用户基本情况

　　某市工商行政管理局，是负责市场监管的行政执法机关和综合经济管理部门，掌握着本市各类企业的登记情况、市场活动交易行为等重要信息。现有市局机关X个处室，X个区县分局，X个直属分局和X个工商所。

　　工商局的网络系统以核心交换机Cisco 6509及边界交换设备构成的骨干网，主交换机处连接了数据库服务器及其他的办公服务器和应用服务器，各楼层交换机到桌面构成10/100M以太网网络。目前网络采用的安全措施是：物理隔离闸；在Internet入口处部署了防火墙，控制输入输出数据流；使用了入侵检测系统检查网络入侵状况；内网的数据库服务器等也采用了防火墙加强保护。网络拓扑示意图如下：


安全威胁分析

　　目前工商局为防止受到攻击；确认客户身份；确保信息的机密性和完整性；已经采取了相关措施，也确实在一定范围内保护了网络层的安全。但是信息网络的安全防护是一个多方位的复杂问题。信息与网络面临的安全威胁是动态的、发展的。入侵者可能来自世界的任何一个角落，不仅是来自外网的非法用户或黑客，也可能来自系统的内部。权威市场调查机构Gartner认为，损失金额在5万美元以上的攻击中，70%都涉及网络内部攻击者。防火墙、入侵防范系统可以抵御各种由蠕虫、越来越多的黑客活动所带来的威胁，但是不能有效防范内部攻击。普通内网用户对系统资源通常只具有一般的访问权限，正常情况下他们在系统上的活动不应对系统安全造成很大威胁。然而由于他们在系统上已经有了立足点，比较那些不得不通过网络远程地对系统进行攻击的人来说，更容易达到攻击目的。同时，即便是合法用户在自己权限之内，仍有可能进行误操作或非法的操作。而这些是现有的系统访问控制机制不能防止的操作。这些操作的结果有将对系统造成更大的损失。

　　2002年FBI和CSI通过对484家公司的调查，发现：
　　有超过85%的安全威胁来自企业内部
　　有16%来自内部未授权的存取
　　有14%来自专利信息被窃取
　　有12%来自内部人员的财务欺骗
　　而只有5%是来自黑客的攻击
　　从上述数据中，我们可以看出，面对来自于企业内部的安全威胁，必要的内网安全措施是何等重要。然而，当前国内的企业在用重金购置防火墙, 防病毒软件来防止外界威胁的同时，却往往忽视了对内部安全威胁的应对之策。因此对内部网络的统一控制检查；高效保护内网安全是该工商局目前急需解决的主要问题，也是解决方案的设计重心。

用户需求分析

　　正如前面所分析的，某市工商局虽然已配备了一定的网络安全设备，但信息安全形势依然严峻。由于工商局的数据是高度集中的，这就意味着信息安全风险与信息安全管理必然是集中的，从而更加迫切需要采取信息审计技术来保障工商局对自身计算机与信息资源的监控。目前工商局系统对于内部违规行为的发现与阻止以及网络上计算机犯罪的调查取证等网络安全建设，缺乏有效的技术手段。所有这些方面的安全威胁，以及工商局内部面临的其它安全威胁，都会给工商局的业务和办公网络带来极大的安全隐患。如果诸如此类的内部信息安全问题一旦出现，所造成的经济损失和社会影响将是无法估量的。更为致命的是，目前工商局系统所采用的其它信息安全设施对此却无能为力。工商局网络系统迫切需要建立一套强有力的信息安全审计体系，来加强对网络、应用、信息以及用户的监管力度，以便有效管理并尽量降低信息安全风险。

审计系统在某市工商局的专业实施

　　2005年6月，“某市工商局信息安全强审计系统”开始实施。

　　汉邦综合强审计系统融合当前先进的审计理念和技术，从多方位、多角度地对整个网络进行立体式的全面审计与保护。系统采用先进的分布式架构，非常适合工商局网络与应用系统的跨地域分级管理结构。我们在总局安装一级审计中心，在下一级部门安装二级审计中心；在各级工商局的被审计终端安装主机传感器或网络传感器。各级审计中心除了负责本级安全域的策略制定和安全审计之外，还负责执行和下达上级的策略，同时对下级审计中心进行管理，收集下级审计中心的审计信息和报告并进行上报。

　　汉邦强审计系统分两级部署拓扑图：

　　
　　跟据某市工商局的业务结构，我们的解决方案是从主机审计、网络审计、数据库审计三个方面来订制的：

　　主机审计
　　主机审计系统采用主机传感器组件，安装于受控的主机系统中，通过审计主机的重要文件和信息，监管并控制主机资源。可以审计的操作系统有：Windows9x、WindowsME、Windows NT、Windows2K。在主机审计时会针对用户不同的权限，按不同的策略来进行审计，判断出操作及网络连接是否符合安全策略等。

　　主机审计子系统从全方位来对目标主机进行审计与保护。从系统、应用、网络、资源等多级入手，实现对被审主机的全面监控。