局域网安全审计方案-1.docxVIP

方案基本内容：收集硬件信息及设备使用情况，对内存、CPU、硬盘等硬件属性信息变化进行监视、报警了解：什么是安全审计目的（好处）：为什么做内网安全审计企业重要的文件资料、专利设计等防窃取、防篡改、防病毒等。内网安全审计的范围终端审计邮件审计数据库审计三大类：数据库操作的行为、办公OA操作的行为和系统网络维护的操作行为。需求分析：根据不同需求制定方案（面向业务的信息安全审计——银行、保险、证券、移动等）审计过程：个人调查、漏洞扫描、操作系统和安全设备的检查、网络分析、检查事件日志中的过往数据。证据——分析——报告局域网安全审计方案目标企业内部网络一般都是涉密网络，要求保证涉密信息的绝对安全，一方面通过制定严格的制度加以防备，而更可靠的手段还必须依靠技能防备。涉及国家秘密、单位秘密的计算机系统安全防备的最佳手段就是采用“物理隔离”，即将单位内部网络与外部网络、互联网实现物理上的隔离。物理隔离可以防止来自外部的网络攻击，但对来自企业内网的网络安全威胁。仍然需要采取必须的安全防备要领和安全审计系统软件。内网安全审计是一种基于信息流的数据采集、分析、识别和资源的审计方式，通过实时审计网络数据流，根据用户设定的安全控制策略，对受控对象的活动进行审计，对内网重要数据和资源的全局控制、把握和调度能力。安全审计的目的就是保证企业信息安全，风险管理和调整兼容性方面达到完美的境地，安全审计可以反映企业在技术、实际操作、雇员或是其它关键安全领域的一些缺陷，安全审计在帮助企业更加经济有效地保护企业软硬件安全方面有很大的作用，还有助于企业更好地发挥安全技术和设备在实际应用中的表现。一、网络安全现状 随着网络规模的不断扩充，企业内网中部署了越来越多的网络设备、服务器、主机、数据库和应用系统等，在为自身业务提供高效的网络运营平台同时，日趋复杂的ＩＴ业务系统与不同背景业务用户的行为也给网络带来了潜在的威胁。 国外的一项安全调查显示，超过85%的网络安全威胁来自于内部，其危害程度更是远远 超过黑客攻击及病毒造成的损失，而这些威胁绝大部分是内部各种非法和违规的操作行为所造成的。内网应用中对各种资源(主机、数据库、服务器等)的滥用、误用、恶用行为，正在日益损害业务的正常运营。为了有效降低来自内部的安全威胁，内网需要构建操作行为合规性审计体系，以达到对操作风险有效控制的目的。 二、内网安全审计需求分析 最初，部署审计系统与产品的目的在于提供安全事件的事后取证机制，定位安全事件的责任人。这种功能单一的审计体系基本上能够满足普通的应用场合，但对于像金融、证券、运营商、大型企业等核心业务实时依赖于各种信息系统的用户而言，就作用不大。因为各种信息系统或数据系统中的违规操作行为，如果不能被及时发现与控制，就可能为企业和国家带来巨大的资产与名誉损失，甚至需要承担法律上的责任。这就对审计系统提出了实时监控的要求，而不仅满足在安全事故发生以后，对于违规操作行为责任人的查找和取证。未雨绸缪、防患于未然远比简单的亡羊补牢重要。 另外，从用户的安全审计需求趋势来看，内网合规性审计正越来越受到用户的重视与认可。合规性审计不仅意味着要符合相关的行业安全条款与标准(如金融行业的《巴塞尔新资本协定》、银监会颁发的《国有商业银行公司治理及相关监管指引》、在美国上市须遵循的《萨班斯法案》等等)，还要能够灵活适应内网安全现状与业务信息系统特点。同时，内网安全审计必须与安全策略的制订与落实紧密结合在一起才有意义，简言之，安全审计要能够针对内网中的访问与操作行为制定相应的行为策略与约束条件，关注重要的内网操作行为风险。 安全审计范围内网安全审计：1.拨号审计2.文件操作审计3.系统日志审计4.进程审计5.打印审计6.主机IP/盘符审计7.邮件审计8.主机IP地址审计监控9.数据库审计监控10.数据库远程操作审计11.数据库远程管理审计主机审计主机审计子系统设计的主要功能有：（1）系统信息综合审计功能对系统的配置信息和运行情况进行审计，包括主机机器名、网络配置、用户登录、进程情况、CPU和内存使用情况、硬盘容量等。（2）网络连接审计与保护功能网络功能审计包括：对主机网络实时信息的审计、设置网络规则和查询网络日志信息的功能。记录和审计主机的网络连接情况，审计主机开启的服务，制定网络连接规则，允许或禁止指定的网络连接，对数据包内容进行过滤，非法的连接产生报警事件。能够有效的发现网络内部新接入的访问数据的计算机，并发出报警。（3）拨号审计功能　　对Modem进行审计，任何方式的拨号都将禁止，可以设定规则在特定时间内让特定的号码允许拨出。同时，记录任何允许和禁止的拨号事件。（4）文件操作审计能够有效监控终端计算机共享文件目录的访问情况，可记录到源ip、用户、执行的操作等最基本的层次。在驱动级对客户端的文件读、写、删除、