局域网安全审计解决方案.ppt

局域网安全审计解决方案 姓名 厚贵涵时间 2010 06 20 典型的局域网拓扑图 局域网安全审计解决方案 背景安全审计概述 标准及目标需求分析安全审计主要功能安全审计系统工作流程安全审计具体实现及案例产生的效果总结 背景 局域网安全问题的特点内网面临三大威胁 内部资源的误用 滥用和恶用 难发现 难防御 威胁大 背景 局域网安全的严重性GARTNER调查70 企业内部攻击FBI和CSI对484家公司调查 发现 32 15 16 14 12 11 内部威胁 背景 局域网安全审计的提出企业管理层意识到 重要性部署的网络安全产品 防外不防内功能缺陷 不能记录日志和操作行为符合需求的产品 迫切需要 背景 国内外现状国外 2001年 安然 世通 公司的财务造假事件 安全管理方面的缺陷和不足 萨班斯法案国内 我国政府清醒地认识到信息安全问题的重要性 企业内部控制基本规范 安全审计概述 标准及目标 安全审计概述1 审计一词的来源审计 audit 会计金融2 计算机信息系统中安全审计被保护的资源安全状态进行监视和检查 安全审计概述 标准及目标 安全审计标准1 TCSEC标准TCSEC TrustdeComputerSystemEvaluationCriteria 是美国国防部计算机安全中心于1988年发布的 可信计算机系统评估准则 C2级要求审计以下事件 用户的身份标识和鉴别 用户地址空间中客体的引入和删除 计算机操作员 系统管理员 安全管理员的行为 其它与安全有关的事件 2 CC标准CC标准是信息技术安全性通用评估准则 用来评估信息系统或者信息产品的安全性 CC准则的安全功能需求定义了多个安全功能需求类 其中包括安全审计类 安全审计概述 标准及目标 3 国标GB17859 1999依据我国计算机信息系统安全保护等级划分准则国标GB17859 1999第三级中关于安全审计的要求 应确定如下的审计事件作为审计内容 身份鉴别机制的使用 将客体引入用户地址空间 客体的删除 操作员 系统管理员或系统安全管理员所实施的动作 其它的与安全相关的事件等 安全审计概述 标准及目标 目标 通过对局域网安全的审计 对异常行为进行分析 及时发现局域网内部的安全隐患 对一些恶意行为进行取证和警示 降低企业内部安全风险 帮助企业管理者更好的管理企业内部的重要信息资料和提高员工的工作效率 方便网络管理员更好的管理网络 提高网络资源的利用率 发挥网络资源应有的经济效益 促进内网安全持续改善 需求分析 局域网面临的威胁主要分为 基于人的行为 基于终端的 基于服务器 基于网络自身 局域网内部威胁 需求分析 需要解决的问题 如何有效监控网络系统访问行为和敏感信息传播 准确掌握网络系统的安全状态 及时发现违反安全策略的事件并实时告警 记录 同时进行安全事件定位分析 事后追查取证 满足合规性审计要求 是企业迫切需要解决的问题 需求分析 基于人的行为需要解决的问题 企业内部网络审计人的行为 1 2 违规行为 工作时间看电影 玩游戏 看小说 安装应用程序 盗版软件等 误操作 文件的篡改 删除 越权使用 非法操作 拷贝重要资料 泄密 窃取等 外来人员进入网络的违规行为 内部人员违规 非法操作 外部人员接入网络 需求分析 对于终端需要解决的问题 需求分析 企业内部网络审计终端 外部设备接入网络 1 2 3 4 5 IP地址随意更改 非法拨号上网 计算机硬件设备更换 移动存储设备乱用 6 终端系统日志 7 系统漏洞 需求分析 对于服务器需要解决的问题 需求分析 企业内部网络审计服务器 1 打印服务器 2 服务器进程 3 服务器开启服务 4 共享文件的误操作 越权行为 5 开启的账号 需求分析 对于网络设备需要解决的问题 需求分析 需求分析 企业内部网络审计网络设备 1 2 对设备的操作和行为 网络设备日志信息的提取和分析 设备故障点的定位 网络流量进行分析 设备端口异常流量包的抓取 分析等 交换机 路由器 需求分析 需求的提出企业需要审计内部人员的操作行为企业需要审计第三方人员的行为内部网络安全运维的需求为了日后取证的需求 安全审计功能要求 安全审计的功能主要有 1 安全审计自动响应2 安全审计数据产生3 安全审计分析4 安全审计浏览5 安全审计事件选择6 安全审计事件存储 安全审计系统工作流程 审计点 事件 的选择审计事件可以来自网络层 操作系统层和应用层 局域网安全审计主要的审计数据源是来自内部网络各个主机 操作系统层和应用层 的审计数据 另外还包括对网络层的审计 安全审计系统工作流程 SNMP RMON Trap Syslog Telnet WMI HTTP Agent ODBC 安全审计流程图 安全审计系统工作流程 系统框架 局域网安全审计实现 安全审计技术与审计对象一般的对应关系图 审计对象和审计技术的选择 局域网安全审计实现 主机审计 对系统日志审计 主机资源审计 进程审计 服务审计 主机端口审计 主机账号审计 主机文件操作审计 对非法内外联行为记录 对客户端所有外设的使用进行记录 用户行为审计 对企业和组织的人员进行审计 局域网安全审计内容 网络审计 对网络中各种访问 操作的审计 对主机网络实时信息的审计 记录和审计主机的网络连接情况 对数据包内容进行分析 非法的连接产生报警事件 能够有效的发现网络内部新接入的访问数据的计算机 设备审计 对网络设备 安全设备等各种设备的操作和行为进行审计 服务器审计 对服务器所开启的服务 进程进行记录和检测 发现可疑服务提供报警 对服务器上的指定文件进行检测 对服务器所开启的账号进行审计 对服务器的软 硬件资源进行记录 发现变动可产生报警信息 打印审计 对主机的打印操作进行审计 包括打印机名称 打印机位置 打印对象 打印份数及打印用户和打印时间等 案例 某单位为了应对内审和外审以及对企业内部员工的行为审计的需要 部署了安全审计产品 本案例从主机端到网络设备 从用户行为 安全日志到网络内容部署了多层次全方位的信息审计 切实落实审计的要求 保障业务的正常运行 案例 XX公司安全审计部署方案图 案例 整个审计方案主要包括以下五个方面 主机端审计服务器审计网络审计设备日志审计统一审计平台 案例 方案的优势与特点多纬度 全方位数据采集满足合规性需求强大的数据融合能力支持关联安全标准完善的报表生成 解决问题 效果 通过部署安全审计产品 可以有效掌握网络安全状态 实现对内部网络信息的整体智能关联分析 评估 调查及安全事件的准确跟踪定位 为整体安全策略的制定提供权威可靠的支持 为日后的调查 取证提供有力的保证 安全审计产品的实施 也对用户的操作行为起到了一定的威慑作用 总结 在