4.3 网络安全审计
XX公司使用网络安全审计系统2台,用于对涉密信息系统的网络及应用进行安全审计和监控。审计功能包括:应用层协议还原审计、数据库审计、网络行为审计、自定义关键字审计等。
(1)部署
旁路部署于核心交换机的镜像目的接口,部署数量为2台,分别部署于主中心以及从属中心的核心交换机上。设置其管理地址,用于系统管理及维护。部署拓扑示意图如下:
网络安全审计网络安全审计从属中心主中心从属中心核心交换机网闸主中心核心交换机
图1-14 网络安全审计部署示意图
(2)第一次运行策略
配置审计http、POP3、Smtp、imap、telnet、FTP协议以及自定义审计1433、8080、27000、1043、1034、1037、1041、1040、1042、6035、7777、3690端口;依据XX公司保密规定设定相关关键词字,审计关键词字;使用Https方式管理系统。
(3)设备管理及策略
网络安全审计系统由信息中心进行管理及维护,审计策略的改动均需要经过保密办的讨论后方可操作。网络安全审计系统的日志系统维护,日志的保存与备份按照《XX公司网络安全审计运维管理制度》进行管理。
a、由信息中心管理网络安全审计设备,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心分别对2台网络安全审计设备进行编号、标识密级、安放至安全管理位置。
c、信息中心负责网络安全审计系统的日常运行维护,每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。
d、信息中心发现异常审计日志及时通报保密办,并查找原因,追究根源。 e、信息中心负责网络安全审计系统的维修管理,设备出现问题,通知保密
办,获得批准后,负责设备的维修管理。
(4)部署后解决的风险
解决应用审计,针对内容进行审计记录,满足安全审计相关要求。 5 终端安全防护 5.1 防病毒系统
XX公司将使用网络版防病毒软件建立病毒防护系统,共计26个服务器端,419个客户端,分别部署在主中心以及从属中心。
XX公司将使用单机版防病毒软件建立中间机、单机及便携式计算机病毒防护系统,共计226个终端。
(1)部署
防病毒系统采用客户端+服务器结构,服务器由信息中心负责管理。 杀毒中心安装:安装在安全管理服务器上,设置好admin密码,并且将注册信息输入到杀毒控制中心。
服务器安装:在XX公司各类服务器上安装杀毒服务器端,设置杀毒中心的IP地址,并保持与杀毒中心的实时通信。
客户端安装:所有的内外终端均安装客户端杀毒程序,设置杀毒中心的IP地址,与杀毒中心同步。
单机防病毒系统直接部署在涉密单机及中间机上。 (2)第一次运行策略
防病毒控制中心服务器部署在保密室。网络防病毒系统连接在核心交换机的access接口上。交换机接口配置Vlan二层信息为:接口类型为access,为其划分Vlan,使得其与其他Vlan不能通过二层相通,使得网络防病毒系统需要通过三层与其他Vlan通信,即网络防病毒系统可以对网络中所有的主机设备进行杀毒统一管理和在线控制。
所有接入网络的终端计算机和应用服务器(windows操作系统)都安装防病毒软件,管理员通过控制台实现对全网防病毒系统的统一管理,并强制在用户接入网络时安装防病毒客户端。
升级方式为:在非涉密计算机上从互联网下载最新的防病毒系统升级包,刻制成光盘。将此光盘上的防病毒系统升级包通过非涉密中间机导入到涉密光盘上,带入到涉密内网的防病毒系统服务器上。利用服务器上的防病毒系统服务端提供的接口导入升级包,再通过服务端将更新了的病毒库向每一台防病毒系统客户端进行强制更新。
防病毒管理:定期升级病毒特征库,每周不少于一次;定期进行全网杀毒扫描,每天计划不少于一次;每月检查防病毒系统的运行情况并记录,备份并存储
病毒日志;制定应急预案,防止病毒大面积爆发。
(3)设备管理及策略
为了防止计算机病毒或恶意代码传播,将采取如下措施:
a、制定《XX公司涉密信息系统运行管理制度》,该管理办法将与XX公司涉密信息系统的建设同时进行制定,同时加强审计,确保策略的正确实施;
b、加强存储设备的接入管理,对接入系统的存储设备必须先经过计算机病毒和恶意代码检查处理;
c、所有的涉密计算机usb及光驱等接口均通过授权才能使用,防止系统用户私自安装软件或使用usb设备带病毒入网。
(4)部署后解决的风险
解决计算机病毒与恶意代码防护、操作系统安全相关风险。 5.2 恶意程序辅助检测系统
XX公司涉密信息系统采用恶意程序辅助检测系统,用于XX公司涉密信息系统的中间机信息输入输出介质的恶意程序及木马病毒查杀及管控。
(1)部署
系统采用单机部署在中间机上的结构。共4台中间机,主中心2台,从属中心2台,分别为涉密中间机以及非涉密中间机。4台中间机上均安装恶意程序辅助检测系统,对中间机潜在的恶意程序及木马进行管控。
(2)第一次运行策略
使用恶意程序辅助检测系统接管系统关键服务、限制未知程序启动、未知驱动加载、设置策略进行恶意代码扫描、设置策略拦截恶意程序的盗取行为。
(3)设备管理及策略
恶意程序辅助检测系统由信息中心进行管理及维护,任何策略的改动均需要经过保密办的讨论后方可实施。恶意程序辅助检测系统的日志系统同时维护,日志的保存与备份按照《XX公司恶意程序辅助检测系统运维管理制度》进行管理。
a、由信息中心管理恶意程序辅助检测系统,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心对中间机进行编号、标识密级、记录安放位置并指定中间机负责人。
c、信息中心负责定期到中间机提取审计日志信息等内容。
d、信息中心发现高风险事件及时通报保密办,并查找风险源头,各部门配合信息中心及时解决问题。
e、中间机负责人严格遵守《XX公司恶意程序辅助检测系统运维管理制度》,使用中间机需要进行申请、审批、登记摆渡内容、使用恶意程序辅助检测系统防
止摆渡介质可能携带的恶意程序及木马危害系统。
(4)部署后解决的风险
解决中间机计算机病毒与恶意代码防护相关风险。 5.3 主机监控与审计系统
XX公司使用原有主机监控与审计系统进行对终端行为监控和限制,保持原有部署及原有配置不变,管理方式及策略依旧。此设备解决的风险为设备数据接口控制、主机安全审计风险。 5.4 移动介质管理系统
XX公司采用移动介质管理系统对公司移动存储介质进行管理。 (1)部署
使用一台单机作为移动存储介质的系统管理机,安装涉密移动存储介质保密管理系统以及审计平台。该单机放置于信息中心,由信息中心管理维护。
部署30个客户端。具体分布如下表所示。
表1-5 移动介质系统部署汇总表 序号 1 2 3 4 5 6 7 8 9 10 部署位置 合计 数量 (2)第一次运行策略
使用移动介质管理系统对公司移动存储介质进行:注册登记、授权、定密、发放、收回、销毁、删除。采用全盘加密技术,防止格式化U盘后进行数据恢复。
(3)设备管理及策略
移动介质下发至各部门,由各部门进行统一管理,保密办进行二级管理,借用需要通过部门领导的审批,登记后进行使用,并限定使用时间及使用范围。采取的技术防护手段为主机监控与审计系统,进行移动介质设备的管控与日志记录。移动介质出现硬件问题后,交由保密办统一封存处理。
(4)部署后解决的风险 解决介质安全存在的风险。 5.5 终端安全登录及身份认证系统
XX公司采用终端安全登录与监控审计系统(网络版),用于对机密级终端的
“双因子”登录身份认证。采用终端安全登录与监控审计系统(单机版),用于对涉密单机、中间机登录身份认证、主机监控与审计。
(1)部署
终端安全登录与监控审计系统(网络版)服务器部署于安全管理区,数量为2套,分别部署于主中心和从属中心。认证客户端安装于机密级终端上,共计89台。
单机版直接部署在具XX公司所有的中间机以及涉密单机上。 (2)第一次运行策略
所有终端的策略采取以下方式进行:开机安全登录与认证,关闭光驱、软驱、串口、并口、红外、蓝牙、网络接口、1394火线、PDA。USB存储自由使用。禁止修改注册表、安装软件、安全模式启动、外联、更换设备。禁止打印、监控文件操作。特殊的终端如果需要开放特殊策略,则必须由保密办审批核准后,由信息中心系统管理员进行策略的调整与下发。
(3)设备管理及策略
终端安全登录与监控审计系统由信息中心进行管理及维护,任何策略的改动均需要经过保密办的讨论后方可实施。终端安全登录与监控审计系统的日志系统同时维护,日志的保存与备份按照《XX公司终端安全登录与监控审计系统运维管理制度》进行管理。
a、由信息中心管理终端安全登录与监控审计系统,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心对终端安全登录与监控审计系统服务器进行编号、标识密级、安放至安全管理位置。
c、信息中心负责终端安全登录与监控审计系统的日常运行维护,每周登陆设备查看服务器硬件运行状态、策略配置、系统日志等内容。
d、信息中心发现异常情况及时通报保密办,并查找问题原因,各部门配合信息中心及时解决问题。
e、信息中心负责终端安全登录与监控审计系统服务器的维修管理,设备出现问题,通知保密办,获得批准后,联系厂家负责设备的维修管理。
(4)部署后解决的风险
解决身份鉴别、数据接口控制、主机安全审计相关风险。 5.6 光盘刻录监控与审计
XX公司采用光盘刻录监控与审计系统,用于对刻录行为的监控与审计。 (1)部署
部署在具有刻录权限的内网终端、中间机以及涉密单机上。