方案 联想网御全网审计解决方案 随着信息技术的快速发展,IT信息化的不断深入, 国内各行各业的业务越来越依赖于IT系统。如何了解信 息系统真实状况,在系统出现故障和安全事故时,帮助调 查者深入挖掘事件背后的信息,重建事件过程,直至完整 的分析定位事件的根源等问题始终是一个紧迫的需求。为 此,国内外监管部门发布了一系列的审计要求文件,如美 国的萨班斯法案404条款要求公众公司必须确保与财务相 关的IT系统的安全性和可审计性。2006年国务院国有资 产监督管理委员会向各中央企业发布了 中央企业全面风 险管理指引 ,要求中央企业加强内控,并在指引中对内 控审计和IT技术建设风险管理信息系统均提出了明确的 要求。在公安部、保密局等主管部门发布的信息安全等级 保护的系列文件中更是对不同等级的网络提出了明确的审 计要求。 联想网御针对安全审计的功能要求,结合自身对信息 安全的深刻理解和多年的信息安全实践经验,在全面体现 GB17859-1999的等级化标准思想的基础上,充分吸收信 息系统安全保障理论模型和技术框架(如IATF等)、信 息安全管理标准(如ISO/IEC 17799:2000和ISO/IEC TR 13335系列标准),推出全网安全审计解决方案。通 过对网络内部各个实体审计信息的集中管理、对网络应用 协议的还原分析,利用统一安全事件管理平台进行融合和 关联分析,实现对整体信息安全事件的完整审计,同时对 系统存在的安全隐患可提出相应的防护建议。 1风险与需求分析 、 目前关键行业的IT信息系统都是技术密集、大型复 杂、网络化的人机系统,这就对其审计和风险管理带来很 高的挑战。 在贯彻IT和风险管理的过程中,面临以下问 题与风险: 1.1审计信息孤岛化 传统的IT审计方式采用不同的产品进行系统日志、 网络内容、用户行为的审计,不同的信息分散在各处不同 种类的系统上面,各系统单独存储,单独管理,形成信息 孤岛,导致关键信息分散,互不相通,难以管理。 1.2攻击行为混合化 目前常见的安全控制措施,如防火墙、入侵检测等, 都是局限于在网络或主机的一个点上进行防护和记录相关 信息。随着攻击手段的不断发展,攻击行为及违规行为日 益向纵深化、混合化方向发展,利用单纯系统日志的方式 已经不能满足对网络的操作行为、数据库访问与操作行为、 客户端操作行为等进行很好的审计监控并进行事后回放取 证。 随着攻击与违规操作行为不断朝复杂化、隐蔽化、多 样化方向发展,也需要对用户行为之问进行关联分析,因 此需要一种能够进行综合数据采集、分析、审计与监控的 技术手段,来实现对网络用户的日常行为进行监管。 1.3审计要求合规化 在等级保护、分级保护等合规性要求全面落实的情况 下,组织的管理者迫切需要一套有效的安全合规性审计平 台,以实现信息安全管理部门以及各个专业职能部门之间 统一的审计测评管理和风险管理,辅助职能部门以过程化、 规范化、结构化的运作方式开展安全保护工作。 2方案概述 为了解决以上安全审计的各种问题,降低安全风险, 联想网御在全面落实等级化标准思想的基础上,结合自 身对信息安全的深刻理解和多年的信息安全实践经验, 推出全网安全审计解决方案。该方案从主机端到网络设 备,从用户行为、安全日志到网络内容部署了多层次全 方位的信息审计,切实落实审计的要求,保障业务的正 常运行。 图1联想网御全网审计解决方案拓扑图 整个方案主要包括以下四个方面: (1)主机端审计:通过主机端部署专业的内网安全管 理和审计软件,一方面制定严格的安全策略限制对互联网 和外设的访问,另一方面可以提供完善的非法外联行为审 计、网络接入行为审计、上网行为审计等信息,这些信息 可以根据配置汇总到统一审计平台。 (2)网络审计:通过在Internet与用户内部网络之间、 方案 数据库服务器前、关键设备前部署专业的网络内容审计产 品:联想网御网络审计系统,可以完成基于用户识别的运 维操作、数据库访问、网络访问行为和内容的详细记录, 3.3强大的数据融合能力 该方案完整实现了安全审计多点采集、集中汇聚、实 时监控、关联分析、图表呈现、自动响应、统一存储、压 缩归档等功能。通过关键数据的统一存储,采用各种数据 同时关键的信息可以上报到统一审计平台。 (3)设备日志审计:通过syslog、SNMP等方式,将 网络内的防火墙、路由器、交换机以及入侵检测等其他安 融合算法、高效的检索引擎,可以大幅度减少海量的审计 信息,并通过业内领先的自定义实时规则、快捷的报警方 式、为用户提供响应指导。 全设备的日志统一发送到统一审计平台进行收集、存储和 分析。 3.4支持关联安全标准 整个解决方案由多款产品组成,各产品之间既可以完 成独立的功能,又可以基于联想网御关联安全标准(CS C: Correlative Secure Criterion)中的安全审计协议紧密协 (4)统一审计平台:通过统一安全管理平台,实现主 机审计信息、设备日志信息、网络内容审计的统一存储、 关联分析、实时查询和各种统计、报表的输出,同时根据 审计结果为用户提供自动响应。为用户提供全网情况的审 计和管理平台。 作,通过统一的审计平台,基于高效的关联算法,从一系 列不同的日志中关联出用户的行为,提炼关键内容,为用 户提供更高的价值。 3方案的优势与特点 3.1多纬度、全方位数据采集 不仅支持SNMP、SYSLOG等多种格式的设备日 志采集,还支持通过对应用层协议分析来实现上网行 3.5完善的报表生成 整个方案通过提供各种不同层次、不同纬度的报 表,包括支持用户根据自身业务特点自定义报表,为用户 提供从微观事件到宏观数据的决策依据。报表格式包括 HTML、EXCEL、CSV、PDF、Word等,充分满足不 同用户的不同需求。 为、数据库操作、管理运维的采集,通过终端管理的 方式实现终端用户行为的全方位采集,实现对整网的 3.6分布式级联部署 对大型网络,一方面可以提供电信级大容量高可靠安 全事件处理能力,另一方面,整个方案支持业内领先的多 全面审计。 3.2满足合规需求 通过深入研究相关标准和行业要求,方案涉及产品在 审计项目、日志格式、报表生成等方面注重合规性,使用 户通过该方案的部署可以满足合规性的需求。 级级联部署,上级系统能方便地管理下级系统,整个方案 好的网墨络 藿适应性 喜和伸缩性 复。固 杂的网络环境中,具有良一' 件。防病毒外包服务有效的保证光大银行业务的连续性, 提升了整体的防病毒水平(见图2)。 平均病毒感染率 (上接第88页) 能够解决的问题提供现场解决方案,对于需要后续跟进的 则制定详细的计划方案,并指定相关人员进行跟踪,直到 问题解决。 3全新体系提升光大银行整体防病毒水平 “病毒问题是个筐,什么问题都能往里装”,这是在部 署新的防毒体系之前,光大银行病毒问题负责部门对防病 毒工作的难点的经典描述。 图2光大银行近3年病毒感染率情况 通过实施防病毒外包服务,经过两年多的共同努力与 完善,目前光大银行已经建立起了一套完善且行之有效的 防病毒体系。且通过两年多的外包服务,光大银行的整体 防病毒水平有较大的提高,其全行办公网月均病毒感染 率由2007年的35%左右下降至2008年的14%左右,至 2009年更是下降至l0%以下;生产网未出现一起病毒事 现在,防病毒项目负责人表示:“自实施防病毒外包 以来,普通用户的报警少多了,开会的时候也不再有人说 病毒问题了,感觉轻松了好多。”