在服务器端部署轻量级蜜罐系统 ShellLog,攻击者一旦入侵服务器将会获得 console 和正常使用的 shell,该 console 基于攻击防御安全实践进行深度定制,一方面实现对攻击者渗透系统后主机操作系统后的 shell 操作全记录,记录攻击者或恶意使用用户登录服务器后的各项操作并形成分类日志,实时发送至蜜罐系统日志服务器。
管理后台能够对日志服务器的收集的日志进行分析和规则匹配,能够对高危操作命令、关联恶意操作命令,提权操作进行告警,还能够自定义安全规则,安全人员登录管理后台对告警 shell 操作进行审计,实现服务器入侵防御的轻量级蜜罐系统,作为发现用户恶意操作行为和攻击行为的最后一道防线。
1. 操作日志审计
2. 数据库审计
对网络访问数据库操作行为进行细粒度分析的安全设备,它可提供实时监控、违规响应、历史行为回溯等操作分析功能,是满足数据库风险管理和内控要求、提升内部安全监管,保障数据库安全的有效手段。
安全审计系统能够对业务网络中 Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Cache、达梦等数据库进行全方位的安全审计。具体包括:
1、数据访问审计:记录所有对保护数据的访问信息,包括主机访问、文件操作、数据库执行 SQL 语句或存储过程等。系统审计所有用户对关键数据的访问行为,防止外部黑客入侵访问和内部人员非法获取敏感信息。
2、数据变更审计:统计和查询所有被保护数据的变更记录,包括核心业务数据库表结构、关键数据文件的修改操作等等,防止外部和内部人员非法篡改重要的业务数据。
3、权限操作审计:统计和查询所有用户的登录成功和失败尝试记录,记录所有用户的访问操作和用户配置信息及其权限变更情况,可用于事故和故障的追踪和诊断。
3. 大数据统一审计
大数据平台基于审计日志实现大数据统一审计系统,支持通用的日志收集模块和高危操作实时告警功能,允许审计员对日志设置多样化多维度的过滤规则,在海量数据中实时、精准的识别高危操作。同时审计系统对收集的日志支持全文检索,方便审计员快速回溯用户行为。
相关文章
-
信息系统建设服务商安全管理
第一章 目的 第一条 为了规范重庆XX中学信息系统建设和运行过程中服务商的选择,按照信息安全等级保护要求进行服务商管理,特制定本管理规范。 第二章 范围 第二条 本办法适用于重庆XX中学在信息化建设和运行过程中服务商选择的安全管理。 第三章 职责 第三条 较小项目由网络安全办公室负责服务商选择, 较大项目的服务商选择,可通过招标方式由招标小组进行选择,但须遵循本管理办法的要求。 第四章 管理细则 第四条 系统集成商的要求:要有一个国家权威部门系统工程师及数据库认证工程师; 第五条 工商要求: 第…
-
网络安全应急预案模板、安全应急响应方案
为提高应对突发网络安全能力,维护网络安全和社会稳定,保障世博展览馆各项工作正常开展,特制定本预案。根据网络安全的发生原因、性质和机理,网络安全主要分为以下三类: 攻击类事件:指网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。 故障类事件:指网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。 灾害类事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致网络系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。 那么针对以上三类网络安全事件,作为甲…
-
信息安全领导机构组成与职责
本系列文章来自于此前的真实项目案例,是一个学校安全系统建设中部分服务的内容,是给该单位的一套《安全制度汇编》,本篇文章信息安全领导机构组成与职责,适用于一般单位的信息安全机构建立。原文档见附件。 第一章 目的 第一条 为更好的实现对重庆XX中学信息系统的安全管理,促进各项制度、措施的落实,经领导研究决定成立以信息安全领导小组为管理机构、信息安全工作小组为执行机构的组织架构,负责重庆XX中学信息安全建设及防护。 第二章 范围 第二条 本标准针对重庆XX中学信息安全组织建设相关事务,规定了组织框架和…
-
系统备份与恢复管理制度
本办法涉及的存储备份系统包括:存储设备、光纤交换机、磁带库、移动介质、备份软件;管理适用对象包括网络安全办公室相关运维人员。 第一章 目的 第一条 为规范重庆XX中学存储备份系统管理,加强存储备份工作的日常管理及考核水平,保障系统安全稳定运行,明确管理责任,特制定本办法。 第二章 范围 第二条 本办法涉及的存储备份系统包括:存储设备、光纤交换机、磁带库、移动介质、备份软件;管理适用对象包括网络安全办公室相关运维人员。 第三章 职责 第三条 数据库管理员:负责存储备份系统的管理,包括存储设备的规划…
-
GB/T 42564-2023 信息安全技术 边缘计算安全技术要求
《GB/T 42564-2023 信息安全技术 边缘计算安全技术要求》是中国国家标准委员会发布的一项重要技术规范,旨在确保边缘计算环境中的数据安全、网络安全以及系统的可靠性。随着物联网(IoT)和人工智能(AI)等技术的迅速发展,边缘计算逐渐成为实现大规模数据处理和实时响应的关键技术之一。边缘计算将计算资源从云端推向网络边缘,能够降低延迟、节省带宽并提高效率。然而,这种新的计算架构也带来了诸多新的安全挑战,特别是数据隐私、设备安全、身份认证等方面。 为了应对这些挑战,《GB/T 42564-20…
-
设备入网安全检查办法,入网检查清单
为减少新入网用户的计算机可能带来的风险, 全面保办公室计算机网络的安全,特对办公室新入网用户的计算机做安全检查。 第二章 范围 第二条 新入网用户包括 第三章 管理细则 第三条 对新入网用户的计算机检查的主要项目包括: 第四条 检查系统关键补丁 关键补丁检查主要检测系统是否开启了“自动更新补丁” 选项,如果目标系统未及时安装补丁,可能随时导致系统漏洞被恶意程序利用,最终导致恶意程序在局域网内传播,干扰正常用户。 第五条 检查恶意插件与木马 使用XXXX对系统进行完整的恶意插件与流行木马检查。在检…
