第二章招标项目内容、数量、规格和技术要求
核心数据和核心设备的安全是数据中心管理的重中之重。05年以来我市劳动保障数据中心网络安全防护管理不断加强,陆续配置了防火墙、防毒墙、网闸等安全设备,建立了数据级异地容灾系统,较好地保障了劳动保障网络信息系统的稳定安全运行。但因经费等原因,数据中心在核心设备和核心数据安全防护方面还相对较弱,按照劳动保障网络信息系统安全等级保护的要求和数据中心网络安全管理实际需要,为进一步完善劳动保障网络信息系统安全防护体系,提出本次网络安全设备采购需求。
一、网络安全设备采购需求
(一)网络安全设备采购清单:
分类设备名
称
基本目的基本参数要求
数量
备注
网络安全防御
千兆
防火墙
防护核心数据安
全,提高整个网络
可靠性
2U机架式结构;最大配置不少于24个接口,现
配8个千兆SFP(含4个原厂SFP光模块)和8
个10/100/1000BASE-TX电接口,2个
10/100/1000BASE-TX管理口。要求接口支持STP
协议。网络吞吐量不少于5G,最大并发连接数不
少于200万,每秒最大新建连接数不少于5万,
现配置双电源。
2台原厂
三年
质保
IPS入侵
防御系
统
抵御网络攻击,防
护网络系统安全
1U机架式结构,最大配置不少于24个接口,现
配4个SFP口(含4个原厂SFP光模块)和4个
10/100/1000BASE-TX接口,支持4路Bypass
功能,2个10/100/1000BASE-TX管理口,吞吐
量不少于6G,具有3000条以上的攻击事件,三
年特征库升级服务
1台原厂
三年
质保
网络交换设备24口二
层交换
机
根据网络整合需
要添置,与核心交
换机H3C 9508对
接
H3C S5100-24P-SI 24个10/100/1000Base-T以
太网端口和4个复用的1000Base-X SFP千兆以
太网端口(Combo)
4台原厂
三年
质保
48口二层交换
机根据网络整合需
要添置,与核心交
换机H3C 9508对
接
H3C S5100-48P-SI 48个10/100/1000Base-T以
太网端口和4个复用的1000Base-X SFP千兆以
太网端口(Combo)
3台原厂
三年
质保
SFP光纤
单模模块用于H3C光纤连接
用,10KM
H3C 光纤单模模块,有效距离10KM 4个原厂
三年
质保
数字认证
系统
数字认
证系统用于浙江省社会
保险网上申报系
统统一软件安全
认证
网关支持多种签名数据,支持原文包含模式及原
文分享模式的PKCS#7签名的验证。
并发用户数>200,最大吞吐量>50Mbit/s。
支持B/S结构和C/S结构。
支持符合X509标准的各种数字证书的签名验证。
支持国内多种数字证书的签名验证,如:ZJCA、
CFCZ、SHECA颁发的证书。
多种开发接口支持,如:C/C++、https://www.doczj.com/doc/4c4176952.html,、JAVA、
VB、DELPHI、POWERBUILDER等。
验证结果除了包括是否正确值外,还需要包括:
签名用户的证书、原文、签名值(1024bit)等。
1台原厂
三年
质保
行为
审计设备网络访
问行为
审计系
统
对用户上网行为
进行审计
2U机架式结构;包括2个可插拨的扩展槽, 可在
用户现场升级端口无需返厂,配置2个
10/100/1000BASE-TX数据采集口,2个
10/100/1000BASE-TX管理口,最少400G存储空
间,支持双电源。
1台原厂
三年
质保
安全
管理软件安全设
备与策
略管理
系统
实现劳动保障网
络系统内所有安
全设备的分级部
署和集中监控管
理
系统要求能实现整网安全设备的网络拓扑管理、
设备策略管理、用户管理、CA管理、日志管理,
具有设备监控报警、设备升级管理、查询及统计
分析功能。要求界面美观、简洁易操作,支持基
于角色的权限划分和管理。
1套原厂
三年
质保
(二)采购主要设备技术参数要求
1、千兆防火墙
指标项
技术指标要求
系统架构★采用专用硬件架构与专用安全操作系统,基于操作系统内核的会话检测技术,专用的安全操作系统具有自主知识产权,硬件设备可以机架安装。
★采用双安全操作系统,防止配置不当或防火墙系统故障造成的网络中断,充分保证了系统的稳定性。
★软件采用模块化结构设计,可以扩展IPSEC VPN,SSL VPN,AV等功能。
性能指标★2U机架式结构;最大不少于24个接口,包括3个可插拨的扩展槽, 可在用户现场升级端口无需返厂,现配8个千兆SFP(含4个原厂SFP光模块)和8个10/100/1000BASE-TX 电接口,2个10/100/1000BASE-TX管理口。接口支持STP协议。配双电源。
★网络吞吐量不少于5G
最大并发连接数不少于200万
每秒最大新建连接数不少于5万
FW功能参数工作模式支持透明、路由、透明及路由混合模式
支持单对单、单对多、多对多的地址转换功能
支持路由、透明模式下的虚拟系统功能,支持NAT模式下的虚拟系统功能
支持每个虚拟系统具备独立的管理权限、安全策略,且虚拟系统间互不干扰
可对DMZ区服务器实现保护,如替换服务器(FTP、SMTP、POP3、telnet,HTTP)的BANNER 信息
支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤;支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤
动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP,并对其实现安全控制
支持服务器负载均衡功能,在没有专业均衡设备的条件下,通过防火墙实现多台服务器的性能叠加
支持多链路备份功能,以实现链路层高可用性
支持H.323/SIP的高可用性
支持策略路由,可基于源地址选择路由
支持动态路由协议RIP/OSPF/BGP等
★具有MPLS网络数据的安全控制
支持使用一次性口令认证(OTP)、本地认证、双因子认证(SecureID)以及数字证书(CA)等常用的安全认证方、支持RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式;
IPS功能具有对HTTP、SMTP、POP3、FTP等协议的深度内容过滤,具有URL、关键字过滤
支持对移动代码如Java applet、Java script等的过滤
具有MSN、QQ、阿里旺旺、google talk等Instant Messenger通信,并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制
可限制BT,eMule,讯雷等多种P2P应用,可以统计P2P流量和连接数,可以控制P2P流量的带宽
可以识别并阻断以下攻击行为:
land 、Smurf、Pingofdeath、ip_option、teardrop、targa3、ipspoof、Portscan等
VPN功能(IPSEC )支持与防火墙、SSL VPN统一的认证体系,支持本地认证、双因子认证(SecureID)以及数字证书(CA)等常用的安全认证方、支持LDAP、域认证等安全认证方式;
支持多路VPN隧道间备份、负载均衡;
支持链路叠加、支持手工及智能选路;
可扩展支持3000以上隧道数;
VPN功能(SSL)支持角色分组的可信接入;
支持PDA的安全接入;
支持B/S ,C/S应用系统的安全转发;
可扩展支持1500以上并发用户数;
★具有Cleaned VPN功能,能对隧道内数据进行病毒查杀和内容过滤。
★AV功能可过滤HTTP,FTP,POP3,SMTP,IMAP协议的病毒,并支持35万种以上的病毒
非法报文攻击过滤:land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、ipspoof;统计型报文攻击:Synflood、Icmpflood、Portscan、ipsweep;
SYN代理:对来自定义区域的Syn Flood攻击行为进行阻断过滤;可通过设置端口和阀值阻断CC攻击;
具有病毒库的在线自动更新,三年特征库升级服务。
★产品资质要求(投标时提供,加盖原厂公章)1. 中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
2. 中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》
3. 中国信息安全评测中心颁发的《信息技术产品安全评测证书级别:EAL3》
4. 国家版权局颁发的防火墙系统计算机软件著作权登记证书
★产品原厂
服务要求(投标时提供,加盖原厂公章)1.原厂商具备信息安全服务二级资质,提供资质证书证明材料
2. 3年原厂商质保服务,投标时出具原厂商3年售后服务承诺函
2、入侵保护系统
指标技术指标项指标要求
设备要求★专用的硬件和软
件保障
产品采用多核处理器的硬件平台架构,专用的安全操作系统具有自
主知识产权。
★端口数量和扩展
能力
1U机架式结构:最大配置不少于24个接口,可在用户现场升级端
口无需返厂,包括4个SFP口(含4个原厂SFP光模块)和6个
10/100/1000BASE-TX接口(其中2个可作为HA口和管理口),4
个接口具有Bypass
★系统吞吐量不少于6G
★攻击规则库具有3000条以上的攻击事件,三年特征库升级服务
工作模式网络接入透明,路由,IDS监听,混合
防火墙访问控制
基于状态检测的动态包过滤
基于源/目的IP地址、端口、协议、时间的访问控制
支持报文合法性检查,支持IP/MAC绑定
NAT
支持双向NAT,支持动态地址转换和静态地址转换
支持协议包括H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、
PPTP等
拒绝服务(DOS/DDOS)能对当前主流的拒绝服务做检测和阻断,例如:WinNUKE攻击、UDP Flooding、SYN Flooding等
HTTP 能对当前主流的HTTP类攻击做检测和阻断,例如:HTTP Apache 批处理文件漏洞、Apache2.0.39及以前版本存在目录遍历漏洞、Cart32 管理员口令泄露漏洞等
自定义攻击可以根据用户需求自行设置攻击规则,能对其他有害攻击行为做检测和阻断
应用监控P2P应用支持识别BT、迅雷、Napster、Popo、Kazaa等P2P类应用
IM 支持识别QQ、MSN、ICQ、UC以及Google Talk等IM类应用
游戏
支持识别魔兽世界、征途、劲舞团、跑跑卡丁车、梦幻西游以及QQ
游戏等网络游戏
异常流量能对设备的异常流量进行分析、阻断
入侵防御★引擎
具有路由、交换、直连、IDS监听四种模式
支持基于源、目的、规则集、动作的入侵检测规则
支持策略改变引擎自动重起
DDOS防御
非法报文攻击:land、Smurf、Pingofdeath、winnuke、targa3、
ipspoof
统计型报文攻击:Synflood、Udpflood、Portscan、ipsweep
支持主机连接数和半连接数的限制
动作
支持阻断drop,检测到策略中设置的数据后,丢弃报文
支持报警Alert,检测到策略中设置的数据后,进行报警
支持TCP Reset,向攻击者发TCP Reset包
支持防火墙联动,与防火墙联动,仅限IDS模式运行
报表
Webui支持实时显示按发生次数累计的攻击事件排名
支持Top10攻击者、Top10被攻击者、Top10事件统计报表
支持按时间统计的IPS流量报表
支持选定时间、网络攻击分类的统计报表
支持报表输出,输出格式可以为PDF、DOC、HTML格式
木马(Trojan)
具备丰富的木马特征库,能识别包括灰鸽子、PCShare、Gh0st、上
兴、Byshell、Npch、Downloader等多种热点木马及其变种,以及
识别多种网页挂马攻击
规则库维护支持自定义规则库导入、导出,支持系统规则库手动、自动升级
系统规则
预置系统规则集包含认证类、木马类、拒绝服务类、即时通讯类、
p2p类、溢出攻击类、扫描类、系统漏洞类、蠕虫类、HTTP攻击类、
RPC攻击类、高风险类、中风险类、低风险类和所有事件等
自定义规则支持自定义规则,支持自定义规则集
网络适应性路由
支持静态路由
支持基于源/目的地址、接口、Metric的策略路由
支持Vlan路由,能够在不同的VLAN虚接口间实现路由功能ARP 支持ARP代理、ARP学习,可设置静态ARP
高可用性★双机热备
支持双机热备(Active-Active模式)
支持连接、配置同步
★Bypass 提供专业的硬件ByPass功能,保证网络通畅
★负载均衡
具有轮询、加权轮叫、最少连接、加权最少链接等多种服务器负载
均衡方式
★备份系统
采用双安全操作系统,防止配置不当或防火墙系统故障造成的网络
中断,充分保证了系统的稳定性。
系统管理管理方式
支持WEB图形配置、命令行配置,支持本地配置、远程配置
支持基于SSH、SSL的安全配置
SNMP
支持SNMP 的v1 、v2 、v2c 、v3 版本
与当前通用的网络管理平台兼容,如HP Openview 等
丰富的私有MIB系统信息
监控和报警
支持网络接口、CPU利用率、内存使用率等
支持邮件、SNMP、控制台等多种组合报警方式
日志
支持Welf、Syslog等多种日志格式的输出
支持通过第三方软件来查看日志
其它
系统升级,支持远程维护和系统升级
系统升级,支持TFTP、FTP、HTTP方式升级
配置恢复,可进行配置文件的备份、下载、删除、恢复和上载
★产品资质要求(投标时提供复印件,加盖原厂公章)1. 中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
2. 中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》
3. 中国信息安全评测中心颁发的《信息技术产品安全评测证书级别:EAL3》
4. 国家版权局颁发的入侵防御系统计算机软件著作权登记证书
★产品原厂服务要求1.原厂商具备信息安全服务二级资质,提供资质证书证明材料
2. 3年原厂商质保服务,投标时出具原厂商3年售后服务承诺函
3、24口二层交换机数量4台
指标项规格要求
★端口数量≥24个10/100/1000 Base-T以太网端口,≥4个1000Base-X SFP千兆以太网端口★交换容量当前配置背板容量≥56Gbps
★包转发率当前配置包转发能力≥42Mpps
端口聚合支持LACP链路聚合
端口支持IEEE 802.3x流控(全双工)
支持基于端口速率百分比的风暴抑制
支持基于端口速率百分比、pps和bps的风暴抑制
VLAN 支持基于端口的VLAN(4K个)
DHCP 支持DHCP Client
支持DHCP Snooping
支持DHCP Snooping Option82
组播支持IGMP Snoopingv1/v2/v3 支持组播VLAN
生成树支持STP/RSTP/MSTP协议
DHCP 支持DHCP Client
支持DHCP Snooping
支持DHCP Snooping Option82
组播支持IGMP Snoopingv1/v2/v3 支持组播VLAN
生成树支持STP/RSTP/MSTP协议
ACL 支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN等ACL
支持基于时间段的ACL
支持基于全局、VLAN、端口(组)下发ACL
QoS 支持IEEE 802.1p/DSCP优先级
支持优先级映射
支持端口信任模式
每端口支持4个队列
支持端口队列调度(SP/WRR/SP+WRR)
镜像支持端口镜像
安全特性支持用户分级管理和口令保护
支持Radius认证
支持SSH 2.0
支持802.1X,集中式MAC地址认证支持Guest VLAN
支持端口隔离
支持端口安全
支持MAC地址学习数目限制
支持IP源地址保护
支持ARP 入侵检测功能
支持IP+MAC+端口的绑定
管理与维护支持XModem/FTP/TFTP加载升级
支持命令行接口(CLI),Telnet,Console口进行配置支持SNMP,WEB网管
支持RMON(Remote Monitoring)
支持iMC智能管理中心
支持系统日志,分级告警,调试信息输出
支持HGMPv2
支持Modem远端拨号
支持NTP
支持Ping,Tracert
支持Telnet远程维护
支持VCT(Virtual Cable Test)电缆检测功能支持Loopback-detection 端口环回检测
保修支持及服务集成商三年保修和服务, 提供原厂能正常运行需使用的特别支架、接头、插座、电缆等附件并满足机房实际布局连接要求.
4、48口二层交换机数量3台
指标项规格要求
★端口数量≥48个10/100/1000 Base-T以太网端口,≥4个1000Base-X SFP千兆以太网端口★交换容量当前配置背板容量≥104Gbps
★包转发率当前配置包转发能力≥78Mpps
端口聚合支持LACP链路聚合
端口支持IEEE 802.3x流控(全双工)
支持基于端口速率百分比的风暴抑制
支持基于端口速率百分比、pps和bps的风暴抑制
VLAN 支持基于端口的VLAN(4K个)
DHCP 支持DHCP Client
支持DHCP Snooping
支持DHCP Snooping Option82
组播支持IGMP Snoopingv1/v2/v3 支持组播VLAN
生成树支持STP/RSTP/MSTP协议
DHCP 支持DHCP Client
支持DHCP Snooping
支持DHCP Snooping Option82
组播支持IGMP Snoopingv1/v2/v3 支持组播VLAN
生成树支持STP/RSTP/MSTP协议
ACL 支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN等ACL
支持基于时间段的ACL
支持基于全局、VLAN、端口(组)下发ACL
QoS 支持IEEE 802.1p/DSCP优先级
支持优先级映射
支持端口信任模式
每端口支持4个队列
支持端口队列调度(SP/WRR/SP+WRR)
镜像支持端口镜像
安全特性支持用户分级管理和口令保护支持Radius认证
支持SSH 2.0
支持802.1X,集中式MAC地址认证支持Guest VLAN
支持端口隔离
支持端口安全
支持MAC地址学习数目限制
支持IP源地址保护
支持ARP 入侵检测功能
支持IP+MAC+端口的绑定
管理与维护支持XModem/FTP/TFTP加载升级
支持命令行接口(CLI),Telnet,Console口进行配置支持SNMP,WEB网管
支持RMON(Remote Monitoring)
支持iMC智能管理中心
支持系统日志,分级告警,调试信息输出
支持HGMPv2
支持Modem远端拨号
支持NTP
支持Ping,Tracert
支持Telnet远程维护
支持VCT(Virtual Cable Test)电缆检测功能
支持Loopback-detection 端口环回检测
保修支持及服务集成商三年保修和服务, 提供原厂能正常运行需使用的特别支架、接头、插座、电缆等附件并满足机房实际布局连接要求.
5、数字认证系统数量 1套
指标指标项规格要求
基本要求★支持协议与基本性能
网关支持标准的SSL协议,无需客户端安装专门的SSL代理产品。
并发用户数>200,最大吞吐量>50Mbit/s
支持B/S结构和C/S结构。
功能要求★支持多种应用标准与
算法
支持符合X509标准的各种数字证书的访问。
支持国内多种数字证书的访问,如:ZJCA、CFCZ、SHECA颁发的证书。
支持业界标准的高强度加密算法(如:RSA、RC4、SHA-1等)
支持多种开发接口
多种开发接口支持,如:C/C++、https://www.doczj.com/doc/4c4176952.html,、JAVA、VB、DELPHI、POWERBUILDER
等。
★支持多种验证方式
支持双向身份认证。
支持黑名单验证。
支持浙江CA的白名单验证。
支持服务器站点重定向。
支持用户证书信息捆绑,向应用服务器转发用户证书信息。
支持多个HTTPS服务。
支持从HTTP到HTTPS相互转换时的Session保持功能。
支持用户证书信息捆绑:能够根据应用需求将用户证书信息传递至应
用,并可获取白名单中的用户非证书信息传递至应用。
指标指标项规格要求
★产品服
务及测试
要求(加盖
原厂或测
试单位公
章)
1、3年原厂商质保服务,投标时出具原厂商3年售后服务承诺函
6、安全审计系统数量1台
指标指标项规格要求
基本要求★专用的硬件
和软件保障
采用专用硬件架构与专用安全操作系统;专用的安全操作系统具有自
主知识产权;硬件设备可以机架安装。
★端口数量和
扩展能力
2U机架式结构;包括2个可插拨的扩展槽, 可在用户现场升级端口无
需返厂,配置2个10/100/1000BASE-TX数据采集口,2个管理口,最
少400G存储空间,支持双电源。
功能要求★支持多种应
用协议的监控、
还原和审计
Web浏览(HTTP):能完全截获、记录、回放、归档被监测网络中所有
用户浏览的WEB内容。
电子邮件(POP3、SMTP、WEB MAIL):能完全截获、记录、回放、归档
被监测网络中所有用户收发的电子邮件。
文件下载(FTP):能记录、查询访问FTP服务器的用户名、口令,回放
用户在服务器上的操作过程、还原用户传输的数据。
即时聊天(MSN、QQ等):能完全记录用户登录时间、离开时间,用户
登录IP地址、目的IP地址、还原用户聊天内容。
流媒体(MMS、RTSP):能记录用户访问的流媒体地址,访问开始时间、
结束时间,访问流媒体名称及简介。
远程登录(TELNET):能记录和查询访问服务器上TELNET的用户名和
口令字;能记录和回放用户在服务器上的操作过程。
★流量监控与
统计功能
对重要IP进行流量监测,并绘制出直观的流量曲线图,有效发现网上
出现的异常流量。
支持对历史流量统计分析。
★报表与统计
功能
支持多种条件的统计分析。
完善的报表功能:提供多种专业化报表和分析图表。
支持多种审计
方式
实时监控:对网络中各种应用进行实时监控分析。
行为监控:可以完全记录、回放用户的网络行为。
内容查看审计:支持网络数据内容的完全还原,后期可以进行内容审
计、取证。
关键词审计:根据设定的关键词,自动快速的进行全文检索。
流量监控:通过流量监控,有效发现网上出现的异常流量。
报表统计:通过统计分析,发现网络中潜在的危险。
支持多种报警
响应方式
邮件报警
阻断
指标指标项规格要求
★灵活全面的审计策略采集策略
关键词策略流量监控策略报警响应策略统计分析策略
★资源监控和日志功能支持系统资源的实时监控。
提供完整的操作日志、系统日志记录,可以进行方便的查看、导入导出。
支持多种编码、压缩格式支持多种编码方式:Base64、Quoted-Printable、UTF-7、UTF-8。
支持多种压缩格式:Zip、Rar、Arj、Gz等,可支持多达十四层的压缩。
高速、完整、海量信息处理能力零拷贝高速抓包。
分布式数据采集、数据处理。
强大的包重组和流重组能力,可以监控各种基于协议碎片的逃避检测行为。
★增强的自身安全性基于SSL协议的加密数据传输。各软硬件模块间的身份认证。
审计引擎不对外开放端口。
分权、分级、分角色的用户管理。系统日志审计功能。
★旁路方式接入网络使用交换机镜像口、共享式HUB接入网络,不影响网络部署方式、不影响网络性能。
即插即用,安装非常简单。
强大便捷的部署、管理方式分布式部署,集中式管理。
提供功能强大的串口管理功能。
友好易用的界面,易于上手使用。
提供详细的帮助,极大地减轻了管理员的负担。
★产品资质要求(投标时提供复印件,加盖原厂公章)1. 中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
2. 中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》
3. 国家版权局颁发的安全审计系统计算机软件著作权证书
★产品原厂服务要求(投标时提供,加盖原厂公章)1.原厂商具备信息安全服务二级资质,提供资质证书证明材料
2.3年原厂商质保服务,投标时出具原厂商3年售后服务承诺函
7、安全设备与策略管理系统
功能大类子功能描述
设备管理多级安全域管理可以将设备按照管理范围划分为多个域;域之间可以有上下级关系设备远程管理在设备管理列表中选择设备,通过调用浏览器登录远程设备进行管理、在
拓扑图上选择设备进行远程管理调用
设备配置集中保存和更新能够查询、接收并保存设备配置信息,并为设备提供配置更新服务。可以为一个设备保存多个配置,可定期检查设备配置是否被私自修改;可显示配置变化状态。
设备操作开启服务、设备重启、时钟设置、设置ROOT管理员口令等;
设备批量升级可以按域或按设备制定升级计划,在有可用的升级包时在指定时间自动升
级
拓扑管理拓扑图维护显示和编辑拓扑图;放大缩小等功能。
根据安全域、设备列表以及隧道列表,生成拓扑图;
基于拓扑图状态
管理
基于拓扑图的设备与隧道监控
图形化编辑手动图形化增加、移除设备、安全域、隧道;
策略全局对象管理包括地址、区域、服务、时间和内容过滤对象等;对象分发
策略管理支持包过滤策略、访问控制策略、NAT策略、内容过滤策略;防火墙、VPN、
IPS等设备参数的统一配置;支持策略分组。
策略集中定义和下发以从手工创建策略;策略按域制定;可将策略下发并应用到所选设备(可多台)或域;
设备监视设备监视在线状态的监视,及详细信息的监视(系统资源、接口流量等);
在子域结点中显示该域内所有下级设备的活跃数;
批量监视通过分析设备健康记录判断设备运行状态;同时监控多台设备的接口信
息;在监控时可以做批量“拆除连接”操作;支持监视数据存储、回放隧道监视动态隧道状态的监视(禁用、活跃、停止、协商);
拓扑图上显示隧道的状态,包括禁用、启用状态;
CA管理本地CA功能为设备生成、更新、发放证书。
为管理员生成、更新、发放证书。
证书验证与CRL文件管理
第三方CA功能为设备导入/更新第三方CA生成的证书
验证设备和VRC身份。
支持第三方根证书和CRL导入。
支持通过HTTP、LDAP协议自动下载CRL。
日志管理日志接收及存储支持设备日志的接收和存储,以及系统日志的存储和转发。
日志查询对日志进行详细的按关键字查询
报警报警功能根据定义的报警条件,产生报警;
报警条件有VRC用户上下线,设备上下线信息,隧道连通断线信息等等。
报警方式包括邮件、WINPOP、SNMP、管理器铃声、管理器显示短信等
阀职报警CPU、MEM超限报警
软件升级设备及VRC软件
升级对设备和VRC的升级补丁进行管理;可直接为设备进行升级;也为VRC提供下载升级服务。
断点续传断点续传升级方式
升级检测TP根据设备的版本号判断是否有设备需要升级,如果有需要升级的设备,
则提示用户。
用户管理管理员管理基于角色的权限划分和管理。
统计分析统计报表输出提供统计功能,并可以打印统计报表。
可以针对单台或多台网关进行统计,还可按安全域统计,也可以针对整个
网络信息进行统计。
统计的信息应该包括设备日志、系统日志、监控信息等。
系统运行报表可以统计网关上线下线时间、在线时长、VPN隧道异常情况、网关VRC认证情况
报表形式报表支持饼图、柱状图、曲线图等多种图形方式显示
★高可靠性服务器配置备份
和恢复
可实现服务器配置备份。
可实现配置恢复。
服务器级联支持TP服务器分布式部署,下级上传关键数据
双机冗余备份服务器可以双机备份
双线路冗余备份服务器支持双线路,可以在一条线路出现故障时自动切换到另一条线路。
★产品原
厂服务要
求(加盖
公章)
3年原厂商质保服务,投标时出具原厂商3年售后服务承诺函
注:1、中标方需提供两名国家信息安全产品测评认证中心CISP 认证工程师培训,中标方需在标书内详细描述培训地点、培训形式、课程内容,所有费用均包含在投标总价内。
2、招标文件中标注“★”号的条款为不允许负偏离的技术指标,投标人必须作出满足或者优于招标文件要求的承诺,否则将按无效投标处理。
涉密计算机信息系统的安全审计 来源:CIO时代网 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况,就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理,在必要时通过多种途径向管理员发出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。 三、涉密信息系统安全审计包括的内容 《中华人民共和国计算机信息系统安全保护条例》中定义的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在《计算机信息系统保密管理暂行规定》中定义为:采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计........................ 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计............................ 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书.......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员的职责是: 1.制定信息安全审计的范围和日程; 2.管理具体的审计过程; 3.分析审计结果并提出对信息安全管理体系的改进意见; 4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。 第二条评审员由审计负责人指派,协助主评审员进行评审,其职责是: 1.准备审计清单; 2.实施审计过程; 3.完成审计报告; 4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门,其职责是: 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订
第四条审计计划应包括以下内容: 1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间; 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行重大变更后(如架构、业务方向等),需要进行一次涵盖所有部门的审计。 第三章安全审计实施 第六条审计的准备: 1.评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单,其内容主要包括: 1)需要访问的人员和调查的问题; 2)需要查看的文档和记录(包括日志); 3)需要现场查看的安全控制措施。 第七条在进行实际审计前,召开启动会议,其内容主要包括:1.评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等);
2.向受审员说明审计通过抽查的方式来进行。 第八条审计方式包括面谈、现场检查、文档的审查、记录(包括日志)的审查。 第九条评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息: 1.审计的时间; 2.被审计的部门和人员; 3.审计的主题; 4.观察到的违规现象; 5.相关的文档和记录,比如操作手册、备份记录、操作员日志、软件许可证、培训记录等; 6.审计参考的文档,比如策略、标准和程序等; 7.参考所涉及的标准条款; 8.审计结果的初步总结。 第十条如怀疑与相关安全标准有不符合项的情况, 审计员应记录所观察到的详细信息(如在何处、何时,所涉及的人员、事项,和具体的情况等)并描述其为什么不符合。关于不符合的情况应与受审员达成共识。 第十一条在每项审计结束时应准备审计报告,审计报告应包括: 1.审计的范围; 2.审计所覆盖的安全领域;
一、数据库安全审计需求概述 数据库系统是一个复杂而又关键的系统,数据库存在各种管理和技术上的风险,如果这些风险变为事实,那么企业数据将遭受严重的经济损失和法律风险。 而面对数据库的安全问题,企业常常要面对一下问题: 数据库被恶意访问、攻击甚至数据偷窃,而企业无法及时发现、追踪并阻截这些恶意的行为。 数据库遭受恶意访问、攻击后,不能追踪到足够的证据。 不了解数据使用者对数据库访问的细节,从而无法保证数据安全,特别是敏感数据的管理。 来自内部的威胁:特权用户随意修改配置、改变或盗取数据,没有明确职责分工。 针对数据库、应用系统日志的审计只能做事后分析,周期长,且无法进行持续性审计。 审计缺乏规范性,无法有效成为公司的安全管理规范且满足外部审计需求。 人工审计面对海量数据,无法满足可见性,造成审计不完整。 权责未完全区分开,导致审计效果问题。 二、企业数据管理综合解决方案 提供的一组集成模块,使用一个统一的控制台和后端数据存储,管理整个数据库的安全与合规周期。通过,现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库,又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越,而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零,无需对数据库作任何变更,甚至不依赖本地数据库日志或审计工具。 三、通过管理数据安全 发现、分类并且自动寻找、分类和保护敏感信息 使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置,然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策
略。 评估加固漏洞、配置和行为评估,锁定与追踪 的数据库安全评估功能会扫描整个数据库架构,查找漏洞,并使用实时和历史数据提供持续的数据库安全状态评估。它预先配置了一个综合测试库,建立在特定平台漏洞和业界最佳实践案例的基础之上,可以通过的订阅服务得到定期更新。也可以自定义测试,以满足特定的要求。评估模块还会标记与合规相关的漏洞,如遵从和法规提供非法访问和数据表的行为。 监控¥执行—可视性,监控和执行各项策略,主动实时安全通过定制细粒化的实时策略来防止特权用户进行非法或可疑的行 为,同时抵挡欺诈用户或外来者的攻击。 审计报表—细粒度审计追踪,合规工作流自动化 创建一个覆盖所有数据库活动的连续、详细的追踪记录,并实时的语境分析和过滤,从而实现主动控制,生成需要的具体信息。生成的结果报表使所有数据库活动详细可见。 四、数据库安全审计解决方案的突出特点和优势: .可以同时支持监控管理多种数据库()的各种版本; .同时支持多种企业级应用()、应用服务器中间件服务器();.非入侵式部署,不影响网络、数据库服务器现有运行方式及状况,对用户、网络、服务器透明,不在数据库内安装,不需要数据库建立用户;.具有实时阻断非法访问,抵御攻击能力; .可以实现从用户、应用服务器到数据库的全程跟踪即可记录; .可以实现全方位准确监控(来自网络的访问和本地登录访问); .具备分布式部署和分层架构能力,支持企业级不同地域、多种数据库的应用; .部署容易简单; .独特跟踪下钻()功能,追查问题可以一步步到最底层; .多行业、众多客户成功应用案例的证明; .对、、等法律遵从性的良好支持; .国际著名审计公司的认同、认可; .第三方国际著名咨询评测机构的认可和赞赏; .支持多种异构操作系统; .记录的日志不可更改,完全符合法律要求;
网络安全审计系统需 求分析
安全审计系统需求分析 关键字:行为监控,内容审计 摘要:系统集内容审计与行为监控为一体,以旁路的方式部署在网络中,实时采集网络数据,并按照指定策略对数据进行过滤,然后将数据所体现的内容和行为特性一并存在到数据服务器上。向用户提供审计分析功能,以及后期取证功能。 需求背景 按等级进行计算机信息系统安全保护的相关单位或部门,往往需要对流经部门与外界接点的数据实施内容审计与行为监控的,以防止非法信息恶意传播及国家机密、商业知识和知识产权等信息泄露。并且单位的网管部门需要掌握网络资源的使用情况,提高单位或部门的工作效率。 所涉及的单位类型有政府、军队机关的网络管理部门,公安、保密、司法等国家授权的网络安全监察部门,金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心,大中型企业网络管理中心等。 一、实现的效果和目的 a. 对用户的网络行为监控、网络传输内容审计(如员工是否在工作时间上网冲浪、聊天,是否访问不健康网站,是否通过网络泄漏了公司的机密信息,是否通过网络传播了反动言论等)。 b. 掌握网络使用情况(用途、流量),提高工作效率。 c. 网络传输信息的实时采集、海量存储。
d. 网络传输信息的统计分析。 e. 网络行为后期取证。 f. 对网络潜在威胁者予以威慑。 二、典型的系统组成 安全审计系统由三部分组成:审计引擎、数据中心、管理中心。 图1 :典型的单点部署 审计引擎(硬件):审计引擎对流经HUB/Switch的信息进行采集、过滤、重组、预分析,并把分析后的数据流发送给数据中心。 数据中心(软件):对审计引擎传送过来的数据流进行存储;按照用户的指令对数据进行还原、解码、解压缩,并可进行关键字查询审计、统计分析。 管理中心(软件):提供WEB形式的管理界面,可以方便的对系统进行管理、对网络行为监控、内容审计。用户使用WEB浏览器可以实现对整个系统的管理、使用。
第1页(共3页) 管理学作业答题纸 管理信息系统作业02(第5-8单元)答题纸 学籍号:姓名:分数: 学习中心:专业:____________ 本次作业满分为100分。请将每道题的答案写在对应题目下方的横线上。 题目1 [50 分] 答:内部控制制度审计:为了保证信息系统能够安全可靠地运行,严格内部控制 制度十分必要,它可以保证数据功能所产生的信息具有正确性、完整性、及时性 和有效性。 应用程序审计:计算机应用程序审计是信息系统审计的重要内容,这是因为企业 处理经济业务的目的、原则和方法都体现在计算机程序之中,他们是否执行国家 的方针政策,是否执行财经纪律和制度也往往在应用程序中体现出来。 数据文件审计:数据文件审计包括由打印机打印出来的数据文件和存储在各种介 质之上的数据文件的审计,包括会计凭证、会计帐本和会计报表,需要通过信息 技术进行测试。主要包括三个方面: 测试信息系统数据文件安全控制的有效性; 测试信息系统数据文件安全控制的可靠性; 测试信息系统数据文件安全控制的真实性和准确性。 处理系统综合审计:对信息系统中的硬件功能、输入数据、程序和文件4个因素 进行综合的审计,以确定其可靠性和准确性。 系统开发审计: 指对信息系统开发过程进行审计。包括两个目的:一是要检查开发的方法和程序 是否科学合理,是否受到恰当的控制;
第2页(共3页)二是要检查开发过程中产生的系统资料和凭证是否符合规范。 题目2 [50 分] 答:(1) 模块 通常是指用一个名字就可以调用的一段程序语句为物理模块。 在模块结构图中,用长方形框表示一个模块,长方形中间标上能反映模块处理功 能的模块名字。 模块名通常由一个动词和一个作为宾语的名词组成。 (2) 调用 模块间用箭头线联接,箭尾表示调用模块,箭头表示被调用模块。箭尾菱形表示 有条件调用,弧形箭头表示循环调用。 调用关系有:直接调用、条件调用(判断调用)和循环调用(重复调用)。(3) 数据 模块之间数据的传递,使用与调用箭头平行的带空心圆的箭头表示,并在旁边标 上数据名。箭头方向表示数据传送方向。 (4) 控制信息 为了指导程序下一步的执行,模块间有时还必须传送某些控制信息,例如,数据 输入完成后给出的结束标志。 控制信息与数据的主要区别是前者只反映数据的某种状态,不必进行处理。在模 块结构图中,用带实心圆点的箭头表示控制信息。 其中专业理论知识内容包括:保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括:岗位操作指引、勤务技能、消防技能、军事技能。 二.培训的及要求培训目的 安全生产目标责任书
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。随着计算机及网络技术的迅速发展,审计机关要想完成“全面审计,突出重点”的审计目标,担负起社会经济运行的“免疫系统”作用,就必须加快信息系统审计的步伐。为此,笔者认为,审计机关要开展好信息系统审计,就必须把握重点,加强组织,制定措施,积极推进。 一、开展信息系统审计应把握的重点 1、信息系统审计的目标和内容 信息系统审计目标:信息系统审计不仅要对系统信息的合法性、公允性进行审计,还要对信息系统的硬件和软件,以及整个信息系统的安全性、稳定性、内部控制的健全性与有效性等方面进行审计,指出被审计单位信息系统内部管理和控制上的薄弱环节,提高其信息系统的可靠性和真实性,有效地防止利用信息技术随意篡改系统信息或破坏磁介质上的数据等舞弊行为的发生。因此,信息系统审计目标不仅仅在于应用计算机进行审计(即传统EDI 审计或计算机辅助审计),更重要的是要对信息系统本身的安全性、稳定性及其实现组织目标的有效性进行实时的检查、评价和改造。 信息系统审计内容:主要包括信息系统开发过程审计、一般控制审计和应用控制审计三个方面。 2、信息系统审计的职能和方式 为了实现审计目标,保证和咨询应成为对信息系统进行审计的两大基本职能。“保证”即“系统可靠性保证”,就是通过对信息系统运行过程、商业连续性能力、维护状况进行评价,合理保证信息系统安全、稳定、有效,它是信息系统审计最基本的职能。“咨询”是指审计人员能够向信息系统的高层管理者以及使用者提供解决问题的方案,以达到改善经营和为组织增加价值的目的。 信息系统审计组织方式:一种是将信息系统审计作为常规项目审计的一部分,是为整个审计项目的总体目标服务的。检查信息系统本身及其内部控制的可靠性和有效性,为数据审计服务,最终通过审计数据得出审计结论,即数据审计、信息系统审计和系统内控审计“三位一体”的结合方式。另一种是独立立项的信息系统审计,直接针对信息系统进行审计,将信息系统本身的安全性、可靠性和有效性作为审计目标。现阶段开展的信息系统审计以第一种方式为主。 3、信息系统审计的依据和原则
数据库安全审计建设立项申请报告 1数据库系统安全隐患分析 我单位的信息系统中关键数据库服务器群中的数据服务器存储着大量涉密、重要数据信息。用户数据服务器通过数据库管理系统实现对信息资源的存储管理。我单位信息系统网络系统用户数量众多,用户相互差别较大,对数据库涉密信息、重要业务信息的访问频繁。用户对数据库的任何恶意修改或误操作,都关系我单位信息系统业务数据信息的可用性、完整性与机密性,目前数据库安全隐患集中在: ●信息存储加密:数据的安全性; ●系统认证:口令强度不够,过期账号,登录攻击等; ●系统授权:账号权限,登录时间超时等; ●系统完整性:特洛伊木马,审核配置,补丁和修正程序等; 2建立数据库安全审计体系的必要性 2.1数据安全保护形势严峻 随着信息技术的不断发展,数字信息逐渐成为一种重要资产,尤其是在过去的20多年里,作为信息的主要载体——数据库,其相关应用在数量和重要性方面都取得了巨大的增长。几乎每一种组织都使用它来存储、操纵和检索数据。随着人们对数据的依赖性越来越高,各种数据信息都成为了关系组织生存的重要资产。网络化时代的到来、互联网技术的普及更加深了数据保护的矛盾,网络技术使得数字信息的泄漏和篡改变得更加容易,而防范则更加困难。 更为严重的是,所有信息泄漏事件中,源自内部人员所为的占了绝大部分。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过85%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5万美元
的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。 因此,近两年来,大多数企事业单位和政府机关纷纷把关注的目光投向信息系统数据的安全问题,尤其是内部网络的管理和防护。 2.2现有数据安全防护体系存在不足 现在较为普遍的做法是在原有网络安全防护(防火墙、IDS、UTM等传统安全设备)的基础上,采用上网行为管理类、终端管理类等具备较强防止内部信息外泄功能的产品,筑起了一道由内向外的安全防线,典型的安全防护体系如下图所示: 图:数据库安全防线的缺失 从这幅典型的网络拓扑图中,我们不难看出,安全防护体系中缺失的正是对服务器区的防护,对数据库的防护,对内部PC访问业务系统的防护! 尽管可能使用的数据库系统是Oracal、MS SQL是国际大品牌的产品,其本身有非常强的安全性,但依然可能存在诸多隐患: 1)对数据库访问的特权都有管理不当的问题。开发者、移动员工和外部顾
面向业务的信息系统的安全审计系统 近些年来,IT系统发展很快,企业对IT系统的依赖程度也越来越高,就一个网络信息系统而言,我们不仅需要考虑一些传统的安全问题,比如防黑客、防病毒、防垃圾邮件、防后门、防蠕虫 等,但是,随着信息化程度的提高,各类业务系统也变得日益复杂,对业务系统的防护也变得越来越重要,非传统领域的安全治理也变得越来越重要。根据最新的统计资料,给企业造成的严重攻击中70%是来自于组织中的内部人员,因此,针对业务系统的信息安全治理成为一道难题,审计应运而生。 一、为什么需要面向业务的信息安全审计? 面向业务的信息安全审计系统,顾名思义,是对用户业务的安全审计,与用户的各项应用业务有密切的关系,是信息安全审计系统中重要的组成部分,它从用户的业务安全角度出发,思考和分析用户的网络业务中所存在的脆弱点和风险。 我们不妨先看两个鲜活的案例。不久前,中国青年报报道,上海一电脑高手,方某今年25岁,学的是计算机专业,曾是某超市分店资讯组组长。方某利用职务之便,设计非法软件程序,进入超市业务系统,即超市收银系统的数据库,通过修改超市收银系统的数据库数据信息,每天将超市的销售记录的20%营业款自动删除,并将收入转存入自己的账户。从2004年6月至2005年8月期间,方某等人截留侵吞超市3家门店营业款共计397万余元之多。 程某31岁,是X公司资深软件研发工程师,从2005年2月,他由A
地运营商系统进入B地运营商的业务系统--充值中心数据库,获得最高系统权限,根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥,然后把“已充值”状态改为“未充值”,并修改其有效日期,激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出,非法获利380万。 通过上述两个案例,我们不难发现,内部人员,包括内部员工或者提供第三方IT支持的维护人员等,他们利用职务之便,违规操作导致的安全问题日益频繁和突出,这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题,但是,对于这类与业务息息相关的操作行为、违规行为的安全问题,必须要有强力的手段来防范和阻止,这就是针对业务的信息安全审计系统能够带给我们的价值。 二、如何理解面向业务的信息安全审计? 信息安全审计与信息安全管理密切相关,信息安全审计的主要依据为信息安全管理相关的标准,例如ISO/IEC17799、ISO17799/27001、COSO、COBIT、ITIL、NISTSP800系列等。这些标准实际上是出于不同的角度提出的控制体系,基于这些控制体系可以有效地控制信息安全风险,从而达到信息安全审计的目的,提高信息系统的安全性。因此,面向业务的信息安全审计系统可以理解成是信息安全审计的一个重要的分支。 根据国外的经验,如在美国的《萨班斯-奥克斯利法案
当前数据库安全现状及其安全审计 大学数据库原理教科书中,数据库是这样被解释的:数据库是计算机应用系统中的一种专门管理数据库资源的系统。数据具有多种形式,如文字/数码/符号/图形/图象以及声音。 数据库安全现状 数据库系统立足于数据本身的管理,将所有的数据保存于数据库中,进行科学地组织,借助于数据库管理系统,并以此为中介,与各种应用程序或应用系统接口,使之能方便地使用并管理数据库中的数据,如数据查询/添加/删除/修改等。 数据库无所不在。海量的数据信息因为数据库的产生而变得更加容易管理和使用。政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业等行业,纷纷建立起各自的数据库应用系统,以便随时对数据库中海量的数据进行管理和使用,国家/社会的发展带入信息时代。同时,随着互联网的发展,数据库作为网络的重要应用,在网站建设和网络营销中发挥着重要的作用,包括信息收集/信息查询及搜索/产品或业务管理/新闻发布/BBS论坛等等。 然而,信息技术是一把双刃剑,为社会的进步和发展带来遍历的同时,也带来了许多的安全隐患。对数据库而言,其存在的安全隐患存在更加难以估计的风险值,数据库安全事件曾出不穷: 某系统开发工程师通过互联网入侵移动中心数据库,盗取冲值卡 某医院数据库系统遭到非法入侵,导致上万名患者私隐信息被盗取 某网游公司内部数据库管理人员通过违规修改数据库数据盗窃网游点卡 黑客利用SQL注入攻击,入侵某防病毒软件数据库中心,窃取大量机密信息,导致该防病毒软件公司严重损失 某证券交易所内部数据库造黑客股民入侵,盗窃证券交易内部报告 …… 数据库安全面临内部恶意操作以及外部恶意入侵两大夹击。如何有效保护数据库信息成为当前信息安全界最为关注的课题。 数据库安全分析 三大安全风险
网络安全审计系统的实现方法 司法信息安全方向王立鹏1 传统安全审计系统的历史 传统的安全审计系统早在70年代末、80年代初就已经出现在某些UNDO系统当中,其审计的重点也是本主机的用户行为和系统调用。在随后的20年间,其他的各个操作系统也有了自己的安全审计工具,如符合C2安全级别的Windows NT, Nnux的syslog机制以及SUN 13SM等。 2 常用安全措施的不足和基于网络的安全审计系统的出现 近几年来,随着开放系统Internet的飞速发展和电子商务的口益普及,网络安全和信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及IDS(人侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。 2.1防火墙技术的不足 防火墙技术是发展时间最长,也是当今防止网络人侵行为的最主要手段之一,主要有包过滤型防火墙和代理网关型防火墙两类。其主要思想是在内外部网络之间建立起一定的隔离,控制外部对受保护网络的访问,它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟的一种技术,但是由于防火墙技术自身存在的一些缺陷,使其越来越难以完全满足当前网络安全防护的要求。 包过滤型防火墙如只实现了粗粒度的访问控制,一般只是基于IP地址和服务端口,对网络数据包中其他内容的检查极少,再加上其规则的配置和管理极其复杂,要求管理员对网络安全攻击有较深人的了解,因此在黑客猖撅的开放Internet系统中显得越来越难以使用。 而代理网关防火墙虽然可以将内部用户和外界隔离开来,从外部只能看到代理服务器而看不到内部任何资源,但它没有从根本上改变包过滤技术的缺陷,而且在对应用的支持和速度方面也不能令人满意 2.2入侵检测技术的不足 人侵检测技术是防火墙技术的合理补充,能够对各种黑客人侵行为进行识别,扩展了网络管理员的安全管理能力。一般来说,人侵检测系统(IDS)是防火墙之后的第二层网络安全防护机制。 目前较为成熟的IDS系统可分为基十主机的IDS和基于网络的IDS两种。 基于主机的IDS来源于系统的审计日志,它和传统基于主机的审计系统一样一般只能检测发生在本主机上面的人侵行为。 基于网络的IDS系统对网络中的数据包进行监测,对一些有人侵嫌疑的包作出报警。人侵检测的最大特色就是它的实时性…准实时性),它能在出现攻击的时候发出警告,让管理人员在在第一时间了解到攻击行为的发生,并作出相应措施,以防止进一步的危害产生。实时性的要求使得人侵检测的速度性能至关重要,因此决定了其采用的数据分析算法不能过于复杂,也不可能采用长时间窗分析或把历史数据与实时数据结合起来进行分析,所以现在大
此处是Logo 数据库审计系统 技术白皮书 地址: 电话: 传真: 邮编:
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。
目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)
数据库安全审计解决方案
————————————————————————————————作者:————————————————————————————————日期: 2
一、数据库安全审计需求概述 数据库系统是一个复杂而又关键的系统,数据库存在各种管理和技术上的风险,如果这些风险变为事实,那么企业数据将遭受严重的经济损失和法律风险。 而面对数据库的安全问题,企业常常要面对一下问题: ?数据库被恶意访问、攻击甚至数据偷窃,而企业无法及时发现、追踪并阻截这些恶意的行为。 ?数据库遭受恶意访问、攻击后,不能追踪到足够的证据。 ?不了解数据使用者对数据库访问的细节,从而无法保证数据安全,特别是敏感数据的管理。 ?来自内部的威胁:特权用户随意修改配置、改变或盗取数据,没有明确职责分工。 ?针对数据库、应用系统日志的审计只能做事后分析,周期长,且无法进行持续性审计。 ?审计缺乏规范性,无法有效成为公司的安全管理规范且满足外部审计需求。 ?人工审计面对海量数据,无法满足100%可见性,造成审计不完整。?DBA权责未完全区分开,导致审计效果问题。 二、Guardium企业数据管理综合解决方案 InfoSphere Guardium提供的一组集成模块,使用一个统一的控制台和后端数据存储,管理整个数据库的安全与合规周期。通过Guardium,IBM 现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库,又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越,而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零,无需对数据库作任何变更,甚至不依赖本地数据库日志或审计工具。 三、通过Guardium管理数据安全 ?发现、分类并且自动寻找、分类和保护敏感信息 使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置,然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策
360数据库审计系统产品白皮书
目录 1.产品概述 (3) 2.产品特点 (3) 2.1专业的数据库审计 (3) 2.2业务操作实时回放 (3) 2.3事件精准定位 (4) 2.4事件关联分析 (4) 2.5访问工具监控 (4) 2.6黑白名单审计 (5) 2.7变量审计 (5) 2.8关注字段值提取 (5) 2.9丰富完善的报表报告 (5) 3.产品价值 (5) 3.1未知数据库资产发现 (5) 3.2敏感数据信息管理 (6) 3.3数据库安全事件预警 (6) 3.4数据库安全事件追溯 (6) 3.5辅助用户数据库访问策略制定 (6) 3.6满足用户合规需求 (6) 4.主要功能 (6)
1.产品概述 360数据库审计系统是针对网络访问数据库的操作行为进行细粒度分析的安全设备,它可提供实时监控、违规响应、历史行为回溯等操作分析功能,是满 足数据库风险管理和内控要求、提升内部安全监管,保障数据库安全的有效手段。 2.产品特点 2.1专业的数据库审计 360数据库审计系统能够对业务网络中的各种数据库进行全方位的安全审计,具体包括: 1)数据访问审计:记录所有对保护数据的访问信息,包括文件操作、数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为,防止外部黑客入侵访问和内部人员非法获取敏感信息 2)数据变更审计:统计和查询所有被保护数据的变更记录,包括核心业务数据库表结构、关键数据文件的修改操作等等,防止外部和内部人员非法篡改重要的业务数据 3)用户操作审计:统计和查询所有用户的登录成功和失败尝试记录,记录所有用户的访问操作和用户配置信息及其权限变更情况,可用于事故和故障的追踪和诊断 4)违规访问行为审计:记录和发现用户违规访问。支持设定用户黑白名单,以及定义复杂的合规规则,支持告警 2.2业务操作实时回放 360数据库审计系统产品能对访问数据库操作进行实时、详细的监控和审计,包括各种登录命令、数据操作指令、网络操作指令,并审计操作结果,支持过程回放,真实地展现用户的操作。
数据库内部安全审计 一、背景 在信息系统的整体安全中,数据库往往是最吸引攻击者的目标,许多网络攻击的根本目的就是获取存放在数据库中的重要信息。传统的数据库安全保障方法一定程度上提高了数据库系统的安全性,但是它们大多是被动的安全技术,以预防为主,无法有效地制止入侵行为,特别是对于数据库用户( 如数据库管理员等) 的权限滥用等内部攻击常常是无能为力的。 内部威胁问题具体表现为: (1)非故意的授权用户攻击,即用户不小心访问到了通常不访问的敏感信息,严重的是无意间将其错误地修改或者删除了; (2)盗取了正常用户信息的攻击者对数据库进行操作,他们拥有合法的访问权限,对数据库数据进行肆意的盗窃和破坏; (3)心怀不轨的内部工作人员对数据库的恶意攻击。 据统计,数据库安全问题近80%来自数据库系统内部,即数据库系统授权用户没有按照自身授权进行数据操作,而是跨越权限篡改或破坏数据。根据2013年Verizon的数据泄露调查报告:所有数据泄露事件中76%源自授权用户对敏感数据的访问;在47000多件安全事故中,69%的攻击来自于内部人员。京东发生的大型数据泄露事件造成5O亿条公民信息流出,导致用户损失数百万元,罪魁祸首就是内部工作人员。内部原因造成的数据库损失发生率和影响度都远远超过人们的想象。 由于此类安全问题发生在系统集团内部,因此,对数据库的危害极大,并且传统的入侵检测方法和数据库安全规则都不能有效防御这些问题,即使一些防火墙软硬件也无法实时检测内部入侵。因此,针对数据库系统中用户异常行为检测研究就显得尤为重要。 据统计,传统的数据安全模型是上个世纪 70 年代提出的,并且得到较好发展。到目前为止,在数据库上实现的安全策略基本上没有变化,仍旧为访问控制、用户认证、审计和加密存储。安全审计的任务是对用户已经完成的行为,给予回追式的分析,并对该行为的结果给出最终评价。这些安全机制在数据库管理上取得了较好成绩,但是面对高素质攻击人员、多样化攻击手段和复杂的网络环境,这些安全机制将无法实时监测入侵行为,保护数据库与数据的安全。基于异常的入侵检测是入侵检测研究领域中的一个重要课题,并取得了一定的研究成果。但是,这些研究成果主要针对操作系统和计算机网络,针对数据库系统的研究成果则相对较少。 以访问控制为例,虽然访问控制能够保证只有拥有相关权限的用户才可以访问数据,这也是防止数据泄露的第一道屏障,但是访问控制有一定的限制:如果采用严格的机制,访问控制的规则可能表达不够充分,在动态的环境中访问控制的规则可能需要频繁地更新,这些
目录 1.1网络部署模式 (3) 1.1.1旁路部署模式 (3) 1.2系统启动、登录 (3) 1.3系统操作界面介绍 (4) 1.4系统操作模式 (5) 1.4.1面向功能的操作模式 (5) 1.4.2面向审计对象的操作模式 (7) 1.5审计对象管理 (8) 1.5.1机器组管理 (8) 1.5.2机器管理 (13) 1.6管理策略 (15) 1.6.1控制策略 (15) 1.7审计日志查询 (23) 1.7.1行为审计 (24) 1.7.2内容审计 (30) 1.7.3现场观察 (32) 1.8网络中使用路由器的改造方法 (34) 1.9设备使用注意事项 (35) 网络安全审计系统基本功能简介
1.1网络部署模式 1.1.1旁路部署模式 网络安全审计系统旁路基本部署示意图 1.2系统启动、登录 网络安全审计系统采用B/S模式进行管理,用户在网络中任何一台机器都可以通过网页浏览器登录系统: 第一步:打开局域网内任意机器的IE浏览器,输入HTTPS://系统IP地址,出现以下安全警报界面,选择“是”进入系统登录界面:
说明:如果不知道系统IP地址,请咨询系统的安装人员。 第二步:选择界面显示的语言(简体中文/繁体中文/English)、输入用户名、密码以及校验码;(系统默认用户名admin密码123456) 第三步:点击“登录”按钮进入系统主界面,或点击“重置”按钮清除当前输入框中所有数据重新录入进行登录; 注意: 1.在登录时系统主窗口采用弹出式,因此请您务必检查是否有IE插件限制了弹出窗口; 2.网络安全审计系统出厂时的用户名是admin,密码是123456。为了安全起见,请在首次登录时 通过“个性设置->我的帐号->密码修改”功能,修改默认密码。 1.3系统操作界面介绍 为了便于说明,本手册将系统操作界面分成四个部分,通常页面的上部为系统名称和快捷按钮区,页面的左侧为导航菜单区,右侧为数据显示区,其中数据显示区的上部为查询区,中间为信息显示区。除中间的数据显示区外,其它各个区都可以选择隐藏。用户可以在导航菜单栏选择不同的系统操作模式,另外,数据显示区采用OUTLOOK风格,当用户在数据显示区点击数据列表中的记录,列表下方将实时显示该记录的详情,在数据显示区上方为数据查询区,用户可以通过设置具体查询条件以便在数据列表中只显示特定的记录;
涉密计算机安全保密审计报告 审计对象:xx计算机审计日期:xxxx年xx月xx日审计小组人员组成:姓名:xx 部门:xxx 姓名:xxx 部门:xxx 审计主要内容清单: 1. 安全策略检查 2. 外部环境检查 3. 管理人员检查 审计记录 篇二:审计报告格式 审计报告格式 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、 入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御 外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或 入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到 重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计 以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的 局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地 区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后 的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、 可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之 一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进 行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。 安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银 行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记 录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己 的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数 据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系 统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面 综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况, 就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它 的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据 资源等进行监控和管理,在必要时通过多种途径向管理员发 出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作 用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行 为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要 改进和加强的地方。