安全审计系统的功能设计及其技术要求 -

安全审计系统的功能设计及其技术要求－安全审计系统的功能设计及其技术要求ﻭﻪ随着信息化进程的深入和的迅速，人们的工作、学习和生活方式正在发生巨大变化,效率大为提高，信息**到最大程度的共享。即使部署了防火墙、防病毒、入侵检测系统等网络安全产品，制定了严格安全策略、发布了多项管理制度,**种网络安全事件任然有增无减,根据CＥRＴ的年度研究报告显示，高达50％以上的数据破坏是由内部人造成的,内部人员对自己的信息系统非**悉，又位于防火墙的后端，对数据库系统的误操作或者蓄意的破坏会对企业造成恶劣的影响以及，无法定责，不方便管理。安全审计通过收集、分析、评估安全信息、掌握安全状态，制 **全策略，确保整个安全体系的完备性、合理性和适用性，将系统调整到最安全最低风险的状态。ﻭ1 ﻭﻪ安全审计系统是在一个特定的企**下，为了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取，而运用**种技术手段实时监控网络环境中的网络行为、通信内容，以便集中收集、分析、报警、处理的一种技术手段。能够规范员工上网行为、提高工作效率、防止企业机密资料外泄，帮助管理者发现潜在的威胁，减少人为因素和管理缺失造成的关键业务停顿造成的损失。帮助您对ＩT安全事件进行有效监,生的系统破坏行为提供有效的追究证据。ﻭﻭﻪ,旁路方式进行审计,不在网络中串联设备，不破坏网络结构，不影响正常业务的运行,也不会影响到网络性能,.系统主要由以下功能1ﻭﻪ)网络审计模块：防止非法内连和外连，负责网络通信系统的审计，在内外部网络信息控制监管的同时，为避免相关信息外泄及事后的追溯取证提供了有效的技术支撑。ﻭ2）操作系统审计模块：对重要服务器主机操作系统的审计,记录操作时间、IP地址、用户账号、服务器账号、操作指令、操作结果等信息。用户即可通过操作日志查看详细操作指令，也可通过录像回放查看详细的操作过程 ﻭﻪ3）数据库审计模块：对重要数据库操作的审计，对信息系统中**类数据库系统的用户访问行为进行实时采集、实时分析,用户登录、登出数据库，对数据表内容做插入、删除、修改等操作，记录内容可以精确回放SL操作语句。详细记录每次操作的发生时间、数据库类型、数据库名、表名、源MＡＣ地址、目的MAＣ地址、源端口、目标端口、数据库名、用户名、客户端ＩＰ、服务器端Ｐ、操作指令、操作返回状态值。ﻭﻪ４)主机审计模块:主要负责对网络重要区域的客户机进行审计，包括对终端系统安装了哪些不安全软件的审计,并设置端系统的权限等,在配合网络行为控制与审计策略的配置实施过程中起到基础性的作用。ﻭﻪ５)应用审计模块：主要负责重要服务器主机的应用平台软件,以及重要应用系统进行审计。监测及采集信息系统中的系统安全事件、用户访问行为、日志、状态等**类信息,经过规范化、过滤、归并和告警分析等处理后,以一格式的日志形式进行集中存储和管理,清晰的记录。ﻭﻪ ６）运维审计模块：主要负责监控系统管理员及第三方运维人员(代维／原厂工程师）系统操作时的审计，对于所有远程访问目标设备的会话连接，实现同步过程监视，运维人员在服务器上做的任何操作都**步显示在审计人员的监控画面中,包括vｉ、iｔ以及图形化的ＲDP、VNC、Ｘ１1等操作,管理员可以根据需要随时切断违规操作会话。记录访问者和被访问者的ＩP/MＡC地址，访问时间等信息。ﻪ ﻪ安全审计系统实现功能模块,具有如下特点:3ﻭﻪ．1计(深度协议分析）ﻭ采用协议识别和智能关联技术,可对访问、邮件收发、远程终端访问、数据库访问、论坛发帖等关键信息进行监测、还原;深度分析,根据内容自动识别**个连接的应用协议类型。保障审计的准确性。为管理机构进行事后追查、取证分析提供有力技术支撑.ﻭ３.2全面的网络行为审计（精准的网络行为实时监控)ﻭﻪ可对网络行为,如访问、邮件收发、数据库访问、远程终端访问、即时通讯、论坛、在线、P２P下载、网络游戏等,提供全面的行为监控，支持全面的行为审计、支持目前常见的**种网络应用,方便事后追查取证;较强的网络行为控制功能，包括对网页浏览、电子邮件服务器、即时通讯、Ｐﻭ3．３日志规则库自带基于日志内容分析的专家规则库,针对日志源数据进行实时等级划分智能分析日志信息中所反映出的诸如设备故障、配置错误、系统、应用程序出错、传播违规违法信息、数据库敏感操作等信息，并能及时通过邮件或短信方式管理员。规则库能够定时自动升级，应对新增的安全风险. ﻭ3.4ﻭﻪ宽**的管理提供可靠策略支持;通过传统安全手段与安全审计技术相结合，在功能上互相协调、补充,ﻭ3。5 可靠的安全保障能力ﻭﻪ自身的安全性高，不易遭受攻击,在操作统级对系统**支撑引擎进行了修改和全面优化定制，全面防止攻击与劫持，提升系统整体性能的同时保障自身系统级安全.对关键审计数据的存储和传输进行加密防护，利用数据防篡改、防删除技术;严格访问权限、审计权限控制体系达到系统级安全防护，旁路部署保障对网络性能完全没有影响,保证网络无单点故障，优先保障用户网络级安全,是上网机构在内网和过程中最可信赖的安全工具。3ﻭﻪ.６高效的事件定位能力ﻭﻪ日志数据大致可分为两类:结构化数据非结构化数据,结构化数据主要包括行为日志和报警日志等，而非结构化数据则主要包括内容审计数据。通过使用先进的全文检擎,实现高效的事件定位能力.ﻭ良好的扩展性设计，部署灵活ﻪ支持分级部署、集中管理，满足不同规模网络的使用和管理需求；对于单台设备无法处理的超大流量环境或含有分支机构的分布式环境，系统支持高,通过多台设备对超大的流量或**而治之，又由统一的管理平台实现对整个网络的透明、统一的管理ﻭﻭ全面详细的审计信息,丰富可定制的报表系统,系统根据历史审计日志数据进行统计可产生丰富详细和直观的报表,包括分组上网排名、人员上网排名、网络应用统计、访问**统计、趋势分析、自定义报表等。能够从上网对象、时间,折线图等形式来体现排名、结构、趋势等上网概况，使管理者对所掌握的数据有清晰直观的认识.报表可以以ＥXCEL、PDF、ＷORＤ、HTＭＬ等形式导出保存，并支持自定义的报表自动生成和订阅。日志可以按照要求保留９0**种组合