公司网络信息安全系统运维管理建设方案.docx

公司网络信息安全系统运维管理建设方案 运维安全审计：堡垒机 在运维管理区，部署运维审计系统（堡垒机），通过逻辑上将人与目标设备分离，建立“人-主账号（堡垒机用户账号）-授权-从账号（目标设备账号）-目标设备”的管理模式；在此模式下，通过基于唯一身份标识的集中账号与访问控制策略，与各服务器、网络设备、安全设备、数据库服务器等无缝连接，实现集中精细化运维操作管控与审计。 产品功能 集中账号管理 建立基于唯一身份标识的全局实名制管理，支持统一账号管理策略，实现与各服务器、网络设备、安全设备、数据库服务器等无缝连接。 集中访问控制 通过集中访问控制和细粒度的命令级授权策略，基于最小权限原则，实现集中有序的运维操作管理，让正确的人做正确的事。 集中安全审计 基于唯一身份标识，通过对用户从登录到退出的全程操作行为进行审计，监控用户对目标设备的所有敏感操作，聚焦关键事件，实现对安全事件的实时发现与预警。 流量审计：网络安全审计-SAS 在运维管理区，部署网络安全审计系统，通过对网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确定位，为整体网络安全策略的制定提供权威可靠的支持。 产品价值 满足主机安全、应用安全中安全审计（G2）要求： 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户； 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件； 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； 应保护审计记录，避免受到未预期的删除、修改或覆盖等。 满足网络安全、主机安全、应用安全中访问控制（G2）要求： 应启用访问控制功能，依据安全策略控制用户对资源的访问； 应实现操作系统和数据库系统特权用户的权限分离； 应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令； 应及时删除多余的、过期的账户，避免共享账户的存在； 满足主机安全、应用安全中身份鉴别（G2）要求： 应对登录操作系统和数据库系统的用户进行身份标识和鉴别； 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性； 产品功能 智能化协议识别与分析 网络安全审计系统采用业界领先的智能协议识别和关联技术，智能识别采用标准及非标准端口的网络协议，例如使用80端口的P2P协议，提供全面深入的协议分析、解码回放，能够分析超过100种应用层协议，包括HTTP、TELNET、FTP、SMTP、POP3、WEBMAIL、P2P、IM等，极大地提高内容分析的准确性，帮助管理员全面掌握网络安全状态。 智能身份关联与认证用户审计 网络安全审计系统基于智能身份关联与认证用户审计功能，实现对网络事件责任人的精准定位。 网络安全审计系统从网络数据流中收集IP地址、用户帐号、账号类型等身份信息，创建用户身份信息库，信息库中记录了审计到的IP地址、用户账号、账号类型与审计时间等信息。利用该信息库中的用户身份信息，SAS自动关联所有网络访问事件，特别是数据流中并不包含用户身份信息的网络访问事件，从而实现对网络事件的用户身份关联与自动识别功能。 网络安全审计系统在进行智能身份关联的同时，进一步通过与AD域控认证系统联动，实时、动态地同步IP地址与终端认证用户的身份信息，进而识别发起网络访问的具体的终端认证用户。智能身份关联对用户身份进行模糊的识别与审计功能，但无需依赖任何用户认证系统。认证用户审计则对用户身份进行精准的识别与审计功能，但要求用户环境中部署AD域控认证系统，并与之联动。智能身份关联与认证用户审计功能互补，最终实现对网络事件完整而精准的审计，记录网络事件的用户身份、IP地址、访问时间、访问目标、具体访问内容等信息。 网络安全审计系统对用户身份信息的识别和支持功能，不仅体现在最终的审计日志上，而是全程的用户审计。事前，支持基于用户帐号信息定义审计策略；事中，智能化识别每一次网络访问的用户帐号信息；事后，记录包含用户帐号信息在内的全面的日志信息。为安全事件的准确、快速追踪和定位提供了有力支持。如下图所示： 智能URL分类与WEB信誉管理 网络安全审计系统内置超过1000万条的庞大中英文URL数据库，超过40种的精细分类，如不良言论、色情暴力、挂马网站等。基于内置URL分类库，网络安全审计系统能够精确分类用户所访问的网页类型。