某市工商行政管理局，是负责市场监管的行政执法机关和综合经济管理部门，掌握着本市各类企业的登记情况、市场活动交易行为等重要信息。现有市局机关X个处室，X个区县分局，X个直属分局和X个工商所。

　　工商局的网络系统以核心交换机Cisco 6509及边界交换设备构成的骨干网，主交换机处连接了数据库服务器及其他的办公服务器和应用服务器，各楼层交换机到桌面构成10/100M以太网网络。目前网络采用的安全措施是：物理隔离闸；在Internet入口处部署了防火墙，控制输入输出数据流；使用了入侵检测系统检查网络入侵状况；内网的数据库服务器等也采用了防火墙加强保护。网络拓扑示意图如下：

　　安全威胁分析

　　目前工商局为防止受到攻击；确认客户身份；确保信息的机密性和完整性；已经采取了相关措施，也确实在一定范围内保护了网络层的安全。但是信息网络的安全防护是一个多方位的复杂问题。信息与网络面临的安全威胁是动态的、发展的。入侵者可能来自世界的任何一个角落，不仅是来自外网的非法用户或黑客，也可能来自系统的内部。权威市场调查机构Gartner认为，损失金额在5万美元以上的攻击中，70%都涉及网络内部攻击者。防火墙、入侵防范系统可以抵御各种由蠕虫、越来越多的黑客活动所带来的威胁，但是不能有效防范内部攻击。普通内网用户对系统资源通常只具有一般的访问权限，正常情况下他们在系统上的活动不应对系统安全造成很大威胁。然而由于他们在系统上已经有了立足点，比较那些不得不通过网络远程地对系统进行攻击的人来说，更容易达到攻击目的。同时，即便是合法用户在自己权限之内，仍有可能进行误操作或非法的操作。而这些是现有的系统访问控制机制不能防止的操作。这些操作的结果有将对系统造成更大的损失。

　　2002年FBI和CSI通过对484家公司的调查，发现：

　　·有超过85%的安全威胁来自企业内部

　　·有16%来自内部未授权的存取

　　·有14%来自专利信息被窃取

　　·有12%来自内部人员的财务欺骗

　　·而只有5%是来自黑客的攻击

　　从上述数据中，我们可以看出，面对来自于企业内部的安全威胁，必要的内网安全措施是何等重要。然而，当前国内的企业在用重金购置防火墙, 防病毒软件来防止外界威胁的同时，却往往忽视了对内部安全威胁的应对之策。因此对内部网络的统一控制检查；高效保护内网安全是该工商局目前急需解决的主要问题，也是解决方案的设计重心。

　　用户需求分析

　　正如前面所分析的，某市工商局虽然已配备了一定的网络安全设备，但信息安全形势依然严峻。由于工商局的数据是高度集中的，这就意味着信息安全风险与信息安全管理必然是集中的，从而更加迫切需要采取信息审计技术来保障工商局对自身计算机与信息资源的监控。目前工商局系统对于内部违规行为的发现与阻止以及网络上计算机犯罪的调查取证等网络安全建设，缺乏有效的技术手段。所有这些方面的安全威胁，以及工商局内部面临的其它安全威胁，都会给工商局的业务和办公网络带来极大的安全隐患。如果诸如此类的内部信息安全问题一旦出现，所造成的经济损失和社会影响将是无法估量的。更为致命的是，目前工商局系统所采用的其它信息安全设施对此却无能为力。工商局网络系统迫切需要建立一套强有力的信息安全审计体系，来加强对网络、应用、信息以及用户的监管力度，以便有效管理并尽量降低信息安全风险。

　　审计系统在某市工商局的专业实施

　　2005年6月，“某市工商局信息安全强审计系统”开始实施。

　　汉邦综合强审计系统融合当前先进的审计理念和技术，从多方位、多角度地对整个网络进行立体式的全面审计与保护。系统采用先进的分布式架构，非常适合工商局网络与应用系统的跨地域分级管理结构。我们在总局安装一级审计中心，在下一级部门安装二级审计中心；在各级工商局的被审计终端安装主机传感器或网络传感器。各级审计中心除了负责本级安全域的策略制定和安全审计之外，还负责执行和下达上级的策略，同时对下级审计中心进行管理，收集下级审计中心的审计信息和报告并进行上报。

汉邦强审计系统分两级部署拓扑图：

跟据某市工商局的业务结构，我们的解决方案是从主机审计、网络审计、数据库审计三个方面来订制的：

　　主机审计

　　主机审计系统采用主机传感器组件，安装于受控的主机系统中，通过审计主机的重要文件和信息，监管并控制主机资源。可以审计的操作系统有：Windows9x、WindowsME、Windows NT、Windows2K。在主机审计时会针对用户不同的权限，按不同的策略来进行审计，判断出操作及网络连接是否符合安全策略等。

　　主机审计子系统从全方位来对目标主机进行审计与保护。从系统、应用、网络、资源等多级入手，实现对被审主机的全面监控。

　　主机审计子系统设计的主要功能有：

　　·系统信息综合审计

　　对系统的配置信息和运行情况进行审计，包括主机机器名、网络配置、用户登录、进程情况、CPU和内存使用情况、硬盘容量等。

　　·网络连接审计与保护

　　网络功能审计包括：对主机网络实时信息的审计、设置网络规则和查询网络日志信息的功能。记录和审计主机的网络连接情况，审计主机开启的服务，制定网络连接规则，允许或禁止指定的网络连接，对数据包内容进行过滤，非法的连接产生报警事件。能够有效的发现网络内部新接入的访问数据的计算机，并发出报警。

　　·拨号审计

　　对Modem进行审计，任何方式的拨号都将禁止，可以设定规则在特定时间内让特定的号码允许拨出。同时，记录任何允许和禁止的拨号事件。

　　·文件操作审计

　　能够有效监控终端计算机共享文件目录的访问情况，可记录到源ip，用户，执行的操作等最基本的层次。在驱动级对客户端的文件读、写、删除、移动、拷贝等操作进行审计，比如能够对用户访问doc、txt等各种格式文件的操作进行记录或报警。

　　·系统日志审计

　　系统日志审计包括：系统日志、安全日志、应用程序写入的系统日志、其它服务（如DNS Server）日志等，同时对系统日志进行查询和管理。

　　·进程审计

　　设置进程为合法或非法后，提供非法进程实时报警和报警信息查询功能。对系统进程进行实时审计，当出现没有被网络管理人员定义为合法的进程启动时，系统会产生进程报警信息。

　　·打印审计

　　对各主机的打印操作进行审计，包括打印机名称、打印机位置、打印对象、打印份数及打印用户和打印时间等；同时还可以对打印进行控制，允许或禁止打印。

　　·主机IP/盘符审计

　　允许或禁止主机修改IP地址，并且可以控制和管理光驱、软驱及USB口使用；对于违规事件，系统会产生报警信息。

　　·邮件审计

　　对各主机基于pop3协议的邮件收发进行审计，用于实时监控和事后查询邮件操作。可审计内容包括邮件日期、收发者及主题等。

网络审计 　　网络审计子系统采用旁路技术，不用在目标主机中安装任何组件。网络审计子系统可以审计任何经由特定的网络中间设备的主机的网络信息，基于对网络协议的分析与统计，从网络层对整个网络进行审计与保护。 　　网络审计子系统的主要功能如下： 　　·网络入侵检测 　　对从网络中抓取到的包进行协议分析，与相应的入侵检测规则库进行模式匹配，从而发现有入侵特征的数据包；同时记忆基于连接的网络数据包前后状态，从中分析入侵的可能或企图。发现入侵或可疑企图即产生入侵事件。 　　·协议审计 　　此功能对应用协议的操作和内容进行进一步的分析，对有特殊内容或某些违规的操作产生报警事件。管理员可以定义违反规则的内容策略，在匹配到相应内容后记录并产生报警事件通知管理员。 　　·流量统计 　　对抓取的数据包根据某一类（如IP地址、MAC地址、URL等）进行归类统计，可以得到各种流量统计表或统计图。可以对某些地址的流量速度进行限制，超过规定值时即产生报警事件。 　　·MAC地址绑定 　　制定IP地址与MAC地址的对应关系，如果抓取到的数据包与此对应关系不符，则产生报警事件。 　　数据库审计 　　数据库审计系统采用网络传感器组件，对特定的连接数据包（数据库远程连接）进行分析，从数据库访问操作入手，对抓到的数据包进行语法分析，从而审计对数据库中的哪些数据进行操作，可以对特定的数据操作制定规则，产生报警事件。 　　由于数据库系统的种类比较多，所以数据库审计从网络方面入手，监控数据库的操作。可以审计所有的远程数据库操作，通过旁路技术实现审计。如下图所示： 　　数据库审计子系统的网络审计功能通过对数据包中数据操作语法的分析，可以知道对数据库中的某个表、某个字段进行了什么操作，并可对违规的操作产生报警事件。 　　应用效果 　　某市工商局应用汉邦信息安全综合强审计系统，成功树立了行政单位网络安全审计的典范，应用效果体现在以下几方面： 　　系统对工商局现有网络及应用的正常运行无影响 　　信息安全综合强审计系统的拥有高度的可集成性，因此其系统部署，无需改动现有的网络与应用系统的结构和运行方式。系统各个模块的安装对工商局现有网络与应用系统、以及用户来说都是透明的，也就是说原有的系统感觉不到安全审计系统的存在。比如，审计中心安装在单独的一台计算机上，对原有的其他系统不会造成任何影响；网络审计传感器旁路于所在网段的网络设备上，采用的抓包技术不会对网络传输造成干扰；主机审计传感器部署于被审计的计算机上，把采集到的信息实时地发往审计中心，不会在被审计主机上留下任何痕迹。由于主机传感器运行在后台，除了占用极少的系统资源以外，对系统性能几乎没有什么影响，用户完全感觉不到安全审计系统安装前后的差别，所以对某市工商局计算机的操作和程序正常运行也不会造成影响。 　　 “事前+事中+事后”的完善防护 　　网络安全问题大多数出现在内部网，通过外部攻击获得内部信息的只占入侵总数的20%左右。而内部网络的安全防护往往较弱，内部用户也许会违规使用计算机资源，未经授权访问信息，甚至恶意攻击内网服务器或其他主机系统，因此要保证内网的安全，审计尤为重要。汉邦信息安全综合强审计系统使管理层对自身网络系统有了全面掌握和控制能力，使得管理部门对于自身网络信息系统拥有全方位审计与监管能力,来保证有足够的追踪和取证的能力，而且能够实时监控网络上正在发生的网络连接情况，对正在发生的网络入侵和主机入侵事件能够作出阻断与告警，这对内部网络犯罪也是一种强大的威慑。 　　完善的安全审计功能 　　不仅可以收集到用户关心的多种审计数据，审计的结果也具有绝对的权威性，同时可以生成多种格式的报表。 　　模块化设计 　　一旦系统安全管理员制定好安全策略并发布成功，各模块之间独立运行，整个系统运行效率非常高，同时也便于用户定制符合自身安全需求特点的系统功能组合。 　　多级数据提取与管理技术 　　可以设置多个层次的安全审计中心，每层安全审计中心可以制定个性化的审计策略。 　　高层统一管理 　　汉邦网络安全审计系统通过多级、分布式的审计、管理、控制机制，全面体现了管理层对内部网关键资源的全局控制、把握和调度能力。为网络管理人员提供了一种审计、检查当前系统运行状态的有效手段。 　　多方位的协同管理模式 　　协同管理实现对审计数据的综合分析，收集来自各子系统的任何审计数据，引入数据挖掘与智能分析技术，实现整个网络的协同工作，共同防御。 　　系统透明工作 　　兼容TCP和UDP通讯方式，充分考虑到用户的各种网络配置情况，增大了使用范围。 　　内部加密通讯方式 　　每个传感器组件和监控中心之间必须经过发送一个特殊的身份认证包之后才允许连接，传感器组件和监控中心之间每次传输的信息都经过加密处理，确保审计信息的可靠性。