NSF-PROD-SAS-V5.6-WH-产品白皮书.doc

绿盟安全审计系统
产品白皮书
© 2017 绿盟科技
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录
一. 前言 1
二. 为什么需要安全审计系统 1
安全审计的必要性 2
安全审计系统特点 3
三. 如何评价安全审计系统 3
四. 绿盟科技安全审计系统 4
产品功能 4
体系架构 5
产品特点 7
网络事件“零遗漏”审计 7
高智能深度协议分析 7
全面精细的敏感信息审计 7
多维度网络行为审计 7
全程数据库操作审计 8
业界首创“网站内容安全”主动审计 9
强劲的病毒检测能力 9
基于协议的流量分析 10
基于对象的虚拟审计系统 10
强大丰富的管理能力 10
审计信息“零管理” 12
方便灵活的可扩展性 13
高可靠的自身安全性 13
解决方案 13
小型网络之精细审计方案 13
中型网络之集中审计方案 14
大型网络之分级审计方案 15
五. 结论 16
插图索引
图 信息安全体系结构模型 2
图 绿盟安全审计系统功能 4
图 绿盟SAS典型部署 5
图 绿盟安全审计体系结构 6
图 绿盟SAS数据库审计 8
图 主动审计 9
图 虚拟审计系统 10
图 单级管理 11
图 主辅管理 11
图 多级管理 12
图 小型网络之精细审计方案 14
图 中型网络之集中审计方案 15
图 大型网络之分级审计方案 16
前言
随着信息技术的日新月异和网络信息系统应用的发展,网络技术的应用层次正在从传统的、小型业务系统逐渐向大型、关键业务系统扩展,政府、企业用户的网络应用也逐渐增多。
信息安全是一个动态的过程,在为自身业务提供高效的网络运营平台同时,日趋复杂的IT业务系统与不同背景业务用户的行为也给网络带来潜在的威胁,如内部业务数据、重要敏感文件通过电子邮件、数据库访问、远程终端访问(、FTP等)等方式被篡改、泄露和窃取;访问非法网站、发布非法言论等违规上网行为泛滥;严重破坏政府、企业的信息系统安全。
如何对业务系统访问和网络行为进行有效的监控,已经成为政府、企业重点关注的问题。
为什么需要安全审计系统
随着业务系统访问、网络应用行为日益频繁,我们可能经常遇到如下情况:
内部系统维护人员对业务应用系统的越权访问、违规操作,损害业务系统的运行安全;
企业重要业务数据库,被员工或系统维护人员篡改牟利、外泄,给企业造成巨大的经济损失;
员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式,发送重要敏感信息、业务数据,导致信息外泄事件发生;
员工在论坛发表敏感信息、传播非法言论,造成恶劣社会影响;
等级保护要求。公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计;
萨班斯(SOX)法案。在美国上市公司必须遵循的“萨班斯(SOX)法案”中要求对企业内部网络信息系统进行评估,其中涉及对业务系统操作、数据库访问等业务行为的审计。
根据调查数据显示,大多数企业虽然已经采用一定的网络安全手段(如防火墙、入侵检测、***等)和管理措施,但是上述安全事件发生后,却仍然无法进行及时告警响应、准确定位事件源头,给企业带来极大的困扰和严重的信息安全隐患。
如何有效监控业务系统访问行为和敏感信息传播,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求,是企业迫切需要解决的问题。
安全审计的必要性
随着日益增长的互联网安全风险,安全问题的复杂性日益加大,的调查结果显示大约76%的网络安全威胁来自于内部,其危害程度更是远远超过黑客攻击及病毒造成的损失,而这些威胁绝大部分与内部各种网络访问行为有关。
防火墙、入侵检测等传统网络安全手段,可实现对网络异常行为的管理和监测,如网络连接和访问的合法性进行控制、监测网络攻击事件等,但是不能监控网络内容和已经授权的正常内部网络访问行为,因此对正常网络访问行为导致的信息泄密事件、网络资源滥用行为