Xx
信息安全等级保护(三级)建设方案
目录
1. 前言 .................................................................... 3
1.1 概述 ............................................................... 3 1.2 相关政策及标准 ..................................................... 3 2. 现状及需求分析 .......................................................... 5
2.1. 现状分析 .......................................................... 5 2.2. 需求分析 .......................................................... 5 3. 等保三级建设总体规划 .................................................... 6
3.1. 网络边界安全建设 .................................................. 6 3.2. 日志集中审计建设 .................................................. 6 3.3. 安全运维建设 ...................................................... 6 3.4. 等保及安全合规性自查建设 .......................................... 6 3.5. 建设方案优势总结 .................................................. 7 4. 等保三级建设相关产品介绍 ................................................ 9
4.1. 网络边界安全防护 .................................................. 9
4.1.1 标准要求 ..................................................... 9 4.1.2 明御下一代防火墙 ............................................ 10 4.1.3 明御入侵防御系统(IPS) ..................................... 13 4.2. 日志及数据库安全审计 ............................................. 15
4.2.1 标准要求 .................................................... 15 4.2.2 明御综合日志审计平台 ........................................ 17 4.2.3 明御数据库审计与风险控制系统 ................................ 19 4.3. 安全运维审计 ..................................................... 22
4.3.1 标准要求 .................................................... 22 4.3.2 明御运维审计和风险控制系统 .................................. 23 4.4. 核心WEB应用安全防护 ............................................. 26
4.3.1 标准要求 .................................................... 26 4.3.2 明御WEB应用防火墙 .......................................... 27 4.3.3 明御网站卫士 ................................................ 30 4.5. 等保及安全合规检查 ............................................... 31
4.5.1 标准要求 .................................................... 31 4.5.2 明鉴WEB应用弱点扫描器 ...................................... 32 4.5.3 明鉴数据库弱点扫描器 ........................................ 34 4.5.4 明鉴远程安全评估系统 ........................................ 37 4.5.5 明鉴信息安全等级保护检查工具箱 .............................. 38 4.6. 等保建设咨询服务 ................................................. 40
4.6.1 服务概述 .................................................... 40 4.6.2 安全服务遵循标准 ............................................ 41 4.6.3 服务内容及客户收益 .......................................... 41
5. 等保三级建设配置建议 ................................................... 42
1. 前言
1.1 概述
随着互联网金融的快速发展,金融机构对信息系统的依赖程度日益增高,信息安全的问题也越来越突出。同时,由于利益的驱使,针对金融机构的安全威胁越来越多,尤其是涉及民生与金融相关的单位,收到攻击的次数日渐频繁,相关单位必须加强自身的信息安全保障工作,建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升我国重要信息系统整体信息安全管理水平和抗风险能力。 国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,涉及到政府机关、金融等核心信息系统,构筑至少应达到三级或以上防护要求。
互联网金融行业是关系经济、社会稳定等的重要单位,等级保护制度的确立和实施,无疑对互联网金融单位加快自身信息安全建议具有前瞻性、系统性的指导意义。从国家层面上看,在重点行业、单位推行等级保护制度是关系到国家信息安全的大事,为确保重要行业和单位的等级保护信息系统顺利开展实施,同时出台了一系列政策文件来规范、指导和推动风险评估工作的进行,等级保护也积极响应各种标准和政策,以保障重点行业信息系统安全。
1.2 相关政策及标准
国家相关部门对等级保护安全要求相当重视,相继出台多个信息安全相关指导意见与法规,主要有:
《中华人民共和国计算机信息系统安全等级保护条例》(国务院147号令)
《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安〔2010〕303)
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》 《GB/T20984—2007 信息安全技术 信息安全风险评估规范》 《GB17859-1999 信息系统安全等级保护测评准则》
其中,目前等级保护等保主要安全依据,主要参照《GB17859-1999 信息系统安全等级保护测评准则》和《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》,本
方案亦主要依据这两个标准,以其他要求为辅,来建立本技术方案。
2. 现状及需求分析 2.1. 现状分析
xx核心业务系统为互联网客户提供在线业务以及线下业务支持。通过该系统平台,实现互联网金融业务信息全面融合、集中管理、内部管理的流程化、标准化和信息化,为xx管理工作提供全面的系统支持。该系统定级为安全保护等级三级,通过第三方测评、整体分析与风险分析,xx业务系统中存在与国家等级保护三级标准要求不符合项。 2.2. 需求分析
为了满足达到国家GB/T 22239-2008《信息技术信息系统安全等级保护基本要求》相应的等级保护能力要求,xx业务管理系统启动等级保护安全整改工作,以增强系统的安全防护能力,有效抵御内部和外部威胁,为切实达到国家及行业信息安全等级保护相应要求,使xx业务管理系统在现有运行环境下风险可控,能够为xx客户及内部各部门提供安全、稳定的业务服务。
本次方案结合初步检查报告,由于xx业务系统只采用防护墙进行安全防护措施,针对安全运维管理、应用层安全防护、第三方日志审计、管理制度等方面的薄弱之处,建议部署相关安全防护设备,结合安全管理制度,将满足相应的等级保护防护能力。
一、安全防护:安全防护设计网络安全、主机安全等多个测评内容,针对所发现的安全问题风险中,如网络边界未部署防恶意代码设备,可通过对重点系统的网络边界部署相应的安全防护设备来进行解决。
二、审计分析:审计分析在三级等级保护要求中,占据重要地位,涉及网络安全、主机安全、应用安全等诸多环节,xx业务系统在第三方审计相关建设上缺乏必要手段,并且对部分重要系统的安全现状难以了解,加强系统安全检测能力,和审计分析能力十分必要。
三、安全运维:安全运维管理涉及网络安全、主机安全、安全运维管理,在所发现安全问题风险中,对远程设备进行双因子认证,实现特权用户分离,对网络用户的接入访问控制,敏感资源的访问控制等,可通过加强安全运维管理和部署相应管理设备加以解决。
四、管理制度:管理制度的完善,在等级保护建设中具有非常重要的意义,通过第三方专业人员的现场指导、协助管理制度的完善、弥补安全管理制度中的不足,从管理制度整体协助满足等级保护的相关要求。
3. 等保三级建设总体规划
根据现有安全形势特点,针对三级等级保护的各项要求,需针对网络边界安全、日志集中审计、安全运维、合规性自查四个层面进行建设,选择典型安全系统构建。 3.1. 网络边界安全建设
在网络边界处需加强对网络防护、WEB应用防护措施,通过相关的网络安全设备部署核心链路中,按照信息安全等级保护标准进行建设。 3.2. 日志集中审计建设
数据库审计系统为旁路部署,需要将客户端请求数据库的的数据和数据库返回给客户端的数据双向镜像到一个交换机接口作为数据库审计设备的采集口,如需同时审计WEB应用的访问请求等同样需要把数据进行镜像。
综合日志审计系统为旁路部署,仅需要将系统分配好IP地址,对各型服务器、数据库、安全设备、网络设备配置日志发送方式,将自动收集各类设备的安全日志和运行日志,进行集中查询和管理。
数据库弱点扫描器部署在专用电脑上,定期对数据库进行安全检测。 3.3. 安全运维建设
将运维审计与风险控制系统放置与办公内网,并设定各服务器、网络设备、安全设备的允许登录IP,仅允许运维审计与风险控制系统可登录操作,运维和管理人员对各类服务器、网络设备、安全设备的操作,均需先得到运维审计与风险控制系统的许可,所有操作均会被运维审计与风险控制系统审计下来,并做到资源控制的设定。 3.4. 等保及安全合规性自查建设
为提高核心业务系统内部网络安全防护性能和抗破坏能力,检测和评估已运行网络的安全性能,需一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前可以提供安全防护解决措施,通过远程安全评估系统实现网络及系统合规性自查;
为对核心业务系统提供配置安全保证,满足监管单位及行业安全要求,平衡信息系统安全付出成本与所能够承受的安全风险,遵行信息安全等级保护中对网络、主机、应用及数据四个安全领域的安全,需提供一套针对基线配置的安全检查工具,定期检查其配置方面的与安全基准的偏差措施;
核心业务系统的信息安全等级保护建设过程中,以及在正式测评之前徐利用信息安全等级保护检查工具箱进行自测,根据结果和整改措施进行信息安全建设。将工具箱的检测报告
和整改措施建议作为整改的依据和参考的标准。由于信息安全是个动态的过程,整改完成不代表信息安全建设工作完成,可利用工具箱进行不断的自检自查。 3.5. 建设方案优势总结
通过安全运维、安全防护、审计分析、安全制度四部分的部署加固,满足事前检测(数据库弱点扫描器)、事中防护(明御WEB应用防火墙、运维审计与风险控制系统)、事后追溯(明御综合日志审计系统、明御数据库审计与风险控制系统)的安全要求,结合安全服务对管理制度的完善,提供对重要信息系统起到一体化安全防护,保证了核心应用和重要数据的安全。满足三级等级保护对相关检测项目的要求。
一、通过部署事前检测工具,依据权威数据库安全专家生成的最全面、最准确和最新的弱点知识库,提供对数据库“弱点、不安全配置、弱口令、补丁”等深层次安全检测及准确评估。通过WEB应用弱点扫描器及明鉴数据库弱点扫描器的部署,可以定期对WEB应用和数据库进行安全检测,从而发现安全问题及相关隐患后能够及时修补。
二、通过部署事中防御设备,针对黑客的恶意进行全方位的攻击防护,防止各类对网站的恶意攻击和网页木马等,确保网站安全健康运行;同时采用智能异常引擎及关联引擎准确识别复杂攻击,有效遏制应用层DDOS攻击,依靠高速环境下的线速捕获技术实现100%的数据捕获,通过事件回放为安全事件的快速查询与定位、成因分析、责任认定提供有力证据,可采取直连或者旁路部署模式,在无需更改现有网络结构及应用配置的情况下,可以对网站应用实时监控。通过网络安全网关、IPS、WEB应用防火墙的部署,实现核心业务系统、应用的攻击防护,确保所定级的核心业务系统安全健康运行。
三、通过部署事后追溯设备,一方面采用独有的三层审计的数据库审计设备实现WEB应用与数据库的自动关联审计,并提供细粒度的安全审计,实时监控来自各个层面的所有数据库活动,包括数据库操作请求、返回状态及返回结果集。 另一方面通过综合日志审计平台对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全。通过数据库审计与风险控制系统及综合日志审计系统实现网络设备、安全设备、数据存储、WEB应用、数据库、主机及其它软硬件资产的日志审计,并可以进行行为的还原和回放。
四、通过加强管理制度的建设,利用第三方安全公司长期在等级保护中的经验及专业的测评工具,帮助客户快速的对业务系统进行专业的自查并提供评估报告,以便客户后期更高效的通过等级保护测评,减少因自身经验不足而产生的测评不通过的风险,减少在时间与金钱方面的损失。客户可以依托第三方安全公司在信息安全合规性建设中的经验,完善自身规
章制度,摆脱繁琐的制度合规性审查并切实有效的提高自身管理水品。
针对客户在等级保护建设中管理制度的经验不足,提供合规性制度解决方案,协助客户一起加强信息安全管理制度建设,并顺利的通过等级保护。
4. 等保三级建设相关产品介绍 4.1. 网络边界安全防护
4.1.1 标准要求
1.1.1.1 访问控制(G3) 本项要求包括: a) 应在网络边界部署访问控制设备,启用访问控制功能; b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级; c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制; d) 应在会话处于非活跃一定时间或会话结束后终止网络连接; e) 应限制网络最大流量数及网络连接数; f) 重要网段应采取技术手段防止地址欺骗; g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户; h) 应限制具有拨号访问权限的用户数量。 1.1.1.2 安全审计(G3) 本项要求包括: a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; 在网络边界部署安全网关。 c) 应能够根据记录数据进行分析,并生成审计报表; d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。 1.1.1.3 边界完整性检查(S3) 本项要求包括: a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。 1.1.1.4 入侵防范(G3) 本项要求包括: a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等; b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。 1.1.1.5 恶意代码防范(G3) 本项要求包括: a) 应在网络边界处对恶意代码进行检测和清除; b) 应维护恶意代码库的升级和检测系统的更新。 4.1.2 明御下一代防火墙
部署专业的日志审计系统。 部署终端安全管理系统,利用IP/MAC绑定及ARP阻断功能实部署终端安全管理系统,提供非法外联监控功能。 部署入侵检测系统。 出位置,并对其进行有效阻断; 现非法接入控制。 部署病毒过滤网关系统。 明御下一代防火墙DAS-NGFW是安恒公司自主研发、拥有知识产权的新一代安全网关产品。明御下一代防火墙基于角色、深度应用的多核安全架构突破了传统防火墙只是基于IP和端口的防御机制。百兆到万兆的处理能力使明御下一代防火墙适用于多种网络环境,包括中小企业级市场、政府机关、大型企业、电信运营商和数据中心等机构。丰富的软件功能为
网络提供不同层次及深度的安全控制以及接入管理,例如基于角色深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、内容安全等。 1) 功能说明 功能 部署方式 描述 支持透明部署、路由部署、混合部署模式 TCP/IP攻击防护(IP碎片攻击、IP Option攻击、IP地址欺骗攻击、Land攻击、Smurf攻击、Fraggle攻击、Huge ICMP包攻击、ARP欺骗攻击、WinNuke攻击、Ping-of-Death攻击、Teardrop攻击) 攻击防护 扫描保护(IP地址扫描攻击、端口扫描攻击) Flood保护(Syn Flood攻击、ICMP Flood攻击、UDP Flood攻击、DNS Query Flood攻击) 二层攻击防护(IP-MAC静态绑定、主机防御、ARP防护、DHCP Snooping) URL过滤:对用户访问某类网站进行控制和审计 网页关键字:对用户访问含有某关键字的网页(包括HTTPS加密网页)进行控制和审计 Web外发信息:对用户在某网站(包括HTTPS加密网站)发布信息或者发布含有某关键字信息进行控制和审计 邮件过滤:对用户使用SMTP协议及Webmail外发邮件(包括Gmail加密邮件)进行控制和审计 网络聊天:对用户通过即时通讯工具聊天进行控制和审计 应用行为控制:对FTP和HTTP应用程序行为进行控制和审计 日志管理(网络行为控制日志、日志查询统计与审计分析) 协议防病毒扫描:HTTP、FTP、SMTP、IMAP、POP3 病毒过滤(AV) 压缩文件防病毒扫描(多层压缩扫描):RAR、ZIP、GZIP、BZIP、TAR 控制方式:中断连接、文件填充、日志记录 病毒特征库在线更新、本地更新 高可靠性(HA) Active-Passive(A/P)模式 Active-Active(A/A)模式 IPSec VPN SCVPN(基于SSL的远程登录解决方案) VPN 拨号VPN PnPVPN L2TP VPN 基于安全域的访问控制 访问控制 基于时间的访问控制 基于MAC的访问控制 IP-MAC-端口地址绑定 本地用户认证 用户认证 外部服务器用户认证(RADIUS、LDAP、MS AD) Web认证 802.1X 网络行为控制 功能 描述 多个内部地址映射到同一个公网地址 多个内部地址映射到多个公网地址 外部网络主机访问内部服务器 内部地址映射到接口公网IP地址 FTP TFTP HTTP SUN RPC NAT/PAT功能 应用协议的 NAT穿越 RTSP Microsoft RPC H323 SIP RSH SQL NETv2 PPPoE DHCP DNS 网络 DDNS ARP VSwitch VRouter 静态路由(目的路由、源路由、源接口路由) 动态路由(RIP以及OSPF) 策略路由(SBR以及SIBR) ISP路由 策略路由 出站就近路由 静态组播路由 IGMP协议 命令行接口(CLI) WebUI(HTTP,HTTPS) Console Telnet 路由 管理 SSH SNMP 流量统计 Ping/Traceroute 系统利用率 用户行为流日志 NAT转换日志 攻击实时日志 地址绑定日志 报表 功能 描述 流量告警日志 上网行为管理日志 实时流量统计和分析功能 安全事件统计功能 2) 客户收益
➢ 在复杂环境下提供给用户网络安全管理,基于大数据挖掘技术帮助管理者快速的发
现网络中的异常情况,进而尽早的确认威胁并采取干预措施,实现主动防御,具备对数据的收集集中能力以及智能分析能力
➢ 全面、多维的识别应用中安全风险,进行全天24小时的安全扫描和防护,当发现
攻击威胁时及时阻断并审计记录,保障用户的应用安全无忧
➢ 识别未知应用的安全风险,面对来自世界各地、随时随地涌现的新类型、新应用,
提供一种机制,去第一时间识别和控制应用,保障用户网络每一秒都不会暴露在网络威胁之下。这就要求其必须要具备应用自定义的能力
4.1.3 明御入侵防御系统(IPS)
1) 产品介绍
安恒明御入侵防御系统(简称:DAS-IPS)是用于实现专业的入侵攻击检测和防御的安全产品。主要部署在服务器前端、互联网出口以及内网防护等用户场景中,广泛适用于政府、企业、高校等行业。
安恒DAS-IPS采用专业的高速多核安全引擎,融合安恒的安全操作系统,全面实现网络入侵攻击防御功能,除了提供4000+的攻击特征检测还提供专业的Botnet检测防护、网络应用精确识别、网络安全性能优化以及安全管理的能力,为用户业务的正常运行和使用提供可信的安全保障。 2) 功能介绍
产品特色 描述 安恒DAS- IPS内嵌4,000多种攻击特征,能够检测常见的病毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击;封堵主流的高级逃逸攻击;检测和防御主流的异常流量,含各类Flood攻击;提供用户自定义攻击特征码功能,可指定网络层到应用层的对比内容;提供虚拟补丁功能,让没有及时修补漏洞的客户,能够保障网络安全正常运行。 安恒DAS-IPS提供了高效的安全检测引擎,采用传统的攻击特征匹配检测机制和高级逃逸攻击检测机制实现已知入侵攻击以及全面的L2-L7入侵防御 业内领先的入侵检测技术 Botnet的检测防御;采用协议异常检测机制,对数据包进行完整性检查,从而阻止经黑客伪造不符合标准通信协议规范的数据包进入企业内部网络采用;采用流量异常检测与防护机制,实现对各种网络层至应用层的DoS/DDoS攻击,包括主流的Flood攻击、扫描类攻击等。 安恒DAS- IPS提供业界最完整的Botnet特征数据库,含C&C(命令及控制)特征库和Real-time Black List(实时检测黑名单)库。当感染Botnet的主机与Botnet C&C服务器联机以及与恶意IP或URL通信时,认为该主机已被植入Bot并触发相应的响应行为。从而真正做到对内网的全面专业的保护,保障内网 业务的正常运行。 在可视化管理方面,提供实时攻击事件和网络应用服务监控功能以及丰富的报表呈现功能 在高可用性方面,支持软硬件Bypass功能和HA功能。 在IPv6支持方面,可支持IPv4 和IPv6 双栈运行的网络环境,可同时检测IPv4 和IPv6的网络数据包。 在灵活性管理方面,能够提供虚拟IPS功能,每一个虚拟的IPS可以拥有独立的安全防御策略,可以增加IPS在大型网络架构中的使用灵活性。 在网络部署方面,支持在线的IPS运行部署和旁路的IDS监控部署。 在管理接口方面,支持串口、SSH、WebUI(含SSL加密)以及SNMP管理等方式。 专业的Botnet检测和防御 强大的安全管理 3) 客户收益
➢ 为用户提供全面的L2-L7入侵防御,能够检测常见的病毒、蠕虫、后门、木马、僵
尸网络攻击以及缓冲区溢出攻击和漏洞攻击;封堵主流的高级逃逸攻击; ➢ 为用户提供领先的入侵检测技术,采用传统的攻击特征匹配检测机制和高级逃逸攻
击检测机制实现已知入侵攻击以及Botnet的检测防御;采用协议异常检测机制,对数据包进行完整性检查,从而阻止经黑客伪造不符合标准通信协议规范的数据包进入企业内部网络采用
➢ 为用户提供专业的Botnet检测和防御,提供业界最完整的Botnet特征数据库,含
C&C(命令及控制)特征库和Real-time Black List(实时检测黑名单)库 ➢ 具备强大的安全管理,在可视化管理方面,提供实时攻击事件和网络应用服务监控
功能以及丰富的报表呈现功能,在高可用性方面,支持软硬件Bypass功能和HA功能。
4.2. 日志及数据库安全审计
4.2.1 标准要求
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》 类别 安全审计 条款号 标准要求内容 数据库审计产品符合项 数据库风险控制与审计系统 7.1.3.3 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; 应在保证系统运行安全和效率的前提下,启用系统审计或采用第三方安全审计产品实现审计要求 数据库风险控制与审计系统 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件; 数据库风险控制与审计系统 审计内容至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; 数据库风险控制与审计系统 数据库风险控制与审计系统 应保护审计进程,避免受到未预期的中断、删除、数据库风险控制与审计系统 修改或覆盖,审计日志至少保留6个月; 应能够根据记录数据进行分析,并生成审计报表; 数据库风险控制与审计系统 《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》 类别 条款号 标准要求内容 综合日志审计(SOC)产品符合项 安全审计 7.1.2.3 应对网络系统中的网络设备运行状况、SOC 支持对标准要求的日志记录 网络流量、用户行为等进行日志记录; 包括网络设备的运行状况、网络流量等; 审计记录应包括:事件的日期和时间、SOC提供对标准要求的记录相关信息,用户、事件类型、事件是否成功及其他与审计相关的信息; 应能够根据记录数据进行分析,并生成审计报表; 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等; SOC支持对记录进行保护,避免未授权的删除修改等操作; SOC支持覆盖到所有操作系统及数据库用户; SOC支持对数据进行分析并生成报表; 如时间日期、时间、用户等信息; 安全审计 7.1.3.3 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; 应在保证系统运行安全和效率的前提下,启用系统审计或采用第三方安全审计产品实现审计要求; 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件; SOC属于第三方审计设备,对系统运行安全和效率无影响; SOC所审计内容包含标准要求的各项安全相关事件,如重要用户行为、系统资源的异常使用等; 审计内容至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等; 审计记录应包括事件的日期、时间、类SOC审计的内容包含标准要求的具体条款; SOC满足标准要求的对时间的日期、时型、主体标识、客体标识和结果等; 间、类型等信息的记录; 应保护审计进程,避免受到未预期的中断、删除、修改或覆盖,审计日志至少保留6个月; SOC采用进程防护技术,并设置对应的安全策略,确保数据不受中断、删除、修改或覆盖,根据存储条件,可完全满足保留日志6个月; 应能够根据记录数据进行分析,并生成审计报表; 监控管理和安全管理中心 7.2.5.5 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、 用户行为等进行监测和报警,形成记录并妥善保存; 应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施; SOC可满足标准要求,能对数据进行分析,并生成审计报表; SOC能实现以上信息的采集,记录并保存; SOC能实现分析评审,发现可疑行为,形成报告并报警; 系统安全管理 7.2.5.6 应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理; 应定期对运行日志和审计数据进行分析,以便及时发现异常行为; 应至少每月对运行日志和审计数据进行分析; SOC可通过日志管理实现了安全事件的统一集中管理; SOC可实现定期对日志进行自动分析和处理,发现异常行为能邮件短信报警; SOC可实现每月自动化分析任务; 4.2.2 明御综合日志审计平台
1) 产品介绍
信息安全等级保护中具有审计中心的概念,相关要求:审计中心包括两个应用程序,审计控制台和用户管理。审计控制台可以实时显示网络审计信息、流量统计信息、主机操作系统审计信息、应用系统审计信息等等,并且可以查询审计信息历史数据,并且对审计事件进行回放。用户管理程序可以对用户进行权限设定,限制不同级别的用户查看不同的审计内容,并且具有一定的自身安全审计功能。
安恒明御综合日志审计系统就是一种审计中心。通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全;明御综合日志审计平台通过基于国际标准化的关联分析引擎,为客户提供全维度、跨设备、细粒度的关联分析,透过事件的表象真实地还原事件背后的信息,为客户提供真正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平台,将所有的日志信息收集到平台中,实现信息资产的统一管理、监控资产的运行状况,协助用户全面审计信息系统整体安全状况。
通过部署明御综合日志审计系统,可以实现:
资产监控:可以按照监控的设备类型,对主机系统、数据库、中间件和安全设备进行实时监控,包括 CPU、内存、磁盘等关键运行指标。并对根据各个设备的特点,设置了相应的阀值,一旦超出阀值,及时进行性能异常报警。
告警收集和日志采集:通过 SYSLOG、SNMP TRAP 、SNMP轮询、XML、FTP、HTTP、 TELNET/SSH、SOAP、JMX方式、Sockets、Files、专用代理程序等方式从主机系统、数据库、中间件和安全设备按照一定策略收集原始日志数据。
关联分析生成安全事件:采用安恒自主设计的避免事件误告与漏告的核心关联分析策略,大幅度提高安全事件的准确性。关联分析主要采用基于统计的关联和基于规则的关联。
详细的安全报警展现:通过平台的安全报警分析功能,可以看到平台针对收集上来的原始日志,经过实时归并、分析后的结果。包括:报警名称、类型、等级、 IP地址、 IP对应的责任单位、聚合数量、发生时间等。平台针对所有的 IP地址,和资产管理中的责任单位自动进行关联,在安全报警分析中实现将 IP地址定位到责任单位,从而为后续的以责任单位进行宏观统计与分析提供了依据。 2) 功能介绍
全面日志采集:全面支持Syslog、SNMP、OPSec、XML、FTP及本地文件等协议,可以覆盖主流硬件设备、主机及应用,保障日志信息的全面收集。实现信息资产(网络设备、安全设备、主机、应用及数据库)的日志获取,并通过预置的解析规则实现日志的解析、过滤及聚合,同时可将收集的日志通过转发功能转发到其它网管平台等。
大规模安全存储:内置T级别存储设备,可以选配各种RAID级别进行数据冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制,十分合适等保、密保等行业的应用要求。
智能关联分析:实现全维度、跨设备、细粒度关联分析,内置众多的关联规则,支持网
络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析。
脆弱性管理:能够收集和管理来自各种Web漏洞扫描、主机漏洞扫描工具、网络漏洞扫描工具的产生的扫描结果,并实时和用户资产收到的攻击危险进行风险三维关联分析。
数据挖掘和数据预测:支持对历史日志数据进行数据挖掘分析,发现日志和事件间的潜在关联关系,并对挖掘结果进行可视化展示。系统自带多种数据统计预测算法,可以根据历史数据的规律对未来的数据发生情况进行有效预测。
可视化展示:实现所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。通过各种事件的归一化处理,实现高性能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理,可对数据进行二次挖掘分析。
分布式部署和管理:系统支持分布式部署,可以在中心平台进行各种管理规则,各种配置策略自动分发,支持远程自动升级等,极大的降低了分布式部署的难度,提高了可管理性。
灵活的可扩展性:提供多种定制接口,实现强大的二次开发能力,及与第三方平台对接和扩展的能力。
其他功能:支持各种网络部署需要,包括日志聚合、日志过滤、事件过滤、日志转发、特殊日志格式支持(如单报文多事件)等。 3) 客户收益
➢ 为用户IT网络设备、安全设备、主机和应用系统日志进行全面的标准化处理 ➢ 及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保用户业
务的不间断运营安全;
➢ 为用户提供全维度、跨设备、细粒度的关联分析、可信赖的事件追责依据和业务运
行的深度安全
➢ 提供集中化的统一管理平台,将所有的日志信息收集到平台中,实现信息资产的统
一管理、监控资产的运行状况,协助用户全面审计信息系统整体安全状况
4.2.3 明御数据库审计与风险控制系统
1) 产品介绍
数据库审计与风险控制系统主要的功能模块包括“静态审计、实时监控与风险控制、实时审计、双向审计、细粒度审计规则、精准的行为检索、三层关联审计、完备的审计报表、
安全事件回放、审计对象管理、多形式的预警机制、系统配置管理”几个部分。
2) 功能介绍
丰富的协议支持 主流数据库 Oracle、SQL server、DB2、Mysql、Informix、CACHÉ、Sybase、PostgreSQL 国产数据库 数据仓库 其他协议 细粒度的操作审计 细粒度审计 通过对不同数据库的SQL语义分析,提取出SQL中相关的要素(用户、SQL操作、表、字段、视图、索引、过程、函数、包…) 双向审计 不仅对数据库操作请求进行实时审计,而且还可对数据库执行状态、返回结果、返回内容进行完整的还原和审计,同时可以根据返回结果设置审计规则 多行为审计 实时监控来自各个层面的所有数据库活动,包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求以及通过远程登录服务器后的操作请求等 多层业务关联审计 B/S三层架构 支持HTTP请求审计,提取URL、POST/GET值、cookie、操作系统类型、浏览器类型、原始客户端IP、MAC地址、提交参数等; 神通(原OSCAR)、达梦、人大金仓(kingbase) Teradata FTP、HTTP、Telnet、SMTP、POP3、DCOM等 通过智能自动多层关联,关联出每条SQL语句所对应URL,以及其原始客户端IP地址等信息,实现追踪溯源; C/S三层架构 在企业、医院等行业客户中,也部分采用C/S/S三层架构,同样面临追踪溯源的难题,DAS-DBAuditor支持基于DCOM的三层架构自动关联。 运维审计关联 通过运维审计产品进行统一认证、授权后,也将面临追踪溯源的难题,DAS-DBAuditor支持与运维审计产品关联,实现原始操作者信息的追踪 全方位风险控制 灵活的策略定制 根据登录用户、源IP地址、数据库对象(分为数据库用户、表、字段)、操作时间、SQL操作命令、返回的记录数或受影响的行数、关联表数量、SQL执行结果、SQL执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件 自动建模 DAS-DBAuditor支持自动建模,可以非常方便了解整个数据库的允许状态,帮助管理员形成有效的审计规则,快速识别越权操作、帐号复用、违规操作等行为。 多形式的实时告警 当检测到可疑操作或违反审计规则的操作时,系统可以通过监控中心告警、短信告警、邮件告警、Syslog告警、SNMP告警、FTP告警等方式通知数据库管理员 报表
DAS-DBAuditor报表系统包括预定义报表和自定义报表两大模块,可以快速生成对安全事件的报表,并以PDF等格式导出。 审计管理员报表 支持从审计设备运行状况、安全事件、帐号的增删、密码是否修改等角度形成报表 系统管理员报表 支持从权限的变更、数据库权限分配状况、DDL/DML等特权操作、SQL语句的类型和使用比率等角度形成报表 合规性报告 能够形成符合SOX(塞班斯)法案、等级保护、分级保护等法规符合性的综合报告 静态审计
除了提供实时的动态审计功能,还提供了可选的扫描审计模块对数据库的不安全配置、弱口令等进行检测和审计,并提供安全加固建议。
友好真实的操作过程回放
对于客户关心的操作可以回放整个相关过程,让客户可以看到真实输入及屏幕显示内容,并可以通过精细内容的检索,对特定行为进行精确回放,如执行删除表、文件命令、数据搜索等。 3) 客户收益
➢ 全面满足国家等级保护测评要求,成功通过测评认证; ➢ 能够从合法、合规的方面满足证监会对信息化的监管要求; ➢ 从帐号管理、权限管理等多维度进行监控,助力IT管理制度实施; ➢ 建立数据库权限模型,为数据库安全建设提供优化经验; ➢ 定期评估数据库漏洞,防止数据库密码破解 ➢ 数据库操作全审计,不放弃任何可疑统方行为 ➢ 双向审计,准确判断违规统方行为 ➢ 丰富的审计报表,满足纠风办审计需求 ➢ 短信、邮件告警,第一时间了解违规统方行为
4.3. 安全运维审计
4.3.1 标准要求
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》 类别 条款号 标准要求内容 运维审计防护产品符合项 运维审计(堡垒机) 身份鉴别 7.1.3.1 应对登录操作系统和数据库系统的用户进行身份标识和鉴别 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换 运维审计(堡垒机) 当对服务器进行远程管理时,应采取必要措施,运维审计(堡垒机) 防止鉴别信息在网络传输过程中被窃听 应根据管理用户的角色分配权限,实现管理用户运维审计(堡垒机) 访问控制 7.1.3.2 的权限分离,仅授予管理用户所需的最小权限; 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 安全审计 7.1.3.3 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等 应保护审计记录,避免受到未预期的删除、修改或覆盖等 运维审计(堡垒机) 运维审计(堡垒机) 运维审计(堡垒机) 运维审计(堡垒机) 4.3.2 明御运维审计和风险控制系统
1) 产品介绍
安恒明御运维审计与风险控制系统(简称:堡垒主机)是安恒信息结合多年运维统一安全管理的理论和实践经验积累的基础上,结合各类法令法规(如SOX、PCI、企业内控管理、等级保护等)对运维审计的要求,自主研发完成的业内首创支持灵活部署方式,集统一账户管理与单点登录,支持多种字符协议与图形协议的实时监控与历史查询,全方位风险控制的运维统一安全管理与审计产品。
安恒明御堡垒主机是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)统一安全管理平台方案并且被加固的高性能抗网络攻击设备,具备很强安全防范能力,作为进入内部网络的一个检查点,能够拦截非法访问和恶意攻击,对不合法命令进行阻断,过滤掉所有对目标设备的非法访问行为。
安恒明御堡垒主机具备强大的输入输出审计功能,为企事业内部提供完全的审计信息,
通过账号管理、身份认证、资源授权、实时监控、操作还原、自定义策略、日志服务等操作增强审计信息的安全性,广泛适用于需要运维统一安全管理与审计的“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业”等各个行业。
部署安恒明御堡垒主机,能够极大的保护政府机关和企事业单位内部网络设备及服务器资源的安全性,使得企事业内部网络管理合理化,专业化,信息化。 2) 功能介绍
➢ 单点登录
用户一次登录系统,就可以无需认证的安全的访问被授权的多种应用系统 用户无需记忆多种系统的登录用户ID 和口令 增强认证的系统,从而提高了用户认证环节的安全性
实现与用户授权管理的无缝连接,这样可以通过对用户、角色、行为和资源的授权,增加对资源的保护和对用户行为的监控及审计
➢ 账号管理
集中管理所有服务器、网络设备账号,从而可以集中授权、认证和审计 通过对账号整个生命周期的监控和管理,降低管理大量用户账号的难度和工作量 通过统一的管理能够发现账号中存在的安全隐患,制定统一的、标准的、符合安全账号管理要求的账号安全策略
通过建立集中账号管理,企业可以实现将账号与具体的自然人相关联,实现多级的用户管理和细粒度的用户授权,还可以实现针对自然人的行为审计,以满足审计需要
➢ 身份认证
系统为用户提供统一的认证接口,不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性
提供多种认证方式可供用户选择
具有灵活的定制接口,方便与第三方认证服务器结合 ➢ 资源授权
系统提供统一的界面对用户、角色及行为和资源进行授权,达到对权限的细粒度控制,最大限度保护用户资源的安全
集中访问授权和访问控制可以对用户对服务器主机、网络设备的访问进行审计和阻断 授权的对象包括用户、用户角色、资源和用户行为
系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对
某些应用还可以限制用户的操作,以及在什么时间进行操作这样应用内部的细粒度授权
➢ 访问控制
系统提供细粒度的访问控制,最大限度保护用户资源的安全。
提供自定义控制策略配置,管理员根据用户的角色为其指定相应的控制策略来限制其系统行为,控制策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令
提供自定义访问策略配置,访问策略是保护系统安全性的重要环节,制定访问策略能更好的提高系统的安全性
➢ 操作审计
审计账号使用(登录、资源访问)情况、资源使用情况等
各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识,操作审计能更好地对账号的完整使用过程进行追踪
实时监控和管理服务器上正在发生的行为,可以实时察看用户执行的命令和执行结果 友好真实的操作过程还原,对用户关心的操作可以回放整个相关过程 支持Telnet、FTP、SSH、SFTP、SCP、RDP、VNC等多种协议的运维审计
详细记录整个会话过程中用户全部的行为日志和触发的告警日志,还可以将产生的日志传送给第三方产品,对于生成的日志支持丰富的查询和导出备份等操作。
➢ 全方面的运维审计报表
明御®运维审计与风险控制系统(DAS-USM)报表模块提供了丰富的统计信息,对资产运维操作以及系统自身运行、操作进行各类统计和多维度分析,并且提供报表导出功能。
3) 客户收益
➢ 为企业节省运营成本,并遵从安全规范
➢ 企业可以实现将账号与具体的自然人相关联,实现针对自然人的行为审计,满足审
计需求
➢ 免去登录资产的帐户认证繁琐操作,同时也保障了资产的帐户和密码的安全性,规
范管理员操作,对存在威胁操作及时预警
➢ 防止企业重要数据外泄,并且能通过丰富的审计功能,快速追踪定位产生的问题 ➢ 帮助企业满足各类法令法规(如SOX、PCI、企业内控管理、等级保护、ISO/IEC 27001
等)对运维审计的要求
4.4. 核心WEB应用安全防护
4.3.1 标准要求
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》 类别 访问控制 条款号 标准要求内容 WEB应用防护产品(WAF)符合项 WAF提供对各类引用访问的控制,并可通过严格的安全策略进行控制; 7.1.4.2 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问; 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作; 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限; 恶意代码防范 7.1.2.7 应在网络边界及核心业务网段处对恶意代码进行检测和清除; 应维护恶意代码库的升级和检测系统的更新; WAF的访问控制的覆盖范围包含了与资源访问相关的主体、客体及他们之间的操作; WAF可按授权主题配置访问控制策略,并能够严格限制默认账户的访问权限; WAF可提供网络边界及核心业务网段处对恶意代码进行监测和清除; WAF的恶意代码库的升级和监测系统可通过手动或自动进行更新; 应支持恶意代码防范的统一管理; WAF支持对恶意代码的同意管理; 4.3.2 明御WEB应用防火墙
1) 产品介绍
明御WEB应用防火墙部署于WEB服务器与负载均衡之间,对于应用完全透明,不需要改变原有网络的路由和网络包的任何字段,WEB应用防火墙防护口也不需要IP地址,从而提高对环境的适应性和安全级别。
Web应用防火墙通过深入理解HTTP/HTTPS协议,可监测往返流量,能对web流量进行安全控制。Web数据中心是经常变化的,包括新的应用程序、新的软件模块,不断更新的软件补丁等。专业的安全工具和方法应能适应这种动态环境,应用配置的升级更新和对监测数据的分析使得应用防火墙总能适应新的安全需求。
2) 功能介绍
明御WEB应用防火墙具备以下功能特性: 序号 技术功能 功能价值 系统内置了30余类的通用WEB攻击特征有效的防御来自外部的如防护30余类 1 WEB通用攻击 等,部署WAF后自动障蔽相应的WEB攻击行为。 通过HTTP协议规范性检查可以实现WEB主动防御功能,如请求头长2 协议规范性检查 度限制、请求编码类型限制等从而障蔽了大部分非法的未知攻击行为。 WAF能自动识别扫描器的扫描行为,并智能阻断如Nikto、Paros 抗WEB扫描器3 扫描 Wikto、Pangolin、Watchfire AppScan 、N-Stealth、Acunetix Web Vulnerability Scanner 等多种扫描器的扫描行为。 WAF具备双向内容检测的能力,能识别服务器页面内容的敏感信息,防止敏感信息泄露,如服务器出错信息,数据库连接文件信息,WEB4 防护敏感信息泄露 服务器配置信息,网页中的连续出现的身份证、手机、邮箱等个人信息均可被WAF识别并依据策略采取相应的措施。 明御WEB应用防火墙支持中文关键字解析技术,通过对用户提交信5 防止恶意言论提交 息进行过滤,有效的解决了用户提交政冶敏感、违反法规相关的言论信息,从而保障网站的内容健康呈现。 基于URL级别的访问频率统计,并通过访问行为建模检测出CC攻击的来源,对CC攻击者采取限时锁定措施从而有效措施来自外网的6 CC攻击防护 CC攻击行为,该功能还可有效解决因验证码技术落后而导致的口令爆破问题 明御WAF支持多种盗链识别算法能有效解决单一来源盗链、分布式7 防护盗链行为 盗链、网站数据恶意采集等信息盗取行为,从而确保网站的资源只能通过本站才能访问 明御WAF能自动记录应用程序的出错信息,并能将应用程序出错信8 应用程序错误跟踪 息进行分类汇总,为程序人员进行分析原因和修复程序提供了重要参考 WAF专注于动态应用程序的安全防护,考虑到门户网站对防篡改的9 静态网页篡改防护 要求,明御WAF内置了静态网页篡改防护与预警功能,防止篡改的proxy、WebScarab、WebInspect、Whisker、libwhisker、Burpsuite、SQL注入、文件注入、命令注入、配置注入、LDAP注入、跨站脚本页面显示到用户端并将篡改事件及时告警 采用WebCache技术对防护的网站进行加速,通过对静态文件的缓存10 WEB应用加速 技术,动态请求的TCP连接复用技术实现了网站访问速度的提升 通过WAF实现对防护站点的轻量级负载均衡,有效的缓解了因单台11 WEB负载均衡 服务器可能存在单点故障的情况,从而实现了网站不间断服务 对网站的访问情况进行统计分析呈现即时访问量趋势图、用户最关12 站点访问审计 注的网页、访问者最集中的地市区域等信息,便于分析网站的业务模块的访问情况,并为业务功能的价值提供评价参考 3) 客户收益
通过实施本方案可以为用户带来主要如下二个方面的价值: ➢ 动态深度防御:
通过专业WEB入侵异常检测技术,对网银动态访问实施全面、深度分析,有效识别、阻止各类WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等)。 ✓ 敏感信息泄露防护
✓ 通过安全防护策略,灵活定义HTTP/HTTPS错误返回的默认页面,避免因为WEB
服务异常,导致敏感信息(如:WEB应用安装目录、WEB服务器版本信息等)的泄露。
➢ 事中告警
✓ 针对各类攻击行为及异常访问行为,实时告警并通过各类方式通知给安全管理
员,便于快速处理安全事件。
➢ 事后分析
✓ 提供详细的WEB应用攻击访问日志,实现对攻击源的定位分析,同时提供各类
统计分析,方便掌握整个应用系统的动态安全状况。 ✓ 安全监测和突发事件取证
✓ 等级保护系统最为重要的是其业务连续性,WEB应用防火墙可以提供全天候的
攻击监测服务。通过对WEB应用防火墙日志的分析。在最短时间内发现各类WEB应用相关的攻击等情况,并采用工具与人工相结合的方式核查后在第一时间内反馈给用户方。
✓ 当客户发生WEB应用相关的信息安全事件时,通过WEB应用防火墙日志的分析
可以提供事件追溯、源头查找,报警与取证等一列系的应急响应工作。
4.3.3 明御网站卫士
1) 产品介绍
明御®网站卫士网页防篡改系统(简称:WebProtector)是依托专业的安全团队,凭借雄厚的研发实力,结合多年的技术积累和沉淀研发出来国内技术最先进、功能最全面、应用最广泛、实施最简单的一款专注于网站内容安全的网页防篡改系统。WebProtector广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、教育”等门户网站及以互联网为基本的电子商务门户网站。部署WebProtector产品,可以为网站提供不间断的监控与保护,有效的保障网站的完整性和真实性。
WebProtector自投放市场以来,已经为不同架构、不同运行环境的数百个网站提供了安全防护,其稳定性、可靠性得到了充分的验证。在2008北京奥运会/残奥会期间,采用WebProtector进行防攻击、防篡改保护的网站均抵御了各种WEB应用攻击并且保证了7x24小时安全稳定运行,受到了最终客户的高度评价。WebProtector已经成为目前国内政府、各企事业单位网站防篡改保护的首选安全产品。 2) 功能介绍
WebProtector包含防攻击、防篡改两大子系统的多个功能模块,为网站安全建立
全面、立体的防护体系。
防攻击:采用专利级Web入侵检测技术对网站进行多层次的安全检测分析,有效保护网站静态/动态网页及后台数据库信息
识别、阻止SQL注入攻击 、跨站攻击、表单绕过、批量挂马等 识别、阻止其他已知/未知&变形攻击 自定义HTTP头各字段溢出防护 基于时间段,源IP自动调整防护策略 防篡改:支持多种保护模式,防止静态和动态网站内容被非法篡改。 新一代内核驱动级文件保护,确保防护功能不被恶意攻击者非法终止 采用核心内嵌技术,支持大规模连续篡改攻击防护 实时检测与内容恢复,完全杜绝被篡改内容被外界浏览 支持断线/连线状态下篡改检测 ,自带同步端HA功能 支持多服务器、多站点、各种文件类型的防护 3) 客户收益
➢ 提供对用户的动态和静态网页文件进行完美的保护,按照用户配置的进程及路径访
问规则,设置网站目录、文件的读写权限,限制文件目录的增、删、改操作行为,确保网页文件不被非法篡改
➢ 对非法篡改行为,系统会自动记录报警日志,并通过手机短信、电子邮件、syslog
等多种方式通知管理员。能对网站攻击做到快速响应,及时应变。
➢ 实现实时地自身保护,不被非法的删除、修改、卸载等,保证了即使服务器被非法
入侵,也不能够对网站进行篡改,不能够对网站管理系统进行破坏。
➢ 提供对网站的智能分析,对网站进行树结构管理,操作轻松简便,并可得到多级栏
目的分析结果
4.5. 等保及安全合规检查
4.5.1 标准要求
信息安全等级保护测评工作中,有个约定的技术要求,就是三级或三级以上的信息系统,在进行技术测评时,必须要经过工具测试或者人工渗透测试,渗透测试工具分如下几大类:网络设备安全漏洞扫描、主机系统安全漏洞扫描、应用系统漏洞扫描、数据库系统安全漏洞扫描措施等。
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》 类别 网络安全管理 系统安全管理 条款号 标准要求内容 WEB应用漏洞扫描(WEBscan)符合项 通过WEBscan可对网络系统进行漏洞扫描,并对发现的网络系统安全漏洞进行及时修补; WEBscan可进行定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补; 7.2.5.6 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补; 7.1.2.7 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补; 类别 条款号 内容 《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》 网络安全管理 7.2.5.6 d) 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补; 系统安全管理 7.2.5.7 b) 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补; 4.5.2 明鉴WEB应用弱点扫描器
1) 产品介绍
明鉴®WEB应用弱点扫描器(简称:MatriXay 6.0)是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成,该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月发布,并在08奥运会WEB安全保障中发挥了重要的作用。2009年3.6版本成功入选工信部安全中心WEB应用安全检查工具。2010年5.0版本为上海世博会、广州亚运会2011年深圳大运会提供应用安全评估及服务,在中国移动集团采购测试中获得第一名。2013年最新发布的6.0版本在公安部领导下的全国政府网站大检查中更是发挥重要作用。与市场上同类产品的不同之处在于:不仅具有精确的“取证式”扫描功能,还提供了强大的安全审计、渗透测试功能,误报率和漏报率等各项关键指标均达到国际领先水平,因此,被评价为“最佳的WEB安全评估工具”。
MatriXay 6.0旨在降低WEB应用的风险,使国家利益、社会利益、企业利益乃至个人利益的受损风险降低,广泛适用于“等级保护测评机构、公安、运营商、金融、电力能源、政府、教育”等各领域内的互联网应用、门户网站及内部核心业务系统(如网银、网上营业厅、OSS系统、ERP系统、OA系统等)。
作为公安部等级保护测评中心专用应用安全测评工具,工信部安全中心WEB应用安全检查工具,MatriXay 6.0全面支持OWASP TOP 10检测,可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、文件包含、钓鱼攻击、信息泄漏、恶意编码、表单绕过等),协助用户满足等级保护、PCI、内控审计等规范要求。 2) 功能介绍
➢ 深度扫描:以WEB漏洞风险为导向, 通过对WEB应用(包括WEB2.0、JavaScript、
FLASH等)进行深度遍历,以安全风险管理为基础,支持各类WEB应用程序的扫描。 ➢ WEB漏洞检测:提供有丰富的策略包,针对各种WEB应用系统以及各种典型的应用
漏洞进行检测(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据、第三方软件等)。
➢ 网页木马检测:对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并
对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。 ➢ 配置审计:通过当前弱点获取数据库的相关敏感信息,对后台数据库进行配置审计,
如弱口令、弱配置等。
➢ 渗透测试:通过当前弱点,模拟黑客使用的漏洞发现技术和攻击手段,对目标WEB
应用的安全性做出深入分析,并实施无害攻击,取得系统安全威胁的直接证据。
图1 产品界面
3) 客户收益
➢ 提供对Web应用进行智能、全面、快速的深度漏洞扫描
➢ 帮助用户识别Web应用程序自身程序设计、安全配置等方面的安全弱点 ➢ 提供对Web应用“网页木马自动检测”的检测机制 ➢ 为用户Web应用“取证”工作提供准确可信的结果
➢ 为用户Web应用漏洞扫描提供灵活、丰富可自定义等多种模式
➢ 提供给用户直观、丰富的安全评估结果展现
➢ 针对所识别的Web安全弱点,给出可行的安全加固建议
➢ 为用户提供权威的测评自查工具,该工具也成为公安部、测评中心的等级保护专用
应用安全测评工具之一
4.5.3 明鉴数据库弱点扫描器
1) 产品介绍
明鉴®数据库弱点扫描器(简称:DAS-DBScan)是安恒在深入分析研究数据库典型安全漏洞以及流行的攻击技术基础上,研发的一款数据库安全评估工具。该产品融合了权威数据库安全专家数年的安全经验与技术积累,是全球首创、拥有自主知识产权、专门用于扫描数据库弱点的产品,能够扫描几百种不当的数据库配置或者潜在漏洞,具有强大的发现弱口令的功能。
数据库出现安全风险并被恶意利用所造成的后果是众所周知的。使用DAS-DBScan可帮助用户充分了解数据库存在的安全隐患,通过定期数据库系统安全自我检测与评估,提升用户各类数据库的抗风险能力。同时可以协助用户完成数据库建设成效评估,协助数据库安全事故的分析调查与追踪。 2) 功能介绍
DAS-DBScan包含前端程序和扫描引擎两部分。引擎的主要功能是访问要扫描的数据库,执行前端提交的扫描请求,并将扫描结果返回前端。前端功能是与用户交互,主要功能模块包含:项目管理、扫描管理、报表管理、用户权限管理、策略管理、日志管理。引擎和前端程序可以分开运行,它们之间采用自定义的网络协议通信。
产品的功能模块划分如下图:
前端程序项目管理新建项目编辑项目打开项目导出项目开始扫描暂停扫描扫描管理停止扫描扫描结果显示报表模版报表预览报表管理内容选项报表导出用户权限管理新建用户新建角色编辑用户编辑角色策略管理新建策略集编辑策略集日志生成日志管理日志审计策略集扫描项分配角色权限分配协议解析模块网络操作模块扫描引擎数据库连接引擎ORACLE数据库连接MSSQL数据库连接MySQL数据库连接扫描结果数据管理DB2数据库连接扫描任务处理模块Informix数据库连接扫描策略数据管理...扫描结果保存模块核心逻辑模块网络操作模块协议解析模块网络连接系统数据管理模块系统信息管理公共库图1 产品架构
➢ 前端程序:前端程序负责和用户交互,用户可以通过前端程序生成扫描任务,查看
返回的扫描结果,以及把扫描结果生成报表导出。 前端的主要功能模块如下:
➢ 项目管理:主要实现扫描的新建、修改/编辑、打开、导出等操作,主要针对扫描
对象的管理,包括数据库类型、IP、端口、服务名等,可以在输入用户名和密码后测试连接,如果连接成功,说明数据库的连接信息是正确的,可以马上开始扫描。 扫描管理:可以对数据库进行扫描的开始、暂停、停止等操作,向扫描引擎发送指令,扫描用户选中的数据库。同时可以把扫描引擎返回的扫描结果展示给用户。
➢ 报表管理:提供报表模板、报表内容选择、报表的预览、打印及输出功能。DAS-DBScan
可以根据不同用户需求提供不同的报表模版,报表的显示内容可以灵活选择,如报表封面、项目统计信息等,并进行报表打印和导出,导出文件类型支持PDF、DOC、XLS、XML等。
➢ 用户权限管理:提供系统的用户权限分配,包括角色、用户等新增、修改及删除操
作。
➢ 策略管理:提供策略集的新增及修改,用户能选择不同的策略集做不同程度的扫描。 ➢ 日志管理:DAS-DBScan对用户的每一步操作都会生成日志,并保存到系统中。同
时,DAS-DBScan提供了日志审计功能,审计员可以查看每个用户的以往操作,比如系统管理员什么时候创建了某个名称的用户,某个用户什么时间扫描了某个数据库等。
➢ 扫描引擎:扫描引擎负责处理前端程序发来的扫描请求,并把扫描结果返回给前端
程序。
扫描引擎的主要功能模块如下:
➢ 核心逻辑模块:提供网络操作和协议解析功能,并对扫描任务进行处理,处理前端
发来的扫描请求,获取连接信息,调用不同的数据库连接引擎连接到待扫描数据库,根据扫描请求中使用的策略集扫描数据库。
➢ 数据库连接引擎:DAS-DBScan提供了一个高效、轻量级的数据库访问引擎,使得
数据库的访问效率大大提升,支持ORACLE、MSSQL、MySQL、DB2、INFORMIX、Sybase等数据库的连接。
➢ 数据管理模块:提供系统信息数据管理、扫描结果及策略的管理。包括用户信息、
配置信息、项目信息、策略等数据的管理
3) 客户收益
➢ 帮助用户深度识别数据库存在的风险安全弱点,如可识别几百种不当的数据库配置
或者潜在漏洞、具备强大发现弱口令及数据库潜藏木马能力
➢ 帮助用户及时对核心数据的保护,实时检测出黑客入侵数据库后对数据库系统对象
的篡改,及时探测出黑客创建的一些隐藏对象,比如隐藏DBA权限用户、木马程序,使用户的数据库更加安全
➢ 可提供给用户灵活的扫描模式,授权、非授权、全球首创的数据库内核入侵篡改检
测功能
➢ 为用户数据库安全满足行业合规性起到核心推动作用,如遵行和达标《信息安全技
术-数据库管理系统安全技术要求》、《涉及国家秘密的信息系统分级保护管理办法》 ➢ 为用户提供权威的测评自查工具,该工具也成为公安部、测评中心的等级保护专用
应用安全测评工具之一
4.5.4 明鉴远程安全评估系统
1) 产品介绍
明鉴远程安全评估系统严格按照计算机信息系统安全的国家标准、相关行业标准设计、编写、制造。明鉴远程安全评估系统可以对不同操作系统下的计算机(在可扫描IP范围内)进行漏洞检测。主要用于分析和指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议。明鉴远程安全评估系统最终目标是成为加强中国网络信息系统安全功能,提高内部网络安全防护性能和抗破坏能力,检测评估已运行网络的安全性能,为网络系统管理员提供实时安全建议等的主流工具。网络安全评估系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前可以提供安全防护解决方案。并可根据用户需求对该系统功能进行升级。 2) 功能介绍 特点 领先的漏洞扫描产品线 简要说明 为了满足不同的用户的应用需求,提供手持式、机架式、软件版、增强型四款系列化产品。 先进的扫描引擎,集合了智能服务识别、多重服务检测、脚本依赖、领先的扫描技术 脚本智能调度、信息动态抛出、安全扫描、优化扫描、拒绝服务脚本顺序扫描、断点恢复等先进技术,确保了扫描的高准确性、高速度。 漏洞按服务分为22大类别,按风险分为紧急、高、中、低、信息五强大的检测漏洞个级别,现漏洞库数量已经超过20000,中文漏洞库数量已经超过库 4000。每周至少升级漏洞库一次,每月数量大于20条。 支持CVE、CNVD基于国内CNVD、国际CVE标准建立的安全漏洞库,及时升级与国际标国内、国际标准 准同步。 强大的报表分析 可以预定义、自定义和多角度多层次的分析结果文件,提供html、 word、pdf、txt等多种格式;提供行政主管、技术人员和安全专家及自定义报表样式;提供详尽的漏洞描述与漏洞修补建议。 支持分布式扫描 具备分布式扫描部署能力,完全适应大型和超大型网络。 可扫描的IP地址范围被严格锁定和限制;基于安全优化的LINUX系自身高度安全 统; 系统的分级分层授权;基于SSL 的远程管理和扫描。 完善的三级服务体系 3) 客户收益
➢ 为用户提供各类资产分类管理功能、让基础运维人员、安全管理人员对资产信息一
目了然
➢ 为用户提供有效的资产评估能力,具有对资产等级赋值,更容易测算风险值,协助
用户落实安全配置责任化
➢ 提供给用户自动对资产自动探测、发现未知资产,使对资产管理工作更加完善,让
安全管理员更多精力放在评估业务上,而不是基线评估系统的使用方法上 ➢ 自动化评估资产弱点,用户在行业或者单位有自己的标准,可以自己定义配置核查
策略模板,自定义评估模板,任务启动后基线评估引擎自动完全扫描任务,无需过多干预
➢ 为用户提供丰富的资产类型,快速制定满足自己公司或行业的基线配置要求 ➢ 为用户提供专业的统计报表,所提供的报表统计分析角度全面、数据准确,方便进
行工作汇报
➢ 帮助用户追查对资产的恶意操作,详细记录系统使用人员行为,促进公司或企业合
规和安全
包括:产品本身(提供详细的解决方案)、产品网站(为用户提供周到会员制服务)、安全专业小组(免费400电话咨询服务)。 4.5.5 明鉴信息安全等级保护检查工具箱
1) 产品介绍
明鉴®信息安全等级保护检查工具箱(以下简称:明鉴®等保工具箱)是杭州安恒信息技术有限公司在深入分析研究常见安全漏洞以及流行的攻击技术基础上,通过安恒安全团队攻防研究和风险评估项目经验并结合信息安全等级保护相关标准总结归纳大量的安全漏洞信息和攻击方式后,研制开发的一款针对主机安全、网络安全、应用安全、数据库安全等系统
及配置检查,以及支持对管理安全层面检查,检查内容支持自定义筛选导出填写后导入。明鉴®信息安全等级保护监察管理系统(以下简称:明鉴®监察管理系统)同时实现对信息系统“定级、备案、测评、整改、安全自查和监督检查”全过程的监督管理,可成为专业的等级保护自查工具。 2) 功能介绍
信息安全等级保护工具箱在功能逻辑上分为三个层面。明鉴®等保工具箱内的含有检查工具、综合平台、安全防护箱等形成工具层,为等级保护检查工作提供必要的设备支持。明鉴®等保工具箱内的便携式电脑安装了等级保护工具箱汇总分析平台,这是整体解决方案的分析层,将明鉴®等保工具箱内的工具检查结果输入到该平台,可以实现自动匹配知识库,结合后续部分人工验证、判断的结果,快速形成检查结论和报告。
图1产品功能结构图
3) 客户收益
➢ 从经济效益分析,用户使用后,能很好的填补等保信息化监管的空白,丰富了用户
管理手段,强化了通过自动化工具开展安全检查,提升监管单位权威性
➢ 同时系统从底层数据曾和角度出发,数据经过预处理,去重,清洗,归并等过程,
大幅度降低了硬件成本的投入,真正意义上实现了最优投入最大产出的宗旨,产生了不可估量的经济效益
➢ 从社会效益分析,用户使用后,可以颠覆传统检查模式,借助自动化的管理平台和
等级保护检查工具箱可以提高检查效率、减少人员投入
➢ 可以动态掌握本省得重要信息系统安全保护状况和等级保护相关工作进展,加快推
进开展等级保护工作。促进等级保护发展,进一步提高信息安全等级保护监察管理水平
➢ 等保工具箱它实现了将等级保护工作流程,等级保护基本要求与网络、主机、应用、
数据库的配置及漏洞自动化关联匹配分析,得出最佳结论,同时,利用知识库指导检查人员逐步完成等级保护检查工作,使得等级保护工作进一步落地
➢ 等保工具箱强大的管理系统使得等级保护自检自查工作规范化、系统化、专业化,
完全满足等级保护监管单位的要求,简化了等级保护检查复杂的流程,节省了人力成本,避免了不可预计的等级保护合规风险,同时,帮助信息系统运营使用单位对自身信息系统建设、整改提供了客观、可信、可靠的数据保障
4.6. 等保建设咨询服务
4.6.1 服务概述
安全服务作为一种持续性的安全保障措施,通过与安全产品相结合的方式,满足目前企业在信息系统安全运营方面的需求,得到广泛的应用。“安恒信息”以其多年互联网应用安全攻防、WEB应用和数据库安全防御和审计的深厚技术背景与丰富安全实践经验,以全球领先具有完全自主知识产权的专利技术,致力于为客户提供全面、完善的安全服务体系,具体内容包括:安全评估、安全加固、安全管理、合规认证、应急处理、安全外包、安全培训、安全通告八大方面。
4.6.2 安全服务遵循标准
➢ 计算机信息系统安全保护等级划分准则(GB17859) ➢ 系统安全工程成熟度模型(SSE-CMM) ➢ 信息保障技术框架(IATF 3.0)
➢ 信息技术安全管理(BS7799/ISO17799/ISO27001) ➢ 网络安全管理指南(ISO13335)
➢ 信息技术安全性通用评估准则(ISO15408/GB18336)
➢ 行业标准和相关规范(例如:人民银行XX规范、中国移动XX标准等) ➢ 安全服务三大优势:持续性、实时性、低廉性
4.6.3 服务内容及客户收益
服务内容 服务简述 提供一次完备的应用系统安全自查及深度评估,以全面了解客户网络系统的安全状态,切实发现网络信息系统中存客户收益 通过安恒公司长期在等级保护中的经验及专业的测评工具,帮助客户快速的对业务系统进行专业的自查并提供评估报告,以便客户后期更高效的通过等级保护测评,减少因自身经验不足而产生的测评不通过的风险,减少在时间与金钱方面的损失。 客户可以依托安恒信息在信息安全合规等级保护自在的各类问题和隐患,扫清测评过程中查、评估 可能出现的各种问题,以及为等级保护工作开展过程中涉及的定级、备案及安全制度建立的参考。 针对客户在对等级保护条例方面理解的欠缺与不足而导致评测过程中出现等级保护制度的很多问题,由安恒信息通过咨询的方检查咨询 式对客户现有等保制度进行预检并给提高自身管理水品。 出合理建议与方案。 针对客户在等级保护建设中管理制度等级保护管理的经验不足,提供整套合规性制度解决客户无需再将宝贵的时间浪费在信息安全合规性制度建设中,又可以更高效更科学的完善自身信息安全制度和通过等级保护。 脱繁琐的制度合规性审查并切实有效的性建设中的经验,完善自身规章制度,摆制度建设咨询 方案,协助客户一起加强信息安全管理制度建设,并顺利的通过等级保护。 全程协助客户快速通过等级保护工作,让客户以最少的人力物力、最快的等保通等保合规性协助 依托安恒信息大量客户在上海的各个过时间,将客户的等级保护工作落到实测评中心成功通过测评的丰富经验,为处。 客户的等保工作保驾护航。
5. 等保三级建设配置建议 编号 1 2 3 4 5 6 7 8 9 等保及安全合规检10 查 明鉴远程安全评估系统 1台 等保技术安全设计模块 网络安全边界安全防护 涉及产品名称 明御下一代防火墙 明御入侵防御系统 明御综合日志审计系统 明御数据库审计与风险控制系统 明御运维审计与风险控制系统 明御WEB应用防火墙 明御网站卫士 明鉴WEB应用弱点扫描器 明鉴数据库弱点扫描器 数量(建议) ≥1台 ≥1台 ≥1台 ≥1台 ≥1台 ≥1台 ≥1套 1套 1套 备注 硬件设备,保证设备冗余(HA) 硬件设备,保证设备冗余(HA) 硬件设备,以实际资产及日志量选择 硬件设备,以实际数据库实例量选择 硬件设备,保证设备冗余(HA) 硬件设备,保证设备冗余(HA) 软件,以实际网站服务器数量选择 软件,对所核心WEB应用安全漏洞检查 软件,对所核心数据库安全漏洞检查 硬件,对所核心主机、网络设备、服务器安全漏洞检查 11 明鉴信息安全等级保护检查工具箱 硬件,一套针对等保1台 技术、管理进行合规想检查、自查 人工服务,以实际情12 等保建设咨询服务 信息安全等级保护建设咨询服务 1套 况估算人天工作量计算,主要内容是辅助用户进行等保定日志及数据库安全安全 安全运维审计 核心WEB应用安全防护 级、备案、等保差距评估、等保建设(技术+管理整改加固)、等保自查、辅助通过等保测评等
因篇幅问题不能全部显示,请点此查看更多更全内容