信息安全等级保护三级建设方案.doc

Xx信息安全等级保护（三级）建设方案目录1.前言31.1概述31.2相关政策及标准32.现状及需求分析52.1.现状分析52.2.需求分析53.等保三级建设总体规划63.1.网络边界安全建设63.2.日志集中审计建设63.3.安全运维建设63.4.等保及安全合规性自查建设63.5.建设方案优势总结74.等保三级建设相关产品介绍94.1.网络边界安全防护94.1.1标准要求94.1.2明御下一代防火墙104.1.3明御入侵防御系统（IPS）134.2.日志及数据库安全审计154.2.1标准要求154.2.2明御综合日志审计平台174.2.3明御数据库审计与风险控制系统194.3.安全运维审计224.3.1标准要求224.3.2明御运维审计和风险控制系统234.4.核心WEB应用安全防护264.3.1标准要求264.3.2明御WEB应用防火墙274.3.3明御网站卫士304.5.等保及安全合规检查314.5.1标准要求314.5.2明鉴WEB应用弱点扫描器324.5.3明鉴数据库弱点扫描器344.5.4明鉴远程安全评估系统374.5.5明鉴信息安全等级保护检查工具箱384.6.等保建设咨询服务404.6.1服务概述404.6.2安全服务遵循标准414.6.3服务内容及客户收益415.等保三级建设配置建议421. 前言1.1 概述随着互联网金融的快速发展，金融机构对信息系统的依赖程度日益增高，信息安全的问题也越来越突出。同时，由于利益的驱使，针对金融机构的安全威胁越来越多，尤其是涉及民生与金融相关的单位，收到攻击的次数日渐频繁，相关单位必须加强自身的信息安全保障工作，建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升我国重要信息系统整体信息安全管理水平和抗风险能力。 国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布861号文件关于开展全国重要信息系统安全等级保护定级工作的通知和信息安全等级保护管理办法，要求涉及国计民生的信息系统应达到一定的安全等级，根据文件精神和等级划分的原则，涉及到政府机关、金融等核心信息系统，构筑至少应达到三级或以上防护要求。互联网金融行业是关系经济、社会稳定等的重要单位，等级保护制度的确立和实施，无疑对互联网金融单位加快自身信息安全建议具有前瞻性、系统性的指导意义。从国家层面上看，在重点行业、单位推行等级保护制度是关系到国家信息安全的大事，为确保重要行业和单位的等级保护信息系统顺利开展实施，同时出台了一系列政策文件来规范、指导和推动风险评估工作的进行，等级保护也积极响应各种标准和政策，以保障重点行业信息系统安全。1.2 相关政策及标准国家相关部门对等级保护安全要求相当重视，相继出台多个信息安全相关指导意见与法规，主要有：中华人民共和国计算机信息系统安全等级保护条例（国务院147号令）关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安2010303）GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T209842007 信息安全技术 信息安全风险评估规范GB17859-1999 信息系统安全等级保护测评准则其中，目前等级保护等保主要安全依据，主要参照GB17859-1999 信息系统安全等级保护测评准则和GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求，本方案亦主要依据这两个标准，以其他要求为辅，来建立本技术方案。2. 现状及需求分析2.1. 现状分析xx核心业务系统为互联网客户提供在线业务以及线下业务支持。通过该系统平台，实现互联网金融业务信息全面融合、集中管理、内部管理的流程化、标准化和信息化，为xx管理工作提供全面的系统支持。该系统定级为安全保护等级三级，通过第三方测评、整体分析与风险分析，xx业务系统中存在与国家等级保护三级标准要求不符合项。2.2. 需求分析为了满足达到国家GB/T 22239-2008信息技术信息系统安全等级保护基本要求相应的等级保护能力要求，xx业务管理系统启动等级保护安全整改工作，以增强系统的安全防护能力，有效抵御内部和外部威胁，为切实达到国家及行业信息安全等级保护相应要求，使xx业务管理系统在现有运行环境下风险可控，能够为xx客户及内部各部门提供安全、稳定的业务服务。本次方案结合初步检查报告，由于xx业务系统只采用防护墙进行安全防护措施，针对安全运维管理、应用层安全防护、第三方日志审计、管理制度等方面的薄弱之处，建议部署相关安全防护设备，结合安全管理制度，将满足相应的等级保护防护能力。一、安全防护：安全防护设计网络安全、主机安全等多个测评内容，针对所发现的安全问题风险中，如网络边界未部署防恶意代码设备,可通过对重点系统的网络边界部署相应的安全防护设备来进行解决。二、审计分析：审计分析在三级等级保护要求中，占据重要地位，涉及网络安全、主机安全、应用安全等诸多环节，xx业务系统在第三方审计相关建设上缺乏必要手段，并且对部分重要系统的安全现状难以了解，加强系统安全检测能力，和审计分析能力十分必要。三、安全运维：安全运维管理涉及网络安全、主机安全、安全运维管理，在所发现安全问题风险中，对远程设备进行双因子认证，实现特权用户分离，对网络用户的接入访问控制，敏感资源的访问控制等，可通过加强安全运维管理和部署相应管理设备加以解决。四、管理制度:管理制度的完善，在等级保护建设中具有非常重要的意义，通过第三方专业人员的现场指导、协助管理制度的完善、弥补安全管理制度中的不足，从管理制度整体协助满足等级保护的相关要求。3. 等保三级建设总体规划根据现有安全形势特点，针对三级等级保护的各项要求，需针对网络边界安全、日志集中审计、安全运维、合规性自查四个层面进行建设，选择典型安全系统构建。3.1. 网络边界安全建设在网络边界处需加强对网络防护、WEB应用防护措施，通过相关的网络安全设备部署核心链路中，按照信息安全等级保护标准进行建设。3.2. 日志集中审计建设数据库审计系统为旁路部署，需要将客户端请求数据库的的数据和数据库返回给客户端的数据双向镜像到一个交换机接口作为数据库审计设备的采集口，如需同时审计WEB应用的访问请求等同样需要把数据进行镜像。综合日志审计系统为旁路部署，仅需要将系统分配好IP地址，对各型服务器、数据库、安全设备、网络设备配置日志发送方式，将自动收集各类设备的安全日志和运行日志，进行集中查询和管理。数据库弱点扫描器部署在专用电脑上，定期对数据库进行安全检测。3.3. 安全运维建设将运维审计与风险控制系统放置与办公内网，并设定各服务器、网络设备、安全设备的允许登录IP，仅允许运维审计与风险控制系统可登录操作，运维和管理人员对各类服务器、网络设备、安全设备的操作，均需先得到运维审计与风险控制系统的许可，所有操作均会被运维审计与风险控制系统审计下来，并做到资源控制的设定。3.4. 等保及安全合规性自查建设为提高核心业务系统内部网络安全防护性能和抗破坏能力，检测和评估已运行网络的安全性能，需一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前可以提供安全防护解决措施，通过远程安全评估系统实现网络及系统合规性自查；为对核心业务系统提供配置安全保证,满足监管单位及行业安全要求，平衡信息系统安全付出成本与所能够承受的安全风险,遵行信息安全等级保护中对网络、主机、应用及数据四个安全领域的安全，需提供一套针对基线配置的安全检查工具，定期检查其配置方面的与安全基准的偏差措施；核心业务系统的信息安全等级保护建设过程中，以及在正式测评之前徐利用信息安全等级保护检查工具箱进行自测，根据结果和整改措施进行信息安全建设。将工具箱的检测报告和整改措施建议作为整改的依据和参考的标准。由于信息安全是个动态的过程，整改完成不代表信息安全建设工作完成，可利用工具箱进行不断的自检自查。3.5. 建设方案优势总结通过安全运维、安全防护、审计分析、安全制度四部分的部署加固，满足事前检测（数据库弱点扫描器）、事中防护（明御WEB应用防火墙、运维审计与风险控制系统）、事后追溯（明御综合日志审计系统、明御数据库审计与风险控制系统）的安全要求，结合安全服务对管理制度的完善，提供对重要信息系统起到一体化安全防护，保证了核心应用和重要数据的安全。满足三级等级保护对相关检测项目的要求。一、通过部署事前检测工具，依据权威数据库安全专家生成的最全面、最准确和最新的弱点知识库，提供对数据库“弱点、不安全配置、弱口令、补丁”等深层次安全检测及准确评估。通过WEB应用弱点扫描器及明鉴数据库弱点扫描器的部署，可以定期对WEB应用和数据库进行安全检测，从而发现安全问题及相关隐患后能够及时修补。二、通过部署事中防御设备，针对黑客的恶意进行全方位的攻击防护，防止各类对网站的恶意攻击和网页木马等，确保网站安全健康运行；同时采用智能异常引擎及关联引擎准确识别复杂攻击，有效遏制应用层DDOS攻击，依靠高速环境下的线速捕获技术实现100%的数据捕获，通过事件回放为安全事件的快速查询与定位、成因分析、责任认定提供有力证据，可采取直连或者旁路部署模式，在无需更改现有网络结构及应用配置的情况下，可以对网站应用实时监控。通过网络安全网关、IPS、WEB应用防火墙的部署，实现核心业务系统、应用的攻击防护，确保所定级的核心业务系统安全健康运行。三、通过部署事后追溯设备，一方面采用独有的三层审计的数据库审计设备实现WEB应用与数据库的自动关联审计，并提供细粒度的安全审计，实时监控来自各个层面的所有数据库活动，包括数据库操作请求、返回状态及返回结果集。 另一方面通过综合日志审计平台对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不间断运营安全。通过数据库审计与风险控制系统及综合日志审计系统实现网络设备、安全设备、数据存储、WEB应用、数据库、主机及其它软硬件资产的日志审计，并可以进行行为的还原和回放。四、通过加强管理制度的建设，利用第三方安全公司长期在等级保护中的经验及专业的测评工具，帮助客户快速的对业务系统进行专业的自查并提供评估报告，以便客户后期更高效的通过等级保护测评，减少因自身经验不足而产生的测评不通过的风险，减少在时间与金钱方面的损失。客户可以依托第三方安全公司在信息安全合规性建设中的经验，完善自身规章制度，摆脱繁琐的制度合规性审查并切实有效的提高自身管理水品。针对客户在等级保护建设中管理制度的经验不足，提供合规性制度解决方案，协助客户一起加强信息安全管理制度建设，并顺利的通过等级保护。4. 等保三级建设相关产品介绍4.1. 网络边界安全防护4.1.1 标准要求1.1.1.1 访问控制（G3）本项要求包括：a) 应在网络边界部署访问控制设备，启用访问控制功能；b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；d) 应在会话处于非活跃一定时间或会话结束后终止网络连接；e) 应限制网络最大流量数及网络连接数；f) 重要网段应采取技术手段防止地址欺骗；g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；h) 应限制具有拨号访问权限的用户数量。在网络边界部署安全网关。1.1.1.2 安全审计（G3）本项要求包括：a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c) 应能够根据记录数据进行分析，并生成审计报表；d) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。部署专业的日志审计系统。1.1.1.3 边界完整性检查（S3）本项要求包括：a) 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；部署终端安全管理系统，利用IP/MAC绑定及ARP阻断功能实现非法接入控制。b) 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。部署终端安全管理系统，提供非法外联监控功能。1.1.1.4 入侵防范（G3）本项要求包括：a) 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；b) 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。部署入侵检测系统。1.1.1.5 恶意代码防范（G3）本项要求包括：a) 应在网络边界处对恶意代码进行检测和清除；b) 应维护恶意代码库的升级和检测系统的更新。部署病毒过滤网关系统。4.1.2 明御下一代防火墙明御下一代防火墙DAS-NGFW是安恒公司自主研发、拥有知识产权的新一代安全网关产品。明御下一代防火墙基于角色、深度应用的多核安全架构突破了传统防火墙只是基于IP和端口的防御机制。百兆到万兆的处理能力使明御下一代防火墙适用于多种网络环境，包括中小企业级市场、政府机关、大型企业、电信运营商和数据中心等机构。丰富的软件功能为网络提供不同层次及深度的安全控制以及接入管理，例如基于角色深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、内容安全等。1) 功能说明功能描述部署方式支持透明部署、路由部署、混合部署模式攻击防护TCP/IP攻击防护（IP碎片攻击、IP Option攻击、IP地址欺骗攻击、Land攻击、Smurf攻击、Fraggle攻击、Huge ICMP包攻击、ARP欺骗攻击、WinNuke攻击、Ping-of-Death攻击、Teardrop攻击）扫描保护（IP地址扫描攻击、端口扫描攻击）Flood保护（Syn Flood攻击、ICMP Flood攻击、UDP Flood攻击、DNS Query Flood攻击）二层攻击防护（IP-MAC静态绑定、主机防御、ARP防护、DHCP Snooping）网络行为控制URL过滤：对用户访问某类网站进行控制和审计网页关键字：对用户访问含有某关键字的网页（包括HTTPS加密网页）进行控制和审计Web外发信息：对用户在某网站（包括HTTPS加密网站）发布信息或者发布含有某关键字信息进行控制和审计邮件过滤：对用户使用SMTP协议及Webmail外发邮件（包括Gmail加密邮件）进行控制和审计网络聊天：对用户通过即时通讯工具聊天进行控制和审计应用行为控制：对FTP和HTTP应用程序行为进行控制和审计日志管理（网络行为控制日志、日志查询统计与审计分析）病毒过滤（AV）协议防病毒扫描：HTTP、FTP、SMTP、IMAP、POP3压缩文件防病毒扫描（多层压缩扫描）：RAR、ZIP、GZIP、BZIP、TAR控制方式：中断连接、文件填充、日志记录病毒特征库在线更新、本地更新高可靠性（HA）Active-Passive（A/P）模式Active-Active（A/A）模式VPNIPSec VPNSCVPN（基于SSL的远程登录解决方案）拨号VPNPnPVPNL2TP VPN访问控制基于安全域的访问控制基于时间的访问控制基于MAC的访问控制IP-MAC-端口地址绑定用户认证本地用户认证外部服务器用户认证（RADIUS、LDAP、MS AD）Web认证802.1XNAT/PAT功能多个内部地址映射到同一个公网地址多个内部地址映射到多个公网地址外部网络主机访问内部服务器内部地址映射到接口公网IP地址应用协议的NAT穿越FTPTFTPHTTPSUN RPCRTSPMicrosoft RPCH323SIPRSHSQL NETv2网络PPPoEDHCPDNSDDNSARPVSwitchVRouter路由静态路由（目的路由、源路由、源接口路由）动态路由（RIP以及OSPF）策略路由（SBR以及SIBR）ISP路由策略路由出站就近路由静态组播路由IGMP协议管理命令行接口（CLI）WebUI（HTTP，HTTPS）ConsoleTelnetSSHSNMP流量统计Ping/Traceroute系统利用率报表用户行为流日志NAT转换日志攻击实时日志地址绑定日志流量告警日志上网行为管理日志实时流量统计和分析功能安全事件统计功能2) 客户收益 在复杂环境下提供给用户网络安全管理，基于大数据挖掘技术帮助管理者快速的发现网络中的异常情况，进而尽早的确认威胁并采取干预措施，实现主动防御，具备对数据的收集集中能力以及智能分析能力 全面、多维的识别应用中安全风险，进行全天24小时的安全扫描和防护，当发现攻击威胁时及时阻断并审计记录，保障用户的应用安全无忧 识别未知应用的安全风险，面对来自世界各地、随时随地涌现的新类型、新应用，提供一种机制，去第一时间识别和控制应用，保障用户网络每一秒都不会暴露在网络威胁之下。这就要求其必须要具备应用自定义的能力4.1.3 明御入侵防御系统（IPS）1) 产品介绍安恒明御入侵防御系统（简称：DAS-IPS）是用于实现专业的入侵攻击检测和防御的安全产品。主要部署在服务器前端、互联网出口以及内网防护等用户场景中，广泛适用于政府、企业、高校等行业。安恒DAS-IPS采用专业的高速多核安全引擎，融合安恒的安全操作系统，全面实现网络入侵攻击防御功能，除了提供4000+的攻击特征检测还提供专业的Botnet检测防护、网络应用精确识别、网络安全性能优化以及安全管理的能力，为用户业务的正常运行和使用提供可信的安全保障。2) 功能介绍产品特色描述全面的L2-L7入侵防御安恒DAS- IPS内嵌4,000多种攻击特征，能够检测常见的病毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击；封堵主流的高级逃逸攻击；检测和防御主流的异常流量，含各类Flood攻击；提供用户自定义攻击特征码功能，可指定网络层到应用层的对比内容；提供虚拟补丁功能，让没有及时修补漏洞的客户，能够保障网络安全正常运行。业内领先的入侵检测技术安恒DAS-IPS提供了高效的安全检测引擎，采用传统的攻击特征匹配检测机制和高级逃逸攻击检测机制实现已知入侵攻击以及Botnet的检测防御；采用协议异常检测机制，对数据包进行完整性检查，从而阻止经黑客伪造不符合标准通信协议规范的数据包进入企业内部网络采用；采用流量异常检测与防护机制，实现对各种网络层至应用层的DoS/DDoS攻击，包括主流的Flood攻击、扫描类攻击等。专业的Botnet检测和防御安恒DAS- IPS提供业界最完整的Botnet特征数据库，含C&C(命令及控制)特征库和Real-time Black List（实时检测黑名单）库。当感染Botnet的主机与Botnet C&C服务器联机以及与恶意IP或URL通信时，认为该主机已被植入Bot并触发相应的响应行为。从而真正做到对内网的全面专业的保护，保障内网 业务的正常运行。强大的安全管理在可视化管理方面，提供实时攻击事件和网络应用服务监控功能以及丰富的报表呈现功能在高可用性方面，支持软硬件Bypass功能和HA功能。在IPv6支持方面，可支持IPv4 和IPv6 双栈运行的网络环境，可同时检测IPv4 和IPv6的网络数据包。在灵活性管理方面，能够提供虚拟IPS功能，每一个虚拟的IPS可以拥有独立的安全防御策略，可以增加IPS在大型网络架构中的使用灵活性。在网络部署方面，支持在线的IPS运行部署和旁路的IDS监控部署。在管理接口方面，支持串口、SSH、WebUI（含SSL加密）以及SNMP管理等方式。3) 客户收益 为用户提供全面的L2-L7入侵防御，能够检测常见的病毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击；封堵主流的高级逃逸攻击； 为用户提供领先的入侵检测技术，采用传统的攻击特征匹配检测机制和高级逃逸攻击检测机制实现已知入侵攻击以及Botnet的检测防御；采用协议异常检测机制，对数据包进行完整性检查，从而阻止经黑客伪造不符合标准通信协议规范的数据包进入企业内部网络采用 为用户提供专业的Botnet检测和防御，提供业界最完整的Botnet特征数据库，含C&C(命令及控制)特征库和Real-time Black List（实时检测黑名单）库 具备强大的安全管理，在可视化管理方面，提供实时攻击事件和网络应用服务监控功能以及丰富的报表呈现功能，在高可用性方面，支持软硬件Bypass功能和HA功能。4.2. 日志及数据库安全审计4.2.1 标准要求GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求类别条款号标准要求内容数据库审计产品符合项安全审计7.1.3.3审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；数据库风险控制与审计系统应在保证系统运行安全和效率的前提下，启用系统审计或采用第三方安全审计产品实现审计要求数据库风险控制与审计系统审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；数据库风险控制与审计系统审计内容至少包括：用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作（如用户登录、退出）等数据库风险控制与审计系统审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； 数据库风险控制与审计系统应保护审计进程，避免受到未预期的中断、删除、修改或覆盖，审计日志至少保留6个月；数据库风险控制与审计系统应能够根据记录数据进行分析，并生成审计报表；数据库风险控制与审计系统GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求类别条款号标准要求内容综合日志审计（SOC）产品符合项安全审计7.1.2.3应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；SOC 支持对标准要求的日志记录包括网络设备的运行状况、网络流量等；审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；SOC提供对标准要求的记录相关信息，如时间日期、时间、用户等信息；应能够根据记录数据进行分析，并生成审计报表；SOC支持对数据进行分析并生成报表；应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等；SOC支持对记录进行保护，避免未授权的删除修改等操作；安全审计7.1.3.3审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；SOC支持覆盖到所有操作系统及数据库用户；应在保证系统运行安全和效率的前提下，启用系统审计或采用第三方安全审计产品实现审计要求；SOC属于第三方审计设备，对系统运行安全和效率无影响；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；SOC所审计内容包含标准要求的各项安全相关事件，如重要用户行为、系统资源的异常使用等；审计内容至少包括：用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作（如用户登录、退出）等；SOC审计的内容包含标准要求的具体条款；审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； SOC满足标准要求的对时间的日期、时间、类型等信息的记录；应保护审计进程，避免受到未预期的中断、删除、修改或覆盖，审计日志至少保留6个月；SOC采用进程防护技术，并设置对应的安全策略，确保数据不受中断、删除、修改或覆盖，根据存储条件，可完全满足保留日志6个月；应能够根据记录数据进行分析，并生成审计报表；SOC可满足标准要求，能对数据进行分析，并生成审计报表；监控管理和安全管理中心7.2.5.5应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警，形成记录并妥善保存；SOC能实现以上信息的采集，记录并保存；应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采取必要的应对措施；SOC能实现分析评审，发现可疑行为，形成报告并报警；系统安全管理7.2.5.6应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理；SOC可通过日志管理实现了安全事件的统一集中管理；应定期对运行日志和审计数据进行分析，以便及时发现异常行为；SOC可实现定期对日志进行自动分析和处理，发现异常行为能邮件短信报警；应至少每月对运行日志和审计数据进行分析；SOC可实现每月自动化分析任务；4.2.2 明御综合日志审计平台1) 产品介绍信息安全等级保护中具有审计中心的概念，相关要求：审计中心包括两个应用程序，审计控制台和用户管理。审计控制台可以实时显示网络审计信息、流量统计信息、主机操作系统审计信息、应用系统审计信息等等，并且可以查询审计信息历史数据，并且对审计事件进行回放。用户管理程序可以对用户进行权限设定，限制不同级别的用户查看不同的审计内容，并且具有一定的自身安全审计功能。安恒明御综合日志审计系统就是一种审计中心。通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不间断运营安全；明御综合日志审计平台通过基于国际标准化的关联分析引擎，为客户提供全维度、跨设备、细粒度的关联分析，透过事件的表象真实地还原事件背后的信息，为客户提供真正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平台，将所有的日志信息收集到平台中，实现信息资产的统一管理、监控资产的运行状况，协助用户全面审计信息系统整体安全状况。通过部署明御综合日志审计系统，可以实现：资产监控：可以按照监控的设备类型，对主机系统、数据库、中间件和安全设备进行实时监控，包括 CPU、内存、磁盘等关键运行指标。并对根据各个设备的特点，设置了相应的阀值，一旦超出阀值，及时进行性能异常报警。 告警收集和日志采集：通过 SYSLOG、SNMP TRAP 、SNMP轮询、XML、FTP、HTTP、 TELNET/SSH、SOAP、JMX方式、Sockets、Files、专用代理程序等方式从主机系统、数据库、中间件和安全设备按照一定策略收集原始日志数据。 关联分析生成安全事件：采用安恒自主设计的避免事件误告与漏告的核心关联分析策略，大幅度提高安全事件的准确性。关联分析主要采用基于统计的关联和基于规则的关联。详细的安全报警展现：通过平台的安全报警分析功能，可以看到平台针对收集上来的原始日志，经过实时归并、分析后的结果。包括：报警名称、类型、等级、 IP地址、 IP对应的责任单位、聚合数量、发生时间等。平台针对所有的 IP地址，和资产管理中的责任单位自动进行关联，在安全报警分析中实现将 IP地址定位到责任单位，从而为后续的以责任单位进行宏观统计与分析提供了依据。2) 功能介绍全面日志采集：全面支持Syslog、SNMP、OPSec、XML、FTP及本地文件等协议，可以覆盖主流硬件设备、主机及应用，保障日志信息的全面收集。实现信息资产（网络设备、安全设备、主机、应用及数据库）的日志获取，并通过预置的解析规则实现日志的解析、过滤及聚合，同时可将收集的日志通过转发功能转发到其它网管平台等。大规模安全存储：内置T级别存储设备，可以选配各种RAID级别进行数据冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制，十分合适等保、密保等行业的应用要求。智能关联分析：实现全维度、跨设备、细粒度关联分析，内置众多的关联规则，支持网络安全攻防检测、合规性检测，客户可轻松实现各资产间的关联分析。脆弱性管理：能够收集和管理来自各种Web漏洞扫描、主机漏洞扫描工具、网络漏洞扫描工具的产生的扫描结果，并实时和用户资产收到的攻击危险进行风险三维关联分析。数据挖掘和数据预测：支持对历史日志数据进行数据挖掘分析，发现日志和事件间的潜在关联关系，并对挖掘结果进行可视化展示。系统自带多种数据统计预测算法，可以根据历史数据的规律对未来的数据发生情况进行有效预测。可视化展示：实现所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。通过各种事件的归一化处理，实现高性能的海量事件存储和检索优化功能，提供高速的事件检索能力、事后的合规性统计分析处理，可对数据进行二次挖掘分析。分布式部署和管理：系统支持分布式部署，可以在中心平台进行各种管理规则，各种配置策略自动分发，支持远程自动升级等，极大的降低了分布式部署的难度，提高了可管理性。灵活的可扩展性：提供多种定制接口，实现强大的二次开发能力，及与第三方平台对接和扩展的能力。其他功能：支持各种网络部署需要，包括日志聚合、日志过滤、事件过滤、日志转发、特殊日志格式支持(如单报文多事件)等。3) 客户收益 为用户IT网络设备、安全设备、主机和应用系统日志进行全面的标准化处理 及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保用户业务的不间断运营安全； 为用户提供全维度、跨设备、细粒度的关联分析、可信赖的事件追责依据和业务运行的深度安全 提供集中化的统一管理平台，将所有的日志信息收集到平台中，实现信息资产的统一管理、监控资产的运行状况，协助用户全面审计信息系统整体安全状况4.2.3 明御数据库审计与风险控制系统1) 产品介绍数据库审计与风险控制系统主要的功能模块包括“静态审计、实时监控与风险控制、实时审计、双向审计、细粒度审计规则、精准的行为检索、三层关联审计、完备的审计报表、安全事件回放、审计对象管理、多形式的预警机制、系统配置管理”几个部分。2) 功能介绍丰富的协议支持主流数据库Oracle、SQL server、DB2、Mysql、Informix、CACH、Sybase、PostgreSQL国产数据库神通（原OSCAR）、达梦、人大金仓（kingbase）数据仓库Teradata其他协议FTP、HTTP、Telnet、SMTP、POP3、DCOM等细粒度的操作审计细粒度审计通过对不同数据库的SQL语义分析，提取出SQL中相关的要素（用户、SQL操作、表、字段、视图、索引、过程、函数、包）双向审计不仅对数据库操作请求进行实时审计，而且还可对数据库执行状态、返回结果、返回内容进行完整的还原和审计，同时可以根据返回结果设置审计规则多行为审计实时监控来自各个层面的所有数据库活动，包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求以及通过远程登录服务器后的操作请求等多层业务关联审计B/S三层架构支持HTTP请求审计，提取URL、POST/GET值、cookie、操作系统类型、浏览器类型、原始客户端IP、MAC地址、提交参数等；通过智能自动多层关联，关联出每条SQL语句所对应URL，以及其原始客户端IP地址等信息，实现追踪溯源；C/S三层架构在企业、医院等行业客户中，也部分采用C/S/S三层架构，同样面临追踪溯源的难题，DAS-DBAuditor支持基于DCOM的三层架构自动关联。运维审计关联通过运维审计产品进行统一认证、授权后，也将面临追踪溯源的难题，DAS-DBAuditor支持与运维审计产品关联，实现原始操作者信息的追踪全方位风险控制灵活的策略定制根据登录用户、源IP地址、数据库对象（分为数据库用户、表、字段）、操作时间、SQL操作命令、返回的记录数或受影响的行数、关联表数量、SQL执行结果、SQL执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件自动建模DAS-DBAuditor支持自动建模，可以非常方便了解整个数据库的允许状态，帮助管理员形成有效的审计规则，快速识别越权操作、帐号复用、违规操作等行为。多形式的实时告警当检测到可疑操作或违反审计规则的操作时，系统可以通过监控中心告警、短信告警、邮件告警、Syslog告警、SNMP告警、FTP告警等方式通知数据库管理员报表DAS-DBAuditor报表系统包括预定义报表和自定义报表两大模块，可以快速生成对安全事件的报表，并以PDF等格式导出。审计管理员报表支持从审计设备运行状况、安全事件、帐号的增删、密码是否修改等角度形成报表系统管理员报表支持从权限的变更、数据库权限分配状况、DDL/DML等特权操作、SQL语句的类型和使用比率等角度形成报表合规性报告能够形成符合SOX（塞班斯）法案、等级保护、分级保护等法规符合性的综合报告静态审计除了提供实时的动态审计功能，还提供了可选的扫描审计模块对数据库的不安全配置、弱口令等进行检测和审计，并提供安全加固建议。友好真实的操作过程回放对于客户关心的操作可以回放整个相关过程，让客户可以看到真实输入及屏幕显示内容，并可以通过精细内容的检索，对特定行为进行精确回放，如执行删除表、文件命令、数据搜索等。3) 客户收益 全面满足国家等级保护测评要求，成功通过测评认证； 能够从合法、合规的方面满足证监会对信息化的监管要求； 从帐号管理、权限管理等多维度进行监控，助力IT管理制度实施； 建立数据库权限模型，为数据库安全建设提供优化经验； 定期评估数据库漏洞，防止数据库密码破解 数据库操作全审计，不放弃任何可疑统方行为 双向审计，准确判断违规统方行为 丰富的审计报表，满足纠风办审计需求 短信、邮件告警，第一时间了解违规统方行为4.3. 安全运维审计4.3.1 标准要求GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求类别条款号标准要求内容运维审计防护产品符合项身份鉴别7.1.3