银行安全审计管理现状

《银行安全审计管理现状》由会员分享，可在线阅读，更多相关《银行安全审计管理现状（33页珍藏版）》请在装配图网上搜索。

1、某银行安全审计综合管理平台建设方案V1.2二九年三月目 录1背景42安全审计管理现状62.1安全审计基本概念62.2 总行金融信息管理中心安全审计管理现状92.2.1日记审计92.2.2数据库和网络审计112.3 我行安全审计管理措施制定现状112.4 安全审计产品及应用现状133安全审计必要性134安全审计综合管理平台建设目的145安全审计综合管理平台需求165.1日记审计系统需求165.1.1系统功能需求165.1.2 系统性能需求195.1.3 系统安全需求205.1.4 系统接口需求215.2数据库和网络审计系统需求225.2.1审计功能需求225.2.2报表功能需求235.2.3审计

2、对象及兼容性支持245.2.4系统性能245.2.5审计完整性256安全审计综合管理平台建设方案256.1日记审计系统建设方案256.1.1 日记管理建议256.1.2 日记审计系统整体架构266.1.3 日记采集实现方式286.1.4 日记原则化实现方式306.1.5 日记存储实现方式316.1.6 日记关联分析326.1.7 安全事件报警336.1.8 日记报表346.1.9系统管理356.1.10 系统接口规范366.2数据库和网络审计系统建设方案376.2.1数据库和网络行为综合审计376.2.2审计方略386.2.3审计内容396.2.4告警与响应管理426.2.5报表管理427系统

3、部署方案437.1 安全审计综合管理平台系统部署方案437.2系统部署环境规定447.2.1日记审计系统447.2.2数据库和网络审计系统457.3 系统实行建议457.4 二次开发461背景近年来，XX银行信息化建设得到迅速发展，央行履行金融调控、金融稳定、金融市场和金融服务职能高度依赖于信息技术应用，信息安全问题的全局性影响作用日益增强。目前，XX银行信息安全保障体系中安全系统建设已经达到了一定的水平。建设了非法外联监控管理系统、入侵检测系统、漏洞扫描系统、防病毒系统及补丁分发系统，为客户端安全管理、网络安全管理和系统安全管理提供了技术支撑手段，有效提高了安全管理水平；完毕制定金融业星型网

4、间互联安全规范金融业行业原则，完善内联网外联防火墙系统，保证XX银行网络边界安全；制定并下发银行计算机机房规范化工作指引，规范和加强机房环境安全管理。信息安全审计技术是实现信息安全整个过程中核心记录信息的监控记录，是信息安全保障体系中不可缺少的一部分。随着电子政务、电子商务以及各类网上应用的开展得到了普遍关注，并且在越来越多的大型网络系统中已经成功应用并发挥着重要作用，特别针对安全事故分析、追踪起到了核心性作用。老式的安全审计系统局限于对主机的操作系统日记的收集和简朴分析，缺少对于多种平台下（Windows系列、Unix系列、Solaris等）、多种网络设备、重要服务器系统、应用系统以及数据库

5、系统综合的安全审计功能。随着网络规模的迅速扩大，单一式的安全审计技术逐渐被分布式安全审计技术所替代，加上各类应用系统逐渐增多，网络管理人员/运维人员工作量往往会成倍增长，使得核心信息得不到重点关注。大量事实表白，对于安全事件发生或核心数据遭到严重破坏之前完全可以预先通过日记异常行为告警方式告知管理人员，及时进行分析并采用相应措施进行有效制止，从而大大减少安全事件的发生率。目前我行信息安全保障工作尚未有效开展安全审计工作，缺少事后审计的技术支撑手段。目前，信息安全审计作为保障信息系统安全的制度逐渐发展起来；并已在对信息系统依赖性最高的金融业开始普及。信息安全审计的有关原则涉及ISO/IEC177

6、99、COSO、COBIT、ITIL、NISTSP800等。这些原则从不同角度提出信息安全控制体系，可以有效地控制信息安全风险。同步，公安部发布的信息系统安全级别保护技术规定中对安全审计提出明确的技术规定：审计范畴覆盖网络设备、操作系统、数据库、应用系统，审计内容涉及各网络设备运营状况、系统资源的异常使用、重要顾客行为和重要系统命令的使用等系统内重要的安全有关事件。为进一步完善信息安全保障体系，立项建设安全审计系统，不断提高安全管理水平。2安全审计管理现状2.1安全审计基本概念信息安全审计是公司内控、信息系统治理、安全风险控制等的不可或缺的核心手段。信息安全审计可觉得安全管理员提供一组可进行分

7、析的管理数据，以发目前何处发生了违背安全方案的事件。运用安全审计成果，可调节安全方略，堵住浮现的漏洞。美国信息系统审计的权威专家Ron Weber又将它定义为收集并评估证据以决定一种计算机系统与否有效做到保护资产、维护数据完整、完毕目的，同步最经济的使用资源。根据在信息系统中需要进行安全审计的对象与内容，重要分为日记审计、网络审计、主机审计。下面分别阐明如下：日记审计：日记可以作为责任认定的根据，也可作为系统运营记录集，对分析系统运营状况、排除故障、提高效率都发挥重要作用。日记审计是安全审计针对信息系统整体安全状态监测的基本技术，重要通过对网络设备、安全设备、应用系统、操作系统、数据库的集中日

8、记采集、集中存储和关联分析，协助管理员及时发现信息系统的安全事件，同步当遇到特殊安全事件和系统故障时，保证日记存在和不被篡改，协助顾客迅速定位追查取证。大量事实表白，对于安全事件发生或核心数据遭到严重破坏之前完全可以预先通过日记审计进行分析、告警并及时采用相应措施进行有效制止，从而大大减少安全事件的发生率。数据库审计：重要负责对数据库的多种访问操作进行监控；是安全审计对数据库进行审计技术。它采用专门的硬件审计引擎，通过旁路部署采用镜像等方式获取数据库访问的网络报文流量，实时监控网络中数据库的所有访问操作（如：插入、删除、更新、顾客自定义操作等），还原SQL操作命令涉及源IP地址、目的IP地址、

9、访问时间、顾客名、数据库操作类型、数据库表名、字段名等，发现多种违规数据库操作行为，及时报警响应、全过程操作还原，从而实现安全事件的精确全程跟踪定位，全面保障数据库系统安全。该采集方式不会对数据库的运营、访问产生任何影响，并且具有更强的实时性，是比较抱负的数据库日记审计的实现方式。网络审计：重要负责网络内容与行为的审计；是安全审计对网络通信的基本审计技术。它采用专门的网络审计硬件引擎，安装在网络通信系统的数据汇聚点，通过旁路抓取网络数据包进行典型合同分析、辨认、判断和记录，Telnet、HTTP、Email、FTP、网上聊天、文献共享、流量等的检测分析等。主机审计：重要负责对网络重要区域的客户

10、机上的多种上网行为、文献拷贝/打印操作、通过Modem擅自连接外网等进行审计。目前我行信息安全系统尚未有效开展安全审计工作，由于缺少对各网络设备、安全设备、应用系统、操作系统、数据库的集中日记采集、集中存储和关联分析等事后审计、追查取证的技术支撑手段,以至无法在遇到特殊安全事件和系统故障时保证日记存在和不被篡改，同步对主机和数据库的操作行为也没有审计和管理的手段，不同有效对操作行为进行审计，避免误操作和歹意行为的发生，因此我行迫切需要尽快建设安全审计系统（涉及日记审计、数据库审计、网络审计），保证我行信息系统安全。2.2 我行金融信息管理中心安全审计管理现状2.2.1日记审计作为数据中心的运维

11、部门，负责运维内联网总行局域网、总行机关办公自动化系统及货币发行信息管理系统、国库信息解决系统等重要业务系统，保障信息系统IT基本设施的安全运营。为更好地制定日记审计系统建设方案，开展了金融信息管理中心日记管理现状调研工作，调研内容涉及设备/系统配备哪些日记信息、日记信息涉及哪些属性、日记采集所支持的合同/接口、日记存储方式及日记管理现状，金融信息管理中心日记管理现状调查表详见附件。通过度析日记管理现状调查表，将有关状况阐明如下：一、日记内容。网络设备（涉及互换机和路由器）、安全设备（涉及防火墙、入侵检测设备、防病毒管理系统和补丁分发系统）、办公自动化系统和重要业务系统均配备一定的日记信息，其

12、中每类设备具有一定的日记配备规范，应用系统（办公自动化系统和重要业务系统）的日记内容差别较大，数据库和中间件仅配备“进程与否正常”的日记信息。二、日记格式。网络设备和部分安全设备根据厂商的不同，其日记格式也不同，无统一的日记格式；应用系统根据系统平台的不同，其日记格式也不同，无统一的日记格式。三、日记采集合同/接口。网络设备和部分安全设备支持SNMP Trap和Syslog合同，应用系统重要支持TCP/IP合同，个别应用系统自定义了日记采集方式。四、日记存储方式。网络设备和部分安全设备日记信息集中存储在日记服务器中，其她设备/系统日记均存储在本地主机上。日记信息以文本文献、关系型数据库文献、D

13、omino数据库文献和XML文献等方式进行存储。五、日记管理方式。重要为分散管理,且无日记管理规范。在系统/设备浮现故障时，日记信息是定位故障，解决故障的重要根据。据理解，为加强网络基本设施运营状况的监控，金融信息管理中心通过采集互换机和路由器等网络设备的日记信息，实现网络设备日记信息的集中管理，及时发现网络设备运营中浮现的问题。通过上述现状的分析，目前日记管理存在如下问题：1、不同系统/设备的日记信息分散存储，日记信息被非法删除，导致安全事故处置工作无法追查取证。2、在系统发生故障后，才去通过日记信息定位故障，导致系统安全运营工作存在一定的被动性，应积极地在日记信息中及时发现系统运营存在的隐

14、患，提高系统运营安全管理水平。3、随着我行信息化工作的不断进一步，系统运维工作压力的不断加大，如不及时规范日记信息管理，信管中心将逐渐面临运维的设备多、人员少的问题，不能及时精确把握运维工作的重点。在目前日记信息管理基本上，若简朴加强日记信息管理，仍存在如下问题：1、通过系统/设备各自的控制台去查看事件，窗口繁多，并且所有的事件都是孤立的，不同系统/设备之间的事件缺少关联，分析起来极为麻烦，无法弄清晰真实的状况。2、不同系统/设备对同一种事件的描述也许是不同的，管理人员需理解各系统/设备，分析多种不同格式的信息，导致管理人员的工作非常繁重，效率低。3、海量日记信息不仅无法协助找出真正的问题，反

15、而由于太多而导致无法管理，并且不同系统/设备也许产生不同的日记信息格式，无法做到迅速辨认和响应。2.2.2数据库和网络审计目前我行没有实现对数据库操作和网络操作行为的审计。对系统的后台操作人员的远程登录主机、数据库的操作行为无法进行记录、审计，难以避免系统滥用、泄密等问题的发生。2.3 我行安全审计管理措施制定现状在银行信息安全管理规定提出如下安全审计规定： 第一百三十九条各单位科技部门在支持与配合内审部门开展审计信息安全工作的同步，应适时开展本单位和辖内的信息系统平常运营管理和信息安全事件全过程的技术审计，发现问题及时报本单位或上一级单位主管领导。 第一百四十条各单位应做好操作系统、数据库管

16、理系统等审计功能配备管理，应完整保存有关日记记录，一般保存至少一种月，波及资金交易的业务系统日记应根据需要拟定保存时间。在银行信息系统安全配备指引-数据库分册提出如下安全审计规定： 应配备审计日记，并定期查看、清理日记。 审计内容涉及创立、修改或删除数据库帐户、数据库对象、数据库表、数据库索引的行为；容许或者撤销审计功能的行为；授予或者取消数据库系统级别权限的行为；任何由于参照对象不存在而引的错误信息；任何变化数据库对象名称的动作；任何对数据库Dictionary或者数据库系统配备的变化；所有数据库连接失败的记录；所有DBA的数据库连接记录；所有数据库顾客帐户升级和删除操作的审计跟踪信息。 审

17、计数据应被保存为分析程序或者脚下本可读的格式，时间期限是一年。所有删除审计数据的操作，都应在动态查帐索引中保存记录。 只有DBA或者安全审核员有权限选择、添加、删除或者修改、停用审计信息。上述安全审计管理规定为开展日记审计系统建设提供了制度保障。2.4 安全审计产品及应用现状目前市场上安全审计产品按审计类型也有诸多产品，日记审计以SIM类产品为主，也叫安全信息和事件管理（SIEM），是安全管理领域发展的方向。SIM是一种全面的、面向IT计算环境的安全集中管理平台，这个平台可以收集来自计算环境中多种设备和应用的安全日记和事件，并进行存储、监控、分析、报警、响应和报告，变过去被动的单点防御为全网的

18、综合防御。由于日记审计对安全厂商的技术开发能力有较高规定,国内某些较有实力的安全厂商可以提供较为成熟的日记审计产品。目前，日记审计产品已在政府、运营商、金融、民航等行业广泛成功应用。针对数据库和网络行为审计产品，国内也有多种厂家有比较成熟的产品，在诸多行业均有应用。3安全审计必要性通过安全审计系统建设，贯彻信息系统安全级别保护基本技术和管理规定中有关安全审计控制点及日记和事件存储的规定，积累信息系统安全级别保护工作经验。通过综合安全审计平台的建设，进一步完善我行信息安全保障体系，变化事中及事后安全基本设施建设较弱的现状；为信息安全管理规定贯彻状况检查提供技术支撑手段，不断完善信息安全管理措施，

19、提高信息安全管理水平；通过综合安全审计平台，实现信息系统IT基本设施日记信息的集中管理，全面掌握IT基本设施运营过程中浮现的隐患，通过安全事件报警和日记报表的方式，在运维人员有限的条件下，有效地把握运维工作的重点，进一步增强系统安全运维工作的积极性，更好地保障系统的正常运营。同步，有效规避日记信息分散存储存在的非法删除风险，保证安全事故处置的取证工作。通过综合安全审计平台的建设，规范我行安全审计管理工作，指引此后信息化项目建设，系统也为安全审计管理规范的实现提供了有效的技术支撑平台。4安全审计综合管理平台建设目的根据总行金融信息管理中心日记管理工作现状及存在的问题，结合日记审计系统建成后的预期

20、收益，现将系统建设目的阐明如下： 海量日记数据的原则化集中管理。根据即定采集方略，采集信息系统IT基本设施日记信息，规范日记信息格式，实现海量日记数据的原则化集中存储，同步保存日记信息的原始数据，规避日记信息被非法删除而带来的安全事故处置工作无法追查取证的风险；加强海量日记数据集中管理，特别历史日记数据的管理。 系统运营风险及时报警与报表管理基于原则化的日记数据进行关联分析，及时发现信息系统IT基本设施运营过程中存在的安全隐患，并根据方略进行及时报警，为运维人员积极保障系统安全运营工作提供有效的技术支撑；实现安全隐患的报表管理，更好地支持系统运营安全管理工作。 为贯彻有关信息安全管理规定提供技

21、术支撑运用安全审计成果可以评估信息安全管理规定的贯彻状况，发现信息安全管理措施存在的问题，为完善信息安全管理措施提供根据，持续改善，进一步提高安全管理水平。 规范信息系统日记信息管理。根据日记管理工作现状，提出信息系统日记信息管理规范，明确信息系统IT基本设施日记配备基本规定、日记内容基本规定等，一方面保证日记审计系统建设实现即定目的；另一方面指引此后信息化项目建设，完善信息安全管理制度体系，进一步提高安全管理水平。 实现对我行各业务系统主机、数据库行为审计。对各业务系统的主机、数据库行为的审计，重要是在不影响业务系统正常运营的前提下，通过网络镜像流量的方式辅以独立日记分析等其他方式对顾客行为

22、进行隐蔽监视，对顾客访问业务系统的行为进行审计，对顾客危险行为进行告警并在必要时进行阻断，对事后发现的安全事件进行会话回放，进行网络通讯取证。5安全审计综合管理平台需求5.1日记审计系统需求5.1.1系统功能需求5.1.1.1日记采集功能需求 采集范畴日记审计系统需要对我行信息系统中的网络设备、主机系统、应用系统、安全系统及其她系统（如网络管理系统、存储设备等）进行日记采集。 数据库是我行数据管理的基本，任何数据泄漏、篡改、删除都会对税务的整体数据导致严重损失。数据库审计是安全管理工作中的一种重要构成部分，通过对数据库的“信息活动”实时地进行监测审计，使管理者对数据库的“信息活动”一目了然，可

23、以及时掌握数据库服务器的应用状况，及时发现客户端的使用问题，存在着哪些安全威胁或隐患并予以纠正，避免应用安全事件的发生，即便发生了也可以可以迅速查证并追根寻源。虽然数据库系统自身可以提供日记审计功能，但是数据库系统自身启动日记审计功能会带给系统较大的承当。为了保证数据库的性能、稳定性，建议采用国内已较为成熟的数据库审计技术，通过在网络部署专门的旁路数据库审计硬件设备,采用镜像等方式获取数据库访问的网络报文流量，实现针对多种数据库顾客的操作命令级审计，从而随时掌握数据库的安全状况，及时发现和制止各类数据操作违规事件或袭击事件，避免数据的各类安全损失，追查或打击各类违规、违法行为，提高数据库数据安

24、全管理的水平。该采集方式不会对数据库的运营、访问产生任何影响，并且具有更强的实时性，是比较抱负的数据库日记审计的实现方式。 数据来源与内容数据来源：审计数据源需要涉及我行信息系统各组件的日记产生点，如主机操作日记、操作系统日记、数据库审计日记、FTP/WEB/NNTP/SMTP、安全设备日记等。数据内容：异常信息在采集后必须进行分类，例如可以将异常事件信息提成泄密事件和安全运营事件两大类，以便于我行日记审计系统管理人员能迅速对事件进行分析。 采集方略采集方略需要涉及采集频率、过滤、合并方略与信息传播方略。支持根据采集对象的不同，可以设立实时采集、按秒、分钟、小时等采集频率。支持日记或事件进行必

25、要的过滤和合并，从而只采集有用的、需要关注的日记和事件信息，屏蔽不需要关注的日记和事件信息。通过预先设定好的日记信息传播方略，使采集到的信息可以根据网络实际状况有序地传播到数据库服务器进行入库存储，避免因日记信息瞬间激增而对网络带宽资源的过度占用，同步保证信息传播的效率，避免断点重传。 采集监控系统可以监控各采集点的日记传播状态，当有采集点无法正常发送日记信息时，系统可以自动进行告警告知管理员进行解决。5.1.1.2日记格式原则化需求根据日记格式原则，对系统采集的信息系统IT基本设施日记信息进行原则化解决。5.1.1.3日记集中存储需求我行日记审计系统将对300余个审计对象进行日记审计，此系统

26、需要具有海量的数据存储能力，其后台数据库需要采用稳定以及先进的公司级数据库（如DB2、MS SQL Server 数据库）；需要有合理的数据存储管理方略；需要支持磁盘阵列柜以及SAN、NAS等存储方式。5.1.1.4日记关联分析需求为理解决目前日益严重的复合型风险威胁，我行日记审计系统需要具有关联分析功能：将不同安全设备的响应通过多种条件关联起来，以便于管理员的分析和解决。例如当一种严重的事件或顾客行为发生后，从网络层面、主机/服务器层面、数据（库）、安全层面到应用层面也许都会有所反映（响应），这时候审计系统将进行数据挖掘，将上述多种层面、多种维度的事件或行为数据挖掘和抽取、关联，将关联的成果

27、呈现给使用者。5.1.1.5安全事件报警需求为了迅速、精拟定位安全事件来源，及时解决安全事件，我行日记审计系统必须具有实时报警功能，报警方式应当多样化，如实时屏幕显示、电子邮件和短信等。5.1.1.6日记报表需求我行日记审计系统的报表需要支持细粒度查询，使管理人员可以迅速对安全事件进行对的的分析，其查询细粒度应当涉及核心字、时间段、源地址、目的地址、源端口、目的端口、设备类型、事件类型、特定审计对象等多种条件的组合查询，并支持模糊查询。5.1.2 系统性能需求目前我行日记审计系统需要审计300台以上的设备，以一台设备3000条/小时，每条日记1KB为原则计算，300台设备每天的总日记条数为21

28、60万条，总日记量约为21G。基于上述计算成果，结合同行业成功案例，建议系统性能如下：解决能力支持安全事件与日记每天2千万条以上；支持120G以上的数据库存储；支持的原始日记和事件的存储容量可达到5亿条； 提供对原始日记及审计成果的压缩存储，文献存储压缩比一般不应不不小于1：10；根据审计规定，原始信息及审计成果需保存6个月-1年，因此，需支持磁盘阵列、NAS和SAN等多种存储方式，存储容量需达到7TB以上。5.1.3 系统安全需求权限划分需求：日记审计系统需要进行管理权限的划分，不同的管理员具有不同的管理权限，例如管理配备权限与审计操作权限分离，系统中不容许浮现超级顾客权限。登录安全需求：日

29、记审计系统在顾客登录上需要强身份鉴别功能以及鉴别失效解决机制。传播安全需求：日记审计系统各个组件之间的通讯合同必须支持身份认证与传播加密，保证数据在传播过程中不被泄漏、篡改、删除。存储安全需求：日记审计系统的后端数据库必须采用安全可靠的大型数据库，数据库的访问以及对日记审计系统的操作都要通过严格的身份鉴别，并对操作者的权限进行严格划分，保证数据存储安全。接口安全需求：日记审计系统各组件之间应当采用其厂商自身的，未公开并且成熟可靠的合同进行通信。日记审计平台与其她系统（网络设备、主机/服务器、应用系统、安全设备）的接口可采用原则的SNMP、Syslog等合同。5.1.4 系统接口需求我行日记审计

30、系统重要提供如下接口进行日记采集：1、Syslog方式，支持SYSLOG合同的设备，如：防火墙、UNIX服务器等；2、ODBC/JDBC方式，支持数据库联接的设备；3、SNMP Trap方式，支持SNMP合同的设备，如：互换机、路由器、网路安全设备等；4、XML方式，支持HTTP合同的设备；5、EventLog方式，支持Windows平台；6、特定接口方式，对于不支持通用合同的设备，需要定制开发，如：某网闸隔离系统；7、其她厂商内部专用合同。通过原则的接口，可以采集到网络设备、安全设备、主机系统、应用系统的多种类型日记：涉及登陆信息、登陆认证失败信息、应用程序启动信息、进程变化信息、违背防火墙

31、规则的网络行为、IDS检测到的所有入侵事件和IDS自身生成的多种日记等。日记信息的采集可以根据我行信息系统的现状进行实时传播或者定期传播。5.2数据库和网络审计系统需求5.2.1审计功能需求n 安全审计方略系统应容许使用者可以针对访问者、被保护对象、操作行为，访问源，事件类型等特性等制定具体的安全审计方略。方略制定方式应简朴灵活，既可以制定适应于批量对象的公共方略，也可以制定合用于单个被保护对象的具体方略。系统应提供行为所有记录的默认审计方略。审计记录应当反映出顾客的登录身份，登录操作时使用的主机或数据库账号信息。在建设身份认证和访问控制功能后，可以严禁或容许顾客使用某个主机或数据库账号进行登

32、录和操作。审计记录应当反映出顾客的登录身份，登录操作时使用的主机、网络设备或数据库账号信息。n 事件实时审计、告警、命令控制能灵活配备实时安全审计控制方略和预警参数，实时发现可疑操作（如操作系统rm命令、数据库drop、delete命令等），实时发出告警信息（向控制台发出告警信息、向管理员邮箱发送告警电子邮件、向管理员手机发出告警短消息、通过SNMP命令向日记审计系统、网管系统发出告警等）。n 行为审计功能根据制定的安全审计方略，系统应对访问者访问被保护对象的操作交互过程进行记录，并容许选择记录整个操作过程的上行、下行数据。系统应可以将审计记录重组为会话的能力。单个会话的所有操作行为应可以进行

33、回放。每一条审计记录应至少提供操作时间、访问者的身份信息、IP地址、被保护对象（主机名称、IP地址等）、操作内容、系统返回内容。审计记录成果要实现集中存储、集中管理、集中呈现。n 事件查询功能系统需要提供丰富的查询界面，可以通过数据库事件查询、Telnet事件查询、Ftp事件查询、事件会话关联查询、告警查询等不同的维度查询成果。并支持导出报表。n 审计信息的存储 审计信息规定安全存储，分级别进行管理，一般管理员无法修改删除。顾客登录认证及操作日记规定安全存储，一般管理员无法修改删除。系统应当提供灵活的审计信息存储方略，以应对大规模审计存储的规定；可以根据顾客登录身份、使用的主机或数据库账号来制

34、定审计信息存储方略。n 反复事件归并通过配备归并规则，系统可以对大批量的反复事件做统一归并，并记录归并次数。n 权限管理系统需要分管理员和审计员权限，审计员只能审计授权审计的系统的审计信息。5.2.2报表功能需求n 查询功能系统顾客应可按照时间段、访问者、主机或数据库账号、被保护对象、行为方式、行为特性等核心字进行精确或模糊匹配查询。 操作人员根据查询成果可以关联查看整个会话的内容。n 记录报表功能系统应提供完整的报表系统。系统应按照访问者、被保护对象、行为方式、操作内容（例如数据库表名称）等生成记录报表，并按照规定添加、修改报表数量、格式及内容，以满足安全审计的规定。5.2.3审计对象及兼容

35、性支持应当涉及（但不限于）：Telnet,ftp,SQL 等应用。操作系统支持：Unix,HP-UNIX ,Solaris 数据库支持：Oracle ,DB2,Infomix ,Mysql,Sqlserver应保证无漏掉等现象发生。5.2.4系统性能 系统应满足大数据量的审计规定。满足千兆骨干网络审计规定，无丢包、漏包现象发生； 系统应提供良好的查询能力； 系统应至少满足1年的审计数据在线存储的需求，并提供相应的离线备份机制，对于超过在线存储时限的审计数据应提供导入导出的机制。5.2.5审计完整性系统应能实现对所有访问者通过审计途径对现网内被保护对象的远程访问行为的审计，无漏掉、错报等现象的发

36、生。6安全审计综合管理平台建设方案6.1日记审计系统建设方案6.1.1 日记管理建议基于我行日记审计系统的建设目的，需要对我行信息系统中的网络设备、主机系统、应用系统、安全系统等进行日记采集，各采集对象的设备系统类型、采集的日记内容、采集方式及采集频率阐明如下：审计内容具体审计需求描述日记内容涉及拟采用的采集方式采集频率操作系统 Solaris AIX Linux HP-UNIX帐户登录注销、帐号权限变更、操作系统启动关闭、shell操作日记、SYSlOG日记。Agent方式；针对UNIX SYSLOG日记可通过syslog方式发送通过日记安全审计中心设立采集频率方略,建议1分钟采集一次 Wi

37、ndows server Windows server帐户登录注销、帐号权限变更、操作系统启动关闭、应用程序运营状态、系统文献和文献属性修改等Agent方式通过日记安全审计中心设立采集频率方略,建议1分钟采集一次安全设备 防火墙顾客登录、修改配备、收集到的袭击日记等等Syslog、SNMP Trap方式采集在安全设备上配备日记传播频率，建议1分钟采集一次网络设备 互换机 路由器等（CISCO、华为、华三等）。顾客登录、修改配备等Syslog、SNMP Trap方式采集在网络设备上配备日记传播频率，建议1分钟采集一次数据库 ORACLE SQL SERVER DB2 SYBASE Informi

38、x顾客登录、注销、数据查询、插入、数据修改、数据删除、修改配备等。通过部署旁路数据库审计硬件设备,采用镜像等方式获取数据库访问的网络报文流量，从而实现针对多种数据库顾客的操作命令级审计。该采集方式不会对数据库的运营、访问产生影响通过日记安全审计中心设立数据库审计日记采集频率方略，建议1分钟采集一次应用系统Web server、Email server、Domino等应用系统；在实际项目中，还需要收集业务系统日记。Web server重要涉及： WebSphere Apache WebLogic Microsoft IIS等顾客登录、修改配备、应用层的操作等Agent方式、Syslog、SNMP

39、 Trap、ODBC/JDBC方式通过日记安全审计中心设立数据库审计日记采集频率方略，建议1分钟采集一次6.1.2 日记审计系统整体架构我行日记审计系统整体架构图如下：整体架构图阐明：我行日记审计系统为软件架构，由采集服务器、管理服务器、数据库服务器三大部分构成。对被审计对象进行必要的设立或安装采集代理，即可实现对整个系统的综合审计；我行日记审计系统采用Browser/Server/DataBase三层架构，管理人员无需安装任何客户端即可登录到日记审计系统进行审计管理操作。我行日记审计系统功能构造图如下：功能构造图阐明：我行日记审计系统将涉及日记采集、日记存储、日记分析、系统管理、综合显示等功

40、能模块，这些功能模块将有效满足我行针对日记审计系统多种功能需求。6.1.3 日记采集实现方式6.1.3.1 系统支持的原则接口和合同1、Syslog方式，支持SYSLOG合同的设备，如：防火墙、UNIX服务器等；2、ODBC/JDBC方式，支持数据库联接的设备；3、SNMP Trap方式，支持SNMP合同的设备，如：互换机、路由器、网路安全设备等；4、XML方式，支持HTTP合同的设备；5、EventLog方式，支持Windows平台；6、特定接口方式，对于不支持通用合同的设备，需要定制开发，如：某网闸隔离系统。7、其她厂商内部专用合同。Syslog和SNMP Trap方式作为最常用、老式的方

41、式，被大部分设备厂商和日记审计系统所采用，建议我行采用这两种方式进行日记采集。Syslog和SNMP Trap方式作为最成熟的网络合同，已经广泛应用在网络设备、安全设备等设备之上，用来传播多种日记信息，对系统自身影响很小。8、数据库日记审计数据库自身日记功能启动状况下，可通过ODBC方式收集数据库日记，但是在数据库日记量较大的状况下，数据库系统自身启动日记审计功能会带给系统较大的承当，不建议采用该方式收集数据库日记。为了保证数据库的性能、稳定性，建议采用国内已较为成熟的数据库审计技术，通过在网络部署专门的旁路数据库审计硬件设备,采用镜像等方式获取数据库访问的网络报文流量，实现针对多种数据库顾客

42、的操作命令级审计。该采集方式不会对数据库的运营、访问产生任何影响，并且具有更强的实时性，是比较抱负的数据库日记审计的实现方式。6.1.3.2 采集对象日记采集实现方式采集对象需支持通过安装审计代理程序或修改系统配备来进行日记的采集，通过日记收集方略定制来启动与关闭各系统的日记采集功能及拟定应采集的日记的种类。为了保证被监控系统的保密性，原则上被监控系统要积极向日记审计系统发送自身生成的日记信息，日记审计系统尽量的不积极访问被监控对象。6.1.4 日记原则化实现方式 由于日记采集模块收集到多种类型的日记，而这些日记定义的格式和内容不尽相似，日记原则化将不同的数据格式转换成原则的数据格式并存储，为

43、上层应用提供数据支持。由于不同的设备，对事件的严重限度定义及侧重点不尽相似，不利于根据统一的安全方略进行解决。日记原则化将按照日记来源类型、事件类别、事件级别等也许的条件及条件的组合对事件严重级别进行重定义，便于日记分析模块的分析解决。下面是日记信息原则化规定：日记事件信息的原则化字段涉及事件编号信息（此字段信息应全局唯一，作为标记事件的主键）、事件名称、事件原始时间、事件采集时间、事件内容、事件类型、事件源地址、事件目的地址、事件源端口、事件目的端口、事件原始级别、事件原则化后的级别、事件采集来源、事件波及合同、会话信息等。我行日记审计系统对于此后新增长的被审计对象（如新增的应用系统），将使

44、用原则的Syslog或SNMP合同作为其日记形式和接口，并协调日记审计系统厂商与新系统厂商提供技术方面的支持。新增的被审计对象，必须能满足如下条件：1）提供原则的Syslog或SNMP接口；2）被审计对象需要提供具体的日记信息，涉及：登陆信息、状态信息、根据自身业务逻辑产生的数据等；3）日记事件信息的原则化字段涉及事件编号信息（此字段信息应全局唯一，作为标记事件的主键）、事件名称、事件原始时间、事件采集时间、事件内容、事件类型、事件源地址、事件目的地址、事件源端口、事件目的端口、事件原始级别、事件原则化后的级别、事件采集来源、事件波及合同、会话信息等；4）如果是应用系统日记，应当涉及顾客信息，

45、对于应用系统日记其级别的定义变得极其重要；5）提供设备所能产生的所有类型的日记样本；6）提供所有日记类型中的字段的阐明（特别是数值与相应内容的对照表）以及相应文档；6.1.5 日记存储实现方式我行日记审计系统将采用DB2或MS SQL Server 数据库作为日记审计系统的在线存储方式，根据审计规定，原始信息及审计成果需提供压缩存储，文献存储压缩比一般不应不不小于1：10；并保存6个月1年以上，系统需支持磁盘阵列柜以及SAN、NAS等存储方式，存储容量需达到7TB以上。除了在线存储方式外还将支持磁带机作为离线存储藏份方式，离线数据可以通过导入到目前库不同的表中进行查询和分析，以避免对目前数据导

46、致不利的影响。6.1.6 日记关联分析我行日记审计系统将提供多种关联分析措施，涉及：相似源IP的事件关联分析、相似目的IP的事件关联分析、相似事件类型的关联分析以及基于规则的事件关联分析、记录关联分析和漏洞关联分析（需要采用脆弱性模块）。通过关联分析可以更加精确地定义和定位安全事件。相似源IP的事件关联分析：一般用于对主机终端的活动进行分析审计，它把相似源IP地址所产生的事件按照时间顺序一一列出，协助管理人员对该IP地址所进行的各项操作行为进行分析和审计，从而对其操作行为的目的性进行分析。相似目的IP的事件关联分析：一般用于对服务器被访问和操作的活动进行分析和审计，它把相似目的IP地址所产生的

47、事件按照时间顺序一一列出，协助管理人员对该IP地址被访问的活动进行分析和审计，从而发现内部人员对服务器所进行非授权或可疑的操作。相似事件类型的事件关联分析：一般用于对特定事件的影响范畴进行分析，它把所发生的相似事件类型的按照时间顺序一一列出，协助管理人员对事件的波及面进行分析和审计。基于规则的事件关联分析：是把多种安全事件按照时间的先后序列与时间间隔进行检测，判断事件之间的互相关系与否符合预定义的规则，从而触发分析总结出来的关联分析后事件。记录关联分析：是顾客通过定义一定期间内发生的符合条件的事件量达到规定量，从而触发关联事件。所有可以发送日记信息的IT基本设施都可以做关联分析，通过关联分析可

48、以及时发现IT基本设施潜在风险。6.1.7 安全事件报警我行日记审计系统将提供实时屏幕显示、电子邮件、工作任务单、入库（和短信）等报警方式；可以调节实时报警的排序方式；可以定义实时报警的显示内容，显示内容涉及：l 发生的时间l 来源l 事件类型l 主体l 描述和成果（成功、失败或待验证等）；可以调节实时报警方略，并且显示的内容与目前顾客的管理角色有关联。可提供事件的上报机制，通过方略的设立明确哪些类型（如泄密事件、安全运营事件）、哪些级别（高、中高、中、中低、低档别以上）的安全事件需要随时上报。6.1.8 日记报表我行日记审计系统可提供的报表涉及如下种类： 事件信息报表提供事件分布报表，按照不

49、同事件类别提供各类事件的趋势报表。 综合分析与预警报表综合安全风险分析的报表，提供风险查询报表，可以根据资产、域、趋势等进行分类输出，涉及分析数据分布范畴、受影响的系统、也许的严重限度等。 响应过程报表提供响应模块发生的响应事件的记录报表，按照响应事件的紧急限度、响应对象、响应人员分类列表。 综合显示报表提供综合显示模块的实时截屏报表，涉及列表显示报表输出、拓扑安全信息报表输出、电子地图安全信息报表输出。 平台自身日记报表提供平台自身日记的报表，涉及访问人、访问次数、访问时间等。可以按照审计对象呈现日记信息。报表输出格式可转换为PDF 、HTML、RTF、CSV等多种常用的原则格式，我行顾客可

50、自定义报表。6.1.9系统管理我行日记审计系统设有顾客管理员、系统管理员、安全管理员和安全审计员四种操作和管理角色，每种操作管理角色中又可安排多种操作管理顾客，在系统中不存在超级顾客。通过角色的划分并予以角色相应的授权实现了系统管理员、安全管理员和安全审计员的三权分立。顾客管理员权限：顾客管理员负责对顾客、顾客组进行管理，涉及建立、维护和删除顾客组，并将顾客分派到相应的顾客组中。顾客管理员不参与综合审计系统的各项具体操作。系统管理员权限：系统管理员负责设定各个顾客组的管理和操作权限，涉及管理区域范畴、管理的设备和对象、各项管理功能（如方略制定、关联分析、审计查询、审计报表、数据备份等）的操作权

51、限等，权限控制分为“完全控制”、“读取”、“写入”、“更改”、“删除”几类。系统管理员不参与综合审计系统的各项具体操作。安全管理员权限：安全管理员负责在权限许可的范畴内运用日记审计系统开展各项安全审计和管理操作。安全管理员的操作进行通过系统审计日记记录下来，以备审计管理员对安全管理员的各项管理操作进行审计。安全审计员权限：审计管理员仅具有对顾客管理员、系统管理员、安全管理员所从事的各项安全管理操作进行审计的权限，涉及顾客登录注销、新增、修改、删除顾客或顾客组等功能。6.1.10 系统接口规范我行日记审计系统的接口规范为原则合同：Syslog、SNMP。被监控对象通过Syslog、SNMP合同积

52、极把自身的日记信息发送到日记审计系统。日记审计系统要对外提供如下接口：Windows EventLog：可以通过该接口采集Windows主机的日记信息。Syslog：通过该接口可以采集网络设备、安全设备、主机系统等日记信息。SNMP：通过该接口可以采集网络设备、安全设备、主机系统等日记信息。OPSEC：通过该接口可以采集nokia、checkpoint的日记信息。XML：通过该接口可以采集漏洞扫描系统的扫描成果。ODBC：通过该接口可以采集数据库的日记信息。读文献：通过该接口可以采集ftp、DNS等应用系统的日记信息。日记审计系统自身会有简朴的资产管理功能，如果我行没有与既有资产管理系统进行数

53、据同步的规定，不需要和既有的资产管理系统进行整合。如果规定做到和既有的资产管理系统整合，需要通过定制开发实现。与第三方的资产管理系统进行整合需要定制开发。6.2数据库和网络审计系统建设方案6.2.1数据库和网络行为综合审计6.2.1.1实时记录监控管理人员可以通过实时记录功能清晰地看到网内部告警事件、活动会话（Active Session），以及对被保护对象的访问状况。实时记录功能可以记录近来5分钟的数据，及时地反映出网络内部的动态。在实时记录中，顾客可以实时的查看目前活动对象、目前活动会话等的事件列表。顾客点击某个活动会话，即可看到目前会话中顾客登录、操作、注销指令执行及其返回成果的全过程。

54、6.2.1.2事件查询事件查询为顾客提供了历史事件查询的手段。顾客可以指定复杂的查询条件，迅速检索到需要的事件信息，从而协助管理员进行计算机取证分析，收集外部访问或者内部违规的证据。事件查询细分为综合事件查询，数据库事件查询，主机事件查询，Ftp事件查询。针对不同类别的查询，系统精心地为顾客提供了不同的查询条件组合，以便顾客找到自己需要的信息。顾客可以指定的查询条件涉及：审计类型、事件接受时间、事件级别、源地址、目的地址、顾客名、方略名、会话ID（SessionID）等。6.2.1.3趋势分析可以进行事件访问的趋势分析，对近来一段时间的事件进行记录分析，并描绘趋势曲线。这样，系统监控管理员可以

55、清晰的看到近来一段时间内部的的事件走向，并且可以清晰地看到敏感时间内什么人对什么样的保护对象进行过访问，以及访问了保护对象的什么资源。针对不同的审计类型，产品提供不同的趋势分析，系统监控人员可以根据需要查看不同的趋势分析。6.2.2审计方略审计方略是为审计功能服务的，它为系统提供数据包采集引擎所需的方略配备，对通过引擎的数据包进行基于审计方略的过滤，将符合审计方略的数据包提取出来、产生安全事件，然后再对安全事件进行审计分析。同步，审计方略也决定了审计的颗粒度，顾客可以通过对审计方略的设定来决定审计的多种细节。系统可以根据顾客规定自由组织审计方略，提供便捷的添加、修改、删除、导入、导出、启用和禁

56、用等功能。可以将针对同一业务的不同方面的审计方略选项集中到一条审计方略中进行配备，这样顾客无需切换页面和进行复杂的选项配备，简化了顾客操作，同步并未减少需要配备的审计对象的元素。在方略配备中，顾客可以从各类合同中提取出公共部分进行统一配备，各类合同的私有部分再根据不同的细节进行相应的配备，从而避免了反复配备，减轻了顾客的审计配备工作量。方略配备内容：审计类型行为采集响应主机1登录2注销3一般操作1所有：审计所有内容2访问文献名称核心字过滤1记录2阻断数据库1顾客行为2数据定义3数据操作4数据控制5其她1所有：审计所有内容2、核心字过滤（可以细化到库、表、记录、顾客、存储过程、函数等）1记录2阻

57、断FTP1登录2注销3一般操作1所有2、文献/目录名称核心字过滤1记录2阻断6.2.3审计内容6.2.3.1主机审计主机审计功能可审计VNC、Telnet、网上邻居和定制的主机合同的登录、注销和一般操作等行为。顾客可以在业务综合审计中单独查看主机审计的实时记录信息和趋势分析；可以定义专门的主机审计方略；可以在报表管理中单独查看与主机审计有关的报表报告。6.2.3.2数据库审计数据库审计功能可审计涉及各个平台（Windows、Linux、Solaris、AIX）和版本的SQL Server、Oracle等在内的数据库的DDL，DML，DCL和其他操作等行为。操作行为内容和描述顾客行为数据库顾客的

58、登录、注销数据定义语言（DDL）操作CREATE，ALTER，DROP等创立、修改或者删除数据库对象（表、索引、视图、存储过程、触发器、域，等等）的SQL指令数据操作语言（DML）操作SELECT，DELETE，UPDATE，INSERT等用于检索或者修改数据的SQL指令数据控制语言（DCL）操作GRANT，REVOKE等定义数据库顾客的权限的SQL指令其他操作涉及EXECUTE、COMMIT、ROLLBACK等事务操作指令数据库审计的内容可以细化到库、表、记录、顾客、存储过程、函数。顾客可以在业务综合审计中单独查看数据库审计的实时记录信息和趋势分析；可以定义专门的数据库审计方略；可以在报表管

59、理中单独查看与数据库审计有关的报表报告。6.2.3.3FTP审计FTP审计功能可审计FTP合同的登录、注销和一般操作等行为，可以审计FTP操作的文献/目录名称。顾客可以在业务综合审计中单独查看FTP审计的实时记录信息和趋势分析；可以定义专门的FTP审计方略；可以在报表管理中单独查看与FTP审计有关的报表报告。6.2.3.4流量审计系统实时监测顾客网络七层构造中各层的流量分布，进行合同、流量的综合分析，从而可以根据业务网需要变化网络状况。在流量分析中，重要以报表的形式形象地展示网络中的状况。流量审计功能可以审计从三层到七层合同的流量，可以审计20种以上的应用层合同，涉及IM、P2P、HTTP、P

60、OP3、SMTP等。流量审计的内容涉及数据包分布审计、流量分布审计、应用合同流量审计、端口流量审计，顾客可以进行基本流量信息查看、合同分析、会话分析、节点分析。基本信息重要分析了数据包在网络中的分布状况，例如多播、广播、点播包的分布，不同大小的包分布，等等。还波及了数据流量在不同步段的分布状况。合同分析重要体现了网络中IP层和应用层的流量分布，还涉及不同端口的流量分布，等等。会话分析描述了活动会话（Session）的状况。节点分析中重要是网络中各个节点（涉及主机、无IP设备）在网络中的应用层和IP层中的流量分布，并对单个节点的流量状况进行了具体的分析，涉及单个节点的基本网络信息，以及流量时段分

61、布、合同和应用合同的具体分布。6.2.4告警与响应管理在事件分析引擎的驱动下，根据告警规则，针对符合规则的安全事件进行实时分析，抽取出对于安全管理人员真正有用的安全信息，从而协助安全管理人员迅速辨认安全事故，进行安全审计。告警规则应具有如下特性： 规则分为系统预定义规则和顾客自定义规则两大类 顾客在制定规则的时候，既可以设定告警的触发条件，也可以设定触发告警后的自动响应动作 修订告警规则无需重启系统或者某个模块，规则一旦被应用立即生效 规则编写支持多种运算符在审计出安全事件并告警后，监控管理人员可以及时进行响应解决（发送邮件、SNMP Trap、执行程序脚本、设备联动，等等）。6.2.5报表管

62、理安全管理人员可以将网络行为审计的成果生成报表，作为工作内容报告的一部分提交给有关部门。报表可以导出为多种格式，例如PDF、Excel、XML、RTF，等等。报表运营还可以进行调度，定期自动产生周报、月报，并通过邮件发送给指定接受人。7系统部署方案7.1 安全审计综合管理平台系统部署方案部署构造图如下：部署图阐明如下：（1）在业务系统的主机操作系统部署Agent，采集操作系统的日记信息。（2）外网各网络设备、安全设备、操作系统、应用系统将日记通过系统接口发送给安全中心。（3）在外网管理区部署日记安全审计中心及存储藏份设备，负责集中收集各网络设备、安全设备、应用系统、业务系统的日记信息，进行日记

63、原则化及关联分析，发现告警安全事件；同步通过存储设备对日记进行定期存储藏份。（4）数据库和网络审计系统通过镜像的方式获取数据，高警信息发送给日记审计系统。7.2系统部署环境规定7.2.1日记审计系统1、服务器端 硬件环境解决器： Intel X86系列或兼容CPU最低PIV 2.0GHz或相称推荐Xeon 2.0GHz * 2或相称内 存：最低1GB，推荐2GB硬 盘：最低IDE 80G * 1，推荐SCSI 72GB * 2网 卡：最低10/100自适应网卡 * 1, 推荐双网卡推荐品牌：IBM、DELL、HP等 软件环境操作系统：1、Windows 、Windows XP、Windows Serve