Death 袭击、Teardrop 袭击)扫描保护(IP 地址扫描袭击、端口扫描袭击)Flood 保护(Syn Flood 袭击、ICMP Flood 袭击、UDP Flood 袭击、DNS Query Flood 袭击)二层袭击防护(IP-MAC 静态绑定、主机防御、AR
23、P 防护、DHCP Snooping)网络行为控制 URL 过滤:对用户访问某类网站进行控制和审计 网页关键字:对用户访问具有某关键字的网页(涉及 HTTPS 加密网页)进行控制和审计 Web 外发信息:对用户在某网站(涉及 HTTPS 加密网站)发布信息或者发布具有某关键字信息进行控制和审计 邮件过滤:对用户使用 SMTP 协议及 Webmail 外发邮件(涉及 Gmail加密邮件)进行控制和审计 网络聊天:对用户通过即时通讯工具聊天进行控制和审计 应用行为控制:对 FTP 和 HTTP 应用程序行为进行控制和审计 日记管理(网络行为控制日记、日记查询记录与审计分析)病毒过滤(AV)协议防病
24、毒扫描:HTTP、FTP、SMTP、IMAP、POP3 压缩文献防病毒扫描(多层压缩扫描):RAR、ZIP、GZIP、BZIP、TAR 控制方式:中断连接、文献填充、日记记录 病毒特性库在线更新、本地更新 高可靠性(HA)Active-Passive(A/P)模式 Active-Active(A/A)模式 VPN IPSec VPN SCVPN(基于 SSL 的远程登录解决方案)拨号 VPN PnPVPN L2TP VPN 访问控制 基于安全域的访问控制 基于时间的访问控制 基于 MAC 的访问控制 IP-MAC-端口地址绑定 功能 描述 用户认证 本地用户认证 外部服务器用户认证(RADIU
25、S、LDAP、MS AD)Web 认证 802.1X NAT/PAT 功能 多个内部地址映射到同一个公网地址 多个内部地址映射到多个公网地址 外部网络主机访问内部服务器 内部地址映射到接口公网 IP 地址 应用协议的 NAT 穿越 FTP TFTP HTTP SUN RPC RTSP Microsoft RPC H323 SIP RSH SQL NETv2 网络 PPPoE DHCP DNS DDNS ARP VSwitch VRouter 路由 静态路由(目的路由、源路由、源接口路由)动态路由(RIP 以及 OSPF)策略路由(SBR 以及 SIBR)ISP 路由 策略路由 出站就近路由 静
26、态组播路由 IGMP 协议 管理 命令行接口(CLI)WebUI(HTTP,HTTPS)Console Telnet SSH SNMP 流量记录 Ping/Traceroute 系统运用率 功能 描述 报表 用户行为流日记 NAT 转换日记 袭击实时日记 地址绑定日记 流量告警日记 上网行为管理日记 实时流量记录和分析功能 安全事件记录功能 2)客户收益 在复杂环境下提供应用户网络安全管理,基于大数据挖掘技术帮助管理者快速的发现网络中的异常情况,进而尽早的确认威胁并采用干预措施,实现积极防御,具有对数据的收集集中能力以及智能分析能力 全面、多维的辨认应用中安全风险,进行全天 24 小时的安全扫
27、描和防护,当发现袭击威胁时及时阻断并审计记录,保障用户的应用安全无忧 辨认未知应用的安全风险,面对来自世界各地、随时随地涌现的新类型、新应用,提供一种机制,去第一时间辨认和控制应用,保障用户网络每一秒都不会暴露在网络威胁之下。这就规定其必须要具有应用自定义的能力 4.1.3 明御入侵防御系统(IPS)1)产品介绍 安恒明御入侵防御系统(简称:DAS-IPS)是用于实现专业的入侵袭击检测和防御的安全产品。重要部署在服务器前端、互联网出口以及内网防护等用户场景中,广泛合用于政府、公司、高校等行业。安恒 DAS-IPS 采用专业的高速多核安全引擎,融合安恒的安全操作系统,全面实现网络入侵袭击防御功能
28、,除了提供 4000+的袭击特性检测还提供专业的 Botnet 检测防护、网络应用精确辨认、网络安全性能优化以及安全管理的能力,为用户业务的正常运营和使用提供可信的安全保障。2)功能介绍 产品特色 描述 全面的 L2-L7入侵防御 安恒 DAS-IPS 内嵌 4,000 多种袭击特性,可以检测常见的病毒、蠕虫、后门、木马、僵尸网络袭击以及缓冲区溢出袭击和漏洞袭击;封堵主流的高级逃逸袭击;检测和防御主流的异常流量,含各类 Flood 袭击;提供用户自定义袭击特性码功能,可指定网络层到应用层的对比内容;提供虚拟补丁功能,让没有及时修补漏洞的客户,可以保障网络安全正常运营。业内领先的入侵检测技术 安
29、恒 DAS-IPS 提供了高效的安全检测引擎,采用传统的袭击特性匹配检测机制和高级逃逸袭击检测机制实现已知入侵袭击以及Botnet 的检测防御;采用协议异常检测机制,对数据包进行完整性检查,从而阻止经黑客伪造不符合标准通信协议规范的数据包进入公司内部网络采用;采用流量异常检测与防护机制,实现对各种网络层至应用层的 DoS/DDoS 袭击,涉及主流的 Flood 袭击、扫描类袭击等。专业的 Botnet检测和防御 安恒 DAS-IPS 提供业界最完整的 Botnet 特性数据库,含C&C(命令及控制)特性库和 Real-time Black List(实时检测黑名单)库。当感染 Botnet 的
30、主机与 Botnet C&C 服务器联机以及与恶意 IP 或 URL 通信时,认为该主机已被植入 Bot 并触发相应的响应行为。从而真正做到对内网的全面专业的保护,保障内网 业务的正常运营。强大的安全管理 在可视化管理方面,提供实时袭击事件和网络应用服务监控功能以及丰富的报表呈现功能 在高可用性方面,支持软硬件 Bypass 功能和 HA 功能。在IPv6支持方面,可支持IPv4 和IPv6 双栈运营的网络环境,可同时检测 IPv4 和 IPv6 的网络数据包。在灵活性管理方面,可以提供虚拟 IPS 功能,每一个虚拟的IPS 可以拥有独立的安全防御策略,可以增长 IPS 在大型网络架构中的使用
31、灵活性。在网络部署方面,支持在线的 IPS 运营部署和旁路的 IDS 监控部署。在管理接口方面,支持串口、SSH、WebUI(含 SSL 加密)以及SNMP 管理等方式。3)客户收益 为用户提供全面的 L2-L7 入侵防御,可以检测常见的病毒、蠕虫、后门、木马、僵尸网络袭击以及缓冲区溢出袭击和漏洞袭击;封堵主流的高级逃逸袭击;为用户提供领先的入侵检测技术,采用传统的袭击特性匹配检测机制和高级逃逸袭击检测机制实现已知入侵袭击以及 Botnet 的检测防御;采用协议异常检测机制,对数据包进行完整性检查,从而阻止经黑客伪造不符合标准通信协议规范的数据包进入公司内部网络采用 为用户提供专业的 Botn
32、et 检测和防御,提供业界最完整的 Botnet 特性数据库,含C&C(命令及控制)特性库和 Real-time Black List(实时检测黑名单)库 具有强大的安全管理,在可视化管理方面,提供实时袭击事件和网络应用服务监控功能以及丰富的报表呈现功能,在高可用性方面,支持软硬件 Bypass 功能和 HA功能。4.2.日记及数据库安全审计 4.2.1 标准规定 GB/T 22239-2023 信息安全技术 信息系统安全等级保护基本规定 类别 条款号 标准规定内容 数据库审计产品符合项 安全审计 7.1.3.3 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;数据库风险控
33、制与审计系统 应在保证系统运营安全和效率的前提下,启用系统审计或采用第三方安全审计产品实现审计规定 数据库风险控制与审计系统 审计内容应涉及重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;数据库风险控制与审计系统 审计内容至少涉及:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等 数据库风险控制与审计系统 审计记录应涉及事件的日期、时间、类型、主体标记、客体标记和结果等;数据库风险控制与审计系统 应保护审计进程,避免受到未预期的中断、删除、修改或覆盖,审计日记至少保存 6 个月;数据库风险
34、控制与审计系统 应可以根据记录数据进行分析,并生成审计报表;数据库风险控制与审计系统 GB/T 22239-2023 信息安全技术 信息系统安全等级保护基本规定 类别 条款号 标准规定内容 综合日记审计(SOC)产品符合项 安全审计 7.1.2.3 应对网络系统中的网络设备运营状况、网络流量、用户行为等进行日记记录;SOC 支持对标准规定的日记记录 涉及网络设备的运营状况、网络流量等;审计记录应涉及:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;SOC 提供对标准规定的记录相关信息,如时间日期、时间、用户等信息;应可以根据记录数据进行分析,并生成审计报表;SOC 支持对
35、数据进行分析并生成报表;应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;SOC 支持对记录进行保护,避免未授权的删除修改等操作;安全审计 7.1.3.3 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;SOC 支持覆盖到所有操作系统及数据库用户;应在保证系统运营安全和效率的前提下,启用系统审计或采用第三方安全审计产品实现审计规定;SOC 属于第三方审计设备,对系统运营安全和效率无影响;审计内容应涉及重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;SOC 所审计内容包含标准规定的各项安全相关事件,如重要用户行为、系统资源的异常使用等;
36、审计内容至少涉及:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等;SOC 审计的内容包含标准规定的具体条款;审计记录应涉及事件的日期、时间、类型、主体标记、客体标记和结果等;SOC 满足标准规定的对时间的日期、时间、类型等信息的记录;应保护审计进程,避免受到未预期的中断、删除、修改或覆盖,审计日记至少保存 6 个月;SOC 采用进程防护技术,并设立相应的安全策略,保证数据不受中断、删除、修改或覆盖,根据存储条件,可完全满足保存日记 6 个月;应可以根据记录数据进行分析,并生成审计报表;SOC 可满足标准规定,能对数据进
37、行分析,并生成审计报表;监控管理和安全管理中心 7.2.5.5 应对通信线路、主机、网络设备和应用软件的运营状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;SOC 能实现以上信息的采集,记录并保存;应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采用必要的应对措施;SOC 能实现分析评审,发现可疑行为,形成报告并报警;系统安全管理 7.2.5.6 应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理;SOC 可通过日记管理实现了安全事件的统一集中管理;应定期对运营日记和审计数据进行分析,以便及时发现异常行为;SOC
38、 可实现定期对日记进行自动分析和解决,发现异常行为能邮件短信报警;应至少每月对运营日记和审计数据进行分析;SOC 可实现每月自动化分析任务;4.2.2 明御综合日记审计平台 1)产品介绍 信息安全等级保护中具有审计中心的概念,相关规定:审计中心涉及两个应用程序,审计控制台和用户管理。审计控制台可以实时显示网络审计信息、流量记录信息、主机操作系统审计信息、应用系统审计信息等等,并且可以查询审计信息历史数据,并且对审计事件进行回放。用户管理程序可以对用户进行权限设定,限制不同级别的用户查看不同的审计内容,并且具有一定的自身安全审计功能。安恒明御综合日记审计系统就是一种审计中心。通过对客户网络设备、
39、安全设备、主机和应用系统日记进行全面的标准化解决,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,保证客户业务的不间断运营安全;明御综合日记审计平台通过基于国际标准化的关联分析引擎,为客户提供全维度、跨设备、细粒度的关联分析,透过事件的表象真实地还原事件背后的信息,为客户提供真正可信赖的事件追责依据和业务运营的深度安全。同时提供集中化的统一管理平台,将所有的日记信息收集到平台中,实现信息资产的统一管理、监控资产的运营状况,协助用户全面审计信息系统整体安全状况。通过部署明御综合日记审计系统,可以实现:资产监控:可以按照监控的设备类型,对主机系统、数据库、中间件和安全设备进行实时监控
40、,涉及 CPU、内存、磁盘等关键运营指标。并对根据各个设备的特点,设立了相应的阀值,一旦超过阀值,及时进行性能异常报警。告警收集和日记采集:通过 SYSLOG、SNMP TRAP、SNMP 轮询、XML、FTP、HTTP、TELNET/SSH、SOAP、JMX 方式、Sockets、Files、专用代理程序等方式从主机系统、数据库、中间件和安全设备按照一定策略收集原始日记数据。关联分析生成安全事件:采用安恒自主设计的避免事件误告与漏告的核心关联分析策略,大幅度提高安全事件的准确性。关联分析重要采用基于记录的关联和基于规则的关联。具体的安全报警展现:通过平台的安全报警分析功能,可以看到平台针对收
41、集上来的原始日记,通过实时归并、分析后的结果。涉及:报警名称、类型、等级、IP 地址、IP 相应的责任单位、聚合数量、发生时间等。平台针对所有的 IP 地址,和资产管理中的责任单位自动进行关联,在安全报警分析中实现将 IP 地址定位到责任单位,从而为后续的以责任单位进行宏观记录与分析提供了依据。2)功能介绍 全面日记采集:全面支持 Syslog、SNMP、OPSec、XML、FTP 及本地文献等协议,可以覆盖主流硬件设备、主机及应用,保障日记信息的全面收集。实现信息资产(网络设备、安全设备、主机、应用及数据库)的日记获取,并通过预置的解析规则实现日记的解析、过滤及聚合,同时可将收集的日记通过转
42、发功能转发到其它网管平台等。大规模安全存储:内置 T 级别存储设备,可以选配各种 RAID 级别进行数据冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制,十分合适等保、密保等行业的应用规定。智能关联分析:实现全维度、跨设备、细粒度关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析。脆弱性管理:可以收集和管理来自各种 Web 漏洞扫描、主机漏洞扫描工具、网络漏洞扫描工具的产生的扫描结果,并实时和用户资产收到的袭击危险进行风险三维关联分析。数据挖掘和数据预测:支持对历史日记数据进行数据挖掘分析,发现日记和事件间的潜在关联关系,并对挖掘结
43、果进行可视化展示。系统自带多种数据记录预测算法,可以根据历史数据的规律对未来的数据发生情况进行有效预测。可视化展示:实现所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日记信息的记录与报表、海量日记的存储与快速检索以及平台的管理。通过各种事件的归一化解决,实现高性能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性记录分析解决,可对数据进行二次挖掘分析。分布式部署和管理:系统支持分布式部署,可以在中心平台进行各种管理规则,各种配置策略自动分发,支持远程自动升级等,极大的减少了分布式部署的难度,提高了可管理性。灵活的可扩展性:提供多种定制接口,实现
44、强大的二次开发能力,及与第三方平台对接和扩展的能力。其他功能:支持各种网络部署需要,涉及日记聚合、日记过滤、事件过滤、日记转发、特殊日记格式支持(如单报文多事件)等。3)客户收益 为用户 IT 网络设备、安全设备、主机和应用系统日记进行全面的标准化解决 及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,保证用户业务的不间断运营安全;为用户提供全维度、跨设备、细粒度的关联分析、可信赖的事件追责依据和业务运营的深度安全 提供集中化的统一管理平台,将所有的日记信息收集到平台中,实现信息资产的统一管理、监控资产的运营状况,协助用户全面审计信息系统整体安全状况 4.2.3 明御数据库审计与风
45、险控制系统 1)产品介绍 数据库审计与风险控制系统重要的功能模块涉及“静态审计、实时监控与风险控制、实时审计、双向审计、细粒度审计规则、精确的行为检索、三层关联审计、完备的审计报表、安全事件回放、审计对象管理、多形式的预警机制、系统配置管理”几个部分。2)功能介绍 丰富的协议支持 主流数据库 Oracle、SQL server、DB2、Mysql、Informix、CACH、Sybase、PostgreSQL 国产数据库 神通(原 OSCAR)、达梦、人大金仓(kingbase)数据仓库 Teradata 其他协议 FTP、HTTP、Telnet、SMTP、POP3、DCOM 等 细粒度的操作
46、审计 细粒度审计 通过对不同数据库的SQL语义分析,提取出SQL中相关的要素(用户、SQL 操作、表、字段、视图、索引、过程、函数、包)双向审计 不仅对数据库操作请求进行实时审计,并且还可对数据库执行状态、返回结果、返回内容进行完整的还原和审计,同时可以根据返回结果设立审计规则 多行为审计 实时监控来自各个层面的所有数据库活动,涉及来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求以及通过远程登录服务器后的操作请求等 多层业务关联审计 B/S 三层架构 支持 HTTP 请求审计,提取 URL、POST/GET 值、cookie、操作系统类型、浏览器类型、原始客户端 IP、MAC
47、地址、提交参数等;通过智能自动多层关联,关联出每条 SQL 语句所相应 URL,以及其原始客户端 IP 地址等信息,实现追踪溯源;C/S 三层架构 在公司、医院等行业客户中,也部分采用 C/S/S 三层架构,同样面临追踪溯源的难题,DAS-DBAuditor 支持基于 DCOM 的三层架构自动关联。运维审计关联 通过运维审计产品进行统一认证、授权后,也将面临追踪溯源的难题,DAS-DBAuditor 支持与运维审计产品关联,实现原始操作者信息的追踪 全方位风险控制 灵活的策略定制 根据登录用户、源 IP 地址、数据库对象(分为数据库用户、表、字段)、操作时间、SQL 操作命令、返回的记录数或受
48、影响的行数、关联表数量、SQL 执行结果、SQL 执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件 自动建模 DAS-DBAuditor 支持自动建模,可以非常方便了解整个数据库的允许状态,帮助管理员形成有效的审计规则,快速辨认越权操作、帐号复用、违规操作等行为。多形式的实时告警 当检测到可疑操作或违反审计规则的操作时,系统可以通过监控中心告警、短信告警、邮件告警、Syslog 告警、SNMP 告警、FTP 告警等方式告知数据库管理员 报表 DAS-DBAuditor 报表系统涉及预定义报表和自定义报表两大模块,可以快速生成对安全事件的报表,并以 PDF 等格式导出。审计管理员
49、报表 支持从审计设备运营状况、安全事件、帐号的增删、密码是否修改等角度形成报表 系统管理员报表 支持从权限的变更、数据库权限分派状况、DDL/DML 等特权操作、SQL 语句的类型和使用比率等角度形成报表 合规性报告 可以形成符合 SOX(塞班斯)法案、等级保护、分级保护等法规符合性的综合报告 静态审计 除了提供实时的动态审计功能,还提供了可选的扫描审计模块对数据库的不安全配置、弱口令等进行检测和审计,并提供安全加固建议。和谐真实的操作过程回放 对于客户关心的操作可以回放整个相关过程,让客户可以看到真实输入及屏幕显示内容,并可以通过精细内容的检索,对特定行为进行精确回放,如执行删除表、文献命令
50、、数据搜索等。3)客户收益 全面满足国家等级保护测评规定,成功通过测评认证;可以从合法、合规的方面满足证监会对信息化的监管规定;从帐号管理、权限管理等多维度进行监控,助力 IT 管理制度实行;建立数据库权限模型,为数据库安全建设提供优化经验;定期评估数据库漏洞,防止数据库密码破解 数据库操作全审计,不放弃任何可疑统方行为 双向审计,准确判断违规统方行为 丰富的审计报表,满足纠风办审计需求 短信、邮件告警,第一时间了解违规统方行为 4.3.安全运维审计 4.3.1 标准规定 GB/T 22239-2023 信息安全技术 信息系统安全等级保护基本规定 类别 条款号 标准规定内容 运维审计防护产品符
浙ICP备2021020529号-1 | 浙B2-20240490 
