《【財(cái)務(wù)管理內(nèi)部審計(jì) 】某銀行安全審計(jì)管理現(xiàn)狀》由會員分享，可在線閱讀，更多相關(guān)《【財(cái)務(wù)管理內(nèi)部審計(jì) 】某銀行安全審計(jì)管理現(xiàn)狀（18頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、 {財(cái)務(wù)管理內(nèi)部審計(jì)} 某銀行安全審計(jì)管理現(xiàn)狀 某銀行 安全審計(jì)綜合管理平臺建設(shè)方案 V1.2 二○○九年三月 目錄 1 背景 4 2 安全審計(jì)管理現(xiàn)狀 6 2.1 安全審計(jì)基本概念 6 2.2 總行金融信息管理中心安全審計(jì)管理現(xiàn)狀 9 2.2.1 日志審計(jì) 9 2.2.2 數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì) 11 2.3 我行安全審計(jì)管理辦法制定現(xiàn)狀 11 2.4 安全審計(jì)產(chǎn)品及應(yīng)用現(xiàn)狀 13 3 安全審計(jì)必要性 13 4 安全審計(jì)綜合管理平臺建設(shè)目標(biāo) 14 5 安全審計(jì)綜合管理平臺需求 16 5.1 日志審計(jì)系統(tǒng)需求 16 5.1.1 系統(tǒng)效用需求

2、 16 5.1.2 系統(tǒng)性能需求 19 5.1.3 系統(tǒng)安全需求 20 5.1.4 系統(tǒng)接口需求 21 5.2 數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)系統(tǒng)需求 22 5.2.1 審計(jì)效用需求 22 5.2.2 報(bào)表效用需求 23 5.2.3 審計(jì)對象及兼容性支持 24 5.2.4 系統(tǒng)性能 24 5.2.5 審計(jì)完整性 25 6 安全審計(jì)綜合管理平臺建設(shè)方案 25 6.1 日志審計(jì)系統(tǒng)建設(shè)方案 25 6.1.1 日志管理建議 25 6.1.2 日志審計(jì)系統(tǒng)整體架構(gòu) 26 6.1.3 日志采集實(shí)現(xiàn)方式 28 6.1.4 日志標(biāo)準(zhǔn)化實(shí)現(xiàn)方式 30 6.1.5 日志存儲實(shí)現(xiàn)方式 31 6

3、.1.6 日志關(guān)聯(lián)分析 32 6.1.7 安全事件報(bào)警 33 6.1.8 日志報(bào)表 34 6.1.9 系統(tǒng)管理 35 6.1.10 系統(tǒng)接口規(guī)范 36 6.2 數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)系統(tǒng)建設(shè)方案 37 6.2.1 數(shù)據(jù)庫和網(wǎng)絡(luò)行為綜合審計(jì) 37 6.2.2 審計(jì)策略 38 6.2.3 審計(jì)內(nèi)容 39 6.2.4 告警與響應(yīng)管理 42 6.2.5 報(bào)表管理 42 7 系統(tǒng)部署方案 43 7.1 安全審計(jì)綜合管理平臺系統(tǒng)部署方案 43 7.2 系統(tǒng)部署環(huán)境要求 44 7.2.1 日志審計(jì)系統(tǒng) 44 7.2.2 數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)系統(tǒng) 45 7.3 系統(tǒng)實(shí)施建

4、議 45 7.4 二次開發(fā) 46 1 背景 近年來,XX 銀行信息化建設(shè)得到快速發(fā)展,央行履行金融調(diào)控、金融穩(wěn)定、 金融市場和金融服務(wù)職能高度依賴于信息技術(shù)應(yīng)用,信息安全問題的全局性影響 作用日益增強(qiáng)。 目前,XX 銀行信息安全保障體系中安全系統(tǒng)建設(shè)已經(jīng)達(dá)到了一定的水平。 建設(shè)了非法外聯(lián)監(jiān)控管理系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)及補(bǔ) 丁分發(fā)系統(tǒng),為客戶端安全管理、網(wǎng)絡(luò)安全管理和系統(tǒng)安全管理提供了技術(shù)支撐 手段,有效提高了安全管理水平；完成制定《金融業(yè)星型網(wǎng)間互聯(lián)安全規(guī)范》金 融業(yè)行業(yè)標(biāo)準(zhǔn),完善內(nèi)聯(lián)網(wǎng)外聯(lián)防火墻系統(tǒng),確保 XX 銀行網(wǎng)絡(luò)邊界安全；制定 并下發(fā)《銀行

5、計(jì)算機(jī)機(jī)房規(guī)范化工作指引》,規(guī)范和加強(qiáng)機(jī)房環(huán)境安全管理。 信息安全審計(jì)技術(shù)是實(shí)現(xiàn)信息安全整個(gè)過程中關(guān)鍵記錄信息的監(jiān)控統(tǒng)計(jì),是 信息安全保障體系中不可缺少的一部分。隨著電子政務(wù)、電子商務(wù)以及各類網(wǎng)上 應(yīng)用的開展得到了普遍關(guān)注,并且在越來越多的大型網(wǎng)絡(luò)系統(tǒng)中已經(jīng)成功應(yīng)用并 發(fā)揮著重要作用,特別針對安全事故分析、追蹤起到了關(guān)鍵性作用。 傳統(tǒng)的安全審計(jì)系統(tǒng)局限于對主機(jī)的操作系統(tǒng)日志的收集和簡單分析,缺乏 對于多種平臺下（Windows 系列、Unix 系列、Solaris 等）、多種網(wǎng)絡(luò)設(shè)備、重 要服務(wù)器系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)綜合的安全審計(jì)效用。 隨著網(wǎng)絡(luò)規(guī)模的迅

6、速擴(kuò)大,單一式的安全審計(jì)技術(shù)逐步被分布式安全審計(jì)技 術(shù)所代替,加上各類應(yīng)用系統(tǒng)逐步增多,網(wǎng)絡(luò)管理人員/運(yùn)維人員工作量往往會成 倍增加,使得關(guān)鍵信息得不到重點(diǎn)關(guān)注。大量事實(shí)表明,對于安全事件發(fā)生或關(guān) 鍵數(shù)據(jù)遭到嚴(yán)重破壞之前完全可以預(yù)先通過日志異常行為告警方式通知管理人 員,及時(shí)進(jìn)行分析并采取相應(yīng)措施進(jìn)行有效阻止,從而大大降低安全事件的發(fā)生 率。 目前我行信息安全保障工作尚未有效開展安全審計(jì)工作,缺少事后審計(jì)的技 術(shù)支撐手段。當(dāng)前,信息安全審計(jì)作為保障信息系統(tǒng)安全的制度逐漸發(fā)展起來； 并已在對信息系統(tǒng)依賴性最高的金融業(yè)開始普及。信息安全審計(jì)的相關(guān)標(biāo)準(zhǔn)包括 ISO/IEC17799

7、、COSO、COBIT、ITIL、NISTSP800 等。這些標(biāo)準(zhǔn)從不同角度 提出信息安全控制體系,可以有效地控制信息安全風(fēng)險(xiǎn)。同時(shí),公安部發(fā)布的 《信息系統(tǒng)安全等級保護(hù)技術(shù)要求》中對安全審計(jì)提出明確的技術(shù)要求：審計(jì)范 圍覆蓋網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng),審計(jì)內(nèi)容包括各網(wǎng)絡(luò)設(shè)備運(yùn)行 狀況、系統(tǒng)資源的異常使用、重要用戶行為和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要 的安全相關(guān)事件。 為進(jìn)一步完善信息安全保障體系,2009 年立項(xiàng)建設(shè)安全審計(jì)系統(tǒng),不斷提 高安全管理水平。 2 安全審計(jì)管理現(xiàn)狀 2.1 安全審計(jì)基本概念 信息安全審計(jì)是企業(yè)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險(xiǎn)控制等的不可或

8、缺的關(guān) 鍵手段。信息安全審計(jì)能夠?yàn)榘踩芾韱T提供一組可進(jìn)行分析的管理數(shù)據(jù),以發(fā) 現(xiàn)在何處發(fā)生了違反安全方案的事件。利用安全審計(jì)結(jié)果,可調(diào)整安全策略,堵 住出現(xiàn)的漏洞。 美國信息系統(tǒng)審計(jì)的權(quán)威專家 RonWeber 又將它定義為收集并評估證據(jù)以 決定一個(gè)計(jì)算機(jī)系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成目標(biāo),同時(shí)最 經(jīng)濟(jì)的使用資源。根據(jù)在信息系統(tǒng)中需要進(jìn)行安全審計(jì)的對象與內(nèi)容,主要分為 日志審計(jì)、網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)。下面分別說明如下： 日志審計(jì)：日志可以作為責(zé)任認(rèn)定的依據(jù),也可作為系統(tǒng)運(yùn)行記錄集,對分 析系統(tǒng)運(yùn)行情況、排除故障、提高效率都發(fā)揮重要作用。日志審計(jì)是

9、安全審計(jì)針 對信息系統(tǒng)整體安全狀態(tài)監(jiān)測的基礎(chǔ)技術(shù),主要通過對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng) 用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫的集中日志采集、集中存儲和關(guān)聯(lián)分析,幫助管理員 及時(shí)發(fā)現(xiàn)信息系統(tǒng)的安全事件,同時(shí)當(dāng)遇到特殊安全事件和系統(tǒng)故障時(shí),確保日 志存在和不被篡改,幫助用戶快速定位追查取證。大量事實(shí)表明,對于安全事件 發(fā)生或關(guān)鍵數(shù)據(jù)遭到嚴(yán)重破壞之前完全可以預(yù)先通過日志審計(jì)進(jìn)行分析、告警并 及時(shí)采取相應(yīng)措施進(jìn)行有效阻止,從而大大降低安全事件的發(fā)生率。 數(shù)據(jù)庫審計(jì)：主要負(fù)責(zé)對數(shù)據(jù)庫的各種訪問操作進(jìn)行監(jiān)控；是安全審計(jì)對數(shù) 據(jù)庫進(jìn)行審計(jì)技術(shù)。它采用專門的硬件審計(jì)引擎,通過旁路部署采用鏡像等方式 獲取數(shù)據(jù)

10、庫訪問的網(wǎng)絡(luò)報(bào)文流量,實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)庫的所有訪問操作（如： 插入、刪除、更新、用戶自定義操作等）,還原 SQL 操作命令包括源 IP 地址、 目的 IP 地址、訪問時(shí)間、用戶名、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫表名、字段名等, 發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為,及時(shí)報(bào)警響應(yīng)、全過程操作還原,從而實(shí)現(xiàn)安全 事件的準(zhǔn)確全程跟蹤定位,全面保障數(shù)據(jù)庫系統(tǒng)安全。該采集方式不會對數(shù)據(jù)庫 的運(yùn)行、訪問產(chǎn)生任何影響,而且具有更強(qiáng)的實(shí)時(shí)性,是比較理想的數(shù)據(jù)庫日志 審計(jì)的實(shí)現(xiàn)方式。 網(wǎng)絡(luò)審計(jì)：主要負(fù)責(zé)網(wǎng)絡(luò)內(nèi)容與行為的審計(jì)；是安全審計(jì)對網(wǎng)絡(luò)通信的基礎(chǔ) 審計(jì)技術(shù)。它采用專門的網(wǎng)絡(luò)審計(jì)硬件引擎,安裝在網(wǎng)絡(luò)通信系統(tǒng)的

11、數(shù)據(jù)匯聚點(diǎn), 通過旁路抓取網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行典型契約分析、識別、判斷和記錄,Telnet、 HTTP、Email、FTP、網(wǎng)上聊天、文件共享、流量等的檢測分析等。 主機(jī)審計(jì)：主要負(fù)責(zé)對網(wǎng)絡(luò)重要區(qū)域的客戶機(jī)上的各種上網(wǎng)行為、文件拷貝 /打印操作、通過 Modem 擅自連接外網(wǎng)等進(jìn)行審計(jì)。 目前我行信息安全系統(tǒng)尚未有效開展安全審計(jì)工作,由于缺少對各網(wǎng)絡(luò)設(shè)備、 安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫的集中日志采集、集中存儲和關(guān)聯(lián)分析 等事后審計(jì)、追查取證的技術(shù)支撐手段,以至無法在遇到特殊安全事件和系統(tǒng)故障 時(shí)確保日志存在和不被篡改,同時(shí)對主機(jī)和數(shù)據(jù)庫的操作行為也沒有審計(jì)和管

12、理 的手段,不同有效對操作行為進(jìn)行審計(jì),防止誤操作和惡意行為的發(fā)生,因此我 行迫切需要盡快建設(shè)安全審計(jì)系統(tǒng)（包括日志審計(jì)、數(shù)據(jù)庫審計(jì)、網(wǎng)絡(luò)審計(jì)）, 確保我行信息系統(tǒng)安全。 2.2 我行金融信息管理中心安全審計(jì)管理現(xiàn)狀 2.2.1 日志審計(jì) 作為數(shù)據(jù)中心的運(yùn)維部門,負(fù)責(zé)運(yùn)維內(nèi)聯(lián)網(wǎng)總行局域網(wǎng)、總行機(jī)關(guān)辦公自動 化系統(tǒng)及貨幣發(fā)行信息管理系統(tǒng)、國庫信息處理系統(tǒng)等重要業(yè)務(wù)系統(tǒng),保障信息 系統(tǒng) IT 基礎(chǔ)設(shè)施的安全運(yùn)行。為更好地制定日志審計(jì)系統(tǒng)建設(shè)方案,開展了金融 信息管理中心日志管理現(xiàn)狀調(diào)研工作,調(diào)研內(nèi)容包括設(shè)備/系統(tǒng)配置哪些日志信息、 日志信息包括哪些屬性、日志采集所支持的契約/接

13、口、日志存儲方式及日志管理 現(xiàn)狀,金融信息管理中心日志管理現(xiàn)狀調(diào)查表詳見附件。通過分析日志管理現(xiàn)狀 調(diào)查表,將有關(guān)情況說明如下： 一、日志內(nèi)容。網(wǎng)絡(luò)設(shè)備（包括交換機(jī)和路由器）、安全設(shè)備（包括防火墻、 入侵檢測設(shè)備、防病毒管理系統(tǒng)和補(bǔ)丁分發(fā)系統(tǒng)）、辦公自動化系統(tǒng)和重要業(yè)務(wù) 系統(tǒng)均配置一定的日志信息,其中每類設(shè)備具有一定的日志配置規(guī)范,應(yīng)用系統(tǒng) （辦公自動化系統(tǒng)和重要業(yè)務(wù)系統(tǒng)）的日志內(nèi)容差異較大,數(shù)據(jù)庫和中間件僅配 置“進(jìn)程是否正常”的日志信息。 二、日志格式。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備根據(jù)廠商的不同,其日志格式也不 同,無統(tǒng)一的日志格式；應(yīng)用系統(tǒng)根據(jù)系統(tǒng)平臺的不同,其日志格式也不同

14、,無 統(tǒng)一的日志格式。 三、日志采集契約/接口。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備支持 SNMPTrap 和 Syslog 契約,應(yīng)用系統(tǒng)主要支持 TCP/IP 契約,個(gè)別應(yīng)用系統(tǒng)自定義了日志采集 方式。 四、日志存儲方式。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備日志信息集中存儲在日志服務(wù) 器中,其他設(shè)備/系統(tǒng)日志均存儲在本地主機(jī)上。日志信息以文本文件、關(guān)系型數(shù) 據(jù)庫文件、Domino 數(shù)據(jù)庫文件和 XML 文件等方式進(jìn)行存儲。 五、日志管理方式。主要為分散管理,且無日志管理規(guī)范。在系統(tǒng)/設(shè)備出現(xiàn) 故障時(shí),日志信息是定位故障,解決故障的主要依據(jù)。 據(jù)了解,為加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行情況的監(jiān)控

15、,金融信息管理中心通過采集 交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備的日志信息,實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備日志信息的集中管理,及 時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備運(yùn)行中出現(xiàn)的問題。 通過上述現(xiàn)狀的分析,目前日志管理存在如下問題： 1、不同系統(tǒng)/設(shè)備的日志信息分散存儲,日志信息被非法刪除,導(dǎo)致安全事 故處置工作無法追查取證。 2、在系統(tǒng)發(fā)生故障后,才去通過日志信息定位故障,導(dǎo)致系統(tǒng)安全運(yùn)行工 作存在一定的被動性,應(yīng)主動地在日志信息中及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行存在的隱患,提 高系統(tǒng)運(yùn)行安全管理水平。 3、隨著我行信息化工作的不斷深入,系統(tǒng)運(yùn)維工作壓力的不斷加大,如不 及時(shí)規(guī)范日志信息管理,信管中心將逐步面臨運(yùn)維的設(shè)備多、人員少的問題,

16、不 能及時(shí)準(zhǔn)確把握運(yùn)維工作的重點(diǎn)。 在目前日志信息管理基礎(chǔ)上,若簡單加強(qiáng)日志信息管理,仍存在如下問題： 1、通過系統(tǒng)/設(shè)備各自的控制臺去查看事件,窗口繁多,而且所有的事件都 是孤立的,不同系統(tǒng)/設(shè)備之間的事件缺乏關(guān)聯(lián),分析起來極為麻煩,無法弄清楚 真實(shí)的狀況。 2、不同系統(tǒng)/設(shè)備對同一個(gè)事件的描述可能是不同的,管理人員需了解各系 統(tǒng)/設(shè)備,分析各種不同格式的信息,導(dǎo)致管理人員的工作非常繁重,效率低。 3、海量日志信息不但無法幫助找出真正的問題,反而因?yàn)樘喽斐蔁o法 管理,并且不同系統(tǒng)/設(shè)備可能產(chǎn)生不同的日志信息格式,無法做到快速識別和響 應(yīng)。 2.2.2

17、 數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì) 目前我行沒有實(shí)現(xiàn)對數(shù)據(jù)庫操作和網(wǎng)絡(luò)操作行為的審計(jì)。對系統(tǒng)的后臺操作 人員的遠(yuǎn)程登錄主機(jī)、數(shù)據(jù)庫的操作行為無法進(jìn)行記錄、審計(jì),難以防止系統(tǒng)濫 用、泄密等問題的發(fā)生。 2.3 我行安全審計(jì)管理辦法制定現(xiàn)狀 在《銀行信息安全管理規(guī)定》提出如下安全審計(jì)要求： ? 第一百三十九條各單位科技部門在支持與配合內(nèi)審部門開展審計(jì)信息安 全工作的同時(shí),應(yīng)適時(shí)開展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安 全事件全過程的技術(shù)審計(jì),發(fā)現(xiàn)問題及時(shí)報(bào)本單位或上一級單位主管領(lǐng)導(dǎo)。 ? 第一百四十條各單位應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計(jì)效用配置 管理,應(yīng)完整保留相關(guān)日志記錄,一般保

18、留至少一個(gè)月,涉及資金交易的業(yè) 務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時(shí)間。 在《銀行信息系統(tǒng)安全配置指引-數(shù)據(jù)庫分冊》提出如下安全審計(jì)要求： ? 應(yīng)配置審計(jì)日志,并定期查看、清理日志。 ? 審計(jì)內(nèi)容包括創(chuàng)建、修改或刪除數(shù)據(jù)庫帳戶、數(shù)據(jù)庫對象、數(shù)據(jù)庫表、 數(shù)據(jù)庫索引的行為；允許或者撤銷審計(jì)效用的行為；授予或者取消數(shù)據(jù)庫系 統(tǒng)級別權(quán)限的行為；任何因?yàn)閰⒖紝ο蟛淮嬖诙腻e(cuò)誤信息；任何改變數(shù) 據(jù)庫對象名稱的動作；任何對數(shù)據(jù)庫 Dictionary 或者數(shù)據(jù)庫系統(tǒng)配置的改變； 所有數(shù)據(jù)庫連接失敗的記錄；所有 DBA 的數(shù)據(jù)庫連接記錄；所有數(shù)據(jù)庫用 戶帳戶升級和刪除操作的審計(jì)跟蹤信息。 ?

19、審計(jì)數(shù)據(jù)應(yīng)被保存為分析程序或者腳下本可讀的格式,時(shí)間期限是一年。 所有刪除審計(jì)數(shù)據(jù)的操作,都應(yīng)在動態(tài)查帳索引中保留記錄。 ? 只有 DBA 或者安全審核員有權(quán)限選擇、添加、刪除或者修改、停用審 計(jì)信息。 上述安全審計(jì)管理要求為開展日志審計(jì)系統(tǒng)建設(shè)提供了制度保障。 2.4 安全審計(jì)產(chǎn)品及應(yīng)用現(xiàn)狀 目前市場上安全審計(jì)產(chǎn)品按審計(jì)類型也有很多產(chǎn)品,日志審計(jì)以 SIM 類產(chǎn)品 為主,也叫安全信息和事件管理（SIEM）,是安全管理領(lǐng)域發(fā)展的方向。SIM 是一個(gè)全面的、面向 IT 計(jì)算環(huán)境的安全集中管理平臺,這個(gè)平臺能夠收集來自計(jì) 算環(huán)境中各種設(shè)備和應(yīng)用的安全日志和事件,并

20、進(jìn)行存儲、監(jiān)控、分析、報(bào)警、 響應(yīng)和報(bào)告,變過去被動的單點(diǎn)防御為全網(wǎng)的綜合防御。 由于日志審計(jì)對安全廠商的技術(shù)開發(fā)能力有較高要求,國內(nèi)一些較有實(shí)力的 安全廠商能夠提供較為成熟的日志審計(jì)產(chǎn)品。目前,日志審計(jì)產(chǎn)品已在政府、運(yùn) 營商、金融、民航等行業(yè)廣泛成功應(yīng)用。 針對數(shù)據(jù)庫和網(wǎng)絡(luò)行為審計(jì)產(chǎn)品,國內(nèi)也有多個(gè)廠家有比較成熟的產(chǎn)品,在 很多行業(yè)都有應(yīng)用。 3 安全審計(jì)必要性 通過安全審計(jì)系統(tǒng)建設(shè),落實(shí)信息系統(tǒng)安全等級保護(hù)基本技術(shù)和管理要求中 有關(guān)安全審計(jì)控制點(diǎn)及日志和事件存儲的要求,積累信息系統(tǒng)安全等級保護(hù)工作 經(jīng)驗(yàn)。 通過綜合安全審計(jì)平臺的建設(shè),進(jìn)一步完善我行信息安全保障體系,改

21、變事 中及事后安全基礎(chǔ)設(shè)施建設(shè)較弱的現(xiàn)狀；為信息安全管理規(guī)定落實(shí)情況檢查提供 技術(shù)支撐手段,不斷完善信息安全管理辦法,提高信息安全管理水平； 通過綜合安全審計(jì)平臺,實(shí)現(xiàn)信息系統(tǒng) IT 基礎(chǔ)設(shè)施日志信息的集中管理,全 面掌握 IT 基礎(chǔ)設(shè)施運(yùn)行過程中出現(xiàn)的隱患,通過安全事件報(bào)警和日志報(bào)表的方式, 在運(yùn)維人員有限的條件下,有效地把握運(yùn)維工作的重點(diǎn),進(jìn)一步增強(qiáng)系統(tǒng)安全運(yùn) 維工作的主動性,更好地保障系統(tǒng)的正常運(yùn)行。同時(shí),有效規(guī)避日志信息分散存 儲存在的非法刪除風(fēng)險(xiǎn),確保安全事故處置的取證工作。 通過綜合安全審計(jì)平臺的建設(shè),規(guī)范我行安全審計(jì)管理工作,指導(dǎo)今后信息 化項(xiàng)目

22、建設(shè),系統(tǒng)也為安全審計(jì)管理規(guī)范的實(shí)現(xiàn)提供了有效的技術(shù)支撐平臺。 4 安全審計(jì)綜合管理平臺建設(shè)目標(biāo) 根據(jù)總行金融信息管理中心日志管理工作現(xiàn)狀及存在的問題,結(jié)合日志審計(jì) 系統(tǒng)建成后的預(yù)期收益,現(xiàn)將系統(tǒng)建設(shè)目標(biāo)說明如下： ? 海量日志數(shù)據(jù)的標(biāo)準(zhǔn)化集中管理。 根據(jù)即定采集策略,采集信息系統(tǒng) IT 基礎(chǔ)設(shè)施日志信息,規(guī)范日志信息格式, 實(shí)現(xiàn)海量日志數(shù)據(jù)的標(biāo)準(zhǔn)化集中存儲,同時(shí)保存日志信息的原始數(shù)據(jù),規(guī)避日志 信息被非法刪除而帶來的安全事故處置工作無法追查取證的風(fēng)險(xiǎn)；加強(qiáng)海量日志 數(shù)據(jù)集中管理,特別歷史日志數(shù)據(jù)的管理。 ? 系統(tǒng)運(yùn)行風(fēng)險(xiǎn)及時(shí)報(bào)警與報(bào)表管理 基于標(biāo)準(zhǔn)化的日志數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析

23、,及時(shí)發(fā)現(xiàn)信息系統(tǒng) IT 基礎(chǔ)設(shè)施運(yùn)行過 程中存在的安全隱患,并根據(jù)策略進(jìn)行及時(shí)報(bào)警,為運(yùn)維人員主動保障系統(tǒng)安全 運(yùn)行工作提供有效的技術(shù)支撐；實(shí)現(xiàn)安全隱患的報(bào)表管理,更好地支持系統(tǒng)運(yùn)行 安全管理工作。 ? 為落實(shí)有關(guān)信息安全管理規(guī)定提供技術(shù)支撐 利用安全審計(jì)結(jié)果可以評估信息安全管理規(guī)定的落實(shí)情況,發(fā)現(xiàn)信息安全管 理辦法存在的問題,為完善信息安全管理辦法提供依據(jù),持續(xù)改進(jìn),進(jìn)一步提高 安全管理水平。 ? 規(guī)范信息系統(tǒng)日志信息管理。 根據(jù)日志管理工作現(xiàn)狀,提出信息系統(tǒng)日志信息管理規(guī)范,明確信息系統(tǒng) IT 基礎(chǔ)設(shè)施日志配置基本要求、日志內(nèi)容基本要求等,一方面確保日志審計(jì)系統(tǒng)建

24、設(shè)實(shí)現(xiàn)即定目標(biāo)；另一方面指導(dǎo)今后信息化項(xiàng)目建設(shè),完善信息安全管理制度體 系,進(jìn)一步提高安全管理水平。 ? 實(shí)現(xiàn)對我行各業(yè)務(wù)系統(tǒng)主機(jī)、數(shù)據(jù)庫行為審計(jì)。 對各業(yè)務(wù)系統(tǒng)的主機(jī)、數(shù)據(jù)庫行為的審計(jì),主要是在不影響業(yè)務(wù)系統(tǒng)正常運(yùn) 行的前提下,通過網(wǎng)絡(luò)鏡像流量的方式輔以獨(dú)立日志分析等其它方式對用戶行為 進(jìn)行隱蔽監(jiān)視,對用戶訪問業(yè)務(wù)系統(tǒng)的行為進(jìn)行審計(jì),對用戶危險(xiǎn)行為進(jìn)行告警 并在必要時(shí)進(jìn)行阻斷,對事后發(fā)現(xiàn)的安全事件進(jìn)行會話回放,進(jìn)行網(wǎng)絡(luò)通訊取證。 5 安全審計(jì)綜合管理平臺需求 5.1 日志審計(jì)系統(tǒng)需求 5.1.1 系統(tǒng)效用需求 5.1.1.1 日志采集效用需求 ? 采集范

25、圍 日志審計(jì)系統(tǒng)需要對我行信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、安 全系統(tǒng)及其他系統(tǒng)（如網(wǎng)絡(luò)管理系統(tǒng)、存儲設(shè)備等）進(jìn)行日志采集。 數(shù)據(jù)庫是我行數(shù)據(jù)管理的基礎(chǔ),任何數(shù)據(jù)泄漏、篡改、刪除都會對稅務(wù)的整 體數(shù)據(jù)造成嚴(yán)重?fù)p失。數(shù)據(jù)庫審計(jì)是安全管理工作中的一個(gè)重要組成部分,通過 對數(shù)據(jù)庫的“信息活動”實(shí)時(shí)地進(jìn)行監(jiān)測審計(jì),使管理者對數(shù)據(jù)庫的“信息活動”一目 了然,能夠及時(shí)掌握數(shù)據(jù)庫服務(wù)器的應(yīng)用情況,及時(shí)發(fā)現(xiàn)客戶端的使用問題,存 在著哪些安全威脅或隱患并予以糾正,預(yù)防應(yīng)用安全事件的發(fā)生,即便發(fā)生了也 能夠可以快速查證并追根尋源。雖然數(shù)據(jù)庫系統(tǒng)本身能夠提供日志審計(jì)效用,但 是數(shù)據(jù)庫系統(tǒng)自

26、身開啟日志審計(jì)效用會帶給系統(tǒng)較大的負(fù)擔(dān)。為了保證數(shù)據(jù)庫的 性能、穩(wěn)定性,建議采用國內(nèi)已較為成熟的數(shù)據(jù)庫審計(jì)技術(shù),通過在網(wǎng)絡(luò)部署專 門的旁路數(shù)據(jù)庫審計(jì)硬件設(shè)備,采用鏡像等方式獲取數(shù)據(jù)庫訪問的網(wǎng)絡(luò)報(bào)文流量, 實(shí)現(xiàn)針對各種數(shù)據(jù)庫用戶的操作命令級審計(jì),從而隨時(shí)掌握數(shù)據(jù)庫的安全狀況, 及時(shí)發(fā)現(xiàn)和阻止各類數(shù)據(jù)操作違規(guī)事件或進(jìn)攻事件,避免數(shù)據(jù)的各類安全損失, 追查或打擊各類違規(guī)、違法行為,提高數(shù)據(jù)庫數(shù)據(jù)安全管理的水平。該采集方式 不會對數(shù)據(jù)庫的運(yùn)行、訪問產(chǎn)生任何影響,而且具有更強(qiáng)的實(shí)時(shí)性,是比較理想 的數(shù)據(jù)庫日志審計(jì)的實(shí)現(xiàn)方式。 ? 數(shù)據(jù)來源與內(nèi)容 數(shù)據(jù)來源：審計(jì)數(shù)據(jù)源需要包括我行信息系統(tǒng)

27、各組件的日志產(chǎn)生點(diǎn),如主機(jī) 操作日志、操作系統(tǒng)日志、數(shù)據(jù)庫審計(jì)日志、、安全設(shè)備日志等。 數(shù)據(jù)內(nèi)容：異常信息在采集后必須進(jìn)行分類,例如可以將異常事件信息分成 泄密事件和安全運(yùn)行事件兩大類,以便于我行日志審計(jì)系統(tǒng)管理人員能快速對事 件進(jìn)行分析。 ? 采集策略 采集策略需要包括采集頻率、過濾、合并策略與信息傳輸策略。 支持根據(jù)采集對象的不同,可以設(shè)置實(shí)時(shí)采集、按秒、分鐘、小時(shí)等采集頻 率。 支持日志或事件進(jìn)行必要的過濾和合并,從而只采集有用的、需要關(guān)注的日 志和事件信息,屏蔽不需要關(guān)注的日志和事件信息。 通過預(yù)先設(shè)定好的日志信息傳輸策略,使采集到的信息能夠根據(jù)網(wǎng)

28、絡(luò)實(shí)際情 況有序地傳輸?shù)綌?shù)據(jù)庫服務(wù)器進(jìn)行入庫存儲,避免因日志信息瞬間激增而對網(wǎng)絡(luò) 帶寬資源的過度占用,同時(shí)保證信息傳輸?shù)男?避免斷點(diǎn)重傳。 ? 采集監(jiān)控 系統(tǒng)可以監(jiān)控各采集點(diǎn)的日志傳輸狀態(tài),當(dāng)有采集點(diǎn)無法正常發(fā)送日志信息 時(shí),系統(tǒng)可以自動進(jìn)行告警通知管理員進(jìn)行處理。 5.1.1.2 日志格式標(biāo)準(zhǔn)化需求 根據(jù)日志格式標(biāo)準(zhǔn),對系統(tǒng)采集的信息系統(tǒng) IT 基礎(chǔ)設(shè)施日志信息進(jìn)行標(biāo)準(zhǔn)化 處理。 5.1.1.3 日志集中存儲需求 我行日志審計(jì)系統(tǒng)將對 300 余個(gè)審計(jì)對象進(jìn)行日志審計(jì),此系統(tǒng)需要具有海 量的數(shù)據(jù)存儲能力,其后臺數(shù)據(jù)庫需要采用穩(wěn)定以及先進(jìn)的企業(yè)級數(shù)據(jù)庫（如 DB2、M

29、SSQLServer 數(shù)據(jù)庫）；需要有合理的數(shù)據(jù)存儲管理策略；需要支持磁 盤陣列柜以及 SAN、NAS 等存儲方式。 5.1.1.4 日志關(guān)聯(lián)分析需求 為了解決目前日益嚴(yán)重的復(fù)合型風(fēng)險(xiǎn)威脅,我行日志審計(jì)系統(tǒng)需要具有關(guān)聯(lián) 分析效用：將不同安全設(shè)備的響應(yīng)通過多種條件關(guān)聯(lián)起來,以便于管理員的分析 和處理。例如當(dāng)一個(gè)嚴(yán)重的事件或用戶行為發(fā)生后,從網(wǎng)絡(luò)層面、主機(jī)/服務(wù)器層 面、數(shù)據(jù)（庫）、安全層面到應(yīng)用層面可能都會有所反應(yīng)（響應(yīng)）,這時(shí)候?qū)徲?jì) 系統(tǒng)將進(jìn)行數(shù)據(jù)挖掘,將上述多個(gè)層面、多個(gè)維度的事件或行為數(shù)據(jù)挖掘和抽取、 關(guān)聯(lián),將關(guān)聯(lián)的結(jié)果呈現(xiàn)給使用者。 5.1.1.5 安全

30、事件報(bào)警需求 為了快速、準(zhǔn)確定位安全事件來源,及時(shí)處理安全事件,我行日志審計(jì)系統(tǒng) 必須具備實(shí)時(shí)報(bào)警效用,報(bào)警方式應(yīng)該多樣化,如實(shí)時(shí)屏幕顯示、電子郵件和短 信等。 5.1.1.6 日志報(bào)表需求 我行日志審計(jì)系統(tǒng)的報(bào)表需要支持細(xì)粒度查詢,使管理人員能夠快速對安全 事件進(jìn)行正確的分析,其查詢細(xì)粒度應(yīng)該包括關(guān)鍵字、時(shí)間段、源地址、目的地 址、源端口、目的端口、設(shè)備類型、事件類型、特定審計(jì)對象等多個(gè)條件的組合 查詢,并支持模糊查詢。 5.1.2 系統(tǒng)性能需求 目前我行日志審計(jì)系統(tǒng)需要審計(jì) 300 臺以上的設(shè)備,以一臺設(shè)備 3000 條/小 時(shí),每條日志 1KB 為標(biāo)準(zhǔn)計(jì)算,300

31、臺設(shè)備每天的總?cè)罩緱l數(shù)為 2160 萬條,總 日志量約為 21G。 基于上述計(jì)算結(jié)果,結(jié)合同行業(yè)成功案例,建議系統(tǒng)性能如下： 處理能力支持安全事件與日志每天 2 千萬條以上； 支持 120G 以上的數(shù)據(jù)庫存儲； 支持的原始日志和事件的存儲容量可達(dá)到 5 億條； 提供對原始日志及審計(jì)結(jié)果的壓縮存儲,文件存儲壓縮比一般不應(yīng)小于 1： 10； 根據(jù)審計(jì)要求,原始信息及審計(jì)結(jié)果需保留 6 個(gè)月-1 年,因此,需支持磁盤 陣列、NAS 和 SAN 等多種存儲方式,存儲容量需達(dá)到 7TB 以上。 5.1.3 系統(tǒng)安全需求 權(quán)限劃分需求：日志審計(jì)系統(tǒng)需要進(jìn)行管理權(quán)限的劃

32、分,不同的管理員具有 不同的管理權(quán)限,例如管理配置權(quán)限與審計(jì)操作權(quán)限分離,系統(tǒng)中不允許出現(xiàn)超 級用戶權(quán)限。 登錄安全需求：日志審計(jì)系統(tǒng)在用戶登錄上需要強(qiáng)身份鑒別效用以及鑒別失 效處理機(jī)制。 傳輸安全需求：日志審計(jì)系統(tǒng)各個(gè)組件之間的通訊契約必須支持身份認(rèn)證與 傳輸加密,確保數(shù)據(jù)在傳輸過程中不被泄漏、篡改、刪除。 存儲安全需求：日志審計(jì)系統(tǒng)的后端數(shù)據(jù)庫必須采用安全可靠的大型數(shù)據(jù)庫, 數(shù)據(jù)庫的訪問以及對日志審計(jì)系統(tǒng)的操作都要通過嚴(yán)格的身份鑒別,并對操作者 的權(quán)限進(jìn)行嚴(yán)格劃分,保證數(shù)據(jù)存儲安全。 接口安全需求：日志審計(jì)系統(tǒng)各組件之間應(yīng)該采用其廠商自身的,未公開并 且成熟可靠的契約

33、進(jìn)行通信。日志審計(jì)平臺與其他系統(tǒng)（網(wǎng)絡(luò)設(shè)備、主機(jī)/服務(wù)器、 應(yīng)用系統(tǒng)、安全設(shè)備）的接口可采用標(biāo)準(zhǔn)的 SNMP、Syslog 等契約。 5.1.4 系統(tǒng)接口需求 我行日志審計(jì)系統(tǒng)主要提供如下接口進(jìn)行日志采集： 1、Syslog 方式,支持 SYSLOG 契約的設(shè)備,如：防火墻、UNIX 服務(wù)器等； 2、ODBC/JDBC 方式,支持?jǐn)?shù)據(jù)庫聯(lián)接的設(shè)備； 3、SNMPTrap 方式,支持 SNMP 契約的設(shè)備,如：交換機(jī)、路由器、網(wǎng)路 安全設(shè)備等； 4、XML 方式,支持 HTTP 契約的設(shè)備； 5、EventLog 方式,支持 Windows 平臺； 6、特定接口方式,對于不支

34、持通用契約的設(shè)備,需要定制開發(fā),如：某網(wǎng) 閘隔離系統(tǒng)； 7、其他廠商內(nèi)部專用契約。 通過標(biāo)準(zhǔn)的接口,可以采集到網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)的 各種類型日志：包含登陸信息、登陸認(rèn)證失敗信息、應(yīng)用程序啟動信息、進(jìn)程改 變信息、違反防火墻規(guī)則的網(wǎng)絡(luò)行為、IDS 檢測到的所有入侵事件和 IDS 自身生 成的各種日志等。 日志信息的采集可以根據(jù)我行信息系統(tǒng)的現(xiàn)實(shí)情況進(jìn)行實(shí)時(shí)傳輸或者定時(shí) 傳輸。 5.2 數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)系統(tǒng)需求 5.2.1 審計(jì)效用需求 n 安全審計(jì)策略 系統(tǒng)應(yīng)允許使用者能夠針對訪問者、被保護(hù)對象、操作行為,訪問源,事 件類型等特征等制

35、定具體的安全審計(jì)策略。策略制定方式應(yīng)簡單靈活,既可以 制定適應(yīng)于批量對象的大眾策略,也可以制定適用于單個(gè)被保護(hù)對象的詳細(xì)策 略。系統(tǒng)應(yīng)提供行為全部記錄的默認(rèn)審計(jì)策略。審計(jì)記錄應(yīng)該反應(yīng)出用戶的登 錄身份,登錄操作時(shí)使用的主機(jī)或數(shù)據(jù)庫賬號信息。在建設(shè)身份認(rèn)證和訪問控 制效用后,可以禁止或允許用戶使用某個(gè)主機(jī)或數(shù)據(jù)庫賬號進(jìn)行登錄和操作。 審計(jì)記錄應(yīng)該反應(yīng)出用戶的登錄身份,登錄操作時(shí)使用的主機(jī)、網(wǎng)絡(luò)設(shè)備 或數(shù)據(jù)庫賬號信息。 n 事件實(shí)時(shí)審計(jì)、告警、命令控制 能靈活配置實(shí)時(shí)安全審計(jì)控制策略和預(yù)警參數(shù),實(shí)時(shí)發(fā)現(xiàn)可疑操作（如操 作系統(tǒng) rm 命令、數(shù)據(jù)庫 drop、delete 命令等）,

36、實(shí)時(shí)發(fā)出告警信息（向控制 臺發(fā)出告警信息、向管理員郵箱發(fā)送告警電子郵件、向管理員手機(jī)發(fā)出告警短 消息、通過 SNMP 命令向日志審計(jì)系統(tǒng)、網(wǎng)管系統(tǒng)發(fā)出告警等）。 n 行為審計(jì)效用 根據(jù)制定的安全審計(jì)策略,系統(tǒng)應(yīng)對訪問者訪問被保護(hù)對象的操作交互過 程進(jìn)行記錄,并允許選擇記錄整個(gè)操作過程的上行、下行數(shù)據(jù)。系統(tǒng)應(yīng)能夠?qū)? 審計(jì)記錄重組為會話的能力。單個(gè)會話的全部操作行為應(yīng)能夠進(jìn)行回放。 每一條審計(jì)記錄應(yīng)至少提供操作時(shí)間、訪問者的身份信息、IP 地址、被保 護(hù)對象（主機(jī)名稱、IP 地址等）、操作內(nèi)容、系統(tǒng)返回內(nèi)容。 審計(jì)記錄結(jié)果要實(shí)現(xiàn)集中存儲、集中管理、集中展現(xiàn)。 n

37、 事件查詢效用 系統(tǒng)需要提供豐富的查詢界面,可以通過數(shù)據(jù)庫事件查詢、Telnet 事件查 詢、Ftp 事件查詢、事件會話關(guān)聯(lián)查詢、告警查詢等不同的維度查詢結(jié)果。并 支持導(dǎo)出報(bào)表。 n 審計(jì)信息的存儲 審計(jì)信息要求安全存儲,分級別進(jìn)行管理,普通管理員無法修改刪除。用 戶登錄認(rèn)證及操作日志要求安全存儲,普通管理員無法修改刪除。 系統(tǒng)應(yīng)該提供靈活的審計(jì)信息存儲策略,以應(yīng)對大規(guī)模審計(jì)存儲的要求； 可以根據(jù)用戶登錄身份、使用的主機(jī)或數(shù)據(jù)庫賬號來制定審計(jì)信息存儲策略。 n 重復(fù)事件歸并 通過配置歸并規(guī)則,系統(tǒng)可以對大批量的重復(fù)事件做統(tǒng)一歸并,并記錄歸 并次數(shù)。 n 權(quán)限管理 系統(tǒng)

38、需要分管理員和審計(jì)員權(quán)限,審計(jì)員只能審計(jì)授權(quán)審計(jì)的系統(tǒng)的審計(jì) 信息。 5.2.2 報(bào)表效用需求 n 查詢效用 系統(tǒng)用戶應(yīng)可按照時(shí)間段、訪問者、主機(jī)或數(shù)據(jù)庫賬號、被保護(hù)對象、行 為方式、行為特征等關(guān)鍵字進(jìn)行精確或模糊匹配查詢。 操作人員根據(jù)查詢結(jié)果可以關(guān)聯(lián)查看整個(gè)會話的內(nèi)容。 n 統(tǒng)計(jì)報(bào)表效用 系統(tǒng)應(yīng)提供完整的報(bào)表系統(tǒng)。系統(tǒng)應(yīng)按照訪問者、被保護(hù)對象、行為方式、 操作內(nèi)容（例如數(shù)據(jù)庫表名稱）等生成統(tǒng)計(jì)報(bào)表,并按照要求添加、修改報(bào)表 數(shù)量、格式及內(nèi)容,以滿足安全審計(jì)的要求。 5.2.3 審計(jì)對象及兼容性支持 應(yīng)當(dāng)包括（但不限于）：Telnet,等應(yīng)用。 操作

39、系統(tǒng)支持：Unix,HP-UNIX,Solaris 數(shù)據(jù)庫支持：Oracle,DB2,Infomix,Mysql,Sqlserver 應(yīng)確保無遺漏等現(xiàn)象發(fā)生。 5.2.4 系統(tǒng)性能 ? 系統(tǒng)應(yīng)滿足大數(shù)據(jù)量的審計(jì)要求。滿足千兆骨干網(wǎng)絡(luò)審計(jì)要求,無丟包、漏 包現(xiàn)象發(fā)生； ? 系統(tǒng)應(yīng)提供良好的查詢能力； ? 系統(tǒng)應(yīng)至少滿足 1 年的審計(jì)數(shù)據(jù)在線存儲的需求,并提供相應(yīng)的離線備份機(jī) 制,對于超過在線存儲時(shí)限的審計(jì)數(shù)據(jù)應(yīng)提供導(dǎo)入導(dǎo)出的機(jī)制。 5.2.5 審計(jì)完整性 系統(tǒng)應(yīng)能實(shí)現(xiàn)對所有訪問者通過審計(jì)途徑對現(xiàn)網(wǎng)內(nèi)被保護(hù)對象的遠(yuǎn)程訪問 行為的審計(jì),無遺漏、錯(cuò)報(bào)等現(xiàn)象的發(fā)生。 6 安全審計(jì)

40、綜合管理平臺建設(shè)方案 6.1 日志審計(jì)系統(tǒng)建設(shè)方案 6.1.1 日志管理建議 基于我行日志審計(jì)系統(tǒng)的建設(shè)目標(biāo),需要對我行信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、主 機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、安全系統(tǒng)等進(jìn)行日志采集,各采集對象的設(shè)備系統(tǒng)類型、采 集的日志內(nèi)容、采集方式及采集頻率說明如下： 審 計(jì) 具體審計(jì)需求描述 日志內(nèi)容包括 擬 采 用 的 采 集 采集頻率 內(nèi)容 方式 Agent 方式； 通過日志 安全審計(jì) 帳戶登錄注銷、針對 操作 系統(tǒng) ü Solaris ü AIX ü Linux ü HP-UNIX UNIXSYSLOG 中心設(shè)置 采集頻率 帳號權(quán)限變更、 日志可通過 操作系統(tǒng)啟動 syslog 方式發(fā) 送 策略,建議 關(guān)閉、shell 操 1 分鐘采集 一次 作日志、 科教興國 18