安全等级保护建设专业方案.doc

1、 Xx 信息安全等级保护（三级）建设方案 目录 1. 序言 3 1.1 概述 3 1.2 相关政策及标准 3 2. 现实状况及需求分析 5 2.1. 现实状况分析 5 2.2. 需求分析 5 3. 等保三级建设总体计划 6 3.1. 网络边界安全建设 6 3.2. 日志集中审计建设 6 3.3. 安全运维建设 6 3.4. 等保及安全合规性自查建设 6 3.5. 建设方案优势总结 7 4. 等保三级建设相关产品介绍 9 4.1. 网络边界安全防护 9 4.1.1 标准要求 9 4.1.

2、2 明御下一代防火墙 10 4.1.3 明御入侵防御系统（IPS） 13 4.2. 日志及数据库安全审计 15 4.2.1 标准要求 15 4.2.2 明御综合日志审计平台 17 4.2.3 明御数据库审计和风险控制系统 19 4.3. 安全运维审计 22 4.3.1 标准要求 22 4.3.2 明御运维审计和风险控制系统 23 4.4. 关键WEB应用安全防护 26 4.3.1 标准要求 26 4.3.2 明御WEB应用防火墙 27 4.3.3 明御网站卫士 30 4.5. 等保及安全合规检验 31 4.5.1 标准要求 31 4.5.2 明鉴WEB应用弱点扫描

3、器 32 4.5.3 明鉴数据库弱点扫描器 34 4.5.4 明鉴远程安全评定系统 37 4.5.5 明鉴信息安全等级保护检验工具箱 38 4.6. 等保建设咨询服务 40 4.6.1 服务概述 40 4.6.2 安全服务遵照标准 41 4.6.3 服务内容及用户收益 41 5. 等保三级建设配置提议 42 1. 序言 1.1 概述 伴随互联网金融快速发展，金融机构对信息系统依靠程度日益增高，信息安全问题也越来越突出。同时，因为利益驱使，针对金融机构安全威胁越来越多，尤其是包含民生和金融相关单位，收到攻击次数日渐频繁，相关单位必需加强本身信息安全保障工作，建立完善安全机制

4、来抵御外来和内在信息安全威胁。为提升中国关键信息系统整体信息安全管理水平和抗风险能力。 国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于联合颁布861号文件《相关开展全国关键信息系统安全等级保护定级工作通知》和《信息安全等级保护管理措施》，要求包含国计民生信息系统应达成一定安全等级，依据文件精神和等级划分标准，包含到政府机关、金融等关键信息系统，构筑最少应达成三级或以上防护要求。 互联网金融行业是关系经济、社会稳定等关键单位，等级保护制度确实立和实施，无疑对互联网金融单位加紧本身信息安全提议含有前瞻性、系统性指导意义。从国家层面上看，在关键行业、单位推行等级保护制度是关系到国

5、家信息安全大事，为确保关键行业和单位等级保护信息系统顺利开展实施，同时出台了一系列政策文件来规范、指导和推进风险评定工作进行，等级保护也主动响应多种标准和政策，以保障关键行业信息系统安全。 1.2 相关政策及标准 国家相关部门对等级保护安全要求相当重视，相继出台多个信息安全相关指导意见和法规，关键有： 《中国计算机信息系统安全等级保护条例》（国务院147号令） 《相关推进信息安全等级保护测评体系建设和开展等级测评工作通知》（公信安〔〕303） 《GB/T 22239- 信息安全技术 信息系统安全等级保护基础要求》 《GB/T20984— 信息安全技术 信息安全风险评定规范》 《G

6、B17859-1999 信息系统安全等级保护测评准则》 其中，现在等级保护等保关键安全依据，关键参考《GB17859-1999 信息系统安全等级保护测评准则》和《GB/T 22239- 信息安全技术 信息系统安全等级保护基础要求》，本方案亦关键依据这两个标准，以其它要求为辅，来建立本技术方案。 2. 现实状况及需求分析 2.1. 现实状况分析 xx关键业务系统为互联网用户提供在线业务和线下业务支持。经过该系统平台，实现互联网金融业务信息全方面融合、集中管理、内部管理步骤化、标准化和信息化，为xx管理工作提供全方面系统支持。该系统定级为安全保护等级三级，经过第三方测评、整体分析和风险

7、分析，xx业务系统中存在和国家等级保护三级标准要求不符合项。 2.2. 需求分析 为了满足达成国家GB/T 22239-《信息技术信息系统安全等级保护基础要求》对应等级保护能力要求，xx业务管理系统开启等级保护安全整改工作，以增强系统安全防护能力，有效抵御内部和外部威胁，为切实达成国家及行业信息安全等级保护对应要求，使xx业务管理系统在现有运行环境下风险可控，能够为xx用户及内部各部门提供安全、稳定业务服务。 此次方案结合初步检验汇报，因为xx业务系统只采取防护墙进行安全防护方法，针对安全运维管理、应用层安全防护、第三方日志审计、管理制度等方面微弱之处，提议布署相关安全防护设备，结合安全

8、管理制度，将满足对应等级保护防护能力。 一、安全防护：安全防护设计网络安全、主机安全等多个测评内容，针对所发觉安全问题风险中，如网络边界未布署防恶意代码设备,可经过对关键系统网络边界布署对应安全防护设备来进行处理。 二、审计分析：审计分析在三级等级保护要求中，占据关键地位，包含网络安全、主机安全、应用安全等很多步骤，xx业务系统在第三方审计相关建设上缺乏必需手段，而且对部分关键系统安全现实状况难以了解，加强系统安全检测能力，和审计分析能力十分必需。 三、安全运维：安全运维管理包含网络安全、主机安全、安全运维管理，在所发觉安全问题风险中，对远程设备进行双因子认证，实现特权用户分离，对网络用

9、户接入访问控制，敏感资源访问控制等，可经过加强安全运维管理和布署对应管理设备加以处理。 四、管理制度:管理制度完善，在等级保护建设中含有很关键意义，经过第三方专业人员现场指导、帮助管理制度完善、填补安全管理制度中不足，从管理制度整体帮助满足等级保护相关要求。 3. 等保三级建设总体计划 依据现有安全形势特点，针对三级等级保护各项要求，需针对网络边界安全、日志集中审计、安全运维、合规性自查四个层面进行建设，选择经典安全系统构建。 3.1. 网络边界安全建设 在网络边界处需加强对网络防护、WEB应用防护方法，经过相关网络安全设备布署关键链路中，根据信息安全等级保护标准进行建设。 3

10、2. 日志集中审计建设 数据库审计系统为旁路布署，需要将用户端请求数据库数据和数据库返回给用户端数据双向镜像到一个交换机接口作为数据库审计设备采集口，如需同时审计WEB应用访问请求等一样需要把数据进行镜像。 综合日志审计系统为旁路布署，仅需要将系统分配好IP地址，对各型服务器、数据库、安全设备、网络设备配置日志发送方法，将自动搜集各类设备安全日志和运行日志，进行集中查询和管理。 数据库弱点扫描器布署在专用电脑上，定时对数据库进行安全检测。 3.3. 安全运维建设 将运维审计和风险控制系统放置和办公内网，并设定各服务器、网络设备、安全设备许可登录IP，仅许可运维审计和风险控制系统可登

11、录操作，运维和管理人员对各类服务器、网络设备、安全设备操作，均需先得到运维审计和风险控制系统许可，全部操作均会被运维审计和风险控制系统审计下来，并做到资源控制设定。 3.4. 等保及安全合规性自查建设 为提升关键业务系统内部网络安全防护性能和抗破坏能力，检测和评定已运行网络安全性能，需一个主动主动安全防护技术，提供了对内部攻击、外部攻击和误操作实时保护，在网络系统受到危害之前能够提供安全防护处理方法，经过远程安全评定系统实现网络及系统合规性自查； 为对关键业务系统提供配置安全确保,满足监管单位及行业安全要求，平衡信息系统安全付出成本和所能够承受安全风险,遵行信息安全等级保护中对网络、主机

12、应用及数据四个安全领域安全，需提供一套针对基线配置安全检验工具，定时检验其配置方面和安全基准偏差方法； 关键业务系统信息安全等级保护建设过程中，和在正式测评之前徐利用信息安全等级保护检验工具箱进行自测，依据结果和整改方法进行信息安全建设。将工具箱检测汇报和整改方法提议作为整改依据和参考标准。因为信息安全是个动态过程，整改完成不代表信息安全建设工作完成，可利用工具箱进行不停自检自查。 3.5. 建设方案优势总结 经过安全运维、安全防护、审计分析、安全制度四部分布署加固，满足事前检测（数据库弱点扫描器）、事中防护（明御WEB应用防火墙、运维审计和风险控制系统）、事后追溯（明御综合日志审计系

13、统、明御数据库审计和风险控制系统）安全要求，结合安全服务对管理制度完善，提供对关键信息系统起到一体化安全防护，确保了关键应用和关键数据安全。满足三级等级保护对相关检测项目标要求。 一、经过布署事前检测工具，依据权威数据库安全教授生成最全方面、最正确和最新弱点知识库，提供对数据库“弱点、不安全配置、弱口令、补丁”等深层次安全检测及正确评定。经过WEB应用弱点扫描器及明鉴数据库弱点扫描器布署，能够定时对WEB应用和数据库进行安全检测，从而发觉安全问题及相关隐患后能够立即修补。 二、经过布署事中防御设备，针对黑客恶意进行全方位攻击防护，预防各类对网站恶意攻击和网页木马等，确保网站安全健康运行；同

14、时采取智能异常引擎及关联引擎正确识别复杂攻击，有效遏制应用层DDOS攻击，依靠高速环境下线速捕捉技术实现100%数据捕捉，经过事件回放为安全事件快速查询和定位、成因分析、责任认定提供有力证据，可采取直连或旁路布署模式，在无需更改现有网络结构及应用配置情况下，能够对网站应用实时监控。经过网络安全网关、IPS、WEB应用防火墙布署，实现关键业务系统、应用攻击防护，确保所定级关键业务系统安全健康运行。 三、经过布署事后追溯设备，首先采取独有三层审计数据库审计设备实现WEB应用和数据库自动关联审计，并提供细粒度安全审计，实时监控来自各个层面全部数据库活动，包含数据库操作请求、返回状态及返回结果集。

15、其次经过综合日志审计平台对用户网络设备、安全设备、主机和应用系统日志进行全方面标准化处理，立即发觉多种安全威胁、异常行为事件，为管理人员提供全局视角，确保用户业务不间断运行安全。经过数据库审计和风险控制系统及综合日志审计系统实现网络设备、安全设备、数据存放、WEB应用、数据库、主机及其它软硬件资产日志审计，并能够进行行为还原和回放。 四、经过加强管理制度建设，利用第三方安全企业长久在等级保护中经验及专业测评工具，帮助用户快速对业务系统进行专业自查并提供评定汇报，方便用户后期更高效经过等级保护测评，降低因本身经验不足而产生测评不经过风险，降低在时间和金钱方面损失。用户能够依靠第三方安全企业在信

16、息安全合规性建设中经验，完善本身规章制度，摆脱繁琐制度合规性审查并切实有效提升本身管理水品。 针对用户在等级保护建设中管理制度经验不足，提供合规性制度处理方案，帮助用户一起加强信息安全管理制度建设，并顺利经过等级保护。 4. 等保三级建设相关产品介绍 4.1. 网络边界安全防护 4.1.1 标准要求 1.1.1.1　 访问控制（G3） 本项要求包含： a) 应在网络边界布署访问控制设备，启用访问控制功效； b) 应能依据会话状态信息为数据流提供明确许可/拒绝访问能力，控制粒度为端口级； c) 应对进出网络信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMT

17、P、POP3等协议命令级控制； d) 应在会话处于非活跃一定时间或会话结束后终止网络连接； e) 应限制网络最大流量数及网络连接数； f) 关键网段应采取技术手段预防地址欺骗； g) 应按用户和系统之间许可访问规则，决定许可或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； h) 应限制含有拨号访问权限用户数量。 在网络边界布署安全网关。 1.1.1.2　 安全审计（G3） 本项要求包含： a) 应对网络系统中网络设备运行情况、网络流量、用户行为等进行日志统计； b) 审计统计应包含：事件日期和时间、用户、事件类型、事件是否成功及其它和审计相

18、关信息； c) 应能够依据统计数据进行分析，并生成审计报表； d) 应对审计统计进行保护，避免受到未预期删除、修改或覆盖等。 布署专业日志审计系统。 1.1.1.3　 边界完整性检验（S3） 本项要求包含： a) 应能够对非授权设备私自联到内部网络行为进行检验，正确定出位置，并对其进行有效阻断； 布署终端安全管理系统，利用IP/MAC绑定及ARP阻断功效实现非法接入控制。 b) 应能够对内部网络用户私自联到外部网络行为进行检验，正确定出位置，并对其进行有效阻断。 布署终端安全管理系统，提供非法外联监控功效。 1.1.1.4　 入侵防范（G

19、3） 本项要求包含： a) 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等； b) 当检测到攻击行为时，统计攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。 布署入侵检测系统。 1.1.1.5　 恶意代码防范（G3） 本项要求包含： a) 应在网络边界处对恶意代码进行检测和清除； b) 应维护恶意代码库升级和检测系统更新。 布署病毒过滤网关系统。 4.1.2 明御下一代防火墙 明御下一代防火墙DAS-NGFW是安恒企业自主研发、拥有知识产权新一代安全网关产品

20、明御下一代防火墙基于角色、深度应用多核安全架构突破了传统防火墙只是基于IP和端口防御机制。百兆到万兆处理能力使明御下一代防火墙适适用于多个网络环境，包含中小企业级市场、政府机关、大型企业、电信运行商和数据中心等机构。丰富软件功效为网络提供不一样层次及深度安全控制和接入管理，比如基于角色深度应用安全访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、内容安全等。 1) 功效说明 功效 描述 布署方法 支持透明布署、路由布署、混合布署模式 攻击防护 TCP/IP攻击防护（IP碎片攻击、IP Option攻击、IP地址欺骗攻击、Land攻击、Smurf攻击、Fraggle攻

21、击、Huge ICMP包攻击、ARP欺骗攻击、WinNuke攻击、Ping-of-Death攻击、Teardrop攻击） 扫描保护（IP地址扫描攻击、端口扫描攻击） Flood保护（Syn Flood攻击、ICMP Flood攻击、UDP Flood攻击、DNS Query Flood攻击） 二层攻击防护（IP-MAC静态绑定、主机防御、ARP防护、DHCP Snooping） 网络行为控制 URL过滤：对用户访问某类网站进行控制和审计 网页关键字：对用户访问含有某关键字网页（包含HTTPS加密网页）进行控制和审计 Web外发信息：对用户在某网站（包含HTTPS加密网站）公布信息

22、或公布含有某关键字信息进行控制和审计 邮件过滤：对用户使用SMTP协议及Webmail外发邮件（包含Gmail加密邮件）进行控制和审计 网络聊天：对用户经过即时通讯工具聊天进行控制和审计 应用行为控制：对FTP和HTTP应用程序行为进行控制和审计 日志管理（网络行为控制日志、日志查询统计和审计分析） 病毒过滤（AV） 协议防病毒扫描：HTTP、FTP、SMTP、IMAP、POP3 压缩文件防病毒扫描（多层压缩扫描）：RAR、ZIP、GZIP、BZIP、TAR 控制方法：中止连接、文件填充、日志统计 病毒特征库在线更新、当地更新 高可靠性（HA） Active-Passiv

23、e（A/P）模式 Active-Active（A/A）模式 VPN IPSec VPN SCVPN（基于SSL远程登录处理方案） 拨号VPN PnPVPN L2TP VPN 访问控制 基于安全域访问控制 基于时间访问控制 基于MAC访问控制 IP-MAC-端口地址绑定 用户认证 当地用户认证 外部服务器用户认证（RADIUS、LDAP、MS AD） Web认证 802.1X NAT/PAT功效 多个内部地址映射到同一个公网地址 多个内部地址映射到多个公网地址 外部网络主机访问内部服务器 内部地址映射到接口公网IP地址 应用协议 NAT穿越 FT

24、P TFTP HTTP SUN RPC RTSP Microsoft RPC H323 SIP RSH SQL NETv2 网络 PPPoE DHCP DNS DDNS ARP VSwitch VRouter 路由 静态路由（目标路由、源路由、源接口路由） 动态路由（RIP和OSPF） 策略路由（SBR和SIBR） ISP路由 策略路由 出站就近路由 静态组播路由 IGMP协议 管理 命令行接口（CLI） WebUI（HTTP，HTTPS） Console Telnet SSH SNMP 流量统计 Ping/Tracerou

25、te 系统利用率 报表 用户行为流日志 NAT转换日志 攻击实时日志 地址绑定日志 流量告警日志 上网行为管理日志 实时流量统计和分析功效 安全事件统计功效 2) 用户收益 Ø 在复杂环境下提供给用户网络安全管理，基于大数据挖掘技术帮助管理者快速发觉网络中异常情况，进而尽早确实定威胁并采取干预方法，实现主动防御，含有对数据搜集集中能力和智能分析能力 Ø 全方面、多维识别应用中安全风险，进行全天二十四小时安全扫描和防护，当发觉攻击威胁时立即阻断并审计统计，保障用户应用安全无忧 Ø 识别未知应用安全风险，面对来自世界各地、随时随地涌现新类型、新应用，提供一个机制，去第一

26、时间识别和控制应用，保障用户网络每一秒全部不会暴露在网络威胁之下。这就要求其必需要含有应用自定义能力 4.1.3 明御入侵防御系统（IPS） 1) 产品介绍 安恒明御入侵防御系统（简称：DAS-IPS）是用于实现专业入侵攻击检测和防御安全产品。关键布署在服务器前端、互联网出口和内网防护等用户场景中，广泛适适用于政府、企业、高校等行业。 安恒DAS-IPS采取专业高速多核安全引擎，融合安恒安全操作系统，全方面实现网络入侵攻击防御功效，除了提供4000+攻击特征检测还提供专业Botnet检测防护、网络应用正确识别、网络安全性能优化和安全管理能力，为用户业务正常运行和使用提供可信安全保障。

27、 2) 功效介绍 产品特色 描述 全方面L2-L7入侵防御 安恒DAS- IPS内嵌4,000多个攻击特征，能够检测常见病毒、蠕虫、后门、木马、僵尸网络攻击和缓冲区溢出攻击和漏洞攻击；封堵主流高级逃逸攻击；检测和防御主流异常流量，含各类Flood攻击；提供用户自定义攻击特征码功效，可指定网络层到应用层对比内容；提供虚拟补丁功效，让没有立即修补漏洞用户，能够保障网络安全正常运行。 业内领先入侵检测技术 安恒DAS-IPS提供了高效安全检测引擎，采取传统攻击特征匹配检测机制和高级逃逸攻击检测机制实现已知入侵攻击和Botnet检测防御；采取协议异常检测机制，对数据包进行完整性检验，从而阻

28、止经黑客伪造不符合标准通信协议规范数据包进入企业内部网络采取；采取流量异常检测和防护机制，实现对多种网络层至应用层DoS/DDoS攻击，包含主流Flood攻击、扫描类攻击等。 专业Botnet检测和防御 安恒DAS- IPS提供业界最完整Botnet特征数据库，含C&C(命令及控制)特征库和Real-time Black List（实时检测黑名单）库。当感染Botnet主机和Botnet C&C服务器联机和和恶意IP或URL通信时，认为该主机已被植入Bot并触发对应响应行为。从而真正做到对内网全方面专业保护，保障内网 业务正常运行。 强大安全管理 在可视化管理方面，提供实时攻击事件和网

29、络应用服务监控功效和丰富报表展现功效 在高可用性方面，支持软硬件Bypass功效和HA功效。 在IPv6支持方面，可支持IPv4 和IPv6 双栈运行网络环境，可同时检测IPv4 和IPv6网络数据包。 在灵活性管理方面，能够提供虚拟IPS功效，每一个虚拟IPS能够拥有独立安全防御策略，能够增加IPS在大型网络架构中使用灵活性。 在网络布署方面，支持在线IPS运行布署和旁路IDS监控布署。 在管理接口方面，支持串口、SSH、WebUI（含SSL加密）和SNMP管理等方法。 3) 用户收益 Ø 为用户提供全方面L2-L7入侵防御，能够检测常见病毒、蠕虫、后门、木马、僵尸网络攻击和缓

30、冲区溢出攻击和漏洞攻击；封堵主流高级逃逸攻击； Ø 为用户提供领先入侵检测技术，采取传统攻击特征匹配检测机制和高级逃逸攻击检测机制实现已知入侵攻击和Botnet检测防御；采取协议异常检测机制，对数据包进行完整性检验，从而阻止经黑客伪造不符合标准通信协议规范数据包进入企业内部网络采取 Ø 为用户提供专业Botnet检测和防御，提供业界最完整Botnet特征数据库，含C&C(命令及控制)特征库和Real-time Black List（实时检测黑名单）库 Ø 含有强大安全管理，在可视化管理方面，提供实时攻击事件和网络应用服务监控功效和丰富报表展现功效，在高可用性方面，支持软硬件Bypass功

31、效和HA功效。 4.2. 日志及数据库安全审计 4.2.1 标准要求 《GB/T 22239- 信息安全技术 信息系统安全等级保护基础要求》 类别 条款号 标准要求内容 数据库审计产品符合项 安全审计 7.1.3.3 审计范围应覆盖到服务器和关键用户端上每个操作系统用户和数据库用户； 数据库风险控制和审计系统 应在确保系统运行安全和效率前提下，启用系统审计或采取第三方安全审计产品实现审计要求 数据库风险控制和审计系统 审计内容应包含关键用户行为、系统资源异常使用和关键系统命令使用等系统内关键安全相关事件； 数据库风险控制和审计系统 审计内容最少包含：用户添加

32、和删除、审计功效开启和关闭、审计策略调整、权限变更、系统资源异常使用、关键系统操作（如用户登录、退出）等 数据库风险控制和审计系统 审计统计应包含事件日期、时间、类型、主体标识、客体标识和结果等； 数据库风险控制和审计系统 应保护审计进程，避免受到未预期中止、删除、修改或覆盖，审计日志最少保留6个月； 数据库风险控制和审计系统 应能够依据统计数据进行分析，并生成审计报表； 数据库风险控制和审计系统 《GB/T 22239- 信息安全技术 信息系统安全等级保护基础要求》 类别 条款号 标准要求内容 综合日志审计（SOC）产品符合项 安全审计 7.1.2.3 应

33、对网络系统中网络设备运行情况、网络流量、用户行为等进行日志统计； SOC 支持对标准要求日志统计 包含网络设备运行情况、网络流量等； 审计统计应包含：事件日期和时间、用户、事件类型、事件是否成功及其它和审计相关信息； SOC提供对标准要求统计相关信息，如时间日期、时间、用户等信息； 应能够依据统计数据进行分析，并生成审计报表； SOC支持对数据进行分析并生成报表； 应对审计统计进行保护，避免受到未预期删除、修改或覆盖等； SOC支持对统计进行保护，避免未授权删除修改等操作； 安全审计 7.1.3.3 审计范围应覆盖到服务器和关键用户端上每个操作系统用户和数据库用户； S

34、OC支持覆盖到全部操作系统及数据库用户； 应在确保系统运行安全和效率前提下，启用系统审计或采取第三方安全审计产品实现审计要求； SOC属于第三方审计设备，对系统运行安全和效率无影响； 审计内容应包含关键用户行为、系统资源异常使用和关键系统命令使用等系统内关键安全相关事件； SOC所审计内容包含标准要求各项安全相关事件，如关键用户行为、系统资源异常使用等； 审计内容最少包含：用户添加和删除、审计功效开启和关闭、审计策略调整、权限变更、系统资源异常使用、关键系统操作（如用户登录、退出）等； SOC审计内容包含标准要求具体条款； 审计统计应包含事件日期、时间、类型、主体标识、客体标识和

35、结果等； SOC满足标准要求对时间日期、时间、类型等信息统计； 应保护审计进程，避免受到未预期中止、删除、修改或覆盖，审计日志最少保留6个月； SOC采取进程防护技术，并设置对应安全策略，确保数据不受中止、删除、修改或覆盖，依据存放条件，可完全满足保留日志6个月； 应能够依据统计数据进行分析，并生成审计报表； SOC可满足标准要求，能对数据进行分析，并生成审计报表； 监控管理和安全管理中心 7.2.5.5 应对通信线路、主机、网络设备和应用软件运行情况、网络流量、 用户行为等进行监测和报警，形成统计并妥善保留； SOC能实现以上信息采集，统计并保留； 应组织相关人员定时

36、对监测和报警统计进行分析、评审，发觉可疑行为，形成份析汇报，并采取必需应对方法； SOC能实现分析评审，发觉可疑行为，形成汇报并报警； 系统安全管理 7.2.5.6 应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理； SOC可经过日志管理实现了安全事件统一集中管理； 应定时对运行日志和审计数据进行分析，方便立即发觉异常行为； SOC可实现定时对日志进行自动分析和处理，发觉异常行为能邮件短信报警； 应最少每个月对运行日志和审计数据进行分析； SOC可实现每个月自动化分析任务； 4.2.2 明御综合日志审计平台 1) 产品介绍 信息安全

37、等级保护中含有审计中心概念，相关要求：审计中心包含两个应用程序，审计控制台和用户管理。审计控制台能够实时显示网络审计信息、流量统计信息、主机操作系统审计信息、应用系统审计信息等等，而且能够查询审计信息历史数据，而且对审计事件进行回放。用户管理程序能够对用户进行权限设定，限制不一样等级用户查看不一样审计内容，而且含有一定本身安全审计功效。 安恒明御综合日志审计系统就是一个审计中心。经过对用户网络设备、安全设备、主机和应用系统日志进行全方面标准化处理，立即发觉多种安全威胁、异常行为事件，为管理人员提供全局视角，确保用户业务不间断运行安全；明御综合日志审计平台经过基于国际标准化关联分析引擎，为用户

38、提供全维度、跨设备、细粒度关联分析，透过事件表象真实地还原事件背后信息，为用户提供真正可信赖事件追责依据和业务运行深度安全。同时提供集中化统一管理平台，将全部日志信息搜集到平台中，实现信息资产统一管理、监控资产运行情况，帮助用户全方面审计信息系统整体安全情况。 经过布署明御综合日志审计系统，能够实现： 资产监控：能够根据监控设备类型，对主机系统、数据库、中间件和安全设备进行实时监控，包含 CPU、内存、磁盘等关键运行指标。并对依据各个设备特点，设置了对应阀值，一旦超出阀值，立即进行性能异常报警。 告警搜集和日志采集：经过 SYSLOG、SNMP TRAP 、SNMP轮询、XML、FTP

39、HTTP、 TELNET/SSH、SOAP、JMX方法、Sockets、Files、专用代理程序等方法从主机系统、数据库、中间件和安全设备根据一定策略搜集原始日志数据。 关联分析生成安全事件：采取安恒自主设计避免事件误告和漏告关键关联分析策略，大幅度提升安全事件正确性。关联分析关键采取基于统计关联和基于规则关联。 具体安全报警展现：经过平台安全报警分析功效，能够看到平台针对搜集上来原始日志，经过实时归并、分析后结果。包含：报警名称、类型、等级、 IP地址、 IP对应责任单位、聚合数量、发生时间等。平台针对全部 IP地址，和资产管理中责任单位自动进行关联，在安全报警分析中实现将 IP地址

40、定位到责任单位，从而为后续以责任单位进行宏观统计和分析提供了依据。 2) 功效介绍 全方面日志采集：全方面支持Syslog、SNMP、OPSec、XML、FTP及当地文件等协议，能够覆盖主流硬件设备、主机及应用，保障日志信息全方面搜集。实现信息资产（网络设备、安全设备、主机、应用及数据库）日志获取，并经过预置解析规则实现日志解析、过滤及聚合，同时可将搜集日志经过转发功效转发到其它网管平台等。 大规模安全存放：内置T等级存放设备，能够选配多种RAID等级进行数据冗余和安全保障。系统拥有多项自主知识产权存放加密机制和查询机制，十分适宜等保、密保等行业应用要求。 智能关联分析：实现全维度、跨

41、设备、细粒度关联分析，内置众多关联规则，支持网络安全攻防检测、合规性检测，用户可轻松实现各资产间关联分析。 脆弱性管理：能够搜集和管理来自多种Web漏洞扫描、主机漏洞扫描工具、网络漏洞扫描工具产生扫描结果，并实时和用户资产收到攻击危险进行风险三维关联分析。 数据挖掘和数据估计：支持对历史日志数据进行数据挖掘分析，发觉日志和事件间潜在关联关系，并对挖掘结果进行可视化展示。系统自带多个数据统计估计算法，能够依据历史数据规律对未来数据发生情况进行有效估计。 可视化展示：实现所监控信息资产实时监控、信息资产和用户管理、解析规则和关联规则定义和分发、日志信息统计和报表、海量日志存放和快速检索和平台

42、管理。经过多种事件归一化处理，实现高性能海量事件存放和检索优化功效，提供高速事件检索能力、事后合规性统计分析处理，可对数据进行二次挖掘分析。 分布式布署和管理：系统支持分布式布署，能够在中心平台进行多种管理规则，多种配置策略自动分发，支持远程自动升级等，极大降低了分布式布署难度，提升了可管理性。 灵活可扩展性：提供多个定制接口，实现强大二次开发能力，及和第三方平台对接和扩展能力。 其它功效：支持多种网络布署需要，包含日志聚合、日志过滤、事件过滤、日志转发、特殊日志格式支持(如单报文多事件)等。 3) 用户收益 Ø 为用户IT网络设备、安全设备、主机和应用系统日志进行全方面标准化处理

43、 Ø 立即发觉多种安全威胁、异常行为事件，为管理人员提供全局视角，确保用户业务不间断运行安全； Ø 为用户提供全维度、跨设备、细粒度关联分析、可信赖事件追责依据和业务运行深度安全 Ø 提供集中化统一管理平台，将全部日志信息搜集到平台中，实现信息资产统一管理、监控资产运行情况，帮助用户全方面审计信息系统整体安全情况 4.2.3 明御数据库审计和风险控制系统 1) 产品介绍 数据库审计和风险控制系统关键功效模块包含“静态审计、实时监控和风险控制、实时审计、双向审计、细粒度审计规则、正确行为检索、三层关联审计、完备审计报表、安全事件回放、审计对象管理、多形式预警机制、系统配置管理”多个部分

44、 2) 功效介绍 丰富协议支持 主流数据库 Oracle、SQL server、DB2、Mysql、Informix、CACHÉ、Sybase、PostgreSQL  国产数据库 神通（原OSCAR）、达梦、人大金仓（kingbase） 数据仓库 Teradata 其它协议 FTP、HTTP、Telnet、SMTP、POP3、DCOM等 细粒度操作审计 细粒度审计 经过对不一样数据库SQL语义分析，提取出SQL中相关要素（用户、SQL操作、表、字段、视图、索引、过程、函数、包…） 双向审计 不仅对数据库操作请求进行实时审计，而且还可对数据库实施状态、返回结果

45、返回内容进行完整还原和审计，同时能够依据返回结果设置审计规则 多行为审计 实时监控来自各个层面全部数据库活动，包含来自应用系统提议数据库操作请求、来自数据库用户端工具操作请求和经过远程登录服务器后操作请求等 多层业务关联审计 B/S三层架构 支持HTTP请求审计，提取URL、POST/GET值、cookie、操作系统类型、浏览器类型、原始用户端IP、MAC地址、提交参数等； 经过智能自动多层关联，关联出每条SQL语句所对应URL，和其原始用户端IP地址等信息，实现追踪溯源； C/S三层架构 在企业、医院等行业用户中，也部分采取C/S/S三层架构，一样面临追踪溯源难题，DAS-

46、DBAuditor支持基于DCOM三层架构自动关联。 运维审计关联 经过运维审计产品进行统一认证、授权后，也将面临追踪溯源难题，DAS-DBAuditor支持和运维审计产品关联，实现原始操作者信息追踪 全方位风险控制 灵活策略定制 依据登录用户、源IP地址、数据库对象（分为数据库用户、表、字段）、操作时间、SQL操作命令、返回统计数或受影响行数、关联表数量、SQL实施结果、SQL实施时长、报文内容灵活组合来定义用户所关心关键事件和风险事件 自动建模 DAS-DBAuditor支持自动建模，能够很方便了解整个数据库许可状态，帮助管理员形成有效审计规则，快速识别越权操作、帐号复用、违

47、规操作等行为。 多形式实时告警 当检测到可疑操作或违反审计规则操作时，系统能够经过监控中心告警、短信告警、邮件告警、Syslog告警、SNMP告警、FTP告警等方法通知数据库管理员 报表 DAS-DBAuditor报表系统包含预定义报表和自定义报表两大模块，能够快速生成对安全事件报表，并以PDF等格式导出。 审计管理员报表 支持从审计设备运行情况、安全事件、帐号增删、密码是否修改等角度形成报表 系统管理员报表 支持从权限变更、数据库权限分配情况、DDL/DML等特权操作、SQL语句类型和使用比率等角度形成报表 合规性汇报 能够形成符合SOX（塞班斯）法案、等级保护、分级保护

48、等法规符合性综合汇报 静态审计 除了提供实时动态审计功效，还提供了可选扫描审计模块对数据库不安全配置、弱口令等进行检测和审计，并提供安全加固提议。 友好真实操作过程回放 对于用户关心操作能够回放整个相关过程，让用户能够看到真实输入及屏幕显示内容，并能够经过精细内容检索，对特定行为进行正确回放，如实施删除表、文件命令、数据搜索等。 3) 用户收益 Ø 全方面满足国家等级保护测评要求，成功经过测评认证； Ø 能够从正当、合规方面满足证监会对信息化监管要求； Ø 从帐号管理、权限管理等多维度进行监控，助力IT管理制度实施； Ø 建立数据库权限模型，为数据库安全建设提供优化经验；

49、Ø 定时评定数据库漏洞，预防数据库密码破解 Ø 数据库操作全审计，不放弃任何可疑统方行为 Ø 双向审计，正确判定违规统方行为 Ø 丰富审计报表，满足纠风办审计需求 Ø 短信、邮件告警，第一时间了解违规统方行为 4.3. 安全运维审计 4.3.1 标准要求 《GB/T 22239- 信息安全技术 信息系统安全等级保护基础要求》 类别 条款号 标准要求内容 运维审计防护产品符合项 身份判别 7.1.3.1 应对登录操作系统和数据库系统用户进行身份标识和判别 运维审计（堡垒机） 操作系统和数据库系统管理用户身份标识应含有不易被冒用特点，口令应有复杂度要求并定时更换

50、 运维审计（堡垒机） 当对服务器进行远程管理时，应采取必需方法，预防判别信息在网络传输过程中被窃听 运维审计（堡垒机） 访问控制 7.1.3.2 应依据管理用户角色分配权限，实现管理用户权限分离，仅授予管理用户所需最小权限； 运维审计（堡垒机） 安全审计 7.1.3.3 审计范围应覆盖到服务器和关键用户端上每个操作系统用户和数据库用户 运维审计（堡垒机） 审计内容应包含关键用户行为、系统资源异常使用和关键系统命令使用等系统内关键安全相关事件 运维审计（堡垒机） 审计统计应包含事件日期、时间、类型、主体标识、客体标识和结果等 运维审计（堡垒机） 应保护审计统计，避