網(wǎng)絡(luò)安全系統(tǒng)的審計案例

網(wǎng)絡(luò)安全審計案例與解決方案網(wǎng)絡(luò)安全審計系統(tǒng)應(yīng)用于企業(yè)，能夠規(guī)范職員上網(wǎng)行為、提高工作效率、防止企業(yè)機密資料外泄，為企業(yè)的網(wǎng)絡(luò)提供保障，使企業(yè)的網(wǎng)絡(luò)資源發(fā)揮應(yīng)有的經(jīng)濟效益。從企業(yè)治理的角度，以可視化的方式描述、分析企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的實際使用狀況，提高企業(yè)信息系統(tǒng)的工作效率，加強企業(yè)內(nèi)部治理，降低企業(yè)的運營成本，關(guān)心治理者發(fā)覺潛在的威脅，減少人為因素和治理缺失造成的關(guān)鍵業(yè)務(wù)停頓造成的損失。關(guān)心您對IT安全事件進行有效監(jiān)控、協(xié)調(diào)并迅速做出響應(yīng)，快速實現(xiàn)ROI需求背景1：某部委是我國擬定方針政策、進展戰(zhàn)略和中長期規(guī)劃，組織起草有關(guān)法律法規(guī)并監(jiān)督實施的國家部委。某部的網(wǎng)絡(luò)是一個跨地區(qū)、跨部門的綜合性網(wǎng)絡(luò)系統(tǒng)，下轄多個數(shù)據(jù)中心，比如水土保持監(jiān)測中心等，該網(wǎng)絡(luò)由國家信息中心同全國省級、副省級、地市級和縣級四級政府部門信息中心構(gòu)成的完整體系構(gòu)成。政務(wù)外網(wǎng)與政務(wù)內(nèi)網(wǎng)物理隔離，與互聯(lián)網(wǎng)邏輯隔離。國家電子政務(wù)外網(wǎng)安全治理平臺用于治理國家電子政務(wù)外網(wǎng)中央城域網(wǎng)、廣域網(wǎng)骨干網(wǎng)的要緊網(wǎng)絡(luò)設(shè)備、安全設(shè)備和網(wǎng)絡(luò)承載的業(yè)務(wù)系統(tǒng)的安全事件。某部委信息中心希望通過部署審計系統(tǒng)，旨在提高對各類安全事件的防范，規(guī)范信息公布，保障內(nèi)部重要關(guān)鍵主機的業(yè)務(wù)正常運行。具體而言要緊包括幾部分內(nèi)容：第一，對各省及地市的接入數(shù)據(jù)庫的人員能準(zhǔn)確定位，同時能夠操縱，只有授權(quán)許可的人員才能察看其訪問授權(quán)范圍內(nèi)的內(nèi)容。第二，對具有訪問授權(quán)的人員所進行的網(wǎng)絡(luò)行為操作做記錄。第三，能夠?qū)k公自動化OA系統(tǒng)的操作進行審計，較為關(guān)注辦公自動化中收發(fā)郵件、網(wǎng)絡(luò)共享等差不多網(wǎng)絡(luò)操作行為的審計。解決方案：某部委網(wǎng)絡(luò)由一個核心網(wǎng)絡(luò)機房構(gòu)成，全國省級、副省級、地市級和縣級四級政府部門信息中心與該機房的核心交換相連。網(wǎng)絡(luò)安全建設(shè)較為完善，要緊設(shè)備有防火墻、IDS、洞掃描、網(wǎng)關(guān)防病毒等網(wǎng)絡(luò)安全產(chǎn)品。該方案在原有網(wǎng)絡(luò)安全設(shè)備基礎(chǔ)上，在核心交換機處部了署審計產(chǎn)品，情況如下圖所示：案例點評：事實上，整個方案將審計產(chǎn)品作為整體安全的關(guān)鍵設(shè)備，審計產(chǎn)品部署在交換機出口處作為監(jiān)控預(yù)警的環(huán)節(jié)，對內(nèi)外部的各關(guān)鍵節(jié)點進行愛護，同時，通過審計系統(tǒng)，實現(xiàn)了與綜合治理平臺SOC的有效結(jié)合與統(tǒng)一治理。該方案為信息中心網(wǎng)絡(luò)構(gòu)建了一道提供了從宏觀到微觀的多層次，立體化的網(wǎng)絡(luò)安全愛護體系。信息中心主任如實講，“審計產(chǎn)品在我們的整個網(wǎng)絡(luò)中發(fā)揮了比較重要的作用，關(guān)心我們在日常運維的工作中形成了一個有效的監(jiān)管機制，準(zhǔn)確定位相關(guān)人員對我們系統(tǒng)的數(shù)據(jù)庫、服務(wù)器等系統(tǒng)維護的網(wǎng)絡(luò)行為，因此，我們對天玥網(wǎng)絡(luò)安全審計系統(tǒng)表示中意。”需求背景2：某市廣播電影電視局是國家的重要行政單位，是我國研究并擬定廣播電視宣傳和影視創(chuàng)作的方針政策，把握輿論導(dǎo)向的政府機構(gòu)。隨著我國廣播電影電視的蓬勃進展，某市廣播電影電視局擔(dān)負著越來越沉重的治理工作，尤其是在信息化時代到來的今天，某市廣播電影電視局必須應(yīng)對新形勢下的治理和輿論導(dǎo)向。該局為加強對內(nèi)部治理和建設(shè)，對內(nèi)外網(wǎng)著手部署了審計系統(tǒng)，要緊達到以下目的：第一，隨著總局IT系統(tǒng)的增多，用戶的操作權(quán)限無法得到有效的操縱和治理，假如內(nèi)部網(wǎng)絡(luò)維護人員針對核心服務(wù)器進行telnet、x11、Rlogin的操作時，沒有有效的監(jiān)控機制必將帶來專門大隱患。第二，該局后臺系統(tǒng)中有大量的業(yè)務(wù)應(yīng)用系統(tǒng)，包括但不限于：業(yè)務(wù)審批系統(tǒng)、電子報文系統(tǒng)、流媒體制作播放治理系統(tǒng)、Web服務(wù)系統(tǒng)、流媒體后臺治理系統(tǒng)、運營業(yè)務(wù)治理系統(tǒng)、寬帶互動訪談系統(tǒng)、硬件系統(tǒng)等，承載這些系統(tǒng)的每一個關(guān)鍵服務(wù)器，差不多上需要做安全保障和防護的，最為重要的是，必須能夠做到角色和用戶實現(xiàn)一對一的對應(yīng)關(guān)系，保證登錄用戶身份的真實性。解決方案：某市廣播電影電視局包括如此一些具體的應(yīng)用系統(tǒng)：比如，流媒體制作播放系統(tǒng)、Web服務(wù)系統(tǒng)、流媒體后臺治理系統(tǒng)、運營業(yè)務(wù)治理系統(tǒng)、寬帶互動訪談系統(tǒng)、硬件系統(tǒng)等。為了確保其內(nèi)網(wǎng)/外網(wǎng)的網(wǎng)絡(luò)安全，提供全面的網(wǎng)絡(luò)安全建設(shè)方案，我們針對網(wǎng)絡(luò)的專門性，提出了全局安全網(wǎng)絡(luò)（GSN）解決方案，通過聯(lián)動全網(wǎng)的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)終端及IDS、審計系統(tǒng)等，實現(xiàn)全面的安全防護，具體部署情況的示意圖，如下：案例點評：該局采納的網(wǎng)絡(luò)設(shè)備多為國內(nèi)自主研發(fā)的設(shè)備，因此，審計產(chǎn)品也不例外，必須堅持采納國產(chǎn)設(shè)備，一方面能夠提高廠家服務(wù)響應(yīng)速度，另一方面，國產(chǎn)設(shè)備更為安全和可靠，完全能夠適應(yīng)新形勢下的治理要求。隨著信息化建設(shè)的深入進展，政府機構(gòu)內(nèi)部，政府機構(gòu)之間，政府部門與公眾之間，政府部門與企業(yè)之間的溝通越來越緊密，因此，對信息系統(tǒng)的合規(guī)性治理就顯得尤為重要，不僅能夠提升政府內(nèi)部安全性，同時，更提升我政府機構(gòu)的形象，因此，在通過搭建穩(wěn)定可靠的審計平臺，實現(xiàn)以數(shù)字化治理的目的，為政府部門辦事效率的提高贏來更多贊許。需求背景3：某市財政局是擬定并貫徹實施全區(qū)財政稅收的進展戰(zhàn)略、中長期規(guī)劃;負責(zé)全市政收入的組織和預(yù)決算工作;安排行政事業(yè)單位經(jīng)費預(yù)算和撥付;組織籌措高新區(qū)建設(shè)資金;負責(zé)區(qū)屬行政、企事業(yè)單位的國有資產(chǎn)治理;負責(zé)國有建設(shè)投資財務(wù)決算及審批工作;負責(zé)政府采購工作;負責(zé)社會保險資金的統(tǒng)籌、監(jiān)管等工作。眾所周知，電子政務(wù)是近年來國家政府單位的重點建設(shè)項目，實現(xiàn)政府辦公的便利性及信息的有效互動是政府工作改革的重要目標(biāo),為實現(xiàn)這一目標(biāo)某市財政局加快了改革步伐，此次財政局國庫支付中心系統(tǒng)建設(shè)項目是某市財政局的第一個試點項目，此中心建成后會將稅務(wù)、銀行、省廳及所轄的各縣數(shù)據(jù)庫進行互連和共享，以減少國庫支付的時刻和流程，提高財政工作的效率。國庫集中支付是一種嶄新的預(yù)算執(zhí)行制度，是通過國庫單一帳戶體系的設(shè)置及與中央銀行進行實時清算的方法統(tǒng)一治理財政資金的各類支出項目，實行該制度，進一步加強對“人、財、物”治理體制的改革力度，通過建立和健全制度，強化財務(wù)治理，發(fā)揮國庫集中支付的監(jiān)督制約作用，這不僅是加大治標(biāo)力度，也是治本良策，是深化財政制度改革與推進廉政建設(shè)的又一有機結(jié)合點，將進一步從源頭上預(yù)防和解決腐敗問題。因此，某市財政局充分認(rèn)識到該項目工作的重要性，立足于當(dāng)下信息安全的進展趨勢，堅決地部署審計系統(tǒng)，保證系統(tǒng)核心服務(wù)器系統(tǒng)的穩(wěn)定性和數(shù)據(jù)的安全可靠性。解決方案：由于涉及到國家財政方面的工作，建成的國庫支付中心系統(tǒng)需要對產(chǎn)生的海量數(shù)據(jù)進行處理和愛護，同時對歷史數(shù)據(jù)進行記錄和積存，因此本項目最首要的問題確實是必須保證系統(tǒng)核心服務(wù)器系統(tǒng)的穩(wěn)定性和數(shù)據(jù)的安全可靠性。除了數(shù)據(jù)的安全可靠性，另外前期信息安全方案支持以及系統(tǒng)建設(shè)完工后的售后維護工作是否能夠提供可持續(xù)的服務(wù)也被財政局列入考察重點和考評的依據(jù)。作為國家政府采購項目，如何保證國家的每一份投入都能最大的發(fā)揮作用，如何建設(shè)一個高性價比的審計系統(tǒng)是財政局考慮的重要因素，具體部署情況如下圖所示：安全審計是幾年前出現(xiàn)的概念，它的進展特不迅速，3年前還專門少有人講起安全審計，現(xiàn)在卻是產(chǎn)品滿天飛。只是據(jù)我看來，關(guān)于安全審計那個概念，眾多客戶和廠商的理解都不同。那么到底什么是安全審計呢？一、網(wǎng)絡(luò)安全審計的差不多概念首先，我們要把范圍界定一下，我們的安全審計是指在一個網(wǎng)絡(luò)環(huán)境下以維護網(wǎng)絡(luò)安全為目的的審計，因而叫網(wǎng)絡(luò)安全審計。通俗地講，網(wǎng)絡(luò)安全審計確實是在一個特定的企事業(yè)單位的網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外網(wǎng)和內(nèi)網(wǎng)用戶的入侵和破壞，而運用各種技術(shù)手段實時收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件，以便集中報警、分析、處理的一種技術(shù)手段。那個地點順便提一下其他行業(yè)的案例審計概念，如金融和財務(wù)中的安全審計，目的是檢查資金不被亂用、挪用，或者檢查有沒有偷稅事件的發(fā)生；道路安全審計是為了保障道路安全而進行的道路、橋梁的安全檢查；民航安全審計是為了保障飛機飛行安全而對飛機、地面設(shè)施、法規(guī)執(zhí)行等進行的安全和應(yīng)急措施檢查等等。特不的，金融和財務(wù)審計也有網(wǎng)絡(luò)安全審計的講法，僅僅是指利用網(wǎng)絡(luò)進行遠程財務(wù)審計，和網(wǎng)絡(luò)安全沒有關(guān)系。二、實施安全審計的價值體現(xiàn)一個典型的網(wǎng)絡(luò)環(huán)境有網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶電腦、數(shù)據(jù)庫、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備等組成部分，我們把這些組成部分稱為審計對象。要對該網(wǎng)絡(luò)進行網(wǎng)絡(luò)安全審計就必須對這些審計對象的安全性都采取相應(yīng)的技術(shù)和措施進行審計，關(guān)于不同的審計對象有不同的審計重點，下面一一介紹：對網(wǎng)絡(luò)設(shè)備的安全審計：我們需要從中收集日志，以便對網(wǎng)絡(luò)流量和運行狀態(tài)進行實時監(jiān)控和事后查詢。對服務(wù)器的安全審計：為了安全目的，審計服務(wù)器的安全漏洞，監(jiān)控對服務(wù)器的任何合法和非法操作，以便發(fā)覺問題后查找緣故。對用戶電腦的安全審計：（1）為了安全目的，審計用戶電腦的安全漏洞和入侵事件（2）為了防泄密和信息安全目的，監(jiān)控上網(wǎng)行為和內(nèi)容，以及向外拷貝文件行為（3）為了提高工作效率目的，監(jiān)控用戶非工作行為。對數(shù)據(jù)庫的安全審計：對合法和非法訪問進行審計，以便事后檢查。對應(yīng)用系統(tǒng)的安全審計：應(yīng)用系統(tǒng)的范圍較廣，能夠是業(yè)務(wù)系統(tǒng)，也能夠是各類型的服務(wù)軟件。這些軟件差不多都會形成運行日志，我們對日志進行收集，就能夠明白各種合法和非法訪問。對網(wǎng)絡(luò)安全設(shè)備的安全審計：網(wǎng)絡(luò)安全設(shè)備包括防火墻、網(wǎng)閘、IDS/IPS、災(zāi)難備份、VPN、加密設(shè)備、網(wǎng)絡(luò)安全審計系統(tǒng)等等，這些產(chǎn)品都會形成運行日志，我們對日志進行收集，就能統(tǒng)一分析網(wǎng)絡(luò)的安全狀況。三、安全審計的技術(shù)分類目前的安全審計解決方案有以下幾類：日志審計：目的是收集日志，通過SNMP、SYSLOG、OPSEC或者其他的日志接口從各種網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶電腦、數(shù)據(jù)庫、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備中收集日志，進行統(tǒng)一治理、分析和報警。主機審計：通過在服務(wù)器、用戶電腦或其他審計對象中安裝客戶端的方式來進行審計，可達到審計安全漏洞、審計合法和非法或入侵操作、監(jiān)控上網(wǎng)行為和內(nèi)容以及向外拷貝文件行為、監(jiān)控用戶非工作行為等目的。依照該定義，事實上主機審計差不多包括了主機日志審計、主機漏洞掃描產(chǎn)品、主機防火墻和主機IDS/IPS的安全審計功能、主機上網(wǎng)和上機行為監(jiān)控等類型的產(chǎn)品。網(wǎng)絡(luò)審計：通過旁路和串接的方式實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲，而且進行協(xié)議分析和還原，可達到審計服務(wù)器、用戶電腦、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的審計安全漏洞、合法和非法或入侵操作、監(jiān)控上網(wǎng)行為和內(nèi)容、監(jiān)控用戶非工作行為等目的。依照該定義，事實上網(wǎng)絡(luò)審計差不多包括了網(wǎng)絡(luò)漏洞掃描產(chǎn)品、防火墻和IDS/IPS中的安全審計功能、互聯(lián)網(wǎng)行為監(jiān)控等類型的產(chǎn)品。針對典型網(wǎng)絡(luò)環(huán)境下的各個審計對象的安全審計需求，結(jié)合以上的安全審計解決方案，我們能夠得出以下審計對象和解決方案表。

表一審計對象和解決方案表

我們能夠看到這三種審計方案之間的關(guān)系：日志審計的目的是日志收集和分析，它要以其他審計對象生成的日志為基礎(chǔ)。而主機審計和網(wǎng)絡(luò)審計這兩種解決方案確實是生成日志的最重要的技術(shù)方法。主機審計和網(wǎng)絡(luò)審計的方案各有優(yōu)缺點，進行比較后得出下表：

表二主機審計和網(wǎng)絡(luò)審計方案對比表

注：－表示不用比較。

從上可知，主機審計在服務(wù)器和用戶電腦上安裝了客戶端，因而在安全漏洞審計、以及服務(wù)器和用戶電腦

|\o"將這篇文章加入您的收藏夾"收藏本站|上一篇文章：\o"文章標(biāo)題：腳本攻擊防范策略完全篇

(3)

作

者：佚名

更新時刻：2009-9-2413:07:33"腳本攻擊防范策略完全篇

(3)下一篇文章：\o"文章標(biāo)題：淺析網(wǎng)絡(luò)安全審計原理和技術(shù)

(2)

作

者：佚名

更新時刻：2009-9-2413:10:36"淺析網(wǎng)絡(luò)安全審計原理和技術(shù)

(2)推舉導(dǎo)讀

\o"新開課程------------黑客揭秘班"新開課程------------黑客揭秘班

\o"遠程放假公告"遠程放假公告

\o"取消：湖南分代理戴威爾網(wǎng)絡(luò)與信息安全培訓(xùn)中心"取消：湖南分代理戴威爾網(wǎng)絡(luò)與信息安全

\o"戴威爾聲明"戴威爾聲明

\o"北京3月20號新開實地網(wǎng)絡(luò)安全工程師班"北京3月20號新開實地網(wǎng)絡(luò)安全工程師班

\o"新開課程------------"新開課程------------

\o"2010五一放假通知"2010五一放假通知

\o"新開課程———swing面向?qū)ο蟪绦蛟O(shè)計課程安排表"新開課程———swing面向?qū)ο蟪绦蛟O(shè)計課

\o"新開課程---------網(wǎng)絡(luò)安全基礎(chǔ)班"新開課程---------網(wǎng)絡(luò)安全基礎(chǔ)班

\o"戴威爾遠程放假公告"戴威爾遠程放假公告

\o"新開課程———使用Sql

Server治理和查詢數(shù)據(jù)"新開課程———使用Sql

Server治理和查

\o"元月5號新開

網(wǎng)賺班"元月5號新開

網(wǎng)賺班最新文章

\o"新開課程------------黑客揭秘班"新開課程------------黑客揭秘班

\o"遠程放假公告"遠程放假公告

\o"新開課程------------C語言經(jīng)典入門班"新開課程------------C語言經(jīng)典入門班

\o"取消：湖南分代理戴威爾網(wǎng)絡(luò)與信息安全培訓(xùn)中心"取消：湖南分代理戴威爾網(wǎng)絡(luò)與信息安全

\o"戴威爾聲明"戴威爾聲明

\o"北京3月20號新開實地網(wǎng)絡(luò)安全工程師班"北京3月20號新開實地網(wǎng)絡(luò)安全工程師班

\o"總結(jié)三種不同的防Ping安全策略方法"總結(jié)三種不同的防Ping安全策略方法

\o"如何樣審查遭受入侵系統(tǒng)的日志"如何樣審查遭受入侵系統(tǒng)的日志

\o"服務(wù)器被入侵后的緊急補救方法"服務(wù)器被入侵后的緊急補救方法

\o"系統(tǒng)與網(wǎng)絡(luò)安全"系統(tǒng)與網(wǎng)絡(luò)安全

\o"利用google給新手找鍛煉提權(quán)的機會"利用google給新手找鍛煉提權(quán)的機會

\o"55種木馬的手工清除方法"55種木馬的手工清除方法\o"最新新聞"最新新聞\o"基礎(chǔ)入門"基礎(chǔ)入門\o"黑客技術(shù)"黑客技術(shù)\o"安全新聞"安全新聞\o"業(yè)界事件"業(yè)界事件\o"本站公告"本站公告\o"政策法規(guī)"政策法規(guī)\o"黑客現(xiàn)象"黑客現(xiàn)象\o"網(wǎng)絡(luò)治理"網(wǎng)絡(luò)治理\o"程序開發(fā)"程序開發(fā)\o"網(wǎng)頁編程"網(wǎng)頁編程\o"應(yīng)用安全"應(yīng)用安全\o"網(wǎng)絡(luò)架設(shè)"網(wǎng)絡(luò)架設(shè)\o"入侵檢測"入侵檢測\o"疑難技巧"疑難技巧\o"數(shù)據(jù)恢復(fù)"數(shù)據(jù)恢復(fù)\o"無盤網(wǎng)絡(luò)"無盤網(wǎng)絡(luò)的上機行為和防泄密功能上比網(wǎng)絡(luò)審計強，網(wǎng)絡(luò)審計是在網(wǎng)絡(luò)上進行監(jiān)控，無法治理到服務(wù)器和用戶電腦的本機行為。主機審計的客戶端，是它具有這些技術(shù)優(yōu)勢的緣故，也恰恰是對它在實際應(yīng)用上不利的一點，用戶對安裝客戶端的同意程度不高，就像在用戶上方安裝一個攝像頭一樣，誰都不喜愛被監(jiān)控的感受。而網(wǎng)絡(luò)審計是安裝在網(wǎng)絡(luò)出口，安裝時能夠事先通知用戶，也能夠讓用戶毫無知覺，相關(guān)于主機審計，用戶對遠遠在外的監(jiān)控系統(tǒng)的同意程度比安裝在自己電腦上的客戶端要高得多。用戶的同意程度不同使得主機審計和網(wǎng)絡(luò)審計在應(yīng)用行業(yè)范圍也有所有區(qū)不。主機審計目前集中在政府和軍隊中，其他行業(yè)應(yīng)用較少；而網(wǎng)絡(luò)審計的應(yīng)用范圍卻是廣泛，只要能上網(wǎng)的單位都能夠使用。四、安全審計的體系依照以上審計對象和審計技術(shù)的分析，我們能夠歸納出一個企事業(yè)單位內(nèi)的網(wǎng)絡(luò)安全審計體系。該體系分為以下幾個組件：1、日志收集代理，用于所有網(wǎng)絡(luò)設(shè)備的日志收集。2、主機審計客戶端，安裝在服務(wù)器和用戶電腦上，進行安全漏洞檢測和收集、本機上機行為和防泄密行為監(jiān)控、入侵檢測等。關(guān)于主機的日志收集、數(shù)據(jù)庫和應(yīng)用系統(tǒng)的安全審計也通過該客戶端實現(xiàn)。3、主機審計服務(wù)器端，安裝在任一臺電腦上，收集主機審計客戶端上傳的所有信息，同時把日志集中到網(wǎng)絡(luò)安全審計中心中。4、網(wǎng)絡(luò)審計客戶端，安裝在單位內(nèi)的物理子網(wǎng)出口或者分支機構(gòu)的出口，收集該物理子網(wǎng)內(nèi)的上網(wǎng)行為和內(nèi)容，同時把這些日志上傳到網(wǎng)絡(luò)審計服務(wù)器。關(guān)于主數(shù)據(jù)庫和應(yīng)用系統(tǒng)的安全審計也能夠通過該網(wǎng)絡(luò)審計客戶端實現(xiàn)。5、網(wǎng)絡(luò)審計服務(wù)器，安裝在單位總部內(nèi)，接收網(wǎng)絡(luò)審計客戶端的上網(wǎng)行為和內(nèi)容，同時把日志集中到網(wǎng)絡(luò)安全審計中心中。假如是小型網(wǎng)絡(luò)，則網(wǎng)絡(luò)審計客戶端和服務(wù)器能夠合成一個。6、網(wǎng)絡(luò)安全審計中心，安裝在單位總部內(nèi)，接收網(wǎng)絡(luò)審計服務(wù)器、主機審計服務(wù)器端和日志收集代理傳輸過來的日志信息，進行集中治理、報警、分析。同時能夠?qū)Ω飨到y(tǒng)進行配置和策略制定，方便統(tǒng)一治理。如此，幾個組件形成一個完整的審計體系，能夠滿足所有審計對象的安全審計需求。就目前而言，實現(xiàn)的產(chǎn)品類型有：日志審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、桌面治理系統(tǒng)、網(wǎng)絡(luò)審計系統(tǒng)、漏洞掃描系統(tǒng)、入侵檢測和防護系統(tǒng)等等，這些產(chǎn)品都實現(xiàn)了網(wǎng)絡(luò)安全審計的一部分功能，只有實現(xiàn)全面的網(wǎng)絡(luò)安全審計體系，安全審計才是完整的。五、網(wǎng)絡(luò)安全審計技術(shù)的進展趨勢1、體系化。上面講過，目前的產(chǎn)品實現(xiàn)未能涵蓋網(wǎng)絡(luò)安全審計體系。今后的產(chǎn)品應(yīng)該向那個方向進展，給客戶以統(tǒng)一的安全審計解決方案。2、操縱化。審計不應(yīng)當(dāng)只是記錄，而且還要有操縱的功能，事實上目前許多產(chǎn)品都差不多有了操縱的功能，如網(wǎng)絡(luò)審計的上網(wǎng)行為操縱、主機審計的泄密行為操縱、數(shù)據(jù)庫審計中對某些SQL語句的操縱等等。3、智能化。一個大型網(wǎng)絡(luò)中每天產(chǎn)生的審計數(shù)據(jù)以百萬計，假如從浩如煙海的日志中給網(wǎng)絡(luò)治理員、人力資源經(jīng)理、老總、上級主管部門和每一個關(guān)懷該審計結(jié)果的用戶呈現(xiàn)出最想要、最關(guān)鍵的信息，這是今后的進展趨勢。其中包含了數(shù)據(jù)挖掘、智能報表等技術(shù)。網(wǎng)絡(luò)安全審計作為一個新興的概念和進展方向，差不多表現(xiàn)出強大的生命力，圍繞著該概念產(chǎn)生了許多新產(chǎn)品和解決方案，如桌面安全、職員上網(wǎng)行為監(jiān)控、內(nèi)容過濾等，誰能在這些產(chǎn)品中獨領(lǐng)風(fēng)騷，誰就能跟上這一輪網(wǎng)絡(luò)安全的進展潮流|\o"將這篇文章加入您的收藏夾"收藏本站|首先，依照表象初步推斷

大夫推斷一個病人是否感冒了，能夠從是否流鼻涕、是否鼻塞、是否附帶咳嗽等表象進行推斷，而要想推斷系統(tǒng)是否感染了流氓軟件，也能夠從表象來推斷。當(dāng)系統(tǒng)感染了流氓軟件后一般有以下幾種可疑跡象能夠通過感受來推斷：

①系統(tǒng)運行速度越來越慢

安裝了病毒防火墻，系統(tǒng)中最近也并沒安裝什么軟件，然而系統(tǒng)的運行速度一天比一天慢，而殺毒軟件也沒有進行病毒警告，這種情況下，十之八九中了流氓軟件的招。

②部分軟件，特不是掃瞄器設(shè)置被強行修改

由于流氓軟件表面上是為用戶提供了一些有用的功能，但實質(zhì)上，它們是為了達到宣傳自己的網(wǎng)站、自己的產(chǎn)品等目的。因此，流氓軟件一旦成功入侵電腦，它們便會在一些軟件上提供相應(yīng)的插件工具欄，以掃瞄器類軟件居多，在掃瞄器家族中又以IE最受流氓軟件歡迎。當(dāng)發(fā)覺日常使用的軟件的工具欄被增加了一些項目或是像掃瞄器的設(shè)置被修改了，也足能夠講明系統(tǒng)中可能感染了流氓軟件。

③自動彈出廣告窗口

在正常使用電腦過程中，時而不時地自動彈出一些廣告窗口，關(guān)閉后隔一斷時刻又會出現(xiàn)，做廣告本是流氓軟件的一個目的，因此，當(dāng)你頻繁地看到自動彈出的廣告時，系統(tǒng)也有可能感染了流氓軟件。

④自動打開網(wǎng)站

與自動彈出廣告類似，有些流氓軟件更猖狂，會自動啟動掃瞄器并打開一些網(wǎng)站，假如你遇到了這種情況也講明系統(tǒng)有招流氓軟件的跡象了。

其次，利用工具檢測

依照表象推斷只是精略地推斷是否感染流氓軟件，就像大夫給病毒看病一樣，先是通過詢問等方式來大致地推斷病情，最后還會使用相關(guān)的醫(yī)療機器進行確診。推斷系統(tǒng)是否招流氓軟件也應(yīng)該通過工具來“確診”。

①使用系統(tǒng)的任務(wù)治理器

當(dāng)系統(tǒng)感染了流氓軟件后，只要流氓軟件正在運行的話，一般差不多上能夠通過系統(tǒng)的任務(wù)治理器來查找其蹤影：

按下“Ctrl+Shift+Esc”打開任務(wù)治理器窗口，再單擊“進程”選項卡，在進程列表中將會看到流氓軟件的蹤影了。只是，這種方法只適合那些對電腦系統(tǒng)比較熟悉并對流氓軟件對應(yīng)的進程有所了解的朋友們采納。

②使用專用檢測工具

使用任務(wù)治理器那個系統(tǒng)自帶的工具來檢測流氓軟件對用戶的要求相對高些，為此，可使用專業(yè)的流氓軟件檢測工具來檢測，如此既直觀，操作也會方便專門多。

通過以上方法系統(tǒng)的辨不與監(jiān)測，能保證系統(tǒng)的健康程度，因此今后的安全防范也不能放松。

需求背景1：

某部委是我國擬定方針政策、進展戰(zhàn)略和中長期規(guī)劃，組織起草有關(guān)法律法規(guī)并監(jiān)督實施的國家部委。某部的網(wǎng)絡(luò)是一個跨地區(qū)、跨部門的綜合性網(wǎng)絡(luò)系統(tǒng)，下轄多個數(shù)據(jù)中心，比如水土保持監(jiān)測中心等，該網(wǎng)絡(luò)由國家信息中心同全國省級、副省級、地市級和縣級四級政府部門信息中心構(gòu)成的完整體系構(gòu)成。政務(wù)外網(wǎng)與政務(wù)內(nèi)網(wǎng)物理隔離，與互聯(lián)網(wǎng)邏輯隔離。國家電子政務(wù)外網(wǎng)安全治理平臺用于治理國家電子政務(wù)外網(wǎng)中央城域網(wǎng)、廣域網(wǎng)骨干網(wǎng)的要緊網(wǎng)絡(luò)設(shè)備、安全設(shè)備和網(wǎng)絡(luò)承載的業(yè)務(wù)系統(tǒng)的安全事件。

某部委信息中心希望通過部署審計系統(tǒng)，旨在提高對各類安全事件的防范，規(guī)范信息公布，保障內(nèi)部重要關(guān)鍵主機的業(yè)務(wù)正常運行。具體而言要緊包括幾部分內(nèi)容：

第一，對各省及地市的接入數(shù)據(jù)庫的人員能準(zhǔn)確定位，同時能夠操縱，只有授權(quán)許可的人員才能察看其訪問授權(quán)范圍內(nèi)的內(nèi)容。

第二，對具有訪問授權(quán)的人員所進行的網(wǎng)絡(luò)行為操作做記錄。

第三，能夠?qū)k公自動化OA系統(tǒng)的操作進行審計，較為關(guān)注辦公自動化中收發(fā)郵件、網(wǎng)絡(luò)共享等差不多網(wǎng)絡(luò)操作行為的審計。

解決方案：

某部委網(wǎng)絡(luò)由一個核心網(wǎng)絡(luò)機房構(gòu)成，全國省級、副省級、地市級和縣級四級政府部門信息中心與該機房的核心交換相連。網(wǎng)絡(luò)安全建設(shè)較為完善，要緊設(shè)備有防火墻、IDS、洞掃描、網(wǎng)關(guān)防病毒等網(wǎng)絡(luò)安全產(chǎn)品。該方案在原有網(wǎng)絡(luò)安全設(shè)備基礎(chǔ)上，在核心交換機處部了署審計產(chǎn)品，情況如下圖所示：

案例點評：

事實上，整個方案將審計產(chǎn)品作為整體安全的關(guān)鍵設(shè)備，審計產(chǎn)品部署在交換機出口處作為監(jiān)控預(yù)警的環(huán)節(jié)，對內(nèi)外部的各關(guān)鍵節(jié)點進行愛護，同時，通過審計系統(tǒng)，實現(xiàn)了與綜合治理平臺SOC的有效結(jié)合與統(tǒng)一治理。

該方案為信息中心網(wǎng)絡(luò)構(gòu)建了一道提供了從宏觀到微觀的多層次，立體化的網(wǎng)絡(luò)安全愛護體系。信息中心主任如實講，“審計產(chǎn)品在我們的整個網(wǎng)絡(luò)中發(fā)揮了比較重要的作用，關(guān)心我們在日常運維的工作中形成了一個有效的監(jiān)管機制，準(zhǔn)確定位相關(guān)人員對我們系統(tǒng)的數(shù)據(jù)庫、服務(wù)器等系統(tǒng)維護的網(wǎng)絡(luò)行為，因此，我們對天玥網(wǎng)絡(luò)安全審計系統(tǒng)表示中意?！?/p>

需求背景2：

某市廣播電影電視局是國家的重要行政單位，是我國研究并擬定廣播電視宣傳和

影視創(chuàng)作的方針政策，把握輿論導(dǎo)向的政府機構(gòu)。隨著我國廣播電影電視的蓬勃進展，某市廣播電影電視局擔(dān)負著越來越沉重的治理工作，尤其是在信息化時代到來的今天，某市廣播電影電視局必須應(yīng)對新形勢下的治理和輿論導(dǎo)向。

該局為加強對內(nèi)部治理和建設(shè)，對內(nèi)外網(wǎng)著手部署了審計系統(tǒng)，要緊達到以下目的：

第一，隨著總局IT系統(tǒng)的增多，用戶的操作權(quán)限無法得到有效的操縱和治理，假如內(nèi)部網(wǎng)絡(luò)維護人員針對核心服務(wù)器進行telnet、x11、Rlogin的操作時，沒有有效的監(jiān)控機制必將帶來專門大隱患。

第二，該局后臺系統(tǒng)中有大量的業(yè)務(wù)應(yīng)用系統(tǒng)，包括但不限于：業(yè)務(wù)審批系統(tǒng)、電子報文系統(tǒng)、流媒體制作播放治理系統(tǒng)、Web服務(wù)系統(tǒng)、流媒體后臺治理系統(tǒng)、運營業(yè)務(wù)治理系統(tǒng)、寬帶互動訪談系統(tǒng)、硬件系統(tǒng)等，承載這些系統(tǒng)的每一個關(guān)鍵服務(wù)器，差不多上需要做安全保障和防護的，最為重要的是，必須能夠做到角色和用戶實現(xiàn)一對一的對應(yīng)關(guān)系，保證登錄用戶身份的真實性。

解決方案：

某市廣播電影電視局包括如此一些具體的應(yīng)用系統(tǒng)：比如，流媒體制作播放系統(tǒng)、Web服務(wù)系統(tǒng)、流媒體后臺治理系統(tǒng)、運營業(yè)務(wù)治理系統(tǒng)、寬帶互動訪談系統(tǒng)、硬件系統(tǒng)等。為了確保其內(nèi)網(wǎng)/外網(wǎng)的網(wǎng)絡(luò)安全，提供全面的網(wǎng)絡(luò)安全建設(shè)方案，我們針對網(wǎng)絡(luò)的專門性，提出了全局安全網(wǎng)絡(luò)（GSN）解決方案，通過聯(lián)動全網(wǎng)的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)終端及IDS、審計系統(tǒng)等，實現(xiàn)全面的安全防護，具體部署情況的示意圖，如下：

案例點評：

該局采納的網(wǎng)絡(luò)設(shè)備多為國內(nèi)自主研發(fā)的設(shè)備，因此，審計產(chǎn)品也不例外，必須堅持采納國產(chǎn)設(shè)備，一方面能夠提高廠家服務(wù)響應(yīng)速度，另一方面，國產(chǎn)設(shè)備更為安全和可靠，完全能夠適應(yīng)新形勢下的治理要求。

隨著信息化建設(shè)的深入進展，政府機構(gòu)內(nèi)部，政府機構(gòu)之間，政府部門與公眾之間，政府部門與企業(yè)之間的溝通越來越緊密，因此，對信息系統(tǒng)的合規(guī)性治理就顯得尤為重要，不僅能夠提升政府內(nèi)部安全性，同時，更提升我政府機構(gòu)的形象，因此，在通過搭建穩(wěn)定可靠的審計平臺，實現(xiàn)以數(shù)字化治理的目的，為政府部門辦事效率的提高贏來更多贊許。

需求背景3：某市財政局是擬定并貫徹實施全區(qū)財政稅收的進展戰(zhàn)略、中長期規(guī)劃;負責(zé)全市政收入的組織和預(yù)決算工作;安排行政事業(yè)單位經(jīng)費預(yù)算和撥付;組織籌措高新區(qū)建設(shè)資金;負責(zé)區(qū)屬行政、企事業(yè)單位的國有資產(chǎn)治理;負責(zé)國有建設(shè)投資財務(wù)決算及審批工作;負責(zé)政府采購工作;負責(zé)社會保險資金的統(tǒng)籌、監(jiān)管等工作。眾所周知，電子政務(wù)是近年來國家政府單位的重點建設(shè)項目，實現(xiàn)政府辦公的便利性及信息的有效互動是政府工作改革的重要目標(biāo),為實現(xiàn)這一目標(biāo)某市財政局加快了改革步伐，此次財政局國庫支付中心系統(tǒng)建設(shè)項目是某市財政局的第一個試點項目，此中心建成后會將稅務(wù)、銀行、省廳及所轄的各縣數(shù)據(jù)庫進行互連和共享，以減少國庫支付的時刻和流程，提高財政工作的效率。國庫集中支付是一種嶄新的預(yù)算執(zhí)行制度，是通過國庫單一帳戶體系的設(shè)置及與中央銀行進行實時清算的方法統(tǒng)一治理財政資金的各類支出項目，實行該制度，進一步加強對“人、財、物”治理體制的改革力度，通過建立和健全制度，強化財務(wù)治理，發(fā)揮國庫集中支付的監(jiān)督制約作用，這不僅是加大治標(biāo)力度，也是治本良策，是深化財政制度改革與推進廉政建設(shè)的又一有機結(jié)合點，將進一步從源頭上預(yù)防和解決腐敗問題。因此，某市財政局充分認(rèn)識到該項目工作的重要性，立足于當(dāng)下信息安全的進展趨勢，堅決地部署審計系統(tǒng)，保證系統(tǒng)核心服務(wù)器系統(tǒng)的穩(wěn)定性和數(shù)據(jù)的安全可靠性。解決方案：由于涉及到國家財政方面的工作，建成的國庫支付中心系統(tǒng)需要對產(chǎn)生的海量數(shù)據(jù)進行處理和愛護，同時對歷史數(shù)據(jù)進行記錄和積存，因此本項目最首要的問題確實是必須保證系統(tǒng)核心服務(wù)器系統(tǒng)的穩(wěn)定性和數(shù)據(jù)的安全可靠性。除了數(shù)據(jù)的安全可靠性，另外前期信息安全方案支持以及系統(tǒng)建設(shè)完工后的售后維護工作是否能夠提供可持續(xù)的服務(wù)也被財政局列入考察重點和考評的依據(jù)。作為國家政府采購項目，如何保證國家的每一份投入都能最大的發(fā)揮作用，如何建設(shè)一個高性價比的審計系統(tǒng)是財政局考慮的重要因素，具體部署情況如下圖所示：案例點評：由于該項目涉及金額較大，而且行業(yè)阻礙顯著，國內(nèi)可提供的數(shù)據(jù)庫審計的設(shè)備水平又參差不齊，各產(chǎn)品提供商都希望以最好的性價比及良好的售后服務(wù)取得勝利，財政局最后通過全面考察廠家的信譽、性價比、服務(wù)等因素，最終定牌選擇天網(wǎng)絡(luò)安全審計系統(tǒng)作為本項目唯一審計提供商。天網(wǎng)絡(luò)安全審計系統(tǒng)也不辱使命，為某市財政局搭建了一個堅實的業(yè)務(wù)審計平臺。啟明星辰憑借在電子政務(wù)領(lǐng)域的豐富實戰(zhàn)經(jīng)驗和天網(wǎng)絡(luò)審計系統(tǒng)良好的使用效果，在對用戶的業(yè)務(wù)系統(tǒng)應(yīng)用環(huán)境進行全面考察后，為財政局提供了一套網(wǎng)絡(luò)審計解決方案，為核心服務(wù)器和中心數(shù)據(jù)庫存儲系統(tǒng)的業(yè)務(wù)安全，做出了巨大的貢獻。在整個審計方案中，天玥網(wǎng)絡(luò)審計系統(tǒng)要緊的特點得到了用戶的認(rèn)可，首先，是滿足用戶審計性能的需求方面，整個國庫支付中心系統(tǒng)的數(shù)據(jù)庫操作，必須是要做到全過程審計，因此，這對記錄審計數(shù)據(jù)的硬件設(shè)備提出了較高的要求，包括事件入庫的速度和數(shù)量等一些具體指標(biāo)上，天玥網(wǎng)絡(luò)審計系統(tǒng)采納了較高的硬件設(shè)備配置，其強大的處理性能使整個系統(tǒng)得到專門大提升。另外為了提高數(shù)據(jù)處理的效率方面，配置了優(yōu)化審計策略，幸免了數(shù)據(jù)傳輸?shù)钠款i，充分解決了用戶對審計性能不足的擔(dān)心。不僅各項綜合指標(biāo)突出，而且在可靠性、可用性、可擴展型和治理性方面都得到了用戶的欣賞。其次，是審計系統(tǒng)的可靠性方面，由于整個系統(tǒng)承擔(dān)著舉足輕重的任務(wù)，因此國庫支付中心對整個系統(tǒng)的可靠性要求專門高，財政局方面堅持使用破壞性測試的驗證來證明產(chǎn)品的可靠性，最終，審計系統(tǒng)用專業(yè)的技術(shù)指標(biāo)折服了用戶。正是因為審計產(chǎn)品專門好的解決了國庫支付中心最關(guān)懷的性能和可靠性這兩方面，從全然上打動了用戶，最終下決心選擇采購了天網(wǎng)絡(luò)審計系統(tǒng)。值得一提的是，啟明星辰公司不僅提供的是高性能、高品質(zhì)及穩(wěn)定性的產(chǎn)品，同時，還擁有充足的售后服務(wù)技術(shù)人員、高水平的技術(shù)支持和豐富實戰(zhàn)經(jīng)驗。此次在財政局的成功應(yīng)用，是啟明星辰公司的產(chǎn)品、技術(shù)、方案在政府電子政務(wù)領(lǐng)域得到的又一次認(rèn)可和確信，充分證明了啟明星辰公司在業(yè)務(wù)安全領(lǐng)域的技術(shù)優(yōu)勢。某市財政局的項目負責(zé)人講：“從前期的項目環(huán)境考察到方案提供，再到不久前實施完畢的系統(tǒng)搭建，啟明星辰公司都表現(xiàn)出專業(yè)的服務(wù)精神和服務(wù)水準(zhǔn)，同時，天玥網(wǎng)絡(luò)審計系統(tǒng)帶給我們的現(xiàn)實作用，為我們數(shù)據(jù)庫安全奠定了十分重要的基礎(chǔ)，這是國內(nèi)專門多安全產(chǎn)品提供商所不具備的。”需求背景4：在國家進展與改革委員會的直接領(lǐng)導(dǎo)下，國家信息中心通過加強國民經(jīng)濟中長期進展戰(zhàn)略研究，宏觀經(jīng)濟預(yù)測監(jiān)測，重點、熱點、難點問題的對策研究和快速反映，為國務(wù)院和宏觀經(jīng)濟綜合治理部門提供了高質(zhì)量的決策咨詢服務(wù)，發(fā)揮了信息源、智囊團和思想庫的作用。國家信息中心積極參與國家信息化決策重大問題研究、重點信息化工程建設(shè)，建立和完善綜合經(jīng)濟信息系統(tǒng)。國家經(jīng)濟信息系統(tǒng)是1986年經(jīng)國務(wù)院批準(zhǔn)建設(shè)的由國家、省、地、縣四級政府部門信息中心構(gòu)成的完整體系。目前，國家經(jīng)濟信息系統(tǒng)在全國31個省(區(qū)、市)、16個副省級省會都市、打算單列市、地級市和1200多個縣成立了信息中心。隨著我國信息化事業(yè)的迅速進展和各級政府領(lǐng)導(dǎo)對信息化的日益重視，各級信息中心在推動當(dāng)?shù)匦畔⒔ㄔO(shè)中的作用也越來越重要。在國家信息中心公務(wù)內(nèi)網(wǎng)中存有大量重要且涉密的信息數(shù)據(jù)，為了有效地對訪問這些重要信息數(shù)據(jù)的操作行為進行監(jiān)控與審計，國家信息中心進行了網(wǎng)絡(luò)改造和審計項目建設(shè)，其具體需求是：1.針對內(nèi)部工作人員對國家信息中心重要信息數(shù)據(jù)的訪問行為進行記錄、審計、回放;2.針對相關(guān)各國家單位對國家信息中心重要信息數(shù)據(jù)的訪問行為進行記錄、審計、回放;3.針對各省市信息中心對國家信息中心重要信息數(shù)據(jù)的訪問行為進行記錄、審計、回放。解決方案：依照國家信息中心的需求，結(jié)合啟明星辰在政府行業(yè)內(nèi)控審計項目的相關(guān)經(jīng)驗，在國家經(jīng)濟信息系統(tǒng)的核心交換機處部署天審計數(shù)據(jù)中心1臺、天審計引擎1臺、治理操縱中心一套、被愛護服務(wù)授權(quán)若干。通過在核心交換機鏡像端口部署天審計引擎，能夠?qū)崟r對通過該交換機內(nèi)外部的網(wǎng)絡(luò)流量和網(wǎng)絡(luò)行為進行高強度監(jiān)控，從而有效規(guī)范內(nèi)部工作人員、各國家單位及各省市信息中心對國家信息中心重要資源的訪問行為，幸免安全事故的發(fā)生。案例點評：《計算機信息系統(tǒng)安全愛護等級劃分準(zhǔn)則》第三級“安全標(biāo)記愛護級”中規(guī)定：計算機信息系統(tǒng)可信計算基應(yīng)能記錄使用身份鑒不機制、將客體引入用戶地址空間(例如：打開文件、程序初始化)、刪除客體、由操作員、系統(tǒng)治理員或(和)系統(tǒng)安全治理員實施的動作、以及其他與系統(tǒng)安全有關(guān)的事件。在本案例中，在審計系統(tǒng)上依照被愛護主機安全需求添加相應(yīng)的審計策略，對國家信息中心核心信息資源的操作與訪問行為進行監(jiān)督和操縱，形成審計記錄。通過以上技術(shù)手段，能夠有效加強內(nèi)部工作人員和國家各機關(guān)、各省市信息中心人員針對國家信息中心重要數(shù)據(jù)資源網(wǎng)絡(luò)行為的監(jiān)督和操縱，進一步規(guī)避系統(tǒng)面臨的來自內(nèi)外部的、應(yīng)用級的安全風(fēng)險，有效提高國家經(jīng)濟信息系統(tǒng)的內(nèi)控機制。需求背景5：

中共山西省委辦公廳計算機技術(shù)治理中心自成立以來，在市委、市政府的親切關(guān)懷和委黨組的正確領(lǐng)導(dǎo)下，堅持為政府宏觀經(jīng)濟調(diào)控和都市信息化建設(shè)服務(wù)的宗旨，充分依托國家經(jīng)濟信息系統(tǒng)的整體優(yōu)勢和自身的技術(shù)優(yōu)勢，努力貼近政府需求，中心歷屆領(lǐng)導(dǎo)和職員歷經(jīng)數(shù)十年的困難創(chuàng)業(yè)，各項事業(yè)都取得了專門大的成就，在政府信息化基礎(chǔ)設(shè)施建設(shè)、宏觀經(jīng)濟監(jiān)測預(yù)測、公共信息服務(wù)和信息技術(shù)推廣應(yīng)用等方面開展

了卓有成效的工作，積存了寶貴的經(jīng)驗，形成了一定的優(yōu)勢。

隨著網(wǎng)絡(luò)技術(shù)的不斷進展，中共山西省委辦公廳認(rèn)識到對內(nèi)部人員的行為治理和規(guī)范僅通過行文是專門難奏效的，必須通過高科技手段來解決當(dāng)前諸多內(nèi)部引發(fā)的安全問題。中共山西省委辦公廳的信息化系統(tǒng)針對審計系統(tǒng)的要緊需求有以下一些內(nèi)容：

第一，針對Oracle、SQLServer、Sybase、Informix、DB2數(shù)據(jù)庫的訪問審計，通過對信息數(shù)據(jù)庫的訪問行為進行有效的審計監(jiān)控，幸免非法刪除、插入、篡改等行為發(fā)生；第二，對數(shù)據(jù)庫訪問的網(wǎng)絡(luò)行為能夠回放，至少支持動態(tài)仿真回放和靜態(tài)回放兩種方式；第三，審計統(tǒng)計功能，至少支持按IP、部門、時刻、引擎、協(xié)議、帳戶等條件進行會話統(tǒng)計和審計事件的統(tǒng)計，提供TOPN統(tǒng)計方式，支持組合條件統(tǒng)計方式。

解決方案：

中共山西省委辦公廳由于考慮到與黨政網(wǎng)相互連接，依照相關(guān)要求，對網(wǎng)絡(luò)內(nèi)部而言，計算機設(shè)備，需要具有資源分類不、分級不、密級區(qū)不等特點進行治理，假如違反密級規(guī)定要求數(shù)據(jù)傳播，不管以何種形式，必須做好審計記錄，以便追查。部署如下圖所示：

1.針對所有通過內(nèi)網(wǎng)的數(shù)據(jù)庫的訪問行為進行有效的監(jiān)控和審計，設(shè)置審計策略，禁止任何用戶對已錄入的信訪數(shù)據(jù)進行的操作，一旦發(fā)生風(fēng)險事件，能夠第一時刻向治理員告警，另外，設(shè)置審計策略，針對所有高風(fēng)險維護操作以及數(shù)據(jù)改動等行為能夠第一時刻向治理員告警并完全記錄事件全過程的日志。

2.通過產(chǎn)品部署，實現(xiàn)對數(shù)據(jù)庫訪問的網(wǎng)絡(luò)行為的動態(tài)仿真回放和靜態(tài)回放；

3.通過產(chǎn)品部署，實現(xiàn)對審計事件的統(tǒng)計，提供TOPN統(tǒng)計方式和組合條件統(tǒng)計方式，為用戶提供多樣性和細粒度的報告。

案例點評：

中共山西省委辦公廳在通過悉心的篩選后，選擇了天網(wǎng)絡(luò)安全審計系統(tǒng)，以便加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、幸免核心資產(chǎn)包括比如數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備等的損失、保障信息中心業(yè)務(wù)系統(tǒng)的正常運營，從而提高“信息網(wǎng)絡(luò)的治理服務(wù)”的效率和為都市信息化建設(shè)、為市經(jīng)濟進展和社會事業(yè)的服務(wù)水平。

中共山西省委辦公廳在部署天網(wǎng)絡(luò)安全審計系統(tǒng)后，較為全面地解決了用戶長期受的困惑和不安，從技術(shù)層面保障了信息中心各類業(yè)務(wù)的應(yīng)用。天網(wǎng)絡(luò)安全審計系統(tǒng)的功能完善、安裝和配置簡單、詳細的系統(tǒng)日志和報警功能、完善的報告，給信息中心帶來專門多便利。在使用效率上看，天網(wǎng)絡(luò)安全審計系統(tǒng)也比一般的網(wǎng)絡(luò)安全產(chǎn)品更為有用，能夠自定義審計策略，貼近信息中心的業(yè)務(wù)要求，而這些策略的價值不僅僅體現(xiàn)在一張張審計報表上，更是成為信息中心制定規(guī)章制度的重要依據(jù)。

在本案例中，天網(wǎng)絡(luò)安全審計系統(tǒng)不僅從產(chǎn)品角度，滿足用戶得需求，以事前定義、事中監(jiān)測、事后追溯的全過程審計，有效提高了中共山西省委辦公廳的防護能力，而且，從社會阻礙面，通過部署這類合規(guī)產(chǎn)品，更增強了政府機關(guān)在人民群眾中的公信度，阻礙面十分廣泛。中共山西省委辦公廳專門為此給出了《用戶證明》文件。需求背景6：

某市體育局是主管本市體育工作的市政府直屬機構(gòu)。要緊職責(zé)是：貫徹國家體育工作的方針、政策和法規(guī)，研究擬訂本市體育工作的法規(guī)、政策和進展規(guī)劃，并組織實施；負責(zé)本市體育體制改革，制訂本市體育進展戰(zhàn)略，編制中長期進展規(guī)劃，并組織實施；組織、指導(dǎo)各部門、各行業(yè)開展群眾體育活動，推動體育社會化，組織實施全民健身打算；統(tǒng)籌規(guī)劃本市競技運動項目的布局，指導(dǎo)優(yōu)秀運動隊的建設(shè)及業(yè)余訓(xùn)練工作；制訂體育競賽打算，治理、指導(dǎo)全市性體育競賽；指導(dǎo)體育科研工作，加強科研攻關(guān)和科研成果的推廣；組織開展反興奮劑工作；開發(fā)體育人才資源等工作職能。

某市體育局歷來十分重視信息安全的進展動向，尤其是在體育場所信息治理系統(tǒng)方面，部署力量，保障信息網(wǎng)絡(luò)的安全，體育場所信息治理系統(tǒng)分為前臺服務(wù)查詢系統(tǒng)和后臺操作治理系統(tǒng)。因此，部署審計系統(tǒng)要緊是出于對前臺和后臺操作的審計，能夠達到實施反映、審計策略簡便、查詢方便等需求。

解決方案：

某市體育局的網(wǎng)絡(luò)系統(tǒng)中前臺是市民可通過互聯(lián)網(wǎng)登陸前臺系統(tǒng)，點擊專欄進入后，依照自身健身需求，對體育運動項目經(jīng)營單位的差不多信息和安全信息進行查、咨詢的系統(tǒng)，前臺系統(tǒng)還能夠提供體育運動項目經(jīng)營單位的相關(guān)網(wǎng)站鏈接，并刊登經(jīng)營單位的簡要介紹。后臺是業(yè)務(wù)應(yīng)用和操作治理系統(tǒng)，其中包括了體育場所信息治理系統(tǒng)等，這些業(yè)務(wù)應(yīng)用會不斷完善和進展，需要實現(xiàn)了對體育運動項目經(jīng)營單位的市區(qū)兩級實時聯(lián)動治理。前臺為社會公眾提供了完整，詳細的查、咨詢服務(wù)。如下圖所示：

案例點評：

該體育局在部署產(chǎn)品后，完全解決了用戶長期受到內(nèi)部人員操作安全隱患、以及工作維護人員可能的安全隱患、包括最高權(quán)限用戶可能的安全隱患等問題。能夠講，天玥網(wǎng)絡(luò)安全審計系統(tǒng)為用戶提供了一個整體高效的安全解決方案，從實現(xiàn)應(yīng)用角度提出的全面的整體安全解決方案。

關(guān)于體育局來講，選擇針對業(yè)務(wù)系統(tǒng)的審計產(chǎn)品要緊有以下幾個方面發(fā)揮了比較好的作用：第一，天玥網(wǎng)絡(luò)安全審計系統(tǒng)的審計監(jiān)控能夠?qū)崟r反映出日期、產(chǎn)生時刻、用戶名、客戶端IP、客戶端源端口、服務(wù)端IP、服務(wù)端端口、MAC地址、協(xié)議類型、登陸帳號、事件級不、操作類不、事件內(nèi)容（輸入命令明細）、引擎IP、引擎動作等條件內(nèi)容，即在一般情況下差不多能夠通過IP地址、端口、MAC地址三個條件將事件定位到人，在專門條件下能夠通過強身份認(rèn)證將事件定位到強身份認(rèn)證用戶；第二，天玥網(wǎng)絡(luò)安全審計系統(tǒng)預(yù)置200多條審計規(guī)則，有效滿足用戶的要求，在產(chǎn)品使用時不用耗費更多時刻去配置審計策略；策略生效時刻靈活定義，有效滿足相關(guān)單位的職職員作時段分配要求；第三，天玥網(wǎng)絡(luò)安全審計系統(tǒng)提供20余種條件查詢功能，支持用戶自定義查詢模版治理，不僅最大程度降低內(nèi)審人員的工作量，提高了系統(tǒng)的易用性，更能精確定位所關(guān)注的審計信息，同時，系統(tǒng)匯合二維統(tǒng)計、三維統(tǒng)計、折線趨勢、柱狀統(tǒng)計、餅狀統(tǒng)計等多種圖表統(tǒng)計分析手段，全面呈現(xiàn)業(yè)務(wù)全局運行狀況，支持對網(wǎng)絡(luò)會話過程全面回放。

基于此，該市體育局對產(chǎn)品的功能特點表示確信，對產(chǎn)品發(fā)揮的作用表示欣賞。需求背景7：

某省統(tǒng)計局是該省人民政府的統(tǒng)計行政主管部門，負責(zé)組織和協(xié)調(diào)本行政區(qū)域內(nèi)的統(tǒng)計工作，并對國民經(jīng)濟和社會進展情況進行統(tǒng)計調(diào)查、統(tǒng)計分析、提供統(tǒng)計資料和統(tǒng)計咨詢意見，實行統(tǒng)計監(jiān)督。省統(tǒng)計局是統(tǒng)計執(zhí)法機構(gòu)，在工作中起維護統(tǒng)計秩序，確保數(shù)據(jù)質(zhì)量、凈化統(tǒng)計環(huán)境的作用。省統(tǒng)計局內(nèi)設(shè)行政處、事業(yè)處等機構(gòu)，還有企調(diào)隊和城調(diào)隊。省統(tǒng)計局以“三位一體”的重要思想，積極創(chuàng)新統(tǒng)計環(huán)境，并依照統(tǒng)計工作實際，與時俱進地提出了省經(jīng)濟的行動指南。

國家統(tǒng)計局通過“九五”統(tǒng)計信息化工程建設(shè)項目的實施，現(xiàn)已初步建成了以國家統(tǒng)計局為樞紐、連接64個節(jié)點的國家統(tǒng)計信息系統(tǒng)，省統(tǒng)計依照國家統(tǒng)計局《“十五”國家統(tǒng)計信息化建設(shè)規(guī)劃》及《統(tǒng)計信息化“十五”規(guī)劃》，在該網(wǎng)絡(luò)上開展了數(shù)據(jù)報送、數(shù)據(jù)處理、辦公事務(wù)治理、統(tǒng)計直報等業(yè)務(wù)。省統(tǒng)計信息化建設(shè)的戰(zhàn)略目標(biāo)是：基于現(xiàn)代信息技術(shù)，以規(guī)范的統(tǒng)計業(yè)務(wù)流程、統(tǒng)計信息標(biāo)準(zhǔn)為基礎(chǔ)，以內(nèi)容豐富、結(jié)構(gòu)合理、高效安全、充分共享為特征的國家統(tǒng)計信息資源建設(shè)為核心，建立一個面向統(tǒng)計調(diào)查對象、統(tǒng)計工作者、政府相關(guān)部門和社會公眾的以現(xiàn)代信息技術(shù)支撐的國家統(tǒng)計信息系統(tǒng)，全面實現(xiàn)統(tǒng)計工作的網(wǎng)絡(luò)化。

解決方案：

依照建設(shè)目標(biāo)，省統(tǒng)計局信息化系統(tǒng)移內(nèi)部主干網(wǎng)絡(luò)為基礎(chǔ)，具有較強抗干擾能力、獨立的“國家統(tǒng)計快速調(diào)查系統(tǒng)”；建設(shè)作為國民經(jīng)濟和社會信息資源樞紐的“國家統(tǒng)計數(shù)據(jù)中心”；在資源整合的基礎(chǔ)上，建設(shè)一個規(guī)范統(tǒng)一的“統(tǒng)計工作信息化平臺。按照國家要求，結(jié)合全省實際，在現(xiàn)有統(tǒng)計網(wǎng)絡(luò)基礎(chǔ)平臺上，采納現(xiàn)代信息技術(shù)，依照統(tǒng)計改革要求，進一步規(guī)范統(tǒng)計制度方法，建立適應(yīng)社會主義市場經(jīng)濟的指標(biāo)體系，在可靠的安全保密體系下，充分利用信息港寬帶網(wǎng)成果，構(gòu)筑全省企業(yè)網(wǎng)上統(tǒng)計報表申報、綜合統(tǒng)計信息“數(shù)據(jù)倉庫”應(yīng)用和統(tǒng)計信息ASP在線服務(wù)等系統(tǒng)為主體的統(tǒng)計應(yīng)用基礎(chǔ)平臺。建成統(tǒng)計系統(tǒng)廣域網(wǎng)，實現(xiàn)與各市、區(qū)縣統(tǒng)計局的聯(lián)網(wǎng)和信息共享。按照省政府都市信息化建設(shè)要求，充分利用國家統(tǒng)計信息網(wǎng)絡(luò)資源，為各級領(lǐng)導(dǎo)決策提供正確及時的全方位、多層次的優(yōu)質(zhì)信息服務(wù)。

本著統(tǒng)一規(guī)劃、統(tǒng)一實施、統(tǒng)一開發(fā)、分布治理的原則，市統(tǒng)計局統(tǒng)一規(guī)劃、設(shè)計組織，各市、區(qū)、縣統(tǒng)計局負責(zé)各自的設(shè)備及相應(yīng)治理。省統(tǒng)計局在技術(shù)及相關(guān)設(shè)備方面給予一定支持，爭取在三年內(nèi)逐步實現(xiàn)與市、區(qū)、縣統(tǒng)計局專線聯(lián)網(wǎng)，使市、區(qū)、縣統(tǒng)計局除進行郵件通信以外，還可通過市局聯(lián)到國家統(tǒng)計局以至全國其他省市統(tǒng)計局，可極大地豐富信息量。

省統(tǒng)計局從數(shù)據(jù)資源訪問的有效防護動身，首先針對所有內(nèi)部工作人員對這些核心數(shù)據(jù)資源的訪問行為進行審計和監(jiān)控，以保障所有訪問資源和訪問信息的真實性和安全性。結(jié)合現(xiàn)有的這種賬號口令治理措施與系統(tǒng)進行無縫鏈接，省統(tǒng)計局通過綜合分布式部署，最終實現(xiàn)了全面有效的數(shù)據(jù)庫安全防護。部署情況如下圖所示：

案例點評：

該省統(tǒng)計局響應(yīng)國家對統(tǒng)計系統(tǒng)的信息化建設(shè)要求，積極踐行開拓進取、求實創(chuàng)新，針對統(tǒng)計信息工程、統(tǒng)計制度方法改革、統(tǒng)計數(shù)據(jù)質(zhì)量等方面取得了重大突破，實現(xiàn)了統(tǒng)計工作的全面整合、全面提高、全面進步。本次審計產(chǎn)品的綜合分布式部署，省統(tǒng)計局達到了以下一些目的，第一，對所有業(yè)務(wù)支撐系統(tǒng)建立一套統(tǒng)一的認(rèn)證、授權(quán)和審計系統(tǒng)，對多人共用帳號而產(chǎn)生的網(wǎng)絡(luò)操作行為進行監(jiān)控，以便確定安全事故真正責(zé)任人，提升系統(tǒng)的事前防護，第二，對所有業(yè)務(wù)系統(tǒng)中的每個網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的運行、維護以及治理等操作行為進行集中、統(tǒng)一的審計，以便綜合關(guān)聯(lián)分析，及時發(fā)覺違規(guī)行為，提升了主客體之間的事中防護；第三，對所有業(yè)務(wù)系統(tǒng)提供二維統(tǒng)計、三維統(tǒng)計、折線趨勢、柱狀統(tǒng)計、餅狀統(tǒng)計等多種圖表統(tǒng)計分析手段，全面呈現(xiàn)了業(yè)務(wù)全局運行狀況，使得治理者能夠?qū)崟r直觀的了解信息系統(tǒng)的運行狀況、預(yù)測信息系統(tǒng)的以后進展趨勢，提升了審計結(jié)果的事后總結(jié)能力。什么是審計跟蹤審計跟蹤（audittrail）是系統(tǒng)活動的流水記錄。該記錄按事件從始至終的途徑，順序檢查、審查和檢驗每個事件的環(huán)境及活動。審計跟蹤通過書面方式提供應(yīng)負責(zé)任人員的活動證據(jù)以支持職能的實現(xiàn)。審計跟蹤記錄系統(tǒng)活動和用戶活動。系統(tǒng)活動包括操作系統(tǒng)和應(yīng)用程序進程的活動；用戶活動包括用戶在操作系統(tǒng)中和應(yīng)用程序中的活動。通過借助適當(dāng)?shù)墓ぞ吆鸵?guī)程，審計跟蹤能夠發(fā)覺違反安全策略的活動、阻礙運行效率的問題以及程序中的錯誤。審計跟蹤能夠做為對正常系統(tǒng)操作的一種支持，也能夠做為一種保證策略或前兩者兼而有之。做為保證策略，所維護的審計跟蹤只在需要時使用，比如系統(tǒng)中斷。做為對操作的支持，審計跟蹤用于關(guān)心系統(tǒng)治理員確保系統(tǒng)及其資源免遭黑客、內(nèi)部使用者或技術(shù)故障的損害。在專門大程度上，信息的完整性和機密性取決于使用人的職能。也確實是講，人們必須為他們的行為負責(zé)。這是一種探測和威懾機制。首先應(yīng)該制定一系列行為標(biāo)準(zhǔn)，使用人必須認(rèn)可這些行為標(biāo)準(zhǔn)；還要由較高級不的\o"治理者"治理者對違反標(biāo)準(zhǔn)的人進行處罰。讓用戶明白自己的行為被監(jiān)控也能夠阻止?jié)撛诘钠茐恼邔Π踩那趾ΑＳ脩袈毮苣軌蛲ㄟ^策略、授權(quán)方案、識不和鑒不機制、訪問操縱、審計跟蹤和審計實現(xiàn)。[\o"編輯段落:審計跟蹤的方法"編輯]審計跟蹤的方法審計跟蹤提供了實現(xiàn)多種安全相關(guān)目標(biāo)的一種方法，這些目標(biāo)包括個人職能、事件重建、入侵探測和故障分析。[\o"編輯段落:個人職能（individualaccountability）"編輯]個人職能（individualaccountability）審計跟蹤是治理人員用來維護個人職能的技術(shù)手段。通過告知用戶應(yīng)該為自己的行為負責(zé)，通過審計跟蹤記錄用戶的活動，治理人員能夠改善用戶的行為方式。假如用戶明白他們的行為被記錄在審計日志中，他們就不太會違反安全策略和繞過安全操縱措施。例如在訪問操縱中，審計跟蹤能夠用于鑒不對數(shù)據(jù)的不恰當(dāng)修改（如在數(shù)據(jù)庫中引入一條錯誤記錄）和提供與之相關(guān)的信息。審計跟蹤能夠記錄改動前和改動后的記錄，以確定所作的實際改動。這能夠關(guān)心治理層確定錯誤到底是由用戶、操作系統(tǒng)、應(yīng)用軟件依舊由其它因素造成的。邏輯訪問操縱是用于限制對系統(tǒng)資源的訪問，同意用戶訪問特定資源意味著用戶通常要通過這種訪問完成他們的工作。因此，被授權(quán)的訪問也會被濫用，這種情況下審計跟蹤就能發(fā)揮作用。當(dāng)無法阻止用戶通過其合法身份訪問資源時，審計跟蹤就能夠用于檢查他們的活動。比方講人事部的某職員需要訪問他們所負責(zé)的職員的人事記錄，通過審計跟蹤發(fā)覺該職員對人事記錄的超常打印，這也許意味著盜賣人事數(shù)據(jù)。再比方講某工程師需要通過使用計算機來設(shè)計\o"新產(chǎn)品"新產(chǎn)品，通過審計跟蹤發(fā)覺在該工程師在設(shè)計結(jié)束前通過調(diào)制解調(diào)器進行了可疑的對外通信，這能夠用來協(xié)助調(diào)查公司的專利數(shù)據(jù)被非法泄漏給其它公司的事件。[\o"編輯段落:事件重建（reconstructionofevents）"編輯]事件重建（reconstructionofevents）在故障發(fā)生后，審計跟蹤能夠用于重建事件。通過審查系統(tǒng)活動的審計跟蹤能夠比較容易地評估故障損失，確定故障發(fā)生的時刻、緣故和過程。通過對審計跟蹤的分析通常能夠辨不故障是操作引起的依舊系統(tǒng)引起的。例如，當(dāng)系統(tǒng)失敗或文件的完整性受到質(zhì)疑時，通過對審計跟蹤的分析就能夠重建系統(tǒng)、用戶或應(yīng)用程序的完整的操作步驟。在對諸如系統(tǒng)崩潰如此的故障的發(fā)生條件有清晰認(rèn)識的前提下，就能夠幸免以后發(fā)生此類系統(tǒng)中斷的情況。而且，在發(fā)生技術(shù)故障（如數(shù)據(jù)文件損壞）時，審計跟蹤能夠協(xié)助進行恢復(fù)（通過更改記錄能夠重建文件）。[\o"編輯段落:入侵探測（intrusiondetection）"編輯]入侵探測（intrusiondetection）假如用審計跟蹤記錄適當(dāng)?shù)男畔ⅲ材軌蛴脕韰f(xié)助入侵探測工作。假如在審計記錄產(chǎn)生時就進行檢查（通過使用某種警告標(biāo)志或提示），就能夠進行實時的入侵探測，只是事后檢查（定時檢查審計記錄）也是可行的。實時入侵探測要緊用于探測外部對系統(tǒng)的非法訪問。也能夠用于探測系統(tǒng)性能指標(biāo)的變化以發(fā)覺病毒或蠕蟲攻擊。然而實時審計可能會降低系統(tǒng)性能。事后鑒不能夠標(biāo)示出非法訪問的企圖（或事實）。如此就能夠提醒人們對損失進行評估或重新檢查受攻擊的操縱方式。[\o"編輯段落:故障分析（problemanalysis）"編輯]故障分析（problemanalysis）在線的審計跟蹤還能夠用于鑒不入侵以外的故障。這常被稱為實時審計或監(jiān)控。假如操作系統(tǒng)或應(yīng)用系統(tǒng)對公司的業(yè)務(wù)特不重要，能夠使用實時審計對這些進程進行監(jiān)控。系統(tǒng)能夠同時維護多個審計跟蹤。有兩種典型的審計記錄（1）所有鍵盤敲擊的記錄，通常稱為擊鍵監(jiān)控，和（2）面向事件的審計日志。這些日志通常包括描述系統(tǒng)事件、應(yīng)用事件或用戶事件的記錄。審計跟蹤應(yīng)該包括足夠的信息，以確定事件的內(nèi)容和引起事件的因素。通常，事件記錄應(yīng)該列有事件發(fā)生的時刻、和事件有關(guān)的用戶識不碼、啟動事件的程序或命令以及事件的結(jié)果。日期和時刻戳能夠關(guān)心確定用戶到底是假冒的依舊真實的。[\o"編輯段落:擊鍵監(jiān)控（keystrokemonitoring）"編輯]擊鍵監(jiān)控（keystrokemonitoring）擊鍵監(jiān)控用于對計算機交互過程中的用戶鍵盤輸入和計算機的反應(yīng)數(shù)據(jù)進行檢查或記錄。擊鍵監(jiān)控通常被認(rèn)為是審計跟蹤的一種專門應(yīng)用。擊鍵監(jiān)控的例子包括檢查用戶敲入的字符，閱讀用戶的電子郵件以及檢查用戶敲入的其它信息。有些系統(tǒng)維護功能會記錄用戶的擊鍵。假如這些記錄保存與之相關(guān)的用戶鑒不碼就能夠協(xié)助治理員確定擊鍵人從而達到擊鍵監(jiān)控的目的。擊鍵監(jiān)控致力于愛護系統(tǒng)和數(shù)據(jù)免遭非法入侵和合法用戶的濫用。入侵者的擊鍵記錄能夠協(xié)助治理員評估和修復(fù)入侵造成的損失。[\o"編輯段落:面向事件的審計日志（event-orientedauditlogs）"編輯]面向事件的審計日志（event-orientedauditlogs）系統(tǒng)審計日志一般用于監(jiān)控和微調(diào)系統(tǒng)性能。應(yīng)用審計跟蹤能夠用于辨不應(yīng)用程序中的錯誤和對安全策略的違背。用戶審計記錄通常用于將用戶的行為和職能聯(lián)系起來。分析用戶審計記錄能夠發(fā)覺各種不安全的事件，如安裝木馬或獵取非法權(quán)限。系統(tǒng)本身都會有諸如文件和系統(tǒng)訪問的約束性的策略。對用于實施這些策略的系統(tǒng)配置文件更改的監(jiān)控特不重要。假如特定的訪問（如安全治理員的訪問）用于修改配置文件，那么系統(tǒng)應(yīng)該在這種訪問發(fā)生時產(chǎn)生相應(yīng)的審計記錄。有時比系統(tǒng)審計跟蹤更詳細的記錄也是需要的。應(yīng)用審計跟蹤就能夠提供更詳細的記錄。假如應(yīng)用是專門關(guān)鍵的，那么就不但要記錄應(yīng)用的發(fā)起者，還要記錄每一個用戶的具體細節(jié)。例如電子郵件應(yīng)用，可能要記錄發(fā)件人、收件人和信息長度。再比如數(shù)據(jù)庫應(yīng)用，應(yīng)該記錄數(shù)據(jù)庫的訪問者以及其具體讀取（或更改、刪除）哪個表的哪個行或列，而不是僅僅記錄數(shù)據(jù)庫程序的執(zhí)行。用戶審計跟蹤通過記錄用戶啟動的事件（如訪問文件、記錄和字段；使用調(diào)制解調(diào)器）來監(jiān)控和記錄系統(tǒng)或應(yīng)用中該用戶的活動。適應(yīng)性是審計跟蹤的關(guān)鍵特性。理想（從安全角度看）的情況是系統(tǒng)治理員能夠監(jiān)控所有的系統(tǒng)和用戶活動，又能有選擇地記錄系統(tǒng)和應(yīng)用的特定功能。至于日志記錄的數(shù)量和需要審查的數(shù)量取決于相關(guān)應(yīng)用或數(shù)據(jù)敏感性，應(yīng)該由職能部門經(jīng)理或應(yīng)用所有者在系統(tǒng)治理員和計算機安全治理人的指導(dǎo)下依照日志的性價比確定。通常審計日志包含隱私內(nèi)容。用戶應(yīng)該熟悉使用環(huán)境下和隱私相關(guān)的現(xiàn)行法律、法規(guī)和政策。（A）系統(tǒng)級審計跟蹤系統(tǒng)級審計要求審計跟蹤至少要能夠記錄登錄（成功和失?。⒌卿涀R不號、每次登錄嘗試的日期和時刻、每次退出的日期和時刻、所使用的設(shè)備、登錄后運行的內(nèi)容（如用戶啟動應(yīng)用的嘗試，不管成功或失敗）。典型的系統(tǒng)級日志還包括和安全無關(guān)的信息，如系統(tǒng)操作、費用記帳和網(wǎng)絡(luò)性能。系統(tǒng)級審計跟蹤應(yīng)該能夠鑒不登錄的成功和失敗，在系統(tǒng)不能限制失敗登錄的嘗試次數(shù)時尤其需要如此。遺憾的是，有些系統(tǒng)級審計跟蹤無法探測登錄嘗試，因此無法進行記錄以便日后檢查。如此的審計跟蹤只能監(jiān)控和記錄成功的登錄及其登錄后的活動。記錄失敗的登錄嘗試關(guān)于有效的入侵探測是必須的。（B）應(yīng)用級審計跟蹤系統(tǒng)級審計跟蹤可能無法跟蹤和記錄應(yīng)用中的事件，也可能無法提供應(yīng)用和數(shù)據(jù)擁有者需要的足夠的細節(jié)信息。通常，應(yīng)用級審計跟蹤監(jiān)控和記錄諸如打開和關(guān)閉數(shù)據(jù)文件，讀取、編輯和刪除記錄或字段的特定操作以及打印報告之類的用戶活動。有些應(yīng)用會對數(shù)據(jù)的可用性、機密性和完整性比較敏感，這些應(yīng)用的審計跟蹤應(yīng)該記錄數(shù)據(jù)修改前后的數(shù)據(jù)快照。（C）用戶審計跟蹤用戶審計跟蹤通常記錄（1）用戶直接啟動的所有命令，（2）所有的鑒不和認(rèn)證嘗試，和（3）所訪問的文件和資源。假如連同命令的選項和參數(shù)一同記錄將會更有用。因為明白用戶想要刪除日志文件（以掩蓋非法訪問）比僅僅明白用戶使用了刪除命令更有價值。[\o"編輯段落:審計跟蹤的實施"編輯]審計跟蹤的實施為了確保審計跟蹤數(shù)據(jù)的可用性和正確性，審計跟蹤數(shù)據(jù)需要受到愛護，因為不正確的數(shù)據(jù)是沒用的。而且，假如不對日志數(shù)據(jù)進行及時審查、規(guī)劃和實施，再好的審計跟蹤也會失去價值。審計跟蹤應(yīng)該依照需要（經(jīng)常由安全事件觸發(fā)）定期審查、自動實時審查、或兩者兼而有之。系統(tǒng)治理人和系統(tǒng)治理員應(yīng)該依照計算機安全治理的要求確定需要維護多長時刻的審計跟蹤數(shù)據(jù)，其中包括系統(tǒng)內(nèi)保存的和歸檔保存的數(shù)據(jù)。與實施有關(guān)的問題包括（1）愛護審計跟蹤數(shù)據(jù)，（2）審查審計跟蹤數(shù)據(jù)，和（3）用于審計跟蹤分析的工具。[\o"編輯段落:愛護審計跟蹤數(shù)據(jù)"編輯]愛護審計跟蹤數(shù)據(jù)訪問在線審計日志必須受到嚴(yán)格限制。計算機安全治理人員和系統(tǒng)治理員或職能部門經(jīng)理出于檢查的目的能夠訪問，然而維護邏輯訪問功能的安全和治理人員沒有必要訪問審計日志。防止非法修改以確保審計跟蹤數(shù)據(jù)的完整性尤其重要。使用\o"數(shù)字簽名"數(shù)字簽名是實現(xiàn)這一目標(biāo)的一種途徑。另一類方法是使用只讀設(shè)備。入侵者會試圖修改審計跟蹤記錄以掩蓋自己的蹤跡是審計跟蹤文件需要愛護的緣故之一。使用強訪問操縱是愛護審計跟蹤記錄免受非法訪問的有效措施。當(dāng)牽涉到法律問題時，審計跟蹤信息的完整性尤為重要（這可能需要每天打印和簽署日志）。此類法律問題應(yīng)該直接咨詢相關(guān)法律顧問。審計跟蹤信息的機密性也需要受到愛護，例如審計跟蹤所記錄的用戶信息可能包含諸如交易記錄等不宜披露的個人信息。強訪問操縱和加密在愛護機密性方面特不有效。[\o"編輯段落:審查審計跟蹤數(shù)據(jù)"編輯]審查審計跟蹤數(shù)據(jù)審計跟蹤的審查和分析能夠分為在事后檢查、定期檢查或?qū)崟r檢查。審查人員應(yīng)該明白如何發(fā)覺異常活動。他們應(yīng)該明白如何確實是正常活動。假如能夠通過用戶識不碼、終端識不碼、應(yīng)用程序名、日期時刻或其它參數(shù)組來檢索審計跟蹤記錄并生成所需的報告，那么審計跟蹤檢查就會比較容易。事后檢查當(dāng)系統(tǒng)或應(yīng)用軟件發(fā)生了故障、用戶違反了操作規(guī)范、或發(fā)覺了系統(tǒng)或用戶的異常問題時，系統(tǒng)級或應(yīng)用級的治理員就會檢查審計跟蹤。應(yīng)用或數(shù)據(jù)