审计解决局域网共享

局域网安全审计解决方案姓名:厚贵涵时间:2010-06-20典型的局域网拓扑图局域网安全审计解决方案背景安全审计概述、标准及目标需求分析安全审计主要功能安全审计系统工作流程安全审计具体实现及案例产生的效果总结背景局域网安全问题的特点内网面临三大威胁:内部资源的误用、滥用和恶用难发现难防御威胁大背景局域网安全的严重性GARTNER调查70%企业内部攻击FBI和CSI对484家公司调查,发现:32%15%16%14%12%11%内部威胁背景局域网安全审计的提出企业管理层意识到—重要性部署的网络安全产品—防外不防内功能缺陷—不能记录日志和操作行为符合需求的产品—迫切需要背景国内外现状国外:2001年"安然"、"世通"公司的财务造假事件,安全管理方面的缺陷和不足——萨班斯法案国内:我国政府清醒地认识到信息安全问题的重要性——《企业内部控制基本规范》安全审计概述、标准及目标安全审计概述1.
审计一词的来源审计:audit-会计金融2.
计算机信息系统中安全审计被保护的资源安全状态进行监视和检查安全审计概述、标准及目标安全审计标准1.
TCSEC标准TCSEC(TrustdeComputerSystemEvaluationCriteria),是美国国防部计算机安全中心于1988年发布的"可信计算机系统评估准则".
C2级要求审计以下事件:用户的身份标识和鉴别、用户地址空间中客体的引入和删除、计算机操作员/系统管理员/安全管理员的行为、其它与安全有关的事件.
2.
CC标准CC标准是信息技术安全性通用评估准则,用来评估信息系统或者信息产品的安全性.
CC准则的安全功能需求定义了多个安全功能需求类,其中包括安全审计类.
安全审计概述、标准及目标3.
国标GB17859-1999依据我国计算机信息系统安全保护等级划分准则国标GB17859-1999第三级中关于安全审计的要求,应确定如下的审计事件作为审计内容:身份鉴别机制的使用;将客体引入用户地址空间;客体的删除;操作员、系统管理员或系统安全管理员所实施的动作;其它的与安全相关的事件等.
安全审计概述、标准及目标目标:通过对局域网安全的审计,对异常行为进行分析,及时发现局域网内部的安全隐患,对一些恶意行为进行取证和警示,降低企业内部安全风险,帮助企业管理者更好的管理企业内部的重要信息资料和提高员工的工作效率,方便网络管理员更好的管理网络,提高网络资源的利用率,发挥网络资源应有的经济效益,促进内网安全持续改善.
需求分析局域网面临的威胁主要分为:基于人的行为基于终端的基于服务器基于网络自身局域网内部威胁需求分析需要解决的问题:如何有效监控网络系统访问行为和敏感信息传播,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求,是企业迫切需要解决的问题.
需求分析基于人的行为需要解决的问题企业内部网络审计人的行为12违规行为:工作时间看电影、玩游戏、看小说、安装应用程序、盗版软件等;误操作:文件的篡改、删除、越权使用;非法操作:拷贝重要资料、泄密、窃取等;外来人员进入网络的违规行为.
内部人员违规、非法操作外部人员接入网络需求分析对于终端需要解决的问题需求分析企业内部网络审计终端外部设备接入网络12345IP地址随意更改非法拨号上网计算机硬件设备更换移动存储设备乱用6终端系统日志7系统漏洞需求分析对于服务器需要解决的问题需求分析企业内部网络审计服务器1打印服务器2服务器进程3服务器开启服务4共享文件的误操作、越权行为5开启的账号需求分析对于网络设备需要解决的问题需求分析需求分析企业内部网络审计网络设备12对设备的操作和行为;网络设备日志信息的提取和分析;设备故障点的定位;网络流量进行分析;设备端口异常流量包的抓取、分析等.
交换机路由器需求分析需求的提出企业需要审计内部人员的操作行为企业需要审计第三方人员的行为内部网络安全运维的需求为了日后取证的需求.
安全审计功能要求安全审计的功能主要有:1.
安全审计自动响应2.
安全审计数据产生3.
安全审计分析4.
安全审计浏览5.
安全审计事件选择6.
安全审计事件存储安全审计系统工作流程审计点(事件)的选择审计事件可以来自网络层,操作系统层和应用层.
局域网安全审计主要的审计数据源是来自内部网络各个主机(操作系统层和应用层)的审计数据,另外还包括对网络层的审计.
安全审计系统工作流程SNMP、RMON、Trap、Syslog、Telnet、WMI、HTTP、Agent、ODBC安全审计流程图安全审计系统工作流程系统框架局域网安全审计实现安全审计技术与审计对象一般的对应关系图审计对象和审计技术的选择局域网安全审计实现主机审计:对系统日志审计、主机资源审计、进程审计、服务审计、主机端口审计、主机账号审计、主机文件操作审计、对非法内外联行为记录、对客户端所有外设的使用进行记录.
用户行为审计:对企业和组织的人员进行审计.
局域网安全审计内容网络审计:对网络中各种访问、操作的审计,对主机网络实时信息的审计,记录和审计主机的网络连接情况,对数据包内容进行分析,非法的连接产生报警事件.
能够有效的发现网络内部新接入的访问数据的计算机.
设备审计:对网络设备、安全设备等各种设备的操作和行为进行审计.
服务器审计:对服务器所开启的服务、进程进行记录和检测,发现可疑服务提供报警;对服务器上的指定文件进行检测;对服务器所开启的账号进行审计;对服务器的软、硬件资源进行记录,发现变动可产生报警信息.
打印审计:对主机的打印操作进行审计,包括打印机名称、打印机位置、打印对象、打印份数及打印用户和打印时间等.
案例某单位为了应对内审和外审以及对企业内部员工的行为审计的需要,部署了安全审计产品,本案例从主机端到网络设备,从用户行为、安全日志到网络内容部署了多层次全方位的信息审计,切实落实审计的要求,保障业务的正常运行.
案例XX公司安全审计部署方案图案例整个审计方案主要包括以下五个方面:主机端审计服务器审计网络审计设备日志审计统一审计平台案例方案的优势与特点多纬度、全方位数据采集满足合规性需求强大的数据融合能力支持关联安全标准完善的报表生成解决问题(效果)通过部署安全审计产品,可以有效掌握网络安全状态,实现对内部网络信息的整体智能关联分析、评估、调查及安全事件的准确跟踪定位,为整体安全策略的制定提供权威可靠的支持,为日后的调查、取证提供有力的保证.
安全审计产品的实施,也对用户的操作行为起到了一定的威慑作用.
总结在内网安全日益受到重视的今天,内部操作风险控制成为内网安全建设的重要内容.
内网安全审计系统是一种被实际证明,并且行之有效的内网安全建设方案,它建立在对操作行为的合规性审计基础之上,能够发挥监管、控制及取证作用,从而有效地帮助用户控制IT相关的操作风险.
普华基础软件股份有限公司谢谢共同探讨!
!