随着信息技术的快速发展, IT信息化的不断深入,国内各行各业的业务越来越依赖于IT系统。如何了解信息系统真实状况,在系统出现故障和安全事故时,帮助调查者深入挖掘事件背后的信息,重建事件过程,直至完整的分析定位事件的根源等问题始终是一个紧迫的需求。为此,国内外监管部门发布了一系列的审计要求文件,如美国的萨班斯法案404条款要求公众公司必须确保与财务相关的IT系统的安全性和可审计性。2006年国务院国有资产监督管理委员会向各中央企业发布了《中央企业全面风险管理指引》,要求中央企业加强内控,并在指引中对内控审计和IT技术建设风险管理信息系统均提出了明确的要求。在公安部、保密局等主管部门发布的信息安全等级保护的系列文件中更是对不同等级的网络提出了明确的审计要求。
联想网御针对安全审计的功能要求,结合自身对信息安全的深刻理解和多年的信息安全实践经验,在全面体现GB17859-1999的等级化标准思想的基础上,充分吸收信息系统安全保障理论模型和技术框架(如IATF等)、信息安全管理标准(如ISO/IEC 17799:2000和ISO/IEC TR 13335系列标准),推出全网安全审计解决方案。通过对网络内部各个实体审计信息的集中管理、对网络应用协议的还原分析,利用统一安全事件管理平台进行融合和关联分析,实现对整体信息安全事件的完整审计,同时对系统存在的安全隐患可提出相应的防护建议。
风险与需求分析
目前关键行业的IT信息系统都是技术密集、大型复杂、网络化的人机系统,这就对其审计和风险管理带来很高的挑战。 在贯彻IT和风险管理的过程中,面临以下问题与风险:
审计信息孤岛化
传统的IT审计方式采用不同的产品进行系统日志、网络内容、用户行为的审计,不同的信息分散在各处不同种类的系统上面,各系统单独存储,单独管理,形成信息孤岛,导致关键信息分散,互不相通,难以管理。
攻击行为混合化
目前常见的安全控制措施,如防火墙、入侵检测等,都是局限于在网络或主机的一个点上进行防护和记录相关信息。随着攻击手段的不断发展,攻击行为及违规行为日益向纵深化、混合化方向发展,利用单纯系统日志的方式已经不能满足对网络的操作行为、数据库访问与操作行为、客户端操作行为等进行很好的审计监控并进行事后回放取证。
随着攻击与违规操作行为不断朝复杂化、隐蔽化、多样化方向发展,也需要对用户行为之间进行关联分析,因此需要一种能够进行综合数据采集、分析、审计与监控的技术手段,来实现对网络用户的日常行为进行监管。
审计要求合规化
在等级保护、分级保护等合规性要求全面落实的情况下,组织的管理者迫切需要一套有效的安全合规性审计平台,以实现信息安全管理部门以及各个专业职能部门之间统一的审计测评管理和风险管理, 辅助职能部门以过程化、规范化、结构化的运作方式开展安全保护工作。
方案概述
为了解决以上安全审计的各种问题,降低安全风险,联想网御在全面落实等级化标准思想的基础上,结合自身对信息安全的深刻理解和多年的信息安全实践经验,推出全网安全审计解决方案。该方案从主机端到网络设备,从用户行为、安全日志到网络内容部署了多层次全方位的信息审计,切实落实审计的要求,保障业务的正常运行。
整个方案主要包括以下四个方面:
主机端审计:通过主机端部署专业的内网安全管理和审计软件,一方面制定严格的安全策略限制对互联网和外设的访问,另一方面可以提供完善的非法外联行为审计、网络接入行为审计、上网行为审计等信息,这些信息可以根据配置汇总到统一审计平台。
网络审计:通过在Internet与用户内部网络之间、数据库服务器前、关键设备前部署专业的网络内容审计产品:联想网御网络审计系统,可以完成基于用户识别的运维操作、数据库访问、网络访问行为和内容的详细记录,同时关键的信息可以上报到统一审计平台。
设备日志审计:通过syslog、SNMP等方式,将网络内的防火墙、路由器、交换机以及入侵检测等其他安全设备的日志统一发送到统一审计平台进行收集、存储和分析。
统一审计平台:通过统一安全管理平台,实现主机审计信息、设备日志信息、网络内容审计的统一存储、关联分析、实时查询和各种统计、报表的输出,同时根据审计结果为用户提供自动响应。为用户提供全网情况的审计和管理平台。
方案的优势与特点
多纬度、全方位数据采集
不仅支持SNMP、SYSLOG等多种格式的设备日志采集,还支持通过对应用层协议分析来实现上网行为、数据库操作、管理运维的采集,通过终端管理的方式实现终端用户行为的全方位采集,实现对整网的全面审计。
满足合规需求
通过深入研究相关标准和行业要求,方案涉及产品在审计项目、日志格式、报表生成等方面注重合规性,使用户通过该方案的部署可以满足合规性的需求。
强大的数据融合能力
该方案完整实现了安全审计多点采集、集中汇聚、实时监控、关联分析、图表呈现、自动响应、统一存储、压缩归档等功能。通过关键数据的统一存储,采用各种数据融合算法、高效的检索引擎,可以大幅度减少海量的审计信息,并通过业内领先的自定义实时规则、快捷的报警方式、为用户提供响应指导。
支持关联安全标准
整个解决方案由多款产品组成,各产品之间既可以完成独立的功能,又可以基于联想网御关联安全标准(CSC:Correlative Secure Criterion)中的安全审计协议紧密协作,通过统一的审计平台,基于高效的关联算法,从系列不同的日志中关联出用户的行为,提炼关键内容,为用户提供更高的价值。
完善的报表生成
整个方案通过提供各种不同层次、不同纬度的报表,包括支持用户根据自身业务特点自定义报表,为用户提供从微观事件到宏观数据的决策依据。 报表格式包括HTML、EXCEL、CSV、PDF、Word等,充分满足不同用户的不同需求。
分布式级联部署
对大型网络,一方面可以提供电信级大容量高可靠安全事件处理能力,另一方面,整个方案支持业内领先的多级级联部署,上级系统能方便地管理下级系统,整个方案可以方便、快捷地部署在大型复杂的网络环境中,具有良好的网络适应性和伸缩性。