【財務管理內部審計 】某銀行安全審計管理現(xiàn)狀

財務管理內部審計某銀行安全審計管理現(xiàn)狀 某銀行安全審計綜合管理平臺建設方案V1.2 二九年三月目錄1 背景 42 安全審計管理現(xiàn)狀 62.1 安全審計基本概念 62.2 總行金融信息管理中心安全審計管理現(xiàn)狀 92.2.1 日志審計 92.2.2 數(shù)據(jù)庫和網(wǎng)絡審計 112.3 我行安全審計管理辦法制定現(xiàn)狀 112.4 安全審計產品及應用現(xiàn)狀 133 安全審計必要性 134 安全審計綜合管理平臺建設目標 145 安全審計綜合管理平臺需求 165.1 日志審計系統(tǒng)需求 165.1.1 系統(tǒng)效用需求 165.1.2 系統(tǒng)性能需求 195.1.3 系統(tǒng)安全需求 205.1.4 系統(tǒng)接口需求 215.2 數(shù)據(jù)庫和網(wǎng)絡審計系統(tǒng)需求 225.2.1 審計效用需求 225.2.2 報表效用需求 235.2.3 審計對象及兼容性支持 245.2.4 系統(tǒng)性能 245.2.5 審計完整性 256 安全審計綜合管理平臺建設方案 256.1 日志審計系統(tǒng)建設方案 256.1.1 日志管理建議 256.1.2 日志審計系統(tǒng)整體架構 266.1.3 日志采集實現(xiàn)方式 286.1.4 日志標準化實現(xiàn)方式 306.1.5 日志存儲實現(xiàn)方式 316.1.6 日志關聯(lián)分析 326.1.7 安全事件報警 336.1.8 日志報表 346.1.9 系統(tǒng)管理 356.1.10 系統(tǒng)接口規(guī)范 366.2 數(shù)據(jù)庫和網(wǎng)絡審計系統(tǒng)建設方案 37 6.2.1 數(shù)據(jù)庫和網(wǎng)絡行為綜合審計 376.2.2 審計策略 386.2.3 審計內容 396.2.4 告警與響應管理 426.2.5 報表管理 427 系統(tǒng)部署方案 437.1 安全審計綜合管理平臺系統(tǒng)部署方案 437.2 系統(tǒng)部署環(huán)境要求 447.2.1 日志審計系統(tǒng) 447.2.2 數(shù)據(jù)庫和網(wǎng)絡審計系統(tǒng) 457.3 系統(tǒng)實施建議 457.4 二次開發(fā) 461 背景近年來,XX 銀行信息化建設得到快速發(fā)展,央行履行金融調控、金融穩(wěn)定、金融市場和金融服務職能高度依賴于信息技術應用,信息安全問題的全局性影響作用日益增強。目前,XX 銀行信息安全保障體系中安全系統(tǒng)建設已經達到了一定的水平。建設了非法外聯(lián)監(jiān)控管理系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)及補丁分發(fā)系統(tǒng),為客戶端安全管理、網(wǎng)絡安全管理和系統(tǒng)安全管理提供了技術支撐手段,有效提高了安全管理水平；完成制定金融業(yè)星型網(wǎng)間互聯(lián)安全規(guī)范金融業(yè)行業(yè)標準,完善內聯(lián)網(wǎng)外聯(lián)防火墻系統(tǒng),確保 XX 銀行網(wǎng)絡邊界安全；制定并下發(fā)銀行計算機機房規(guī)范化工作指引,規(guī)范和加強機房環(huán)境安全管理。信息安全審計技術是實現(xiàn)信息安全整個過程中關鍵記錄信息的監(jiān)控統(tǒng)計,是信息安全保障體系中不可缺少的一部分。隨著電子政務、電子商務以及各類網(wǎng)上應用的開展得到了普遍關注,并且在越來越多的大型網(wǎng)絡系統(tǒng)中已經成功應用并發(fā)揮著重要作用,特別針對安全事故分析、追蹤起到了關鍵性作用。傳統(tǒng)的安全審計系統(tǒng)局限于對主機的操作系統(tǒng)日志的收集和簡單分析,缺乏對于多種平臺下（Windows 系列、Unix 系列、Solaris 等）、多種網(wǎng)絡設備、重要服務器系統(tǒng)、應用系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)綜合的安全審計效用。 隨著網(wǎng)絡規(guī)模的迅速擴大,單一式的安全審計技術逐步被分布式安全審計技術所代替,加上各類應用系統(tǒng)逐步增多,網(wǎng)絡管理人員/運維人員工作量往往會成倍增加,使得關鍵信息得不到重點關注。大量事實表明,對于安全事件發(fā)生或關鍵數(shù)據(jù)遭到嚴重破壞之前完全可以預先通過日志異常行為告警方式通知管理人員,及時進行分析并采取相應措施進行有效阻止,從而大大降低安全事件的發(fā)生率。目前我行信息安全保障工作尚未有效開展安全審計工作,缺少事后審計的技術支撐手段。當前,信息安全審計作為保障信息系統(tǒng)安全的制度逐漸發(fā)展起來；并已在對信息系統(tǒng)依賴性最高的金融業(yè)開始普及。信息安全審計的相關標準包括ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800 等。這些標準從不同角度提出信息安全控制體系,可以有效地控制信息安全風險。同時,公安部發(fā)布的信息系統(tǒng)安全等級保護技術要求中對安全審計提出明確的技術要求：審計范圍覆蓋網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng),審計內容包括各網(wǎng)絡設備運行狀況、系統(tǒng)資源的異常使用、重要用戶行為和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件。為進一步完善信息安全保障體系,2009 年立項建設安全審計系統(tǒng),不斷提高安全管理水平。2 安全審計管理現(xiàn)狀2.1 安全審計基本概念信息安全審計是企業(yè)內控、信息系統(tǒng)治理、安全風險控制等的不可或缺的關鍵手段。信息安全審計能夠為安全管理員提供一組可進行分析的管理數(shù)據(jù),以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件。利用安全審計結果,可調整安全策略,堵住出現(xiàn)的漏洞。美國信息系統(tǒng)審計的權威專家 RonWeber 又將它定義為收集并評估證據(jù)以決定一個計算機系統(tǒng)是否有效做到保護資產、維護數(shù)據(jù)完整、完成目標,同時最 經濟的使用資源。根據(jù)在信息系統(tǒng)中需要進行安全審計的對象與內容,主要分為日志審計、網(wǎng)絡審計、主機審計。下面分別說明如下：日志審計：日志可以作為責任認定的依據(jù),也可作為系統(tǒng)運行記錄集,對分析系統(tǒng)運行情況、排除故障、提高效率都發(fā)揮重要作用。日志審計是安全審計針對信息系統(tǒng)整體安全狀態(tài)監(jiān)測的基礎技術,主要通過對網(wǎng)絡設備、安全設備、應用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫的集中日志采集、集中存儲和關聯(lián)分析,幫助管理員及時發(fā)現(xiàn)信息系統(tǒng)的安全事件,同時當遇到特殊安全事件和系統(tǒng)故障時,確保日志存在和不被篡改,幫助用戶快速定位追查取證。大量事實表明,對于安全事件發(fā)生或關鍵數(shù)據(jù)遭到嚴重破壞之前完全可以預先通過日志審計進行分析、告警并及時采取相應措施進行有效阻止,從而大大降低安全事件的發(fā)生率。數(shù)據(jù)庫審計：主要負責對數(shù)據(jù)庫的各種訪問操作進行監(jiān)控；是安全審計對數(shù)據(jù)庫進行審計技術。它采用專門的硬件審計引擎,通過旁路部署采用鏡像等方式獲取數(shù)據(jù)庫訪問的網(wǎng)絡報文流量,實時監(jiān)控網(wǎng)絡中數(shù)據(jù)庫的所有訪問操作（如：插入、刪除、更新、用戶自定義操作等）,還原 SQL 操作命令包括源 IP 地址、目的 IP 地址、訪問時間、用戶名、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫表名、字段名等,發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為,及時報警響應、全過程操作還原,從而實現(xiàn)安全事件的準確全程跟蹤定位,全面保障數(shù)據(jù)庫系統(tǒng)安全。該采集方式不會對數(shù)據(jù)庫的運行、訪問產生任何影響,而且具有更強的實時性,是比較理想的數(shù)據(jù)庫日志審計的實現(xiàn)方式。網(wǎng)絡審計：主要負責網(wǎng)絡內容與行為的審計；是安全審計對網(wǎng)絡通信的基礎審計技術。它采用專門的網(wǎng)絡審計硬件引擎,安裝在網(wǎng)絡通信系統(tǒng)的數(shù)據(jù)匯聚點,通過旁路抓取網(wǎng)絡數(shù)據(jù)包進行典型契約分析、識別、判斷和記錄,Telnet、HTTP、Email、FTP、網(wǎng)上聊天、文件共享、流量等的檢測分析等。主機審計：主要負責對網(wǎng)絡重要區(qū)域的客戶機上的各種上網(wǎng)行為、文件拷貝 /打印操作、通過 Modem 擅自連接外網(wǎng)等進行審計。目前我行信息安全系統(tǒng)尚未有效開展安全審計工作,由于缺少對各網(wǎng)絡設備、安全設備、應用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫的集中日志采集、集中存儲和關聯(lián)分析等事后審計、追查取證的技術支撐手段,以至無法在遇到特殊安全事件和系統(tǒng)故障時確保日志存在和不被篡改,同時對主機和數(shù)據(jù)庫的操作行為也沒有審計和管理的手段,不同有效對操作行為進行審計,防止誤操作和惡意行為的發(fā)生,因此我行迫切需要盡快建設安全審計系統(tǒng)（包括日志審計、數(shù)據(jù)庫審計、網(wǎng)絡審計）,確保我行信息系統(tǒng)安全。2.2 我行金融信息管理中心安全審計管理現(xiàn)狀2.2.1 日志審計作為數(shù)據(jù)中心的運維部門,負責運維內聯(lián)網(wǎng)總行局域網(wǎng)、總行機關辦公自動化系統(tǒng)及貨幣發(fā)行信息管理系統(tǒng)、國庫信息處理系統(tǒng)等重要業(yè)務系統(tǒng),保障信息系統(tǒng) IT 基礎設施的安全運行。為更好地制定日志審計系統(tǒng)建設方案,開展了金融信息管理中心日志管理現(xiàn)狀調研工作,調研內容包括設備/系統(tǒng)配置哪些日志信息、日志信息包括哪些屬性、日志采集所支持的契約/接口、日志存儲方式及日志管理現(xiàn)狀,金融信息管理中心日志管理現(xiàn)狀調查表詳見附件。通過分析日志管理現(xiàn)狀調查表,將有關情況說明如下：一、日志內容。網(wǎng)絡設備（包括交換機和路由器）、安全設備（包括防火墻、入侵檢測設備、防病毒管理系統(tǒng)和補丁分發(fā)系統(tǒng)）、辦公自動化系統(tǒng)和重要業(yè)務系統(tǒng)均配置一定的日志信息,其中每類設備具有一定的日志配置規(guī)范,應用系統(tǒng)（辦公自動化系統(tǒng)和重要業(yè)務系統(tǒng)）的日志內容差異較大,數(shù)據(jù)庫和中間件僅配置“進程是否正?！钡娜罩拘畔?。二、日志格式。網(wǎng)絡設備和部分安全設備根據(jù)廠商的不同,其日志格式也不同,無統(tǒng)一的日志格式；應用系統(tǒng)根據(jù)系統(tǒng)平臺的不同,其日志格式也不同,無統(tǒng)一的日志格式。 三、日志采集契約/接口。網(wǎng)絡設備和部分安全設備支持 SNMPTrap 和Syslog 契約,應用系統(tǒng)主要支持 TCP/IP 契約,個別應用系統(tǒng)自定義了日志采集方式。四、日志存儲方式。網(wǎng)絡設備和部分安全設備日志信息集中存儲在日志服務器中,其他設備/系統(tǒng)日志均存儲在本地主機上。日志信息以文本文件、關系型數(shù)據(jù)庫文件、Domino 數(shù)據(jù)庫文件和 XML 文件等方式進行存儲。五、日志管理方式。主要為分散管理,且無日志管理規(guī)范。在系統(tǒng)/設備出現(xiàn)故障時,日志信息是定位故障,解決故障的主要依據(jù)。據(jù)了解,為加強網(wǎng)絡基礎設施運行情況的監(jiān)控,金融信息管理中心通過采集交換機和路由器等網(wǎng)絡設備的日志信息,實現(xiàn)網(wǎng)絡設備日志信息的集中管理,及時發(fā)現(xiàn)網(wǎng)絡設備運行中出現(xiàn)的問題。通過上述現(xiàn)狀的分析,目前日志管理存在如下問題：1、不同系統(tǒng)/設備的日志信息分散存儲,日志信息被非法刪除,導致安全事故處置工作無法追查取證。2、在系統(tǒng)發(fā)生故障后,才去通過日志信息定位故障,導致系統(tǒng)安全運行工作存在一定的被動性,應主動地在日志信息中及時發(fā)現(xiàn)系統(tǒng)運行存在的隱患,提高系統(tǒng)運行安全管理水平。3、隨著我行信息化工作的不斷深入,系統(tǒng)運維工作壓力的不斷加大,如不及時規(guī)范日志信息管理,信管中心將逐步面臨運維的設備多、人員少的問題,不能及時準確把握運維工作的重點。在目前日志信息管理基礎上,若簡單加強日志信息管理,仍存在如下問題：1、通過系統(tǒng)/設備各自的控制臺去查看事件,窗口繁多,而且所有的事件都是孤立的,不同系統(tǒng)/設備之間的事件缺乏關聯(lián),分析起來極為麻煩,無法弄清楚真實的狀況。2、不同系統(tǒng)/設備對同一個事件的描述可能是不同的,管理人員需了解各系統(tǒng)/設備,分析各種不同格式的信息,導致管理人員的工作非常繁重,效率低。3、海量日志信息不但無法幫助找出真正的問題,反而因為太多而造成無法 管理,并且不同系統(tǒng)/設備可能產生不同的日志信息格式,無法做到快速識別和響應。2.2.2 數(shù)據(jù)庫和網(wǎng)絡審計目前我行沒有實現(xiàn)對數(shù)據(jù)庫操作和網(wǎng)絡操作行為的審計。對系統(tǒng)的后臺操作人員的遠程登錄主機、數(shù)據(jù)庫的操作行為無法進行記錄、審計,難以防止系統(tǒng)濫用、泄密等問題的發(fā)生。2.3 我行安全審計管理辦法制定現(xiàn)狀在銀行信息安全管理規(guī)定提出如下安全審計要求：Ø 第一百三十九條各單位科技部門在支持與配合內審部門開展審計信息安全工作的同時,應適時開展本單位和轄內的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術審計,發(fā)現(xiàn)問題及時報本單位或上一級單位主管領導。Ø 第一百四十條各單位應做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計效用配置管理,應完整保留相關日志記錄,一般保留至少一個月,涉及資金交易的業(yè)務系統(tǒng)日志應根據(jù)需要確定保留時間。在銀行信息系統(tǒng)安全配置指引-數(shù)據(jù)庫分冊提出如下安全審計要求：Ø 應配置審計日志,并定期查看、清理日志。Ø 審計內容包括創(chuàng)建、修改或刪除數(shù)據(jù)庫帳戶、數(shù)據(jù)庫對象、數(shù)據(jù)庫表、數(shù)據(jù)庫索引的行為；允許或者撤銷審計效用的行為；授予或者取消數(shù)據(jù)庫系統(tǒng)級別權限的行為；任何因為參考對象不存在而引的錯誤信息；任何改變數(shù)據(jù)庫對象名稱的動作；任何對數(shù)據(jù)庫 Dictionary 或者數(shù)據(jù)庫系統(tǒng)配置的改變；所有數(shù)據(jù)庫連接失敗的記錄；所有 DBA 的數(shù)據(jù)庫連接記錄；所有數(shù)據(jù)庫用戶帳戶升級和刪除操作的審計跟蹤信息。Ø 審計數(shù)據(jù)應被保存為分析程序或者腳下本可讀的格式,時間期限是一年。所有刪除審計數(shù)據(jù)的操作,都應在動態(tài)查帳索引中保留記錄。 Ø 只有 DBA 或者安全審核員有權限選擇、添加、刪除或者修改、停用審計信息。上述安全審計管理要求為開展日志審計系統(tǒng)建設提供了制度保障。2.4 安全審計產品及應用現(xiàn)狀目前市場上安全審計產品按審計類型也有很多產品,日志審計以 SIM 類產品為主,也叫安全信息和事件管理（SIEM）,是安全管理領域發(fā)展的方向。SIM是一個全面的、面向 IT 計算環(huán)境的安全集中管理平臺,這個平臺能夠收集來自計算環(huán)境中各種設備和應用的安全日志和事件,并進行存儲、監(jiān)控、分析、報警、響應和報告,變過去被動的單點防御為全網(wǎng)的綜合防御。由于日志審計對安全廠商的技術開發(fā)能力有較高要求,國內一些較有實力的安全廠商能夠提供較為成熟的日志審計產品。目前,日志審計產品已在政府、運營商、金融、民航等行業(yè)廣泛成功應用。針對數(shù)據(jù)庫和網(wǎng)絡行為審計產品,國內也有多個廠家有比較成熟的產品,在很多行業(yè)都有應用。3 安全審計必要性通過安全審計系統(tǒng)建設,落實信息系統(tǒng)安全等級保護基本技術和管理要求中有關安全審計控制點及日志和事件存儲的要求,積累信息系統(tǒng)安全等級保護工作經驗。通過綜合安全審計平臺的建設,進一步完善我行信息安全保障體系,改變事中及事后安全基礎設施建設較弱的現(xiàn)狀；為信息安全管理規(guī)定落實情況檢查提供技術支撐手段,不斷完善信息安全管理辦法,提高信息安全管理水平；通過綜合安全審計平臺,實現(xiàn)信息系統(tǒng) IT 基礎設施日志信息的集中管理,全面掌握 IT 基礎設施運行過程中出現(xiàn)的隱患,通過安全事件報警和日志報表的方式,在運維人員有限的條件下,有效地把握運維工作的重點,進一步增強系統(tǒng)安全運維工作的主動性,更好地保障系統(tǒng)的正常運行。同時,有效規(guī)避日志信息分散存儲存在的非法刪除風險,確保安全事故處置的取證工作。 通過綜合安全審計平臺的建設,規(guī)范我行安全審計管理工作,指導今后信息化項目建設,系統(tǒng)也為安全審計管理規(guī)范的實現(xiàn)提供了有效的技術支撐平臺。4 安全審計綜合管理平臺建設目標根據(jù)總行金融信息管理中心日志管理工作現(xiàn)狀及存在的問題,結合日志審計系統(tǒng)建成后的預期收益,現(xiàn)將系統(tǒng)建設目標說明如下：Ø 海量日志數(shù)據(jù)的標準化集中管理。根據(jù)即定采集策略,采集信息系統(tǒng) IT 基礎設施日志信息,規(guī)范日志信息格式,實現(xiàn)海量日志數(shù)據(jù)的標準化集中存儲,同時保存日志信息的原始數(shù)據(jù),規(guī)避日志信息被非法刪除而帶來的安全事故處置工作無法追查取證的風險；加強海量日志數(shù)據(jù)集中管理,特別歷史日志數(shù)據(jù)的管理。Ø 系統(tǒng)運行風險及時報警與報表管理基于標準化的日志數(shù)據(jù)進行關聯(lián)分析,及時發(fā)現(xiàn)信息系統(tǒng) IT 基礎設施運行過程中存在的安全隱患,并根據(jù)策略進行及時報警,為運維人員主動保障系統(tǒng)安全運行工作提供有效的技術支撐；實現(xiàn)安全隱患的報表管理,更好地支持系統(tǒng)運行安全管理工作。Ø 為落實有關信息安全管理規(guī)定提供技術支撐利用安全審計結果可以評估信息安全管理規(guī)定的落實情況,發(fā)現(xiàn)信息安全管理辦法存在的問題,為完善信息安全管理辦法提供依據(jù),持續(xù)改進,進一步提高安全管理水平。Ø 規(guī)范信息系統(tǒng)日志信息管理。根據(jù)日志管理工作現(xiàn)狀,提出信息系統(tǒng)日志信息管理規(guī)范,明確信息系統(tǒng) IT基礎設施日志配置基本要求、日志內容基本要求等,一方面確保日志審計系統(tǒng)建設實現(xiàn)即定目標；另一方面指導今后信息化項目建設,完善信息安全管理制度體系,進一步提高安全管理水平。Ø 實現(xiàn)對我行各業(yè)務系統(tǒng)主機、數(shù)據(jù)庫行為審計。對各業(yè)務系統(tǒng)的主機、數(shù)據(jù)庫行為的審計,主要是在不影響業(yè)務系統(tǒng)正常運行的前提下,通過網(wǎng)絡鏡像流量的方式輔以獨立日志分析等其它方式對用戶行為進行隱蔽監(jiān)視,對用戶訪問業(yè)務系統(tǒng)的行為進行審計,對用戶危險行為進行告警并在必要時進行阻斷,對事后發(fā)現(xiàn)的安全事件進行會話回放,進行網(wǎng)絡通訊取證。 5 安全審計綜合管理平臺需求5.1 日志審計系統(tǒng)需求5.1.1 系統(tǒng)效用需求5.1.1.1 日志采集效用需求Ø 采集范圍日志審計系統(tǒng)需要對我行信息系統(tǒng)中的網(wǎng)絡設備、主機系統(tǒng)、應用系統(tǒng)、安全系統(tǒng)及其他系統(tǒng)（如網(wǎng)絡管理系統(tǒng)、存儲設備等）進行日志采集。數(shù)據(jù)庫是我行數(shù)據(jù)管理的基礎,任何數(shù)據(jù)泄漏、篡改、刪除都會對稅務的整體數(shù)據(jù)造成嚴重損失。數(shù)據(jù)庫審計是安全管理工作中的一個重要組成部分,通過對數(shù)據(jù)庫的“信息活動”實時地進行監(jiān)測審計,使管理者對數(shù)據(jù)庫的“信息活動”一目了然,能夠及時掌握數(shù)據(jù)庫服務器的應用情況,及時發(fā)現(xiàn)客戶端的使用問題,存在著哪些安全威脅或隱患并予以糾正,預防應用安全事件的發(fā)生,即便發(fā)生了也能夠可以快速查證并追根尋源。雖然數(shù)據(jù)庫系統(tǒng)本身能夠提供日志審計效用,但是數(shù)據(jù)庫系統(tǒng)自身開啟日志審計效用會帶給系統(tǒng)較大的負擔。為了保證數(shù)據(jù)庫的性能、穩(wěn)定性,建議采用國內已較為成熟的數(shù)據(jù)庫審計技術,通過在網(wǎng)絡部署專門的旁路數(shù)據(jù)庫審計硬件設備,采用鏡像等方式獲取數(shù)據(jù)庫訪問的網(wǎng)絡報文流量,實現(xiàn)針對各種數(shù)據(jù)庫用戶的操作命令級審計,從而隨時掌握數(shù)據(jù)庫的安全狀況,及時發(fā)現(xiàn)和阻止各類數(shù)據(jù)操作違規(guī)事件或進攻事件,避免數(shù)據(jù)的各類安全損失,追查或打擊各類違規(guī)、違法行為,提高數(shù)據(jù)庫數(shù)據(jù)安全管理的水平。該采集方式不會對數(shù)據(jù)庫的運行、訪問產生任何影響,而且具有更強的實時性,是比較理想的數(shù)據(jù)庫日志審計的實現(xiàn)方式。Ø 數(shù)據(jù)來源與內容數(shù)據(jù)來源：審計數(shù)據(jù)源需要包括我行信息系統(tǒng)各組件的日志產生點,如主機操作日志、操作系統(tǒng)日志、數(shù)據(jù)庫審計日志、安全設備日志等。數(shù)據(jù)內容：異常信息在采集后必須進行分類,例如可以將異常事件信息分成泄密事件和安全運行事件兩大類,以便于我行日志審計系統(tǒng)管理人員能快速對事 件進行分析。Ø 采集策略采集策略需要包括采集頻率、過濾、合并策略與信息傳輸策略。支持根據(jù)采集對象的不同,可以設置實時采集、按秒、分鐘、小時等采集頻率。支持日志或事件進行必要的過濾和合并,從而只采集有用的、需要關注的日志和事件信息,屏蔽不需要關注的日志和事件信息。通過預先設定好的日志信息傳輸策略,使采集到的信息能夠根據(jù)網(wǎng)絡實際情況有序地傳輸?shù)綌?shù)據(jù)庫服務器進行入庫存儲,避免因日志信息瞬間激增而對網(wǎng)絡帶寬資源的過度占用,同時保證信息傳輸?shù)男?避免斷點重傳。Ø 采集監(jiān)控系統(tǒng)可以監(jiān)控各采集點的日志傳輸狀態(tài),當有采集點無法正常發(fā)送日志信息時,系統(tǒng)可以自動進行告警通知管理員進行處理。5.1.1.2 日志格式標準化需求根據(jù)日志格式標準,對系統(tǒng)采集的信息系統(tǒng) IT 基礎設施日志信息進行標準化處理。5.1.1.3 日志集中存儲需求我行日志審計系統(tǒng)將對 300 余個審計對象進行日志審計,此系統(tǒng)需要具有海量的數(shù)據(jù)存儲能力,其后臺數(shù)據(jù)庫需要采用穩(wěn)定以及先進的企業(yè)級數(shù)據(jù)庫（如DB2、MSSQLServer 數(shù)據(jù)庫）；需要有合理的數(shù)據(jù)存儲管理策略；需要支持磁盤陣列柜以及 SAN、NAS 等存儲方式。5.1.1.4 日志關聯(lián)分析需求為了解決目前日益嚴重的復合型風險威脅,我行日志審計系統(tǒng)需要具有關聯(lián)分析效用：將不同安全設備的響應通過多種條件關聯(lián)起來,以便于管理員的分析和處理。例如當一個嚴重的事件或用戶行為發(fā)生后,從網(wǎng)絡層面、主機/服務器層 面、數(shù)據(jù)（庫）、安全層面到應用層面可能都會有所反應（響應）,這時候審計系統(tǒng)將進行數(shù)據(jù)挖掘,將上述多個層面、多個維度的事件或行為數(shù)據(jù)挖掘和抽取、關聯(lián),將關聯(lián)的結果呈現(xiàn)給使用者。5.1.1.5 安全事件報警需求為了快速、準確定位安全事件來源,及時處理安全事件,我行日志審計系統(tǒng)必須具備實時報警效用,報警方式應該多樣化,如實時屏幕顯示、電子郵件和短信等。5.1.1.6 日志報表需求我行日志審計系統(tǒng)的報表需要支持細粒度查詢,使管理人員能夠快速對安全事件進行正確的分析,其查詢細粒度應該包括關鍵字、時間段、源地址、目的地址、源端口、目的端口、設備類型、事件類型、特定審計對象等多個條件的組合查詢,并支持模糊查詢。5.1.2 系統(tǒng)性能需求目前我行日志審計系統(tǒng)需要審計 300 臺以上的設備,以一臺設備 3000 條/小時,每條日志 1KB 為標準計算,300 臺設備每天的總日志條數(shù)為 2160 萬條,總日志量約為 21G。基于上述計算結果,結合同行業(yè)成功案例,建議系統(tǒng)性能如下：處理能力支持安全事件與日志每天 2 千萬條以上；支持 120G 以上的數(shù)據(jù)庫存儲；支持的原始日志和事件的存儲容量可達到 5 億條；提供對原始日志及審計結果的壓縮存儲,文件存儲壓縮比一般不應小于 1： 10；根據(jù)審計要求,原始信息及審計結果需保留 6 個月-1 年,因此,需支持磁盤陣列、NAS 和 SAN 等多種存儲方式,存儲容量需達到 7TB 以上。5.1.3 系統(tǒng)安全需求權限劃分需求：日志審計系統(tǒng)需要進行管理權限的劃分,不同的管理員具有不同的管理權限,例如管理配置權限與審計操作權限分離,系統(tǒng)中不允許出現(xiàn)超級用戶權限。登錄安全需求：日志審計系統(tǒng)在用戶登錄上需要強身份鑒別效用以及鑒別失效處理機制。傳輸安全需求：日志審計系統(tǒng)各個組件之間的通訊契約必須支持身份認證與傳輸加密,確保數(shù)據(jù)在傳輸過程中不被泄漏、篡改、刪除。存儲安全需求：日志審計系統(tǒng)的后端數(shù)據(jù)庫必須采用安全可靠的大型數(shù)據(jù)庫,數(shù)據(jù)庫的訪問以及對日志審計系統(tǒng)的操作都要通過嚴格的身份鑒別,并對操作者的權限進行嚴格劃分,保證數(shù)據(jù)存儲安全。接口安全需求：日志審計系統(tǒng)各組件之間應該采用其廠商自身的,未公開并且成熟可靠的契約進行通信。日志審計平臺與其他系統(tǒng)（網(wǎng)絡設備、主機/服務器、應用系統(tǒng)、安全設備）的接口可采用標準的 SNMP、Syslog 等契約。5.1.4 系統(tǒng)接口需求我行日志審計系統(tǒng)主要提供如下接口進行日志采集：1、Syslog 方式,支持 SYSLOG 契約的設備,如：防火墻、UNIX 服務器等；2、ODBC/JDBC 方式,支持數(shù)據(jù)庫聯(lián)接的設備；3、SNMPTrap 方式,支持 SNMP 契約的設備,如：交換機、路由器、網(wǎng)路安全設備等；4、XML 方式,支持 HTTP 契約的設備；5、EventLog 方式,支持 Windows 平臺；6、特定接口方式,對于不支持通用契約的設備,需要定制開發(fā),如：某網(wǎng)閘隔離系統(tǒng)；7、其他廠商內部專用契約。通過標準的接口,可以采集到網(wǎng)絡設備、安全設備、主機系統(tǒng)、應用系統(tǒng)的各種類型日志：包含登陸信息、登陸認證失敗信息、應用程序啟動信息、進程改 變信息、違反防火墻規(guī)則的網(wǎng)絡行為、IDS 檢測到的所有入侵事件和 IDS 自身生成的各種日志等。日志信息的采集可以根據(jù)我行信息系統(tǒng)的現(xiàn)實情況進行實時傳輸或者定時傳輸。5.2 數(shù)據(jù)庫和網(wǎng)絡審計系統(tǒng)需求5.2.1 審計效用需求n 安全審計策略系統(tǒng)應允許使用者能夠針對訪問者、被保護對象、操作行為,訪問源,事件類型等特征等制定具體的安全審計策略。策略制定方式應簡單靈活,既可以制定適應于批量對象的大眾策略,也可以制定適用于單個被保護對象的詳細策略。系統(tǒng)應提供行為全部記錄的默認審計策略。審計記錄應該反應出用戶的登錄身份,登錄操作時使用的主機或數(shù)據(jù)庫賬號信息。在建設身份認證和訪問控制效用后,可以禁止或允許用戶使用某個主機或數(shù)據(jù)庫賬號進行登錄和操作。審計記錄應該反應出用戶的登錄身份,登錄操作時使用的主機、網(wǎng)絡設備或數(shù)據(jù)庫賬號信息。n 事件實時審計、告警、命令控制能靈活配置實時安全審計控制策略和預警參數(shù),實時發(fā)現(xiàn)可疑操作（如操作系統(tǒng) rm 命令、數(shù)據(jù)庫 drop、delete 命令等）,實時發(fā)出告警信息（向控制臺發(fā)出告警信息、向管理員郵箱發(fā)送告警電子郵件、向管理員手機發(fā)出告警短消息、通過 SNMP 命令向日志審計系統(tǒng)、網(wǎng)管系統(tǒng)發(fā)出告警等）。n 行為審計效用根據(jù)制定的安全審計策略,系統(tǒng)應對訪問者訪問被保護對象的操作交互過程進行記錄,并允許選擇記錄整個操作過程的上行、下行數(shù)據(jù)。系統(tǒng)應能夠將審計記錄重組為會話的能力。單個會話的全部操作行為應能夠進行回放。 每一條審計記錄應至少提供操作時間、訪問者的身份信息、IP 地址、被保護對象（主機名稱、IP 地址等）、操作內容、系統(tǒng)返回內容。審計記錄結果要實現(xiàn)集中存儲、集中管理、集中展現(xiàn)。n 事件查詢效用系統(tǒng)需要提供豐富的查詢界面,可以通過數(shù)據(jù)庫事件查詢、Telnet 事件查詢、Ftp 事件查詢、事件會話關聯(lián)查詢、告警查詢等不同的維度查詢結果。并支持導出報表。n 審計信息的存儲審計信息要求安全存儲,分級別進行管理,普通管理員無法修改刪除。用戶登錄認證及操作日志要求安全存儲,普通管理員無法修改刪除。系統(tǒng)應該提供靈活的審計信息存儲策略,以應對大規(guī)模審計存儲的要求；可以根據(jù)用戶登錄身份、使用的主機或數(shù)據(jù)庫賬號來制定審計信息存儲策略。n 重復事件歸并通過配置歸并規(guī)則,系統(tǒng)可以對大批量的重復事件做統(tǒng)一歸并,并記錄歸并次數(shù)。n 權限管理系統(tǒng)需要分管理員和審計員權限,審計員只能審計授權審計的系統(tǒng)的審計信息。5.2.2 報表效用需求n 查詢效用系統(tǒng)用戶應可按照時間段、訪問者、主機或數(shù)據(jù)庫賬號、被保護對象、行為方式、行為特征等關鍵字進行精確或模糊匹配查詢。操作人員根據(jù)查詢結果可以關聯(lián)查看整個會話的內容。n 統(tǒng)計報表效用系統(tǒng)應提供完整的報表系統(tǒng)。系統(tǒng)應按照訪問者、被保護對象、行為方式、 操作內容（例如數(shù)據(jù)庫表名稱）等生成統(tǒng)計報表,并按照要求添加、修改報表數(shù)量、格式及內容,以滿足安全審計的要求。5.2.3 審計對象及兼容性支持應當包括（但不限于）：Telnet,等應用。操作系統(tǒng)支持：Unix,HP-UNIX,Solaris數(shù)據(jù)庫支持：Oracle,DB2,Infomix,Mysql,Sqlserver應確保無遺漏等現(xiàn)象發(fā)生。5.2.4 系統(tǒng)性能Ø 系統(tǒng)應滿足大數(shù)據(jù)量的審計要求。滿足千兆骨干網(wǎng)絡審計要求,無丟包、漏包現(xiàn)象發(fā)生；Ø 系統(tǒng)應提供良好的查詢能力；Ø 系統(tǒng)應至少滿足 1 年的審計數(shù)據(jù)在線存儲的需求,并提供相應的離線備份機制,對于超過在線存儲時限的審計數(shù)據(jù)應提供導入導出的機制。5.2.5 審計完整性系統(tǒng)應能實現(xiàn)對所有訪問者通過審計途徑對現(xiàn)網(wǎng)內被保護對象的遠程訪問行為的審計,無遺漏、錯報等現(xiàn)象的發(fā)生。6 安全審計綜合管理平臺建設方案6.1 日志審計系統(tǒng)建設方案6.1.1 日志管理建議基于我行日志審計系統(tǒng)的建設目標,需要對我行信息系統(tǒng)中的網(wǎng)絡設備、主機系統(tǒng)、應用系統(tǒng)、安全系統(tǒng)等進行日志采集,各采集對象的設備系統(tǒng)類型、采集的日志內容、采集方式及采集頻率說明如下：審 計 具體審計需求描述日志內容包括 擬 采 用 的 采 集 采集頻率 內容方式Agent 方式；通過日志安全審計帳戶登錄注銷、針對操作系統(tǒng)ü Solarisü AIXü Linuxü HP-UNIXUNIXSYSLOG 中心設置采集頻率帳號權限變更、日志可通過操作系統(tǒng)啟動 syslog 方式發(fā)送策略,建議關閉、shell 操1 分鐘采集一次作日志、科教興國18