安全區域邊界
控制點
5.安全審計
安全審計是指針對等級保護對象中與安全活動相關的信息進行識別、記錄、存儲和分析的整個過程。安全審計功能可確保用戶對其行為負責,證實安全政策得以實施,並可用作調查工具。通過檢查審計記錄結果可以判斷發生了哪些安全相關活動以及哪個用戶要對這些活動負責。另外安全審計可協助安全管理員及時發現網絡系統侵或潛在的系統漏洞及隱患。
安全審計主要關注是否對重要事件進行了審計、審計的內容、審計記錄的保護以及特殊行為的審計。
a)*
安全要求:應在網絡邊界、重要網絡節點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。
要求解讀:為了對重要用戶行為和重要安全事件進行審計,需要在網絡邊界部署相關系統,啟用重要網絡節點日志功能,將系統日志信息輸出至各種管理端口、內部緩存或者日志服務器。
檢查方法
1.檢查是否部署了綜合安全審計系統或類似功能的系統平台。
2.檢查安全審計范圍是否覆蓋到每個用戶並對重要的用戶行為和重要安全事件進行了審計。
測評對象
1.綜合安全審計系統部署情況
2.安全審計范圍覆蓋情況
期望結果
1.在網絡邊界處、重要網絡節點處部署了審計設備。
2.審計的范圍能夠覆蓋到每個用戶,且審計記錄包含了重要的用戶行為和重要的安全事件。
高風險判定
滿足以下條件即可判定為高風險且無補償因素:
(二級及以上系統)
1.在網絡邊界、關鍵網絡節點無法對重要的用戶行為進行日志審計。
2.在網絡邊界、關鍵網絡節點無法對重要安全事件進行日志審計。
(注:網絡安全審計指通過對網絡邊界或重要網絡節點的流量數據進行分析,從而形成的網絡安全審計數據,網絡安全審計包括網絡流量審計和網絡安全事件審計,其中網絡流量審計主要是通過對網絡流量進行統計,關聯分析、識別和篩選,實現對網絡中特定重要行為的審計,例如對各種違規的訪問協議及其流量的審計,對訪問敏感數據的人員行為或系統行為的審計等,網絡安全事件審計包括但不限於對網絡入侵檢測,網絡入侵防御,防病毒產品等設備檢測到的網絡攻擊行為,惡意代碼傳播行為的審計等。)
b)
安全要求:審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。
要求解讀:審計記錄包含內容是否全面將直接影響審計的有效性,網絡邊界處和重要網絡節點的日志審計內容應記錄事件的時間、類型、用戶、事件類型、事件是否成功等必要的信息。
檢查方法
核查審計記錄信息是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。
一般來說,對於主流路由器和交換機設備,可以實現對系統錯誤、網絡和接口的變化、登錄失敗、AGL匹配等進行審計,審計內容包括了時間、類型、用戶等相關信息。因此,只要這些路由器和交換機設備啟用審計功能就能符合該項要求。但對於防火牆等安全設備來說,由於其訪問控制策略命中日志需要手動啟用,因此應重點核查其訪問控制策略命中日志是否啟用。
測評對象
審計記錄信息相關文檔
期望結果
審計記錄包含了事件的日期和事件、用戶、事件類型、事件是否成功等信息。
c)
安全要求:應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等。
要求解讀:審計記錄能夠幫助管理人員及時發現系統運行狀況和網絡攻擊行為,因此需要對審計記錄實施技術上和管理上的保護,防止未授權修改、刪除和破壞。可以設置專門的日志服務器來接收設備發送出的報警信息。非授權用戶(審計員除外)無權刪除本地和日志服務器上的審計記錄。
檢查方法
1.檢查是否采取了技術措施對審計記錄進行保護。
2.檢查審計記錄的備份機制和備份策略是否合理。
測評對象
審計記錄保護/備份措施
期望結果
1.審計系統開啟了日志外發功能,日志轉發至日志服務器。
2.審計記錄存儲超過6個月以上。
d)*
安全要求:應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。
要求解讀:對於遠程訪問用戶,應在相關設備提供用認證功能。通過配置用戶、用戶組,並結合訪問控制規則可以實現對認證成功的用戶允許訪問受控資源。此外,還需對內部用戶訪問互聯網的行為進行審計分析。
檢查方法
檢查是否對遠程訪問用戶及互聯網訪問用戶行為單獨進行審計分析,並核查審計分析的記錄是否包含了用於管理遠程訪問行為、訪問互聯網用戶行為必要的信息。
測評對象
遠程訪問用戶及互聯網訪問用戶行為的審計記錄
期望結果
在網絡邊界處的審計系統對遠程訪問的用戶行為進行了審計,審計系統對訪問互聯網的行為進行了單獨的審計。