《某银行安全审计管理现状6497.docx》由会员分享,可在线阅读,更多相关《某银行安全审计管理现状6497.docx(46页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 某银行安全审计综合管管理平台建设设方案V1.2二九年三月目 录1背景42安全审计管理理现状62.1安全审计计基本概念62.2 总行金金融信息管理理中心安全审审计管理现状状92.2.1日志志审计92.2.2数据据库和网络审审计112.3 我行安安全审计管理理办法制定现现状112.4 安全审审计产品及应应用现状133安全审计必要要性134安全审计综合合管理平台建建设目标145安全审计综合合管理平台需需求165.1日志审计计系统需求165.1.1系统统功能需求165.1.2 系系统性能需求求195.1.3 系系统安全需求求205.1.44 系统接口口需求215.2数据库和和网络审计系系统需求225
2、.2.1审计计功能需求225.2.2报表表功能需求235.2.3审计计对象及兼容容性支持245.2.4系统统性能245.2.5审计计完整性256安全审计综合合管理平台建建设方案256.1日志审计计系统建设方方案256.1.1 日日志管理建议议256.1.2 日日志审计系统统整体架构266.1.3 日日志采集实现现方式286.1.4 日日志标准化实实现方式306.1.5 日日志存储实现现方式316.1.6 日日志关联分析析326.1.7 安安全事件报警警336.1.8 日日志报表346.1.9系统统管理356.1.10 系统接口规规范366.2数数据库和网络络审计系统建建设方案376.2.1数据
3、据库和网络行行为综合审计计376.2.2审计计策略386.2.3审计计内容396.2.4告警警与响应管理理426.2.5报表表管理427系统部署方案案437.1 安全审审计综合管理理平台系统部部署方案437.2系统部署署环境要求447.2.1日志志审计系统447.2.2数据据库和网络审审计系统457.3 系统实实施建议457.4 二次开开发461背景近年来,XX银银行信息化建建设得到快速速发展,央行行履行金融调调控、金融稳稳定、金融市市场和金融服服务职能高度度依赖于信息息技术应用,信信息安全问题题的全局性影影响作用日益益增强。目前,XX银行行信息安全保保障体系中安安全系统建设设已经达到了了一定
4、的水平平。建设了非非法外联监控控管理系统、入入侵检测系统统、漏洞扫描描系统、防病病毒系统及补补丁分发系统统,为客户端端安全管理、网网络安全管理理和系统安全全管理提供了了技术支撑手手段,有效提提高了安全管管理水平;完完成制定金金融业星型网网间互联安全全规范金融融业行业标准准,完善内联联网外联防火火墙系统,确确保XX银行行网络边界安安全;制定并并下发银行行计算机机房房规范化工作作指引,规规范和加强机机房环境安全全管理。信息安全审计技技术是实现信信息安全整个个过程中关键键记录信息的的监控统计,是是信息安全保保障体系中不不可缺少的一一部分。随着着电子政务、电电子商务以及及各类网上应应用的开展得得到了普
5、遍关关注,并且在在越来越多的的大型网络系系统中已经成成功应用并发发挥着重要作作用,特别针针对安全事故故分析、追踪踪起到了关键键性作用。传统的安全审计计系统局限于于对主机的操操作系统日志志的收集和简简单分析,缺缺乏对于多种种平台下(WWindowws系列、UUnix系列列、Solaaris等)、多多种网络设备备、重要服务务器系统、应应用系统以及及数据库系统统综合的安全全审计功能。随着网络规模的的迅速扩大,单单一式的安全全审计技术逐逐步被分布式式安全审计技技术所代替,加加上各类应用用系统逐步增增多,网络管管理人员/运运维人员工作作量往往会成成倍增加,使使得关键信息息得不到重点点关注。大量量事实表明
6、,对对于安全事件件发生或关键键数据遭到严严重破坏之前前完全可以预预先通过日志志异常行为告告警方式通知知管理人员,及及时进行分析析并采取相应应措施进行有有效阻止,从从而大大降低低安全事件的的发生率。目前我行信息安安全保障工作作尚未有效开开展安全审计计工作,缺少少事后审计的的技术支撑手手段。当前,信信息安全审计计作为保障信信息系统安全全的制度逐渐渐发展起来;并已在对信信息系统依赖赖性最高的金金融业开始普普及。信息安安全审计的相相关标准包括括ISO/IIEC177799、COOSO、COOBIT、IITIL、NNISTSPP800等。这这些标准从不不同角度提出出信息安全控控制体系,可可以有效地控控制
7、信息安全全风险。同时时,公安部发发布的信息息系统安全等等级保护技术术要求中对对安全审计提提出明确的技技术要求:审审计范围覆盖盖网络设备、操操作系统、数数据库、应用用系统,审计计内容包括各各网络设备运运行状况、系系统资源的异异常使用、重重要用户行为为和重要系统统命令的使用用等系统内重重要的安全相相关事件。为进一步完善信信息安全保障障体系,20009年立项项建设安全审计系统统,不断提高高安全管理水水平。2安全审计管理理现状2.1安全审计计基本概念信息安全审计是是企业内控、信信息系统治理理、安全风险险控制等的不不可或缺的关关键手段。信信息安全审计计能够为安全全管理员提供供一组可进行行分析的管理理数据
8、,以发发现在何处发发生了违反安安全方案的事事件。利用安安全审计结果果,可调整安安全策略,堵堵住出现的漏漏洞。美国信息系统审审计的权威专专家Ron Weberr又将它定义义为收集并评评估证据以决决定一个计算算机系统是否否有效做到保保护资产、维维护数据完整整、完成目标标,同时最经经济的使用资资源。根据在在信息系统中中需要进行安安全审计的对对象与内容,主主要分为日志志审计、网络络审计、主机机审计。下面面分别说明如如下:日志审计:日志志可以作为责责任认定的依依据,也可作作为系统运行行记录集,对对分析系统运运行情况、排排除故障、提提高效率都发发挥重要作用用。日志审计计是安全审计计针对信息系系统整体安全全
9、状态监测的的基础技术,主主要通过对网网络设备、安安全设备、应应用系统、操操作系统、数数据库的集中中日志采集、集集中存储和关关联分析,帮帮助管理员及及时发现信息息系统的安全全事件,同时时当遇到特殊殊安全事件和和系统故障时时,确保日志志存在和不被被篡改,帮助助用户快速定定位追查取证证。大量事实实表明,对于于安全事件发发生或关键数数据遭到严重重破坏之前完完全可以预先先通过日志审审计进行分析析、告警并及及时采取相应应措施进行有有效阻止,从从而大大降低低安全事件的的发生率。数据库审计:主主要负责对数数据库的各种种访问操作进进行监控;是是安全审计对对数据库进行行审计技术。它它采用专门的的硬件审计引引擎,通
10、过旁旁路部署采用用镜像等方式式获取数据库库访问的网络络报文流量,实实时监控网络络中数据库的的所有访问操操作(如:插插入、删除、更更新、用户自自定义操作等等),还原SSQL操作命命令包括源IIP地址、目目的IP地址址、访问时间间、用户名、数数据库操作类类型、数据库库表名、字段段名等,发现现各种违规数数据库操作行行为,及时报报警响应、全全过程操作还还原,从而实实现安全事件件的准确全程程跟踪定位,全全面保障数据据库系统安全全。该采集方方式不会对数数据库的运行行、访问产生生任何影响,而且具具有更强的实实时性,是比比较理想的数数据库日志审审计的实现方方式。网络审计:主要要负责网络内内容与行为的的审计;是
11、安安全审计对网网络通信的基基础审计技术术。它采用专专门的网络审审计硬件引擎擎,安装在网网络通信系统统的数据汇聚聚点,通过旁旁路抓取网络络数据包进行行典型协议分分析、识别、判判断和记录,Telnet、HTTP、Email、FTP、网上聊天、文件共享、流量等的检测分析等。主机审计:主要负责对网络重要区域的客户机上的各种上网行为、文件拷贝/打印操作、通过Modem擅自连接外网等进行审计。目前我行信息安安全系统尚未未有效开展安安全审计工作,由由于缺少对各各网络设备、安安全设备、应应用系统、操操作系统、数数据库的集中中日志采集、集集中存储和关关联分析等事事后审计、追追查取证的技技术支撑手段段,以至无法法
12、在遇到特殊殊安全事件和和系统故障时时确保日志存存在和不被篡篡改,同时对对主机和数据据库的操作行行为也没有审审计和管理的的手段,不同同有效对操作作行为进行审审计,防止误误操作和恶意意行为的发生生,因此我行行迫切需要尽快快建设安全审计系统统(包括日志志审计、数据据库审计、网网络审计),确确保我行信息息系统安全。2.2 我行金金融信息管理理中心安全审计管理理现状2.2.1日志志审计作为数据中心的的运维部门,负负责运维内联联网总行局域域网、总行机机关办公自动动化系统及货货币发行信息息管理系统、国国库信息处理理系统等重要要业务系统,保保障信息系统统IT基础设设施的安全运运行。为更好好地制定日志志审计系统
13、建建设方案,开开展了金融信信息管理中心心日志管理现现状调研工作作,调研内容容包括设备/系统配置哪哪些日志信息息、日志信息息包括哪些属属性、日志采采集所支持的的协议/接口口、日志存储储方式及日志志管理现状,金金融信息管理理中心日志管管理现状调查查表详见附件件。通过分析析日志管理现现状调查表,将将有关情况说说明如下:一、日志内容。网网络设备(包包括交换机和和路由器)、安安全设备(包包括防火墙、入入侵检测设备备、防病毒管管理系统和补补丁分发系统统)、办公自自动化系统和和重要业务系系统均配置一一定的日志信信息,其中每每类设备具有有一定的日志志配置规范,应应用系统(办办公自动化系系统和重要业业务系统)的
14、的日志内容差差异较大,数数据库和中间间件仅配置“进程是否正正常”的日志信息息。二、日志格式。网网络设备和部部分安全设备备根据厂商的的不同,其日日志格式也不不同,无统一一的日志格式式;应用系统统根据系统平平台的不同,其其日志格式也也不同,无统统一的日志格格式。三、日志采集协协议/接口。网网络设备和部部分安全设备备支持SNMMP Traap和Sysslog协议议,应用系统统主要支持TTCP/IPP协议,个别别应用系统自自定义了日志志采集方式。四、日志存储方方式。网络设设备和部分安安全设备日志志信息集中存存储在日志服服务器中,其其他设备/系系统日志均存存储在本地主主机上。日志志信息以文本本文件、关系
15、系型数据库文文件、Dommino数据据库文件和XXML文件等等方式进行存存储。五、日志管理方方式。主要为为分散管理,且无日志管管理规范。在在系统/设备备出现故障时时,日志信息息是定位故障障,解决故障障的主要依据据。据了解,为加强强网络基础设设施运行情况况的监控,金金融信息管理理中心通过采采集交换机和和路由器等网网络设备的日日志信息,实实现网络设备备日志信息的的集中管理,及及时发现网络络设备运行中中出现的问题题。通过上述现状的的分析,目前前日志管理存存在如下问题题:1、不同系统/设备的日志志信息分散存存储,日志信信息被非法删删除,导致安安全事故处置置工作无法追追查取证。2、在系统发生生故障后,才
16、才去通过日志志信息定位故故障,导致系系统安全运行行工作存在一一定的被动性性,应主动地地在日志信息息中及时发现现系统运行存存在的隐患,提提高系统运行行安全管理水水平。3、随着我行信信息化工作的的不断深入,系系统运维工作作压力的不断断加大,如不不及时规范日日志信息管理理,信管中心心将逐步面临临运维的设备备多、人员少少的问题,不不能及时准确确把握运维工工作的重点。在目前日志信息息管理基础上上,若简单加加强日志信息息管理,仍存存在如下问题题:1、通过系统/设备各自的的控制台去查查看事件,窗窗口繁多,而而且所有的事事件都是孤立立的,不同系系统/设备之之间的事件缺缺乏关联,分分析起来极为为麻烦,无法法弄清
17、楚真实实的状况。2、不同系统/设备对同一一个事件的描描述可能是不不同的,管理理人员需了解解各系统/设设备,分析各各种不同格式式的信息,导导致管理人员员的工作非常常繁重,效率率低。3、海量日志信信息不但无法法帮助找出真真正的问题,反反而因为太多多而造成无法法管理,并且且不同系统/设备可能产产生不同的日日志信息格式式,无法做到到快速识别和和响应。2.2.2数据据库和网络审计目前我行没有实实现对数据库库操作和网络络操作行为的的审计。对系统的后台台操作人员的的远程登录主主机、数据库库的操作行为为无法进行记记录、审计,难难以防止系统统滥用、泄密密等问题的发发生。2.3 我行安安全审计管理理办法制定现现状
18、在银行信息安安全管理规定定提出如下下安全审计要要求: 第一百三十九条条各单位科技技部门在支持持与配合内审审部门开展审审计信息安全全工作的同时时,应适时开开展本单位和和辖内的信息息系统日常运运行管理和信信息安全事件件全过程的技技术审计,发发现问题及时时报本单位或或上一级单位位主管领导。 第一百四十条各单位应做做好操作系统统、数据库管管理系统等审审计功能配置置管理,应完完整保留相关关日志记录,一一般保留至少少一个月,涉涉及资金交易易的业务系统统日志应根据据需要确定保保留时间。在银行信息系系统安全配置置指引-数据据库分册提提出如下安全全审计要求: 应配置审计日志志,并定期查查看、清理日日志。 审计内
19、容包括创创建、修改或或删除数据库库帐户、数据据库对象、数数据库表、数数据库索引的的行为;允许许或者撤销审审计功能的行行为;授予或或者取消数据据库系统级别别权限的行为为;任何因为为参考对象不不存在而引的的错误信息;任何改变数数据库对象名名称的动作;任何对数据据库Dicttionarry或者数据据库系统配置置的改变;所所有数据库连连接失败的记记录;所有DDBA的数据据库连接记录录;所有数据据库用户帐户户升级和删除除操作的审计计跟踪信息。 审计数据应被保保存为分析程程序或者脚下下本可读的格格式,时间期期限是一年。所所有删除审计计数据的操作作,都应在动动态查帐索引引中保留记录录。 只有DBA或者者安全
20、审核员员有权限选择择、添加、删删除或者修改改、停用审计计信息。上述安全审计管管理要求为开开展日志审计计系统建设提提供了制度保保障。2.4 安全审审计产品及应应用现状目前市场上安全全审计产品按按审计类型也也有很多产品品,日志审计计以SIM类类产品为主,也也叫安全信息息和事件管理理(SIEMM),是安全全管理领域发发展的方向。SSIM是一个个全面的、面面向IT计算算环境的安全全集中管理平平台,这个平平台能够收集集来自计算环环境中各种设设备和应用的的安全日志和和事件,并进进行存储、监监控、分析、报报警、响应和和报告,变过过去被动的单单点防御为全全网的综合防防御。由于日志审计对对安全厂商的的技术开发能
21、能力有较高要要求,国内一一些较有实力力的安全厂商商能够提供较较为成熟的日日志审计产品品。目前,日志审计产产品已在政府府、运营商、金金融、民航等行业业广泛成功应应用。针对数据库和网网络行为审计产品品,国内也有有多个厂家有有比较成熟的的产品,在很很多行业都有有应用。3安全审计必要要性通过安全审计系系统建设,落落实信息系统统安全等级保保护基本技术术和管理要求求中有关安全全审计控制点点及日志和事事件存储的要要求,积累信信息系统安全全等级保护工工作经验。通过综合安全审审计平台的建建设,进一步步完善我行信信息安全保障障体系,改变变事中及事后后安全基础设设施建设较弱弱的现状;为为信息安全管管理规定落实实情况
22、检查提提供技术支撑撑手段,不断断完善信息安安全管理办法法,提高信息息安全管理水水平;通过综合安全审审计平台,实实现信息系统统IT基础设设施日志信息息的集中管理理,全面掌握握IT基础设设施运行过程程中出现的隐隐患,通过安安全事件报警警和日志报表表的方式,在在运维人员有有限的条件下下,有效地把把握运维工作作的重点,进进一步增强系系统安全运维维工作的主动动性,更好地地保障系统的的正常运行。同同时,有效规规避日志信息息分散存储存存在的非法删删除风险,确确保安全事故故处置的取证证工作。通过综合安全审审计平台的建建设,规范我我行安全审计计管理工作,指指导今后信息息化项目建设设,系统也为为安全审计管理理规范
23、的实现现提供了有效效的技术支撑撑平台。4安全审计综合合管理平台建建设目标根据总行金融信信息管理中心心日志管理工工作现状及存存在的问题,结结合日志审计计系统建成后后的预期收益益,现将系统统建设目标说说明如下: 海量日志数据的的标准化集中中管理。根据即定采集策策略,采集信信息系统ITT基础设施日日志信息,规规范日志信息息格式,实现现海量日志数数据的标准化化集中存储,同同时保存日志志信息的原始始数据,规避避日志信息被被非法删除而而带来的安全全事故处置工工作无法追查查取证的风险险;加强海量量日志数据集集中管理,特特别历史日志志数据的管理理。 系统运行风险及及时报警与报报表管理基于标准化的日日志数据进行
24、行关联分析,及及时发现信息息系统IT基基础设施运行行过程中存在在的安全隐患患,并根据策策略进行及时时报警,为运运维人员主动动保障系统安安全运行工作作提供有效的的技术支撑;实现安全隐隐患的报表管管理,更好地地支持系统运运行安全管理理工作。 为落实有关信息息安全管理规规定提供技术术支撑利用安全审计结结果可以评估估信息安全管管理规定的落落实情况,发发现信息安全全管理办法存存在的问题,为为完善信息安安全管理办法法提供依据,持持续改进,进进一步提高安安全管理水平平。 规范信息系统日日志信息管理理。根据日志管理工工作现状,提提出信息系统统日志信息管管理规范,明明确信息系统统IT基础设设施日志配置置基本要求
25、、日日志内容基本本要求等,一一方面确保日日志审计系统统建设实现即即定目标;另另一方面指导导今后信息化化项目建设,完完善信息安全全管理制度体体系,进一步步提高安全管管理水平。 实现对我行各业业务系统主机机、数据库行行为审计。对各业务系统的的主机、数据据库行为的审审计,主要是是在不影响业业务系统正常常运行的前提提下,通过网网络镜像流量量的方式辅以以独立日志分分析等其它方方式对用户行行为进行隐蔽蔽监视,对用用户访问业务务系统的行为为进行审计,对对用户危险行行为进行告警警并在必要时时进行阻断,对对事后发现的的安全事件进进行会话回放放,进行网络络通讯取证。5安全审计综合合管理平台需需求5.1日志审计计系
26、统需求5.1.1系统统功能需求5.1.1.11日志采集功功能需求 采集范围日志审计系统需需要对我行信信息系统中的的网络设备、主主机系统、应应用系统、安安全系统及其其他系统(如如网络管理系系统、存储设设备等)进行行日志采集。 数据库是我行行数据管理的的基础,任何何数据泄漏、篡篡改、删除都都会对税务的的整体数据造造成严重损失失。数据库审审计是安全管管理工作中的的一个重要组组成部分,通通过对数据库库的“信息活活动”实时地地进行监测审审计,使管理理者对数据库库的“信息活活动”一目了了然,能够及及时掌握数据据库服务器的的应用情况,及及时发现客户户端的使用问问题,存在着着哪些安全威威胁或隐患并并予以纠正,
27、预预防应用安全全事件的发生生,即便发生生了也能够可可以快速查证证并追根寻源源。虽然数据库系系统本身能够够提供日志审审计功能,但但是数据库系系统自身开启启日志审计功功能会带给系系统较大的负负担。为了保保证数据库的的性能、稳定定性,建议采采用国内已较较为成熟的数数据库审计技技术,通过在网络部部署专门的旁旁路数据库审审计硬件设备,采用镜镜像等方式获获取数据库访访问的网络报报文流量,实实现针对各种种数据库用户户的操作命令令级审计,从从而随时掌握握数据库的安安全状况,及及时发现和阻阻止各类数据据操作违规事事件或攻击事事件,避免数数据的各类安安全损失,追追查或打击各各类违规、违违法行为,提提高数据库数数据
28、安全管理理的水平。该该采集方式不不会对数据库库的运行、访访问产生任何何影响,而且具具有更强的实实时性,是比比较理想的数数据库日志审审计的实现方方式。 数据来源与内容容数据来源:审计计数据源需要要包括我行信信息系统各组组件的日志产产生点,如主主机操作日志志、操作系统统日志、数据据库审计日志志、安全设设备日志等。数据内容:异常常信息在采集集后必须进行行分类,例如如可以将异常常事件信息分分成泄密事件件和安全运行行事件两大类类,以便于我我行日志审计计系统管理人人员能快速对对事件进行分分析。 采集策略采集策略需要包包括采集频率率、过滤、合合并策略与信信息传输策略略。支持根据采集对对象的不同,可可以设置实
29、时时采集、按秒秒、分钟、小小时等采集频频率。支持日志或事件件进行必要的的过滤和合并并,从而只采采集有用的、需需要关注的日日志和事件信信息,屏蔽不不需要关注的的日志和事件件信息。通过预先设定好好的日志信息息传输策略,使使采集到的信信息能够根据据网络实际情情况有序地传传输到数据库库服务器进行行入库存储,避避免因日志信信息瞬间激增增而对网络带带宽资源的过过度占用,同同时保证信息息传输的效率率,避免断点点重传。 采集监控系统可以监控各各采集点的日日志传输状态态,当有采集集点无法正常常发送日志信信息时,系统统可以自动进进行告警通知知管理员进行行处理。5.1.1.22日志格式标标准化需求根据日志格式标标准
30、,对系统统采集的信息息系统IT基基础设施日志志信息进行标标准化处理。5.1.1.33日志集中存存储需求我行日志审计系系统将对3000余个审计计对象进行日日志审计,此此系统需要具具有海量的数数据存储能力力,其后台数数据库需要采采用稳定以及及先进的企业业级数据库(如如DB2、MMS SQLL Servver 数据据库);需要要有合理的数数据存储管理理策略;需要要支持磁盘阵阵列柜以及SSAN、NAAS等存储方方式。5.1.1.44日志关联分分析需求为了解决目前日日益严重的复复合型风险威威胁,我行日日志审计系统统需要具有关关联分析功能能:将不同安安全设备的响响应通过多种种条件关联起起来,以便于于管理员
31、的分分析和处理。例例如当一个严严重的事件或或用户行为发发生后,从网网络层面、主主机/服务器器层面、数据据(库)、安安全层面到应应用层面可能能都会有所反反应(响应),这这时候审计系系统将进行数数据挖掘,将将上述多个层层面、多个维维度的事件或或行为数据挖挖掘和抽取、关关联,将关联联的结果呈现现给使用者。5.1.1.55安全事件报报警需求为了快速、准确确定位安全事事件来源,及及时处理安全全事件,我行行日志审计系系统必须具备备实时报警功功能,报警方方式应该多样样化,如实时时屏幕显示、电电子邮件和短短信等。5.1.1.66日志报表需需求我行日志审计系系统的报表需需要支持细粒粒度查询,使使管理人员能能够快
32、速对安安全事件进行行正确的分析析,其查询细细粒度应该包包括关键字、时时间段、源地地址、目的地地址、源端口口、目的端口口、设备类型型、事件类型型、特定审计计对象等多个个条件的组合合查询,并支支持模糊查询询。5.1.2 系系统性能需求求目前我行日志审审计系统需要要审计3000台以上的设设备,以一台台设备30000条/小时时,每条日志志1KB为标标准计算,3300台设备备每天的总日日志条数为22160万条条,总日志量量约为21GG。基于上述计算结结果,结合同同行业成功案案例,建议系系统性能如下下:处理能力支持安安全事件与日日志每天2千千万条以上;支持120G以以上的数据库库存储;支持的原始日志志和事
33、件的存存储容量可达达到5亿条; 提供对原始日日志及审计结结果的压缩存存储,文件存存储压缩比一一般不应小于于1:10;根据审计要求,原原始信息及审审计结果需保保留6个月-1年,因此此,需支持磁磁盘阵列、NNAS和SAAN等多种存存储方式,存存储容量需达达到7TB以以上。5.1.3 系系统安全需求求权限划分需求:日志审计系系统需要进行行管理权限的的划分,不同同的管理员具具有不同的管管理权限,例例如管理配置置权限与审计计操作权限分分离,系统中中不允许出现现超级用户权权限。登录安全需求:日志审计系系统在用户登登录上需要强强身份鉴别功功能以及鉴别别失效处理机机制。传输安全需求:日志审计系系统各个组件件之
34、间的通讯讯协议必须支支持身份认证证与传输加密密,确保数据据在传输过程程中不被泄漏漏、篡改、删删除。存储安全需求:日志审计系系统的后端数数据库必须采采用安全可靠靠的大型数据据库,数据库库的访问以及及对日志审计计系统的操作作都要通过严严格的身份鉴鉴别,并对操操作者的权限限进行严格划划分,保证数数据存储安全全。接口安全需求:日志审计系系统各组件之之间应该采用用其厂商自身身的,未公开开并且成熟可可靠的协议进进行通信。日日志审计平台台与其他系统统(网络设备备、主机/服服务器、应用用系统、安全全设备)的接接口可采用标标准的SNMMP、Sysslog等协协议。5.1.4 系系统接口需求求我行日志审计系系统主
35、要提供供如下接口进进行日志采集集:1、Sysloog方式,支支持SYSLLOG协议的的设备,如:防火墙、UUNIX服务务器等;2、ODBC/JDBC方方式,支持数数据库联接的的设备;3、SNMP Trap方方式,支持SSNMP协议议的设备,如如:交换机、路路由器、网路路安全设备等等;4、XML方式式,支持HTTTP协议的的设备;5、EventtLog方式式,支持Wiindowss平台;6、特定接口方方式,对于不不支持通用协协议的设备,需需要定制开发发,如:某网网闸隔离系统统;7、其他厂商内内部专用协议议。通过标准的接口口,可以采集集到网络设备备、安全设备备、主机系统统、应用系统统的各种类型型日
36、志:包含含登陆信息、登登陆认证失败败信息、应用用程序启动信信息、进程改改变信息、违违反防火墙规规则的网络行行为、IDSS检测到的所所有入侵事件件和IDS自自身生成的各各种日志等。日志信息的采集集可以根据我我行信息系统统的现实情况况进行实时传传输或者定时时传输。5.2数据库和和网络审计系系统需求5.2.1审计计功能需求n 安全审计策略系统应允许使用用者能够针对对访问者、被被保护对象、操操作行为,访访问源,事件件类型等特征征等制定具体体的安全审计计策略。策略略制定方式应应简单灵活,既既可以制定适适应于批量对对象的公共策策略,也可以以制定适用于于单个被保护护对象的详细细策略。系统统应提供行为为全部记
37、录的的默认审计策策略。审计记记录应该反应应出用户的登登录身份,登登录操作时使使用的主机或或数据库账号号信息。在建建设身份认证证和访问控制制功能后,可可以禁止或允允许用户使用用某个主机或或数据库账号号进行登录和和操作。审计记录应该反反应出用户的的登录身份,登登录操作时使使用的主机、网网络设备或数数据库账号信信息。n 事件实时审计、告告警、命令控控制能灵活配置实时时安全审计控控制策略和预预警参数,实实时发现可疑疑操作(如操操作系统rmm命令、数据据库dropp、deleete命令等等),实时发发出告警信息息(向控制台台发出告警信信息、向管理理员邮箱发送送告警电子邮邮件、向管理理员手机发出出告警短消
38、息息、通过SNNMP命令向向日志审计系统统、网管系统统发出告警等等)。n 行为审计功能根据制定的安全全审计策略,系系统应对访问问者访问被保保护对象的操操作交互过程程进行记录,并并允许选择记记录整个操作作过程的上行行、下行数据据。系统应能能够将审计记记录重组为会会话的能力。单单个会话的全全部操作行为为应能够进行行回放。每一条审计记录录应至少提供供操作时间、访访问者的身份份信息、IPP地址、被保保护对象(主主机名称、IIP地址等)、操操作内容、系系统返回内容容。审计记录结果要要实现集中存存储、集中管管理、集中展展现。n 事件查询功能系统需要提供丰丰富的查询界界面,可以通通过数据库事事件查询、TTe
39、lnett事件查询、Ftp事件查询、事件会话关联查询、告警查询等不同的维度查询结果。并支持导出报表。n 审计信息的存储储 审计信息要求安安全存储,分分级别进行管管理,普通管管理员无法修修改删除。用用户登录认证证及操作日志志要求安全存存储,普通管管理员无法修修改删除。系统应该提供灵灵活的审计信信息存储策略略,以应对大大规模审计存存储的要求;可以根据用用户登录身份份、使用的主主机或数据库库账号来制定定审计信息存存储策略。n 重复事件归并通过配置归并规规则,系统可可以对大批量量的重复事件件做统一归并并,并记录归归并次数。n 权限管理系统需要分管理理员和审计员员权限,审计计员只能审计计授权审计的的系统
40、的审计计信息。5.2.2报表表功能需求n 查询功能系统用户应可按按照时间段、访访问者、主机机或数据库账账号、被保护护对象、行为为方式、行为为特征等关键键字进行精确确或模糊匹配配查询。 操作人员根据查查询结果可以以关联查看整整个会话的内内容。n 统计报表功能系统应提供完整整的报表系统统。系统应按按照访问者、被被保护对象、行行为方式、操操作内容(例例如数据库表表名称)等生生成统计报表表,并按照要要求添加、修修改报表数量量、格式及内内容,以满足足安全审计的要要求。5.2.3审计计对象及兼容容性支持应当包括(但不不限于):TTelnett, 等应用用。操作系统支持:Unix,HP-UNNIX ,SSo
41、lariis 数据库支持:OOraclee ,DB22,Infoomix ,Mysqll,Sqlsserverr应确保无遗漏等等现象发生。5.2.4系统统性能 系统应满足大数数据量的审计计要求。满足足千兆骨干网网络审计要求求,无丢包、漏漏包现象发生生; 系统应提供良好好的查询能力力; 系统应至少满足足1年的审计计数据在线存存储的需求,并并提供相应的的离线备份机机制,对于超超过在线存储储时限的审计计数据应提供供导入导出的的机制。5.2.5审计计完整性系统应能实现对对所有访问者者通过审计途途径对现网内内被保护对象象的远程访问问行为的审计计,无遗漏、错错报等现象的的发生。6安全审计综合合管理平台建建
42、设方案6.1日志审计计系统建设方方案6.1.1 日日志管理建议议基于我行日志审审计系统的建建设目标,需需要对我行信信息系统中的的网络设备、主主机系统、应应用系统、安安全系统等进进行日志采集集,各采集对对象的设备系系统类型、采采集的日志内内容、采集方方式及采集频频率说明如下下:审计内容具体审计需求描描述日志内容包括拟采用的采集方方式采集频率操作系统 Solariss AIX Linux HP-UNIXX帐户登录注销、帐帐号权限变更更、操作系统统启动关闭、sshell操操作日志、SSYSlOGG日志。Agent方式式;针对UNIX SYSLOOG日志可通通过sysllog方式发发送通过日志安全审审
43、计中心设置置采集频率策策略,建议11分钟采集一一次 Windowss 20000 servver Windowss 20033 servver帐户登录注销、帐帐号权限变更更、操作系统统启动关闭、应应用程序运行行状态、系统统文件和文件件属性修改等等Agent方式式通过日志安全审审计中心设置置采集频率策策略,建议11分钟采集一一次安全设备 防火墙用户登录、修改改配置、收集集到的攻击日日志等等Syslog、SNMP Trap方方式采集在安全设备上配配置日志传输输频率,建议议1分钟采集集一次网络设备 交换机 路由器等(CISCO、华华为、华三等等)。用户登录、修改改配置等Syslog、SNMP Tra
44、p方方式采集在网络设备上配配置日志传输输频率,建议议1分钟采集集一次数据库 ORACLE SQL SERRVER DB2 SYBASE Informiix用户登录、注销销、数据查询询、插入、数数据修改、数数据删除、修修改配置等。通过部署旁路数数据库审计硬硬件设备,采用镜镜像等方式获获取数据库访访问的网络报报文流量,从从而实现针对对各种数据库库用户的操作作命令级审计计。该采集方方式不会对数数据库的运行行、访问产生生影响通过日志安全审审计中心设置置数据库审计计日志采集频频率策略,建议11分钟采集一一次应用系统Web serrver、EEmail serveer、Dommino等应应用系统;在在实际
45、项目中中,还需要收收集业务系统统日志。Web serrver主要要包括: WebSpheere Apache WebLogiic Microsooft IIIS等用户登录、修改改配置、应用用层的操作等等Agent方式式、Sysloog、SNMP Trap、ODBC/JDBC方方式通过日志安全审审计中心设置置数据库审计计日志采集频频率策略,建议11分钟采集一一次6.1.2 日日志审计系统统整体架构我行日志审计系系统整体架构构图如下:整体架构图说明明:我行日志志审计系统为为软件架构,由由采集服务器器、管理服务务器、数据库库服务器三大大部分组成。对对被审计对象象进行必要的的设置或安装装采集代理,即即
46、可实现对整整个系统的综综合审计;我我行日志审计计系统采用BBrowseer/Serrver/DDataBaase三层架架构,管理人人员无需安装装任何客户端端即可登录到到日志审计系系统进行审计计管理操作。我行日志审计系系统功能结构构图如下:功能结构图说明明:我行日志志审计系统将将包括日志采采集、日志存存储、日志分分析、系统管管理、综合显显示等功能模模块,这些功功能模块将有有效满足我行行针对日志审审计系统各种种功能需求。6.1.3 日日志采集实现现方式6.1.3.11 系统支持持的标准接口口和协议1、Sysloog方式,支支持SYSLLOG协议的的设备,如:防火墙、UUNIX服务务器等;2、ODB
47、C/JDBC方方式,支持数数据库联接的的设备;3、SNMP Trap方方式,支持SSNMP协议议的设备,如如:交换机、路路由器、网路路安全设备等等;4、XML方式式,支持HTTTP协议的的设备;5、EventtLog方式式,支持Wiindowss平台;6、特定接口方方式,对于不不支持通用协协议的设备,需需要定制开发发,如:某网网闸隔离系统统。7、其他厂商内内部专用协议议。Syslog和和SNMP Trap方方式作为最常常见、传统的的方式,被大大部分设备厂厂商和日志审审计系统所采采用,建议我我行采用这两两种方式进行行日志采集。Syslog和和SNMP Trap方方式作为最成成熟的网络协协议,已经广广泛应用在网网络设备、安安全设备等设设备之上,用用来传输各种种日志信息,对对系统本身影影响很小。8、数据库日志志审计数据库自身日志志功能开启情情况下,可通通过ODBCC方式收集数数据库日志,但但是在数据库库日志量较大大的情况下,数数据库系统自自身开启日志志审计功能会会带给系统较较大的负担,不不建议采用该该方式收集数数据库日