审计、溯源、定位!三管齐下构建全方位网络安全事后处置体系
自从2020年RSA大会将“Human Element”作为其讨论的主题以来,“人”成为网络安全中越来越受关注的元素。伴随着云计算、大数据等技术的蓬勃发展,移动互联网、物联网产业加速创新,移动设备持有量不断增加,Web应用、移动应用已融入生产生活的各个领域,人为因素造成的网络安全威胁日益凸显。
网络安全要做到事前事中的“可防可控”
同时事后分析的重要性也不容小觑
当事故发生时
如何进行审计记录、取证溯源、事件分析
客户面临诸多困扰
01
操作责任认定难
运维员小张工作中兢兢业业,却经常因为同事出错而“背锅”,原因就是他们小组的运维员在实际工作中都涉及服务器、数据库、网络设备等层面的操作,即便有人因误操作造成损失,甚至“删库跑路”,也难以快速定位到责任人。
02
日志查看繁琐
小王是一名审计员,当他所在的公司出现越权访问和敏感信息泄露的问题时,需要查阅大量原始的日志和操作记录,才能从中找寻违规行为,经常搞得他“一个头 两个大”。
03
流量检索定位慢
现在网络数据流量越来越大,从海量数据中取证分析难上加难,动辄就要花上几个小时的时间来检索,分析员小李经常为此折磨得苦不堪言,尤其是有效事件回溯大多数都要凉凉~
针对以上场景,天融信在满足GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、《萨班斯法案》与《银行业金融机构信息系统风险管理指引》等相关法律法规中安全审计的要求基础上,从客户的实际需求出发,针对运维操作、访问行为及攻击事件的回溯分析,建立全方位的事后处置体系,帮助客户全面提升网络安全能力。
运维操作,管控审计
天融信运维安全审计系统
天融信运维安全审计系统(俗称:堡垒机)作为资产运维的统一入口,使内部人员、第三方人员的操作处于可管、可控、可见、可审的状态下,避免误操作和非授权操作带来的隐患。
1
运维管控
配置运维规则,对堡垒机和资产运维操作的权限管控,实现用户到堡垒机、用户到资产的细粒度访问控制,减少误操作和权限滥用的风险。
2
操作审计
记录所有人员的操作行为,提供审计记录的全文检索和视频回放,完善定责体系,保障对运维人员和运维资产的可追溯能力。
访问行为,回溯审计
天融信网络审计系统、数据库审计系统
天融信网络审计系统、数据库审计系统可全面细粒度记录网络访问行为,从发起者、访问时间、访问对象、访问方法、使用频率各个角度,提供丰富的统计分析报告,为取证定责、追根溯源提供有效手段。
1
类型全面
对网络上千种应用协议自动识别,能够精准识别并审计主流数据库、关系型数据库、国产化数据库、NoSQL等数十种数据库协议类型,可精准还原各类访问行为。
2
精准直观
实时审计网络流量中各协议字段,如:事件ID、访问行为、响应类型、返回结果等,以及各种数据库操作,并还原数据库返回结果。通过细粒度审计的协议内容,根据不同纬度呈现数据审计价值,帮助管理者快速回溯定责各种网络安全事件。
攻击事件,溯源定位
天融信全流量威胁溯源系统
天融信全流量威胁溯源系统提供全流量的数据留存、会话分析、协议解析、通联分析、统计分析等功能,提供便于海量数据检索分析的Web界面以及丰富的在线数据处理工具,是威胁回溯分析和数据挖掘的利器。
1
全量留存
全流量采集存储和解析,7*24小时实时抓取流量并专业分析,助力客户完整回溯网络事件的整个过程,追踪定位到攻击源与攻击手段,为威胁回溯和优化业务提供强有力的数据依据。
2
快速检索
快速数据检索能力,千万级数据,秒级查询,通过检索关注的流量数据标签,实现流量回溯更快更高效。在此基础上,运用异步加载技术,可最大程度地保障检索效率,实现快速检索。
天融信推出运维安全审计系统、网络审计系统、数据库审计系统、全流量威胁溯源系统等一系列事后产品,全方位记录人员操作行为,快速查询定位关键信息,协助客户对安全事件作出评估,为业务的定责溯源、事后处置留存依据,有效提供审计、溯源、定位等全面的事后处置能力。近日,天融信数据库审计系统获得中国信通院最高级数据安全产品检验证书(基础级、进阶级),安全能力得到权威充分认可(点击阅读全文)。
TOPSEC
面对层出不穷的安全事故,构建全方位的事后处置体系已成为网络安全不可或缺的一部分。未来,天融信将继续为客户提供全面审计、安全溯源、快速定位的坚定保障力量,用一系列事后产品和解决方案,为客户业务的安全运行保驾护航。
/
相关阅读
1、天融信运维安全审计系统顺利通过IPv6 Ready Logo认证,助力互联网IPv6应用发展