局域网安全审计解决方案-06-28

需求分析
✓局域网面临的威胁
主要分为：
基于人的行为
基于服务器
局域网内部威胁 基于终端的
基于网络自身
需求分析
需要解决的问题：如何有效监控网络系统访问行为 和敏感信息传播，准确掌握网络系统的安全状态， 及时发现违反安全策略的事件并实时告警、记录， 同时进行安全事件定位分析，事后追查取证，满足 合规性审计要求，是企业迫切需要解决的问题。
➢ 网络审计：对网络中各种访问、操作的审计，对 主机网络实时信息的审计，记录和审计主机的网络 连接情况，对数据包内容进行分析，非法的连接产 生报警事件。能够有效的发现网络内部新接入的访
问数据的计算机。 ➢设备审计：对网络设备、安全设备等各种 设备的操作和行为进行审计。
➢ 服务器审计：对服务器所开启的服务、进程进行 记录和检测，发现可疑服务提供报警；对服务器上 的指定文件进行检测；对服务器所开启的账号进行 审计；对服务器的软、硬件资源进行记录，发现变 动可产生报警信息。
1 移动存储设备乱用
7 系统漏洞
6 外部设备接入网络
2 计算机硬件设备更换
5 终端系统日志
3 非法拨号上网
4 IP 地址随意更改
需求分析
✓ 对于服务器需要解决的问题
1 5 开启的账号
打印服务器
服务器进程
2
3 服务器开启服务
4 共享文件的误操作、越权行为
需求分析
✓ 对于网络设备需要解决的问题
1 交换机 2 路由器
2.CC标准
CC标准是信息技术安全性通用评估准则，用来评估信息系统或者信息产 品的安全性。CC准则的安全功能需求定义了多个安全功能需求类，其中 包括安全审计类。
安全审计概述、标准及目标
3.国标GB17859-1999
依据我国计算机信息系统安全保护等级划分准则国标 GB17859-1999第三级中关于安全审计的要求，应确定如下 的审计事件作为审计内容：身份鉴别机制的使用；将客体引 入用户地址空间；客体的删除；操作员、系统管理员或系统 安全管理员所实施的动作；其它的与安全相关的事件等。
局域网安全审计解决方 案-06-28
2020年7月10日星期五
典型的局域网拓扑图
局域网安全审计解决方案
➢背景 ➢安全审计概述、标准及目标 ➢需求分析 ➢安全审计主要功能 ➢安全审计系统工作流程 ➢安全审计具体实现及案例 ➢产生的效果 ➢总结
背景
✓局域网安全问题的特点
难发现
难防御
威胁大
内网面临三大威胁：内部资源的误用、滥用和恶用
背景
✓局域网安全的严重性
➢ GARTNER调查 70% 企业内部攻击 ➢ FBI和CSI对484家公司调查，发现：
32%
15% 16%
11%
14%
12%
内部威胁
背景
✓局域网安全审计的提出
➢ 企业管理层意识到—重要性 ➢ 部署的网络安全产品—防外不防内 ➢ 功能缺陷—不能记录日志和操作行为 ➢ 符合需求的产品—迫切需要
对设备的操作和行为 ；网wk.baidu.com设备日志信息 的提取和分析；
设备故障点的定位； 网络流量进行分析； 设备端口异常流量包 的抓取、分析等。
需求分析
✓需求的提出
➢ 企业需要审计内部人员的操作行为 ➢ 企业需要审计第三方人员的行为 ➢ 内部网络安全运维的需求 ➢ 为了日后取证的需求。
安全审计功能要求
✓安全审计的功能主要有：
➢ 打印审计：对主机的打印操作进行审计，包括打 印机名称、打印机位置、打印对象、打印份数及打 印用户和打印时间等。
案例
某单位为了应对内审和外审以及对企业内部员工的 行为审计的需要，部署了安全审计产品，本案例从 主机端到网络设备，从用户行为、安全日志到网络 内容部署了多层次全方位的信息审计，切实落实审 计的要求，保障业务的正常运行。
需求分析
✓ 基于人的行为需要解决的问题
1 内部人员违规、非法操作
违规行为：工作时间看 电影、玩游戏、看小说 、安装应用程序、盗版 软件等；
误操作：文件的篡改、 删除、越权使用；
非法操作：拷贝重要资 料、泄密、窃取等；
外来人员进入网络的违 规行为。
2 外部人员接入网络
需求分析
✓ 对于终端需要解决的问题
被保护的资源安全状态进行监视和检查
安全审计概述、标准及目标
✓安全审计标准
1.TCSEC标准
TCSEC（Trustde Computer System Evaluation Criteria），是美国国防 部计算机安全中心于1988年发布的“可信计算机系统评估准则”。C2级 要求审计以下事件：用户的身份标识和鉴别、用户地址空间中客体的引 入和删除、计算机操作员/系统管理员/安全管理员的行为、其它与安全有 关的事件。
安全审计概述、标准及目标
✓ 目标：
通过对局域网安全的审计，对异常行为进行分析，及时发现 局域网内部的安全隐患，对一些恶意行为进行取证和警示， 降低企业内部安全风险，帮助企业管理者更好的管理企业内 部的重要信息资料和提高员工的工作效率，方便网络管理员 更好的管理网络，提高网络资源的利用率，发挥网络资源应 有的经济效益，促进内网安全持续改善。
背景
✓国内外现状
➢ 国外：2001年“安然”、“世通”公司的财务造 假事件，安全管理方面的缺陷和不足——萨班斯法 案 ➢ 国内：我国政府清醒地认识到信息安全问题的重 要性——《企业内部控制基本规范》
安全审计概述、标准及目标
✓安全审计概述 1.审计一词的来源
审计：audit -会计 金融
2.计算机信息系统中安全审计
1.安全审计自动响应 2.安全审计数据产生 3.安全审计分析 4.安全审计浏览 5.安全审计事件选择 6.安全审计事件存储
安全审计系统工作流程
✓审计点（事件）的选择
审计事件可以来自网络层，操作系统层和应用层。 局域网安全审计主要的审计数据源是来自内部网络 各个主机（操作系统层和应用层）的审计数据，另 外还包括对网络层的审计。
安全审计系统工作流程
安全审计流程图
SNMP、RMON、Trap、Syslog、Telnet、WMI、HTTP、Agent、ODBC
安全审计系统工作流程
✓系统框架
局域网安全审计实现
✓审计对象和审计技术的选择
安全审计技术与审计对象一般的对应关系图
局域网安全审计实现
✓局域网安全审计内容
➢ 主机审计：对系统日志审计、主机资源审计、进 程审计、服务审计、主机端口审计、主机账号审计 、主机文件操作审计、对非法内外联行为记录、对 客户端所有外设的使用进行记录。 ➢ 用户行为审计：对企业和组织的人员进行审计。