中软主机监控与审计系统8.0系统介绍
中软主机监控与审计系统8.0
目录
第一章系统概述 (1)
第二章体系结构和运行环境 (3)
2.1系统体系结构 (3)
2.2推荐硬件需求 (4)
2.3推荐软件需求 (4)
第三章系统功能 (6)
3.1终端安全管理 (8)
3.1.1 终端健康检查 (8)
3.1.2 安全策略管理 (8)
3.1.3 用户身份认证 (8)
3.1.4 网络进程管理 (9)
3.1.5 防病毒软件监测 (9)
3.1.6 补丁分发管理 (10)
3.1.7文件安全删除 (10)
3.2终端运维管理 (11)
3.2.1软件分发管理 (11)
3.2.2 软硬件资产管理 (11)
3.2.3 系统运行状况监控 (12)
3.2.4 远程管理 (13)
3.3用户行为管理 (14)
3.3.1 网络行为管理 (14)
3.3.2 非法外联控制 (14)
3.3.3 存储介质管理 (14)
3.3.4 打印机管理 (15)
3.3.5 外设接口管理 (15)
3.4数据安全管理 (16)
3.4.1 我的加密文件夹 (16)
3.4.2 硬盘保护区 (16)
3.4.3 文件安全分发 (16)
3.4.4 安全文档管理 (16)
3.4.5可信移动存储介质管理 (17)
3.4.6 基于密级标识的文档安全管理 (18)
3.5终端接入管理 (19)
3.5.1终端接入认证 (19)
3.5.2 内网安全扫描 (19)
3.6系统管理与审计 (19)
3.6.1 组织结构管理 (19)
3.6.2 统计审计分析 (20)
3.6.3分级报警管理 (20)
3.6.4 响应与知识库管理 (20)
3.6.5 服务器数据存储空间管理 (20)
3.6.6 系统升级管理 (20)
3.6.7 B/S管理功能支持 (21)
3.6.7系统参数设置 (21)
3.7文档外发管理 (21)
3.7.1外发包的制作方式 (21)
3.7.2 外发包的使用方式 (22)
3.7.3 外发包的权限控制 (22)
3.7.4日志信息的查看 (23)
第四章系统特点 (24)
4.1全面的终端防护能力 (24)
4.2分权分级的管理模式 (24)
4.3方便灵活的安全策略 (24)
4.4终端安全风险量化管理 (24)
4.5周全详细的系统报表 (25)
4.6丰富的应急响应知识库 (25)
4.7完善的插件式系统架构 (25)
4.8方便快捷的安装、卸载和升级 (25)
4.9多级部署支持 (26)
附件一:名词解释 (27)
第一章系统概述
随着信息化安全技术的不断发展,各种内网安全管理问题逐步凸现出来。据IDC调查报告显示超过85%的网络安全威胁来自于内部,其危害程度更是远远超过黑客攻击所造成的损失,而这些威胁绝大部分是内部各种非法和违规的操作行为所造成的。
内网安全问题已经引起了各级单位的广泛重视,随着安全意识的不断增强,安全投入逐步增加,但是内网的安全事件却不断地增多。分析其原因我们认为主要有以下几个方面:
◆有章不循,有规不依,企业内网安全合规性受到挑战。
很多公司明文规定安装操作系统必须打最新的补丁,但是终端用户依然我行我素导致操作系统补丁状况不一,从而给蠕虫病毒、木马程序和黑客软件带来了可乘之机。同时有些单位购买了防病毒软件,但是终端用户没有按照单位统一部署的要求安装防病毒软件,或者有些终端用户虽然安装了防病毒软件,但是没有及时更新病毒库,导致计算机病毒有机可乘。对于终端安全管理,公司建立了很多安全制度,但是终端用户不按照公司安全规定要求,将不安全的计算机接入网络,从而引入了内网安全威胁,企业内网的安全合规性受到了严峻的挑战。
◆谋一时,而未谋全局,终端系统被划分为多个独立的信息安全孤岛。
各单位在解决各种内网安全问题上,通常缺乏统一、全面的内网安全解决方案。按照“头痛医头,脚痛医脚”的内网安全防护加强思路,采购并部署了多款终端安全管理的产品,比如:身份认证、补丁管理、软件分发、病毒防护软件等等。但是这些终端安全防护软件来自于不同的安全厂商,各种软件之间各自为政,缺乏统一管理、协调工作的机制,最终导致个人桌面系统被划分为一个个独立的信息安全孤岛,因此出现了终端安全管理混乱、内网安全漏洞百出,内网安全事件防不胜防。
◆百花齐放,百家争鸣,终端系统终因难堪负重,系统性能急剧下降。
为了加强终端安全管理,在个人桌面系统上同时安装了不同厂家的终端代理。每种代理程序都需要实现自我防护、网络通信、运行监控等程序调度机制,需要重复的占用系统有限的CPU、内存等系统资源,导致个人桌面系统运行速度变慢,系统性能急剧下降。同时,由于不同厂家的软件存在很多功能重叠的部分,而这些重叠部分往往是采用类似技术开发,从而导致不同软件之间频繁发生应用冲突。
治标不治本,本末倒置,软件购买费用增加,系统维护成本成倍增长。
通常终端管理软件大致分为三个组件,即:服务器、控制端、客户端代理。每种服务器软件都需要独立的数据库和硬件服务器支撑,无形中增加了软件的部署成本。同时,由于每种软件都有自己的控制台程序,管理员要针对每套系统生成它的控制策略,每套系统的数据审计都是分开的,管理工作非常多,管理员为每天的维护工作疲于奔命,从而导致管理疏忽。
针对以上几种原因,以及中软公司在对企业内网安全管理展开全面调查的基础上,创造性地形成了一套完备的终端安全“一体化”解决方案。在过去的几年里中软公司一直致力于内网安全的研究,并在国内最早提出了一系列的内网安全管理理论体系和解决方案。内网失泄密防护软件--中软防水墙系统的推出填补了国内内网安全管理软件的空白,并获得了若干国家专利局的技术专利。防水墙系统连年获奖,其中在2006年“防水墙”被计算机杂志评为2005年度新名词。
中软公司早在2001年就开始致力于内网失泄密软件的开发,先后向市场推出了中软防水墙系统7.0版本、7.0+版本和7.2版本。随着内网安全管理的复杂化,中软公司在复用防水墙系统成熟技术的基础上,引入先进的内网安全管理理念和新的内网安全管理技术重新搭建系统体系结构,自主研发了中软主机监控与审计系统8.0(CSS United End-Point Management System,简称UEM8.0)。
该系统是以“木桶原理”为理论依据,以安全策略为驱动,按照PDR安全模型的“保护-检测-响应”工作流程循环检测,同时结合保密规定的“等级防护”指导方针,采用多种安全技术实现了对终端主机全方位、多层次的安全防护。按照“保护-检测-响应”的工作流程逐步完善终端安全防护策略,并将事件处理方式和处理流程登录到用户知识库,逐步形成内网事故应急响应流程和共享安全解决方案的知识库。
第二章体系结构和运行环境
2.1系统体系结构
系统分为三个组件:客户端、服务器和控制台,系统采用分布式监控,集中式管理的工作模式。组件之间采用C/S工作模式,组件的通信是采用HTTP/HTTPS加密传输方式。支持任意层级的服务器级联,上下级服务器之间采用HTTPS协议进行数据交换。体系结构如图1 所示。
图 1 系统体系结构图
?客户端:安装在受保护的终端计算机上,实时监测客户端的用户行为和安全状态,实
现客户端安全策略管理。一旦发现用户的违规行为或计算机的安全状态异常,系统及时向服务器发送告警信息,并执行预定义的应急响应策略。
?服务器:安装在专业的数据服务器上,需要数据库的支持。通过安全认证建立与多个
客户端系统的连接,实现客户端策略的存储和下发、日志的收集和存储。上下级服务器间基于HTTPS进行通信,实现组织结构、告警、日志统计信息等数据的搜集。
? 控制台:人机交互界面,是管理员实现对系统管理的工具。通过安全认证建立与服务
器的信任连接,实现策略的制定下发以及数据的审计和管理。
2.2 推荐硬件需求
表格1 系统推荐硬件需求
2.3 推荐软件需求
表格 2 系统软件需求
提示:
? 主机监控系统服务器,包括服务器软件和后台支持数据库。建议在专用主机上安装主机监
控系统服务器,并且关闭所有与主机监控系统无关的不必要的服务。支持操作系统为MS
Windows 2003 系列,推荐Advanced Server 版本。
?主机监控系统客户端不支持Linux系统,不能在windows双系统下同时安装UEM客户端。
?为保证用户正常使用主机监控系统,最好将主机监控系统服务器、控制台和客户端分别运
行于独立的系统之上,同时用户安装前应将Windows版本进行升级,安装各自版本最高补丁。
第三章系统功能
随着内网终端安全地位的合理化,终端安全管理将进一步沿着整合化、平台化、统一化、基础化的方向发展。内网终端安全一体化的需求越来越强烈,终端安全产品的形态将逐步发生变化,最后发展为兼顾安全防御与安全管理。终端安全发展的历史使命终将通过一款“大、一、统”的终端安全产品来实现。所谓“大”就是该产品功能所涵盖的范围大,它不但要包含网络接入认证、系统身份认证、资产管理、补丁管理、软件分发,还要包涵系统运行监控、用户行为监控等终端软件的所有功能。所谓“一”就是一个终端代理、一台服务器就可以实现上述所有功能,一个网络管理员就可以全局控制整个内网安全。所谓“统”就是指对所有的桌面系统应用统一的安全策略,对所有的终端用户采用统一的终端管理策略,对终端产生的日志进行统一的日志分析,为所有管理员提供统一的应急响应知识库。各功能部件之间协调工作,统一管理,形成一个高效有机的安全代理。通过统一的桌面管理平台降低系统的复杂度,提高了个人桌面系统的工作性能,降低了用户的维护管理成本。
针对以上终端计算机用户的安全需求,中软公司对政府、军工和高新技术企业的终端计算机管理问题展开了全面的调查,借鉴中软防水墙系统的开发经验,以等级防护和国家关于涉密计算机管理的相关规定为蓝本,创造性地形成了一款主机监控与审计系统,该系统从防护功能方面分为五大部分:终端安全管理、终端运维管理、用户行为管理、数据安全管理、系统身份认证管理,同时辅助这些功能系统提供了监控日志的统计与分析功能和系统运行管理功能。
中软主机监控与审计系统功能体系图
具体每项功能特点简要描述如下:
终端安全管理:保证安全策略的合规性,保障终端的安全运行环境。它包括有安全策略管理、终端接入检查、终端出网许可、用户登录计算机的身份认证、网络进程访问控制、防病毒软件监测、系统补丁管理、安全操作管理等涉及主机安全管理、策略合规性管理的功能体系。
终端运维管理:监控远程终端的运行状况,管理内网的信息资产,为管理员的终端维护提供方便快捷的帮助。它包括有软件分发、资产管理、运行监控、远程管理、远程帮助等终端运行维护管理方面的功能体系。
用户行为管理:规范终端用户信息带出行为,防止企业敏感信息泄露。它包括有网络失泄密防护、存储介质泄密防护、打印机泄密防护、外设接口泄密防护等敏感信息失泄密防护方面的功能体系。数据安全管理:从多个方面和多个层次实现对用户数据的安全管理。它包括:用户桌面安全保险箱,实现了终端用户对个人、小组等需要防护的数据的主动加密要求;安全文档管理,该功能利用透明加解密技术从底层实现了企业对某类型的敏感数据的强制加密要求,实现文档的透明加密和透明解密,不影响用户的操作习惯;可信移动存储介质管理,该功能帮助企业实现了移动介质数据的防护,实现了“外部的U盘进来使不了,里面的U盘出去不可用”。
终端接入管理:通过终端接入认证和非法主机扫描实现对接入网络的客户端进行认证,认证通过的可以连接网络,对通过其他非法途径进入网络的非法主机,通过扫描工具发现并告警。
系统管理与审计:集中统计、显示和分析各种受监控的用户行为日志、报警日志、主机状态日志、
以及响应知识库的管理、系统角色和权限、用户的管理,同时为系统正常运行提供了相关参数设置。
3.1 终端安全管理
3.1.1 终端健康检查
对接入内网的计算机必须通过安全性检查才能访问内部网络资源,主要功能如下:
对通过接入认证的计算机进行安全性检查,检查的策略包括两个方面:防病毒软件检查、操作系统补丁检查和必备软件安装运行检查。如果没有达到安全检查的基准,则系统只能访问内部修复服务器,不能访问内部网络资源。当系统执行自我修复操作后(如:安装操作系统补丁或安装防病毒软件),如果安全状态达到相应的标准那么该计算机即可正常访问内部网络资源。
3.1.2 安全策略管理
按照企业终端计算机安全管理规定,统一配置终端计算机的Windows安全策略,实现集中的安全策略配置管理,统一提高终端计算机用户的安全策略基线。系统所能配置的安全策略如下:
◆帐户密码策略监视,统一监视Windows密码策略的启用情况和策略参数,对不符合安全策
略的状态进行报警。
◆帐户锁定策略监视,统一监视Windows帐户锁定策略的启用情况和策略参数,对不符合安
全策略的状态进行报警。
◆审核策略监视,统一监视Windows审核策略的启用情况和策略参数,对不符合安全策略的
状态进行报警。
◆共享策略监视,统一监视Windows共享(包含默认共享)情况,对不符合安全策略的状态
进行报警。
◆屏保策略监视,统一监视屏幕保护策略的启用情况和策略参数,对不符合安全策略的状态
进行报警。
3.1.3 用户身份认证
身份认证是系统应用安全的起点,通过硬件USBKey和口令认证登录Windows系统用户身份,保证进入Windows系统用户身份的合法性;对登录用户权限进行合法性检查,保证用户权限的合规性。
具体功能如下:
◆基于USBKey的身份认证,将用户信息和证书内置于USBKey硬件中,通过读取USBKey中的
用户信息实现登录用户身份认证,实现双因子认证,提高了主机身份认证的安全强度。同
时为了增强系统的灵活性,对于USBKey用户,系统管理员可要求该用户进行USBKey和
Windows双因子认证登录系统,也可允许该用户无需输入Windows口令,只使用USBKey完
成登录认证。
◆登录用户权限合法性检查,检查登录Windows系统的用户权限,当发现登录用户权限与策
略设置的登录用户权限不一致时,系统及时阻止非法用户登录,并向服务器发送告警信息。
该项功能主要是防止用户通过非法途径提升自身用户权限而达到某种非法目的,例如:策
略设置只能是USER权限用户登录计算机,如果登录计算机的用户拥有Administrator或
PowerUser权限则系统自动阻止该用户登录。
3.1.4 网络进程管理
通过对网络进程的统一管理,规范计算机用户的网络行为,实现“外面的网路连接未经许可进不来,里面的网络进程未经许可出不去”。具体功能描述如下:
管理向外发起连接的网络进程,通过设置网络访问进程的黑、白名单,实现对计算机用户访问网络的控制;
管理接收外部连入的网络进程,通过网络进程与本地监听端口绑定,规范计算机用户所提供的网络服务程序,例如“SUFTP.EXE授权监听端口为21,如果将SUFTP.EXE的监听端口改为1133,则进程不能对外提供服务”。
实时获取网络进程信息和会话连接状态,当管理员通过控制台获取网络进程信息时,客户端以快照的方式上传当前的网络信息和会话状态。
3.1.5 防病毒软件监测
通过策略设置防病毒软件特征,按照统一的策略监测防病毒软件使用状况,并进行统计分析形成统一的数据报表。具体功能如下:
◆监视防病毒软件的使用状况,通过防病毒软件的特征监视防病毒软件的安装情况、运行状
态和病毒库版本,对不符合安全策略的状态进行报警。
◆防病毒软件监测特征的自定义,通过对未知防病毒软件的特征自定义实现对未知防病毒软
件的监测,其特征包括杀毒程序名称、病毒库版本标识的注册表项等。
3.1.6 补丁分发管理
统一配置终端计算机的补丁管理策略,实现对系统补丁状况的扫描,自动完成补丁分发。系统所支持的补丁包括:Windows操作系统补丁系列、office系列办公软件补丁、SQL Server系列补丁等微软产品的补丁,具体功能如下:
◆制定统一的补丁管理策略,通过设置补丁来源确定补丁服务器WSUS的地址和WSUS统计地
址,按照补丁检测周期定期检测客户端补丁安装状况。
◆实现统一的补丁更新管理,通过设置终端策略实现系统补丁更新,更新模式有两种:手动
更新补丁和自动更新补丁。
?手动更新补丁模式,通过策略设定对特定补丁的检测,如果客户端没有安装这类的补丁,则根据事先设定的下载优先级从补丁服务器下载补丁并安装补丁。
?自动更新补丁模式,通过设定自动更新方式,实现三种方式的安装和下载:通知下载和通知安装、自动下载和通知安装、自动下载和自动安装三种方式,通过设定自动更新时间点和更新完成是否重启计算机等参数实现客户端补丁的自动安装。
3.1.7文件安全删除
通过控制台设置临时文件管理策略,实现临时文件的统一删除管理,系统所能删除的文件包括有:
◆清除IE缓存,按照策略定期删除IE所产生的临时文件;
◆清除IE地址栏,按照策略定期删除IE地址栏中的临时信息;
◆清除历史记录,按照策略定期删除历史记录文件;
◆清除COOKIE,按照策略定期删除系统访问所产生的COOKIE文件;
◆清除系统临时目录,按照策略定期删除系统工作的临时目录;
◆清除最近打开的文档,按照策略定期删除系统最近打开文件的记录;
◆清除运行中的运行命令,按照策略定期删除系统运行中记录的用户运行命令;
◆清除回收站,按照策略定期清空回收站中的被删除信息。
同时提供文件安全擦除功能,实现对存储在本地的敏感文件进行安全擦除功能,通过多次数据回填的方式实现敏感文件的安全擦除,经过安全擦除处理后的文件无法通过磁盘剩磁的方式恢复数据。管理员可以配置擦写次数实现统一的文件擦除管理。
3.2 终端运维管理
按照统一的安全策略监控客户端的运行状况,通过软件自动分发和软硬件资产的统一管理大大节约了企业信息系统的维护成本,通过系统远程帮助控制实现远程维护计算机,清除系统故障。系统具体功能如下:
3.2.1软件分发管理
规划企业统一分发的软件安装包,按照统一的软件分发策略,自动完成企业软件的部署,其主要功能如下:
◆软件包管理,按照软件包信息和安装环境创建需要分发的软件包,它包含软件位置、安装
环境等相关信息。可支持MSI、可执行文件、批处理文件三种形式的软件包。
◆软件包分发,选择分发软件包的类型,根据统一设定的分发策略可实现多种类型的软件分
发,具体类型如下:
?软件下载优先级,根据程序运行的优先级可以设置为:前台、高、中、低四种优先级;
?软件下载类型,根据下载的紧迫性要求可以分为:立即下载、时间点下载和分时段下载三种下载模式。而时间点下载有可以设置立即下载的起始时间;分时段下载可以分为多个时段下载,每个时段需要设置起始和终止时间。
?安装类型,可以分为静默安装和交互安装两种方式。
?安装时间类型,可以分为立即安装、时间点安装和等待N分钟后安装。
同时系统对标准格式的安装包在终端主机上安装结果(成功/失败)进行跟踪反馈,管理员可以根据反馈结果形成统计报表。
3.2.2 软硬件资产管理
自动发现和收集计算机上的软硬件资产信息,跟踪软硬件资产信息变化情况,对非授权的软硬件资产的变更产生报警。具体功能相如下:
◆资产信息查看,自动收集计算机用户的软硬件资产信息。其中硬件信息包括处理器、硬盘、
内存、BIOS、光驱、显卡、声卡、网卡、显示器、输入设备、接口控制器、调制解调器、
系统端口和插槽共计14种类型的硬件资产;软件资产包括系统软件、应用软件两种类型;
还包括有操作系统信息和客户端信息。
◆软件管理策略,规范用户使用软件的范围,通过设置安装程序黑白名单或基线方式保证用
户启动进程的合法性。获取计算机用户的软件安装情况,并能对全网的软件安装情况进行
统计。
◆硬件管理策略,定义非法硬件名单,可定义的非法硬件包括:调制解调器、无线网卡、打
印机、采集卡、刻录机、软驱、移动存储器、键盘和鼠标。系统一旦识别出非法硬件后立
即向服务器发送告警信息。
◆硬件基线设置,定义硬件设备的运行基线,当发现硬件设备与运行基线不一致时,系统立
即向服务器发送告警信息。能定义为基线的硬件设备有CPU、BIOS、硬盘、网卡、显卡、
光驱、内存和声卡。
3.2.3 系统运行状况监控
为管理员随时提供远程终端主机的运行状态变化信息,自动对指定的异常情况进行报警,根据管理员预定义策略及时阻断远程主机的违规行为。具体功能项如下:
◆监控信息管理,实时监测计算机的资源使用情况,当发现系统资源超过管理员设定的监测阀值
时,根据管理员预定义的响应策略阻止用户行为或向服务器发送告警,具体所能监控的信息如下:
?计算机名称监控,禁止计算机用户修改计算机名称的行为。
?系统资源监测,监测CPU、内存的使用情况,当CPU、内存超过管理员设置的监测阀值时,系统向服务器发送告警信息;监测硬盘的使用情况,当硬盘空闲空间小于管理员设置的阀
值时,系统向服务器发送告警信息。
?网络流量监测,监测计算机网络的实时流量和总流量,当网络流量超过阀值时系统向服务器发送告警信息。
?文件共享监测,监测共享文件夹的添加、删除,当系统共享文件夹发生变化时,系统向服务器发送告警信息。
?文件操作监测,监测用户创建文件、读写文件、重命名文件和删除文件的操作行为,可以
设置所监测的文件名、文件后缀和文件路径。
?用户和组操作监测,监测用户和组的添加、删除和属性改变的用户操作行为。
?系统服务监测,监测系统服务的启动和停止的变化情况,并记录日志。
?网络配置,监控系统网络配置的变化情况,禁止用户修改IP地址。
?系统日志,设置获取远程计算机的系统日志上传周期。
◆查看系统信息,及时获取远程主机的资源信息,包括:进程、网络、帐户和组、服务、共享、
活动窗口、驱动、硬件、内存、会话信息、系统信息和系统日志。
3.2.4 可信计算
UEM系统能够自动收集受控终端的运行进程信息,并对收集的进程信息实施分类管理。通过可信计算策略控制,防范关键进程的重命名行为;另外,UEM系统对操作系统文件进行完整性校验,并实现强制访问控制,确保操作系统核心系统文件的安全,保证操作系统免被病毒或木马侵袭,实现操作系统的可信。
◆可信计算管理,通过添加、删除、导入、导出和批量更改分类等操作,对“应用程序库”
和“核心文件库”中收集到的进程信息和核心文件信息进行统一管理。
◆可信计算策略,通过下发“程序控制策略”,监控程序的执行变化情况,阻止非法程序的运
行,并记录日志;通过下发“核心文件策略”,监控核心文件的正常运行,防止被非法程序
篡改。如果核心文件有变化,系统将会报警,并通过消息方式通知用户。
3.2.5 远程管理
通过终端用户与服务器相互授权的机制建立终端与服务器之间的信任通信体系,管理员通过服务器实现对终端用户提供帮助,具体功能如下:
◆实时获取客户端主机信息,通过UEM控制台远程实时获取客户端主机的相关的信息:如:
驱动信息、硬件信息、进程信息、内存信息、网络连接、活动窗口、服务信息、共享信息、系统信息、用户信息、组信息、会话信息、系统日志等。
◆远程关机、远程注销、远程重启,通过控制台对远程的客户端主机下发远程关机、远程注
销、远程重启等命令,实现远程对客户端主机的基本管理控制。
◆服务器-客户端远程消息管理,通过控制台向客户端发送消息通告。支持客户端通过消息传
递方式实现客户端和服务器一对一的消息交流。
◆远程协助支持,能通过控制台连接客户端主机远程协助功能,实现管理员远程协助客户端主
机进行故障排除。
3.3 用户行为管理
通过控制信息外泄途径的方式保护企业敏感信息的安全,防止用户误操作或违规行为带出企业敏感信息。
3.3.1 网络行为管理
规范计算机用户的网络访问行为,根据业务相关性和保密的重要程度建立信任的虚拟安全局域网。网络防护有两个层面的含义:第一是防止用户误操作或蓄意泄漏企业的敏感信息;第二是防止黑客通过互联网透过防火墙非法获取客户端的敏感信息。实现了从网络层到应用层的多层次防护,具体功能如下:
◆网络层防护:IP地址访问控制、TCP/UDP/ICMP协议控制;
◆应用层防护:HTTP/FTP/TELNET/SMTP/WEBMAIL/BBS/NETBIOS控制;
控制策略有:禁止访问、自由访问。禁止访问时提供仅开放白名单功能,实现只开放白名单地址,其它地址全部禁止;自由访问时提供黑名单功能,实现只禁止黑名单地址,其它地址全部开放;同时提供三种日志记录模式:记录被禁止的访问、记录未知的访问和记录信任的访问,对FTP、SMTP 访问控制和文件打印,可以记录文件内容。
3.3.2 非法外联控制
通过对Modem的控制实现非法外联的监控。
控制策略有:禁止访问、自由访问和条件访问。禁止访问时提供仅开放白名单功能,实现只开放白名单地址,其它地址全部禁止;自由访问时提供黑名单功能,实现只禁止黑名单地址,其它地址全部开放;同时提供三种层次的记录:记录被禁止的访问、记录未知的访问和记录信任的访问,同时对FTP、SMTP、和打印可以提供文件备份功能。
3.3.3 存储介质管理
根据企业对计算机用户的媒体介质的控制策略,按照计算机用户的防护等级和业务关系设置统一的媒体介质控制策略,实现企业对媒体介质的统一管理。具体的功能控制项如下:
◆移动存储介质的控制,对移动存储介质的访问进行统一的控制,控制模式可以分为:自由
使用、禁止使用、设置为只读、拷贝文件加密、拷贝文件记录日志并备份文件内容等五种
控制策略。其中拷贝文件加密为个人加密的加密方式,个人加密只能在当前主机的当前个
人用户下才能解密。
◆CDROM/CDRW/刻录机的控制:对光盘介质的访问进行统一的控制,控制模式可以分为:自由
使用、禁止使用。刻录机控制支持:禁止使用、自用使用、只读使用等三种。
◆辅助硬盘的控制:对计算机上挂接第二块硬盘的访问进行统一的控制,控制模式可以分为:
自由使用辅助硬盘和禁止使用辅助硬盘。
3.3.4 打印机管理
根据企业的打印机管理制度和计算机用户业务关系统一制定打印机的管理策略,具体的功能控制项如下:
◆监控用户打印行为:统一制定计算机用户的打印管理策略,控制模式可以分为:自由使用
打印机、禁止使用打印机和允许使用打印机并记录打印文件名称(可选项为备份文件内容)。
使用打印机能够基于打印机名称、打印进程以及虚实打印机进行控制。
◆打印行为违规报警:在禁止打印机策略时如果用户执行打印操作,系统立即向服务器发送
违规打印操作信息。
3.3.5 外设接口管理
统一配置计算机外设接口的控制策略,动态的关闭与开启外设接口。所能控制的接口有:USB 接口、SCSI接口、串行总线、并行总线、红外接口、PCMCIA接口、软盘控制器、火线1394接口、无线网卡接口、DVD/CD-ROM驱动器、蓝牙接口、第二块网卡接口。
接口访问控制的策略分为:允许和禁止两种,在禁止策略下的尝试访问向主机监控系统服务器报警。同时提供了接口设备白名单和黑名单定义的功能,实现在接口禁止或者接口开放情况下某些设备放开或禁止使用。
3.4 数据安全管理
3.4.1 我的加密文件夹
我的加密文件夹为终端用户提供了个人文件加密存储的文件服务,拖进该文件夹的文件自动生成以.wsd为后缀的加密文件。当本人访问加密文件夹中的加密文件时,系统会自动解密。
3.4.2 硬盘保护区
硬盘保护区是在本地硬盘上提供一个或多个安全存放本地敏感文件的加密存储空间,用户可视为该文件保险箱为可信空间,并可通过加载或卸载操作以使该保险箱可见或不可见。所有放入保险箱的文件都是自动加密存储的,正常加载以后呈现给用户的是明文,用户感觉不到加解密过程。3.4.3 文件安全分发
文件安全分发实现了文件在指定范围内(个人、小组、公共用户和指定用户)的自动加密或者自动解密,在指定范围外的用户不能共享这些加密文件。
3.4.4 安全文档管理
基于透明加解密技术,在客户终端上实施对客户文件的透明加密、透明解密,有效防止内部和外部窃取机密的行为,从根本上解决泄密防范问题。运行在用户桌面电脑中的程序,接受服务器的安全策略,根据策略判断什么样的文件需要加密,什么样的文件不加密;用户执行打开、编辑、存盘等文件操作中,强制执行这些策略。所有这些过程是不改变用户行为习惯,文件的操作者感觉不出以上这些过程的,所以对用户来讲是“透明”的。通过该模块对以下对象进行相应策略设置和日志审计:
◆加密进程控制:设置是否对某进程产生的文档执行强制加解密策略;
◆扫描执行管理:启用扫描加密命令,对指定扩展名的文件进行全盘扫描加密。管理员可以
查看当前的扫描加密执行状态,启动、暂停、继续或终止任一次扫描加密任务,并对扫描
记录进行审计。
◆工作模式控制:是否允许用户对工作模式的切换设置,在普通模式下不执行文档加密策略,
在工作模式下强制执行加密策略。
◆安全文档自解密功能:在策略允许的情况下,支持用户自解密加密文档,且记录申请和带
出的日志。
◆安全文档在线审批功能:根据审批规则设置,将需要带出的安全文档,通过审批员网上审
批,转化为自解密文件使用。整个申请、审批过程记录日志。
◆安全文档备份与恢复:支持安全文档统一备份策略设置,允许客户端用户自行设置备份策
略,实现安全文档的自动备份,防止文档意外破坏。
◆灾难恢复工具:防止系统出现意外或者客户端卸载后,原来加密的文档无法解密。。
3.4.5可信移动存储介质管理
该功能实现了用户对移动存储介质管理的要求,对可信移动存储介质从购买到销毁的整个生命周期进行管理和控制。
可信移动存储介质管理通过授权认证、身份验证、密级识别、锁定自毁、扇区级加解密、日志审计等六个途径对可移动存储设备的数据进行安全防护,使得未通过身份验证的用户或密级不够的主机,不可访问存储在可信移动存储介质上的文件。
◆授权认证:管理员对移动存储介质进行注册授权,写入授权信息。
◆身份验证:客户端使用可信移动存储介质时,对用户的身份信息进行验证。
◆密级识别:客户端使用可信移动存储介质时,需对客户端主机密级进行验证。
◆锁定自毁:客户违规使用可信移动存储介质时,对磁盘进行锁定或自毁,保证数据的安全
性。
◆扇区级加解密:文件数据的加解密由系统底层驱动自动进行,对用户是透明的。
◆日志审计:对用户使用可信移动存储介质所产生的日志进行审计和查看。
可信盘的制作和管理主要由系统管理员完成:
?磁盘的库存管理
系统管理员完成对普通磁盘的入库登记,以备制作可信盘,或对入库的磁盘进行信息销毁等。
?磁盘授权管理
管理员对移动存储介质进行注册授权,写入授权信息,即完成可信磁盘的制作、解锁、回收、以及商旅盘的使用激活与反激活等操作管理,同时当可信磁盘需要跨服务器使用时,可启用该功能。
?授权信息管理:
系统管理员可查询可信磁盘信息、撤销可信盘的授权等。
?可信磁盘文件操作策略定义
打印监控与审计系统简介
{安辰打印安全监控与审计系统} 使用说明 光电安辰信息安全
目录 1 服务端软件安装 (1) 1.1系统运行环境 (1) 1.2 Apache安装 (2) 1.3 PHP安装 (4) 1.4 MYSQL安装 (4) 1.5 修改配置文件 (5) 1.6 管理系统安装 (6) 1.7 MYSQL连接器安装 (6) 1.8 安装通信服务器 (8) 2 客户端软件安装 (10) 2.1 客户端安装 (10) 2.2 刷卡认证打印终端安装 (10) 3 用户管理 (11) 3.1 用户登录 (11) 3.2 修改登录密码 (12) 3.3 添加用户 (12) 3.4 用户查询 (13) 3.5 锁定激活 (14) 4 部门管理 (15) 4.1 添加部门 (15) 4.2 部门查询 (15) 5 组管理 (16)
5.1 添加组 (16) 5.2 组查询 (16) 6 审批流程 (17) 6.1 添加审批 (17) 6.2 审批查询 (17) 7 系统设置 (18) 7.1 设置默认存储路径 (18) 7.2 设置磁盘预警 (18) 7.3 设置磁盘预警 (18) 7.4 系统校时 (18) 8 作业管理 (19) 8.1 打印作业 (19) 8.2 统计分析 (20) 9 作业审批 (21) 9.1 审批结果 (21) 9.2 作业审批 (21) 9.3审批历史 (21) 10 日志审计 (23) 10.1 操作日志 (23) 11 用户打印作业 (25) 11.1 用户提交打印作业 (25) 11.2用户刷卡打印 (25)
1 服务端软件安装1.1系统运行环境 服务端 客户端
5-企业案例-网络安全审计系统(数据库审计)解决方案
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计........................ 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计............................ 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书.......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
中软主机监控与审计系统8.0系统介绍
中软主机监控与审计系统8.0
目录 第一章系统概述 (1) 第二章体系结构和运行环境 (3) 2.1系统体系结构 (3) 2.2推荐硬件需求 (4) 2.3推荐软件需求 (4) 第三章系统功能 (6) 3.1终端安全管理 (8) 3.1.1 终端健康检查 (8) 3.1.2 安全策略管理 (8) 3.1.3 用户身份认证 (8) 3.1.4 网络进程管理 (9) 3.1.5 防病毒软件监测 (9) 3.1.6 补丁分发管理 (10) 3.1.7文件安全删除 (10) 3.2终端运维管理 (11) 3.2.1软件分发管理 (11) 3.2.2 软硬件资产管理 (11) 3.2.3 系统运行状况监控 (12) 3.2.4 远程管理 (13) 3.3用户行为管理 (14) 3.3.1 网络行为管理 (14) 3.3.2 非法外联控制 (14) 3.3.3 存储介质管理 (14) 3.3.4 打印机管理 (15) 3.3.5 外设接口管理 (15) 3.4数据安全管理 (16) 3.4.1 我的加密文件夹 (16) 3.4.2 硬盘保护区 (16) 3.4.3 文件安全分发 (16) 3.4.4 安全文档管理 (16) 3.4.5可信移动存储介质管理 (17) 3.4.6 基于密级标识的文档安全管理 (18) 3.5终端接入管理 (19) 3.5.1终端接入认证 (19) 3.5.2 内网安全扫描 (19) 3.6系统管理与审计 (19) 3.6.1 组织结构管理 (19) 3.6.2 统计审计分析 (20) 3.6.3分级报警管理 (20)
3.6.4 响应与知识库管理 (20) 3.6.5 服务器数据存储空间管理 (20) 3.6.6 系统升级管理 (20) 3.6.7 B/S管理功能支持 (21) 3.6.7系统参数设置 (21) 3.7文档外发管理 (21) 3.7.1外发包的制作方式 (21) 3.7.2 外发包的使用方式 (22) 3.7.3 外发包的权限控制 (22) 3.7.4日志信息的查看 (23) 第四章系统特点 (24) 4.1全面的终端防护能力 (24) 4.2分权分级的管理模式 (24) 4.3方便灵活的安全策略 (24) 4.4终端安全风险量化管理 (24) 4.5周全详细的系统报表 (25) 4.6丰富的应急响应知识库 (25) 4.7完善的插件式系统架构 (25) 4.8方便快捷的安装、卸载和升级 (25) 4.9多级部署支持 (26) 附件一:名词解释 (27)
主机监控与审计系统设计方案
主机监控与审计系统 设计方案 北京市爱威电子技术公司 2010年5月
目录
1.系统简介 随着网络信息化的高速推进,人类社会的行为与活动已经和网络系统紧密联系起来。网络信息系统将人类传统的工作、管理模式“映射”到网络环境中,极大地提高了研究、工作和管理效率。人们对于内部网络系统,曾经假定“内部环境是安全的”,但自从网络系统采用了开放互连的TCP/IP协议后,这种假设条件在事实上已经不能完全成立了。各类单位(尤其是涉密单位)为了保证员工能通过网络(包括互联网)共享信息的同时,确保不会因为使用网络而有意或无意的泄漏敏感信息,都采取了相应的行政手段对本单位内部局域网的使用和操作规范进行强制性的、非技术性的管理,这些管理措施在特定时期和特定环境下是可用的,但仅依靠非技术性管理却是有悖于信息化初衷的,是不利于信息化进程发展的。 主机监控与审计系统的目的是:按照国家标准和保密局标准,结合长峰集团的实际情况,研制开发一套完善的、可持续扩展的安全保密信息审计系统。 该系统的实现,对于在信息化高速发展的同时,严格保证涉密信息系统及其审计系统的特殊性、安全性、可靠性、可控性、及时性、可扩展性有着积极的促进作用。 2.系统总体结构 2.1系统架构及基本工作原理 系统结构图 从统一管理的角度出发,主机监控与审计系统采用多极构架组成(如图),其基本工作原理描述如下: 第一层为计算机端机,通过安装的主机监控与审计系统的代理端软件,根据CMC对该端机的审计策略要求,对硬件设备的使用经行控制,对用户的操作行为进行数据采集,并将采集到的各类数据上传到CMC。在系统管理员授权的情况下
标准解决方案_北信源打印安全监控审计系统解决方案
北信源打印安全监控审计系统 解决方案 北京北信源软件股份有限公司
一、前言 随着网络应用的不断普及和发展,网络应用向多层次、立体化、空间化方向发展,网络空间数据的安全问题越来越突出,电子文档和敏感信息被有意无意的窃取、丢失、泄密等给建设高效、安全的网络空间带来很大挑战。 而纵观目前各个政府、企事业单位的信息安全建设状况,数据安全防御理念往往局限在网关级别、网络边界(防火墙、IDS、漏洞扫描)等方面,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部计算机终端的数据安全防护却往往被忽视。 在国家行业信息化推进的大环境下,信息安全在国民经济建设中日益显得举足轻重。特别是在政府机关网络中,工作秘密的泄露会使政府机关工作遭受损失,带来不必要的被动;而国家秘密的泄露会使国家的安全和利益遭到严重损害,泄密者也难免受到降职、降衔的严肃处理,甚至移交司法机关处理。 由此,如何应对数据安全问题,减少直至杜绝内部敏感信息的泄漏和重要数据的丢失而引发的安全事故,建设面向网络空间的、安全和谐的终端运行环境,形成有效的数据安全防护体系,则成为了政府机关网络、行业信息网络主管领导日常工作的重中之重。 而根据《计算机犯罪与安全调查报告》的调查结果显示,泄密的主要途径有三种:电子邮件泄密、移动存储泄密、打印信息泄密。通常,电子邮件泄密和移动存储泄密都得到了较好的控制,而来自内部的网络打印安全却很容易受到忽视,打印信息泄密,涉及到了用户较高等级甚至是核心级的机密,破坏力大,破案率低,极大地损害了个人、集体的利益,甚至是国家。 北信源公司由此推出自主研发的新产品—北信源打印安全监控审计系统,为用户彻底解决以打印方式造成数据泄漏的问题。
2020新版安全审计及监控管理办法
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 2020新版安全审计及监控管理 办法 Safety management is an important part of production management. Safety and production are in the implementation process
2020新版安全审计及监控管理办法 第一章总则 制度目标:为了加强信息安全保障能力,建立健全的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在安全体系框架下,本制度为加强信息安全事件的管理,规范安全事件的响应和操作流程。 适用范围:本制度适用于TCP/IP网络、以及所承载的业务系统。 使用人员及角色职责:本制度适用于网络信息系统维护及相关人员。 制度相关性:本制度与安全检查及监控等管理办法相关。 第二章职责 安全管理员负责所有系统及设备的超级用户帐号及权限管理员。 安全设备管理员负责安全设备的日常维护监控工作。
网络管理员负责网络系统的日常维护监控工作。 主机系统管理员负责主机、服务器、操作系统的监控工作。 数据库管理员负责数据库系统的监控工作。 应用系统管理员负责应用系统的监控工作。 安全审计员 负责信息安全审计的日常工作; 负责组织、计划定期的审计活动。 第三章规定 安全监控及审计职责 信息安全日常监控由各系统管理员、各数据库管理员、各应用系统管理员、各网络管理员等进行操作; 安全审计员根据各信息系统管理员的监控结果审计网络、各数据库、各计算机系统、各应用系统等的安全状况。 安全审计员定期将审计结果上报到信息安全管理工作组; 信息安全管理工作组根据安全审计员上报审计结果进行抽检和改进。
日志审计系统招标需求
日志审计系统招标需求 一、供应商资质要求 1. 供应商应具有两名中国信息安全测评中心认证的注册信息安全工程师(出具社保证明和证书复印件,中标后提供原件);二、产品需求 1. 基本要求 1)产品获得公安部计算机信息系统安全产品销售许可证以及公安部信息安全产品检测中心出具产品检验报告。所提供的产品检验报告须符合《信息安全技术日志分析产品检验规范》,并提供完整的检测报告复印件(行标三级); 2)产品获得国家保密科技测评中心检测并获得涉密信息系统产品检测证书,需符合《涉及国家秘密的信息系统安全监控与审计产品技术要 求》,并提供完整的检测报告复印件; 3)产品取得软件著作权登记证书; 4)原厂商通过ISO27001 信息安全体系国际认证; 5)原厂商通过ISO9001 2008质量管理体系认证; 2. 硬件规格 1)4 个千兆电口,1 个con sole 口;内存:16GB,磁盘:2T*2 raidl; 双电源;产品采用CF卡启动;内存可扩展至32GB;单个磁盘可扩展至4T(4 个盘位);支持HBA 卡扩展;网口可扩展(4 电4光、8电、8光、2万兆光)
支持审计 >=1000 个日志源; 每秒日志解析能力 >=8000 条; 峰值处 理能力 >=12000 。 日志收集 支持 Syslog 、 SNMP Trap 、OPSec 、FTP 协议日志收集; 支持使用代理(Agent )方式提取日志并收集; 支持目前主流的网络安 全设备、交换设备、路由设备、操作 系统、应用系统等; 支持的设备厂家包括但不限于: Cisco (思科),Juniper,联想网 御/网御神州,F5,华为,H3C ,微软,绿盟,飞塔(fortinet ), Foundry ,天融信,启明星辰,天网,趋势,东软,CheckPoint , Hillsto ne (山石),安恒,BEA , ape,戴尔(dell ), EMC ,天 存,Symante (赛门铁克),IBM ,citrix (思杰),WINDOWS 系统日 志,Linux/UNIX syslog 、IIS 、Apache 等; 支持常见的虚拟机环境 日志收集, 包括 Xen 、VMWare 、Hyper-V 等。 工作模式 独立完成审计日志采集,不依赖于设备或系统自身的日志系 统; 审计工作不影响被审计对象的性能、 稳定性或日常管理流程; 审计结果 存储于独立存储空间; 自身用户管理与设备或主机的管理、使用、权限 无关联; 提供全中文 WEB 管理界面, 无需安装任意客户端软件或插件 2) 3. 1) 2) 3) 4) 5) 4. 1) 2) 3) 4) 5)
日志审计系统的作用
企业为了日常的正常运作,通常会采用多种系统。各系统各司其职,发挥着不同的作用,并且无法替代,共同构成了企业的防护墙,保证企业各个项目的稳定。日志审计系统就是企业常用的系统之一,日志审计系统的作用尤为重要,且具有一定的优势。 日志审计系统是专业日志审计产品。日志审计系统能够实时不间断地采集汇聚企业中不同厂商不同种类的网络设备、主机、操作系统、用户业务系统的日志信息,协助用户进行分析及合规审计,及时、有效的发现异常事件及审计违规。 日志审计系统提供了众多基于日志分析的强大功能,如日志的集中采集、分析挖掘、合规审计、实时监控及告警等,系统配备了全球IP归属及地理位置信息数据,为事件的分析、溯源提供了有力支撑,日志审计系统能够同时满足企业实际运维分析需求及审计合规需求,是企业日常信息工作的重要支撑平台。 产品功能
完整日志采集 支持对各种主流日志进行采集,同时支持对非主流日志的定制化采集。也可将日志转发到铱迅信息其他产品或第三方系统处理。 资产管理便捷 自动发现企业网络中的设备,可便捷的定义所关注的设备为资产,从而进行持续的管理。管理能够以视图化方式进行,便于以用户视角或业务系统视角来管理资产。 事件挖掘分析 支持对海量原始日志的分析挖掘,发现异常安全问题;通过可视化、易操作的安全策略定制,能够有效提炼、还原出各种异常事件场景,从而为一线安全人员的实际运维工作提供一个强大的安全分析平台。 审计与报表 系统支持自定义审计对象、审计策略,从而满足不同行业用户日志审计合规的需求。系统内置了各类实用的安全审计模板,如等级保护、萨班斯(SOX)、资产常见分类模板等,方便用户直接使用或参考定制。系统能够自动定期将各类安全事件及审计情况的报告以报表发送的方式告知相关人员。 实时监控 支持实时滚动展示当前接收到的日志,显示内容可根据需要来定制过滤。通过实时监控能够有效发现当前未知的安全威胁态势,其提供的日志导出功能便于发现可疑行为的日志特征,进而在事件挖掘分析模块追溯潜在的安全威胁源头。 告警监控
安全监控及审计管理办法
编号:SM-ZD-46311 安全监控及审计管理办法Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
安全监控及审计管理办法 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 第一章总则 第一条策略目标:为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略规范公司安全监控及审计机制,和公司其他安全风险策略一起构建公司安全风险预防体系。 第二条适用范围:本策略适用于公司科技信息部。 第二章安全监控及审计管理 第一节安全监控及审计工作办法 第三条各部门安全管理组织中专、兼职安全管理员应监控并定期审计本部门各系统安全状况。 第四条各部门安全管理组织定期向公司网络与信息安全办公室汇报监控及安全审计结果。 第五条公司网络部根据各部门安全管理员上报审计结
果进行抽检和检验。 第六条公司网络部每半年巡检,进行安全审计,由公司科技信息部牵头,各部门协助执行。 第二节安全监控及审计的职责 第七条公司安全管理工作组负责: (一) 组织策划公司信息安全审计工作; (二) 协调有关部门,以获得对信息安全审计工作的理解和支持; (三) 确定信息安全审计工作的目的、范围和要求; (四) 制订信息安全审计工作具体实施计划和有关资源配置; (五) 监控信息安全审计工作进度和质量; (六) 审核信息安全审计工作情况汇报; (七) 负责向公司网络与信息安全领导小组汇报公司信息安全审计工作情况。 第八条各部门安全组织负责: (一) 参与公司信息安全审计制度的制订、修改和维护; (二) 参与公司信息安全审计工作具体实施计划的制订;
安华金和数据库监控与审计系统(DBAudit)
安华金和数据库监控与审计系统 (DBAudit) 一. 产品概述 安华金和数据库监控与审计系统(简称DBAudit),是一款面向数据库运维和安全管理人员,提供安全、诊断与维护能力为一体的安全管理工具;DBAudit实现了数据库访问的全面精确审计,100%准确应用用户关联审计;DBAudit具备风险状况、运行状况、性能状况、语句分布的实时监控能力。 DBAudit通过数据库化的界面语言、智能化的协议识别、可视化的运行状况呈现、可交互可下钻的风险追踪能力,完美实现免实施、免培训、免维护的二代数据库审计产品。 二. 产品价值 2.1 安全事件追查 提供语句、会话、IP、数据库用户、业务用户、响应时间、影响行等多种维度的数据库操作记录和事后分析能力,成为安全事件后最为可靠的追查依据和来源。 通过SQL行为与业务用户的准确关联,使数据库访问行为有效定位到业务工作人员,可有效追责、定责。 2.2 数据库性能诊断 实时显示数据库的运行状况、数据库访问流量、并发吞吐量、SQL语句的响应速度;提供最慢语句、访问量最大语句的分析,帮助运维人员进行性能诊断。
2.3 发现程序后门 系统提供SQL学习和SQL白名单能力,实现对业务系统的SQL建模;通过合法系统行为的建模,使隐藏在软件系统中的后门程序在启动时,提供实时的告警能力,降低数据泄漏损失。 2.4 数据库攻击响应 系统提供数据库风险告警能力,对于SQL注入、数据库漏洞攻击、过量数据下载、危险SQL语句(如No where delete)等风险行为的策略制定能力,提供实时告警能力。 提供短信、邮件、SNMP、Syslog等多种告警方式。 三. 产品优势 3.1 全面审计(全) 挑战:基于网络流量镜像的数据库审计产品,无法有效实现加密通道下的审计、无法实现对数据库主机上的操作行为的审计、在网络流量过载时容易丢包,从而导致审计信息缺失,给入侵者提供了绕开审计设备的途径。 优势:DBAudit在网络镜像技术基础上,通过可配置的主机探针技术实现了数据库主机的流量捕获,从而实现了对数据库访问流量的全捕获。 3.2 准确审计(准) 挑战:不准确的审计记录,对于审计信息的有效性具有着致命的伤害,使其极大地失去了可信性。
日志审计与分析系统
点击文章中飘蓝词可直接进入官网查看 日志审计与分析系统 日志审计与分析系统可以了解系统的运行状况,安全状况,甚至是运营的状况。如何选择一款合适的日志审计与分析系统呢?评价一款日志审计与分析系统需要关注哪些方面呢?小编今天给大家介绍一下选择日志审计与分析系统应该从几个方面来考虑。 南京风城云码软件公司(简称:风城云码)南京风城云码软件技术有限公司是获得国家工信部认定的“双软”企业,具有专业的软件开发与生产资质。多年来专业从事IT运维监控产品及大数据平台下网络安全审计产品研发。开发团队主要由留学归国软件开发人员及管理专家领衔组成,聚集了一批软件专家、技术专家和行业专家,依托海外技术优势,使开发的软件产品在技术创新及应用领域始终保持在领域上向前发展。 由于一款综合性的日志审计与分析系统要能够收集网络中异构设备的日志,因此日志收集的手段应要丰富,建议至少应支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA等协议采集日志,支持从Log文件或者数据库中获取日志。 日志收集的性能也是要考虑的。一般来说,如果网络中的日志量非常大,对日志系统的性能要求也就比较高,如果因为性能的问题造成日志大量丢失的话,就完全起不到审计的作用的了。目前,国际上评价一款日志审计产品的重要指标叫做“事件数每秒”,英文是Event per Second,即EPS,表明系统每秒种能够收集的日志条数,通常以每条日志0.5K~1K字节数为基准。一般而言,EPS数值越高,表明系统性能越好。 日志审计与分析系统应提供准确的查询手段,不同类型日志信息的格式差异非常大,日志审计系统对日志进行收集后,应进行一定的处理,例如对日志的格式进行统一,这样不同厂家的日志可以放在一起做统计分析和审计,要注意的是,统一格式不能把原始日志破坏,否则日志的法律效力就大大折扣了。 日志审计与分析系统要让收集的日志发挥更强的安全审计的作用,有一定技术水平的管理员会希望获得对日志进行关联分析的工具,能主动挖掘隐藏在大量日志中的安全问题。因此,有这方面需求的用户可以考查产品的实时关联分析能力。
蓝盾主机监控与审计系统操作手册
蓝盾主机监控与审计系统操作手册(BD-SECSYS) 操 作 手 册 广东天海威数码技术有限公司 2004年7月 广东天海威数码技术有限公司蓝盾内网安全保密系统(BD-SECSYS) 目录 第一章系统概述...................................................................... ............................. 4 1、系统组成...................................................................... ..................................... 4 2、主机代理功能特 点 ..................................................................... .. (4) 2.1、网络检测防护功能...................................................................... . (4) 2.2、共享防护...................................................................... .. (5)
2.3、文件检测防护...................................................................... (5) 2.4、注册表检测防护...................................................................... .. (6) 2.5、主机日志监控...................................................................... (6) 2.6、设备管理和认证...................................................................... .. (7) 2.7、主机资源审计...................................................................... (7) 2.8、异常检测...................................................................... .. (8) 2.9、外联监控...................................................................... .. (8) 2.10、关联安全功能...................................................................... . (8)
连续审计:对保证、监控和风险评估的意义
GLOBAL TECHNOLOGY AUDIT AUIDE 全球技术审计指南(第3号) (2005 年 9 月公布) Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment 连续审计:对保证、监控和风险评估的意义 Author David Coderre, Royal Canadian Mounted Police (RCMP) 作者 戴维德·科德里(加拿大皇家骑警) Subject Matter Experts John G. Verver, ACL Services Ltd. Donald J. Warren, Center for Continuous Auditing, Rutgers University
主题专家 约翰·G·沃沃(ACL公司) 唐纳德·J·倭仁(鲁特格斯大学,连续审计研究中心)湘潭大学商学院阳杰译(2006年11月) *注:原指南附录部分由于篇幅限制,未加翻译 作者水平有限,如有错误之处,请email到yang-jie1891@https://www.360docs.net/doc/308427892.html, 目录
今天的法规环境下,首席审计师们都发觉他们的部门变得越来越被为满足遵循要求的监控和内部操纵测试所吞噬。然而,大多数的运营和财务审计行为保留下来了。许多内部审计部门正借助技术来减轻
负担,并提升效率和生产率,推动经营绩效。 这份全球技术审计指南“连续审计:对保证、监控和风险评估的意义”给首席审计师们提供关于如何实施一个理想的策略,结合连续审计和连续监控方案来应对这些挑战。ACL的数据分析技术和连续操纵监控方案能够最好地提升审计实践,以满足当今对有效操纵地高度要求。ACL能够关心你证明适当的技术投资的好处,同时支持持续的遵循需要,增加运营效率,并对提高收益有关心。 第一部分首席审计师简述 对风险治理和操纵系统的有效性进行及时和连续的保证的需求特不关键。组织频繁地暴露在重大错误、舞弊或者无效率下,这些会导致财务损失和风险升级。一个变化的法规环境,经营的全球化,市场方面要求改善经营的压力,以及快速变化的商业环境要求更加及时和连续地对正在运行的操纵的有效性和风险水平正在降低作出保证。 这些要求给首席审计师们和他们的职员不断增加压力。内部审计部门卷入遵循工作的程度持续增加,尤其是由于法规的缘故,例如美国2002年的萨班斯法案第404节。关注度的提高不仅与期望值的增长有关,还与内部审计师在评价内部操纵的有效性、风险治理和治理流程中保持独立性和客观性的能力能力有关。 今天,内部审计师面临着的挑战来自一系列的领域:
日志审计解决方案
需求分析: 随着政府、企事业单位等各类组织的信息化程度不断提高,对信息系统的依赖程度也随之增加,如何保障信息系统安全是所有单位都十分关注的一个问题。当前,大部分组织都已对信息安全系统进行了基本的安全防护,如实施防火墙、入侵检测系统、防病毒系统等。然而,信息系统维护过程中依然还面临着诸多的困难及风险: ◆操作系统、硬件、应用程序等故障或配置错误导致系统异常运行,服务中断。这些异常 行为只会在系统及各类日志中有所反映,没有统一的日志审计手段,无法及时发现安全事故。 ◆大部分企业对员工的上网行为都不进行直接控制,因此员工不适当或滥用公司网络资源 的行为时有发生,如下载、看在线电影、网上聊天以及访问非法网站的行为等等,这不仅影响工作,更使企业在国家相关法律法规的符合性上存在隐患,也容易造成企业资料泄密等后果。 ◆企业中各类应用系统在对外服务的同时将面临各种用户访问行为造成的信息安全风险, 缺少对用户非授权访问、管理员误操作、黑客恶意破坏等等的行为审计。 ◆由于目前的应用系统往往都是相互关联的,一个故障现象,往往要对数台甚至数十台网 络设备及主机的日志进行综合分析才能确定真正的故障原因,缺乏有效的统一安全事件审计平台可能导致无法及时进行故障定位甚至错误定位,此外,恶意破坏者获得系统权限后可以清理安全日志,从而导致无法正确定位安全日志。 ◆企业内部控制基本规范、SOX法案、公安部82号令、等级保护等各类法律法规均对日 志、行为审计有明确的要求,确保关键信息系统在可控、可审计状态下运行。 解决方案: 晟为日志审计系统是专业信息安全审计产品,基于嵌入式64位Linux系统,由日志采集模块、事件检索模块、审计报表模块、综合管理模块组成。采用B/S架构,管理员通过HTTPS方式对主机进行管理。系统提供智能化的日志生命周期管理模型,集日志数据采集、实时动态分析、安全存储管理、历史事件检索、综合审计报告功能于一体,帮助用户快速、有效地完成信息系统安全审计工作。 晟为日志管理综合审计系统通过基于日志内容深度分析的日志专家规则库,对采集到的日志数据进行实时动态分析,将网络非法访问、数据违规操作、系统进程异常、设备故障敏感信息、等高危安全事件,从海量日志数据中提取出来,并通过桌面屏幕、邮件、短信、SYSLOG、SNMP等方式通知管理员及时处理。
安全审计及监控管理规定
安全审计及监控管理规 定 Document number:NOCG-YUNOO-BUYTT-UU986-1986UT
《XXXX安全管理制度汇编》安全审计及监控管理办法
目录
第一章总则 第一条制度目标:为了加强信息安全保障能力,建立健全的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在安全体系框架下,本制度为加强信息安全事件的管理,规范安全事件的响应和操作流程。 第二条适用范围:本制度适用于TCP/IP网络、以及所承载的业务系统。 第三条使用人员及角色职责:本制度适用于网络信息系统维护及相关人员。 第四条制度相关性:本制度与安全检查及监控等管理办法相关。 第二章职责 第五条安全管理员负责所有系统及设备的超级用户帐号及权限管理员。 第六条安全设备管理员负责安全设备的日常维护监控工作。 第七条网络管理员负责网络系统的日常维护监控工作。 第八条主机系统管理员负责主机、服务器、操作系统的监控工作。 第九条数据库管理员负责数据库系统的监控工作。 第十条应用系统管理员负责应用系统的监控工作。 第十一条安全审计员 (一)负责信息安全审计的日常工作; (二)负责组织、计划定期的审计活动。 第三章规定 第一节安全监控及审计职责 第十二条信息安全日常监控由各系统管理员、各数据库管理员、各应用系统管理员、各网络管理员等进行操作;
第十三条安全审计员根据各信息系统管理员的监控结果审计网络、各数据库、各计算机系统、各应用系统等的安全状况。 第十四条安全审计员定期将审计结果上报到信息安全管理工作组; 第十五条信息安全管理工作组根据安全审计员上报审计结果进行抽检和改进。 第二节安全监控内容 第十六条网络监控 网络监控的内容主要包括数据流异常分析和黑客入侵监控。分别是指: (一)网络设备运行性能监控; (二)数据流分析通过全OSI七层解码,包括对数据库数据包进行分析,发现网络中数据流类型和内容,从中发现是否有违反安全策略的 行为和被攻击的迹象;同时根据数据协议类型发现当前数据趋势,帮 助分析网络状况,避免大规模病毒爆发; (三)黑客入侵监控要不仅能检测来自外部的入侵行为,同时也监控内部用户的未授权活动。 第十七条主机监控 主机监控的内容主要包括主机系统信息监控、主机重要文件和资源监控、主机网络连接的监控、主机系统进程的监控。分别是指: (一)主机系统信息监控对系统的配置信息和运行情况进行监控,包括主机机器名、网络配置、用户登录、进程情况、CPU和内存使用情 况、硬盘容量等; (二)对主机的重要文件和资源使用进行监控; (三)监控重要主机网络连接情况,监控主机开启的服务,对传输数据包内容进行过滤监控,对非法的连接进行跟踪。 第十八条数据库监控 (一)数据库性能监控; (二)数据库监控是对数据库的操作进行监控,以保护数据库的安全。 (三)数据库容量监控; (四)用户安全登录监控;
涉密网络主机审计(1)
涉密网络主机审计 1引言 随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为 人们注重的焦点。 涉密网与因特网之间一般采取了物理隔离的安全措施,在一定水准上 保证了内部网络的安全性。不过,网络安全管理人员仍然会对所管理 网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在 终端用户。网络安全存有着“木桶”效应,单个用户计算机的安全性 不足时刻威胁着整个网络的安全1。如何增强对终端用户计算机的安全管理成为一个急待解决的问题。 本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技 术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。 2安全审计概念。 计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不 可否认性,简称“五性”,安全审计是这“五性”的重要保障之一2。 凡是对于网络信息系统的薄弱环节实行测试、评估和分析,以找到极 佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和 手段,都能够叫做安全审计3。 传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威 慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国 首先在信息保障技术框架(IATF)中提出在信息基础设置中实行所谓“深层防御策略(Defense2in2DepthStrategy)”,对安全审计系统 提出了参与主动保护和主动响应的要求4。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复(PDRR)动态 过程的要求,在提升审计广度和深度的基础上,做到对信息的主动保 护和主动响应。 3主机审计系统设计。 安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计 和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感 操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析 判断是否有违规行为。 一般网络系统的主机审计多采用传统的审计,涉密系统的主机审计应 采用现代综合审计,做到对信息的主动保护和主动响应。所以,涉密 网络的主机审计在设计时就应该全方位实行考虑。 3.1体系架构。 主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和 控制中心间为B/S架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于Windows,浏览器也不是只有IE。管理端地位 重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和SHTTP协议。 主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计 管理员、系统管理员。 安全策略管理员按照制定的监控审计策略实行实施;审计管理员负责 定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为)是否违规,出审计报告;系统管理员负责分配安全策略管理员和 审计管理员的权限。三员的任何操作系统有相对应记录,对系统的操 作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系 统本身的安全。控制中心是审计系统的核心,所有信息都保存有控制 中心。所以,控制中心的操作系统和数据库最好是国内自己研发的。
日志审计管理系统需求说明书
日志审计管理系统需求说明书 一、总体要求 ?支持对主流操作系统、数据库系统、应用软件系统、网络设备、安全设 备进行自动采集。 ?支持SYSLOG和OPSEC LEA标准日志协议,能通过代理收集日志文件, 并将日志统一格式化处理。 ?对采集的日志可分类实时监控和自动告警。 ?对收集的日志信息可按日志所有属性进行组合查询和提供报表。 ?能按日志来源、类型、日期进行存储,支持日志加密压缩归档。 ?不影响日志源对象运行性能和安全。 ?操作简便直观,可用性好。 二、具体要求 2.1日志收集对象要求
用户可根据自己的需求很容易定制开发新的日志收集代理。 2.2 日志收集方式要求 需要支持的协议有syslog、snmp trap、windows log、checkpoint opsec、database、file、xml、soap等等。 ?主动信息采集 对路由器、交换机、防火墙、VPN、IDS/IPS等网络设备的日志采集支持采用SYSLOG(UDP514)和OPSEC LEA协议形式自动采集。 ?日志文件采集 支持本地系统平台上通过安装Agent采集日志文件中的日志信息。 ?性能状态探测 能获取系统平台的CPU、内存、端口使用率、应用的响应时间、进程数、TCP连接数、负载等性能参数。 2.3日志分析功能要求 2.3.1告警功能 ?支持对紧急、严重日志进行自动报警,可自定义需报警的日志类型。 ?监控台支持对收集的全部日志进行分类实时监控。 ?应该能够将各种不同的日志格式表示为统一的日志数据格式。且统一格 式时不能造成字段丢失。 ?能自动对各种类型的日志进行实时分析,并能将紧急、严重的事件日志 通过设备远程主控台、短信、邮件、电话语音提示等方式向管理员发送 实时告警消息,支持自定义报警日志的类型。 ?通过对网络设备及系统平台的性能状态、安全访问、异常事件产生的日
主机审计与监控系统白皮书
主机审计与监控系统V1.5 技 术 白 皮 书 北京博睿勤技术发展有限公司 Beijing Bring Technology Development Co.,Ltd
目录 一系统简介 (1) 1.1系统概述 (1) 1.2系统结构 (1) 二主要功能 (3) 2.1概述 (3) 2.2控制功能 (3) 2.2.1 硬件资源控制 (3) 2.2.2 软件资源控制 (4) 2.2.3 移动存储设备控制 (4) 2.2.4 IP与MAC地址绑定 (4) 2.3监控功能 (4) 2.3.1 进程监控 (5) 2.3.2 服务监控 (5) 2.3.3 硬件操作监控 (5) 2.3.4 文件系统监控 (5) 2.3.5 打印机监控 (5) 2.3.6 非法外联监控 (6) 2.3.7 计算机用户账号监控 (6) 2.4审计功能 (6) 2.4.1 文件操作审计 (6) 2.4.2 外挂设备操作审计 (6) 2.4.3 非法外联审计 (6) 2.4.4 IP地址更改审计 (7) 2.4.5 服务、进程审计 (7) 2.5系统管理功能 (7) 2.5.1 代理状态监控 (7)
2.5.2 安全策略管理 (7) 2.5.3 主机监控代理升级管理 (7) 2.5.4 计算机注册管理 (8) 2.5.5 实时报警 (8) 2.5.6 历史信息查询 (8) 2.5.7 统计与报表 (8) 2.6其它辅助功能 (8) 2.6.1 资产管理 (8) 2.6.2 补丁分发 (8) 2.6.3 操作系统日志收集 (9) 三主要特色 (10) 3.1系统部署方式灵活、安装方便 (10) 3.2控制、监控与审计结合,全方位防止泄密 (10) 3.3高性能、高可靠性 (10) 3.4主机代理安装卸载方便 (10) 3.5监控模块可动态加载与卸载 (11) 3.6自动升级 (11) 3.7灵活的分级管理架构 (11) 3.8完善的自保护机制 (11) 3.9丰富的报表、报表类型灵活多样 (11) 3.10高兼容性 (11) 3.11系统通信安全性 (12) 3.12多方位的主机资源信息管理功能 (12) 四系统主要性能参数 (13) 五系统配置要求 (14)
免费日志审计系统
我们都知道,日志审计系统在企业常规运营中起到不可或缺的作用,但是企业为了节约运营成本,往往会忽视这个环节。其实,是有免费日志审计系统的,如铱迅日志审计系统。该日志审计系统并不会因为是免费的就草草了事,反而功能齐全,使用便捷且有效。 铱迅日志审计系统是专业日志审计产品。系统能够实时不间断地采集汇聚企业中不同厂商不同种类的网络设备、主机、操作系统、用户业务系统的日志信息,协助用户进行分析及合规审计,及时、有效的发现异常事件及审计违规。 日志审计系统提供了众多基于日志分析的强大功能,如日志的集中采集、分析挖掘、合规审计、实时监控及告警等,系统配备了全球IP归属及地理位置信息数据,为事件的分析、溯源提供了有力支撑,日志审计系统能够同时满足企业实际运维分析需求及审计合规需求,是企业日常信息工作的重要支撑平台。 特色与优势 系统部署 支持All-in-One的单结点部署,同时支持企业级分布部署。
采集对象 可采集各类主流设备/系统的安全日志采集;包括syslog、文件、DB、WMI、SMB、SNMP-trap、Socket等多种采集方式。 日志解析采用脚本化定义,除内置主流设备/系统日志解析脚本外,用户可以自定义脚本。 关联响应 支持多种数据来源的关联;满足多种响应需求,如邮件、执行外部程序、Syslog等。 存储管理 支持高性能、大规模的分布式存储。 报表方式 内置多种报表模板,用户可以灵活定义。 实时分析和审计 采用高性能应用架构设计,满足事件的实时分析、审计要求;提供针对各类日志审计场景的策略模板,如等级保护、萨班斯等,支持策略的用户定制和升级; 实时告警 支持用户对所关注事件的实时告警,如异常日志事件和审计违规事件,可有效降低安全相关工作成本,提升工作效率。 实时监控 支持对系统当前接入安全日志的实时监控及大屏展示,用户可在滚动显示的安全事件中感知异常的安全态势,从而进一步深入分析潜在的安全威胁。 自身安全性和保障能力 系统内置安全防火墙;支持内部通讯检查及传输加密;支持关键系统模块的分离保护;支持完善、易用的权限管理。 产品功能