安全区域边界
控制点
5.安全审计
安全审计是指针对等级保护对象中与安全活动相关的信息进行识别、记录、存储和分析的整个过程。安全审计功能可确保用户对其行为负责,证实安全政策得以实施,并可用作调查工具。通过检查审计记录结果可以判断发生了哪些安全相关活动以及哪个用户要对这些活动负责。另外安全审计可协助安全管理员及时发现网络系统侵或潜在的系统漏洞及隐患。
安全审计主要关注是否对重要事件进行了审计、审计的内容、审计记录的保护以及特殊行为的审计。
a)*
安全要求:应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
要求解读:为了对重要用户行为和重要安全事件进行审计,需要在网络边界部署相关系统,启用重要网络节点日志功能,将系统日志信息输出至各种管理端口、内部缓存或者日志服务器。
检查方法
1.检查是否部署了综合安全审计系统或类似功能的系统平台。
2.检查安全审计范围是否覆盖到每个用户并对重要的用户行为和重要安全事件进行了审计。
测评对象
1.综合安全审计系统部署情况
2.安全审计范围覆盖情况
期望结果
1.在网络边界处、重要网络节点处部署了审计设备。
2.审计的范围能够覆盖到每个用户,且审计记录包含了重要的用户行为和重要的安全事件。
高风险判定
满足以下条件即可判定为高风险且无补偿因素:
(二级及以上系统)
1.在网络边界、关键网络节点无法对重要的用户行为进行日志审计。
2.在网络边界、关键网络节点无法对重要安全事件进行日志审计。
(注:网络安全审计指通过对网络边界或重要网络节点的流量数据进行分析,从而形成的网络安全审计数据,网络安全审计包括网络流量审计和网络安全事件审计,其中网络流量审计主要是通过对网络流量进行统计,关联分析、识别和筛选,实现对网络中特定重要行为的审计,例如对各种违规的访问协议及其流量的审计,对访问敏感数据的人员行为或系统行为的审计等,网络安全事件审计包括但不限于对网络入侵检测,网络入侵防御,防病毒产品等设备检测到的网络攻击行为,恶意代码传播行为的审计等。)
b)
安全要求:审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
要求解读:审计记录包含内容是否全面将直接影响审计的有效性,网络边界处和重要网络节点的日志审计内容应记录事件的时间、类型、用户、事件类型、事件是否成功等必要的信息。
检查方法
核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
一般来说,对于主流路由器和交换机设备,可以实现对系统错误、网络和接口的变化、登录失败、AGL匹配等进行审计,审计内容包括了时间、类型、用户等相关信息。因此,只要这些路由器和交换机设备启用审计功能就能符合该项要求。但对于防火墙等安全设备来说,由于其访问控制策略命中日志需要手动启用,因此应重点核查其访问控制策略命中日志是否启用。
测评对象
审计记录信息相关文档
期望结果
审计记录包含了事件的日期和事件、用户、事件类型、事件是否成功等信息。
c)
安全要求:应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
要求解读:审计记录能够帮助管理人员及时发现系统运行状况和网络攻击行为,因此需要对审计记录实施技术上和管理上的保护,防止未授权修改、删除和破坏。可以设置专门的日志服务器来接收设备发送出的报警信息。非授权用户(审计员除外)无权删除本地和日志服务器上的审计记录。
检查方法
1.检查是否采取了技术措施对审计记录进行保护。
2.检查审计记录的备份机制和备份策略是否合理。
测评对象
审计记录保护/备份措施
期望结果
1.审计系统开启了日志外发功能,日志转发至日志服务器。
2.审计记录存储超过6个月以上。
d)*
安全要求:应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
要求解读:对于远程访问用户,应在相关设备提供用认证功能。通过配置用户、用户组,并结合访问控制规则可以实现对认证成功的用户允许访问受控资源。此外,还需对内部用户访问互联网的行为进行审计分析。
检查方法
检查是否对远程访问用户及互联网访问用户行为单独进行审计分析,并核查审计分析的记录是否包含了用于管理远程访问行为、访问互联网用户行为必要的信息。
测评对象
远程访问用户及互联网访问用户行为的审计记录
期望结果
在网络边界处的审计系统对远程访问的用户行为进行了审计,审计系统对访问互联网的行为进行了单独的审计。