1、安全審計系統的功能設計及其技術要求安全審計系統的功能設計及其技術要求隨著信息化進程的深入和互聯網的迅速發展， 人們的工作、 學習和生活方式正在發生巨大變化，效率大為提高，信息資源得到最大程度的共享。即使部署了防火墻、防病毒、入侵檢測系統等網絡安全產品，制定了嚴格安全策略、發布了多項管理制度，各種網絡安全事件任然有增無減，根據 CERTCERT 的年度研究報告顯示，高達 50%50%以上的數據破壞是由內部人員造成的，內部人員對自己的信息系統非常熟悉，又位于防火墻的后端，對數據庫系統的誤操作或者蓄意的破壞會對企業造成惡劣的影響以及重大損失，無法定責，不方便管理。安全審計通過收集、分析、評估安全信息

2、、掌握安全狀態，制定安全策略，確保整個安全體系的完備性、合理性和適用性，將系統調整到最安全和最低風險的狀態。1 1 什么是安全審計系統安全審計系統是在一個特定的企事業單位的網絡環境下， 為了保障業務系統和網絡信息數據不受來自用戶的破壞、泄密、竊取，而運用各種技術手段實時監控網絡環境中的網絡行為、通信內容，以便集中收集、分析、報警、處理的一種技術手段。能夠規范員工上網行為、提高工作效率、防止企業機密資料外泄，幫助管理者發現潛在的威脅，減少人為因素和管理缺失造成的關鍵業務停頓造成的損失。幫助您對 ITIT 安全事件進行有效監控、協調弁迅速做出響應。對潛在的攻擊者起到展懾和替告的作用，對于己經發生的

3、系統破壞行為提供有效的追究證據。2 2 安全審計系統功能安全審計系統由審計主機以及探測器組成， 采用旁路方式進行審計， 不在網絡中串聯設備，不破壞網絡結構，不影響正常業務的運行，也不會影響到網絡性能，通過 HTTPSHTTPS 方式對主機進行管理。系統主要由以下功能模塊組成：1 1）網絡審計模塊：防止非法內連和外連，負責網絡通信系統的審計，在加強內外部網絡信息控制監管的同時，為避免相關信息外泄及事后的追溯取證提供了有效的技術支撐。2 2）操作系統審計模塊：對重要服務器主機操作系統的審計，記錄操作時間、IPIP 地址、用戶賬號、服務器賬號、操作指令、操作結果等信息。用戶即可通過操作日志查看詳細操

4、作指令，也可通過錄像回放查看詳細的操作過程3 3）數據庫審計模塊：對重要數據庫操作的審計，對信息系統中各類數據庫系統的用戶訪問行為進行實時采集、實時分析，用戶登錄、登出數據庫，對數據表內容做插入、刪除、修改等操作，記錄內容可以精確回放 SQLSQL 操作語句。詳細記錄每次操作的發生時間、數據庫類型、數據庫名、表名、源 MACMAC 地址、目的 MACMAC 地址、源端口、目標端口、數據庫名、用戶名、客戶端 IPIP、服務器端 IPIP、操作指令、操作返回狀態值。4 4）主機審計模塊：主要負責對網絡重要區域的客戶機進行審計，包括對終端系統安裝了哪些不安全軟件的審計，弁設置終端系統的權限等，在配合

5、網絡行為控制與審計策略的配置實施過程中起到基礎性的作用。5 5）應用審計模塊：主要負責重要服務器主機的應用平臺軟件，以及重要應用系統進行審計。監測及采集信息系統中的系統安全事件、用戶訪問行為、系統運行日志、系統運行狀態等各類信息，經過規范化、過濾、歸弁和告警分析等處理后，以統一格式的日志形式進行集中存儲和管理，形成清晰的記錄。6 6）運維審計模塊：主要負責監控系統管理員及第三方運維人員（代維/原廠工程師） 系統操作時的審計， 對于所有遠程訪問目標設備的會話連接，實現同步過程監視，運維人員在服務器上做的任何操作都會同步顯示在審計人員的監控畫面中，包括 vivi、smitsmit 以及圖形化的 R

6、DPRDP、VNCVNC、X11X11 等操作，管理員可以根據需要隨時切斷違規操作會話。記錄訪問者和被訪問者的 IP/MACIP/MAC地址，訪問時間等信息。3 3 安全審計系統特點安全審計系統實現功能模塊，具有如下特點：3.13.1 細粒度的操作內容審計（深度協議分析）采用協議識別和智能關聯技術，可對網站訪問、郵件收發、遠程終端訪問、數據庫訪問、論壇發帖等關鍵信息進行監測、還原；從鏈路層到應用層對協議進行深度分析，根據內容自動識別各個連接的應用協議類型。 保障審計的準確性。 為管理機構進行事后追查、取證分析提供有力技術支撐。3.23.2 全面的網絡行為審計（精準的網絡行為實時監控）安全審計系

7、統可對網絡行為，如網站訪問、郵件收發、數據庫訪問、遠程終端訪問、即時通訊、論壇、在線視頻、P2PP2P 下載、網絡游戲等，提供全面的行為監控，支持全面的行為審計、支持目前常見的各種網絡應用，方便事后追查取證；在旁路部署模式下可實現較強的網絡行為控制功能，包括對網頁瀏覽、電子郵件服務器、即時通訊、P2PP2P 下載、流媒體、在線游戲等應用的控制。3.33.3 日志規則庫自帶基于日志內容分析的專家規則庫， 針對日志源數據進行實時等級劃分，智能分析日志信息中所反映出的諸如設備故障、配置錯誤、系統警告、應用程序出錯、傳播違規違法信息、數據庫敏感操作等信息，弁能及時通過郵件或短信方式通知管理員。規則庫能

8、夠定時自動升級，應對新增的安全風險。3.43.4 綜合流量分析安全審計系統可對網絡流量進行綜合分析， 為網絡帶寬資源的管理提供可靠策略支持；通過傳統安全手段與安全審計技術相結合，在功能上互相協調、補充，構建一個立體的保障管理體系。3.53.5 可靠的安全保障能力自身的安全性高， 不易遭受攻擊， 在操作系統級對系統各支撐引擎進行了修改和全面優化定制，全面防止攻擊與劫持，提升系統整體性能的同時保障自身系統級安全。對關鍵審計數據的存儲和傳輸進行加密防護，利用數據防篡改、防刪除技術；嚴格訪問權限、審計權限控制體系達到系統級安全防護，旁路部署保障對網絡性能完全沒有影響，保證網絡無單點故障，優先保障用戶網

9、絡級安全，是上網機構在內網和互聯網過程中最可信賴的安全工具。3.63.6 高效的事件定位能力系統運行日志數據大致可分為兩類： 結構化數據和非結構化數據， 結構化數據主要包括行為日志和報警日志等，而非結構化數據則主要包括內容審計數據。通過使用先進的全文檢索引擎，實現高效的事件定位能力。3.73.7 良好的擴展性設計，部署靈活支持分級部署、集中管理，滿足不同規模網絡的使用和管理需求；對于單臺設備無法處理的超大流量環境或含有分支機構的分布式環境，系統支持高擴展性的多臺設備分布式部署方案，通過多臺設備對超大的流量或各分支機構分而治之，又由統一的管理平臺實現對整個網絡的透明、統一的管理。3.83.8 多

10、種報表全面詳細的審計信息，豐富可定制的報表系統，系統根據歷史審計日志數據進行統計可產生豐富詳細和直觀的報表，包括分組上網排名、人員上網排名、網絡應用統計、訪問資源統計、趨勢分析、自定義報表等。能夠從上網對象、時間、分類、目標等多個維度對網絡活動進行查詢分析，弁以柱狀圖，餅圖，曲線圖,折線圖等形式來體現排名、結構、趨勢等上網概況，使管理者對所掌握的數據有清晰直觀的認識。報表可以以 EXCELEXCEL、PDFPDF、WORDWORD、 HTMLHTML 等形式導出保存， 弁支持自定義的周期性報表自動生成和訂閱。日志可以按照要求保留 9090 天以上，歸檔的日志可通過各種組合條件進行在線查詢，也可以遠程備份到異地進行