安全審計(jì)的報(bào)告范文

　　一．網(wǎng)絡(luò)結(jié)構(gòu)示意圖以及安全設(shè)計(jì)要求

　　1.網(wǎng)絡(luò)拓?fù)鋱D如下

　　2.安全設(shè)計(jì)要求

　　設(shè)計(jì)一套基于入侵檢測(cè)、安全審計(jì)、安全掃描的安全解決方案。

　　要求從分析安全需求、指定安全策略、完善安全措施、部署安全產(chǎn)品、強(qiáng)化安全管理五個(gè)方面來(lái)闡述設(shè)計(jì)的安全方案。

　　二．網(wǎng)絡(luò)安全需求分析

　　1.主要網(wǎng)絡(luò)安全威脅

　　網(wǎng)絡(luò)系統(tǒng)的可靠于準(zhǔn)是基于通訊子網(wǎng)、計(jì)算機(jī)硬件和操作系統(tǒng)及各種應(yīng)用軟件等各方面、各層次的良好運(yùn)行。因此，它的風(fēng)險(xiǎn)將來(lái)自于企業(yè)的各個(gè)關(guān)鍵點(diǎn)可能造成的威脅，這些威脅可能造成總體功能的失效。由于在這種廣域網(wǎng)分布式計(jì)算環(huán)境中，相對(duì)于過(guò)去的局域網(wǎng)、主機(jī)環(huán)境、單機(jī)環(huán)境，安全問(wèn)題變得越來(lái)越復(fù)雜和突出，所以網(wǎng)絡(luò)安全分析成為制定有效的安全管理策略和選擇有作用的安全技術(shù)實(shí)施措施的基礎(chǔ)。安全保障不能完成基于思想教育或新任。而應(yīng)基于“最低權(quán)限”和“互相監(jiān)督”法則，減少保密信息的介入范圍，盡力消除使用者為使用資源不得不信任他人或被他人信任的問(wèn)題，建立起完整的安全控制體系和保證體系。

　　通過(guò)以上對(duì)該網(wǎng)絡(luò)結(jié)構(gòu)的分析和闡述，目前該網(wǎng)絡(luò)的規(guī)模大，結(jié)構(gòu)復(fù)雜，包括下屬多個(gè)分公司和辦事處，通過(guò)VPN和總公司聯(lián)通的出差人員。該網(wǎng)絡(luò)上運(yùn)行著各種各樣的主機(jī)和應(yīng)用程序，使用了多種網(wǎng)絡(luò)設(shè)備；同時(shí)，由于多種業(yè)務(wù)需求，又和許多其他網(wǎng)絡(luò)進(jìn)行連接。因此，該計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)該從以下幾個(gè)方面進(jìn)行考慮：

　　（1）外部網(wǎng)絡(luò)連接及數(shù)據(jù)訪問(wèn)

　　出差在外的移動(dòng)用戶的連接；

　　分公司主機(jī)對(duì)總公司和其他分公司辦事處的連接；

　　各種類(lèi)型的辦事處對(duì)總公司和分公司的連接；

　　托管服務(wù)器網(wǎng)站對(duì)外提供的公共服務(wù)；

　�。�2）內(nèi)部網(wǎng)絡(luò)連接

　　通過(guò)DDN專(zhuān)線連接的托管服務(wù)器網(wǎng)站；

　　辦公自動(dòng)化網(wǎng)絡(luò)；

　�。�3）同一網(wǎng)段中不同部門(mén)間的連接

　　連接在同一交換機(jī)上的不同部門(mén)的主機(jī)和工作站的安全問(wèn)題；

　　其中外部網(wǎng)絡(luò)攻擊威脅主要來(lái)自（1），內(nèi)部網(wǎng)絡(luò)安全問(wèn)題集中在（2）、（3）。

　　2.來(lái)自外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的安全威脅

　�。�1）來(lái)自外部網(wǎng)絡(luò)的安全威脅

　　由于業(yè)務(wù)的需要，網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行了連接，這些安全威脅主要包括：內(nèi)部網(wǎng)絡(luò)和這些外部網(wǎng)絡(luò)之間的連接為直接連接，外部網(wǎng)絡(luò)可以直接訪問(wèn)內(nèi)部 網(wǎng)絡(luò)主機(jī)。由于外部和內(nèi)部通過(guò)一條VPN隧道相連通沒(méi)有相應(yīng)的隔離措施，內(nèi)部系統(tǒng)比較容易遭到攻擊。

　　由于業(yè)務(wù)需要，公司員工經(jīng)常需要出差，并且該移動(dòng)用戶使用當(dāng)?shù)氐腎SP撥號(hào)上網(wǎng)連接上Internet進(jìn)入內(nèi)部網(wǎng)網(wǎng)絡(luò)，這時(shí)非法的Internet用戶也可以通過(guò)各種手段訪問(wèn)內(nèi)部網(wǎng)絡(luò)。這種連接使內(nèi)部網(wǎng)絡(luò)很容易受到來(lái)自Internet的攻擊。

　　對(duì)于來(lái)自外網(wǎng)的各種攻擊，我們可以利用防病毒、防火墻和防黑客技術(shù)加以防范。在本次分析的拓?fù)鋱D中對(duì)于總公司的內(nèi)網(wǎng)，在內(nèi)網(wǎng)口分別加入了網(wǎng)絡(luò)監(jiān)控設(shè)備，殺毒中心和防火墻，能夠有效的抵御來(lái)自外網(wǎng)的大部分攻擊。

　�。�2）來(lái)自內(nèi)部網(wǎng)絡(luò)的安全威脅

　　從拓?fù)鋱D中可以看到，該企業(yè)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)有一定的規(guī)模，分為多個(gè)層次，網(wǎng)絡(luò)上的節(jié)點(diǎn)眾多，網(wǎng)絡(luò)應(yīng)用復(fù)雜，網(wǎng)絡(luò)管理困難。管理的難點(diǎn)主要有：網(wǎng)絡(luò)實(shí)際結(jié)構(gòu)無(wú)法控制；網(wǎng)管人員無(wú)法及時(shí)了解網(wǎng)絡(luò)的運(yùn)行狀況；無(wú)法了解網(wǎng)絡(luò)的漏洞和可能發(fā)生的攻擊；對(duì)于已經(jīng)或正在發(fā)生的攻擊缺乏有效的追查手段。

　　內(nèi)部網(wǎng)絡(luò)的安全涉及到技術(shù)、應(yīng)用以及管理等多方面的因素，只有及時(shí)發(fā)現(xiàn)問(wèn)題，確定網(wǎng)絡(luò)安全威脅的來(lái)源才能制定全面的安全策略，有效的保證網(wǎng)絡(luò)安全。

　　三．安全策略制定

　　安全策略分安全管理策略和安全技術(shù)實(shí)施策略兩個(gè)方面：

　�。�1）安全管理策略

　　安全系統(tǒng)需要人來(lái)執(zhí)行，即使是最好的、最值得信賴的系統(tǒng)安全措施，也不能完全由計(jì)算機(jī)系統(tǒng)來(lái)完全承擔(dān)安全保證任務(wù)，因此必須建立完備的安全組織和管理制度。

　�。�2）安全技術(shù)策略

　　技術(shù)策略要針對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、信息共享授權(quán)提出具體措施。

　　由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層來(lái)實(shí)現(xiàn)，各個(gè)層的功能特性和安全特性也不同，因而其網(wǎng)絡(luò)安全措施也不相同。

　　物理層安全涉及傳輸介質(zhì)的安全特性，抗干擾、防聽(tīng)將是物理層安全措施制定的重點(diǎn)。 在鏈路層，通過(guò)“橋”這一互連設(shè)備的見(jiàn)識(shí)和控制作用，使我們可以建立一定程度的虛擬局域網(wǎng)，對(duì)物理和邏輯網(wǎng)段進(jìn)行有效的分割和隔離，消除不同安全級(jí)別邏輯網(wǎng)段間的聽(tīng)可能。 在網(wǎng)絡(luò)層，可以通過(guò)對(duì)不同子網(wǎng)的定義和對(duì)路由器的路由表控制來(lái)限制子網(wǎng)間的接點(diǎn)通信，通過(guò)對(duì)主機(jī)路由表的控制來(lái)控制與之直接通信的節(jié)點(diǎn)。同時(shí)，利用網(wǎng)關(guān)的安全控制能力，可以限制節(jié)點(diǎn)的通信、應(yīng)用服務(wù)，并加強(qiáng)外部用戶識(shí)別和驗(yàn)證能力。對(duì)網(wǎng)絡(luò)進(jìn)行級(jí)別劃分與控制，網(wǎng)絡(luò)級(jí)別的劃分大致包括Internet—企業(yè)網(wǎng)、骨干網(wǎng)—區(qū)域網(wǎng)、區(qū)域網(wǎng)—部門(mén)網(wǎng)、部門(mén)網(wǎng)—工作組網(wǎng)等。其中internet—企業(yè)網(wǎng)的接口要采用專(zhuān)業(yè)防火墻，骨干網(wǎng)—區(qū)域網(wǎng)、區(qū)域網(wǎng)—部門(mén)網(wǎng)的接口利用路由器的可控路由表、安全郵件服務(wù)器、安全撥號(hào)驗(yàn)證服務(wù)器和安全級(jí)別較高的操作系統(tǒng)。增強(qiáng)網(wǎng)絡(luò)互連的分割和過(guò)濾控制，也可以大大提高安全保密性。

　　四．安全措施完善

　　中心的網(wǎng)絡(luò)結(jié)構(gòu)中采用了大量的交換機(jī)，作為骨干交換設(shè)備的交換機(jī)往往也是攻擊者發(fā)起攻擊的對(duì)象，一旦交換機(jī)被攻擊，整個(gè)網(wǎng)絡(luò)可能存在癱瘓的嚴(yán)重后果，交換機(jī)內(nèi)依賴的是固有的網(wǎng)絡(luò)操作系統(tǒng)ios，解決交換機(jī)的安全問(wèn)題也應(yīng)依靠口令和自身漏洞修補(bǔ)等多方面來(lái)考慮。

　　中心互連設(shè)備中使用了大量的路由、交換設(shè)備。他們都支持SNMP簡(jiǎn)單網(wǎng)管協(xié)議，并且目前我們的監(jiān)控體系是符合SNMP協(xié)議來(lái)實(shí)現(xiàn)監(jiān)控功能的，這些設(shè)備都維護(hù)著一個(gè)含有設(shè)備運(yùn)行狀態(tài)、接口信息等資料的MIBS庫(kù)，運(yùn)行著SNMP的主機(jī)或設(shè)備可以成為SNMP AGENT。SNMP管理端和代理端的通信驗(yàn)證問(wèn)題僅僅取決兩個(gè)community值，一個(gè)是RO值，另一個(gè)是RW值，擁有RO值的管理端可以查看設(shè)備的一些信息包括名稱、接口、ip地址等；擁有RW值得管理端則可以完全管理該設(shè)備。但大多支持SNMP的互連設(shè)備都是出于運(yùn)行模式，至少有一個(gè)RO的默認(rèn)值為public，這樣會(huì)泄露很多的重要信息。另外，擁有RW默認(rèn)值的設(shè)備在互聯(lián)網(wǎng)上也很多，導(dǎo)致互聯(lián)網(wǎng)設(shè)備的癱瘓和流量不正常，如果沒(méi)有冗余設(shè)備，那樣整個(gè)內(nèi)部網(wǎng)絡(luò)就會(huì)癱瘓。

　　另外還需要在內(nèi)網(wǎng)對(duì)VLAN進(jìn)行安全劃分。在骨干將還擊上按不同應(yīng)用劃分VLAN，并配置三層路由，按照應(yīng)用和職責(zé)平直訪問(wèn)控制列表，重點(diǎn)保護(hù)內(nèi)網(wǎng)中重要的部門(mén)VLAN，在其他交換機(jī)上配置trunk on，使其識(shí)別骨干交換機(jī)的VLAN劃分和安全策略配置。將網(wǎng)絡(luò)設(shè)備的管理IP設(shè)置在受保護(hù)的VLAN中，并修改ACL使得其他網(wǎng)段的主機(jī)無(wú)法遠(yuǎn)程登錄到交換機(jī)系統(tǒng)。登錄交換機(jī)后對(duì)鏈路實(shí)施加密傳輸，保證信息不被竊取。

　　五．部署安全產(chǎn)品

　　在進(jìn)行網(wǎng)絡(luò)安全方案的產(chǎn)品選擇時(shí)，要求安全產(chǎn)品至少應(yīng)包含以下功能：

　�。�1）訪問(wèn)控制：通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪問(wèn)控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前；

　　（2）檢查安全漏洞：通過(guò)對(duì)安全漏洞的周期檢查，即使攻擊可以達(dá)到目標(biāo)，也可使絕大多數(shù)攻擊無(wú)效；

　�。�3）攻擊監(jiān)控：通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)監(jiān)測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行動(dòng)（如斷開(kāi)網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等）；

　　（4）加密通訊：主動(dòng)的加密通訊，可使攻擊者不能了解、修改敏感信息；

　�。�5）認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶；

　�。�6）備份和回復(fù)：良好的備份和恢復(fù)機(jī)制，可以在攻擊造成損失時(shí)，盡快的恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)；

　�。�7）多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)；

　　（8）隱藏內(nèi)部信息：使攻擊者不能了解系統(tǒng)內(nèi)部的基本情況；

　�。�9）設(shè)立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系管理、監(jiān)控，保護(hù)及緊急情況服務(wù)。

　　六．強(qiáng)化安全管理

　　計(jì)算機(jī)信息系統(tǒng)的安全管理主要基于三個(gè)原則：

　�。�1）多人負(fù)責(zé)原則

　　每項(xiàng)與安全有關(guān)的活動(dòng)必須有兩人或多人在場(chǎng)。

　　（2）任期有限原則

　　一般來(lái)說(shuō)，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)。

　�。�3）職責(zé)分離原則

　　除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽(tīng)、了解或參與職責(zé)外、與安全有關(guān)的任何事。

　　信息系統(tǒng)的安全管理部門(mén)應(yīng)根據(jù)以上管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，指定相應(yīng)的管理制度或采用相應(yīng)的規(guī)范，其具體工作有：確定該系統(tǒng)的安全等級(jí)；根據(jù)確定的安全等級(jí)。

【安全審計(jì)的報(bào)告】相關(guān)文章：

項(xiàng)目跟蹤審計(jì)審計(jì)報(bào)告10-30

審計(jì)報(bào)告審計(jì)意見(jiàn)范文10-26

審計(jì)述職報(bào)告03-11

審計(jì)實(shí)習(xí)報(bào)告08-26

審計(jì)述職報(bào)告12-27

審計(jì)整改報(bào)告02-09

審計(jì)述職報(bào)告08-02

審計(jì)實(shí)習(xí)報(bào)告10-26

審計(jì)的實(shí)習(xí)報(bào)告10-28

審計(jì)實(shí)習(xí)報(bào)告07-19