网络安全审计案例

需求背景1：

        某部委是我国拟定方针政策、发展战略和中长期规划，组织起草有关法律法规并监督实施的国家部委。某部的网络是一个跨地区、跨部门的综合性网络系统，下辖多个数据中心，比如水土保持监测中心等，该网络由国家信息中心同全国省级、副省级、地市级和县级四级政府部门信息中心构成的完整体系构成。政务外网与政务内网物理隔离，与互联网逻辑隔离。国家电子政务外网安全管理平台用于管理国家电子政务外网中央城域网、广域网骨干网的主要网络设备、安全设备和网络承载的业务系统的安全事件。

        某部委信息中心希望通过部署审计系统，旨在提高对各类安全事件的防范，规范信息发布，保障内部重要关键主机的业务正常运行。具体而言主要包括几部分内容：

        第一，对各省及地市的接入数据库的人员能准确定位，并且能够控制，只有授权许可的人员才能察看其访问授权范围内的内容。
        第二，对具有访问授权的人员所进行的网络行为操作做记录。
        第三，能够对办公自动化OA系统的操作进行审计，较为关注办公自动化中收发邮件、网络共享等基本网络操作行为的审计。

        解决方案：

        某部委网络由一个核心网络机房构成，全国省级、副省级、地市级和县级四级政府部门信息中心与该机房的核心交换相连。网络安全建设较为完善，主要设备有防火墙、IDS、洞扫描、网关防病毒等网络安全产品。该方案在原有网络安全设备基础上，在核心交换机处部了署审计产品，情况如下图所示：

需求背景3：

　　某市财政局是拟定并贯彻实施全区财政税收的发展战略、中长期规划;负责全市政收入的组织和预决算工作;安排行政事业单位经费预算和拨付;组织筹措高新区建设资金;负责区属行政、企事业单位的国有资产管理;负责国有建设投资财务决算及审批工作;负责政府采购工作;负责社会保险资金的统筹、监管等工作。

　　众所周知，电子政务是近年来国家政府单位的重点建设项目，实现政府办公的便利性及信息的有效互动是政府工作改革的重要目标,为实现这一目标某市财政局加快了改革步伐，此次财政局国库支付中心系统建设项目是某市财政局的第一个试点项目，此中心建成后会将税务、银行、省厅及所辖的各县数据库进行互连和共享，以减少国库支付的时间和流程，提高财政工作的效率。

　　国库集中支付是一种崭新的预算执行制度，是通过国库单一帐户体系的设置及与中央银行进行实时清算的办法统一管理财政资金的各类支出项目，实行该制度，进一步加强对“人、财、物”管理体制的改革力度，通过建立和健全制度，强化财务管理，发挥国库集中支付的监督制约作用，这不仅是加大治标力度，也是治本良策，是深化财政制度改革与推进廉政建设的又一有机结合点，将进一步从源头上预防和解决腐败问题。因此，某市财政局充分认识到该项目工作的重要性，立足于当下信息安全的发展趋势，坚定地部署审计系统，保证系统核心服务器系统的稳定性和数据的安全可靠性。

　　解决方案：

　　由于涉及到国家财政方面的工作，建成的国库支付中心系统需要对产生的海量数据进行处理和保护，同时对历史数据进行记录和积累，因此本项目最首要的问题就是必须保证系统核心服务器系统的稳定性和数据的安全可靠性。除了数据的安全可靠性，另外前期信息安全方案支持以及系统建设完工后的售后维护工作是否能够提供可持续的服务也被财政局列入考察重点和考评的依据。作为国家政府采购项目，如何保证国家的每一份投入都能最大的发挥作用，如何建设一个高性价比的审计系统是财政局考虑的重要因素，具体部署情况如下图所示：

　　案例点评：

　　由于该项目涉及金额较大，而且行业影响显著，国内可提供的数据库审计的设备水平又参差不齐，各产品提供商都希望以最好的性价比及良好的售后服务取得胜利，财政局最后通过全面考察厂家的信誉、性价比、服务等因素，最终定牌选择天网络安全审计系统作为本项目唯一审计提供商。天网络安全审计系统也不辱使命，为某市财政局搭建了一个坚实的业务审计平台。启明星辰凭借在电子政务领域的丰富实战经验和天网络审计系统良好的使用效果，在对用户的业务系统应用环境进行全面考察后，为财政局提供了一套网络审计解决方案，为核心服务器和中心数据库存储系统的业务安全，做出了巨大的贡献。

　　在整个审计方案中，天玥网络审计系统主要的特点得到了用户的认可，首先，是满足用户审计性能的需求方面，整个国库支付中心系统的数据库操作，必须是要做到全过程审计，因此，这对记录审计数据的硬件设备提出了较高的要求，包括事件入库的速度和数量等一些具体指标上，天玥网络审计系统采用了较高的硬件设备配置，其强大的处理性能使整个系统得到很大提升。另外为了提高数据处理的效率方面，配置了优化审计策略，避免了数据传输的瓶颈，充分解决了用户对审计性能不足的担心。不仅各项综合指标突出，而且在可靠性、可用性、可扩展型和管理性方面都得到了用户的赞赏。其次，是审计系统的可靠性方面，由于整个系统承担着举足轻重的任务，因此国库支付中心对整个系统的可靠性要求很高，财政局方面坚持使用破坏性测试的验证来证明产品的可靠性，最终，审计系统用专业的技术指标折服了用户。

　　正是因为审计产品很好的解决了国库支付中心最关心的性能和可靠性这两方面，从根本上打动了用户，最终下决心选择采购了天网络审计系统。值得一提的是，启明星辰公司不仅提供的是高性能、高品质及稳定性的产品，同时，还拥有充足的售后服务技术人员、高水平的技术支持和丰富实战经验。此次在财政局的成功应用，是启明星辰公司的产品、技术、方案在政府电子政务领域得到的又一次认可和肯定，充分证明了启明星辰公司在业务安全领域的技术优势。

　　某市财政局的项目负责人说：“从前期的项目环境考察到方案提供，再到不久前实施完毕的系统搭建，启明星辰公司都表现出专业的服务精神和服务水准，同时，天玥网络审计系统带给我们的现实作用，为我们数据库安全奠定了十分重要的基础，这是国内很多安全产品提供商所不具备的。”

需求背景4：

　　在国家发展与改革委员会的直接领导下，国家信息中心通过加强国民经济中长期发展战略研究，宏观经济预测监测，重点、热点、难点问题的对策研究和快速反映，为国务院和宏观经济综合管理部门提供了高质量的决策咨询服务，发挥了信息源、智囊团和思想库的作用。国家信息中心积极参与国家信息化决策重大问题研究、重点信息化工程建设，建立和完善综合经济信息系统。

　　国家经济信息系统是1986年经国务院批准建设的由国家、省、地、县四级政府部门信息中心构成的完整体系。目前，国家经济信息系统在全国31 个省(区、市)、16个副省级省会城市、计划单列市、地级市和1200多个县成立了信息中心。随着我国信息化事业的迅速发展和各级政府领导对信息化的日益重视，各级信息中心在推动当地信息建设中的作用也越来越重要。在国家信息中心公务内网中存有大量重要且涉密的信息数据，为了有效地对访问这些重要信息数据的操作行为进行监控与审计，国家信息中心进行了网络改造和审计项目建设，其具体需求是：

　　1. 针对内部工作人员对国家信息中心重要信息数据的访问行为进行记录、审计、回放;

　　2. 针对相关各国家单位对国家信息中心重要信息数据的访问行为进行记录、审计、回放;

　　3. 针对各省市信息中心对国家信息中心重要信息数据的访问行为进行记录、审计、回放。

　　解决方案：

　　根据国家信息中心的需求，结合启明星辰在政府行业内控审计项目的相关经验，在国家经济信息系统的核心交换机处部署天审计数据中心1 台、天审计引擎1 台、管理控制中心一套、被保护服务授权若干。通过在核心交换机镜像端口部署天审计引擎，可以实时对通过该交换机内外部的网络流量和网络行为进行高强度监控，从而有效规范内部工作人员、各国家单位及各省市信息中心对国家信息中心重要资源的访问行为，避免安全事故的发生。

　　案例点评：

　　《计算机信息系统安全保护等级划分准则》第三级“安全标记保护级”中规定：计算机信息系统可信计算基应能记录使用身份鉴别机制、将客体引入用户地址空间(例如：打开文件、程序初始化)、删除客体、由操作员、系统管理员或(和)系统安全管理员实施的动作、以及其他与系统安全有关的事件。在本案例中，在审计系统上根据被保护主机安全需求添加相应的审计策略，对国家信息中心核心信息资源的操作与访问行为进行监督和控制，形成审计记录。通过以上技术手段，能够有效加强内部工作人员和国家各机关、各省市信息中心人员针对国家信息中心重要数据资源网络行为的监督和控制，进一步规避系统面临的来自内外部的、应用级的安全风险，有效提高国家经济信息系统的内控机制。

需求背景5：
        中共山西省委办公厅计算机技术管理中心自成立以来，在市委、市政府的亲切关怀和委党组的正确领导下，坚持为政府宏观经济调控和城市信息化建设服务的宗旨，充分依托国家经济信息系统的整体优势和自身的技术优势，努力贴近政府需求，中心历届领导和员工历经数十年的艰苦创业，各项事业都取得了很大的成就，在政府信息化基础设施建设、宏观经济监测预测、公共信息服务和信息技术推广应用等方面开展
了卓有成效的工作，积累了宝贵的经验，形成了一定的优势。
        随着网络技术的不断发展，中共山西省委办公厅认识到对内部人员的行为管理和规范仅通过行文是很难奏效的，必须通过高科技手段来解决当前诸多内部引发的安全问题。中共山西省委办公厅的信息化系统针对审计系统的主要需求有以下一些内容：
        第一，针对Oracle、SQL Server、Sybase、Informix、DB2 数据库的访问审计，通过对信息数据库的访问行为进行有效的审计监控，避免非法删除、插入、篡改等行为发生；第二，对数据库访问的网络行为能够回放，至少支持动态仿真回放和静态回放两种方式；第三，审计统计功能，至少支持按IP、部门、时间、引擎、协议、帐户等条件进行会话统计和审计事件的统计，提供TOP N 统计方式，支持组合条件统计方式。

解决方案：
中共山西省委办公厅由于考虑到与党政网相互连接，根据相关要求，对网络内部而言，计算机设备，需要具有资源分类别、分级别、密级区别等特点进行管理，如果违反密级规定要求数据传播，无论以何种形式，必须做好审计记录，以便追查。部署如下图所示：

1. 针对所有通过内网的数据库的访问行为进行有效的监控和审计，设置审计策略，禁止任何用户对已录入的信访数据进行的操作，一旦发生风险事件，能够第一时间向管理员告警，另外，设置审计策略，针对所有高风险维护操作以及数据改动等行为能够第一时间向管理员告警并完全记录事件全过程的日志。
2. 通过产品部署，实现对数据库访问的网络行为的动态仿真回放和静态回放；
3. 通过产品部署，实现对审计事件的统计，提供TOP N 统计方式和组合条件统计方式，为用户提供多样性和细粒度的报告。

案例点评：
        中共山西省委办公厅在经过悉心的筛选后，选择了天网络安全审计系统，以便加强内外部网络行为监管、避免核心资产包括比如数据库、服务器、网络设备等的损失、保障信息中心业务系统的正常运营，从而提高“信息网络的管理服务”的效率和为城市信息化建设、为市经济发展和社会事业的服务水平。
        中共山西省委办公厅在部署天网络安全审计系统后，较为全面地解决了用户长期受的困惑和不安，从技术层面保障了信息中心各类业务的应用。天网络安全审计系统的功能完善、安装和配置简单、详细的系统日志和报警功能、完善的报告，给信息中心带来很多便利。在使用效率上看，天网络安全审计系统也比一般的网络安全产品更为实用，能够自定义审计策略，贴近信息中心的业务要求，而这些策略的价值不仅仅体现在一张张审计报表上，更是成为信息中心制定规章制度的重要依据。
        在本案例中，天网络安全审计系统不仅从产品角度，满足用户得需求，以事前定义、事中监测、事后追溯的全过程审计，有效提高了中共山西省委办公厅的防护能力，而且，从社会影响面，通过部署这类合规产品，更增强了政府机关在人民群众中的公信度，影响面十分广泛。中共山西省委办公厅专门为此给出了《用户证明》文件。

需求背景6：

某市体育局是主管本市体育工作的市政府直属机构。主要职责是：贯彻国家体育工作的方针、政策和法规，研究拟订本市体育工作的法规、政策和发展规划，并组织实施；负责本市体育体制改革，制订本市体育发展战略，编制中长期发展规划，并组织实施；组织、指导各部门、各行业开展群众体育活动，推动体育社会化，组织实施全民健身计划；统筹规划本市竞技运动项目的布局，指导优秀运动队的建设及业余训练工作；制订体育竞赛计划，管理、指导全市性体育竞赛；指导体育科研工作，加强科研攻关和科研成果的推广；组织开展反兴奋剂工作；开发体育人才资源等工作职能。
某市体育局历来十分重视信息安全的发展动向，尤其是在体育场所信息管理系统方面，部署力量，保障信息网络的安全，体育场所信息管理系统分为前台服务查询系统和后台操作管理系统。因此，部署审计系统主要是出于对前台和后台操作的审计，能够达到实施反映、审计策略简便、查询方便等需求。

解决方案：
某市体育局的网络系统中前台是市民可通过互联网登陆前台系统，点击专栏进入后，根据自身健身需求，对体育运动项目经营单位的基本信息和安全信息进行查、咨询的系统，前台系统还可以提供体育运动项目经营单位的相关网站链接，并刊登经营单位的简要介绍。后台是业务应用和操作管理系统，其中包括了体育场所信息管理系统等，这些业务应用会不断完善和发展，需要实现了对体育运动项目经营单位的市区两级实时联动管理。前台为社会公众提供了完整，详细的查、咨询服务。如下图所示：

案例点评：
        该体育局在部署产品后，彻底解决了用户长期受到内部人员操作安全隐患、以及工作维护人员可能的安全隐患、包括最高权限用户可能的安全隐患等问题。可以说，天玥网络安全审计系统为用户提供了一个整体高效的安全解决方案，从实现应用角度提出的全面的整体安全解决方案。
        对于体育局来说，选择针对业务系统的审计产品主要有以下几个方面发挥了比较好的作用：第一，天玥网络安全审计系统的审计监控可以实时反映出日期、产生时间、用户名、客户端IP、客户端源端口、服务端IP、服务端端口、MAC地址、协议类型、登陆帐号、事件级别、操作类别、事件内容（输入命令明细）、引擎IP、引擎动作等条件内容，即在一般情况下已经可以通过IP地址、端口、MAC地址三个条件将事件定位到人，在特殊条件下可以通过强身份认证将事件定位到强身份认证用户；第二，天玥网络安全审计系统预置200 多条审计规则，有效满足用户的要求，在产品使用时不用耗费更多时间去配置审计策略；策略生效时间灵活定义，有效满足相关单位的员工工作时段分配要求；第三，天玥网络安全审计系统提供20 余种条件查询功能，支持用户自定义查询模版管理，不仅最大程度降低内审人员的工作量，提高了系统的易用性，更能精确定位所关注的审计信息，同时，系统汇集二维统计、三维统计、折线趋势、柱状统计、饼状统计等多种图表统计分析手段，全面呈现业务全局运行状况，支持对网络会话过程全面回放。
        基于此，该市体育局对产品的功能特点表示肯定，对产品发挥的作用表示赞赏。

需求背景7：
某省统计局是该省人民政府的统计行政主管部门，负责组织和协调本行政区域内的统计工作，并对国民经济和社会发展情况进行统计调查、统计分析、提供统计资料和统计咨询意见，实行统计监督。省统计局是统计执法机构，在工作中起维护统计秩序，确保数据质量、净化统计环境的作用。省统计局内设行政处、事业处等机构，还有企调队和城调队。省统计局以“三位一体”的重要思想，积极创新统计环境，并根据统计工作实际，与时俱进地提出了省经济的行动指南。
国家统计局经过“九五”统计信息化工程建设项目的实施，现已初步建成了以国家统计局为枢纽、连接64 个节点的国家统计信息系统，省统计根据国家统计局《“十五”国家统计信息化建设规划》及《统计信息化“十五”规划》，在该网络上开展了数据报送、数据处理、办公事务管理、统计直报等业务。省统计信息化建设的战略目标是：基于现代信息技术，以规范的统计业务流程、统计信息标准为基础，以内容丰富、结构合理、高效安全、充分共享为特征的国家统计信息资源建设为核心，建立一个面向统计调查对象、统计工作者、政府相关部门和社会公众的以现代信息技术支撑的国家统计信息系统，全面实现统计工作的网络化。

解决方案：
         根据建设目标，省统计局信息化系统移内部主干网络为基础，具有较强抗干扰能力、独立的“国家统计快速调查系统”；建设作为国民经济和社会信息资源枢纽的“国家统计数据中心”；在资源整合的基础上，建设一个规范统一的“统计工作信息化平台。按照国家要求，结合全省实际，在现有统计网络基础平台上，采用现代信息技术，根据统计改革要求，进一步规范统计制度方法，建立适应社会主义市场经济的指标体系，在可靠的安全保密体系下，充分利用信息港宽带网成果，构筑全省企业网上统计报表申报、综合统计信息“数据仓库”应用和统计信息ASP在线服务等系统为主体的统计应用基础平台。建成统计系统广域网，实现与各市、区县统计局的联网和信息共享。按照省政府城市信息化建设要求，充分利用国家统计信息网络资源，为各级领导决策提供正确及时的全方位、多层次的优质信息服务。
        本着统一规划、统一实施、统一开发、分布管理的原则，市统计局统一规划、设计组织，各市、区、县统计局负责各自的设备及相应管理。省统计局在技术及相关设备方面给予一定支持，争取在三年内逐步实现与市、区、县统计局专线联网，使市、区、县统计局除进行邮件通信以外，还可通过市局联到国家统计局以至全国其他省市统计局，可极大地丰富信息量。　　
        省统计局从数据资源访问的有效防护出发，首先针对所有内部工作人员对这些核心数据资源的访问行为进行审计和监控，以保障所有访问资源和访问信息的真实性和安全性。结合现有的这种账号口令管理措施与系统进行无缝链接，省统计局通过综合分布式部署，最终实现了全面有效的数据库安全防护。部署情况如下图所示：

案例点评：
该省统计局响应国家对统计系统的信息化建设要求，积极践行开拓进取、求实创新，针对统计信息工程、统计制度方法改革、统计数据质量等方面取得了重大突破，实现了统计工作的全面整合、全面提高、全面进步。本次审计产品的综合分布式部署，省统计局达到了以下一些目的，第一，对所有业务支撑系统建立一套统一的认证、授权和审计系统，对多人共用帐号而产生的网络操作行为进行监控，以便确定安全事故真正责任人，提升系统的事前防护，第二，对所有业务系统中的每个网络设备、主机系统、业务系统、数据库系统的运行、维护以及管理等操作行为进行集中、统一的审计，以便综合关联分析，及时发现违规行为，提升了主客体之间的事中防护；第三，对所有业务系统提供二维统计、三维统计、折线趋势、柱状统计、饼状统计等多种图表统计分析手段，全面呈现了业务全局运行状况，使得管理者可以实时直观的了解信息系统的运行状况、预测信息系统的未来发展趋势，提升了审计结果的事后总结能力。