局域网安全审计解决方案0628.pptxVIP

局域网安全审计解决方案姓名：厚贵涵

时间：2010-06-20

典型的局域网拓扑图

局域网安全审计解决方案背景安全审计概述、标准及目标需求分析安全审计主要功能安全审计系统工作流程安全审计具体实现及案例产生的效果总结

背景局域网安全问题的特点内网面临三大威胁：内部资源的误用、滥用和恶用难发现难防御威胁大

背景局域网安全的严重性GARTNER调查70%企业内部攻击FBI和CSI对484家公司调查，发现：

32%15%16%14%12%11%内部威胁

背景局域网安全审计的提出企业管理层意识到—重要性部署的网络安全产品—防外不防内功能缺陷—不能记录日志和操作行为符合需求的产品—迫切需要

背景国内外现状国外：2001年“安然”、“世通”公司的财务造假事件，安全管理方面的缺陷和不足——萨班斯法案国内：我国政府清醒地认识到信息安全问题的重要性——《企业内部控制基本规范》

安全审计概述、标准及目标安全审计概述1.审计一词的来源审计：audit-会计金融2.计算机信息系统中安全审计被保护的资源安全状态进行监视和检查

安全审计概述、标准及目标安全审计标准1.TCSEC标准TCSEC（TrustdeComputerSystemEvaluationCriteria），是美国国防部计算机安全中心于1988年发布的“可信计算机系统评估准则”。C2级要求审计以下事件：用户的身份标识和鉴别、用户地址空间中客体的引入和删除、计算机操作员/系统管理员/安全管理员的行为、其它与安全有关的事件。2.CC标准CC标准是信息技术安全性通用评估准则，用来评估信息系统或者信息产品的安全性。CC准则的安全功能需求定义了多个安全功能需求类，其中包括安全审计类。

安全审计概述、标准及目标3.国标GB17859-1999依据我国计算机信息系统安全保护等级划分准则国标GB17859-1999第三级中关于安全审计的要求，应确定如下的审计事件作为审计内容：身份鉴别机制的使用；将客体引入用户地址空间；客体的删除；操作员、系统管理员或系统安全管理员所实施的动作；其它的与安全相关的事件等。

安全审计概述、标准及目标目标：通过对局域网安全的审计，对异常行为进行分析，及时发现局域网内部的安全隐患，对一些恶意行为进行取证和警示，降低企业内部安全风险，帮助企业管理者更好的管理企业内部的重要信息资料和提高员工的工作效率，方便网络管理员更好的管理网络，提高网络资源的利用率，发挥网络资源应有的经济效益，促进内网安全持续改善。

需求分析局域网面临的威胁主要分为：基于人的行为基于终端的基于服务器基于网络自身局域网内部威胁

需求分析需要解决的问题：如何有效监控网络系统访问行为和敏感信息传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，是企业迫切需要解决的问题。

需求分析基于人的行为需要解决的问题企业内部网络审计人的行为12违规行为：工作时间看电影、玩游戏、看小说、安装应用程序、盗版软件等；误操作：文件的篡改、删除、越权使用；非法操作：拷贝重要资料、泄密、窃取等；外来人员进入网络的违规行为。内部人员违规、非法操作外部人员接入网络

需求分析对于终端需要解决的问题需求分析企业内部网络审计终端外部设备接入网络12345IP地址随意更改非法拨号上网计算机硬件设备更换移动存储设备乱用6终端系统日志7系统漏洞

需求分析对于服务器需要解决的问题需求分析企业内部网络审计服务器1打印服务器2服务器进程3服务器开启服务4共享文件的误操作、越权行为5开启的账号

需求分析对于网络设备需要解决的问题需求分析需求分析企业内部网络审计网络设备12对设备的操作和行为；网络设备日志信息的提取和分析；设备故障点的定位；网络流量进行分析；设备端口异常流量包的抓取、分析等。交换机路由器

需求分析需求的提出企业需要审计内部人员的操作行为企业需要审计第三方人员的行为内部网络安全运维的需求为了日后取证的需求。

安全审计功能要求安全审计的功能主要有：1.安全审计自动响应2.安全审计数据产生3.安全审计分析4.安全审计浏览5.安全审计事件选择6.安全审计事件存储

安全审计系统工作流程审计点（事件）的选择审计事件可以来自网络层，操作系统层和应用层。局域网安全审计主要的审计数据源是来自内部网络各个主机（操作系统层和应用层）的审计数据，另外还包括对网络层的审计。

安全审计系统工作流程SNMP、RMON、Trap、Syslog、Telnet、WMI、HTTP、Agent、ODBC安全审计流程图

安全审计系统工作