金融行业等保三级信息安全建设方案

金融行业

等保三级信息安全建设方案

目录

1.前言..............................................................4

1.1概述.......................................................4

1.2相关政策及标准.............................................4

2.现状及需求分析..................................................6

2.1.现状分析...................................................6

2.2.需求分析..................................................6

3.等保三级建设总体规划.............................................8

3.1.网络边界安全建设..........................................8

3.2.日志集中审计建设..........................................8

3.3.安全运维建设..............................................8

3.4.等保及安全合规性自查建设..................................8

3.5.建设方案优势总结..........................................9

4.等保三级建设相关产品介绍........................................11

4.1.网络边界安全防护..........................................11

4.1.1标准要求..............................................11

4.1.2MY下一代防火墙.......................................13

4.1.3MY入侵防御系统（IPS）................................17

4.2.日志及数据库安全审计.....................................19

4.2.1标准要求..............................................19

4.2.2MY综合日志审计平台..................................22

4.2.3MY数据库审计与风险控制系统..........................24

4.3.安全运维审计.............................................27

4.3.1标准要求.............................................27

4.3.2MY运维审计和风险控制系统............................28

4.4.核心WEB应用安全防护......................................32

4.3.1标准要求..............................................32

4.3.2MYWEB应用防火墙......................................32

4.3.3MY网站卫士...........................................35

4.5.等保及安全合规检查........................................37

4.5.1标准要求..............................................37

4.5.2MJWEB应用弱点扫描器.................................38

4.5.3MJ数据库弱点扫描器..................................40

4.5.4MJ远程安全评估系统..................................43

4.5.5MJ信息安全等级保护检查工具箱........................45

4.6.等保建设咨询服务..........................................47

4.6.1服务概述..............................................47

4.6.2安全服务遵循标准......................................47

4.6.3服务内容及客户收益....................................48

5.等保三级建设配置建议............................................49

1.前言

1.1概述

随着互联网金融的快速发展，金融机构对信息系统的依赖程度日益增高，信

息安全的问题也越来越突出。同时，由于利益的驱使，针对金融机构的安全威胁

越来越多，尤其是涉及民生与金融相关的单位，收到攻击的次数日渐频繁，相关

单位必须加强自身的信息安全保障工作，建立完善的安全机制未抵御外来和内在

的信息安全威胁。为提升我国重要信息系统整体信息安全管理水平和抗风险能

力。国家GA部、BNI局、国家WI管理局、GWY信息化领导小组办公室于2007年

联合颁布861号文件《关于开展全国重要信息系统安全等级保护定级工作的通

知》和《信息安全等级保护管理办法》，要求涉及国计民生的信息系统应达到一

定的安全等级，根据文件精神和等级划分的原则，涉及到政府机关、金融等核心

信息系统，构筑至少应达到三级或以上防护要求。

互联网金融行业是关系经济、社会稳定等的重要单位，等级保护制度的确立

和实施，无疑对互联网金融单位加快自身信息安全建议具有前瞻性、系统性的指

导意义。从国家层面上看，在重点行业、单位推行等级保护制度是关系到国家信

息安全的大事，为确保重要行业和单位的等级保护信息系统顺利开展实施，同时

出台了一系列政策文件来规范、指导和推动风险评估工作的进行，等级保护也积

极响应各种标准和政策，以保障重点行业信息系统安全。

1.2相关政策及标准

国家相关部门对等级保护安全要求相当重视，相继出台多个信息安全相关指

导意见与法规，主要有：

《中华人民共和国计算机信息系统安全等级保护条例》(GWY147号令)

《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》

(公信安(2010)303)

《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》

《GB/T20984—2007信息安全技术信息安全风险评估规范》

017859-1999信息系统安全等级保护测评准则》

其中，目前等级保护等保主要安全依据，主要参照《GB17859T999信息系

统安全等级保护测评准则》和《GB/T22239-2008信息安全技术信息系统安全

等级保护基本要求》，本方案亦主要依据这两个标准，以其他要求为辅，来建立

本技术方案。

2.现状及需求分析

2.1.现状分析

xx核心业务系统为互联网客户提供在线业务以及线下业务支持。通过该系统

平台，实现互联网金融业务信息全面融合、集中管理、内部管理的流程化、标准

化和信息化，为XX管理工作提供全面的系统支持。该系统定级为安全保护等级

三级，通过第三方测评、整体分析与风险分析，XX业务系统中存在与国家等级

保护三级标准要求不符合项。

2.2.需求分析

为了满足达到国家GB/T22239-2008《信息技术信息系统安全等级保护基本

要求》相应的等级保护能力要求，xx业务管理系统启动等级保护安全整改工作，

以增强系统的安全防护能力，有效抵御内部和外部威胁，为切实达到国家及行业

信息安全等级保护相应要求，使xx业务管理系统在现有运行环境下风险可控，

能够为xx客户及内部各部门提供安全、稳定的业务服务。

本次方案结合初步检查报告，由于xx业务系统只采用防护墙进行安全防护

措施，针对安全运维管理、应用层安全防护、第三方日志审计、管理制度等方面

的薄弱之处，建议部署相关安全防护设备，结合安全管理制度，将满足相应的等

级保护防护能力。

一、安全防护：安全防护设计网络安全、主机安全等多个测评内容，针对所

发现的安全问题风险中，如网络边界未部署防恶意代码设备，可通过对重点系统

的网络边界部署相应的安全防护设备来进行解决。

二、审计分析：审计分析在三级等级保护要求中，占据重要地位，涉及网络

安全、主机安全、应用安全等诸多环节，xx业务系统在第三方审计相关建设上

缺乏必要手段，并且对部分重要系统的安全现状难以了解，加强系统安全检测能

力，和审计分析能力十分必要。

三、安全运维：安全运维管理涉及网络安全、主机安全、安全运维管理，在

所发现安全问题风险中，对远程设备进行双因子认证，实现特权用户分离，对网

络用户的接入访问控制，敏感资源的访问控制等，可通过加强安全运维管理和部

署相应管理设备加以解决.

四、管理制度：管理制度的完善，在等级保护建设中具有非常重要的意义,

通过第三方专业人员的现场指导、协助管理制度的完善、弥补安全管理制度中的

不足，从管理制度整体协助满足等级保护的相关要求。

3.等保三级建设总体规划

根据现有安全形势特点，针对三级等级保护的各项要求，需针对网络边界安

全、日志集中审计、安全运维、合规性自查四个层面进行建设，选择典型安全系

统构建。

3.1.网络边界安全建设

在网络边界处需加强对网络防护、WEB应用防护措施，通过相关的网络安全

设备部署核心链路中，按照信息安全等级保护标准进行建设。

3.2.日志集中审计建设

数据库审计系统为旁路部署，需要将客户端请求数据库的的数据和数据库返

回绐客户端的数据双向镜像到一个交换机接口作为数据库审计设备的采集口，如

需同时审计WEB应用的访问请求等同样需要把数据进行镜像。

综合日志审计系统为旁路部署，仅需要将系统分配好IP地址，对各型服务

器、数据库、安全设备、网络设备配置日志发送方式，将自动收集各类设备的安

全日志和运行日志，进行集中查询和管理。

数据库弱点扫描器部署在专用电脑上，定期对数据库进行安全检测。

3.3.安全运维建设

将运维审计与风险控制系统放置与办公内网，并设定各服务器、网络设备、

安全设备的允许登录IP,仅允许运维审计与风险控制系统可登录操作，运维和

管理人员对各类服务器、网络设备、安全设备的操作，均需先得到运维审计与风

险控制系统的许可，所有操作均会被运维审计与风险控制系统审计下来，并做到

资源控制的设定。

3.4.等保及安全合规性自查建设

为提高核心业务系统内部网络安全防护性能和抗破坏能力，检测和评估已运

行网络的安全性能，需一种积极主动的安全防护技术，提供了对内部攻击、外部

攻击和误操作的实时保护，在网络系统受到危害之前可以提供安全防护解决措

施，通过远程安全评估系统实现网络及系统合规性自查；

为对核心业务系统提洪配置安全保证，满足监管单，立及行业安全要求，平衡

信息系统安全付出成本与所能够承受的安全风险，遵行信息安全等级保护中对网

络、主机、应用及数据四个安全领域的安全，需提供一套针对基线配置的安全检

查工具，定期检查其配置方面的与安全基准的偏差措施;

核心业务系统的信息安全等级保护建设过程中，以及在正式测评之前徐利用

信息安全等级保护检查工具箱进行自测，根据结果和整改措施进行信息安全建

设。将工具箱的检测报告和整改措施建议作为整改的依据和参考的标准。由于信

息安全是个动态的过程，整改完成不代表信息安全建设工作完成，可利用工具箱

进行不断的自检自查。

3.5.建设方案优势总结

通过安全运维、安全防护、审计分析、安全制度四部分的部署加固，满足事

前检测（数据库弱点扫描器）、事中防护（MYWEB应用防火墙、运维审计与风险

控制系统）、事后追溯（M综合日志审计系统、MY数据库审计与风险控制系统）

的安全要求，结合安全服务对管理制度的完善，提供对重要信息系统起到一体化

安全防护，保证了核心应月和重要数据的安全。满足三级等级保护对相关检测项

目的要求。

一、通过部署事前检测工具，依据权威数据库安全专家生成的最全面、最准

确和最新的弱点知识库，提供对数据库“弱点、不安全配置、弱口令、补丁”等

深层次安全检测及准确评估。通过WEB应用弱点扫描器及MJ数据库弱点扫描器

的部署，可以定期对WEB应用和数据库进行安全检测，从而发现安全问题及相关

隐患后能够及时修补。

二、通过部署事中防御设备，针对黑客的恶意进行全方位的攻击防护，防止

各类对网站的恶意攻击和网页木马等，确保网站安全健康运行；同时采用智能异

常引擎及关联引擎准确识别复杂攻击，有效遏制应用层DDOS攻击，依靠高速环

境下的线速捕获技术实现100%的数据捕获，通过事件回放为安全事件的快速查

询与定位、成因分析、责任认定提供有力证据，可采取直连或者旁路部署模式，

在无需更改现有网络结构及应用配置的情况下，可以对网站应用实时监控。通过

网络安全网关、IPS、WEB应用防火墙的部署，实现核心业务系统、应用的攻击

防护，确保所定级的核心业务系统安全健康运行。

三、通过部署事后追溯设备，一方面采用独有的三层审计的数据库审计设备

实现WEB应用与数据库的自动关联审计，并提供细粒度的安全审计，实时监控来

自各个层面的所有数据库活动，包括数据库操作请求、返回状态及返回结果集。

另一方面通过综合日志审计平台对客户网络设备、安全设备、主机和应用系统

日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理

人员提供全局的视角，确保客户业务的不间断运营安全。通过数据库审计与风

险控制系统及综合日志审计系统实现网络设备、安全设备、数据存储、WEB应用、

数据库、主机及其它软硬件资产的日志审计，并可以进行行为的还原和回放。

四、通过加强管理制度的建设，利用第三方安全公司长期在等级保护中的经

骁及专业的测评工具，帮助客户快速的对业务系统进行专业的自查并提供评估报

告，以便客户后期更高效的通过等级保护测评，减少因自身经验不足而产生的测

评不通过的风险，减少在时间与金钱方面的损失。客户可以依托第三方安全公司

在信息安全合规性建设中的经验，完善自身规章制度，摆脱繁琐的制度合规性审

查并切实有效的提高自身管理水品。

针对客户在等级保护建设中管理制度的经验不足，提供合规性制度解决方

案，协助客户一起加强信息安全管理制度建设，并顺利的通过等级保护。

4.等保三级建设相关产品介绍

4.1.网络边界安全防护

4.1.1标准要求

访问控制（G3）在网络边界部署安全网关。

本项要求包括：

a）应在网络边界部署访问控制

设备，启用访问控制功能；

b）应能根据会话状态信息为数

据流提供明确的允许/拒绝

访问的能力，控制粒度为端

口级；

c）应对进出网络的信息内容进

行过滤，实现对应用层HTTP、

FTP、TELNET.SMTP、POP3等

怖议命令级的控制；

d）应在会话处于非活跃一定时

间或会话结束后终止网络连

接；

e）应限制网络最大流量数及网

络连接数；

f）重要网段应采取技术手段防

止地址欺骗；

g）应按用户和系统之间的允许

访问规则，决定允许或拒绝

用户对受控系统进行济源访

问，控制粒度为单个用户；

h）应限制具有拨号访问权限的

用户数量。

安全审计（G3）

本项要求包括：

a）应对网络系统中的网络设备

运行状况、网络流量、用户

行为等进行日志记录；

b）审计记录应包括：事件的日

期和时间、用户、事件类型、

事件是否成功及其他与审计

相关的信息；

c）应能够根据记录数据进行分部署专业的日志审计系统。

析，并生成审计报表；

d）应对审计记录进行保护，避

免受到未预期的删除、修改

或覆盖等。

边界完整性检查（S3）

本项要求包括：

a）应能够对非授权设备私自联部署终端安全管理系统，利

到内部网络的行为进行检用IP/MAC绑定及ARP阻断

查，准确定出位置，并对其功能实现非法接入控制。

进行有效阻断；

b）应能够对内部网络用户私自部署终端安全管理系统，提

联到外部网络的行为进行检供非法外联监控功能。

查，准确定出位置，并对其

进行有效阻断。

入侵防范（G3）部署入侵检测系统。

本项要求包括：

a）应在网络边界处监视以下攻

击行为：端口扫描、强力攻

击、木马后门攻击、拒绝服

务攻击、缓冲区溢出攻击、

IP碎片攻击和网络端虫攻击

等；

b）当检测到攻击行为时，记录

攻击源IP、攻击类型、攻击

目的、攻击时间，在发生严

重入侵事件时应提供报警。

恶意代码防范（G3）部署病毒过滤网关系统。

本项要求包括：

a）应在网络边界处对恶意代码

进行检测和清除；

b）应维护恶意代码庠的升级和

检测系统的更新。

4.1.2MY下一代防火墙

MY下一代防火墙DAS-NGEW是AH公司自主研发、拥有知识产权的新一代安全

网关产品。MY下一代防火墙基于角色、深度应用的多核安全架构突破了传统防

火墙只是基于IP和端口的防御机制。百兆到万兆的处理能力使MY下一代防火墙

适用于多种网络环境，包括中小企业级市场、政府机关、大型企业、电信运营商

和数据中心等机构丰富的软件功能为网络提供不同层次及深度的安全控制以及

接入管理，例如基于角色深度应用安全的访问控制、IPSec/SSLVPN、应用带宽

管理、病毒过滤、内容安全等。

1）功能说明

功能描逑

部署方式支持透明部署、路由部署、混合部署模式

TCP/IP攻击防护（IP碎片攻击、IPOption攻击、IP地址

欺骗攻击、Land攻击、Smurf攻击、Fraggle攻击、HugeICMP

包攻击、ARP欺骗攻击、RinNuke攻击、Ping-of-Death攻击、

Teardrop攻击）

攻击防护扫描保护（IP地址扫描攻击、端口扫描攻击）

Flood保护(SynFlood攻击、ICMPFlood攻击、UDPFlood

攻击、DNSQueryFlood攻击)

二层攻击防护（IP-MAC静态绑定、主机防御、ARP防护、DHCP

Snooping）

URL过滤：对用户访问某类网站进行控制和审计

网页关键字：对用户访问含有某关键字的网页（包括HTTPS

加密网页）进行控制和审计

Web外发信息：对用户在某网站（包括HTTPS加密网站）发

布信息或者发布含有某关键字信息进行控制和审计

网络行为控制邮件过滤：对用户使用SMTP协议及Webmail外发邮件（包

括Gmail加密邮件）进行控制和审计

网络聊天：对用户通过即时通讯工具聊天进行控制和审计

应月行为控制：对FTP和HTTP应用程序行为进行控制和审

计

日后管理（网络行为控制日志、日志查询统计与审计分析）

协议防病毒扫描：HTTP、FTP、SMTP、IMAP.POP3

压缩文件防病毒扫描（多层压缩扫描）：RAR、ZIP、GZIP、

病毒过滤（AV）BZIP、TAR

控制方式；中断连接、文件填充、日志记录

病毒特征库在线更新、本地更新

Active-Passive(A/P)模式

高可靠性（HA）

Active-Active(A/A)模式

功能描逑

IPSccVPN

SCVPN(基于SSL的远程登录解戾方案)

VPN拨号VPN

PnPVPN

L2TPVPN

基二安全域的访问控制

基三时间的访问控制

访问控制

基亍MAC的访问控制

IP-MAC-端口地址绑定

本地用户认证

外部服务器用户认证(RADIUS.LDAP,MSAD)

用户认证

Web认证

802.IX

多人内部地址映射到同一个公网地址

多人内部地址映射到多个公网地址

NAT/PAT功能

外部网络主机访问内部服务器

内部地址映射到接口公网IP地址

FTP

TFTP

HTTP

SUNRPC

应用协议的RTSP

NAT穿越MicrosoftRPC

H323

SIP

RSH

SQLNETv2

网络PPPoE

功能描逑

DHCP

DNS

DDNS

ARP

VSwitch

VRouter

静态路由（目的路由、源路由、源接口路由）

动态路由（RIP以及0SPF）

策咚路由（SBR以及SIBR）

1SP路由

路由

策咚路由

出站就近路由

静态组播路由

IGMP协议

命令行接口（CLI）

WebUI(HTTP,HTTPS)

Console

Telnet

管理SSH

SNMP

流量统计

Ping/Traceroute

系统利用率

用户行为流日志

NAT转换日志

报表攻后实时日志

地址绑定日志

流量告警日志

功能描逑

上网行为管理日志

实时流量统计和分析功能

安全事件统计功能

2）客户收益

＞在复杂环境下提供给用户网络安全管理，基于大数据挖掘技术帮助管理

者快速的发现网络中的异常情况，进而尽早的确认威胁并采取干预措施,

实现主动防御，具备对数据的收集集中能力以及智能分析能力

＞全面、多维的识别应用中安全风险，进行全天24小时的安全扫描和防护,

当发现攻击威胁时及时阻断并审计记录，保障用户的应用安全无忧

＞识别未知应用的安全风险，面对来自世界各地、随时随地涌现的新类型、

新应用，提供一种机制，去第一时间识别和控制应用，保障用户网络每

一秒都不会暴露在网络威胁之下。这就要求其必须要具备应用自定义的

能力

4.1.3MY入侵防御系统（IPS）

1）产品介绍

AHMY入侵防御系统（简称：DAS-IPS）是用于实现专业的入侵攻击检测和防

御的安全产品。主要部署在服务器前端、互联网出口以及内网防护等用户场景中，

广泛适用于政府、企业、高校等行业。

AHDASTPS采用专业的高速多核安全引擎，融合AH的安全操作系统，全面实

现网络入侵攻击防御功能，除了提供4000+的攻击特征检测还提供专业的Botnet

检测防护、网络应用精确识别、网络安全性能优化以及安全管理的能力，为用户

业务的正常运行和使用提供可信的安全保障。

2）功能介绍

产品特色描述

AHDAS-IPS内嵌4,000多种攻击特征，能够检测常见

全面的

的病毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢

L2-L7入侵防御

出攻击和漏洞攻击；封堵主流的高级逃逸攻击；检测和防

御主流的异常流量，含各类Flood攻击；提供用户自定义

攻击特征码功能，可指定网络层到应用层的对比内容；提

供虚拟补丁功能，让没有及时修补漏洞的客户，能够保障

网络安全正常运行。

AHDASTPS提供了高效的安全检测引擎，采用传统的攻

击特征匹配检测机制和高级逃逸攻击检测机制实现已知入

侵攻击以及Botnet的检测防御；采用协议异常检测机制，

业内领先的

对数据包进行完整性检查，从而阻止经黑客伪造不符合标

入侵检测技术

准通信协议规范的数据包进入企业内部网络采用；采用流

量异常检测与防护机制，实现对各种网络层至应用层的

DoS/D）oS攻击，包括主流的Flood攻击、扫描类攻击等。

AHDAS-IPS提供业界最完整的Botnet特征数据库，含

C&C（命令及控制）特征库和Real-timeBlackList（实时

专业的

检测黑名单）库。当感染Botnet的主机与BotnetC&C服

Botnet检测和防

务器联机以及与恶意IP或LRL通信时，认为该主机已被植

御

入Bot并触发相应的响应行为。从而真正做到对内网的全

面专业的保护，保障内网业务的正常运行。

在可视化管理方面，提供实时攻击事件和网络应用服

务监控功能以及丰富的报表呈现功能

在高可用性方面，支持软硬件Bypass功能和HA功能。

在IPv6支持方面，可支持IPv4和IPv6双栈运行的

网络环境，可同时检测IPv4和IPv6的网络数据包。

强大的安全在灵活性管理方面，能够提供虚拟IPS功能，每一个

管理虚拟的IPS可以拥有独立的安全防御策略，可以增加IPS

在大型网络架构中的使用灵活性。

在网络部署方面，支持在线的IPS运行部署和旁路的

IDS监控部署。

在管理接口方面，支持串口、SSH、WebUI（含SSL加

密）以及SNMP管理等方式。

3）客户收益

＞为用户提供全面的L2-L7入侵防御，能够检测常见的病毒、蠕虫、后门、

木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击；封堵主流的高级

逃逸攻击；

＞为用户提供领先的入侵检测技术，采用传统的发击特征匹配检测机制和

高级逃逸攻击检测机制实现已知入侵攻击以及3otnet的检测防御；采用

协议异常检测机制，对数据包进行完整性检查，从而阻止经黑客伪造不

符合标准通信协议规范的数据包进入企业内部网络采用

＞为用户提供专业的Bolnel检测和防御，提供业界最完整的Bolnel特征

数据库，含C&C（命令及控制）特征库和Real-limeBlackLisi（实时检

测黑名单）库

＞具备强大的安全管理，在可视化管理方面，提供实时攻击事件和网络应

用服务监控功能以及丰富的报表呈现功能，在高可用性方面，支持软硬

件Bypass功能和HA功能。

4.2.日志及数据库安全审计

4.2.1标准要求

《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》

类别条款号标准要求内容数据库审计产品符合项

安全7.1.3.3审计范围应覆盖到服务器和重要客户端上数据库风险控制与审计

审计的每个操作系统用户和数据库用户；系统

应在保证系统运行安全和效率的前提下，启数据库风险控制与审计

用系统审计或采用第三方安全审计产品实系统

现审计要求

审计内容应包括重要用户行为、系统资源的数据库风险控制与审计

异常使用和重要系统命令的使用等系统内系统

重要的安全相关事件；

审计内容至少包括：用户的添加和删除、审数据库风险控制与审计

计功能的启动和关闭、审计策略的调整、权系统

限变更、系统资源的异常使用、重要的系统

操作（如用户登录、退出）等

审计记录应包括事件的日期、时间、类型、数据库风险控制与审计

主体标识、客体标识和结果等；系统

应保护审计进程，避免受到未预期的中断、数据库风险控制与审计

删除、修改或覆盖，审计日志至少保留6系统

个月；

应能够根据记录数据进行分析，并生成审计数据库风险控制与审计

报表；系统

《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》

类别条款号标准要求内容综合日志审计（S0C）产品符合项

7.1.2.3应对网络系统中的网络设备运行SOC支持对标准要求的日志记录

安全状况、网络流量、用户行为等进行包括网络设备的运行状况、网络流

审计日志记录；量等；

审计记录应包括：事件的日期和时S0C提供对标准要求的记录相关信

间、用户、事件类型、事件是否成息，如时间日期、时间、用户等信

功及其他与审计相关的信息；息；

应能够根据记录数据进行分析，并S0C支持对数据进行分析并生成报

生成审计报表；表;

应对审计记录进行保护，避免受到SOC支持对记录进行保护，避免未

未预期的删除、修改或覆盖等；授权的删除修改等操作；

安全7.1.3.3审计范围应覆盖到服务器和重要SOC支持覆盖到所有操作系统及数

审计客户端上的每个操作系统用户和据库用户；

数据库用户；

应在保证系统运行安全和效率的SOC属于第三方审计设备，对系统

前提下，启用系统审计或采用第三运行安全和效率无影响；

方安全审计产品实现审计要求；

审计内容应包括重要用户行为、系SOC所审计内容包含标准要求的各

统资源的异常使用和重要系统命项安全相关事件，如重要用户行

令的使用等系统内重要的安全相为、系统资源的异常使用等；

关事件；

审计内容至少包括：用户的添加和SOC审计的内容包含标准要求的具

删除、审计功能的启动和关闭、审体条款；

计策略的调整、权限变更、系统资

源的异常使用、重要的系统操作

（如用户登录、退出）等；

审计记录应包括事件的日期、时SOC满足标准要求的对时间的日

间、类型、主体标识、客体标识和期、时间、类型等信息的记录；

结果等；

应保护审计进程，避免受到未预期SOC采用进程防护技术，并设置对

的中断、删除、修改或根盖，审计应的安全策略，确保数据不受中

日志至少保留6个月；断、删除、修改或覆盖，根据存储

条件，可完全满足保留日志6个

月；

应能够根据记录数据进行分析，并SOC可满足标准要求，能对数据进

生成审计报表；行分析，并生成审计报表；

监控7.2.5.5应对通信线路、主机、网络设备和SOC能实现以上信息的采集，记录

管理应用软件的运行状况、网络流量、并保存；

和安用户行为等进行监测和报警，形成

全管记录并妥善保存；

理中应组织相关人员定期对监测和报SOC能实现分析评审，发现可疑行

心警记录进行分析、评审，发现可疑为，形成报告并报警；

行为，形成分析报告，并采取必要

的应对措施；

系统7.2.5.6应建立安全管理中心，对设备状SOC可通过日志管理实现了安全事

安全态、恶意代码、补丁升级、安全审件的统一集中管理；

管理计等安全相关事项进行集中管理；

应定期对运行日志和审计数据进SOC可实现定期对日志进行自动分

行分析，以便及时发现异常行为；析和处理，发现异常行为能邮件短

信报警；

应至少每月对运行日志和审计数SOC可实现每月自动化分析任务；

据进行分析；

4.2.2MY综合日志审计平台

1）产品介绍

信息安全等级保护中具有审计中心的概念，相关要求：审计中心包括两个应

用程序，审计控制台和用户管理。审计控制台可以实时显示网络审计信息、流量

统计信息、主机操作系统审计信息、应用系统审计信息等等，并且可以查恂审计

信息历史数据，并且对审计事件进行回放。用户管理程序可以对用户进行权限设

定，限制不同级别的用户查看不同的审计内容，并且具有一定的自身安全审计功

能。

AHMY综合日志审计系统就是一种审计中心。通过对客户网络设备、安全设备、

主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为

事件，为管理人员提供全局的视角，确保客户业务的不间断运营安全；MY综合

日志审计平台通过基于国际标准化的关联分析引擎，为客户提供全维度、跨设备、

匆粒度的关联分析，透过寻件的表象真实地还原事件背后的信息，为客户提供真

正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平

台，将所有的日志信息收集到平台中，实现信息资产的统一管理、监控资产的运

行状况，协助用户全面审计信息系统整体安全状况。

通过部署MY综合日志审计系统，可以实现：

资产监控：可以按照监控的设备类型，对主机系统、数据库、中间件和安全

设备进行实时监控，包括CPU、内存、磁盘等关键运行指标。并对根据各个设备

的特点，设置了相应的阀值，一旦超出阀值，及时进行性能异常报警。

告警收集和日志采集：通过SYSLOGsSNMPTRAP、SNMP轮询、XML、FTP、

HTTP、TELNET/SSH.SOAP、JMX方式、Sockets.Files,专用代理程序等方式

从主机系统、数据库、中问件和安全设备按照一定策略收集原始日志数据。

关联分析生成安全事件：采用AH自主设计的避免事件误告与漏告的核心关

联分析策略，大幅度提高安全事件的准确性。关联分析主要采用基于统计的关联

和基于规则的关联。

详细的安全报警展现：通过平台的安全报警分析功能，可以看到平台针对收

集上来的原始日志，经过实时归并、分析后的结果。包括：报警名称、类型、等

级、IP地址、IP对应的责任单位、聚合数量、发生时间等。平台针对所有的IP

地址，和资产管理中的责任单位自动进行关联，在安全报警分析中实现将IP地

址定位到责任单位，从而为后续的以责任单位进行宏观统计与分析提供了依据。

2）功能介绍

全面日志采集：全面支持Syslog、SNMP、OPSec、XML、FTP及本地文件等协

议，可以覆盖主流硬件设备、主机及应用，保障日志信息的全面收集。实现信息

资产（网络设备、安全设备、主机、应用及数据库）的日志获取，并通过预置的

解析规则实现日志的解析、过滤及聚合，同时可将收集的日志通过转发功能转发

到其它网管平台等。

大规模安全存储：内置T级别存储设备，可以选配各种RAID级别进行数据

冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制，十分

合适等保、密保等行业的应用要求。

智能关联分析：实现全维度、跨设备、细粒度关联分析，内置众多的关联规

则，支持网络安全攻防检测、合规性检测，客户可轻松实现各资产间的关联分析。

脆弱性管理：能够收集和管理来自各种Web漏洞扫描、主机漏洞扫描工具、

网络漏洞扫描工具的产生的扫描结果，并实时和用户资产收到的攻击危险进行风

险三维关联分析。

数据挖掘和数据预测：支持对历史日志数据进行数据挖掘分析，发现日志和

事件间的潜在关联关系，并对挖掘结果进行可视化展示。系统自带多种数据统计

预测算法，可以根据历史数据的规律对未来的数据发生情况进行有效预测。

可视化展示：实现所监控的信息资产的实时监控、信息资产与客户管理、解

析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快

速检索以及平台的管理。通过各种事件的归一化处理，实现高性能的海量事件存

储和检索优化功能，提供高速的事件检索能力、事后的合规性统计分析处理，可

对数据进行二次挖掘分析。

分布式部署和管理：系统支持分布式部署，可以在中心平台进行各种管理规

则，各种配置策略自动分发，支持远程自动升级等，极大的降低了分布式部署的

难度，提高了可管理性。

灵活的可扩展性：提供多种定制接口，实现强大的二次开发能力，及与第三

方平台对接和扩展的能力0

其他功能：支持各种网络部署需要，包括日志聚合、日志过滤、事件过滤、

日志转发、特殊日志格式支持（如单报文多事件）等。

3）客户收益

＞为用户IT网络设备、安全设备、主机和应用系统日志进行全面的标准化

处理

＞及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，

确保用户业务的不间断运营安全；

＞为用户提供全维度、跨设备、细粒度的关联分圻、可信赖的事件追责依

据和业务运行的深度安全

＞提供集中化的统一管理平台，将所有的日志信息收集到平台中，实现信

息资产的统一管理、监控资产的运行状况，协助用户全面审计信息系统

整体安全状况

4.2.3MY数据库审计与风险控制系统

1）产品介绍

数据库审计与风险控制系统主要的功能模块包括“静态审计、实时监控与风

险控制、实时审计、双向审计、细粒度审计规则、精准的行为检索、三层关联审

计、完备的审计报表、安全事件回放、审计对象管理、多形式的预警机制、系统

配置管理”几个部分。

2)功能介绍

丰富的协议支持

主流数据库OraclexSQLserver,DB2、Mysql、Informix.CACHE、

Sybase.PostgreSQL

国产数据库神通(原OSCAR)、达梦、人大金仓(kingbase)

数据仓库Teradata

其他协议FTP、HTTP、Telnet.SMTP、POP3、DCOM等

细粒度的操作审计

细粒度审计通过对不同数据库的SQL语义分析，提取出SQL中相关

的要素〔用户、SQL操作、表、字段、视图、索引、过程、

函数、包…)

双向审计不仅对数据库操作请求进行实时审计，而且还可对数据

库执行状态、返回结果、返回内容进行完整的还原和审计，

同时可以根据返回结果设置审计规则

多行为审计实时监控来自各个层面的所有数据库活动，包括来自应

用系统发起的数据库操作请求、来自数据库客户端工具的操

作请求以及通过远程登录服务器后的操作请求等

多层业务关联审计

B/S三层架构支持HTTP请求审计,提取URL、P0ST/GET值、cookie.

操作系统类型、浏览器类型、原始客户端IP、MAC地址、提

交参数等；

通过智能自动多层关联，关联日每条SQL语句所对应

URL,以及其原始客户端IP地址等信息，实现追踪溯源；

C/S三层架构在企业、医院等行业客户中，也部分采用C/S/S三层架

构，同样面临追踪溯源的难题,DAS-DBAuditor支持基于DCOM

的三层架构自动关联。

运维审计关联通过运维审计产品进行统一认证、授权后，也将面临追

踪溯源的难题，DAS-DBAuditor支持与运维审计产品关联，

实现原始操作者信息的追踪

全方位风险控制

灵活的策略定根据登录用户、源IP地址、数据库对象（分为数据库用

制户、表、字段）、操作时间、SQL操作命令、返回的记录数或

受影响的行数、关联表数量、SQL执行结果、SQL执行时长、

报文内容的灵活组合来定义客户所关心的重要事件和风险事

件

自动建模DAS-DBAuditor支持自动建模，可以非常方便了解整个数

据库的允许状态，帮助管理员形成有效的审计规则，快速识

别越权操作、帐号复用、违规操作等行为。

多形式的实时当检测到可疑操作或违反审计规则的操作时，系统可以

告警通过监控中心告警、短信告警、邮件等警、Syslog告警、SNMP

告警、FTP告警等方式通知数据库管理员

报表

DAS-DRAuditor报表系统包括预定义报表和自定义报表两大模块,可以快速

生成对安全事件的报表，并以PDF等格式导出。

审计管理员报表支持从审计设备运行状况、安全事件、帐号的增删、

是否修改等角度形成报表

系统管理员报表支持从权限的变更、数据库权限分配状况、DDL/DML等

特权操作、SQL语句的类型和使用比率等角度形成报表

合规性报告能够形成符合SOX（塞班斯）法案、等级保护、分级保

护等法规符合性的综合报告

静态审计

除了提供实时的动态审计功能，还提供了可选的扫描审计模块对数据库的不

文全配置、弱口令等进行检测和审计，并提供实金加固建议。

友好真实的操作过程回放

对于客户关心的操作可以回放整个相关过程，让客户可以看到真实输入及屏

幕显示内容，并可以通过精细内容的检索，对特定行为进行精确回放，如执行删

除表、文件命令、数据搜索等。

3）客户收益

＞全面满足国家等级保护测评要求，成功通过测评认证；

＞能够从合法、合规的方面满足证监会对信息化的监管要求；

＞从帐号管理、权限管理等多维度进行监控，助力IT管理制度实施；

＞建立数据库权限模型，为数据库安全建设提供优化经验；

＞定期评估数据库漏洞，防止数据库破解

＞数据库操作全审计，不放弃任何可疑统方行为

＞双向审计，准确判断违规统方行为

＞丰富的审计报表，满足纠风办审计需求

＞短信、邮件告警，第一时间了解违规统方行为

4.3.安全运维审计

4.3.1标准要求

《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》

类别条款号标准要求内容运维审计防护产品符合

项

身份鉴7.1.3.1应对登录操作系统和数据库系统的用户运维审计（堡垒机）

别进行身份标识和鉴别

操作系统和数据库系统管理用户身份标运维审计（堡垒机）

识应具有不易被冒用的特点，口令应有复

杂度要求并定期更换

当对服务器进行远程管理时，应采取必要运维审计（堡垒机）

措施，防止鉴别信息在网络传输过程中被

窃听

应根据管理用户的角色分配权限，实现管运维审计（堡垒机）

访问控

7.1.3.2理用户的权限分离，仅授予管理用户所需

制

的最小权限；

审计范围应覆盖到服务器和重要客户端运维审计（堡垒机）

上的每个操作系统用户和数据库用户

审计内容应包括重要用户行为、系统资源运维审计（堡垒机）

的异常使用和重要系统命令的使民等系

统内重要的安全相关事件

安全审

7.1.3.3审计记录应包括事件的日期、时间、类型、运维审计（堡垒机）

计

主体标识、客体标识和结果等

应保护审计记录，避免受到未预期的删运维审计（堡垒机）

除、修改或覆盖等

4.3.2MY运维审计和风险控制系统

1）产品介绍

AHYY运维审计与风险/制系统（简称：堡垒主机〉是AH信息结合多年运维

统一安全管理的理论和实践经验积累的基础上，结合各类法令法规（如SOX、PCI、

企业内控管理、等级保护等）对运维审计的要求，自主研发完成的业内首创支持

灵活部署方式，集统一账户管理与单点登录，支持多种字符协议与图形协议的实

时监控与历史查询，全方位风险控制的运维统一安全管理与审计产品。

AHMY堡垒主机是一种符合4A（认证Authentication,账号Account、授权

Authorizations审计Audit）统一安全管理平台方案并且被加固的高性能抗网络

攻击设备，具备很强安全防范能力，作为进入内部网络的一个检查点，能够拦截

非法访问和恶意攻击，对六合法命令进行阻断，过滤掉所有对目标设备的非法访

问行为。

AHMY堡垒主机具备强大的输入输出审计功能，为企事业内部提供完全的审计

信息，通过账号管理、身份认证、资源授权、实时监控、操作还原、自定义策略、

日志服务等操作增强审计信息的安全性，广泛适用于需要运维统一安全管理与审

计的“政府、金融、运营商、GA、能源、税务、工商、社保、交通、卫生、教育、

电子商务及企业”等各个行业。

部署AHMY堡垒