2003-信息技术网络通讯安全审计产品检验规范
编号:MSCTC-GFJ-07
信息技术网络通讯
安全审计产品检验规范
公安部计算机信息系统安全产品质量监督检验中心
第一版第0次修订
2003年11月01日颁布2003年12月01日实施
GAXXX--2003
前 言
为了规范全国网络通讯安全审计产品的开发与应用,保障公共信息网络安全,根据公安部公共信息网络安全监察局的要求,本规范对网络通讯安全审计产品提出了自身安全功能要求、安全功能要求和保证要求,作为对其进行检测的依据。
本规范由中华人民共和国公安部公共信息网络安全监察局提出。
本规范起草单位:公安部计算机信息系统安全产品质量监督检验中心。
公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。
I
GAXXX--2003
II
引 言
本规范规定了网络通讯安全审计产品的技术要求,提出了该类产品应具备的功能要求和安全保证要
求。并根据功能和保证要求的不同将网络通讯安全审计产品进行了分级。
本规范的目的是为网络通讯安全审计产品的研制、开发、测评和采购提供技术支持和指导。
使用符合本规范的网络通讯安全审计产品可对网络进行隐蔽监视,能对事后发现的安全事件进行会话恢复,为网络通讯取证提供有效的工具。
本规范不涉及在加密网络中使用的网络通讯安全审计产品。
GAXXX--2003 信息技术网络通讯安全审计产品检验规范
1 范围
本规范规定了在网络通讯中使用的安全审计产品的自身安全功能要求、安全功能要求和保证要求。
本规范适用于安全审计产品的生产及检测。
2 术语和定义
下列术语和定义适用于本规范:
2.1 安全审计 Security Audit
安全审计产品是对网络或指定系统的使用状态进行跟踪并记录的产品。
2.2 审计日志 Audit Log
审计日志是指安全审计产品自身审计产生的信息。
2.3 审计记录 Audit Recordation
审计记录是指跟踪网络或指定系统的使用状态产生的信息。
2.4 审计信息 Audit Information
审计信息是指所有的审计日志和审计记录的总称。
3 安全审计等级划分规范
3.1 第一级:用户自主保护级
3.1.1 自身安全功能要求
3.1.1.1 自主访问控制
3.1.1.1.1 属性定义
安全审计产品应为每个管理角色规定与之相关的安全属性,例如管理角色标识、鉴别信息、隶属组、权限等。
3.1.1.1.2 属性初始化
安全审计产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。
3.1.1.2 身份鉴别
3.1.1.2.1 基本鉴别
安全审计产品应在执行任何与授权管理员或用户相关功能之前鉴别授权管理员或用户的身份。
3.1.1.3 数据完整性
3.1.1.3.1 可信数据
安全审计产品应提供在各种使用情况下,保证本地数据以及远程可信组件间传送的所有数据完整性的功能:
a)应提供防止对审计记录内容修改或手工添加的功能;
b)应提供防止远程传送的审计记录被篡改的功能;
c)应提供防止未授权的删除本地存储的审计记录的功能。
3.1.2 安全功能要求
3.1.2.1 信息采集
3.1.2.1.1 审计记录
记录网络中数据包的相关信息,内容至少应包括:记录时间、源地址(IP和MAC地址)、源端口、目标地址(IP和MAC地址)、目的端口、协议类型。
3.1.2.2 会话储存和还原
1
GAXXX--2003
3.1.2.2.1 会话的储存
所有的信息应以会话为单位存储。
3.1.2.2.2 会话内容的基本项
会话信息内容的基本项应包括:会话起始时间、源地址、目标地址。
3.1.2.2.3 服务信息收集的基本要求
FTP通讯信息:除基本项以外还应包括:使用的账号、输入命令;
TELNET通讯信息:除基本项以外还应包括:使用的账号、输入命令;
WWW通讯信息:除基本项以外还应包括:目标URL;
E-mail通讯信息:除基本项以外还应包括:源信箱地址、目的信箱地址。
3.1.3 安全保证要求
3.1.3.1 配置管理
3.1.3.1.1 能力
开发者提供的配置管理文档应以版本号做标签,为安全审计产品提供引用,使一个版本号对应安全审计产品的唯一版本。
3.1.3.2 安全功能开发过程
3.1.3.2.1 功能规约
开发者提供的安全审计产品安全功能的功能规约应描述安全功能及与其外部的接口。
3.1.3.3 测试
3.1.3.3.1 功能测试
开发者提供的测试文档应包含测试计划、测试过程描述、预期的测试结果和实际测试结果,其中的测试计划应标识要测试的安全功能、描述要执行的测试目标,测试过程描述应标识要执行的测试、测试概况。
3.1.3.3.2 覆盖分析
开发者提供的测试覆盖的证据应表明测试文档中所标识的测试和功能规约中所描述的安全功能之间的对应性。
3.1.3.4 指导性文档
3.1.3.
4.1 管理员指南
开发者提供的管理员指南应描述对于授权安全管理角色可使用的管理功能和接口、安全管理安全审计产品的方式、受控制的安全参数以及与安全操作有关的用户行为的假设,并描述与为评估而提供的其他所有文件的一致性。
3.1.3.
4.2 用户指南
开发者提供的用户指南应描述用户可获取的安全功能和接口的用法,安全操作中用户的职责(包括:用户行为假设)。同时,应描述与为评估而提供的其它所有文件的一致性。
3.1.3.5 交付和运行
3.1.3.5.1 安装生成
开发者提供的安装过程的文档应说明用于安全审计产品的安全安装、生成和启动的过程所应的步骤。并应描述一个起动程序,它包含了用以生成安全审计产品的选项,从而能决定安全审计产品是如何以及何时产生的。
3.2 第二级:系统审计保护级
3.2.1 自身安全功能要求
3.2.1.1 自主访问控制
3.2.1.1.1 属性定义
安全审计产品应为每个管理角色规定与之相关的安全属性,例如管理角色标识、鉴别信息、隶属组、权限等。
3.2.1.1.2 属性初始化
2
GAXXX--2003 安全审计产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。
3.2.1.2 身份鉴别
3.2.1.2.1 基本鉴别
安全审计产品应在执行任何与授权管理员或用户相关功能之前鉴别授权管理员或用户的身份。
3.2.1.2.2 鉴别失败的基本处理
安全审计产品应能在鉴别尝试达到最大失败次数后,终止用户建立会话的过程。
3.2.1.3 客体重用
客体是指存放信息的介质,如内存、外存(主要指磁盘)、软盘、可擦写光盘等。当产品为特定信息动态分配客体资源时,应确保曾在该资源中存放过的信息不因动态分配而泄漏。在向一个主体初始转让、分配或重分配客体之前或回收客体资源之后,应确保其残留信息全部被清除。(例如:在某个管理角色通过身份鉴别后,安全审计产品应确保不提供前一次注销的管理角色的任何信息,包括鉴别信息、审计日志等)。
3.2.1.4 审计
3.2.1.
4.1 审计查阅
应向授权用户提供查询审计记录或审计日志的功能。
3.2.1.
4.2 可理解的格式
应使审计结果为人所理解。
3.2.1.
4.3 可选择查阅审计
应提供基于日期和时间、主体身份、事件类型、相关事件成功或失败等组合条件,对审计日志进行查询和排序的工具。
应提供基于记录时间、源地址、源端口、目标地址、目的端口或协议类型等组合条件,对审计记录进行查询和排序的工具。
3.2.1.
4.4 防止审计数据丢失
安全审计产品应将生成的审计记录和审计日志储存于一个永久性的介质中。
当审计存储耗尽/失败/受攻击情况发生时,安全审计产品应确保审计记录和审计日志不被破坏。
安全审计产品应能够制定某种策略,具体处理当审计存储接近最大存储空间时的情况。(例如:安全审计产品可“忽略可审计事件” 或“覆盖所存储的最早的审计记录”或“阻止产生所有可审计事件(除有特权的授权用户外)”,并发送一个告警信息。)
3.2.1.5 数据完整性
3.2.1.5.1 可信数据
安全审计产品应提供在各种使用情况下,保证本地数据以及远程可信组件间传送的所有数据完整性的功能:
a)应提供防止对审计记录或审计日志内容修改或手工添加的功能;
b)应提供防止远程传送的审计记录或审计日志被篡改的功能;
c)应提供防止未授权的删除本地存储的审计记录或审计日志的功能。
3.2.1.5.2 保密传输
与远程可信组件的传送过程中,安全审计产品应提供保护所有的信息数据不被泄漏的功能。
3.2.1.5.3 保密存储
安全审计产品应提供审计记录和审计日志保密存储的功能。
3.2.1.5.4 可信时间戳
安全审计产品应能为自身的应用提供可信的时间戳,以保持各组件之间的一致性以及记录时间的可信性。
3.2.2 安全功能要求
3
GAXXX--2003
3.2.2.1 信息采集
3.2.2.1.1 审计记录
记录网络中数据包的相关信息,记录内容至少应包括:记录时间、源地址(IP和MAC地址)、源端口、目标地址(IP和MAC地址)、目的端口、协议类型。
3.2.2.1.2 审计日志
记录安全审计产品自身的审计,记录内容至少应包括:
表1 基本可审计事件
事件 细节
所有对审计记录或审计日志的删除或清空记录时间
从审计记录或审计日志中读取信息
在信息采集功能运行时所有对审计配置的
修改
所有鉴别机制的使用 位置
对角色中用户组的修改 修改后的用户身份
安全审计系统组件的启动与关闭
3.2.2.2 会话储存和还原
3.2.2.2.1 会话的储存
所有的信息应以会话为单位存储。
3.2.2.2.2 会话内容的基本项
会话信息内容的基本项应包括:会话起始时间、源地址、目标地址。
3.2.2.2.3 服务信息收集的基本要求:
FTP通讯信息:除基本项以外还应包括:使用的账号、输入命令;
TELNET通讯信息:除基本项以外还应包括:使用的账号、输入命令;
WWW通讯信息:除基本项以外还应包括:目标URL;
E-mail通讯信息:除基本项以外还应包括:源信箱地址、目的信箱地址。
3.2.2.2.4 服务信息收集的扩展要求
FTP通讯信息:除满足基本要求以外还应包括:传输的文件内容。
TELNET通讯信息:除满足基本要求以外还应包括:反馈信息。
WWW通讯信息:除满足基本要求以外还应包括:恢复网页所需的文件。
3.2.3 安全保证要求
3.2.3.1 配置管理
3.2.3.1.1 能力
开发者提供的配置管理文档应以版本号做标签,为安全审计产品提供引用,使一个版本号对应安全审计产品的唯一版本。
3.2.3.2 安全功能开发过程
3.2.3.2.1 功能规约
开发者提供的安全审计产品安全功能的功能规约应描述安全功能及与其外部的接口。
3.2.3.2.2 高层设计
开发者提供的安全审计产品安全功能的高层设计应按子系统方式描述安全功能及其结构,并标识安全功能子系统的所有接口。
4
GAXXX--2003 3.2.3.2.3 表示对应性
开发者提供的相邻两阶段开发文档之间提供其对应性分析对于所提供的安全策略表示的每个相邻对,应阐明上一阶段的安全策略表示的在下一阶段文档中得到正确而完备地细化。
3.2.3.3 测试
3.2.3.3.1 功能测试
开发者提供的测试文档应包含测试计划、测试过程描述、预期的测试结果和实际测试结果,其中的测试计划应标识要测试的安全功能、描述要执行的测试目标,测试过程描述应标识要执行的测试、测试概况。
3.2.3.3.2 覆盖分析
开发者提供的测试覆盖的证据应表明测试文档中所标识的测试和功能规约中所描述的安全功能之间的对应性。
开发者提供的测试覆盖的证据应阐明测试文档所标识的测试和功能规约中所描述的安全功能之间的对应性是完备的。
3.2.3.4 指导性文档
3.2.3.
4.1 管理员指南
开发者提供的管理员指南应描述对于授权安全管理角色可使用的管理功能和接口、安全管理安全审计产品的方式、受控制的安全参数以及与安全操作有关的用户行为的假设,并描述与为评估而提供的其他所有文件的一致性。
3.2.3.
4.2 用户指南
开发者提供的用户指南应描述用户可获取的安全功能和接口的用法,安全操作中用户的职责(包括:用户行为假设)。同时,应描述与为评估而提供的其它所有文件的一致性。
3.2.3.5 交付和运行
3.2.3.5.1 安装生成
开发者提供的安装过程的文档应说明用于安全审计产品的安全安装、生成和启动的过程所应的步骤。并应描述一个起动程序,它包含了用以生成安全审计产品的选项,从而能决定安全审计产品是如何以及何时产生的。
3.2.3.5.2 交付
开发者提供的交付文档应向用户说明这一维护安全所应的交付程序。
5
5-企业案例-网络安全审计系统(数据库审计)解决方案
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计........................ 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计............................ 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书.......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
信息安全内部审核管理规定
信息安全内部审核管理规定 第一章总则 第一条为规范科技发展部信息安全管理体系的内部审核,检查信息安全管理活动及其结果是否符合有关标准或文件要求,确保信息安全管理体系持续有效地运行,并为体系的改进提供依据,特制定本规定。 第二条本规定适用于科技发展部职责范围内的所有信息安全内部审核过程和活动。 第二章术语和定义 第三条本规定采用GB/T 22080-2008/ISO/IEC 27001:2013、GB/T 22081-2008/ISO/IEC 27002:2013的定义和缩写,需补充说明的定义和缩写如下: (一)信息安全内审:是指企业对信息安全管理体系运行情况进行的系统的检查和评价活动,包括检查信息安全策略、标准、规定及其他相关规章制度是否得到正确实施,信息系统是否符合安全实施标准,信息安全控制措施是否得当等。它是企业信息安全保障体系的一种自我保证手段。
第三章组织与职责 第四条科技发展部负责本规定的制定、解释和修订、制定信息安全管理体系内部审核计划、信息安全管理体系内部审核的领导和组织工作、按本规定要求组织审核,编写科技发展部信息安全管理体系内部审核报告。 第五条各部门负责按本规定要求和审核计划安排审核准备和审核实施、参与审核工作的内审员应该与被审核方没有直接的报告关系,以保证审核的客观性和独立性、负责体系审核的计划、验证跟踪和文件管理等具体工作。 第四章内部审核管理规定 第六条内部审核计划制定 1. 科技发展部风险管理组负责编制年度信息安全内审计划。 2. 审核范围需覆盖所有GB/T 22080-2008/ISO/IEC 27001:2013标准要求, 既包括信息安全风险管理框架和体系自身运行框架,也应包括各个具体的控制项; 3. 安全体系度量活动应在内审前进行,通过内审活动检查度量指标的正确性。 4. 每年至少进行一次覆盖GB/T 22080-2008/ISO/IEC 27001:2013标准要求的科技发展部范围的信息安全管理体系内部审
信息安全审计系统在等级保护建设中的应用分析
信息安全审计系统在等级保护建设中的应 用分析 引言 在国外,随着诸如Iso27001,萨班斯法案等信息安全标准和法规的颁布,国外的信息安全审计己经企业,得到了广泛的应用。而在我国,信息安全审计主要来源于企业信息安全管理的需求、企业内控的要求并且获得了一定规模的应用。而随着计算机信息安全等级保护的推进,信息安全审计必然越来越受到政府、企事业单位的重视。目前市场上存在着各种各样的信息安全审计系统,其功能不一,部署使用力一式也不相同。如何在等保建设中更好的应用审计系统,木文在以下内容中给出了分析和建议。 1信息安全审计的意义和目的 计算机信息安全是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称五性。安全审计是这五性的重要保障之一,它对计算机信息系统中的所有IT资源(包括数据库、主机、操作系统、安全设备、网络行为等)进行安全审计,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的CCAV监控系统,任何人进出银行,柜台操作都进行如实录像记录,一旦有异常事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。 信息系统的安全审计工作更为复杂,通过统一收集信息系统中的设
备、系统、终端、应用的登录、操作日志以及其它各种网络行为,例如互联网访问,FTP传输、电子邮件等记录,通过综合关联分析从各类记录中进行多层而、多视角的跟踪、分析和处理,发现异常事件,及时采取相应措施。 通过以上分析可以看到信息安全审计在信息安全管理体系中是不可缺失的部分。它的作用主要如下: (1)对正在发生的各类信息事件进行监控、记录和告警; (2)为安全主管提供审计记录和分析决策,及时针对异常行为采取措施; (3)通过安全审计记录,可以对于发生的信息系统破坏行为提供有效的法律追究证据; (4)有效的安全审计策略和安全审计防护措施可以对潜在的攻击者起到震慑和警告的作用。 2等级保护中安全审计问题 2.1等级保护中的安全审计要求 等级保护是我国目前在非涉密系统信息安全防护一个有效的政策依据。等级保护测评中对网络,主机,数据库和应用都有相应的安全审计要求。 2.1.1各安全域通用要求 (1)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等; (2)应保护审计进程,避免受到未预期的中断;
信息系统安全检查与审计管理制度
第一章总则 第一条为避免违背有关法律法规或合同约定事宜及其他安全要求的规定,遵从管理部门如公安机关的安全要求,确保信息系统信息安全管理符合互联网借贷信息安全管理要求,特制订本制度。 第二条本规定适用于()部。 第二章xx 第三条安全检查包括技术部的自查和信息安全工作小组定期执行的安全检查。 第四条技术部的自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况。自查应至少一个季度组织一次。 第五条技术部执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况和各部门自查结果抽查等。安全检查应至少一年组织一次。 第六条自查和安全检查均应在检查之前形成检查表。 第七条应严格按照检查表实施检查,检查完毕,记录下所有检查结果。 第八条应制定措施防止安全检查结果的非授权散布,只对经过授权的人员通报安全检查结果。 第九条系统建设和运维人员应阅读并理解安全检查报告,在信息安全工作小组的指导下对出现的问题进行整改。 第十条信息安全工作小组应对整改过程进行监督,并将整改结果报送信息安全领导小组。 第三章安全审计
第十一条安全审计作为整体审计工作的一个部份,依据审计工作相关管理办法开展安全审计工作。 第十二条安全审计人员的配备应根据实际情况,采用如下方法的一种,原则上应以审计小组培养自身独立的安全审计人员为主,其他手段为辅: 1、由()部审计小组独立完成,应使用具备相应技能的人员完成审计工作; 2、由()部完成,()部应指派熟悉技术的人员配合安全部完成审计工作。 3、聘请外部专业安全审计单位完成审计工作。 第十三条安全审计的内容主要包括: 1、相关法律法规的符合情况; 2、管理部门的相关管理要求的符合情况; 3、现有安全技术措施的有效性; 4、安全配置与安全策略的一致性; 5、安全管理制度的执行情况; 6、安全检查和自查的检查结果及检查报告; 7、xx信息是否完整记录; 8、各类重要记录是否免受损失、破坏或伪造篡改; 9、检查系统是否存在漏洞; 10、检查数据是否具备安全保障措施。 第十四条安全审计工作应具有独立性,避免有舞弊的情况发生。 第十五条安全审计的方式分为:
17网络信息中心 信息安全审计管理制度
X 网络信息中心 信息安全审计管理制度
目录 第一章总则 (3) 第二章人员及职责 (3) 第三章日志审计的步骤 (4) 第四章日志审计的目标和内容 (5) 第五章管理制度和技术规范的检查步骤 (7) 第六章管理制度和技术规范的检查内容 (8) 第七章检查表 (8) 第八章相关记录 (9) 第九章相关文件 (9) 第十章附则 (9) 附件一:体系管理制度和技术规范控制点重点检查的内容及方法 (9)
第一章总则 第一条为了规范X网络信息中心的内部审计工作,建立并健全网络信息中心内部的审计制度,明确内部审计职责,通过对人工收集到的大量审计行为记录进行检查,以监督不当使用和非法行为,并对发生的非法操作行为进行责任追查。同时根据X的各种与信息安全的相关的制度和技术手段进行检查,确保X的由网络信息中心管理的信息系统设备和应用系统正常、可靠、安全地运行; 第二条包括对各系统日志的审计和安全管理制度及技术规范符合性检查。 第二章人员及职责 第三条本制度指定X网络信息中心审计组作为X的信息安全审计组织,负责实施X内部审核,在聘请外部审计组织参与的情况下,网络信息中心审计组协助外部第三方进行审核;审计组的工作应该直接向信息安全领导小组汇报;实施独立审核,确保信息安全管理系统各项控制及组成部分按照策略要求运行良好,确保信息安全管理体系的完整性、符合性和有效性; 第四条与审计制度相关的人员分为审计人和被审计人。审计人除了网络信息中心的信息技术审计员外,还需设立信息安全协调员以指导和配合信息技术审计员的工作。被审计人及系统为X的信息安全执行组人员,包括X市招考热线系统、内部网络管理系统、日志管理系统、机房视频监控系统和其相关的管理、维护和使用人员等; 第五条网络信息中心的审计相关人员根据X规划战略、年度工作目标,以及上级的部署,拟订审计工作计划,报经X领导批准后实施审计工作。除年度审计计划外,也可根据工作需要或X领导的要求配合上级部进行非定期的专项审计、后续审计等其他审计事项; 第六条信息安全审计员的角色和职责 本着安全管理权限分离的原则,信息安全审计员岗位要独立于其他角色管理员和各类系统使用人员。信息安全审计员和本制度相关职责如下: (一)负责X的信息安全审计制度的建设与完善工作; (二)信息安全审计员要对人工收集到的大量审计行为记录进行检查,以监督对X的相关信息系统的不当使用和非法行为; (三)定期执行安全审计检查,对系统的安全状况进行分析评估,向上级主管提供系统安全状况审计报告和改进措施等。 第七条 X网络信息中心的信息安全领导和本制度相关职责是:
关于对XX银行科技信息风险管理进行专项审计的报告.doc
关于对XX银行 科技信息风险管理进行专项审计的报告(模板) 为有效防范、控制、化解利用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进XXX农村信用社安全、持续、稳健发展,根据《商业银行内部控制指引》、《商业银行信息科技风险管理指引》和有关信息系统管理的法规、XXX联社审计部根据市审计中心审计工作的安排,对本联社的科技信息风险管理进行了专项审计,现将审计情况报告如下: 一、基本情况 略。 二、审计依据 银监会《商业银行信息科技风险管理指引》、银监会《商业银行数据中心监管指引》及省联社信息科技相关制度和本联社信息科技相关管理文件。 三、组织架构、制度建设及管理情况 1、信息科技治理组织架构 (1)县联社董事会下设科技信息安全管理委员会,信息安全管理委员会下设应急处理领导小组。 科技管理委员会负责统一规划全社的信息化建设,指导和监督科技部门的各项工作,审议全社计算机网络的设计方案、软件项目招标、设备招标和统一采购及日常管理中重大问题的研究和建议。
信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则,统一组织、协调、指导、检查全辖应急处置的管理;负责全辖信息系统突发事件的应急指挥、组织协调和过程控制 (2)成立了科技部,加强了科技运维信息治理。 (3)科技风险审计工作由联社稽核审计部完成。 2、信息科技管理制度 (1)安全管理 对安全管理活动中的各类管理内容,依据省联社相关制度建立安全管理制度,制定了由安全策略、管理制度、操作规程等构成的全面的信息安全管理。安全管理制度审定周期为一年一次,并且及时发现缺漏或不足对制度进行修订,并有修订记录 (2)事件管理 制订了安全事件报告和处置管理制度—《信息安全事件管理制度》明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责,并根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对安全事件进行等级划分,制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置方法等,并对发现的安全弱点和可疑事件有《异常情况上报规定》(3)应急处理 建立较为完善的信息系统应急恢复策略《河北省农村信用社联合社计算机信息系统应急处理方案》,对各业务信息
信息安全审计解决方案
网络信息安全审计解决方案 ----主机审计、网络行为审计、数据库审计解决方案
目录 1概述 (4) 1.1信息安全审计产生的背景 (4) 1.2信息系统安全审计的必要性 (5) 2某信息安全审计体系结构 (5) 3某信息安全审计方案介绍 (7) 3.1主机审计 (7) 3.1.1企业内部主机操作的风险问题 (7) 3.1.2某主机审计系统解决方案 (8) 3.2网络行为审计 (12) 3.2.1企业互联网管理面临的问题 (12) 3.2.2网络行为审计解决方案 (13) 3.3数据库审计 (24) 3.3.1数据库安全面临的风险 (24) 3.3.2数据库审计产品解决方案 (25) 4方案部署 (37) 5方案优势 (38) 6方案总结 (39)
1概述 1.1信息安全审计产生的背景 随着全球信息化技术的快速发展以及计算机信息技术在各行各业的深入运用。计算机信息化技术已经深入的覆盖到工作及生产的每一个角落。传统的手工生产已经逐渐的被信息化生产所替代。信息化生产大大的提高了社会化生产的效率,但是同时,作为生产工具的信息化系统存在着可能导致生产崩溃的风险和威胁。信息系统遭受内部攻击、违法违规操作以及信息泄露的事件时有发生并且呈不断升温的趋势。 基于以上情况,全球信息技术发展最快的美国于2002年颁布了SOX法案(国内简称萨班斯法案)用以规范上市公司在计算机信息系统的安全性和可审计性,从而消除或者减少信息系统中导致生产崩溃的风险和威胁。在中国加入WTO之后,在生产和信息技术上不断的向发达国家靠拢的同时,也需要不断的完善计算机信息系统安全及审计的技术规范和技术手段。其中的技术规范应该覆盖内部信息体系的审计与控制以及由内到外的信息系统行为的审计与控制。从2009年7月1号开始实施的由财政部、审计署、证监会、保监会、银监会联合颁发的《企业内部基本控制规范》以及《计算机信息系统安全保护等级划分准则-GB 17859-1999》等法规文件中都明确要求需要对信息系统进行审计与控制。尤其在等级保护的第二级开始明确要求“计算机信息系统可信计算机能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏”。另外,2006年,公安部也颁布了《互联网安全保护技术措施规定》(简称“公安部82号令”),要求互联网提供者对访问互联网的用户行为进行记录保存并可查询,其中要求日志保存时间在60天以上。 1.2信息系统安全审计的必要性 相关权威机构的调查显示,80%左右的机构信息风险都来自于机构内部,因
信息安全审计管理程序(含表格)
信息安全审计管理程序 (ISO27001-2013) 1、目的 评价信息安全管理和实践的原则和控制,以维持公司期望的信息安全水平。2、适用范围 适用于公司的所有管理人员和员工,以及所有为本公司工作,同时接触公司的信息资源的外来人员。 3、术语和定义 无 4、职责和权限 在信息安全委员会的统一组织下实施。 5、工作流程 审计包括两种检查方式: a)自我评估 b)内部/外部审计 5.1自我评估 为保持各部门内部良好的信息安全管理状态及第一时间发现和处理不符合现
象,确定各控制措施的有效性,要求每个部门进行信息安全管理和实践和自我评估并根据需求采取纠正措施。 自我评估通常在信息安全委员会的统一安排下,由各部门负责人组织实施。 自我评估通常每年至少进行一次。除此以外,为了提高部门内信息安全管理水平,部门负责人也可以指定其认为必要和合适的时间进行自我评估。 各部门结合本部门的要求和工作实际,制定适合本部门的自我评估的检查表并实施,但必须包括对控制措施符合性和有效性的评估。 自我评估的结果要报告给信息安全委员会,由信息安全委员会确定纠正措施的计划并指导实施。纠正措施实施计划包括: a)对纠正措施的简单描述,包括当前控制措施与和要达到的目标之间的差距分析; b)纠正措施的实施时间要求; c)纠正措施的实施负责人。 5.2内部/外部审计 信息安全委员会根据业务活动的安全需求,确定是否进行内部/外部审计。在一个年度内,若没有进行自我评估,则必须进行一次内部/外部审计。 由信息安全委员会确定审计人员。为了实现审计的目的,内部审计人员必须是具有掌握最新信息技术并了解公司信息安全管理计划的人或组织。一般由内审员承担。
网络安全审计系统需求分析
安全审计系统需求分析 关键字:行为监控,内容审计 摘要:系统集内容审计与行为监控为一体,以旁路的方式部署在网络中,实时采集网络数据,并按照指定策略对数据进行过滤,然后将数据所体现的内容和行为特性一并存在到数据服务器上。向用户提供审计分析功能,以及后期取证功能。 需求背景 按等级进行计算机信息系统安全保护的相关单位或部门,往往需要对流经部门与外界接点的数据实施内容审计与行为监控的,以防止非法信息恶意传播及国家机密、商业知识和知识产权等信息泄露。并且单位的网管部门需要掌握网络资源的使用情况,提高单位或部门的工作效率。 所涉及的单位类型有政府、军队机关的网络管理部门,公安、保密、司法等国家授权的网络安全监察部门,金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心,大中型企业网络管理中心等。 一、实现的效果和目的 a. 对用户的网络行为监控、网络传输内容审计(如员工是否在工作时间上网冲浪、聊天,是否访问不健康网站,是否通过网络泄漏了公司的机密信息,是否通过网络传播了反动言论等)。 b. 掌握网络使用情况(用途、流量),提高工作效率。 c. 网络传输信息的实时采集、海量存储。 d. 网络传输信息的统计分析。 e. 网络行为后期取证。 f. 对网络潜在威胁者予以威慑。 二、典型的系统组成
安全审计系统由三部分组成:审计引擎、数据中心、管理中心。 图1 :典型的单点部署 审计引擎(硬件):审计引擎对流经HUB/Switch的信息进行采集、过滤、重组、预分析,并把分析后的数据流发送给数据中心。 数据中心(软件):对审计引擎传送过来的数据流进行存储;按照用户的指令对数据进行还原、解码、解压缩,并可进行关键字查询审计、统计分析。 管理中心(软件):提供WEB形式的管理界面,可以方便的对系统进行管理、对网络行为监控、内容审计。用户使用WEB浏览器可以实现对整个系统的管理、使用。 图2:适合多级管理的分布式部署
安全审计管理制度
安全审计管理制度 第一条安全审计是从管理和技术两个方面检查安全策略和控制措施的执行情况,进而发现安全隐患的过程。 第二条信息安全管理部门定期进行安全审计工作,应根据审计内容确定安全审计周期。 第三条信息安全管理部门负责制定信息安全审计工作的组织方式和对审计结果的处理方法。 第四条安全审计分为管理和技术两个方面。所有人员(包括第三方)都应履行其在业务流程中承担的职责,管理人员应在其职责范围内确保安全策略和控制措施 得到有效落实。管理审计侧重检查以上内容的执行结果和执行过程。技术审 计检查安全策略和控制措施中技术层面的落实情况。必要时技术审计可以利用 专业技术手段和适当的审计工具进行。 第五条安全审计范围包括: 1:服务器和重要客户端上的所有操作系统用户和其他用户; 2:网络、安全设备上的所有用户; 3:执行安全管理制度填写各类 记录表单的相关人员。 第六条资产责任人为安全审计提供支持,对安全审计中发现的问题进行分析,确定并采取必要的整改措施。网络与信息安全领导小组应跟踪督促责任人按期完成整 改。 第七条制定基于审计结果的奖惩措施,纳入被审计方的考核内容。 第八条安全审计方应秉承客观、公正、公平的原则实施审计活动。审计方与被审计方保持相对独立,包括审计职责和流程,以确保审计结果的公正可靠。 第九条审计方应详细记录安全审计活动过程和后续整改工作过程。安全审计活动和后续整改工作应被正式记录并保存。 第十条为最大限度降低安全审计对正常运营造成的影响,采用以下措施控制安全审计过程: 1:审计时间、内容和范围应得到网络与信息安全领导小组办公室的批准; 2:有可能对关键业务系统造成负面影响的安全审计活动必须经过网络与信息安全领导小组的批准; 3:明确审计所需的资源,做好工作计划和安排;
网络信息安全管理规范
网络信息安全管理规范 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于XX所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,XX通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理
信息安全审计报告
涉密计算机安全保密审计报告 审计对象:xx计算机审计日期:xxxx年xx月xx日审计小组人员组成:姓名:xx 部门:xxx 姓名:xxx 部门:xxx 审计主要内容清单: 1. 安全策略检查 2. 外部环境检查 3. 管理人员检查 审计记录 篇二:审计报告格式 审计报告格式 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、 入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御 外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或 入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到 重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计 以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的 局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地 区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后 的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、 可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之 一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进 行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。 安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银 行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记 录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己 的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数 据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系 统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面 综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况, 就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它 的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据 资源等进行监控和管理,在必要时通过多种途径向管理员发 出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作 用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行 为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要 改进和加强的地方。
信息安全管理制度 (4)
信息安全管理制度 1.安全管理制度要求 1.1总则 为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣传 2.机构要求 2.1法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。
3.人员安全管理 3.1安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查; 2.个人履历的核查; 3.学历、学位、专业资质证明; 4.从事关键岗位所必须的能力。 3.2.2应与关键岗位人员签订保密协议。 3.3安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 3.4人员离岗 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
信息系统安全审计管理制度
信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员职责 1.制定信息安全审计的范围和曰程; 2.管理详尽的审计过程; 3.分析审计结果并提出对信息安全管理体系的改进意见; 4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。 第二条评审员甶审计负责人指派,协助主评审员进行评审,其职责是: 1.准备审计清单; 2.实施审计过程; 3.完成审计拫告; 4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订 第四条审计计划应包括以下内容:
1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间; 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行巨大变更后(如架抅、业务方向等),需要进行一次涵盖所有部门的审计。 第三草安全审计实施 第六条审计的准备 1 .评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单,其内容主要包括: (1)需要访问的人员和调查的问题; (2)需要查看的文档和记录(包括日志); (3)需要现场查看的安全控制措施。 第七条在进行实际审计前,召开启动会议,其内容主要包括: 1,评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等); 2.向受审员说明审计通过抽查的方式来进行。
面向业务的信息系统的安全审计系统(一)
面向业务的信息系统的安全审计系统(一) 近些年来,IT系统发展很快,企业对IT系统的依赖程度也越来越高,就一个网络信息系统而言,我们不仅需要考虑一些传统的安全问题,比如防黑客、防病毒、防垃圾邮件、防后门、防蠕虫 等,但是,随着信息化程度的提高,各类业务系统也变得日益复杂,对业务系统的防护也变得越来越重要,非传统领域的安全治理也变得越来越重要。根据最新的统计资料,给企业造成的严重攻击中70%是来自于组织中的内部人员,因此,针对业务系统的信息安全治理成为一道难题,审计应运而生。 一、为什么需要面向业务的信息安全审计? 面向业务的信息安全审计系统,顾名思义,是对用户业务的安全审计,与用户的各项应用业务有密切的关系,是信息安全审计系统中重要的组成部分,它从用户的业务安全角度出发,思考和分析用户的网络业务中所存在的脆弱点和风险。 我们不妨先看两个鲜活的案例。不久前,中国青年报报道,上海一电脑高手,方某今年25岁,学的是计算机专业,曾是某超市分店资讯组组长。方某利用职务之便,设计非法软件程序,进入超市业务系统,即超市收银系统的数据库,通过修改超市收银系统的数据库数据信息,每天将超市的销售记录的20%营业款自动删除,并将收入转存入自己的账户。从2004年6月至2005年8月期间,方某等人截留侵吞超市3家门店营业款共计397万余元之多。程某31岁,是X公司资深软件研发工程师,从2005年2月,他由A地运营商系统进入B 地运营商的业务系统--充值中心数据库,获得最高系统权限,根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥,然后把“已充值”状态改为“未充值”,并修改其有效日期,激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出,非法获利380万。 通过上述两个案例,我们不难发现,内部人员,包括内部员工或者提供第三方IT支持的维护人员等,他们利用职务之便,违规操作导致的安全问题日益频繁和突出,这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题,但是,对于这类与业务息息相关的操作行为、违规行为的安全问题,必须要有强力的手段来防范和阻止,这就是针对业务的信息安全审计系统能够带给我们的价值。 二、如何理解面向业务的信息安全审计? 信息安全审计与信息安全管理密切相关,信息安全审计的主要依据为信息安全管理相关的标准,例如ISO/IEC17799、ISO17799/27001、COSO、COBIT、ITIL、NISTSP800系列等。这些标准实际上是出于不同的角度提出的控制体系,基于这些控制体系可以有效地控制信息安全风险,从而达到信息安全审计的目的,提高信息系统的安全性。因此,面向业务的信息安全审计系统可以理解成是信息安全审计的一个重要的分支。 根据国外的经验,如在美国的《萨班斯-奥克斯利法案(2002Sarbanes-OxleyAct)》的第302条款和第404条款中,强调通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制,其中,IT系统内部控制就是面向具体的业务,它是紧密围绕信息安全审计这一核心的。同时,2006年底生效的巴赛尔新资本协定(BaselII),要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备,迫使各银行必须做好风险控管(riskmanagement),而这部“金融作业风险”的防范也正是需要业务信息安全审计为依托。这些国家和组织对信息安全审计的定位已经从概念阶段向实现阶段过渡了,他们走在了我们的前面。 可喜的是,我国政府行业、金融行业已相继推出了数十部法律法规,如:国家《计算机信息系统安全保护等级划分准则》、《商业银行内部控制指引》、《中国移动集团内控手册》、《中国
信息安全审计管理制度
信息安全审计管理制度
版本变更记录
1 目的 为加强我公司信息安全及服务水平,保障信息安全及业务安全,清晰了解我公司系统运行状况,特制订本制度。 2 适用范围 本制度适用于公司所有部门及相关审计人员。 4 安全审计管理办法 (1)审计原则:对重要系统、核心设备、规章制度、技术要求等进行审计; (2)各部门对本部门需要审计的内容进行识别,指定专人作为审计管理员,专管本部门审计事宜; (3)信息中心安全审计员统筹公司安全审计工作,各部门审计管理员负责本部门的安全审计事宜,每月对审计数据进行统计分析,向信息中心汇报审计结果; (4)信息中心安全审计员根据各部门审计管理员的审计汇报结果,进行抽查; (5)重要日志(包括但不限于系统日志、数据库日志、业务日志、服务器审计日志、阿里云安全服务日志等)需保留至少6个月以上。
5 安全审计内容 5.1 网络安全审计 (1)对登录阿里云管理平台的用户进行审计,包括用户行为、用户权限、账户是否过期等; (2)阿里云安全服务应用防火墙相关安全日志; (3)安骑士安全监测日志及补丁修复日志; (4)数据库审计服务相关日志; (5)堡垒机用户操作日志。 5.2 服务器操作系统审计 (1)对系统登录进行审计,审计用户的登录情况,审计内容包括登陆时间、登陆用户等; (2)对服务器操作进行审计,审计用户在服务器上的操作,审计内容包括:用户、操作、事件及事件结果等; (3)对操作系统进行综合审计,审计系统的配置信息和运行情况,包括主机机器名、网络配置、用户登录、进程情况、CPU和内存使用情况、硬盘容量等; (4)对系统进程进行审计,排查异常进程、未知进程。 5.3 数据库安全审计 (1)对数据库操作进行审计,分析数据库中数据操作语法,审计数据库中对某个表、某个字段和视图进行的操作;
实训6-2 Windows安全审计功能
本节实训与思考的目 的是: (1) 熟悉安全审计技术的基本概念和基本内容。 (2) 通过深入了解和应用Windows 操作系统的审计追踪功能,来加深理解安全审计技术,掌握Windows 的安全审计功能。 1 工具/准备工作 在开始本实训之前,请认真阅读本课程的相关内容。 需要准备一台运行Windows XP Professional 操作系统的计算机。 2 实训内容与步骤 (1) 概念理解 1) 请通过查阅有关资料,简单叙述什么是“安全审计” 计算机安全审计是通过一定的策略,利用记录和分析历史操作事件来发现系统的漏洞并改进系统的性能和安全。 2) 审计追踪的目的是什么? 目的是发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。 3) 审计系统的目标是什么?如何实现? 安全审计提供的功能服务于直接和间接两个方面的安全目标:直接目标包括跟踪和监测系统中的异常事件;间接目标是监视系统中其他安全机制的运行情况和可信度。 4) 审计的主要内容包括哪些? 包括个人职能:审计跟踪是管理人员用来维护个人职能的手段;事件重建:在发生故实训 6.2 Windows 安全审计功能
2 信息安全技术 障后,审计跟踪可以用于重建事件和数据恢复;入侵检测和故障分析。 (2) Windows安全审计功能 操作系统一般都提供审计功能。下面,我们以Windows XP Professional操作系统为例,来了解Windows的安全审计功能及其应用。 1) 审计子系统结构。在Windows系统中,几乎每一项事务都可以在一定程度上被审计。 步骤1:在Windows“开始”菜单中单击“控制面板”命令,在“控制面板”窗口中双击“管理工具”图标,在“管理工具”窗口中进一步双击“本地安全策略”图标,打开“本地安全设置”窗口。在左边窗格中选择“本地策略”>“审核策略”,系统管理员可以根据各种用户事件的成功和失败选择审计策略,如登录和退出、文件访问、权限非法和关闭系统等。如图6.1所示。 图6.1 本地安全策略——审核策略设置 步骤2:Windows使用一种特殊的格式来存放它的日志文件,这种格式的文件可以被“事件查看器”所读取。在“控制面板”的“管理工具”窗口中双击“事件查看器”图标,打开“事件查看器”窗口如图6.2所示。
《信息安全审计制度》-等级保护安全管理制度
XXX系统 管理平台 信息安全管理制度- 信息安全审计制度
目录 第一章总则 (3) 第二章人员及职责 (3) 第三章日志审计的步骤 (4) 第四章日志审计的目标和内容 (5) 第五章管理制度和技术规范的检查步骤 (7) 第七章管理制度和技术规范的检查内容 (8) 第八章检查表 (8) 第九章相关记录 (9) 第十章相关文件 (9) 第十一章附则 (9) 附件一:体系管理制度和技术规范控制点重点检查的内容及方法 (9) 附件二:体系管理制度和技术规范检查范围及对应负责人...................... 错误!未定义书签。
第一章总则 第一条目的:为加强XXX系统平台的内部审计工作,建立健全内部审计制度,明确内部审计职责,通过对人工收集到的大量审计行为记录进行检查,以监督不当使用 和非法行为,并对发生的非法操作行为进行责任追查。同时根据XXX系统平台 各种与信息安全的相关的制度和技术手段进行检查,确保XXX的所有设备正常 运行; 第二条适用范围:包括对各系统日志的审计和安全管理制度及技术规范符合性检查。 第二章人员及职责 第三条本制度指定xxxxx作为XXX管理部的信息安全审计组织,负责实施XXX内部审核或对外审核,协助外部第二方/第三方审核;审核组的工作应该直接向信息安 全领导小组汇报;实施独立审核,确保信息安全管理系统各项控制及组成部分按 照策略要求运行良好,确保信息安全管理体系的完整性、符合性和有效性; 第四条与审计制度相关的人员分为审计人和被审计人。审计人除了xxxxx安全审计员外,还需设立xxx指导和配合安全审计员的工作。被审计人及系统为XXX管理部的 信息安全执行组人员,包括综合网管系统、数据网管系统、运维审计系统、机房 视频监控系统和其相关的管理、维护和使用人员等; 第五条xxxx的审计相关人员根据信息委规划战略、年度工作目标,以及上级的部署,拟订审计工作计划,报经XXX管理部领导批准后实施审计工作。除年度审计计 划外,也可根据工作需要或XXX管理部领导的要求配合上级部进行非定期的专 项审计、后续审计等其他审计事项; 第六条信息安全审计员的角色和职责 本着安全管理权限分离的原则,信息安全审计员岗位要独立于其他角色管理员和 各类系统使用人员。 信息安全审计员和本制度相关职责如下: 负责XXX系统平台安全审计制度的建设与完善工作; 信息安全审计员要对人工收集到的大量审计行为记录进行检查,以监督对XXX系统平台的相关信息系统的不当使用和非法行为; 定期执行安全审计检查,对系统的安全状况进行分析评估,向上级主管提供
操作系统安全审计
A.1.1 RedHat Linux操作系统 RedHat Linux操作系统-安全审计 测试类别:风险评估 测试对象: RedHat 测试类:安全审计 测试项: 测试内容: 确信对系统的主要行为都有审计日志,对于重要服务(ftp ,telnet ,http)及重要操作(su登录等操作)由日志记录。并且所有的日志文件都有适当的访问权限,除root之外,其它用户没有修改权限。 测试方法: ●查看/etc/syslog.conf的配置文件,确定是否对系统日志和网络服务配置了适当的日志记 录策略; ●查看syslog.conf中制定的,存放在/var/log下日志文件的更新日期,确定是否对相应的 动作有实时日志功能(仅对linux系统而言); ●确保这些文件的应该属于root用户所有,文件的权限应该是644; ●查看hosts.allow和hosts.deny文件内容。 测试记录: 1.已配置的日志: 2.日志功能是否有效实施,日志记录的日期和内容是否与配置相符合: 3.日志文件的访问权限: 4.查看hosts.allow和hosts.deny文件内容: 备注: 签名日期 RedHat Linux操作系统-系统安全
测试类别:风险评估 测试对象:RedHat 测试类:系统安全 测试项: 测试内容: 被测操作系统应安装最新的系统补丁程序,只开启必要的服务;系统应保证和常用命令相关配置文件的安全性。设置安全的访问旗标;并对系统资源作适当的使用限制。 测试方法: ●查看或询问是否安装最新补丁程序; ●Telnet/ftp登录系统,确定系统旗标信息的是否安全; ●是否为用户不成功的鉴别尝试次数定义阀值。 测试记录: 补丁安装情况(控制面板|在线更新): 是否有安全的系统访问旗标? 显示操作系统类型□显示操作系统内核版本□ ftp登录察看显示信息: 是否使用了用户磁盘限额?□ 用户磁盘限额策略: 用户连续登录失败的次数: 默认umask值(#umask): 重要文件和目录的读写权和属主: /etc/security 属主访问许可: /usr/etc 属主访问许可: /bin 属主访问许可: /usr/bin 属主访问许可: /sbin 属主访问许可: /var/log 属主访问许可: /etc/*.conf 属主访问许可: /etc/login.defs 属主访问许可: 备注: 签名日期