【財(cái)務(wù)管理內(nèi)部審計(jì) 】某銀行安全審計(jì)管理現(xiàn)狀

《【財(cái)務(wù)管理內(nèi)部審計(jì) 】某銀行安全審計(jì)管理現(xiàn)狀》由會(huì)員分享，可在線閱讀，更多相關(guān)《【財(cái)務(wù)管理內(nèi)部審計(jì) 】某銀行安全審計(jì)管理現(xiàn)狀（18頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、 財(cái)務(wù)管理內(nèi)部審計(jì)某銀行安全審計(jì)管理現(xiàn)狀 某銀行安全審計(jì)綜合管理平臺(tái)建設(shè)方案V1.2 二九年三月目錄1 背景 42 安全審計(jì)管理現(xiàn)狀 62.1 安全審計(jì)基本概念 62.2 總行金融信息管理中心安全審計(jì)管理現(xiàn)狀 92.2.1 日志審計(jì) 92.2.2 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)審計(jì) 112.3 我行安全審計(jì)管理辦法制定現(xiàn)狀 112.4 安全審計(jì)產(chǎn)品及應(yīng)用現(xiàn)狀 133 安全審計(jì)必要性 134 安全審計(jì)綜合管理平臺(tái)建設(shè)目標(biāo) 145 安全審計(jì)綜合管理平臺(tái)需求 165.1 日志審計(jì)系統(tǒng)需求 165.1.1 系統(tǒng)效用需求 165.1.2 系統(tǒng)性能需求 195.1.3 系統(tǒng)安全需求 205.1.4 系統(tǒng)接口需求 215.2

2、 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)審計(jì)系統(tǒng)需求 225.2.1 審計(jì)效用需求 225.2.2 報(bào)表效用需求 235.2.3 審計(jì)對(duì)象及兼容性支持 245.2.4 系統(tǒng)性能 245.2.5 審計(jì)完整性 256 安全審計(jì)綜合管理平臺(tái)建設(shè)方案 256.1 日志審計(jì)系統(tǒng)建設(shè)方案 256.1.1 日志管理建議 256.1.2 日志審計(jì)系統(tǒng)整體架構(gòu) 266.1.3 日志采集實(shí)現(xiàn)方式 286.1.4 日志標(biāo)準(zhǔn)化實(shí)現(xiàn)方式 306.1.5 日志存儲(chǔ)實(shí)現(xiàn)方式 316.1.6 日志關(guān)聯(lián)分析 326.1.7 安全事件報(bào)警 336.1.8 日志報(bào)表 346.1.9 系統(tǒng)管理 356.1.10 系統(tǒng)接口規(guī)范 366.2 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)審計(jì)系統(tǒng)

3、建設(shè)方案 37 6.2.1 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)行為綜合審計(jì) 376.2.2 審計(jì)策略 386.2.3 審計(jì)內(nèi)容 396.2.4 告警與響應(yīng)管理 426.2.5 報(bào)表管理 427 系統(tǒng)部署方案 437.1 安全審計(jì)綜合管理平臺(tái)系統(tǒng)部署方案 437.2 系統(tǒng)部署環(huán)境要求 447.2.1 日志審計(jì)系統(tǒng) 447.2.2 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)審計(jì)系統(tǒng) 457.3 系統(tǒng)實(shí)施建議 457.4 二次開(kāi)發(fā) 461 背景近年來(lái),XX 銀行信息化建設(shè)得到快速發(fā)展,央行履行金融調(diào)控、金融穩(wěn)定、金融市場(chǎng)和金融服務(wù)職能高度依賴于信息技術(shù)應(yīng)用,信息安全問(wèn)題的全局性影響作用日益增強(qiáng)。目前,XX 銀行信息安全保障體系中安全系統(tǒng)建設(shè)已經(jīng)達(dá)到了

4、一定的水平。建設(shè)了非法外聯(lián)監(jiān)控管理系統(tǒng)、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)及補(bǔ)丁分發(fā)系統(tǒng),為客戶端安全管理、網(wǎng)絡(luò)安全管理和系統(tǒng)安全管理提供了技術(shù)支撐手段,有效提高了安全管理水平；完成制定金融業(yè)星型網(wǎng)間互聯(lián)安全規(guī)范金融業(yè)行業(yè)標(biāo)準(zhǔn),完善內(nèi)聯(lián)網(wǎng)外聯(lián)防火墻系統(tǒng),確保 XX 銀行網(wǎng)絡(luò)邊界安全；制定并下發(fā)銀行計(jì)算機(jī)機(jī)房規(guī)范化工作指引,規(guī)范和加強(qiáng)機(jī)房環(huán)境安全管理。信息安全審計(jì)技術(shù)是實(shí)現(xiàn)信息安全整個(gè)過(guò)程中關(guān)鍵記錄信息的監(jiān)控統(tǒng)計(jì),是信息安全保障體系中不可缺少的一部分。隨著電子政務(wù)、電子商務(wù)以及各類(lèi)網(wǎng)上應(yīng)用的開(kāi)展得到了普遍關(guān)注,并且在越來(lái)越多的大型網(wǎng)絡(luò)系統(tǒng)中已經(jīng)成功應(yīng)用并發(fā)揮著重要作用,特別針對(duì)安全事故分析、

5、追蹤起到了關(guān)鍵性作用。傳統(tǒng)的安全審計(jì)系統(tǒng)局限于對(duì)主機(jī)的操作系統(tǒng)日志的收集和簡(jiǎn)單分析,缺乏對(duì)于多種平臺(tái)下（Windows 系列、Unix 系列、Solaris 等）、多種網(wǎng)絡(luò)設(shè)備、重要服務(wù)器系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)庫(kù)系統(tǒng)綜合的安全審計(jì)效用。 隨著網(wǎng)絡(luò)規(guī)模的迅速擴(kuò)大,單一式的安全審計(jì)技術(shù)逐步被分布式安全審計(jì)技術(shù)所代替,加上各類(lèi)應(yīng)用系統(tǒng)逐步增多,網(wǎng)絡(luò)管理人員/運(yùn)維人員工作量往往會(huì)成倍增加,使得關(guān)鍵信息得不到重點(diǎn)關(guān)注。大量事實(shí)表明,對(duì)于安全事件發(fā)生或關(guān)鍵數(shù)據(jù)遭到嚴(yán)重破壞之前完全可以預(yù)先通過(guò)日志異常行為告警方式通知管理人員,及時(shí)進(jìn)行分析并采取相應(yīng)措施進(jìn)行有效阻止,從而大大降低安全事件的發(fā)生率。目前我行信息

6、安全保障工作尚未有效開(kāi)展安全審計(jì)工作,缺少事后審計(jì)的技術(shù)支撐手段。當(dāng)前,信息安全審計(jì)作為保障信息系統(tǒng)安全的制度逐漸發(fā)展起來(lái)；并已在對(duì)信息系統(tǒng)依賴性最高的金融業(yè)開(kāi)始普及。信息安全審計(jì)的相關(guān)標(biāo)準(zhǔn)包括ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800 等。這些標(biāo)準(zhǔn)從不同角度提出信息安全控制體系,可以有效地控制信息安全風(fēng)險(xiǎn)。同時(shí),公安部發(fā)布的信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求中對(duì)安全審計(jì)提出明確的技術(shù)要求：審計(jì)范圍覆蓋網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng),審計(jì)內(nèi)容包括各網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、系統(tǒng)資源的異常使用、重要用戶行為和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。為進(jìn)一步完善信息

7、安全保障體系,2009 年立項(xiàng)建設(shè)安全審計(jì)系統(tǒng),不斷提高安全管理水平。2 安全審計(jì)管理現(xiàn)狀2.1 安全審計(jì)基本概念信息安全審計(jì)是企業(yè)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險(xiǎn)控制等的不可或缺的關(guān)鍵手段。信息安全審計(jì)能夠?yàn)榘踩芾韱T提供一組可進(jìn)行分析的管理數(shù)據(jù),以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件。利用安全審計(jì)結(jié)果,可調(diào)整安全策略,堵住出現(xiàn)的漏洞。美國(guó)信息系統(tǒng)審計(jì)的權(quán)威專家 RonWeber 又將它定義為收集并評(píng)估證據(jù)以決定一個(gè)計(jì)算機(jī)系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成目標(biāo),同時(shí)最 經(jīng)濟(jì)的使用資源。根據(jù)在信息系統(tǒng)中需要進(jìn)行安全審計(jì)的對(duì)象與內(nèi)容,主要分為日志審計(jì)、網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)。下面分別說(shuō)明如下：日

8、志審計(jì)：日志可以作為責(zé)任認(rèn)定的依據(jù),也可作為系統(tǒng)運(yùn)行記錄集,對(duì)分析系統(tǒng)運(yùn)行情況、排除故障、提高效率都發(fā)揮重要作用。日志審計(jì)是安全審計(jì)針對(duì)信息系統(tǒng)整體安全狀態(tài)監(jiān)測(cè)的基礎(chǔ)技術(shù),主要通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)的集中日志采集、集中存儲(chǔ)和關(guān)聯(lián)分析,幫助管理員及時(shí)發(fā)現(xiàn)信息系統(tǒng)的安全事件,同時(shí)當(dāng)遇到特殊安全事件和系統(tǒng)故障時(shí),確保日志存在和不被篡改,幫助用戶快速定位追查取證。大量事實(shí)表明,對(duì)于安全事件發(fā)生或關(guān)鍵數(shù)據(jù)遭到嚴(yán)重破壞之前完全可以預(yù)先通過(guò)日志審計(jì)進(jìn)行分析、告警并及時(shí)采取相應(yīng)措施進(jìn)行有效阻止,從而大大降低安全事件的發(fā)生率。數(shù)據(jù)庫(kù)審計(jì)：主要負(fù)責(zé)對(duì)數(shù)據(jù)庫(kù)的各種訪問(wèn)操作進(jìn)行監(jiān)控；是安

9、全審計(jì)對(duì)數(shù)據(jù)庫(kù)進(jìn)行審計(jì)技術(shù)。它采用專門(mén)的硬件審計(jì)引擎,通過(guò)旁路部署采用鏡像等方式獲取數(shù)據(jù)庫(kù)訪問(wèn)的網(wǎng)絡(luò)報(bào)文流量,實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)庫(kù)的所有訪問(wèn)操作（如：插入、刪除、更新、用戶自定義操作等）,還原 SQL 操作命令包括源 IP 地址、目的 IP 地址、訪問(wèn)時(shí)間、用戶名、數(shù)據(jù)庫(kù)操作類(lèi)型、數(shù)據(jù)庫(kù)表名、字段名等,發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫(kù)操作行為,及時(shí)報(bào)警響應(yīng)、全過(guò)程操作還原,從而實(shí)現(xiàn)安全事件的準(zhǔn)確全程跟蹤定位,全面保障數(shù)據(jù)庫(kù)系統(tǒng)安全。該采集方式不會(huì)對(duì)數(shù)據(jù)庫(kù)的運(yùn)行、訪問(wèn)產(chǎn)生任何影響,而且具有更強(qiáng)的實(shí)時(shí)性,是比較理想的數(shù)據(jù)庫(kù)日志審計(jì)的實(shí)現(xiàn)方式。網(wǎng)絡(luò)審計(jì)：主要負(fù)責(zé)網(wǎng)絡(luò)內(nèi)容與行為的審計(jì)；是安全審計(jì)對(duì)網(wǎng)絡(luò)通信的基礎(chǔ)審計(jì)

10、技術(shù)。它采用專門(mén)的網(wǎng)絡(luò)審計(jì)硬件引擎,安裝在網(wǎng)絡(luò)通信系統(tǒng)的數(shù)據(jù)匯聚點(diǎn),通過(guò)旁路抓取網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行典型契約分析、識(shí)別、判斷和記錄,Telnet、HTTP、Email、FTP、網(wǎng)上聊天、文件共享、流量等的檢測(cè)分析等。主機(jī)審計(jì)：主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)重要區(qū)域的客戶機(jī)上的各種上網(wǎng)行為、文件拷貝 /打印操作、通過(guò) Modem 擅自連接外網(wǎng)等進(jìn)行審計(jì)。目前我行信息安全系統(tǒng)尚未有效開(kāi)展安全審計(jì)工作,由于缺少對(duì)各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)的集中日志采集、集中存儲(chǔ)和關(guān)聯(lián)分析等事后審計(jì)、追查取證的技術(shù)支撐手段,以至無(wú)法在遇到特殊安全事件和系統(tǒng)故障時(shí)確保日志存在和不被篡改,同時(shí)對(duì)主機(jī)和數(shù)據(jù)庫(kù)的操作行為也沒(méi)

11、有審計(jì)和管理的手段,不同有效對(duì)操作行為進(jìn)行審計(jì),防止誤操作和惡意行為的發(fā)生,因此我行迫切需要盡快建設(shè)安全審計(jì)系統(tǒng)（包括日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、網(wǎng)絡(luò)審計(jì)）,確保我行信息系統(tǒng)安全。2.2 我行金融信息管理中心安全審計(jì)管理現(xiàn)狀2.2.1 日志審計(jì)作為數(shù)據(jù)中心的運(yùn)維部門(mén),負(fù)責(zé)運(yùn)維內(nèi)聯(lián)網(wǎng)總行局域網(wǎng)、總行機(jī)關(guān)辦公自動(dòng)化系統(tǒng)及貨幣發(fā)行信息管理系統(tǒng)、國(guó)庫(kù)信息處理系統(tǒng)等重要業(yè)務(wù)系統(tǒng),保障信息系統(tǒng) IT 基礎(chǔ)設(shè)施的安全運(yùn)行。為更好地制定日志審計(jì)系統(tǒng)建設(shè)方案,開(kāi)展了金融信息管理中心日志管理現(xiàn)狀調(diào)研工作,調(diào)研內(nèi)容包括設(shè)備/系統(tǒng)配置哪些日志信息、日志信息包括哪些屬性、日志采集所支持的契約/接口、日志存儲(chǔ)方式及日志管理現(xiàn)狀

12、,金融信息管理中心日志管理現(xiàn)狀調(diào)查表詳見(jiàn)附件。通過(guò)分析日志管理現(xiàn)狀調(diào)查表,將有關(guān)情況說(shuō)明如下：一、日志內(nèi)容。網(wǎng)絡(luò)設(shè)備（包括交換機(jī)和路由器）、安全設(shè)備（包括防火墻、入侵檢測(cè)設(shè)備、防病毒管理系統(tǒng)和補(bǔ)丁分發(fā)系統(tǒng)）、辦公自動(dòng)化系統(tǒng)和重要業(yè)務(wù)系統(tǒng)均配置一定的日志信息,其中每類(lèi)設(shè)備具有一定的日志配置規(guī)范,應(yīng)用系統(tǒng)（辦公自動(dòng)化系統(tǒng)和重要業(yè)務(wù)系統(tǒng)）的日志內(nèi)容差異較大,數(shù)據(jù)庫(kù)和中間件僅配置“進(jìn)程是否正?！钡娜罩拘畔?。二、日志格式。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備根據(jù)廠商的不同,其日志格式也不同,無(wú)統(tǒng)一的日志格式；應(yīng)用系統(tǒng)根據(jù)系統(tǒng)平臺(tái)的不同,其日志格式也不同,無(wú)統(tǒng)一的日志格式。 三、日志采集契約/接口。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)

13、備支持 SNMPTrap 和Syslog 契約,應(yīng)用系統(tǒng)主要支持 TCP/IP 契約,個(gè)別應(yīng)用系統(tǒng)自定義了日志采集方式。四、日志存儲(chǔ)方式。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備日志信息集中存儲(chǔ)在日志服務(wù)器中,其他設(shè)備/系統(tǒng)日志均存儲(chǔ)在本地主機(jī)上。日志信息以文本文件、關(guān)系型數(shù)據(jù)庫(kù)文件、Domino 數(shù)據(jù)庫(kù)文件和 XML 文件等方式進(jìn)行存儲(chǔ)。五、日志管理方式。主要為分散管理,且無(wú)日志管理規(guī)范。在系統(tǒng)/設(shè)備出現(xiàn)故障時(shí),日志信息是定位故障,解決故障的主要依據(jù)。據(jù)了解,為加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行情況的監(jiān)控,金融信息管理中心通過(guò)采集交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備的日志信息,實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備日志信息的集中管理,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備運(yùn)行中出現(xiàn)

14、的問(wèn)題。通過(guò)上述現(xiàn)狀的分析,目前日志管理存在如下問(wèn)題：1、不同系統(tǒng)/設(shè)備的日志信息分散存儲(chǔ),日志信息被非法刪除,導(dǎo)致安全事故處置工作無(wú)法追查取證。2、在系統(tǒng)發(fā)生故障后,才去通過(guò)日志信息定位故障,導(dǎo)致系統(tǒng)安全運(yùn)行工作存在一定的被動(dòng)性,應(yīng)主動(dòng)地在日志信息中及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行存在的隱患,提高系統(tǒng)運(yùn)行安全管理水平。3、隨著我行信息化工作的不斷深入,系統(tǒng)運(yùn)維工作壓力的不斷加大,如不及時(shí)規(guī)范日志信息管理,信管中心將逐步面臨運(yùn)維的設(shè)備多、人員少的問(wèn)題,不能及時(shí)準(zhǔn)確把握運(yùn)維工作的重點(diǎn)。在目前日志信息管理基礎(chǔ)上,若簡(jiǎn)單加強(qiáng)日志信息管理,仍存在如下問(wèn)題：1、通過(guò)系統(tǒng)/設(shè)備各自的控制臺(tái)去查看事件,窗口繁多,而且所有的

15、事件都是孤立的,不同系統(tǒng)/設(shè)備之間的事件缺乏關(guān)聯(lián),分析起來(lái)極為麻煩,無(wú)法弄清楚真實(shí)的狀況。2、不同系統(tǒng)/設(shè)備對(duì)同一個(gè)事件的描述可能是不同的,管理人員需了解各系統(tǒng)/設(shè)備,分析各種不同格式的信息,導(dǎo)致管理人員的工作非常繁重,效率低。3、海量日志信息不但無(wú)法幫助找出真正的問(wèn)題,反而因?yàn)樘喽斐蔁o(wú)法 管理,并且不同系統(tǒng)/設(shè)備可能產(chǎn)生不同的日志信息格式,無(wú)法做到快速識(shí)別和響應(yīng)。2.2.2 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)審計(jì)目前我行沒(méi)有實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)操作和網(wǎng)絡(luò)操作行為的審計(jì)。對(duì)系統(tǒng)的后臺(tái)操作人員的遠(yuǎn)程登錄主機(jī)、數(shù)據(jù)庫(kù)的操作行為無(wú)法進(jìn)行記錄、審計(jì),難以防止系統(tǒng)濫用、泄密等問(wèn)題的發(fā)生。2.3 我行安全審計(jì)管理辦法制定現(xiàn)狀在銀行

16、信息安全管理規(guī)定提出如下安全審計(jì)要求： 第一百三十九條各單位科技部門(mén)在支持與配合內(nèi)審部門(mén)開(kāi)展審計(jì)信息安全工作的同時(shí),應(yīng)適時(shí)開(kāi)展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安全事件全過(guò)程的技術(shù)審計(jì),發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)。 第一百四十條各單位應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等審計(jì)效用配置管理,應(yīng)完整保留相關(guān)日志記錄,一般保留至少一個(gè)月,涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時(shí)間。在銀行信息系統(tǒng)安全配置指引-數(shù)據(jù)庫(kù)分冊(cè)提出如下安全審計(jì)要求： 應(yīng)配置審計(jì)日志,并定期查看、清理日志。 審計(jì)內(nèi)容包括創(chuàng)建、修改或刪除數(shù)據(jù)庫(kù)帳戶、數(shù)據(jù)庫(kù)對(duì)象、數(shù)據(jù)庫(kù)表、數(shù)據(jù)庫(kù)索引的行為；允許或者撤銷(xiāo)審計(jì)效用

17、的行為；授予或者取消數(shù)據(jù)庫(kù)系統(tǒng)級(jí)別權(quán)限的行為；任何因?yàn)閰⒖紝?duì)象不存在而引的錯(cuò)誤信息；任何改變數(shù)據(jù)庫(kù)對(duì)象名稱的動(dòng)作；任何對(duì)數(shù)據(jù)庫(kù) Dictionary 或者數(shù)據(jù)庫(kù)系統(tǒng)配置的改變；所有數(shù)據(jù)庫(kù)連接失敗的記錄；所有 DBA 的數(shù)據(jù)庫(kù)連接記錄；所有數(shù)據(jù)庫(kù)用戶帳戶升級(jí)和刪除操作的審計(jì)跟蹤信息。 審計(jì)數(shù)據(jù)應(yīng)被保存為分析程序或者腳下本可讀的格式,時(shí)間期限是一年。所有刪除審計(jì)數(shù)據(jù)的操作,都應(yīng)在動(dòng)態(tài)查帳索引中保留記錄。 只有 DBA 或者安全審核員有權(quán)限選擇、添加、刪除或者修改、停用審計(jì)信息。上述安全審計(jì)管理要求為開(kāi)展日志審計(jì)系統(tǒng)建設(shè)提供了制度保障。2.4 安全審計(jì)產(chǎn)品及應(yīng)用現(xiàn)狀目前市場(chǎng)上安全審計(jì)產(chǎn)品按審計(jì)類(lèi)型也

18、有很多產(chǎn)品,日志審計(jì)以 SIM 類(lèi)產(chǎn)品為主,也叫安全信息和事件管理（SIEM）,是安全管理領(lǐng)域發(fā)展的方向。SIM是一個(gè)全面的、面向 IT 計(jì)算環(huán)境的安全集中管理平臺(tái),這個(gè)平臺(tái)能夠收集來(lái)自計(jì)算環(huán)境中各種設(shè)備和應(yīng)用的安全日志和事件,并進(jìn)行存儲(chǔ)、監(jiān)控、分析、報(bào)警、響應(yīng)和報(bào)告,變過(guò)去被動(dòng)的單點(diǎn)防御為全網(wǎng)的綜合防御。由于日志審計(jì)對(duì)安全廠商的技術(shù)開(kāi)發(fā)能力有較高要求,國(guó)內(nèi)一些較有實(shí)力的安全廠商能夠提供較為成熟的日志審計(jì)產(chǎn)品。目前,日志審計(jì)產(chǎn)品已在政府、運(yùn)營(yíng)商、金融、民航等行業(yè)廣泛成功應(yīng)用。針對(duì)數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)行為審計(jì)產(chǎn)品,國(guó)內(nèi)也有多個(gè)廠家有比較成熟的產(chǎn)品,在很多行業(yè)都有應(yīng)用。3 安全審計(jì)必要性通過(guò)安全審計(jì)系統(tǒng)建

19、設(shè),落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)基本技術(shù)和管理要求中有關(guān)安全審計(jì)控制點(diǎn)及日志和事件存儲(chǔ)的要求,積累信息系統(tǒng)安全等級(jí)保護(hù)工作經(jīng)驗(yàn)。通過(guò)綜合安全審計(jì)平臺(tái)的建設(shè),進(jìn)一步完善我行信息安全保障體系,改變事中及事后安全基礎(chǔ)設(shè)施建設(shè)較弱的現(xiàn)狀；為信息安全管理規(guī)定落實(shí)情況檢查提供技術(shù)支撐手段,不斷完善信息安全管理辦法,提高信息安全管理水平；通過(guò)綜合安全審計(jì)平臺(tái),實(shí)現(xiàn)信息系統(tǒng) IT 基礎(chǔ)設(shè)施日志信息的集中管理,全面掌握 IT 基礎(chǔ)設(shè)施運(yùn)行過(guò)程中出現(xiàn)的隱患,通過(guò)安全事件報(bào)警和日志報(bào)表的方式,在運(yùn)維人員有限的條件下,有效地把握運(yùn)維工作的重點(diǎn),進(jìn)一步增強(qiáng)系統(tǒng)安全運(yùn)維工作的主動(dòng)性,更好地保障系統(tǒng)的正常運(yùn)行。同時(shí),有效規(guī)避日

20、志信息分散存儲(chǔ)存在的非法刪除風(fēng)險(xiǎn),確保安全事故處置的取證工作。 通過(guò)綜合安全審計(jì)平臺(tái)的建設(shè),規(guī)范我行安全審計(jì)管理工作,指導(dǎo)今后信息化項(xiàng)目建設(shè),系統(tǒng)也為安全審計(jì)管理規(guī)范的實(shí)現(xiàn)提供了有效的技術(shù)支撐平臺(tái)。4 安全審計(jì)綜合管理平臺(tái)建設(shè)目標(biāo)根據(jù)總行金融信息管理中心日志管理工作現(xiàn)狀及存在的問(wèn)題,結(jié)合日志審計(jì)系統(tǒng)建成后的預(yù)期收益,現(xiàn)將系統(tǒng)建設(shè)目標(biāo)說(shuō)明如下： 海量日志數(shù)據(jù)的標(biāo)準(zhǔn)化集中管理。根據(jù)即定采集策略,采集信息系統(tǒng) IT 基礎(chǔ)設(shè)施日志信息,規(guī)范日志信息格式,實(shí)現(xiàn)海量日志數(shù)據(jù)的標(biāo)準(zhǔn)化集中存儲(chǔ),同時(shí)保存日志信息的原始數(shù)據(jù),規(guī)避日志信息被非法刪除而帶來(lái)的安全事故處置工作無(wú)法追查取證的風(fēng)險(xiǎn)；加強(qiáng)海量日志數(shù)據(jù)集中管

21、理,特別歷史日志數(shù)據(jù)的管理。 系統(tǒng)運(yùn)行風(fēng)險(xiǎn)及時(shí)報(bào)警與報(bào)表管理基于標(biāo)準(zhǔn)化的日志數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,及時(shí)發(fā)現(xiàn)信息系統(tǒng) IT 基礎(chǔ)設(shè)施運(yùn)行過(guò)程中存在的安全隱患,并根據(jù)策略進(jìn)行及時(shí)報(bào)警,為運(yùn)維人員主動(dòng)保障系統(tǒng)安全運(yùn)行工作提供有效的技術(shù)支撐；實(shí)現(xiàn)安全隱患的報(bào)表管理,更好地支持系統(tǒng)運(yùn)行安全管理工作。 為落實(shí)有關(guān)信息安全管理規(guī)定提供技術(shù)支撐利用安全審計(jì)結(jié)果可以評(píng)估信息安全管理規(guī)定的落實(shí)情況,發(fā)現(xiàn)信息安全管理辦法存在的問(wèn)題,為完善信息安全管理辦法提供依據(jù),持續(xù)改進(jìn),進(jìn)一步提高安全管理水平。 規(guī)范信息系統(tǒng)日志信息管理。根據(jù)日志管理工作現(xiàn)狀,提出信息系統(tǒng)日志信息管理規(guī)范,明確信息系統(tǒng) IT基礎(chǔ)設(shè)施日志配置基本要求、

22、日志內(nèi)容基本要求等,一方面確保日志審計(jì)系統(tǒng)建設(shè)實(shí)現(xiàn)即定目標(biāo)；另一方面指導(dǎo)今后信息化項(xiàng)目建設(shè),完善信息安全管理制度體系,進(jìn)一步提高安全管理水平。 實(shí)現(xiàn)對(duì)我行各業(yè)務(wù)系統(tǒng)主機(jī)、數(shù)據(jù)庫(kù)行為審計(jì)。對(duì)各業(yè)務(wù)系統(tǒng)的主機(jī)、數(shù)據(jù)庫(kù)行為的審計(jì),主要是在不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的前提下,通過(guò)網(wǎng)絡(luò)鏡像流量的方式輔以獨(dú)立日志分析等其它方式對(duì)用戶行為進(jìn)行隱蔽監(jiān)視,對(duì)用戶訪問(wèn)業(yè)務(wù)系統(tǒng)的行為進(jìn)行審計(jì),對(duì)用戶危險(xiǎn)行為進(jìn)行告警并在必要時(shí)進(jìn)行阻斷,對(duì)事后發(fā)現(xiàn)的安全事件進(jìn)行會(huì)話回放,進(jìn)行網(wǎng)絡(luò)通訊取證。 5 安全審計(jì)綜合管理平臺(tái)需求5.1 日志審計(jì)系統(tǒng)需求5.1.1 系統(tǒng)效用需求5.1.1.1 日志采集效用需求 采集范圍日志審計(jì)系統(tǒng)需要

23、對(duì)我行信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、安全系統(tǒng)及其他系統(tǒng)（如網(wǎng)絡(luò)管理系統(tǒng)、存儲(chǔ)設(shè)備等）進(jìn)行日志采集。數(shù)據(jù)庫(kù)是我行數(shù)據(jù)管理的基礎(chǔ),任何數(shù)據(jù)泄漏、篡改、刪除都會(huì)對(duì)稅務(wù)的整體數(shù)據(jù)造成嚴(yán)重?fù)p失。數(shù)據(jù)庫(kù)審計(jì)是安全管理工作中的一個(gè)重要組成部分,通過(guò)對(duì)數(shù)據(jù)庫(kù)的“信息活動(dòng)”實(shí)時(shí)地進(jìn)行監(jiān)測(cè)審計(jì),使管理者對(duì)數(shù)據(jù)庫(kù)的“信息活動(dòng)”一目了然,能夠及時(shí)掌握數(shù)據(jù)庫(kù)服務(wù)器的應(yīng)用情況,及時(shí)發(fā)現(xiàn)客戶端的使用問(wèn)題,存在著哪些安全威脅或隱患并予以糾正,預(yù)防應(yīng)用安全事件的發(fā)生,即便發(fā)生了也能夠可以快速查證并追根尋源。雖然數(shù)據(jù)庫(kù)系統(tǒng)本身能夠提供日志審計(jì)效用,但是數(shù)據(jù)庫(kù)系統(tǒng)自身開(kāi)啟日志審計(jì)效用會(huì)帶給系統(tǒng)較大的負(fù)擔(dān)。為了保證數(shù)據(jù)庫(kù)

24、的性能、穩(wěn)定性,建議采用國(guó)內(nèi)已較為成熟的數(shù)據(jù)庫(kù)審計(jì)技術(shù),通過(guò)在網(wǎng)絡(luò)部署專門(mén)的旁路數(shù)據(jù)庫(kù)審計(jì)硬件設(shè)備,采用鏡像等方式獲取數(shù)據(jù)庫(kù)訪問(wèn)的網(wǎng)絡(luò)報(bào)文流量,實(shí)現(xiàn)針對(duì)各種數(shù)據(jù)庫(kù)用戶的操作命令級(jí)審計(jì),從而隨時(shí)掌握數(shù)據(jù)庫(kù)的安全狀況,及時(shí)發(fā)現(xiàn)和阻止各類(lèi)數(shù)據(jù)操作違規(guī)事件或進(jìn)攻事件,避免數(shù)據(jù)的各類(lèi)安全損失,追查或打擊各類(lèi)違規(guī)、違法行為,提高數(shù)據(jù)庫(kù)數(shù)據(jù)安全管理的水平。該采集方式不會(huì)對(duì)數(shù)據(jù)庫(kù)的運(yùn)行、訪問(wèn)產(chǎn)生任何影響,而且具有更強(qiáng)的實(shí)時(shí)性,是比較理想的數(shù)據(jù)庫(kù)日志審計(jì)的實(shí)現(xiàn)方式。 數(shù)據(jù)來(lái)源與內(nèi)容數(shù)據(jù)來(lái)源：審計(jì)數(shù)據(jù)源需要包括我行信息系統(tǒng)各組件的日志產(chǎn)生點(diǎn),如主機(jī)操作日志、操作系統(tǒng)日志、數(shù)據(jù)庫(kù)審計(jì)日志、安全設(shè)備日志等。數(shù)據(jù)內(nèi)容：

25、異常信息在采集后必須進(jìn)行分類(lèi),例如可以將異常事件信息分成泄密事件和安全運(yùn)行事件兩大類(lèi),以便于我行日志審計(jì)系統(tǒng)管理人員能快速對(duì)事 件進(jìn)行分析。 采集策略采集策略需要包括采集頻率、過(guò)濾、合并策略與信息傳輸策略。支持根據(jù)采集對(duì)象的不同,可以設(shè)置實(shí)時(shí)采集、按秒、分鐘、小時(shí)等采集頻率。支持日志或事件進(jìn)行必要的過(guò)濾和合并,從而只采集有用的、需要關(guān)注的日志和事件信息,屏蔽不需要關(guān)注的日志和事件信息。通過(guò)預(yù)先設(shè)定好的日志信息傳輸策略,使采集到的信息能夠根據(jù)網(wǎng)絡(luò)實(shí)際情況有序地傳輸?shù)綌?shù)據(jù)庫(kù)服務(wù)器進(jìn)行入庫(kù)存儲(chǔ),避免因日志信息瞬間激增而對(duì)網(wǎng)絡(luò)帶寬資源的過(guò)度占用,同時(shí)保證信息傳輸?shù)男?避免斷點(diǎn)重傳。 采集監(jiān)控系統(tǒng)可以

26、監(jiān)控各采集點(diǎn)的日志傳輸狀態(tài),當(dāng)有采集點(diǎn)無(wú)法正常發(fā)送日志信息時(shí),系統(tǒng)可以自動(dòng)進(jìn)行告警通知管理員進(jìn)行處理。5.1.1.2 日志格式標(biāo)準(zhǔn)化需求根據(jù)日志格式標(biāo)準(zhǔn),對(duì)系統(tǒng)采集的信息系統(tǒng) IT 基礎(chǔ)設(shè)施日志信息進(jìn)行標(biāo)準(zhǔn)化處理。5.1.1.3 日志集中存儲(chǔ)需求我行日志審計(jì)系統(tǒng)將對(duì) 300 余個(gè)審計(jì)對(duì)象進(jìn)行日志審計(jì),此系統(tǒng)需要具有海量的數(shù)據(jù)存儲(chǔ)能力,其后臺(tái)數(shù)據(jù)庫(kù)需要采用穩(wěn)定以及先進(jìn)的企業(yè)級(jí)數(shù)據(jù)庫(kù)（如DB2、MSSQLServer 數(shù)據(jù)庫(kù)）；需要有合理的數(shù)據(jù)存儲(chǔ)管理策略；需要支持磁盤(pán)陣列柜以及 SAN、NAS 等存儲(chǔ)方式。5.1.1.4 日志關(guān)聯(lián)分析需求為了解決目前日益嚴(yán)重的復(fù)合型風(fēng)險(xiǎn)威脅,我行日志審計(jì)系統(tǒng)需要

27、具有關(guān)聯(lián)分析效用：將不同安全設(shè)備的響應(yīng)通過(guò)多種條件關(guān)聯(lián)起來(lái),以便于管理員的分析和處理。例如當(dāng)一個(gè)嚴(yán)重的事件或用戶行為發(fā)生后,從網(wǎng)絡(luò)層面、主機(jī)/服務(wù)器層 面、數(shù)據(jù)（庫(kù)）、安全層面到應(yīng)用層面可能都會(huì)有所反應(yīng)（響應(yīng)）,這時(shí)候?qū)徲?jì)系統(tǒng)將進(jìn)行數(shù)據(jù)挖掘,將上述多個(gè)層面、多個(gè)維度的事件或行為數(shù)據(jù)挖掘和抽取、關(guān)聯(lián),將關(guān)聯(lián)的結(jié)果呈現(xiàn)給使用者。5.1.1.5 安全事件報(bào)警需求為了快速、準(zhǔn)確定位安全事件來(lái)源,及時(shí)處理安全事件,我行日志審計(jì)系統(tǒng)必須具備實(shí)時(shí)報(bào)警效用,報(bào)警方式應(yīng)該多樣化,如實(shí)時(shí)屏幕顯示、電子郵件和短信等。5.1.1.6 日志報(bào)表需求我行日志審計(jì)系統(tǒng)的報(bào)表需要支持細(xì)粒度查詢,使管理人員能夠快速對(duì)安全事件進(jìn)

28、行正確的分析,其查詢細(xì)粒度應(yīng)該包括關(guān)鍵字、時(shí)間段、源地址、目的地址、源端口、目的端口、設(shè)備類(lèi)型、事件類(lèi)型、特定審計(jì)對(duì)象等多個(gè)條件的組合查詢,并支持模糊查詢。5.1.2 系統(tǒng)性能需求目前我行日志審計(jì)系統(tǒng)需要審計(jì) 300 臺(tái)以上的設(shè)備,以一臺(tái)設(shè)備 3000 條/小時(shí),每條日志 1KB 為標(biāo)準(zhǔn)計(jì)算,300 臺(tái)設(shè)備每天的總?cè)罩緱l數(shù)為 2160 萬(wàn)條,總?cè)罩玖考s為 21G?；谏鲜鲇?jì)算結(jié)果,結(jié)合同行業(yè)成功案例,建議系統(tǒng)性能如下：處理能力支持安全事件與日志每天 2 千萬(wàn)條以上；支持 120G 以上的數(shù)據(jù)庫(kù)存儲(chǔ)；支持的原始日志和事件的存儲(chǔ)容量可達(dá)到 5 億條；提供對(duì)原始日志及審計(jì)結(jié)果的壓縮存儲(chǔ),文件存儲(chǔ)壓縮

29、比一般不應(yīng)小于 1： 10；根據(jù)審計(jì)要求,原始信息及審計(jì)結(jié)果需保留 6 個(gè)月-1 年,因此,需支持磁盤(pán)陣列、NAS 和 SAN 等多種存儲(chǔ)方式,存儲(chǔ)容量需達(dá)到 7TB 以上。5.1.3 系統(tǒng)安全需求權(quán)限劃分需求：日志審計(jì)系統(tǒng)需要進(jìn)行管理權(quán)限的劃分,不同的管理員具有不同的管理權(quán)限,例如管理配置權(quán)限與審計(jì)操作權(quán)限分離,系統(tǒng)中不允許出現(xiàn)超級(jí)用戶權(quán)限。登錄安全需求：日志審計(jì)系統(tǒng)在用戶登錄上需要強(qiáng)身份鑒別效用以及鑒別失效處理機(jī)制。傳輸安全需求：日志審計(jì)系統(tǒng)各個(gè)組件之間的通訊契約必須支持身份認(rèn)證與傳輸加密,確保數(shù)據(jù)在傳輸過(guò)程中不被泄漏、篡改、刪除。存儲(chǔ)安全需求：日志審計(jì)系統(tǒng)的后端數(shù)據(jù)庫(kù)必須采用安全可靠的大

30、型數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)的訪問(wèn)以及對(duì)日志審計(jì)系統(tǒng)的操作都要通過(guò)嚴(yán)格的身份鑒別,并對(duì)操作者的權(quán)限進(jìn)行嚴(yán)格劃分,保證數(shù)據(jù)存儲(chǔ)安全。接口安全需求：日志審計(jì)系統(tǒng)各組件之間應(yīng)該采用其廠商自身的,未公開(kāi)并且成熟可靠的契約進(jìn)行通信。日志審計(jì)平臺(tái)與其他系統(tǒng)（網(wǎng)絡(luò)設(shè)備、主機(jī)/服務(wù)器、應(yīng)用系統(tǒng)、安全設(shè)備）的接口可采用標(biāo)準(zhǔn)的 SNMP、Syslog 等契約。5.1.4 系統(tǒng)接口需求我行日志審計(jì)系統(tǒng)主要提供如下接口進(jìn)行日志采集：1、Syslog 方式,支持 SYSLOG 契約的設(shè)備,如：防火墻、UNIX 服務(wù)器等；2、ODBC/JDBC 方式,支持?jǐn)?shù)據(jù)庫(kù)聯(lián)接的設(shè)備；3、SNMPTrap 方式,支持 SNMP 契約的設(shè)備,如：

31、交換機(jī)、路由器、網(wǎng)路安全設(shè)備等；4、XML 方式,支持 HTTP 契約的設(shè)備；5、EventLog 方式,支持 Windows 平臺(tái)；6、特定接口方式,對(duì)于不支持通用契約的設(shè)備,需要定制開(kāi)發(fā),如：某網(wǎng)閘隔離系統(tǒng)；7、其他廠商內(nèi)部專用契約。通過(guò)標(biāo)準(zhǔn)的接口,可以采集到網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)的各種類(lèi)型日志：包含登陸信息、登陸認(rèn)證失敗信息、應(yīng)用程序啟動(dòng)信息、進(jìn)程改 變信息、違反防火墻規(guī)則的網(wǎng)絡(luò)行為、IDS 檢測(cè)到的所有入侵事件和 IDS 自身生成的各種日志等。日志信息的采集可以根據(jù)我行信息系統(tǒng)的現(xiàn)實(shí)情況進(jìn)行實(shí)時(shí)傳輸或者定時(shí)傳輸。5.2 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)審計(jì)系統(tǒng)需求5.2.1 審計(jì)效用需求n

32、 安全審計(jì)策略系統(tǒng)應(yīng)允許使用者能夠針對(duì)訪問(wèn)者、被保護(hù)對(duì)象、操作行為,訪問(wèn)源,事件類(lèi)型等特征等制定具體的安全審計(jì)策略。策略制定方式應(yīng)簡(jiǎn)單靈活,既可以制定適應(yīng)于批量對(duì)象的大眾策略,也可以制定適用于單個(gè)被保護(hù)對(duì)象的詳細(xì)策略。系統(tǒng)應(yīng)提供行為全部記錄的默認(rèn)審計(jì)策略。審計(jì)記錄應(yīng)該反應(yīng)出用戶的登錄身份,登錄操作時(shí)使用的主機(jī)或數(shù)據(jù)庫(kù)賬號(hào)信息。在建設(shè)身份認(rèn)證和訪問(wèn)控制效用后,可以禁止或允許用戶使用某個(gè)主機(jī)或數(shù)據(jù)庫(kù)賬號(hào)進(jìn)行登錄和操作。審計(jì)記錄應(yīng)該反應(yīng)出用戶的登錄身份,登錄操作時(shí)使用的主機(jī)、網(wǎng)絡(luò)設(shè)備或數(shù)據(jù)庫(kù)賬號(hào)信息。n 事件實(shí)時(shí)審計(jì)、告警、命令控制能靈活配置實(shí)時(shí)安全審計(jì)控制策略和預(yù)警參數(shù),實(shí)時(shí)發(fā)現(xiàn)可疑操作（如操作系

33、統(tǒng) rm 命令、數(shù)據(jù)庫(kù) drop、delete 命令等）,實(shí)時(shí)發(fā)出告警信息（向控制臺(tái)發(fā)出告警信息、向管理員郵箱發(fā)送告警電子郵件、向管理員手機(jī)發(fā)出告警短消息、通過(guò) SNMP 命令向日志審計(jì)系統(tǒng)、網(wǎng)管系統(tǒng)發(fā)出告警等）。n 行為審計(jì)效用根據(jù)制定的安全審計(jì)策略,系統(tǒng)應(yīng)對(duì)訪問(wèn)者訪問(wèn)被保護(hù)對(duì)象的操作交互過(guò)程進(jìn)行記錄,并允許選擇記錄整個(gè)操作過(guò)程的上行、下行數(shù)據(jù)。系統(tǒng)應(yīng)能夠?qū)徲?jì)記錄重組為會(huì)話的能力。單個(gè)會(huì)話的全部操作行為應(yīng)能夠進(jìn)行回放。 每一條審計(jì)記錄應(yīng)至少提供操作時(shí)間、訪問(wèn)者的身份信息、IP 地址、被保護(hù)對(duì)象（主機(jī)名稱、IP 地址等）、操作內(nèi)容、系統(tǒng)返回內(nèi)容。審計(jì)記錄結(jié)果要實(shí)現(xiàn)集中存儲(chǔ)、集中管理、集中展現(xiàn)

34、。n 事件查詢效用系統(tǒng)需要提供豐富的查詢界面,可以通過(guò)數(shù)據(jù)庫(kù)事件查詢、Telnet 事件查詢、Ftp 事件查詢、事件會(huì)話關(guān)聯(lián)查詢、告警查詢等不同的維度查詢結(jié)果。并支持導(dǎo)出報(bào)表。n 審計(jì)信息的存儲(chǔ)審計(jì)信息要求安全存儲(chǔ),分級(jí)別進(jìn)行管理,普通管理員無(wú)法修改刪除。用戶登錄認(rèn)證及操作日志要求安全存儲(chǔ),普通管理員無(wú)法修改刪除。系統(tǒng)應(yīng)該提供靈活的審計(jì)信息存儲(chǔ)策略,以應(yīng)對(duì)大規(guī)模審計(jì)存儲(chǔ)的要求；可以根據(jù)用戶登錄身份、使用的主機(jī)或數(shù)據(jù)庫(kù)賬號(hào)來(lái)制定審計(jì)信息存儲(chǔ)策略。n 重復(fù)事件歸并通過(guò)配置歸并規(guī)則,系統(tǒng)可以對(duì)大批量的重復(fù)事件做統(tǒng)一歸并,并記錄歸并次數(shù)。n 權(quán)限管理系統(tǒng)需要分管理員和審計(jì)員權(quán)限,審計(jì)員只能審計(jì)授權(quán)審計(jì)

35、的系統(tǒng)的審計(jì)信息。5.2.2 報(bào)表效用需求n 查詢效用系統(tǒng)用戶應(yīng)可按照時(shí)間段、訪問(wèn)者、主機(jī)或數(shù)據(jù)庫(kù)賬號(hào)、被保護(hù)對(duì)象、行為方式、行為特征等關(guān)鍵字進(jìn)行精確或模糊匹配查詢。操作人員根據(jù)查詢結(jié)果可以關(guān)聯(lián)查看整個(gè)會(huì)話的內(nèi)容。n 統(tǒng)計(jì)報(bào)表效用系統(tǒng)應(yīng)提供完整的報(bào)表系統(tǒng)。系統(tǒng)應(yīng)按照訪問(wèn)者、被保護(hù)對(duì)象、行為方式、 操作內(nèi)容（例如數(shù)據(jù)庫(kù)表名稱）等生成統(tǒng)計(jì)報(bào)表,并按照要求添加、修改報(bào)表數(shù)量、格式及內(nèi)容,以滿足安全審計(jì)的要求。5.2.3 審計(jì)對(duì)象及兼容性支持應(yīng)當(dāng)包括（但不限于）：Telnet,等應(yīng)用。操作系統(tǒng)支持：Unix,HP-UNIX,Solaris數(shù)據(jù)庫(kù)支持：Oracle,DB2,Infomix,Mysql,S

36、qlserver應(yīng)確保無(wú)遺漏等現(xiàn)象發(fā)生。5.2.4 系統(tǒng)性能 系統(tǒng)應(yīng)滿足大數(shù)據(jù)量的審計(jì)要求。滿足千兆骨干網(wǎng)絡(luò)審計(jì)要求,無(wú)丟包、漏包現(xiàn)象發(fā)生； 系統(tǒng)應(yīng)提供良好的查詢能力； 系統(tǒng)應(yīng)至少滿足 1 年的審計(jì)數(shù)據(jù)在線存儲(chǔ)的需求,并提供相應(yīng)的離線備份機(jī)制,對(duì)于超過(guò)在線存儲(chǔ)時(shí)限的審計(jì)數(shù)據(jù)應(yīng)提供導(dǎo)入導(dǎo)出的機(jī)制。5.2.5 審計(jì)完整性系統(tǒng)應(yīng)能實(shí)現(xiàn)對(duì)所有訪問(wèn)者通過(guò)審計(jì)途徑對(duì)現(xiàn)網(wǎng)內(nèi)被保護(hù)對(duì)象的遠(yuǎn)程訪問(wèn)行為的審計(jì),無(wú)遺漏、錯(cuò)報(bào)等現(xiàn)象的發(fā)生。6 安全審計(jì)綜合管理平臺(tái)建設(shè)方案6.1 日志審計(jì)系統(tǒng)建設(shè)方案6.1.1 日志管理建議基于我行日志審計(jì)系統(tǒng)的建設(shè)目標(biāo),需要對(duì)我行信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、安全系統(tǒng)等進(jìn)行日志采集,各采集對(duì)象的設(shè)備系統(tǒng)類(lèi)型、采集的日志內(nèi)容、采集方式及采集頻率說(shuō)明如下：審 計(jì) 具體審計(jì)需求描述日志內(nèi)容包括 擬 采 用 的 采 集 采集頻率 內(nèi)容方式Agent 方式；通過(guò)日志安全審計(jì)帳戶登錄注銷(xiāo)、針對(duì)操作系統(tǒng) Solaris AIX Linux HP-UNIXUNIXSYSLOG 中心設(shè)置采集頻率帳號(hào)權(quán)限變更、日志可通過(guò)操作系統(tǒng)啟動(dòng) syslog 方式發(fā)送策略,建議關(guān)閉、shell 操1 分鐘采集一次作日志、科教興國(guó)18