【51CTO.com 綜合消息】隨著信息技術的快速發(fā)展， IT信息化的不斷深入，國內各行各業(yè)的業(yè)務越來越依賴于IT系統(tǒng)。如何了解信息系統(tǒng)真實狀況，在系統(tǒng)出現故障和安全事故時，幫助調查者深入挖掘事件背后的信息，重建事件過程，直至完整的分析定位事件的根源等問題始終是一個緊迫的需求。為此，國內外監(jiān)管部門發(fā)布了一系列的審計要求文件，如美國的薩班斯法案404條款要求公眾公司必須確保與財務相關的IT系統(tǒng)的安全性和可審計性。2006年國務院國有資產監(jiān)督管理委員會向各中央企業(yè)發(fā)布了《中央企業(yè)全面風險管理指引》，要求中央企業(yè)加強內控，并在指引中對內控審計和IT技術建設風險管理信息系統(tǒng)均提出了明確的要求。在公安部、保密局等主管部門發(fā)布的信息安全等級保護的系列文件中更是對不同等級的網絡提出了明確的審計要求。

聯想網御針對安全審計的功能要求，結合自身對信息安全的深刻理解和多年的信息安全實踐經驗，在全面體現GB17859-1999的等級化標準思想的基礎上，充分吸收信息系統(tǒng)安全保障理論模型和技術框架（如IATF等）、信息安全管理標準（如ISO/IEC 17799：2000和ISO/IEC TR 13335系列標準），推出全網安全審計解決方案。通過對網絡內部各個實體審計信息的集中管理、對網絡應用協(xié)議的還原分析，利用統(tǒng)一安全事件管理平臺進行融合和關聯分析，實現對整體信息安全事件的完整審計，同時對系統(tǒng)存在的安全隱患可提出相應的防護建議。

風險與需求分析

目前關鍵行業(yè)的IT信息系統(tǒng)都是技術密集、大型復雜、網絡化的人機系統(tǒng)，這就對其審計和風險管理帶來很高的挑戰(zhàn)。 在貫徹IT和風險管理的過程中，面臨以下問題與風險：

審計信息孤島化

傳統(tǒng)的IT審計方式采用不同的產品進行系統(tǒng)日志、網絡內容、用戶行為的審計，不同的信息分散在各處不同種類的系統(tǒng)上面，各系統(tǒng)單獨存儲，單獨管理，形成信息孤島，導致關鍵信息分散，互不相通，難以管理。

攻擊行為混合化

目前常見的安全控制措施，如防火墻、入侵檢測等，都是局限于在網絡或主機的一個點上進行防護和記錄相關信息。隨著攻擊手段的不斷發(fā)展，攻擊行為及違規(guī)行為日益向縱深化、混合化方向發(fā)展，利用單純系統(tǒng)日志的方式已經不能滿足對網絡的操作行為、數據庫訪問與操作行為、客戶端操作行為等進行很好的審計監(jiān)控并進行事后回放取證。

隨著攻擊與違規(guī)操作行為不斷朝復雜化、隱蔽化、多樣化方向發(fā)展，也需要對用戶行為之間進行關聯分析，因此需要一種能夠進行綜合數據采集、分析、審計與監(jiān)控的技術手段，來實現對網絡用戶的日常行為進行監(jiān)管。

審計要求合規(guī)化

在等級保護、分級保護等合規(guī)性要求全面落實的情況下，組織的管理者迫切需要一套有效的安全合規(guī)性審計平臺，以實現信息安全管理部門以及各個專業(yè)職能部門之間統(tǒng)一的審計測評管理和風險管理， 輔助職能部門以過程化、規(guī)范化、結構化的運作方式開展安全保護工作。

方案概述

為了解決以上安全審計的各種問題，降低安全風險，聯想網御在全面落實等級化標準思想的基礎上，結合自身對信息安全的深刻理解和多年的信息安全實踐經驗，推出全網安全審計解決方案。該方案從主機端到網絡設備，從用戶行為、安全日志到網絡內容部署了多層次全方位的信息審計，切實落實審計的要求，保障業(yè)務的正常運行。  

整個方案主要包括以下四個方面：

主機端審計：通過主機端部署專業(yè)的內網安全管理和審計軟件，一方面制定嚴格的安全策略限制對互聯網和外設的訪問，另一方面可以提供完善的非法外聯行為審計、網絡接入行為審計、上網行為審計等信息，這些信息可以根據配置匯總到統(tǒng)一審計平臺。

網絡審計：通過在Internet與用戶內部網絡之間、數據庫服務器前、關鍵設備前部署專業(yè)的網絡內容審計產品：聯想網御網絡審計系統(tǒng)，可以完成基于用戶識別的運維操作、數據庫訪問、網絡訪問行為和內容的詳細記錄，同時關鍵的信息可以上報到統(tǒng)一審計平臺。

設備日志審計：通過syslog、SNMP等方式，將網絡內的防火墻、路由器、交換機以及入侵檢測等其他安全設備的日志統(tǒng)一發(fā)送到統(tǒng)一審計平臺進行收集、存儲和分析。

統(tǒng)一審計平臺：通過統(tǒng)一安全管理平臺，實現主機審計信息、設備日志信息、網絡內容審計的統(tǒng)一存儲、關聯分析、實時查詢和各種統(tǒng)計、報表的輸出，同時根據審計結果為用戶提供自動響應。為用戶提供全網情況的審計和管理平臺。

方案的優(yōu)勢與特點

多緯度、全方位數據采集

不僅支持SNMP、SYSLOG等多種格式的設備日志采集，還支持通過對應用層協(xié)議分析來實現上網行為、數據庫操作、管理運維的采集，通過終端管理的方式實現終端用戶行為的全方位采集，實現對整網的全面審計。

滿足合規(guī)需求

通過深入研究相關標準和行業(yè)要求，方案涉及產品在審計項目、日志格式、報表生成等方面注重合規(guī)性，使用戶通過該方案的部署可以滿足合規(guī)性的需求。

強大的數據融合能力

該方案完整實現了安全審計多點采集、集中匯聚、實時監(jiān)控、關聯分析、圖表呈現、自動響應、統(tǒng)一存儲、壓縮歸檔等功能。通過關鍵數據的統(tǒng)一存儲，采用各種數據融合算法、高效的檢索引擎，可以大幅度減少海量的審計信息，并通過業(yè)內領先的自定義實時規(guī)則、快捷的報警方式、為用戶提供響應指導。

支持關聯安全標準

整個解決方案由多款產品組成，各產品之間既可以完成獨立的功能，又可以基于聯想網御關聯安全標準（CSC：Correlative Secure Criterion）中的安全審計協(xié)議緊密協(xié)作，通過統(tǒng)一的審計平臺，基于高效的關聯算法，從系列不同的日志中關聯出用戶的行為，提煉關鍵內容，為用戶提供更高的價值。

完善的報表生成

整個方案通過提供各種不同層次、不同緯度的報表，包括支持用戶根據自身業(yè)務特點自定義報表，為用戶提供從微觀事件到宏觀數據的決策依據。 報表格式包括HTML、EXCEL、CSV、PDF、Word等，充分滿足不同用戶的不同需求。

分布式級聯部署

對大型網絡，一方面可以提供電信級大容量高可靠安全事件處理能力，另一方面，整個方案支持業(yè)內領先的多級級聯部署，上級系統(tǒng)能方便地管理下級系統(tǒng)，整個方案可以方便、快捷地部署在大型復雜的網絡環(huán)境中，具有良好的網絡適應性和伸縮性。