网络安全审计案例与解决方案

网络安全审计案例与解决方案来源：比特网 2008-09-28 11:07:56 浏览次数： 【打印】需求背景 1：某部委是我国拟定方针政策、发展战略和中长期规划，组织起草有关法律法规并监督实 施的国家部委。某部的网络是一个跨地区、跨部门的综合性网络系统，下辖多个数据中心， 比如水土保持监测中心等，该网络由国家信息中心同全国省级、副省级、地市级和县级四级 政府部门信息中心构成的完整体系构成。政务外网与政务内网物理隔离，与互联网逻辑隔离。 国家电子政务外网安全管理平台用于管理国家电子政务外网中央城域网、广域网骨干网的主 要网络设备、安全设备和网络承载的业务系统的安全事件。某部委信息中心希望通过部署审计系统，旨在提高对各类安全事件的防范，规范信息发 布，保障内部重要关键主机的业务正常运行。具体而言主要包括几部分内容：第一， 对各省及地市的接入数据库的人员能准确定位，并且能够控制，只有授权许可 的人员才能察看其访问授权范围内的内容。第二， 对具有访问授权的人员所进行的网络行为操作做记录。第三，能够对办公自动化OA系统的操作进行审计，较为关注办公自动化中收发邮件、 网络共享等基本网络操作行为的审计。解决方案： 某部委网络由一个核心网络机房构成，全国省级、副省级、地市级和县级四级政府部门 信息中心与该机房的核心交换相连。网络安全建设较为完善，主要设备有防火墙、IDS、洞 扫描、网关防病毒等网络安全产品。该方案在原有网络安全设备基础上，在核心交换机处部 了署审计产品，情况如下图所示：案例点评：事实上，整个方案将审计产品作为整体安全的关键设备，审计产品部署在交换机出口处 作为监控预警的环节，对内外部的各关键节点进行保护，同时，通过审计系统，实现了与综 合管理平台SOC的有效结合与统一管理。该方案为信息中心网络构建了一道提供了从宏观到微观的多层次，立体化的网络安全保 护体系。信息中心主任如实说，“审计产品在我们的整个网络中发挥了比较重要的作用，帮 助我们在日常运维的工作中形成了一个有效的监管机制，准确定位相关人员对我们系统的数 据库、服务器等系统维护的网络行为，因此，我们对天玥网络安全审计系统表示满意。”需求背景 2：某市广播电影电视局是国家的重要行政单位，是我国研究并拟定广播电视宣传和 影视创作的方针政策，把握舆论导向的政府机构。随着我国广播电影电视的蓬勃发展， 某市广播电影电视局担负着越来越沉重的管理工作，尤其是在信息化时代到来的今天，某市 广播电影电视局必须应对新形势下的管理和舆论导向。该局为加强对内部管理和建设，对内外网着手部署了审计系统，主要达到以下目的：第一，随着总局IT系统的增多，用户的操作权限无法得到有效的控制和管理，如果内 部网络维护人员针对核心服务器进行 telnet、 x11、 Rlogin 的操作时，没有有效的监控机制 必将带来很大隐患。第二， 该局后台系统中有大量的业务应用系统，包括但不限于：业务审批系统、电子 报文系统、流媒体制作播放管理系统、 Web 服务系统、流媒体后台管理系统、运营业务管 理系统、宽带互动访谈系统、硬件系统等，承载这些系统的每一个关键服务器，都是需要做 安全保障和防护的，最为重要的是，必须能够做到角色和用户实现一对一的对应关系，保证 登录用户身份的真实性。解决方案：某市广播电影电视局包括这样一些具体的应用系统：比如，流媒体制作播放系统、Web 服务系统、流媒体后台管理系统、运营业务管理系统、宽带互动访谈系统、硬件系统等。为 了确保其内网/外网的网络安全，提供全面的网络安全建设方案，我们针对网络的特殊性， 提出了全局安全网络（GSN）解决方案，通过联动全网的网络设备、网络终端及IDS、审计 系统等，实现全面的安全防护，具体部署情况的示意图，如下：案例点评：该局采用的网络设备多为国内自主研发的设备，因此，审计产品也不例外，必须坚持采 用国产设备，一方面可以提高厂家服务响应速度，另一方面，国产设备更为安全和可靠，完 全能够适应新形势下的管理要求。随着信息化建设的深入发展，政府机构内部，政府机构之间，政府部门与公众之间，政 府部门与企业之间的沟通越来越紧密，因此，对信息系统的合规性管理就显得尤为重要，不 仅能够提升政府内部安全性，同时，更提升我政府机构的形象，所以，在通过搭建稳定可靠 的审计平台，实现以数字化管理的目的，为政府部门办事效率的提高赢来更多赞许。需求背景 3：某市财政局是拟定并贯彻实施全区财政税收的发展战略、中长期规划;负责全市政收入 的组织和预决算工作;安排行政事业单位经费预算和拨付;组织筹措高新区建设资金;负责区 属行政、企事业单位的国有资产管理;负责国有建设投资财务决算及审批工作;负责政府采购 工作;负责社会保险资金的统筹、监管等工作。众所周知，电子政务是近年来国家政府单位的重点建设项目，实现政府办公的便利性及 信息的有效互动是政府工作改革的重要目标,为实现这一目标某市财政局加快了改革步伐， 此次财政局国库支付中心系统建设项目是某市财政局的第一个试点项目，此中心建成后会将 税务、银行、省厅及所辖的各县数据库进行互连和共享，以减少国库支付的时间和流程，提 高财政工作的效率。国库集中支付是一种崭新的预算执行制度，是通过国库单一帐户体系的设置及与中央银 行进行实时清算的办法统一管理财政资金的各类支出项目，实行该制度，进一步加强对“人、 财、物”管理体制的改革力度，通过建立和健全制度，强化财务管理，发挥国库集中支付的 监督制约作用，这不仅是加大治标力度，也是治本良策，是深化财政制度改革与推进廉政建 设的又一有机结合点，将进一步从源头上预防和解决腐败问题。因此，某市财政局充分认识 到该项目工作的重要性，立足于当下信息安全的发展趋势，坚定地部署审计系统，保证系统 核心服务器系统的稳定性和数据的安全可靠性。解决方案：由于涉及到国家财政方面的工作，建成的国库支付中心系统需要对产生的海量数据进行 处理和保护，同时对历史数据进行记录和积累，因此本项目最首要的问题就是必须保证系统 核心服务器系统的稳定性和数据的安全可靠性。除了数据的安全可靠性，另外前期信息安全 方案支持以及系统建设完工后的售后维护工作是否能够提供可持续的服务也被财政局列入 考察重点和考评的依据。作为国家政府采购项目，如何保证国家的每一份投入都能最大的发 挥作用，如何建设一个高性价比的审计系统是财政局考虑的重要因素，具体部署情况如下图 所示：