信息安全审计系统在等级保护建设中的应用分析.docx

信息安全审计系统在等级保护建设中的应用分析引言在国外随着诸如萨班斯法案等信息安全标准和法规的颁布国外的信息安全审计己经企业得到了广泛的应用而在我国信息安全审计主要来源于企业信息安全管理的需求企业内控的要求并且获得了一定规模的应用而随着计算机信息安全等级保护的推进信息安全审计必然越来越受到政府企事业单位的重视目前市场上存在着各种各样的信息安全审计系统其功能不一部署使用力一式也不相同如何在等保建设中更好的应用审计系统木文在以下内容中给出了分析和建议信息安全审计的意义和目的计算机信息安全是要保证计算机信息系统中信息的机密性完整性可控性可用性和不可否认性抗抵赖简称五性安全审计是这五性的重要保障之一它对计算机信息系统中的所有资源包括数据库主机操作系统安全设备网络行为等进行安全审计提供给系统管理员作为系统维护以及安全防范的依据安全审计如同银行的监控系统任何人进出银行柜台操作都进行如实录像记录一旦有异常事件可以快速的查阅进出记录和行为记录确定问题所在以便采取相应的处理措施信息系统的安全审计工作更为复杂通过统一收集信息系统中的设备系统终端应用的登录操作日志以及其它各种网络行为例如互联网访问传输电子邮件等记录通过综合关联分析从各类记录中进行多层而多视角的跟踪分析和处理发现异常事件及时采取相应措施通过以上分析可以看到信息安全审计在信息安全管理体系中是不可缺失的部分它的作用主要如下对正在发生的各类信息事件进行监控记录和告警为安全主管提供审计记录和分析决策及时针对异常行为采取措施通过安全审计记录可以对于发生的信息系统破坏行为提供有效的法律追究证据有效的安全审计策略和安全审计防护措施可以对潜在的攻击者起到震慑和警告的作用等级保护中安全审计问题等级保护中的安全审计要求等级保护是我国目前在非涉密系统信息安全防护一个有效的政策依据等级保护测评中对网络主机数据库和应用都有相应的安全审计要求各安全域通用要求审计记录的内容至少应包括事件的日期时间发起者信息类型描述和结果等应保护审计进程避免受到未预期的中断应对审计记录进行保护避免受到未预期的删除修改或覆盖等网络设备和网络安全设备特殊要求应对网络系统中的网络设备运行状况网络流量用户行为等进行日志记录主机和数据安全审计特殊要求审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户审计内容应包括重要用户行为系统资源的异常使用和重要系统命令的使用等应能够根据记录数据进行分析并生成审计报表等级保护中存在的安全审计问题在实际测评中由于企业对安全审计不够重视导致存在诸多安全隐患不但影响了测评结果也给企业带来了安全风险网络设备和安全设备存在的问题未开启安全审计功能或只设置了相应的日志服务器但没专人定期对日志分析记录记录内容较简单只包含用户登录行为而对设备运行情况网络告警信息流量信息都未记录只是简单的对日志进行保存并未能运用这些数据做分析统计并从中发现问题对审计记录的保存未做过优化或定期检查没有专人进行维护不能确保审计记录不会被修改或删除主机和数据库存在的问题系列主机安全审计功能一般都未启而对于系列的主机安全审计功能均是系统默认设置主机开启了审计服务但审计对象只包含了操作系统用户而对数据库用户和其他系统的用户并未进行审计只是简单对日志进行保存并没有专人对这些数据统进行计分析统计对审计日志的记录的内容采取了系统默认保存方法对日志存储位置存储最大值以及达到最大值后的处理都未设置对审计进程和审计日志均没有专人去做维护检查不能保证审计系统的安全运行审计日志不被非法修改等级保护中安全审计的重要性从保测评的结果看来不少企业对安全审计不够重视信息安全建设主要集中于传统的信息安全基础设施如部署防火墙等目前企业的信息安全管理主要依托于这类网关型安全设备上忽略了事中监控和事后审计溯源的安全管理从实际测评中发现造成这一系列问题的主要原因是未能认识信息安全审计的重要性对信息安全审计所需的各类资源投入不足有效安全审计手段的缺失不仅使企业信息安全等级保护不足而且也使企业自身信息安全管理体系存在短板导致企业存在以下安全风险内部风险由内部员工违规操作导致的安全风险和网络的非法接入带来的风险第二力一维护企业系统由第二力一维护所带来的风险系统日志单纯的分析业务系统或者数据库系统的日志都无法对整个访问过程是否存在风险进行判断信息安全审计系统在等级保护建设中的应用等级保护建设中提出了很多具体的安全审计要求不少企业不知从何处着手开展工作信息安全审计系统种类繁多针对性强在等级保护建设过程应该根据等级保护的具体要求并结合这些审计系统的特点有针对性的进行建设才能最终满足等级保护要求提高企业安全水平等保三级系统中网络设备和网络安全设备的安全审计等级保护基木要求应对网络系统中的网络设备运行状况网络流量用户行为等进行日志记录审计记录应包括事件的日期和时间用户事件类型事件是否成功及其他与审计相关的信息应能够根据记录数据进行分析并生成审计报表应对审计记录进行保护避免受到未预期的删除修改或覆盖等可采用的审计系统按照等级保护二级系统中对网络设备和网络安全设备的安全审计基本要求可采用网络审计系统符合度分析网络审计系统通过网络数据的采集分析识别实时动态监测通信内容网络行为和网络流量发现和捕获各种敏感信息违规行为实时报警响应全而记录网络系统中的各种会话和事件实现对网络信息的智能关联分析评估及安全事件的准确全程跟踪定位等保三级系统中主机和数据库的安全审计等级保护基木要求审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户审计内容应包括重要用户行为系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件审计记录应包括事件的日期时间类型主体标识客体标识和结果等应能够根据记录数据进行分析并生成审计报表应保护审计进程避免受到未预期的中断可采用的审计系统按照等级保护二级系统中对主机和数据库的安全审计基本要求可采用终端审计系统运维审计系统数据库审计系统总结信息安全管理是一个完整的体系必须要考虑到信息安全的事前防御事中监控事后分析信息安全审计系统的引入在等级保护工作中填补了在传统企业安全溯源不足所带来的风险信息安全审计系统代替了设备自身的日志记录功能可实现系统的统一管理本文通过研究等级保护要求及信息安全审计系统功能给出了信息安全审计系统在等级保护建设中的应用模式真正落实信息安全等级保护的要求确保机构信息安全符合相关法规标准要求