信息安全等級保護（三級）建設方案Xx信息安全等級保護（三級）建設方案目錄1.前言31.1概述31.2相關政策及標準32.現狀及需求分析52.1.現狀分析52.2.需求分析53.等保三級建設總體規劃63.1.網絡邊界安全建設63.2.日志集中審計建設63.3.安全運維建設63.4.等保及安全合規性自查建設63.5.建設方案優勢總結74.等保三級建設相關產品介紹94.1.網絡邊界安全防護94.1.1標準要求94.1.2明御下一代防火墻104.1.3明御入侵防御系統（IPS）134.2.日志及數據庫安全審計154.2.1標準要求154.2.2明御綜合日志審計平臺174.2.3明御數據庫審計與風險控制系統194.3.安全運維審計224.3.1標準要求224.3.2明御運維審計和風險控制系統234.4.核心WEB應用安全防護264.3.1標準要求264.3.2明御WEB應用防火墻274.3.3明御網站衛士304.5.等保及安全合規檢查314.5.1標準要求314.5.2明鑒WEB應用弱點掃描器324.5.3明鑒數據庫弱點掃描器344.5.4明鑒遠程安全評估系統374.5.5明鑒信息安全等級保護檢查工具箱384.6.等保建設咨詢服務404.6.1服務概述404.6.2安全服務遵循標準414.6.3服務內容及客戶收益415.等保三級建設配置建議421. 前言1.1 概述隨著互聯網金融的快速發展，金融機構對信息系統的依賴程度日益增高，信息安全的問題也越來越突出。同時，由于利益的驅使，針對金融機構的安全威脅越來越多，尤其是涉及民生與金融相關的單位，收到攻擊的次數日漸頻繁，相關單位必須加強自身的信息安全保障工作，建立完善的安全機制來抵御外來和內在的信息安全威脅。為提升我國重要信息系統整體信息安全管理水平和抗風險能力。 國家公安部、保密局、國家密碼管理局、國務院信息化領導小組辦公室于2007年聯合頒布861號文件關于開展全國重要信息系統安全等級保護定級工作的通知和信息安全等級保護管理辦法，要求涉及國計民生的信息系統應達到一定的安全等級，根據文件精神和等級劃分的原則，涉及到政府機關、金融等核心信息系統，構筑至少應達到三級或以上防護要求。互聯網金融行業是關系經濟、社會穩定等的重要單位，等級保護制度的確立和實施，無疑對互聯網金融單位加快自身信息安全建議具有前瞻性、系統性的指導意義。從國家層面上看，在重點行業、單位推行等級保護制度是關系到國家信息安全的大事，為確保重要行業和單位的等級保護信息系統順利開展實施，同時出臺了一系列政策文件來規范、指導和推動風險評估工作的進行，等級保護也積極響應各種標準和政策，以保障重點行業信息系統安全。1.2 相關政策及標準國家相關部門對等級保護安全要求相當重視，相繼出臺多個信息安全相關指導意見與法規，主要有：中華人民共和國計算機信息系統安全等級保護條例（國務院147號令）關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知（公信安2010303）GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求GB/T209842007 信息安全技術 信息安全風險評估規范GB17859-1999 信息系統安全等級保護測評準則其中，目前等級保護等保主要安全依據，主要參照GB17859-1999 信息系統安全等級保護測評準則和GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求，本方案亦主要依據這兩個標準，以其他要求為輔，來建立本技術方案。2. 現狀及需求分析2.1. 現狀分析xx核心業務系統為互聯網客戶提供在線業務以及線下業務支持。通過該系統平臺，實現互聯網金融業務信息全面融合、集中管理、內部管理的流程化、標準化和信息化，為xx管理工作提供全面的系統支持。該系統定級為安全保護等級三級，通過第三方測評、整體分析與風險分析，xx業務系統中存在與國家等級保護三級標準要求不符合項。2.2. 需求分析為了滿足達到國家GB/T 22239-2008信息技術信息系統安全等級保護基本要求相應的等級保護能力要求，xx業務管理系統啟動等級保護安全整改工作，以增強系統的安全防護能力，有效抵御內部和外部威脅，為切實達到國家及行業信息安全等級保護相應要求，使xx業務管理系統在現有運行環境下風險可控，能夠為xx客戶及內部各部門提供安全、穩定的業務服務。本次方案結合初步檢查報告，由于xx業務系統只采用防護墻進行安全防護措施，針對安全運維管理、應用層安全防護、第三方日志審計、管理制度等方面的薄弱之處，建議部署相關安全防護設備，結合安全管理制度，將滿足相應的等級保護防護能力。一、安全防護：安全防護設計網絡安全、主機安全等多個測評內容，針對所發現的安全問題風險中，如網絡邊界未部署防惡意代碼設備,可通過對重點系統的網絡邊界部署相應的安全防護設備來進行解決。二、審計分析：審計分析在三級等級保護要求中，占據重要地位，涉及網絡安全、主機安全、應用安全等諸多環節，xx業務系統在第三方審計相關建設上缺乏必要手段，并且對部分重要系統的安全現狀難以了解，加強系統安全檢測能力，和審計分析能力十分必要。三、安全運維：安全運維管理涉及網絡安全、主機安全、安全運維管理，在所發現安全問題風險中，對遠程設備進行雙因子認證，實現特權用戶分離，對網絡用戶的接入訪問控制，敏感資源的訪問控制等，可通過加強安全運維管理和部署相應管理設備加以解決。四、管理制度:管理制度的完善，在等級保護建設中具有非常重要的意義，通過第三方專業人員的現場指導、協助管理制度的完善、彌補安全管理制度中的不足，從管理制度整體協助滿足等級保護的相關要求。3. 等保三級建設總體規劃根據現有安全形勢特點，針對三級等級保護的各項要求，需針對網絡邊界安全、日志集中審計、安全運維、合規性自查四個層面進行建設，選擇典型安全系統構建。3.1. 網絡邊界安全建設在網絡邊界處需加強對網絡防護、WEB應用防護措施，通過相關的網絡安全設備部署核心鏈路中，按照信息安全等級保護標準進行建設。3.2. 日志集中審計建設數據庫審計系統為旁路部署，需要將客戶端請求數據庫的的數據和數據庫返回給客戶端的數據雙向鏡像到一個交換機接口作為數據庫審計設備的采集口，如需同時審計WEB應用的訪問請求等同樣需要把數據進行鏡像。綜合日志審計系統為旁路部署，僅需要將系統分配好IP地址，對各型服務器、數據庫、安全設備、網絡設備配置日志發送方式，將自動收集各類設備的安全日志和運行日志，進行集中查詢和管理。數據庫弱點掃描器部署在專用電腦上，定期對數據庫進行安全檢測。3.3. 安全運維建設將運維審計與風險控制系統放置與辦公內網，并設定各服務器、網絡設備、安全設備的允許登錄IP，僅允許運維審計與風險控制系統可登錄操作，運維和管理人員對各類服務器、網絡設備、安全設備的操作，均需先得到運維審計與風險控制系統的許可，所有操作均會被運維審計與風險控制系統審計下來，并做到資源控制的設定。3.4. 等保及安全合規性自查建設為提高核心業務系統內部網絡安全防護性能和抗破壞能力，檢測和評估已運行網絡的安全性能，需一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前可以提供安全防護解決措施，通過遠程安全評估系統實現網絡及系統合規性自查；為對核心業務系統提供配置安全保證,滿足監管單位及行業安全要求，平衡信息系統安全付出成本與所能夠承受的安全風險,遵行信息安全等級保護中對網絡、主機、應用及數據四個安全領域的安全，需提供一套針對基線配置的安全檢查工具，定期檢查其配置方面的與安全基準的偏差措施；核心業務系統的信息安全等級保護建設過程中，以及在正式測評之前徐利用信息安全等級保護檢查工具箱進行自測，根據結果和整改措施進行信息安全建設。將工具箱的檢測報告和整改措施建議作為整改的依據和參考的標準。由于信息安全是個動態的過程，整改完成不代表信息安全建設工作完成，可利用工具箱進行不斷的自檢自查。3.5. 建設方案優勢總結通過安全運維、安全防護、審計分析、安全制度四部分的部署加固，滿足事前檢測（數據庫弱點掃描器）、事中防護（明御WEB應用防火墻、運維審計與風險控制系統）、事后追溯（明御綜合日志審計系統、明御數據庫審計與風險控制系統）的安全要求，結合安全服務對管理制度的完善，提供對重要信息系統起到一體化安全防護，保證了核心應用和重要數據的安全。滿足三級等級保護對相關檢測項目的要求。一、通過部署事前檢測工具，依據權威數據庫安全專家生成的最全面、最準確和最新的弱點知識庫，提供對數據庫“弱點、不安全配置、弱口令、補丁”等深層次安全檢測及準確評估。通過WEB應用弱點掃描器及明鑒數據庫弱點掃描器的部署，可以定期對WEB應用和數據庫進行安全檢測，從而發現安全問題及相關隱患后能夠及時修補。二、通過部署事中防御設備，針對黑客的惡意進行全方位的攻擊防護，防止各類對網站的惡意攻擊和網頁木馬等，確保網站安全健康運行；同時采用智能異常引擎及關聯引擎準確識別復雜攻擊，有效遏制應用層DDOS攻擊，依靠高速環境下的線速捕獲技術實現100%的數據捕獲，通過事件回放為安全事件的快速查詢與定位、成因分析、責任認定提供有力證據，可采取直連或者旁路部署模式，在無需更改現有網絡結構及應用配置的情況下，可以對網站應用實時監控。通過網絡安全網關、IPS、WEB應用防火墻的部署，實現核心業務系統、應用的攻擊防護，確保所定級的核心業務系統安全健康運行。三、通過部署事后追溯設備，一方面采用獨有的三層審計的數據庫審計設備實現WEB應用與數據庫的自動關聯審計，并提供細粒度的安全審計，實時監控來自各個層面的所有數據庫活動，包括數據庫操作請求、返回狀態及返回結果集。 另一方面通過綜合日志審計平臺對客戶網絡設備、安全設備、主機和應用系統日志進行全面的標準化處理，及時發現各種安全威脅、異常行為事件，為管理人員提供全局的視角，確保客戶業務的不間斷運營安全。通過數據庫審計與風險控制系統及綜合日志審計系統實現網絡設備、安全設備、數據存儲、WEB應用、數據庫、主機及其它軟硬件資產的日志審計，并可以進行行為的還原和回放。四、通過加強管理制度的建設，利用第三方安全公司長期在等級保護中的經驗及專業的測評工具，幫助客戶快速的對業務系統進行專業的自查并提供評估報告，以便客戶后期更高效的通過等級保護測評，減少因自身經驗不足而產生的測評不通過的風險，減少在時間與金錢方面的損失。客戶可以依托第三方安全公司在信息安全合規性建設中的經驗，完善自身規章制度，擺脫繁瑣的制度合規性審查并切實有效的提高自身管理水品。針對客戶在等級保護建設中管理制度的經驗不足，提供合規性制度解決方案，協助客戶一起加強信息安全管理制度建設，并順利的通過等級保護。4. 等保三級建設相關產品介紹4.1. 網絡邊界安全防護4.1.1 標準要求 訪問控制（G3）本項要求包括：a) 應在網絡邊界部署訪問控制設備，啟用訪問控制功能；b) 應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；c) 應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制；d) 應在會話處于非活躍一定時間或會話結束后終止網絡連接；e) 應限制網絡最大流量數及網絡連接數；f) 重要網段應采取技術手段防止地址欺騙；g) 應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；h) 應限制具有撥號訪問權限的用戶數量。在網絡邊界部署安全網關。 安全審計（G3）本項要求包括：a) 應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；b) 審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c) 應能夠根據記錄數據進行分析，并生成審計報表；d) 應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。部署專業的日志審計系統。 邊界完整性檢查（S3）本項要求包括：a) 應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；部署終端安全管理系統，利用IP/MAC綁定及ARP阻斷功能實現非法接入控制。b) 應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。部署終端安全管理系統，提供非法外聯監控功能。 入侵防范（G3）本項要求包括：a) 應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等；b) 當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。部署入侵檢測系統。 惡意代碼防范（G3）本項要求包括：a) 應在網絡邊界處對惡意代碼進行檢測和清除；b) 應維護惡意代碼庫的升級和檢測系統的更新。部署病毒過濾網關系統。4.1.2 明御下一代防火墻明御下一代防火墻DAS-NGFW是安恒公司自主研發、擁有知識產權的新一代安全網關產品。明御下一代防火墻基于角色、深度應用的多核安全架構突破了傳統防火墻只是基于IP和端口的防御機制。百兆到萬兆的處理能力使明御下一代防火墻適用于多種網絡環境，包括中小企業級市場、政府機關、大型企業、電信運營商和數據中心等機構。豐富的軟件功能為網絡提供不同層次及深度的安全控制以及接入管理，例如基于角色深度應用安全的訪問控制、IPSec/SSL VPN、應用帶寬管理、病毒過濾、內容安全等。1) 功能說明功能描述部署方式支持透明部署、路由部署、混合部署模式攻擊防護TCP/IP攻擊防護（IP碎片攻擊、IP Option攻擊、IP地址欺騙攻擊、Land攻擊、Smurf攻擊、Fraggle攻擊、Huge ICMP包攻擊、ARP欺騙攻擊、WinNuke攻擊、Ping-of-Death攻擊、Teardrop攻擊）掃描保護（IP地址掃描攻擊、端口掃描攻擊）Flood保護（Syn Flood攻擊、ICMP Flood攻擊、UDP Flood攻擊、DNS Query Flood攻擊）二層攻擊防護（IP-MAC靜態綁定、主機防御、ARP防護、DHCP Snooping）網絡行為控制URL過濾：對用戶訪問某類網站進行控制和審計網頁關鍵字：對用戶訪問含有某關鍵字的網頁（包括HTTPS加密網頁）進行控制和審計Web外發信息：對用戶在某網站（包括HTTPS加密網站）發布信息或者發布含有某關鍵字信息進行控制和審計郵件過濾：對用戶使用SMTP協議及Webmail外發郵件（包括Gmail加密郵件）進行控制和審計網絡聊天：對用戶通過即時通訊工具聊天進行控制和審計應用行為控制：對FTP和HTTP應用程序行為進行控制和審計日志管理（網絡行為控制日志、日志查詢統計與審計分析）病毒過濾（AV）協議防病毒掃描：HTTP、FTP、SMTP、IMAP、POP3壓縮文件防病毒掃描（多層壓縮掃描）：RAR、ZIP、GZIP、BZIP、TAR控制方式：中斷連接、文件填充、日志記錄病毒特征庫在線更新、本地更新高可靠性（HA）Active-Passive（A/P）模式Active-Active（A/A）模式VPNIPSec VPNSCVPN（基于SSL的遠程登錄解決方案）撥號VPNPnPVPNL2TP VPN訪問控制基于安全域的訪問控制基于時間的訪問控制基于MAC的訪問控制IP-MAC-端口地址綁定用戶認證本地用戶認證外部服務器用戶認證（RADIUS、LDAP、MS AD）Web認證802.1XNAT/PAT功能多個內部地址映射到同一個公網地址多個內部地址映射到多個公網地址外部網絡主機訪問內部服務器內部地址映射到接口公網IP地址應用協議的NAT穿越FTPTFTPHTTPSUN RPCRTSPMicrosoft RPCH323SIPRSHSQL NETv2網絡PPPoEDHCPDNSDDNSARPVSwitchVRouter路由靜態路由（目的路由、源路由、源接口路由）動態路由（RIP以及OSPF）策略路由（SBR以及SIBR）ISP路由策略路由出站就近路由靜態組播路由IGMP協議管理命令行接口（CLI）WebUI（HTTP，HTTPS）ConsoleTelnetSSHSNMP流量統計Ping/Traceroute系統利用率報表用戶行為流日志NAT轉換日志攻擊實時日志地址綁定日志流量告警日志上網行為管理日志實時流量統計和分析功能安全事件統計功能2) 客戶收益 在復雜環境下提供給用戶網絡安全管理，基于大數據挖掘技術幫助管理者快速的發現網絡中的異常情況，進而盡早的確認威脅并采取干預措施，實現主動防御，具備對數據的收集集中能力以及智能分析能力 全面、多維的識別應用中安全風險，進行全天24小時的安全掃描和防護，當發現攻擊威脅時及時阻斷并審計記錄，保障用戶的應用安全無憂 識別未知應用的安全風險，面對來自世界各地、隨時隨地涌現的新類型、新應用，提供一種機制，去第一時間識別和控制應用，保障用戶網絡每一秒都不會暴露在網絡威脅之下。這就要求其必須要具備應用自定義的能力4.1.3 明御入侵防御系統（IPS）1) 產品介紹安恒明御入侵防御系統（簡稱：DAS-IPS）是用于實現專業的入侵攻擊檢測和防御的安全產品。主要部署在服務器前端、互聯網出口以及內網防護等用戶場景中，廣泛適用于政府、企業、高校等行業。安恒DAS-IPS采用專業的高速多核安全引擎，融合安恒的安全操作系統，全面實現網絡入侵攻擊防御功能，除了提供4000+的攻擊特征檢測還提供專業的Botnet檢測防護、網絡應用精確識別、網絡安全性能優化以及安全管理的能力，為用戶業務的正常運行和使用提供可信的安全保障。2) 功能介紹產品特色描述全面的L2-L7入侵防御安恒DAS- IPS內嵌4,000多種攻擊特征，能夠檢測常見的病毒、蠕蟲、后門、木馬、僵尸網絡攻擊以及緩沖區溢出攻擊和漏洞攻擊；封堵主流的高級逃逸攻擊；檢測和防御主流的異常流量，含各類Flood攻擊；提供用戶自定義攻擊特征碼功能，可指定網絡層到應用層的對比內容；提供虛擬補丁功能，讓沒有及時修補漏洞的客戶，能夠保障網絡安全正常運行。業內領先的入侵檢測技術安恒DAS-IPS提供了高效的安全檢測引擎，采用傳統的攻擊特征匹配檢測機制和高級逃逸攻擊檢測機制實現已知入侵攻擊以及Botnet的檢測防御；采用協議異常檢測機制，對數據包進行完整性檢查，從而阻止經黑客偽造不符合標準通信協議規范的數據包進入企業內部網絡采用；采用流量異常檢測與防護機制，實現對各種網絡層至應用層的DoS/DDoS攻擊，包括主流的Flood攻擊、掃描類攻擊等。專業的Botnet檢測和防御安恒DAS- IPS提供業界最完整的Botnet特征數據庫，含C&C(命令及控制)特征庫和Real-time Black List（實時檢測黑名單）庫。當感染Botnet的主機與Botnet C&C服務器聯機以及與惡意IP或URL通信時，認為該主機已被植入Bot并觸發相應的響應行為。從而真正做到對內網的全面專業的保護，保障內網 業務的正常運行。強大的安全管理在可視化管理方面，提供實時攻擊事件和網絡應用服務監控功能以及豐富的報表呈現功能在高可用性方面，支持軟硬件Bypass功能和HA功能。在IPv6支持方面，可支持IPv4 和IPv6 雙棧運行的網絡環境，可同時檢測IPv4 和IPv6的網絡數據包。在靈活性管理方面，能夠提供虛擬IPS功能，每一個虛擬的IPS可以擁有獨立的安全防御策略，可以增加IPS在大型網絡架構中的使用靈活性。在網絡部署方面，支持在線的IPS運行部署和旁路的IDS監控部署。在管理接口方面，支持串口、SSH、WebUI（含SSL加密）以及SNMP管理等方式。3) 客戶收益 為用戶提供全面的L2-L7入侵防御，能夠檢測常見的病毒、蠕蟲、后門、木馬、僵尸網絡攻擊以及緩沖區溢出攻擊和漏洞攻擊；封堵主流的高級逃逸攻擊； 為用戶提供領先的入侵檢測技術，采用傳統的攻擊特征匹配檢測機制和高級逃逸攻擊檢測機制實現已知入侵攻擊以及Botnet的檢測防御；采用協議異常檢測機制，對數據包進行完整性檢查，從而阻止經黑客偽造不符合標準通信協議規范的數據包進入企業內部網絡采用 為用戶提供專業的Botnet檢測和防御，提供業界最完整的Botnet特征數據庫，含C&C(命令及控制)特征庫和Real-time Black List（實時檢測黑名單）庫 具備強大的安全管理，在可視化管理方面，提供實時攻擊事件和網絡應用服務監控功能以及豐富的報表呈現功能，在高可用性方面，支持軟硬件Bypass功能和HA功能。4.2. 日志及數據庫安全審計4.2.1 標準要求GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求類別條款號標準要求內容數據庫審計產品符合項安全審計審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶；數據庫風險控制與審計系統應在保證系統運行安全和效率的前提下，啟用系統審計或采用第三方安全審計產品實現審計要求數據庫風險控制與審計系統審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件；數據庫風險控制與審計系統審計內容至少包括：用戶的添加和刪除、審計功能的啟動和關閉、審計策略的調整、權限變更、系統資源的異常使用、重要的系統操作（如用戶登錄、退出）等數據庫風險控制與審計系統審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等； 數據庫風險控制與審計系統應保護審計進程，避免受到未預期的中斷、刪除、修改或覆蓋，審計日志至少保留6個月；數據庫風險控制與審計系統應能夠根據記錄數據進行分析，并生成審計報表；數據庫風險控制與審計系統GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求類別條款號標準要求內容綜合日志審計（SOC）產品符合項安全審計應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；SOC 支持對標準要求的日志記錄包括網絡設備的運行狀況、網絡流量等；審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；SOC提供對標準要求的記錄相關信息，如時間日期、時間、用戶等信息；應能夠根據記錄數據進行分析，并生成審計報表；SOC支持對數據進行分析并生成報表；應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等；SOC支持對記錄進行保護，避免未授權的刪除修改等操作；安全審計審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶；SOC支持覆蓋到所有操作系統及數據庫用戶；應在保證系統運行安全和效率的前提下，啟用系統審計或采用第三方安全審計產品實現審計要求；SOC屬于第三方審計設備，對系統運行安全和效率無影響；審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件；SOC所審計內容包含標準要求的各項安全相關事件，如重要用戶行為、系統資源的異常使用等；審計內容至少包括：用戶的添加和刪除、審計功能的啟動和關閉、審計策略的調整、權限變更、系統資源的異常使用、重要的系統操作（如用戶登錄、退出）等；SOC審計的內容包含標準要求的具體條款；審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等； SOC滿足標準要求的對時間的日期、時間、類型等信息的記錄；應保護審計進程，避免受到未預期的中斷、刪除、修改或覆蓋，審計日志至少保留6個月；SOC采用進程防護技術，并設置對應的安全策略，確保數據不受中斷、刪除、修改或覆蓋，根據存儲條件，可完全滿足保留日志6個月；應能夠根據記錄數據進行分析，并生成審計報表；SOC可滿足標準要求，能對數據進行分析，并生成審計報表；監控管理和安全管理中心應對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警，形成記錄并妥善保存；SOC能實現以上信息的采集，記錄并保存；應組織相關人員定期對監測和報警記錄進行分析、評審，發現可疑行為，形成分析報告，并采取必要的應對措施；SOC能實現分析評審，發現可疑行為，形成報告并報警；系統安全管理應建立安全管理中心，對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理；SOC可通過日志管理實現了安全事件的統一集中管理；應定期對運行日志和審計數據進行分析，以便及時發現異常行為；SOC可實現定期對日志進行自動分析和處理，發現異常行為能郵件短信報警；應至少每月對運行日志和審計數據進行分析；SOC可實現每月自動化分析任務；4.2.2 明御綜合日志審計平臺1) 產品介紹信息安全等級保護中具有審計中心的概念，相關要求：審計中心包括兩個應用程序，審計控制臺和用戶管理。審計控制臺可以實時顯示網絡審計信息、流量統計信息、主機操作系統審計信息、應用系統審計信息等等，并且可以查詢審計信息歷史數據，并且對審計事件進行回放。用戶管理程序可以對用戶進行權限設定，限制不同級別的用戶查看不同的審計內容，并且具有一定的自身安全審計功能。安恒明御綜合日志審計系統就是一種審計中心。通過對客戶網絡設備、安全設備、主機和應用系統日志進行全面的標準化處理，及時發現各種安全威脅、異常行為事件，為管理人員提供全局的視角，確保客戶業務的不間斷運營安全；明御綜合日志審計平臺通過基于國際標準化的關聯分析引擎，為客戶提供全維度、跨設備、細粒度的關聯分析，透過事件的表象真實地還原事件背后的信息，為客戶提供真正可信賴的事件追責依據和業務運行的深度安全。同時提供集中化的統一管理平臺，將所有的日志信息收集到平臺中，實現信息資產的統一管理、監控資產的運行狀況，協助用戶全面審計信息系統整體安全狀況。通過部署明御綜合日志審計系統，可以實現：資產監控：可以按照監控的設備類型，對主機系統、數據庫、中間件和安全設備進行實時監控，包括 CPU、內存、磁盤等關鍵運行指標。并對根據各個設備的特點，設置了相應的閥值，一旦超出閥值，及時進行性能異常報警。 告警收集和日志采集：通過 SYSLOG、SNMP TRAP 、SNMP輪詢、XML、FTP、HTTP、 TELNET/SSH、SOAP、JMX方式、Sockets、Files、專用代理程序等方式從主機系統、數據庫、中間件和安全設備按照一定策略收集原始日志數據。 關聯分析生成安全事件：采用安恒自主設計的避免事件誤告與漏告的核心關聯分析策略，大幅度提高安全事件的準確性。關聯分析主要采用基于統計的關聯和基于規則的關聯。詳細的安全報警展現：通過平臺的安全報警分析功能，可以看到平臺針對收集上來的原始日志，經過實時歸并、分析后的結果。包括：報警名稱、類型、等級、 IP地址、 IP對應的責任單位、聚合數量、發生時間等。平臺針對所有的 IP地址，和資產管理中的責任單位自動進行關聯，在安全報警分析中實現將 IP地址定位到責任單位，從而為后續的以責任單位進行宏觀統計與分析提供了依據。2) 功能介紹全面日志采集：全面支持Syslog、SNMP、OPSec、XML、FTP及本地文件等協議，可以覆蓋主流硬件設備、主機及應用，保障日志信息的全面收集。實現信息資產（網絡設備、安全設備、主機、應用及數據庫）的日志獲取，并通過預置的解析規則實現日志的解析、過濾及聚合，同時可將收集的日志通過轉發功能轉發到其它網管平臺等。大規模安全存儲：內置T級別存儲設備，可以選配各種RAID級別進行數據冗余和安全保障。系統擁有多項自主知識產權的存儲加密機制和查詢機制，十分合適等保、密保等行業的應用要求。智能關聯分析：實現全維度、跨設備、細粒度關聯分析，內置眾多的關聯規則，支持網絡安全攻防檢測、合規性檢測，客戶可輕松實現各資產間的關聯分析。脆弱性管理：能夠收集和管理來自各種Web漏洞掃描、主機漏洞掃描工具、網絡漏洞掃描工具的產生的掃描結果，并實時和用戶資產收到的攻擊危險進行風險三維關聯分析。數據挖掘和數據預測：支持對歷史日志數據進行數據挖掘分析，發現日志和事件間的潛在關聯關系，并對挖掘結果進行可視化展示。系統自帶多種數據統計預測算法，可以根據歷史數據的規律對未來的數據發生情況進行有效預測。可視化展示：實現所監控的信息資產的實時監控、信息資產與客戶管理、解析規則與關聯規則的定義與分發、日志信息的統計與報表、海量日志的存儲與快速檢索以及平臺的管理。通過各種事件的歸一化處理，實現高性能的海量事件存儲和檢索優化功能，提供高速的事件檢索能力、事后的合規性統計分析處理，可對數據進行二次挖掘分析。分布式部署和管理：系統支持分布式部署，可以在中心平臺進行各種管理規則，各種配置策略自動分發，支持遠程自動升級等，極大的降低了分布式部署的難度，提高了可管理性。靈活的可擴展性：提供多種定制接口，實現強大的二次開發能力，及與第三方平臺對接和擴展的能力。其他功能：支持各種網絡部署需要，包括日志聚合、日志過濾、事件過濾、日志轉發、特殊日志格式支持(如單報文多事件)等。3) 客戶收益 為用戶IT網絡設備、安全設備、主機和應用系統日志進行全面的標準化處理 及時發現各種安全威脅、異常行為事件，為管理人員提供全局的視角，確保用戶業務的不間斷運營安全； 為用戶提供全維度、跨設備、細粒度的關聯分析、可信賴的事件追責依據和業務運行的深度安全 提供集中化的統一管理平臺，將所有的日志信息收集到平臺中，實現信息資產的統一管理、監控資產的運行狀況，協助用戶全面審計信息系統整體安全狀況4.2.3 明御數據庫審計與風險控制系統1) 產品介紹數據庫審計與風險控制系統主要的功能模塊包括“靜態審計、實時監控與風險控制、實時審計、雙向審計、細粒度審計規則、精準的行為檢索、三層關聯審計、完備的審計報表、安全事件回放、審計對象管理、多形式的預警機制、系統配置管理”幾個部分。2) 功能介紹豐富的協議支持主流數據庫Oracle、SQL server、DB2、Mysql、Informix、CACH、Sybase、PostgreSQL國產數據庫神通（原OSCAR）、達夢、人大金倉（kingbase）數據倉庫Teradata其他協議FTP、HTTP、Telnet、SMTP、POP3、DCOM等細粒度的操作審計細粒度審計通過對不同數據庫的SQL語義分析，提取出SQL中相關的要素（用戶、SQL操作、表、字段、視圖、索引、過程、函數、包）雙向審計不僅對數據庫操作請求進行實時審計，而且還可對數據庫執行狀態、返回結果、返回內容進行完整的還原和審計，同時可以根據返回結果設置審計規則多行為審計實時監控來自各個層面的所有數據庫活動，包括來自應用系統發起的數據庫操作請求、來自數據庫客戶端工具的操作請求以及通過遠程登錄服務器后的操作請求等多層業務關聯審計B/S三層架構支持HTTP請求審計，提取URL、POST/GET值、cookie、操作系統類型、瀏覽器類型、原始客戶端IP、MAC地址、提交參數等；通過智能自動多層關聯，關聯出每條SQL語句所對應URL，以及其原始客戶端IP地址等信息，實現追蹤溯源；C/S三層架構在企業、醫院等行業客戶中，也部分采用C/S/S三層架構，同樣面臨追蹤溯源的難題，DAS-DBAuditor支持基于DCOM的三層架構自動關聯。運維審計關聯通過運維審計產品進行統一認證、授權后，也將面臨追蹤溯源的難題，DAS-DBAuditor支持與運維審計產品關聯，實現原始操作者信息的追蹤全方位風險控制靈活的策略定制根據登錄用戶、源IP地址、數據庫對象（分為數據庫用戶、表、字段）、操作時間、SQL操作命令、返回的記錄數或受影響的行數、關聯表數量、SQL執行結果、SQL執行時長、報文內容的靈活組合來定義客戶所關心的重要事件和風險事件自動建模DAS-DBAuditor支持自動建模，可以非常方便了解整個數據庫的允許狀態，幫助管理員形成有效的審計規則，快速識別越權操作、帳號復用、違規操作等行為。多形式的實時告警當檢測到可疑操作或違反審計規則的操作時，系統可以通過監控中心告警、短信告警、郵件告警、Syslog告警、SNMP告警、FTP告警等方式通知數據庫管理員報表DAS-DBAuditor報表系統包括預定義報表和自定義報表兩大模塊，可以快速生成對安全事件的報表，并以PDF等格式導出。審計管理員報表支持從審計設備運行狀況、安全事件、帳號的增刪、密碼是否修改等角度形成報表系統管理員報表支持從權限的變更、數據庫權限分配狀況、DDL/DML等特權操作、SQL語句的類型和使用比率等角度形成報表合規性報告能夠形成符合SOX（塞班斯）法案、等級保護、分級保護等法規符合性的綜合報告靜態審計除了提供實時的動態審計功能，還提供了可選的掃描審計模塊對數據庫的不安全配置、弱口令等進行檢測和審計，并提供安全加固建議。友好真實的操作過程回放對于客戶關心的操作可以回放整個相關過程，讓客戶可以看到真實輸入及屏幕顯示內容，并可以通過精細內容的檢索，對特定行為進行精確回放，如執行刪除表、文件命令、數據搜索等。3) 客戶收益 全面滿足國家等級保護測評要求，成功通過測評認證； 能夠從合法、合規的方面滿足證監會對信息化的監管要求； 從帳號管理、權限管理等多維度進行監控，助力IT管理制度實施； 建立數據庫權限模型，為數據庫安全建設提供優化經驗； 定期評估數據庫漏洞，防止數據庫密碼破解 數據庫操作全審計，不放棄任何可疑統方行為 雙向審計，準確判斷違規統方行為 豐富的審計報表，滿足糾風辦審計需求 短信、郵件告警，第一時間了解違規統方行為4.3. 安全運維審計4.3.1 標準要求GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求類別條款號標準要求內容運維審計防護產品符合項身份鑒別應對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別運維審計（堡壘機）操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換運維審計（堡壘機）當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽運維審計（堡壘機）訪問控制應根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶所需的最小權限；運維審計（堡壘機）安全審計審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶運維審計（堡壘機）審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件運維審計（堡壘機）審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等運維審計（堡壘機）應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等運維審計（堡壘機）4.3.2 明御運維審計和風險控制系統1) 產品介紹安恒明御運維審計與風險控制系統（簡稱：堡壘主機）是安恒信息結合多年運維統一安全管理的理論和實踐經驗積累的基礎上，結合各類法令法規（如SOX、PCI、企業內控管理、等級保護等）對運維審計的要求，自主研發完成的業內首創支持靈活部署方式，集統一賬戶管理與單點登錄，支持多種字符協議與圖形協議的實時監控與歷史查詢，全方位風險控制的運維統一安全管理與審計產品。安恒明御堡壘主機是一種符合4A(認證Authentication、賬號Account、授權Authorization、審計Audit)統一安全管理平臺方案并且被加固的高性能抗網絡攻擊設備，具備很強安全防范能力，作為進入內部網絡的一個檢查點，能夠攔截非法訪問和惡意攻擊，對不合法命令進行阻斷，過濾掉所有對目標設備的非法訪問行為。安恒明御堡壘主機具備強大的輸入輸出審計功能，為企事業內部提供完全的審計信息，通過賬號管理、身份認證、資源授權、實時監控、操作還原、自定義策略、日志服務等操作增強審計信息的安全性，廣泛適用于需要運維統一安全管理與審計的“政府、金融、運營商、公安、能源、稅務、工商、社保、交通、衛生、教育、電子商務及企業”等各個行業。部署安恒明御堡壘主機，能夠極大的保護政府機關和企事業單位內部網絡設備及服務器資源的安全性，使得企事業內部網絡管理合理化，專業化，信息化。2) 功能介紹 單點登錄用戶一次登錄系統，就可以無需認證的安全的訪問被授權的多種應用系統用戶無需記憶多種系統的登錄用戶ID 和口令增強認證的系統，從而提高了用戶認證環節的安全性實現與用戶授權管理的無縫連接，這樣可以通過對用戶、角色、行為和資源的授權，增加對資源的保護和對用戶行為的監控及審計 賬號管理集中管理所有服務器、網絡設備賬號，從而可以集中授權、認證和審計通過對賬號整個生命周期的監控和管理，降低管理大量用戶賬號的難度和工作量通過統一的管理能夠發現賬號中存在的安全隱患，制定統一的、標準的、符合安全賬號管理要求的賬號安全策略通過建立集中賬號管理，企業可以實現將賬號與具體的自然人相關聯，實現多級的用戶管理和細粒度的用戶授權，還可以實現針對自然人的行為審計，以滿足審計需要 身份認證系統為用戶提供統一的認證接口，不但便于對用戶認證的管理，而且能夠采用更加安全的認證模式，提高認證的安全性和可靠性提供多種認證方式可供用戶選擇具有靈活的定制接口，方便與第三方認證服務器結合 資源授權系統提供統一的界面對用戶、角色及行為和資源進行授權，達到對權限的細粒度控制，最大限度保護用戶資源的安全集中訪問授權和訪問控制可以對用戶對服務器主機、網絡設備的訪問進行審計和阻斷授權的對象包括用戶、用戶角色、資源和用戶行為系統不但能夠授權用戶可以通過什么角色訪問資源這樣基于應用邊界的粗粒度授權，對某些應用還可以限制用戶的操作，以及在什么時間進行操作這樣應用內部的細粒度授權 訪問控制系統提供細粒度的訪問控制，最大限度保護用戶資源的安全。提供自定義控制策略配置，管理員根據用戶的角色為其指定相應的控制策略來限制其系統行為，控制策略是命令的集合，可以是一組可執行命令，也可以是一組非可執行的命令提供自定義訪問策略配置，訪問策略是保護系統安全性的重要環節，制定訪問策略能更好的提高系統的安全性 操作審計審計賬號使用（登錄、資源訪問）情況、資源使用情況等各服務器主機、網絡設備的訪問日志記錄都采用統一的賬號、資源進行標識，操作審計能更好地對賬號的完整使用過程進行追蹤實時監控和管理服務器上正在發生的行為，可以實時察看用戶執行的命令和執行結果友好真實的操作過程還原，對用戶關心的操作可以回放整個相關過程支持Telnet、FTP、SSH、SFTP、SCP、RDP、VNC等多種協議的運維審計詳細記錄整個會話過程中用戶全部的行為日志和觸發的告警日志，還可以將產生的日志傳送給第三方產品，對于生成的日志支持豐富的查詢和導出備份等操作。 全方面的運維審計報表明御運維審計與風險控制系統（DAS-USM）報表模塊提供了豐富的統計信息，對資產運維操作以及系統自身運行、操作進行各類統計和多維度分析，并且提供報表導出功能。3) 客戶收益 為企業節省運營成本，并遵從安全規范 企業可以實現將賬號與具體的自然人相關聯，實現針對自然人的行為審計，滿足審計需求 免去登錄資產的帳戶認證繁瑣操作，同時也保障了資產的帳戶和密碼的安全性，規范管理員操作，對存在威脅操作及時預警 防止企業重要數據外泄，并且能通過豐富的審計功能，快速追蹤定位產生的問題 幫助企業滿足各類法令法規（如SOX、PCI、企業內控管理、等級保護、ISO/IEC 27001等）對運維審計的要求4.4. 核心WEB應用安全防護4.3.1 標準要求GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求類別條款號標準要求內容WEB應用防護產品（WAF）符合項訪問控制應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客體的訪問；WAF提供對各類引用訪問的控制，并可通過嚴格的安全策略進行控制；訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；WAF的訪問控制的覆蓋范圍包含了與資源訪問相關的主體、客體及他們之間的操作；應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；WAF可按授權主題配置訪問控制策略，并能夠嚴格限制默認賬戶的訪問權限；惡意代碼防范應在網絡邊界及核心業務網段處對惡意代碼進行檢測和清除；WAF可提供網絡邊界及核心業務網段處對惡意代碼進行監測和清除；應維護惡意代碼庫的升級和檢測系統的更新；WAF的惡意代碼庫的升級和監測系統可通過手動或自動進行更新；應支持惡意代碼防范的統一管理；WAF支持對惡意代碼的同意管理；4.3.2 明御WEB應