【51CTO.com 綜合消息】隨著信息技術(shù)的快速發(fā)展， IT信息化的不斷深入，國內(nèi)各行各業(yè)的業(yè)務(wù)越來越依賴于IT系統(tǒng)。如何了解信息系統(tǒng)真實狀況，在系統(tǒng)出現(xiàn)故障和安全事故時，幫助調(diào)查者深入挖掘事件背后的信息，重建事件過程，直至完整的分析定位事件的根源等問題始終是一個緊迫的需求。為此，國內(nèi)外監(jiān)管部門發(fā)布了一系列的審計要求文件，如美國的薩班斯法案404條款要求公眾公司必須確保與財務(wù)相關(guān)的IT系統(tǒng)的安全性和可審計性。2006年國務(wù)院國有資產(chǎn)監(jiān)督管理委員會向各中央企業(yè)發(fā)布了《中央企業(yè)全面風(fēng)險管理指引》，要求中央企業(yè)加強內(nèi)控，并在指引中對內(nèi)控審計和IT技術(shù)建設(shè)風(fēng)險管理信息系統(tǒng)均提出了明確的要求。在公安部、保密局等主管部門發(fā)布的信息安全等級保護的系列文件中更是對不同等級的網(wǎng)絡(luò)提出了明確的審計要求。

聯(lián)想網(wǎng)御針對安全審計的功能要求，結(jié)合自身對信息安全的深刻理解和多年的信息安全實踐經(jīng)驗，在全面體現(xiàn)GB17859-1999的等級化標(biāo)準(zhǔn)思想的基礎(chǔ)上，充分吸收信息系統(tǒng)安全保障理論模型和技術(shù)框架（如IATF等）、信息安全管理標(biāo)準(zhǔn)（如ISO/IEC 17799：2000和ISO/IEC TR 13335系列標(biāo)準(zhǔn)），推出全網(wǎng)安全審計解決方案。通過對網(wǎng)絡(luò)內(nèi)部各個實體審計信息的集中管理、對網(wǎng)絡(luò)應(yīng)用協(xié)議的還原分析，利用統(tǒng)一安全事件管理平臺進行融合和關(guān)聯(lián)分析，實現(xiàn)對整體信息安全事件的完整審計，同時對系統(tǒng)存在的安全隱患可提出相應(yīng)的防護建議。

風(fēng)險與需求分析

目前關(guān)鍵行業(yè)的IT信息系統(tǒng)都是技術(shù)密集、大型復(fù)雜、網(wǎng)絡(luò)化的人機系統(tǒng)，這就對其審計和風(fēng)險管理帶來很高的挑戰(zhàn)。 在貫徹IT和風(fēng)險管理的過程中，面臨以下問題與風(fēng)險：

審計信息孤島化

傳統(tǒng)的IT審計方式采用不同的產(chǎn)品進行系統(tǒng)日志、網(wǎng)絡(luò)內(nèi)容、用戶行為的審計，不同的信息分散在各處不同種類的系統(tǒng)上面，各系統(tǒng)單獨存儲，單獨管理，形成信息孤島，導(dǎo)致關(guān)鍵信息分散，互不相通，難以管理。

攻擊行為混合化

目前常見的安全控制措施，如防火墻、入侵檢測等，都是局限于在網(wǎng)絡(luò)或主機的一個點上進行防護和記錄相關(guān)信息。隨著攻擊手段的不斷發(fā)展，攻擊行為及違規(guī)行為日益向縱深化、混合化方向發(fā)展，利用單純系統(tǒng)日志的方式已經(jīng)不能滿足對網(wǎng)絡(luò)的操作行為、數(shù)據(jù)庫訪問與操作行為、客戶端操作行為等進行很好的審計監(jiān)控并進行事后回放取證。

隨著攻擊與違規(guī)操作行為不斷朝復(fù)雜化、隱蔽化、多樣化方向發(fā)展，也需要對用戶行為之間進行關(guān)聯(lián)分析，因此需要一種能夠進行綜合數(shù)據(jù)采集、分析、審計與監(jiān)控的技術(shù)手段，來實現(xiàn)對網(wǎng)絡(luò)用戶的日常行為進行監(jiān)管。

審計要求合規(guī)化

在等級保護、分級保護等合規(guī)性要求全面落實的情況下，組織的管理者迫切需要一套有效的安全合規(guī)性審計平臺，以實現(xiàn)信息安全管理部門以及各個專業(yè)職能部門之間統(tǒng)一的審計測評管理和風(fēng)險管理， 輔助職能部門以過程化、規(guī)范化、結(jié)構(gòu)化的運作方式開展安全保護工作。

方案概述

為了解決以上安全審計的各種問題，降低安全風(fēng)險，聯(lián)想網(wǎng)御在全面落實等級化標(biāo)準(zhǔn)思想的基礎(chǔ)上，結(jié)合自身對信息安全的深刻理解和多年的信息安全實踐經(jīng)驗，推出全網(wǎng)安全審計解決方案。該方案從主機端到網(wǎng)絡(luò)設(shè)備，從用戶行為、安全日志到網(wǎng)絡(luò)內(nèi)容部署了多層次全方位的信息審計，切實落實審計的要求，保障業(yè)務(wù)的正常運行。  

整個方案主要包括以下四個方面：

主機端審計：通過主機端部署專業(yè)的內(nèi)網(wǎng)安全管理和審計軟件，一方面制定嚴(yán)格的安全策略限制對互聯(lián)網(wǎng)和外設(shè)的訪問，另一方面可以提供完善的非法外聯(lián)行為審計、網(wǎng)絡(luò)接入行為審計、上網(wǎng)行為審計等信息，這些信息可以根據(jù)配置匯總到統(tǒng)一審計平臺。

網(wǎng)絡(luò)審計：通過在Internet與用戶內(nèi)部網(wǎng)絡(luò)之間、數(shù)據(jù)庫服務(wù)器前、關(guān)鍵設(shè)備前部署專業(yè)的網(wǎng)絡(luò)內(nèi)容審計產(chǎn)品：聯(lián)想網(wǎng)御網(wǎng)絡(luò)審計系統(tǒng)，可以完成基于用戶識別的運維操作、數(shù)據(jù)庫訪問、網(wǎng)絡(luò)訪問行為和內(nèi)容的詳細記錄，同時關(guān)鍵的信息可以上報到統(tǒng)一審計平臺。

設(shè)備日志審計：通過syslog、SNMP等方式，將網(wǎng)絡(luò)內(nèi)的防火墻、路由器、交換機以及入侵檢測等其他安全設(shè)備的日志統(tǒng)一發(fā)送到統(tǒng)一審計平臺進行收集、存儲和分析。

統(tǒng)一審計平臺：通過統(tǒng)一安全管理平臺，實現(xiàn)主機審計信息、設(shè)備日志信息、網(wǎng)絡(luò)內(nèi)容審計的統(tǒng)一存儲、關(guān)聯(lián)分析、實時查詢和各種統(tǒng)計、報表的輸出，同時根據(jù)審計結(jié)果為用戶提供自動響應(yīng)。為用戶提供全網(wǎng)情況的審計和管理平臺。

方案的優(yōu)勢與特點

多緯度、全方位數(shù)據(jù)采集

不僅支持SNMP、SYSLOG等多種格式的設(shè)備日志采集，還支持通過對應(yīng)用層協(xié)議分析來實現(xiàn)上網(wǎng)行為、數(shù)據(jù)庫操作、管理運維的采集，通過終端管理的方式實現(xiàn)終端用戶行為的全方位采集，實現(xiàn)對整網(wǎng)的全面審計。

滿足合規(guī)需求

通過深入研究相關(guān)標(biāo)準(zhǔn)和行業(yè)要求，方案涉及產(chǎn)品在審計項目、日志格式、報表生成等方面注重合規(guī)性，使用戶通過該方案的部署可以滿足合規(guī)性的需求。

強大的數(shù)據(jù)融合能力

該方案完整實現(xiàn)了安全審計多點采集、集中匯聚、實時監(jiān)控、關(guān)聯(lián)分析、圖表呈現(xiàn)、自動響應(yīng)、統(tǒng)一存儲、壓縮歸檔等功能。通過關(guān)鍵數(shù)據(jù)的統(tǒng)一存儲，采用各種數(shù)據(jù)融合算法、高效的檢索引擎，可以大幅度減少海量的審計信息，并通過業(yè)內(nèi)領(lǐng)先的自定義實時規(guī)則、快捷的報警方式、為用戶提供響應(yīng)指導(dǎo)。

支持關(guān)聯(lián)安全標(biāo)準(zhǔn)

整個解決方案由多款產(chǎn)品組成，各產(chǎn)品之間既可以完成獨立的功能，又可以基于聯(lián)想網(wǎng)御關(guān)聯(lián)安全標(biāo)準(zhǔn)（CSC：Correlative Secure Criterion）中的安全審計協(xié)議緊密協(xié)作，通過統(tǒng)一的審計平臺，基于高效的關(guān)聯(lián)算法，從系列不同的日志中關(guān)聯(lián)出用戶的行為，提煉關(guān)鍵內(nèi)容，為用戶提供更高的價值。

完善的報表生成

整個方案通過提供各種不同層次、不同緯度的報表，包括支持用戶根據(jù)自身業(yè)務(wù)特點自定義報表，為用戶提供從微觀事件到宏觀數(shù)據(jù)的決策依據(jù)。 報表格式包括HTML、EXCEL、CSV、PDF、Word等，充分滿足不同用戶的不同需求。

分布式級聯(lián)部署

對大型網(wǎng)絡(luò)，一方面可以提供電信級大容量高可靠安全事件處理能力，另一方面，整個方案支持業(yè)內(nèi)領(lǐng)先的多級級聯(lián)部署，上級系統(tǒng)能方便地管理下級系統(tǒng)，整個方案可以方便、快捷地部署在大型復(fù)雜的網(wǎng)絡(luò)環(huán)境中，具有良好的網(wǎng)絡(luò)適應(yīng)性和伸縮性。