安全等级保护建设实施方案

1、-. z. / v .*信息平安等级保护三级建立方案目录 TOC o 1-3 h z u 1.前言 PAGEREF _Toc351791582 h 31.1概述 PAGEREF _Toc351791583 h 31.2相关政策及标准 PAGEREF _Toc351791584 h 32.现状及需求分析 PAGEREF _Toc351791585 h 52.1.现状分析 PAGEREF _Toc351791586 h 52.2.需求分析 PAGEREF _Toc351791587 h 53.等保三级建立总体规划 PAGEREF _Toc351791588 h 63.1.网络边界平安建立 PAGE

2、REF _Toc351791589 h 63.2.日志集中审计建立 PAGEREF _Toc351791590 h 63.3.平安运维建立 PAGEREF _Toc351791591 h 63.4.等保及平安合规性自查建立 PAGEREF _Toc351791592 h 63.5.建立方案优势总结 PAGEREF _Toc351791593 h 74.等保三级建立相关产品介绍 PAGEREF _Toc351791594 h 94.1.网络边界平安防护 PAGEREF _Toc351791595 h 94.1.1标准要求 PAGEREF _Toc351791596 h 94.1.2明御下一代防火

3、墙 PAGEREF _Toc351791597 h 104.1.3明御入侵防御系统IPS PAGEREF _Toc351791598 h 134.2.日志及数据库平安审计 PAGEREF _Toc351791599 h 154.2.1标准要求 PAGEREF _Toc351791600 h 154.2.2明御综合日志审计平台 PAGEREF _Toc351791601 h 174.2.3明御数据库审计与风险控制系统 PAGEREF _Toc351791602 h 194.3.平安运维审计 PAGEREF _Toc351791603 h 224.3.1标准要求 PAGEREF _Toc35179

4、1604 h 224.3.2明御运维审计和风险控制系统 PAGEREF _Toc351791605 h 234.4.核心WEB应用平安防护 PAGEREF _Toc351791606 h 264.3.1标准要求 PAGEREF _Toc351791607 h 264.3.2明御WEB应用防火墙 PAGEREF _Toc351791608 h 274.3.3明御卫士 PAGEREF _Toc351791609 h 304.5.等保及平安合规检查 PAGEREF _Toc351791610 h 314.5.1标准要求 PAGEREF _Toc351791611 h 314.5.2明鉴WEB应用弱点

5、扫描器 PAGEREF _Toc351791612 h 324.5.3明鉴数据库弱点扫描器 PAGEREF _Toc351791613 h 344.5.4明鉴远程平安评估系统 PAGEREF _Toc351791614 h 374.5.5明鉴信息平安等级保护检查工具箱 PAGEREF _Toc351791615 h 384.6.等保建立咨询效劳 PAGEREF _Toc351791616 h 404.6.1效劳概述 PAGEREF _Toc351791617 h 404.6.2平安效劳遵循标准 PAGEREF _Toc351791618 h414.6.3效劳内容及客户收益 PAGEREF _T

6、oc351791619 h 415.等保三级建立配置建议 PAGEREF _Toc351791620 h 42前言概述随着互联网金融的快速开展，金融机构对信息系统的依赖程度日益增高，信息平安的问题也越来越突出。同时，由于利益的驱使，针对金融机构的平安威胁越来越多，尤其是涉及民生与金融相关的单位，收到攻击的次数日渐频繁，相关单位必须加强自身的信息平安保障工作，建立完善的平安机制来抵御外来和内在的信息平安威胁。为提升我国重要信息系统整体信息平安管理水平和抗风险能力。国家公安部、*局、国家密码管理局、国务院信息化领导小组办公室于2007年联合公布861号文件关于开展全国重要信息系统平安等级保护定级工

7、作的通知和信息平安等级保护管理方法，要求涉及国计民生的信息系统应到达一定的平安等级，根据文件精神和等级划分的原则，涉及到政府机关、金融等核心信息系统，构筑至少应到达三级或以上防护要求。互联网金融行业是关系经济、社会稳定等的重要单位，等级保护制度确实立和实施，无疑对互联网金融单位加快自身信息平安建议具有前瞻性、系统性的指导意义。从国家层面上看，在重点行业、单位推行等级保护制度是关系到国家信息平安的大事，为确保重要行业和单位的等级保护信息系统顺利开展实施，同时出台了一系列政策文件来规*、指导和推动风险评估工作的进展，等级保护也积极响应各种标准和政策，以保障重点行业信息系统平安。相关政策及标准国家相

8、关部门对等级保护平安要求相当重视，相继出台多个信息平安相关指导意见与法规，主要有：中华人民*国计算机信息系统平安等级保护条例国务院147号令关于推动信息平安等级保护测评体系建立和开展等级测评工作的通知公信安2010303GB/T 22239-2008 信息平安技术信息系统平安等级保护根本要求GB/T209842007 信息平安技术信息平安风险评估规*GB17859-1999 信息系统平安等级保护测评准则其中，目前等级保护等保主要平安依据，主要参照GB17859-1999 信息系统平安等级保护测评准则和GB/T 22239-2008 信息平安技术信息系统平安等级保护根本要求，本方案亦主要依据这两

9、个标准，以其他要求为辅，来建立本技术方案。现状及需求分析现状分析*核心业务系统为互联网客户提供在线业务以及线下业务支持。通过该系统平台，实现互联网金融业务信息全面融合、集中管理、内部管理的流程化、标准化和信息化，为*管理工作提供全面的系统支持。该系统定级为平安保护等级三级，通过第三方测评、整体分析与风险分析，*业务系统中存在与国家等级保护三级标准要求不符合项。需求分析为了满足到达国家GB/T 22239-2008信息技术信息系统平安等级保护根本要求相应的等级保护能力要求，*业务管理系统启动等级保护平安整改工作，以增强系统的平安防护能力，有效抵御内部和外部威胁，为切实到达国家及行业信息平安等级保

10、护相应要求，使*业务管理系统在现有运行环境下风险可控，能够为*客户及内部各部门提供平安、稳定的业务效劳。本次方案结合初步检查报告，由于*业务系统只采用防护墙进展平安防护措施，针对平安运维管理、应用层平安防护、第三方日志审计、管理制度等方面的薄弱之处，建议部署相关平安防护设备，结合平安管理制度，将满足相应的等级保护防护能力。一、平安防护：平安防护设计网络平安、主机平安等多个测评内容，针对所发现的平安问题风险中，如网络边界未部署防恶意代码设备,可通过对重点系统的网络边界部署相应的平安防护设备来进展解决。二、审计分析：审计分析在三级等级保护要求中，占据重要地位，涉及网络平安、主机平安、应用平安等诸多

11、环节，*业务系统在第三方审计相关建立上缺乏必要手段，并且对局部重要系统的平安现状难以了解，加强系统平安检测能力，和审计分析能力十分必要。三、平安运维：平安运维管理涉及网络平安、主机平安、平安运维管理，在所发现平安问题风险中，对远程设备进展双因子认证，实现特权用户别离，对网络用户的接入访问控制，敏感资源的访问控制等，可通过加强平安运维管理和部署相应管理设备加以解决。四、管理制度:管理制度的完善，在等级保护建立中具有非常重要的意义，通过第三方专业人员的现场指导、协助管理制度的完善、弥补平安管理制度中的缺乏，从管理制度整体协助满足等级保护的相关要求。等保三级建立总体规划根据现有平安形势特点，针对三级

12、等级保护的各项要求，需针对网络边界平安、日志集中审计、平安运维、合规性自查四个层面进展建立，选择典型平安系统构建。网络边界平安建立在网络边界处需加强对网络防护、WEB应用防护措施，通过相关的网络平安设备部署核心链路中，按照信息平安等级保护标准进展建立。日志集中审计建立数据库审计系统为旁路部署，需要将客户端请求数据库的的数据和数据库返回给客户端的数据双向镜像到一个交换机接口作为数据库审计设备的采集口，如需同时审计WEB应用的访问请求等同样需要把数据进展镜像。综合日志审计系统为旁路部署，仅需要将系统分配好IP地址，对各型效劳器、数据库、平安设备、网络设备配置日志发送方式，将自动收集各类设备的平安日

13、志和运行日志，进展集中查询和管理。数据库弱点扫描器部署在专用电脑上，定期对数据库进展平安检测。平安运维建立将运维审计与风险控制系统放置与办公内网，并设定各效劳器、网络设备、平安设备的允许登录IP，仅允许运维审计与风险控制系统可登录操作，运维和管理人员对各类效劳器、网络设备、平安设备的操作，均需先得到运维审计与风险控制系统的许可，所有操作均会被运维审计与风险控制系统审计下来，并做到资源控制的设定。等保及平安合规性自查建立为提高核心业务系统内部网络平安防护性能和抗破坏能力，检测和评估已运行网络的平安性能，需一种积极主动的平安防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害

14、之前可以提供平安防护解决措施，通过远程平安评估系统实现网络及系统合规性自查；为对核心业务系统提供配置平安保证,满足监管单位及行业平安要求，平衡信息系统平安付出本钱与所能够承受的平安风险,遵行信息平安等级保护中对网络、主机、应用及数据四个平安领域的平安，需提供一套针对基线配置的平安检查工具，定期检查其配置方面的与平安基准的偏差措施；核心业务系统的信息平安等级保护建立过程中，以及在正式测评之前徐利用信息平安等级保护检查工具箱进展自测，根据结果和整改措施进展信息平安建立。将工具箱的检测报告和整改措施建议作为整改的依据和参考的标准。由于信息平安是个动态的过程，整改完成不代表信息平安建立工作完成，可利用

15、工具箱进展不断的自检自查。建立方案优势总结通过平安运维、平安防护、审计分析、平安制度四局部的部署加固，满足事前检测数据库弱点扫描器、事中防护明御WEB应用防火墙、运维审计与风险控制系统、事后追溯明御综合日志审计系统、明御数据库审计与风险控制系统的平安要求，结合平安效劳对管理制度的完善，提供对重要信息系统起到一体化平安防护，保证了核心应用和重要数据的平安。满足三级等级保护对相关检测工程的要求。一、通过部署事前检测工具，依据权威数据库平安专家生成的最全面、最准确和最新的弱点知识库，提供对数据库弱点、不平安配置、弱口令、补丁等深层次平安检测及准确评估。通过WEB应用弱点扫描器及明鉴数据库弱点扫描器的

16、部署，可以定期对WEB应用和数据库进展平安检测，从而发现平安问题及相关隐患后能够及时修补。二、通过部署事中防御设备，针对黑客的恶意进展全方位的攻击防护，防止各类对的恶意攻击和网页木马等，确保平安安康运行；同时采用智能异常引擎及关联引擎准确识别复杂攻击，有效遏制应用层DDOS攻击，依靠高速环境下的线速捕获技术实现100%的数据捕获，通过事件回放为平安事件的快速查询与定位、成因分析、责任认定提供有力证据，可采取直连或者旁路部署模式，在无需更改现有网络构造及应用配置的情况下，可以对应用实时监控。通过网络平安网关、IPS、WEB应用防火墙的部署，实现核心业务系统、应用的攻击防护，确保所定级的核心业务系

17、统平安安康运行。三、通过部署事后追溯设备，一方面采用独有的三层审计的数据库审计设备实现WEB应用与数据库的自动关联审计，并提供细粒度的平安审计，实时监控来自各个层面的所有数据库活动，包括数据库操作请求、返回状态及返回结果集。 另一方面通过综合日志审计平台对客户网络设备、平安设备、主机和应用系统日志进展全面的标准化处理，及时发现各种平安威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不连续运营平安。通过数据库审计与风险控制系统及综合日志审计系统实现网络设备、平安设备、数据存储、WEB应用、数据库、主机及其它软硬件资产的日志审计，并可以进展行为的复原和回放。四、通过加强管理制度的建立，

18、利用第三方平安公司长期在等级保护中的经历及专业的测评工具，帮助客户快速的对业务系统进展专业的自查并提供评估报告，以便客户后期更高效的通过等级保护测评，减少因自身经历缺乏而产生的测评不通过的风险，减少在时间与金钱方面的损失。客户可以依托第三方平安公司在信息平安合规性建立中的经历，完善自身规章制度，摆脱繁琐的制度合规性审查并切实有效的提高自身管理水品。针对客户在等级保护建立中管理制度的经历缺乏，提供合规性制度解决方案，协助客户一起加强信息平安管理制度建立，并顺利的通过等级保护。等保三级建立相关产品介绍网络边界平安防护标准要求访问控制G3本项要求包括：应在网络边界部署访问控制设备，启用访问控制功能；

19、应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；应对进出网络的信息内容进展过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；应在会话处于非活泼一定时间或会话完毕后终止网络连接；应限制网络最大流量数及网络连接数；重要网段应采取技术手段防止地址欺骗；应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进展资源访问，控制粒度为单个用户；应限制具有拨号访问权限的用户数量。在网络边界部署平安网关。平安审计G3本项要求包括：应对网络系统中的网络设备运行状况、网络流量、用户行为等进展日志记录；审计记录应包括：事件的日期和时间、用户

20、、事件类型、事件是否成功及其他与审计相关的信息；应能够根据记录数据进展分析，并生成审计报表；应对审计记录进展保护，防止受到未预期的删除、修改或覆盖等。部署专业的日志审计系统。边界完整性检查S3本项要求包括：应能够对非授权设备私自联到内部网络的行为进展检查，准确定出位置，并对其进展有效阻断；部署终端平安管理系统，利用IP/MAC绑定及ARP阻断功能实现非法接入控制。应能够对内部网络用户私自联到外部网络的行为进展检查，准确定出位置，并对其进展有效阻断。部署终端平安管理系统，提供非法外联监控功能。入侵防*G3本项要求包括：应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝效劳攻击

21、、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。部署入侵检测系统。恶意代码防*G3本项要求包括：应在网络边界处对恶意代码进展检测和去除；应维护恶意代码库的升级和检测系统的更新。部署病毒过滤网关系统。明御下一代防火墙明御下一代防火墙DAS-NGFW是安恒公司自主研发、拥有知识产权的新一代平安网关产品。明御下一代防火墙基于角色、深度应用的多核平安架构突破了传统防火墙只是基于IP和端口的防御机制。百兆到万兆的处理能力使明御下一代防火墙适用于多种网络环境，包括中小企业级市场、政府机关、大型企业、电信运营商

22、和数据中心等机构。丰富的软件功能为网络提供不同层次及深度的平安控制以及接入管理，例如基于角色深度应用平安的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、内容平安等。功能说明功能描述部署方式支持透明部署、路由部署、混合部署模式攻击防护TCP/IP攻击防护IP碎片攻击、IP Option攻击、IP地址欺骗攻击、Land攻击、Smurf攻击、Fraggle攻击、Huge ICMP包攻击、ARP欺骗攻击、WinNuke攻击、Ping-of-Death攻击、Teardrop攻击扫描保护IP地址扫描攻击、端口扫描攻击Flood保护Syn Flood攻击、ICMP Flood攻击、UDP F

23、lood攻击、DNS Query Flood攻击二层攻击防护IP-MAC静态绑定、主机防御、ARP防护、DHCP Snooping网络行为控制URL过滤：对用户访问*类进展控制和审计网页关键字：对用户访问含有*关键字的网页包括HTTPS加密网页进展控制和审计Web外发信息：对用户在*包括HTTPS加密发布信息或者发布含有*关键字信息进展控制和审计过滤：对用户使用SMTP协议及Webmail外发包括Gmail加密进展控制和审计网络聊天：对用户通过即时通讯工具聊天进展控制和审计应用行为控制：对FTP和HTTP应用程序行为进展控制和审计日志管理网络行为控制日志、日志查询统计与审计分析病毒过滤AV协议

24、防病毒扫描：HTTP、FTP、SMTP、IMAP、POP3压缩文件防病毒扫描多层压缩扫描：RAR、ZIP、GZIP、BZIP、TAR控制方式：中断连接、文件填充、日志记录病毒特征库在线更新、本地更新高可靠性HAActive-PassiveA/P模式Active-ActiveA/A模式VPNIPSec VPNSCVPN基于SSL的远程登录解决方案拨号VPNPnPVPNL2TP VPN访问控制基于平安域的访问控制基于时间的访问控制基于MAC的访问控制IP-MAC-端口地址绑定用户认证本地用户认证外部效劳器用户认证RADIUS、LDAP、MS ADWeb认证802.1*NAT/PAT功能多个内部地址

25、映射到同一个公网地址多个内部地址映射到多个公网地址外部网络主机访问内部效劳器内部地址映射到接口公网IP地址应用协议的NAT穿越FTPTFTPHTTPSUN RPCRTSPMicrosoft RPCH323SIPRSHSQL NETv2网络PPPoEDHCPDNSDDNSARPVSwitchVRouter路由静态路由目的路由、源路由、源接口路由动态路由RIP以及OSPF策略路由SBR以及SIBRISP路由策略路由出站就近路由静态组播路由IGMP协议管理命令行接口CLIWebUIHTTP，HTTPSConsoleTelnetSSHSNMP流量统计Ping/Traceroute系统利用率报表用户行为

26、流日志NAT转换日志攻击实时日志地址绑定日志流量告警日志上网行为管理日志实时流量统计和分析功能平安事件统计功能客户收益在复杂环境下提供给用户网络平安管理，基于大数据挖掘技术帮助管理者快速的发现网络中的异常情况，进而尽早确实认威胁并采取干预措施，实现主动防御，具备对数据的收集集中能力以及智能分析能力全面、多维的识别应用中平安风险，进展全天24小时的平安扫描和防护，当发现攻击威胁时及时阻断并审计记录，保障用户的应用平安无忧识别未知应用的平安风险，面对来自世界各地、随时随地涌现的新类型、新应用，提供一种机制，去第一时间识别和控制应用，保障用户网络每一秒都不会暴露在网络威胁之下。这就要求其必须要具备应

27、用自定义的能力明御入侵防御系统IPS产品介绍安恒明御入侵防御系统简称：DAS-IPS是用于实现专业的入侵攻击检测和防御的平安产品。主要部署在效劳器前端、互联网出口以及内网防护等用户场景中，广泛适用于政府、企业、高校等行业。安恒DAS-IPS采用专业的高速多核平安引擎，融合安恒的平安操作系统，全面实现网络入侵攻击防御功能，除了提供4000+的攻击特征检测还提供专业的Botnet检测防护、网络应用准确识别、网络平安性能优化以及平安管理的能力，为用户业务的正常运行和使用提供可信的平安保障。功能介绍产品特色描述全面的L2-L7入侵防御安恒DAS- IPS内嵌4,000多种攻击特征，能够检测常见的病毒、

28、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击；封堵主流的高级逃逸攻击；检测和防御主流的异常流量，含各类Flood攻击；提供用户自定义攻击特征码功能，可指定网络层到应用层的比照内容；提供虚拟补丁功能，让没有及时修补漏洞的客户，能够保障网络平安正常运行。业内领先的入侵检测技术安恒DAS-IPS提供了高效的平安检测引擎，采用传统的攻击特征匹配检测机制和高级逃逸攻击检测机制实现入侵攻击以及Botnet的检测防御；采用协议异常检测机制，对数据包进展完整性检查，从而阻止经黑客伪造不符合标准通信协议规*的数据包进入企业内部网络采用；采用流量异常检测与防护机制，实现对各种网络层至应用层的DoS/

29、DDoS攻击，包括主流的Flood攻击、扫描类攻击等。专业的Botnet检测和防御安恒DAS- IPS提供业界最完整的Botnet特征数据库，含C&C(命令及控制)特征库和Real-time Black List实时检测黑库。当感染Botnet的主机与Botnet C&C效劳器联机以及与恶意IP或URL通信时，认为该主机已被植入Bot并触发相应的响应行为。从而真正做到对内网的全面专业的保护，保障内网 业务的正常运行。强大的平安管理在可视化管理方面，提供实时攻击事件和网络应用效劳监控功能以及丰富的报表呈现功能在高可用性方面，支持软硬件Bypass功能和HA功能。在IPv6支持方面，可支持IPv4

30、 和IPv6 双栈运行的网络环境，可同时检测IPv4 和IPv6的网络数据包。在灵活性管理方面，能够提供虚拟IPS功能，每一个虚拟的IPS可以拥有独立的平安防御策略，可以增加IPS在大型网络架构中的使用灵活性。在网络部署方面，支持在线的IPS运行部署和旁路的IDS监控部署。在管理接口方面，支持串口、SSH、WebUI含SSL加密以及SNMP管理等方式。客户收益为用户提供全面的L2-L7入侵防御，能够检测常见的病毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击；封堵主流的高级逃逸攻击；为用户提供领先的入侵检测技术，采用传统的攻击特征匹配检测机制和高级逃逸攻击检测机制实现入侵攻击以及

31、Botnet的检测防御；采用协议异常检测机制，对数据包进展完整性检查，从而阻止经黑客伪造不符合标准通信协议规*的数据包进入企业内部网络采用为用户提供专业的Botnet检测和防御，提供业界最完整的Botnet特征数据库，含C&C(命令及控制)特征库和Real-time Black List实时检测黑库具备强大的平安管理，在可视化管理方面，提供实时攻击事件和网络应用效劳监控功能以及丰富的报表呈现功能，在高可用性方面，支持软硬件Bypass功能和HA功能。日志及数据库平安审计标准要求GB/T 22239-2008 信息平安技术 信息系统平安等级保护根本要求类别条款号标准要求内容数据库审计产品符合项平

32、安审计审计*围应覆盖到效劳器和重要客户端上的每个操作系统用户和数据库用户；数据库风险控制与审计系统应在保证系统运行平安和效率的前提下，启用系统审计或采用第三方平安审计产品实现审计要求数据库风险控制与审计系统审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的平安相关事件；数据库风险控制与审计系统审计内容至少包括：用户的添加和删除、审计功能的启动和关闭、审计谋略的调整、权限变更、系统资源的异常使用、重要的系统操作如用户登录、退出等数据库风险控制与审计系统审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； 数据库风险控制与审计系统应保护审计进程，防止受到

33、未预期的中断、删除、修改或覆盖，审计日志至少保存6个月；数据库风险控制与审计系统应能够根据记录数据进展分析，并生成审计报表；数据库风险控制与审计系统GB/T 22239-2008 信息平安技术 信息系统平安等级保护根本要求类别条款号标准要求内容综合日志审计SOC产品符合项平安审计应对网络系统中的网络设备运行状况、网络流量、用户行为等进展日志记录；SOC 支持对标准要求的日志记录包括网络设备的运行状况、网络流量等；审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；SOC提供对标准要求的记录相关信息，如时间日期、时间、用户等信息；应能够根据记录数据进展分析，并生

34、成审计报表；SOC支持对数据进展分析并生成报表；应对审计记录进展保护，防止受到未预期的删除、修改或覆盖等；SOC支持对记录进展保护，防止未授权的删除修改等操作；平安审计审计*围应覆盖到效劳器和重要客户端上的每个操作系统用户和数据库用户；SOC支持覆盖到所有操作系统及数据库用户；应在保证系统运行平安和效率的前提下，启用系统审计或采用第三方平安审计产品实现审计要求；SOC属于第三方审计设备，对系统运行平安和效率无影响；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的平安相关事件；SOC所审计内容包含标准要求的各项平安相关事件，如重要用户行为、系统资源的异常使用等；审

35、计内容至少包括：用户的添加和删除、审计功能的启动和关闭、审计谋略的调整、权限变更、系统资源的异常使用、重要的系统操作如用户登录、退出等；SOC审计的内容包含标准要求的具体条款；审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； SOC满足标准要求的对时间的日期、时间、类型等信息的记录；应保护审计进程，防止受到未预期的中断、删除、修改或覆盖，审计日志至少保存6个月；SOC采用进程防护技术，并设置对应的平安策略，确保数据不受中断、删除、修改或覆盖，根据存储条件，可完全满足保存日志6个月；应能够根据记录数据进展分析，并生成审计报表；SOC可满足标准要求，能对数据进展分析，并生成审计报

36、表；监控管理和平安管理中心应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进展监测和报警，形成记录并妥善保存；SOC能实现以上信息的采集，记录并保存；应组织相关人员定期对监测和报警记录进展分析、评审，发现可疑行为，形成分析报告，并采取必要的应对措施；SOC能实现分析评审，发现可疑行为，形成报告并报警；系统平安管理应建立平安管理中心，对设备状态、恶意代码、补丁升级、平安审计等平安相关事项进展集中管理；SOC可通过日志管理实现了平安事件的统一集中管理；应定期对运行日志和审计数据进展分析，以便及时发现异常行为；SOC可实现定期对日志进展自动分析和处理，发现异常行为能短信报警；应

37、至少每月对运行日志和审计数据进展分析；SOC可实现每月自动化分析任务；明御综合日志审计平台产品介绍信息平安等级保护中具有审计中心的概念，相关要求：审计中心包括两个应用程序，审计控制台和用户管理。审计控制台可以实时显示网络审计信息、流量统计信息、主机操作系统审计信息、应用系统审计信息等等，并且可以查询审计信息历史数据，并且对审计事件进展回放。用户管理程序可以对用户进展权限设定，限制不同级别的用户查看不同的审计内容，并且具有一定的自身平安审计功能。安恒明御综合日志审计系统就是一种审计中心。通过对客户网络设备、平安设备、主机和应用系统日志进展全面的标准化处理，及时发现各种平安威胁、异常行为事件，为管

38、理人员提供全局的视角，确保客户业务的不连续运营平安；明御综合日志审计平台通过基于国际标准化的关联分析引擎，为客户提供全维度、跨设备、细粒度的关联分析，透过事件的表象真实地复原事件背后的信息，为客户提供真正可信赖的事件追责依据和业务运行的深度平安。同时提供集中化的统一管理平台，将所有的日志信息收集到平台中，实现信息资产的统一管理、监控资产的运行状况，协助用户全面审计信息系统整体平安状况。通过部署明御综合日志审计系统，可以实现：资产监控：可以按照监控的设备类型，对主机系统、数据库、中间件和平安设备进展实时监控，包括 CPU、内存、磁盘等关键运行指标。并对根据各个设备的特点，设置了相应的阀值，一旦超

39、出阀值，及时进展性能异常报警。告警收集和日志采集：通过 SYSLOG、SNMP TRAP 、SNMP轮询、*ML、FTP、HTTP、 TELNET/SSH、SOAP、JM*方式、Sockets、Files、专用代理程序等方式从主机系统、数据库、中间件和平安设备按照一定策略收集原始日志数据。关联分析生成平安事件：采用安恒自主设计的防止事件误告与漏告的核心关联分析策略，大幅度提高平安事件的准确性。关联分析主要采用基于统计的关联和基于规则的关联。详细的平安报警展现：通过平台的平安报警分析功能，可以看到平台针对收集上来的原始日志，经过实时归并、分析后的结果。包括：报警名称、类型、等级、 IP地址、 I

40、P对应的责任单位、聚合数量、发生时间等。平台针对所有的 IP地址，和资产管理中的责任单位自动进展关联，在平安报警分析中实现将 IP地址定位到责任单位，从而为后续的以责任单位进展宏观统计与分析提供了依据。功能介绍全面日志采集：全面支持Syslog、SNMP、OPSec、*ML、FTP及本地文件等协议，可以覆盖主流硬件设备、主机及应用，保障日志信息的全面收集。实现信息资产网络设备、平安设备、主机、应用及数据库的日志获取，并通过预置的解析规则实现日志的解析、过滤及聚合，同时可将收集的日志通过转发功能转发到其它网管平台等。大规模平安存储：内置T级别存储设备，可以选配各种RAID级别进展数据冗余和平安保

41、障。系统拥有多项自主知识产权的存储加密机制和查询机制，十分适宜等保、密保等行业的应用要求。智能关联分析：实现全维度、跨设备、细粒度关联分析，内置众多的关联规则，支持网络平安攻防检测、合规性检测，客户可轻松实现各资产间的关联分析。脆弱性管理：能够收集和管理来自各种Web漏洞扫描、主机漏洞扫描工具、网络漏洞扫描工具的产生的扫描结果，并实时和用户资产收到的攻击危险进展风险三维关联分析。数据挖掘和数据预测：支持对历史日志数据进展数据挖掘分析，发现日志和事件间的潜在关联关系，并对挖掘结果进展可视化展示。系统自带多种数据统计预测算法，可以根据历史数据的规律对未来的数据发生情况进展有效预测。可视化展示：实现

42、所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。通过各种事件的归一化处理，实现高性能的海量事件存储和检索优化功能，提供高速的事件检索能力、事后的合规性统计分析处理，可对数据进展二次挖掘分析。分布式部署和管理：系统支持分布式部署，可以在中心平台进展各种管理规则，各种配置策略自动分发，支持远程自动升级等，极大的降低了分布式部署的难度，提高了可管理性。灵活的可扩展性：提供多种定制接口，实现强大的二次开发能力，及与第三方平台对接和扩展的能力。其他功能：支持各种网络部署需要，包括日志聚合、日志过滤、事件过滤、日

43、志转发、特殊日志格式支持(如单报文多事件)等。客户收益为用户IT网络设备、平安设备、主机和应用系统日志进展全面的标准化处理及时发现各种平安威胁、异常行为事件，为管理人员提供全局的视角，确保用户业务的不连续运营平安；为用户提供全维度、跨设备、细粒度的关联分析、可信赖的事件追责依据和业务运行的深度平安提供集中化的统一管理平台，将所有的日志信息收集到平台中，实现信息资产的统一管理、监控资产的运行状况，协助用户全面审计信息系统整体平安状况明御数据库审计与风险控制系统产品介绍数据库审计与风险控制系统主要的功能模块包括静态审计、实时监控与风险控制、实时审计、双向审计、细粒度审计规则、精准的行为检索、三层关

44、联审计、完备的审计报表、平安事件回放、审计对象管理、多形式的预警机制、系统配置管理几个局部。功能介绍丰富的协议支持主流数据库Oracle、SQL server、DB2、Mysql、Informi*、CACH、Sybase、PostgreSQL国产数据库神通原OSCAR、达梦、人大金仓kingbase数据仓库Teradata其他协议FTP、HTTP、Telnet、SMTP、POP3、D等细粒度的操作审计细粒度审计通过对不同数据库的SQL语义分析，提取出SQL中相关的要素用户、SQL操作、表、字段、视图、索引、过程、函数、包双向审计不仅对数据库操作请求进展实时审计，而且还可对数据库执行状态、返回结

45、果、返回内容进展完整的复原和审计，同时可以根据返回结果设置审计规则多行为审计实时监控来自各个层面的所有数据库活动，包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求以及通过远程登录效劳器后的操作请求等多层业务关联审计B/S三层架构支持HTTP请求审计，提取URL、POST/GET值、cookie、操作系统类型、浏览器类型、原始客户端IP、MAC地址、提交参数等；通过智能自动多层关联，关联出每条SQL语句所对应URL，以及其原始客户端IP地址等信息，实现追踪溯源；C/S三层架构在企业、医院等行业客户中，也局部采用C/S/S三层架构，同样面临追踪溯源的难题，DAS-DBAudit

46、or支持基于D的三层架构自动关联。运维审计关联通过运维审计产品进展统一认证、授权后，也将面临追踪溯源的难题，DAS-DBAuditor支持与运维审计产品关联，实现原始操作者信息的追踪全方位风险控制灵活的策略定制根据登录用户、源IP地址、数据库对象分为数据库用户、表、字段、操作时间、SQL操作命令、返回的记录数或受影响的行数、关联表数量、SQL执行结果、SQL执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件自动建模DAS-DBAuditor支持自动建模，可以非常方便了解整个数据库的允许状态，帮助管理员形成有效的审计规则，快速识别越权操作、*复用、违规操作等行为。多形式的实时告警当

47、检测到可疑操作或违反审计规则的操作时，系统可以通过监控中心告警、短信告警、告警、Syslog告警、SNMP告警、FTP告警等方式通知数据库管理员报表DAS-DBAuditor报表系统包括预定义报表和自定义报表两大模块，可以快速生成对平安事件的报表，并以PDF等格式导出。审计管理员报表支持从审计设备运行状况、平安事件、*的增删、密码是否修改等角度形成报表系统管理员报表支持从权限的变更、数据库权限分配状况、DDL/DML等特权操作、SQL语句的类型和使用比率等角度形成报表合规性报告能够形成符合SO*塞班斯法案、等级保护、分级保护等法规符合性的综合报告静态审计除了提供实时的动态审计功能，还提供了可选

48、的扫描审计模块对数据库的不平安配置、弱口令等进展检测和审计，并提供平安加固建议。友好真实的操作过程回放对于客户关心的操作可以回放整个相关过程，让客户可以看到真实输入及屏幕显示内容，并可以通过精细内容的检索，对特定行为进展准确回放，如执行删除表、文件命令、数据搜索等。客户收益全面满足国家等级保护测评要求，成功通过测评认证；能够从合法、合规的方面满足证监会对信息化的监管要求；从*管理、权限管理等多维度进展监控，助力IT管理制度实施；建立数据库权限模型，为数据库平安建立提供优化经历；定期评估数据库漏洞，防止数据库密码破解数据库操作全审计，不放弃任何可疑统方行为双向审计，准确判断违规统方行为丰富的审计

49、报表，满足纠风办审计需求短信、告警，第一时间了解违规统方行为平安运维审计标准要求GB/T 22239-2008 信息平安技术 信息系统平安等级保护根本要求类别条款号标准要求内容运维审计防护产品符合项身份鉴别应对登录操作系统和数据库系统的用户进展身份标识和鉴别运维审计堡垒机操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换运维审计堡垒机当对效劳器进展远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听运维审计堡垒机访问控制应根据管理用户的角色分配权限，实现管理用户的权限别离，仅授予管理用户所需的最小权限；运维审计堡垒机平安审计审计*围应覆盖到效劳器

50、和重要客户端上的每个操作系统用户和数据库用户运维审计堡垒机审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的平安相关事件运维审计堡垒机审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等运维审计堡垒机应保护审计记录，防止受到未预期的删除、修改或覆盖等运维审计堡垒机明御运维审计和风险控制系统产品介绍安恒明御运维审计与风险控制系统简称：堡垒主机是安*息结合多年运维统一平安管理的理论和实践经历积累的根底上，结合各类法令法规如SO*、PCI、企业内控管理、等级保护等对运维审计的要求，自主研发完成的业内首创支持灵活部署方式，集统一账户管理与单点登录，支持多种字符

51、协议与图形协议的实时监控与历史查询，全方位风险控制的运维统一平安管理与审计产品。安恒明御堡垒主机是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)统一平安管理平台方案并且被加固的高性能抗网络攻击设备，具备很强平安防*能力，作为进入内部网络的一个检查点，能够拦截非法访问和恶意攻击，对不合法命令进展阻断，过滤掉所有对目标设备的非法访问行为。安恒明御堡垒主机具备强大的输入输出审计功能，为企事业内部提供完全的审计信息，通过账号管理、身份认证、资源授权、实时监控、操作复原、自定义策略、日志效劳等操作增强审计信息的平安性，广泛适用于需要运

52、维统一平安管理与审计的政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业等各个行业。部署安恒明御堡垒主机，能够极大的保护政府机关和企事业单位内部网络设备及效劳器资源的平安性，使得企事业内部网络管理合理化，专业化，信息化。功能介绍单点登录用户一次登录系统，就可以无需认证的平安的访问被授权的多种应用系统用户无需记忆多种系统的登录用户ID 和口令增强认证的系统，从而提高了用户认证环节的平安性实现与用户授权管理的无缝连接，这样可以通过对用户、角色、行为和资源的授权，增加对资源的保护和对用户行为的监控及审计账号管理集中管理所有效劳器、网络设备账号，从而可以集中授权、认证和

53、审计通过对账号整个生命周期的监控和管理，降低管理大量用户账号的难度和工作量通过统一的管理能够发现账号中存在的平安隐患，制定统一的、标准的、符合平安账号管理要求的账号平安策略通过建立集中账号管理，企业可以实现将账号与具体的自然人相关联，实现多级的用户管理和细粒度的用户授权，还可以实现针对自然人的行为审计，以满足审计需要身份认证系统为用户提供统一的认证接口，不但便于对用户认证的管理，而且能够采用更加平安的认证模式，提高认证的平安性和可靠性提供多种认证方式可供用户选择具有灵活的定制接口，方便与第三方认证效劳器结合资源授权系统提供统一的界面对用户、角色及行为和资源进展授权，到达对权限的细粒度控制，最大

54、限度保护用户资源的平安集中访问授权和访问控制可以对用户对效劳器主机、网络设备的访问进展审计和阻断授权的对象包括用户、用户角色、资源和用户行为系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对*些应用还可以限制用户的操作，以及在什么时间进展操作这样应用内部的细粒度授权访问控制系统提供细粒度的访问控制，最大限度保护用户资源的平安。提供自定义控制策略配置，管理员根据用户的角色为其指定相应的控制策略来限制其系统行为，控制策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令提供自定义访问策略配置，访问策略是保护系统平安性的重要环节，制定访问策略能更好的提高系统的平

55、安性操作审计审计账号使用登录、资源访问情况、资源使用情况等各效劳器主机、网络设备的访问日志记录都采用统一的账号、资源进展标识，操作审计能更好地对账号的完整使用过程进展追踪实时监控和管理效劳器上正在发生的行为，可以实时观察用户执行的命令和执行结果友好真实的操作过程复原，对用户关心的操作可以回放整个相关过程支持Telnet、FTP、SSH、SFTP、SCP、RDP、VNC等多种协议的运维审计详细记录整个会话过程中用户全部的行为日志和触发的告警日志，还可以将产生的日志传送给第三方产品，对于生成的日志支持丰富的查询和导出备份等操作。全方面的运维审计报表明御运维审计与风险控制系统DAS-USM报表模块提

56、供了丰富的统计信息，对资产运维操作以及系统自身运行、操作进展各类统计和多维度分析，并且提供报表导出功能。客户收益为企业节省运营本钱，并遵从平安规*企业可以实现将账号与具体的自然人相关联，实现针对自然人的行为审计，满足审计需求免去登录资产的*认证繁琐操作，同时也保障了资产的*和密码的平安性，规*管理员操作，对存在威胁操作及时预警防止企业重要数据外泄，并且能通过丰富的审计功能，快速追踪定位产生的问题帮助企业满足各类法令法规如SO*、PCI、企业内控管理、等级保护、ISO/IEC 27001等对运维审计的要求核心WEB应用平安防护标准要求GB/T 22239-2008 信息平安技术 信息系统平安等级

57、保护根本要求类别条款号标准要求内容WEB应用防护产品WAF符合项访问控制应提供访问控制功能，依据平安策略控制用户对文件、数据库表等客体的访问；WAF提供对各类引用访问的控制，并可通过严格的平安策略进展控制；访问控制的覆盖*围应包括与资源访问相关的主体、客体及它们之间的操作；WAF的访问控制的覆盖*围包含了与资源访问相关的主体、客体及他们之间的操作；应由授权主体配置访问控制策略，并严格限制默认*的访问权限；WAF可按授权主题配置访问控制策略，并能够严格限制默认账户的访问权限；恶意代码防*应在网络边界及核心业务网段处对恶意代码进展检测和去除；WAF可提供网络边界及核心业务网段处对恶意代码进展监测和

58、去除；应维护恶意代码库的升级和检测系统的更新；WAF的恶意代码库的升级和监测系统可通过手动或自动进展更新；应支持恶意代码防*的统一管理；WAF支持对恶意代码的同意管理；明御WEB应用防火墙产品介绍明御WEB应用防火墙部署于WEB效劳器与负载均衡之间，对于应用完全透明，不需要改变原有网络的路由和网络包的任何字段，WEB应用防火墙防护口也不需要IP地址，从而提高对环境的适应性和平安级别。Web应用防火墙通过深入理解HTTP/HTTPS协议，可监测往返流量，能对web流量进展平安控制。Web数据中心是经常变化的，包括新的应用程序、新的软件模块，不断更新的软件补丁等。专业的平安工具和方法应能适应这种动

59、态环境，应用配置的升级更新和对监测数据的分析使得应用防火墙总能适应新的平安需求。功能介绍明御WEB应用防火墙具备以下功能特性：序号技术功能功能价值1防护30余类WEB通用攻击系统内置了30余类的通用WEB攻击特征有效的防御来自外部的如SQL注入、文件注入、命令注入、配置注入、LDAP注入、跨站脚本等，部署WAF后自动障蔽相应的WEB攻击行为。2协议规*性检查通过HTTP协议规*性检查可以实现WEB主动防御功能，如请求头长度限制、请求编码类型限制等从而障蔽了大局部非法的未知攻击行为。3抗WEB扫描器扫描WAF能自动识别扫描器的扫描行为，并智能阻断如Nikto、Paros pro*y、WebSca

60、rab、WebInspect、Whisker、libwhisker、Burpsuite、Wikto、Pangolin、Watchfire AppScan 、N-Stealth、Acuneti* Web Vulnerability Scanner 等多种扫描器的扫描行为。4防护敏感信息泄露WAF具备双向内容检测的能力，能识别效劳器页面内容的敏感信息，防止敏感信息泄露，如效劳器出错信息，数据库连接文件信息，WEB效劳器配置信息，网页中的连续出现的*、手机、等个人信息均可被WAF识别并依据策略采取相应的措施。5防止恶意言论提交明御WEB应用防火墙支持中文关键字解析技术，通过对用户提交信息进展过滤，有