【財務(wù)管理內(nèi)部審計 】某銀行安全審計管理現(xiàn)狀

財務(wù)管理內(nèi)部審計某銀行安全審計管理現(xiàn)狀 某銀行安全審計綜合管理平臺建設(shè)方案V1.2 二九年三月目錄1 背景 42 安全審計管理現(xiàn)狀 62.1 安全審計基本概念 62.2 總行金融信息管理中心安全審計管理現(xiàn)狀 92.2.1 日志審計 92.2.2 數(shù)據(jù)庫和網(wǎng)絡(luò)審計 112.3 我行安全審計管理辦法制定現(xiàn)狀 112.4 安全審計產(chǎn)品及應(yīng)用現(xiàn)狀 133 安全審計必要性 134 安全審計綜合管理平臺建設(shè)目標 145 安全審計綜合管理平臺需求 165.1 日志審計系統(tǒng)需求 165.1.1 系統(tǒng)效用需求 165.1.2 系統(tǒng)性能需求 195.1.3 系統(tǒng)安全需求 205.1.4 系統(tǒng)接口需求 215.2 數(shù)據(jù)庫和網(wǎng)絡(luò)審計系統(tǒng)需求 225.2.1 審計效用需求 225.2.2 報表效用需求 235.2.3 審計對象及兼容性支持 245.2.4 系統(tǒng)性能 245.2.5 審計完整性 256 安全審計綜合管理平臺建設(shè)方案 256.1 日志審計系統(tǒng)建設(shè)方案 256.1.1 日志管理建議 256.1.2 日志審計系統(tǒng)整體架構(gòu) 266.1.3 日志采集實現(xiàn)方式 286.1.4 日志標準化實現(xiàn)方式 306.1.5 日志存儲實現(xiàn)方式 316.1.6 日志關(guān)聯(lián)分析 326.1.7 安全事件報警 336.1.8 日志報表 346.1.9 系統(tǒng)管理 356.1.10 系統(tǒng)接口規(guī)范 366.2 數(shù)據(jù)庫和網(wǎng)絡(luò)審計系統(tǒng)建設(shè)方案 37 6.2.1 數(shù)據(jù)庫和網(wǎng)絡(luò)行為綜合審計 376.2.2 審計策略 386.2.3 審計內(nèi)容 396.2.4 告警與響應(yīng)管理 426.2.5 報表管理 427 系統(tǒng)部署方案 437.1 安全審計綜合管理平臺系統(tǒng)部署方案 437.2 系統(tǒng)部署環(huán)境要求 447.2.1 日志審計系統(tǒng) 447.2.2 數(shù)據(jù)庫和網(wǎng)絡(luò)審計系統(tǒng) 457.3 系統(tǒng)實施建議 457.4 二次開發(fā) 461 背景近年來,XX 銀行信息化建設(shè)得到快速發(fā)展,央行履行金融調(diào)控、金融穩(wěn)定、金融市場和金融服務(wù)職能高度依賴于信息技術(shù)應(yīng)用,信息安全問題的全局性影響作用日益增強。目前,XX 銀行信息安全保障體系中安全系統(tǒng)建設(shè)已經(jīng)達到了一定的水平。建設(shè)了非法外聯(lián)監(jiān)控管理系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)及補丁分發(fā)系統(tǒng),為客戶端安全管理、網(wǎng)絡(luò)安全管理和系統(tǒng)安全管理提供了技術(shù)支撐手段,有效提高了安全管理水平；完成制定金融業(yè)星型網(wǎng)間互聯(lián)安全規(guī)范金融業(yè)行業(yè)標準,完善內(nèi)聯(lián)網(wǎng)外聯(lián)防火墻系統(tǒng),確保 XX 銀行網(wǎng)絡(luò)邊界安全；制定并下發(fā)銀行計算機機房規(guī)范化工作指引,規(guī)范和加強機房環(huán)境安全管理。信息安全審計技術(shù)是實現(xiàn)信息安全整個過程中關(guān)鍵記錄信息的監(jiān)控統(tǒng)計,是信息安全保障體系中不可缺少的一部分。隨著電子政務(wù)、電子商務(wù)以及各類網(wǎng)上應(yīng)用的開展得到了普遍關(guān)注,并且在越來越多的大型網(wǎng)絡(luò)系統(tǒng)中已經(jīng)成功應(yīng)用并發(fā)揮著重要作用,特別針對安全事故分析、追蹤起到了關(guān)鍵性作用。傳統(tǒng)的安全審計系統(tǒng)局限于對主機的操作系統(tǒng)日志的收集和簡單分析,缺乏對于多種平臺下（Windows 系列、Unix 系列、Solaris 等）、多種網(wǎng)絡(luò)設(shè)備、重要服務(wù)器系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)綜合的安全審計效用。 隨著網(wǎng)絡(luò)規(guī)模的迅速擴大,單一式的安全審計技術(shù)逐步被分布式安全審計技術(shù)所代替,加上各類應(yīng)用系統(tǒng)逐步增多,網(wǎng)絡(luò)管理人員/運維人員工作量往往會成倍增加,使得關(guān)鍵信息得不到重點關(guān)注。大量事實表明,對于安全事件發(fā)生或關(guān)鍵數(shù)據(jù)遭到嚴重破壞之前完全可以預先通過日志異常行為告警方式通知管理人員,及時進行分析并采取相應(yīng)措施進行有效阻止,從而大大降低安全事件的發(fā)生率。目前我行信息安全保障工作尚未有效開展安全審計工作,缺少事后審計的技術(shù)支撐手段。當前,信息安全審計作為保障信息系統(tǒng)安全的制度逐漸發(fā)展起來；并已在對信息系統(tǒng)依賴性最高的金融業(yè)開始普及。信息安全審計的相關(guān)標準包括ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800 等。這些標準從不同角度提出信息安全控制體系,可以有效地控制信息安全風險。同時,公安部發(fā)布的信息系統(tǒng)安全等級保護技術(shù)要求中對安全審計提出明確的技術(shù)要求：審計范圍覆蓋網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng),審計內(nèi)容包括各網(wǎng)絡(luò)設(shè)備運行狀況、系統(tǒng)資源的異常使用、重要用戶行為和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。為進一步完善信息安全保障體系,2009 年立項建設(shè)安全審計系統(tǒng),不斷提高安全管理水平。2 安全審計管理現(xiàn)狀2.1 安全審計基本概念信息安全審計是企業(yè)內(nèi)控、信息系統(tǒng)治理、安全風險控制等的不可或缺的關(guān)鍵手段。信息安全審計能夠為安全管理員提供一組可進行分析的管理數(shù)據(jù),以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件。利用安全審計結(jié)果,可調(diào)整安全策略,堵住出現(xiàn)的漏洞。美國信息系統(tǒng)審計的權(quán)威專家 RonWeber 又將它定義為收集并評估證據(jù)以決定一個計算機系統(tǒng)是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成目標,同時最 經(jīng)濟的使用資源。根據(jù)在信息系統(tǒng)中需要進行安全審計的對象與內(nèi)容,主要分為日志審計、網(wǎng)絡(luò)審計、主機審計。下面分別說明如下：日志審計：日志可以作為責任認定的依據(jù),也可作為系統(tǒng)運行記錄集,對分析系統(tǒng)運行情況、排除故障、提高效率都發(fā)揮重要作用。日志審計是安全審計針對信息系統(tǒng)整體安全狀態(tài)監(jiān)測的基礎(chǔ)技術(shù),主要通過對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫的集中日志采集、集中存儲和關(guān)聯(lián)分析,幫助管理員及時發(fā)現(xiàn)信息系統(tǒng)的安全事件,同時當遇到特殊安全事件和系統(tǒng)故障時,確保日志存在和不被篡改,幫助用戶快速定位追查取證。大量事實表明,對于安全事件發(fā)生或關(guān)鍵數(shù)據(jù)遭到嚴重破壞之前完全可以預先通過日志審計進行分析、告警并及時采取相應(yīng)措施進行有效阻止,從而大大降低安全事件的發(fā)生率。數(shù)據(jù)庫審計：主要負責對數(shù)據(jù)庫的各種訪問操作進行監(jiān)控；是安全審計對數(shù)據(jù)庫進行審計技術(shù)。它采用專門的硬件審計引擎,通過旁路部署采用鏡像等方式獲取數(shù)據(jù)庫訪問的網(wǎng)絡(luò)報文流量,實時監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)庫的所有訪問操作（如：插入、刪除、更新、用戶自定義操作等）,還原 SQL 操作命令包括源 IP 地址、目的 IP 地址、訪問時間、用戶名、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫表名、字段名等,發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為,及時報警響應(yīng)、全過程操作還原,從而實現(xiàn)安全事件的準確全程跟蹤定位,全面保障數(shù)據(jù)庫系統(tǒng)安全。該采集方式不會對數(shù)據(jù)庫的運行、訪問產(chǎn)生任何影響,而且具有更強的實時性,是比較理想的數(shù)據(jù)庫日志審計的實現(xiàn)方式。網(wǎng)絡(luò)審計：主要負責網(wǎng)絡(luò)內(nèi)容與行為的審計；是安全審計對網(wǎng)絡(luò)通信的基礎(chǔ)審計技術(shù)。它采用專門的網(wǎng)絡(luò)審計硬件引擎,安裝在網(wǎng)絡(luò)通信系統(tǒng)的數(shù)據(jù)匯聚點,通過旁路抓取網(wǎng)絡(luò)數(shù)據(jù)包進行典型契約分析、識別、判斷和記錄,Telnet、HTTP、Email、FTP、網(wǎng)上聊天、文件共享、流量等的檢測分析等。主機審計：主要負責對網(wǎng)絡(luò)重要區(qū)域的客戶機上的各種上網(wǎng)行為、文件拷貝 /打印操作、通過 Modem 擅自連接外網(wǎng)等進行審計。目前我行信息安全系統(tǒng)尚未有效開展安全審計工作,由于缺少對各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫的集中日志采集、集中存儲和關(guān)聯(lián)分析等事后審計、追查取證的技術(shù)支撐手段,以至無法在遇到特殊安全事件和系統(tǒng)故障時確保日志存在和不被篡改,同時對主機和數(shù)據(jù)庫的操作行為也沒有審計和管理的手段,不同有效對操作行為進行審計,防止誤操作和惡意行為的發(fā)生,因此我行迫切需要盡快建設(shè)安全審計系統(tǒng)（包括日志審計、數(shù)據(jù)庫審計、網(wǎng)絡(luò)審計）,確保我行信息系統(tǒng)安全。2.2 我行金融信息管理中心安全審計管理現(xiàn)狀2.2.1 日志審計作為數(shù)據(jù)中心的運維部門,負責運維內(nèi)聯(lián)網(wǎng)總行局域網(wǎng)、總行機關(guān)辦公自動化系統(tǒng)及貨幣發(fā)行信息管理系統(tǒng)、國庫信息處理系統(tǒng)等重要業(yè)務(wù)系統(tǒng),保障信息系統(tǒng) IT 基礎(chǔ)設(shè)施的安全運行。為更好地制定日志審計系統(tǒng)建設(shè)方案,開展了金融信息管理中心日志管理現(xiàn)狀調(diào)研工作,調(diào)研內(nèi)容包括設(shè)備/系統(tǒng)配置哪些日志信息、日志信息包括哪些屬性、日志采集所支持的契約/接口、日志存儲方式及日志管理現(xiàn)狀,金融信息管理中心日志管理現(xiàn)狀調(diào)查表詳見附件。通過分析日志管理現(xiàn)狀調(diào)查表,將有關(guān)情況說明如下：一、日志內(nèi)容。網(wǎng)絡(luò)設(shè)備（包括交換機和路由器）、安全設(shè)備（包括防火墻、入侵檢測設(shè)備、防病毒管理系統(tǒng)和補丁分發(fā)系統(tǒng)）、辦公自動化系統(tǒng)和重要業(yè)務(wù)系統(tǒng)均配置一定的日志信息,其中每類設(shè)備具有一定的日志配置規(guī)范,應(yīng)用系統(tǒng)（辦公自動化系統(tǒng)和重要業(yè)務(wù)系統(tǒng)）的日志內(nèi)容差異較大,數(shù)據(jù)庫和中間件僅配置“進程是否正常”的日志信息。二、日志格式。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備根據(jù)廠商的不同,其日志格式也不同,無統(tǒng)一的日志格式；應(yīng)用系統(tǒng)根據(jù)系統(tǒng)平臺的不同,其日志格式也不同,無統(tǒng)一的日志格式。 三、日志采集契約/接口。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備支持 SNMPTrap 和Syslog 契約,應(yīng)用系統(tǒng)主要支持 TCP/IP 契約,個別應(yīng)用系統(tǒng)自定義了日志采集方式。四、日志存儲方式。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備日志信息集中存儲在日志服務(wù)器中,其他設(shè)備/系統(tǒng)日志均存儲在本地主機上。日志信息以文本文件、關(guān)系型數(shù)據(jù)庫文件、Domino 數(shù)據(jù)庫文件和 XML 文件等方式進行存儲。五、日志管理方式。主要為分散管理,且無日志管理規(guī)范。在系統(tǒng)/設(shè)備出現(xiàn)故障時,日志信息是定位故障,解決故障的主要依據(jù)。據(jù)了解,為加強網(wǎng)絡(luò)基礎(chǔ)設(shè)施運行情況的監(jiān)控,金融信息管理中心通過采集交換機和路由器等網(wǎng)絡(luò)設(shè)備的日志信息,實現(xiàn)網(wǎng)絡(luò)設(shè)備日志信息的集中管理,及時發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備運行中出現(xiàn)的問題。通過上述現(xiàn)狀的分析,目前日志管理存在如下問題：1、不同系統(tǒng)/設(shè)備的日志信息分散存儲,日志信息被非法刪除,導致安全事故處置工作無法追查取證。2、在系統(tǒng)發(fā)生故障后,才去通過日志信息定位故障,導致系統(tǒng)安全運行工作存在一定的被動性,應(yīng)主動地在日志信息中及時發(fā)現(xiàn)系統(tǒng)運行存在的隱患,提高系統(tǒng)運行安全管理水平。3、隨著我行信息化工作的不斷深入,系統(tǒng)運維工作壓力的不斷加大,如不及時規(guī)范日志信息管理,信管中心將逐步面臨運維的設(shè)備多、人員少的問題,不能及時準確把握運維工作的重點。在目前日志信息管理基礎(chǔ)上,若簡單加強日志信息管理,仍存在如下問題：1、通過系統(tǒng)/設(shè)備各自的控制臺去查看事件,窗口繁多,而且所有的事件都是孤立的,不同系統(tǒng)/設(shè)備之間的事件缺乏關(guān)聯(lián),分析起來極為麻煩,無法弄清楚真實的狀況。2、不同系統(tǒng)/設(shè)備對同一個事件的描述可能是不同的,管理人員需了解各系統(tǒng)/設(shè)備,分析各種不同格式的信息,導致管理人員的工作非常繁重,效率低。3、海量日志信息不但無法幫助找出真正的問題,反而因為太多而造成無法 管理,并且不同系統(tǒng)/設(shè)備可能產(chǎn)生不同的日志信息格式,無法做到快速識別和響應(yīng)。2.2.2 數(shù)據(jù)庫和網(wǎng)絡(luò)審計目前我行沒有實現(xiàn)對數(shù)據(jù)庫操作和網(wǎng)絡(luò)操作行為的審計。對系統(tǒng)的后臺操作人員的遠程登錄主機、數(shù)據(jù)庫的操作行為無法進行記錄、審計,難以防止系統(tǒng)濫用、泄密等問題的發(fā)生。2.3 我行安全審計管理辦法制定現(xiàn)狀在銀行信息安全管理規(guī)定提出如下安全審計要求：Ø 第一百三十九條各單位科技部門在支持與配合內(nèi)審部門開展審計信息安全工作的同時,應(yīng)適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術(shù)審計,發(fā)現(xiàn)問題及時報本單位或上一級單位主管領(lǐng)導。Ø 第一百四十條各單位應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計效用配置管理,應(yīng)完整保留相關(guān)日志記錄,一般保留至少一個月,涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時間。在銀行信息系統(tǒng)安全配置指引-數(shù)據(jù)庫分冊提出如下安全審計要求：Ø 應(yīng)配置審計日志,并定期查看、清理日志。Ø 審計內(nèi)容包括創(chuàng)建、修改或刪除數(shù)據(jù)庫帳戶、數(shù)據(jù)庫對象、數(shù)據(jù)庫表、數(shù)據(jù)庫索引的行為；允許或者撤銷審計效用的行為；授予或者取消數(shù)據(jù)庫系統(tǒng)級別權(quán)限的行為；任何因為參考對象不存在而引的錯誤信息；任何改變數(shù)據(jù)庫對象名稱的動作；任何對數(shù)據(jù)庫 Dictionary 或者數(shù)據(jù)庫系統(tǒng)配置的改變；所有數(shù)據(jù)庫連接失敗的記錄；所有 DBA 的數(shù)據(jù)庫連接記錄；所有數(shù)據(jù)庫用戶帳戶升級和刪除操作的審計跟蹤信息。Ø 審計數(shù)據(jù)應(yīng)被保存為分析程序或者腳下本可讀的格式,時間期限是一年。所有刪除審計數(shù)據(jù)的操作,都應(yīng)在動態(tài)查帳索引中保留記錄。 Ø 只有 DBA 或者安全審核員有權(quán)限選擇、添加、刪除或者修改、停用審計信息。上述安全審計管理要求為開展日志審計系統(tǒng)建設(shè)提供了制度保障。2.4 安全審計產(chǎn)品及應(yīng)用現(xiàn)狀目前市場上安全審計產(chǎn)品按審計類型也有很多產(chǎn)品,日志審計以 SIM 類產(chǎn)品為主,也叫安全信息和事件管理（SIEM）,是安全管理領(lǐng)域發(fā)展的方向。SIM是一個全面的、面向 IT 計算環(huán)境的安全集中管理平臺,這個平臺能夠收集來自計算環(huán)境中各種設(shè)備和應(yīng)用的安全日志和事件,并進行存儲、監(jiān)控、分析、報警、響應(yīng)和報告,變過去被動的單點防御為全網(wǎng)的綜合防御。由于日志審計對安全廠商的技術(shù)開發(fā)能力有較高要求,國內(nèi)一些較有實力的安全廠商能夠提供較為成熟的日志審計產(chǎn)品。目前,日志審計產(chǎn)品已在政府、運營商、金融、民航等行業(yè)廣泛成功應(yīng)用。針對數(shù)據(jù)庫和網(wǎng)絡(luò)行為審計產(chǎn)品,國內(nèi)也有多個廠家有比較成熟的產(chǎn)品,在很多行業(yè)都有應(yīng)用。3 安全審計必要性通過安全審計系統(tǒng)建設(shè),落實信息系統(tǒng)安全等級保護基本技術(shù)和管理要求中有關(guān)安全審計控制點及日志和事件存儲的要求,積累信息系統(tǒng)安全等級保護工作經(jīng)驗。通過綜合安全審計平臺的建設(shè),進一步完善我行信息安全保障體系,改變事中及事后安全基礎(chǔ)設(shè)施建設(shè)較弱的現(xiàn)狀；為信息安全管理規(guī)定落實情況檢查提供技術(shù)支撐手段,不斷完善信息安全管理辦法,提高信息安全管理水平；通過綜合安全審計平臺,實現(xiàn)信息系統(tǒng) IT 基礎(chǔ)設(shè)施日志信息的集中管理,全面掌握 IT 基礎(chǔ)設(shè)施運行過程中出現(xiàn)的隱患,通過安全事件報警和日志報表的方式,在運維人員有限的條件下,有效地把握運維工作的重點,進一步增強系統(tǒng)安全運維工作的主動性,更好地保障系統(tǒng)的正常運行。同時,有效規(guī)避日志信息分散存儲存在的非法刪除風險,確保安全事故處置的取證工作。 通過綜合安全審計平臺的建設(shè),規(guī)范我行安全審計管理工作,指導今后信息化項目建設(shè),系統(tǒng)也為安全審計管理規(guī)范的實現(xiàn)提供了有效的技術(shù)支撐平臺。4 安全審計綜合管理平臺建設(shè)目標根據(jù)總行金融信息管理中心日志管理工作現(xiàn)狀及存在的問題,結(jié)合日志審計系統(tǒng)建成后的預期收益,現(xiàn)將系統(tǒng)建設(shè)目標說明如下：Ø 海量日志數(shù)據(jù)的標準化集中管理。根據(jù)即定采集策略,采集信息系統(tǒng) IT 基礎(chǔ)設(shè)施日志信息,規(guī)范日志信息格式,實現(xiàn)海量日志數(shù)據(jù)的標準化集中存儲,同時保存日志信息的原始數(shù)據(jù),規(guī)避日志信息被非法刪除而帶來的安全事故處置工作無法追查取證的風險；加強海量日志數(shù)據(jù)集中管理,特別歷史日志數(shù)據(jù)的管理。Ø 系統(tǒng)運行風險及時報警與報表管理基于標準化的日志數(shù)據(jù)進行關(guān)聯(lián)分析,及時發(fā)現(xiàn)信息系統(tǒng) IT 基礎(chǔ)設(shè)施運行過程中存在的安全隱患,并根據(jù)策略進行及時報警,為運維人員主動保障系統(tǒng)安全運行工作提供有效的技術(shù)支撐；實現(xiàn)安全隱患的報表管理,更好地支持系統(tǒng)運行安全管理工作。Ø 為落實有關(guān)信息安全管理規(guī)定提供技術(shù)支撐利用安全審計結(jié)果可以評估信息安全管理規(guī)定的落實情況,發(fā)現(xiàn)信息安全管理辦法存在的問題,為完善信息安全管理辦法提供依據(jù),持續(xù)改進,進一步提高安全管理水平。Ø 規(guī)范信息系統(tǒng)日志信息管理。根據(jù)日志管理工作現(xiàn)狀,提出信息系統(tǒng)日志信息管理規(guī)范,明確信息系統(tǒng) IT基礎(chǔ)設(shè)施日志配置基本要求、日志內(nèi)容基本要求等,一方面確保日志審計系統(tǒng)建設(shè)實現(xiàn)即定目標；另一方面指導今后信息化項目建設(shè),完善信息安全管理制度體系,進一步提高安全管理水平。Ø 實現(xiàn)對我行各業(yè)務(wù)系統(tǒng)主機、數(shù)據(jù)庫行為審計。對各業(yè)務(wù)系統(tǒng)的主機、數(shù)據(jù)庫行為的審計,主要是在不影響業(yè)務(wù)系統(tǒng)正常運行的前提下,通過網(wǎng)絡(luò)鏡像流量的方式輔以獨立日志分析等其它方式對用戶行為進行隱蔽監(jiān)視,對用戶訪問業(yè)務(wù)系統(tǒng)的行為進行審計,對用戶危險行為進行告警并在必要時進行阻斷,對事后發(fā)現(xiàn)的安全事件進行會話回放,進行網(wǎng)絡(luò)通訊取證。 5 安全審計綜合管理平臺需求5.1 日志審計系統(tǒng)需求5.1.1 系統(tǒng)效用需求5.1.1.1 日志采集效用需求Ø 采集范圍日志審計系統(tǒng)需要對我行信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、應(yīng)用系統(tǒng)、安全系統(tǒng)及其他系統(tǒng)（如網(wǎng)絡(luò)管理系統(tǒng)、存儲設(shè)備等）進行日志采集。數(shù)據(jù)庫是我行數(shù)據(jù)管理的基礎(chǔ),任何數(shù)據(jù)泄漏、篡改、刪除都會對稅務(wù)的整體數(shù)據(jù)造成嚴重損失。數(shù)據(jù)庫審計是安全管理工作中的一個重要組成部分,通過對數(shù)據(jù)庫的“信息活動”實時地進行監(jiān)測審計,使管理者對數(shù)據(jù)庫的“信息活動”一目了然,能夠及時掌握數(shù)據(jù)庫服務(wù)器的應(yīng)用情況,及時發(fā)現(xiàn)客戶端的使用問題,存在著哪些安全威脅或隱患并予以糾正,預防應(yīng)用安全事件的發(fā)生,即便發(fā)生了也能夠可以快速查證并追根尋源。雖然數(shù)據(jù)庫系統(tǒng)本身能夠提供日志審計效用,但是數(shù)據(jù)庫系統(tǒng)自身開啟日志審計效用會帶給系統(tǒng)較大的負擔。為了保證數(shù)據(jù)庫的性能、穩(wěn)定性,建議采用國內(nèi)已較為成熟的數(shù)據(jù)庫審計技術(shù),通過在網(wǎng)絡(luò)部署專門的旁路數(shù)據(jù)庫審計硬件設(shè)備,采用鏡像等方式獲取數(shù)據(jù)庫訪問的網(wǎng)絡(luò)報文流量,實現(xiàn)針對各種數(shù)據(jù)庫用戶的操作命令級審計,從而隨時掌握數(shù)據(jù)庫的安全狀況,及時發(fā)現(xiàn)和阻止各類數(shù)據(jù)操作違規(guī)事件或進攻事件,避免數(shù)據(jù)的各類安全損失,追查或打擊各類違規(guī)、違法行為,提高數(shù)據(jù)庫數(shù)據(jù)安全管理的水平。該采集方式不會對數(shù)據(jù)庫的運行、訪問產(chǎn)生任何影響,而且具有更強的實時性,是比較理想的數(shù)據(jù)庫日志審計的實現(xiàn)方式。Ø 數(shù)據(jù)來源與內(nèi)容數(shù)據(jù)來源：審計數(shù)據(jù)源需要包括我行信息系統(tǒng)各組件的日志產(chǎn)生點,如主機操作日志、操作系統(tǒng)日志、數(shù)據(jù)庫審計日志、安全設(shè)備日志等。數(shù)據(jù)內(nèi)容：異常信息在采集后必須進行分類,例如可以將異常事件信息分成泄密事件和安全運行事件兩大類,以便于我行日志審計系統(tǒng)管理人員能快速對事 件進行分析。Ø 采集策略采集策略需要包括采集頻率、過濾、合并策略與信息傳輸策略。支持根據(jù)采集對象的不同,可以設(shè)置實時采集、按秒、分鐘、小時等采集頻率。支持日志或事件進行必要的過濾和合并,從而只采集有用的、需要關(guān)注的日志和事件信息,屏蔽不需要關(guān)注的日志和事件信息。通過預先設(shè)定好的日志信息傳輸策略,使采集到的信息能夠根據(jù)網(wǎng)絡(luò)實際情況有序地傳輸?shù)綌?shù)據(jù)庫服務(wù)器進行入庫存儲,避免因日志信息瞬間激增而對網(wǎng)絡(luò)帶寬資源的過度占用,同時保證信息傳輸?shù)男?避免斷點重傳。Ø 采集監(jiān)控系統(tǒng)可以監(jiān)控各采集點的日志傳輸狀態(tài),當有采集點無法正常發(fā)送日志信息時,系統(tǒng)可以自動進行告警通知管理員進行處理。5.1.1.2 日志格式標準化需求根據(jù)日志格式標準,對系統(tǒng)采集的信息系統(tǒng) IT 基礎(chǔ)設(shè)施日志信息進行標準化處理。5.1.1.3 日志集中存儲需求我行日志審計系統(tǒng)將對 300 余個審計對象進行日志審計,此系統(tǒng)需要具有海量的數(shù)據(jù)存儲能力,其后臺數(shù)據(jù)庫需要采用穩(wěn)定以及先進的企業(yè)級數(shù)據(jù)庫（如DB2、MSSQLServer 數(shù)據(jù)庫）；需要有合理的數(shù)據(jù)存儲管理策略；需要支持磁盤陣列柜以及 SAN、NAS 等存儲方式。5.1.1.4 日志關(guān)聯(lián)分析需求為了解決目前日益嚴重的復合型風險威脅,我行日志審計系統(tǒng)需要具有關(guān)聯(lián)分析效用：將不同安全設(shè)備的響應(yīng)通過多種條件關(guān)聯(lián)起來,以便于管理員的分析和處理。例如當一個嚴重的事件或用戶行為發(fā)生后,從網(wǎng)絡(luò)層面、主機/服務(wù)器層 面、數(shù)據(jù)（庫）、安全層面到應(yīng)用層面可能都會有所反應(yīng)（響應(yīng)）,這時候?qū)徲嬒到y(tǒng)將進行數(shù)據(jù)挖掘,將上述多個層面、多個維度的事件或行為數(shù)據(jù)挖掘和抽取、關(guān)聯(lián),將關(guān)聯(lián)的結(jié)果呈現(xiàn)給使用者。5.1.1.5 安全事件報警需求為了快速、準確定位安全事件來源,及時處理安全事件,我行日志審計系統(tǒng)必須具備實時報警效用,報警方式應(yīng)該多樣化,如實時屏幕顯示、電子郵件和短信等。5.1.1.6 日志報表需求我行日志審計系統(tǒng)的報表需要支持細粒度查詢,使管理人員能夠快速對安全事件進行正確的分析,其查詢細粒度應(yīng)該包括關(guān)鍵字、時間段、源地址、目的地址、源端口、目的端口、設(shè)備類型、事件類型、特定審計對象等多個條件的組合查詢,并支持模糊查詢。5.1.2 系統(tǒng)性能需求目前我行日志審計系統(tǒng)需要審計 300 臺以上的設(shè)備,以一臺設(shè)備 3000 條/小時,每條日志 1KB 為標準計算,300 臺設(shè)備每天的總?cè)罩緱l數(shù)為 2160 萬條,總?cè)罩玖考s為 21G?；谏鲜鲇嬎憬Y(jié)果,結(jié)合同行業(yè)成功案例,建議系統(tǒng)性能如下：處理能力支持安全事件與日志每天 2 千萬條以上；支持 120G 以上的數(shù)據(jù)庫存儲；支持的原始日志和事件的存儲容量可達到 5 億條；提供對原始日志及審計結(jié)果的壓縮存儲,文件存儲壓縮比一般不應(yīng)小于 1： 10；根據(jù)審計要求,原始信息及審計結(jié)果需保留 6 個月-1 年,因此,需支持磁盤陣列、NAS 和 SAN 等多種存儲方式,存儲容量需達到 7TB 以上。5.1.3 系統(tǒng)安全需求權(quán)限劃分需求：日志審計系統(tǒng)需要進行管理權(quán)限的劃分,不同的管理員具有不同的管理權(quán)限,例如管理配置權(quán)限與審計操作權(quán)限分離,系統(tǒng)中不允許出現(xiàn)超級用戶權(quán)限。登錄安全需求：日志審計系統(tǒng)在用戶登錄上需要強身份鑒別效用以及鑒別失效處理機制。傳輸安全需求：日志審計系統(tǒng)各個組件之間的通訊契約必須支持身份認證與傳輸加密,確保數(shù)據(jù)在傳輸過程中不被泄漏、篡改、刪除。存儲安全需求：日志審計系統(tǒng)的后端數(shù)據(jù)庫必須采用安全可靠的大型數(shù)據(jù)庫,數(shù)據(jù)庫的訪問以及對日志審計系統(tǒng)的操作都要通過嚴格的身份鑒別,并對操作者的權(quán)限進行嚴格劃分,保證數(shù)據(jù)存儲安全。接口安全需求：日志審計系統(tǒng)各組件之間應(yīng)該采用其廠商自身的,未公開并且成熟可靠的契約進行通信。日志審計平臺與其他系統(tǒng)（網(wǎng)絡(luò)設(shè)備、主機/服務(wù)器、應(yīng)用系統(tǒng)、安全設(shè)備）的接口可采用標準的 SNMP、Syslog 等契約。5.1.4 系統(tǒng)接口需求我行日志審計系統(tǒng)主要提供如下接口進行日志采集：1、Syslog 方式,支持 SYSLOG 契約的設(shè)備,如：防火墻、UNIX 服務(wù)器等；2、ODBC/JDBC 方式,支持數(shù)據(jù)庫聯(lián)接的設(shè)備；3、SNMPTrap 方式,支持 SNMP 契約的設(shè)備,如：交換機、路由器、網(wǎng)路安全設(shè)備等；4、XML 方式,支持 HTTP 契約的設(shè)備；5、EventLog 方式,支持 Windows 平臺；6、特定接口方式,對于不支持通用契約的設(shè)備,需要定制開發(fā),如：某網(wǎng)閘隔離系統(tǒng)；7、其他廠商內(nèi)部專用契約。通過標準的接口,可以采集到網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機系統(tǒng)、應(yīng)用系統(tǒng)的各種類型日志：包含登陸信息、登陸認證失敗信息、應(yīng)用程序啟動信息、進程改 變信息、違反防火墻規(guī)則的網(wǎng)絡(luò)行為、IDS 檢測到的所有入侵事件和 IDS 自身生成的各種日志等。日志信息的采集可以根據(jù)我行信息系統(tǒng)的現(xiàn)實情況進行實時傳輸或者定時傳輸。5.2 數(shù)據(jù)庫和網(wǎng)絡(luò)審計系統(tǒng)需求5.2.1 審計效用需求n 安全審計策略系統(tǒng)應(yīng)允許使用者能夠針對訪問者、被保護對象、操作行為,訪問源,事件類型等特征等制定具體的安全審計策略。策略制定方式應(yīng)簡單靈活,既可以制定適應(yīng)于批量對象的大眾策略,也可以制定適用于單個被保護對象的詳細策略。系統(tǒng)應(yīng)提供行為全部記錄的默認審計策略。審計記錄應(yīng)該反應(yīng)出用戶的登錄身份,登錄操作時使用的主機或數(shù)據(jù)庫賬號信息。在建設(shè)身份認證和訪問控制效用后,可以禁止或允許用戶使用某個主機或數(shù)據(jù)庫賬號進行登錄和操作。審計記錄應(yīng)該反應(yīng)出用戶的登錄身份,登錄操作時使用的主機、網(wǎng)絡(luò)設(shè)備或數(shù)據(jù)庫賬號信息。n 事件實時審計、告警、命令控制能靈活配置實時安全審計控制策略和預警參數(shù),實時發(fā)現(xiàn)可疑操作（如操作系統(tǒng) rm 命令、數(shù)據(jù)庫 drop、delete 命令等）,實時發(fā)出告警信息（向控制臺發(fā)出告警信息、向管理員郵箱發(fā)送告警電子郵件、向管理員手機發(fā)出告警短消息、通過 SNMP 命令向日志審計系統(tǒng)、網(wǎng)管系統(tǒng)發(fā)出告警等）。n 行為審計效用根據(jù)制定的安全審計策略,系統(tǒng)應(yīng)對訪問者訪問被保護對象的操作交互過程進行記錄,并允許選擇記錄整個操作過程的上行、下行數(shù)據(jù)。系統(tǒng)應(yīng)能夠?qū)徲嬘涗浿亟M為會話的能力。單個會話的全部操作行為應(yīng)能夠進行回放。 每一條審計記錄應(yīng)至少提供操作時間、訪問者的身份信息、IP 地址、被保護對象（主機名稱、IP 地址等）、操作內(nèi)容、系統(tǒng)返回內(nèi)容。審計記錄結(jié)果要實現(xiàn)集中存儲、集中管理、集中展現(xiàn)。n 事件查詢效用系統(tǒng)需要提供豐富的查詢界面,可以通過數(shù)據(jù)庫事件查詢、Telnet 事件查詢、Ftp 事件查詢、事件會話關(guān)聯(lián)查詢、告警查詢等不同的維度查詢結(jié)果。并支持導出報表。n 審計信息的存儲審計信息要求安全存儲,分級別進行管理,普通管理員無法修改刪除。用戶登錄認證及操作日志要求安全存儲,普通管理員無法修改刪除。系統(tǒng)應(yīng)該提供靈活的審計信息存儲策略,以應(yīng)對大規(guī)模審計存儲的要求；可以根據(jù)用戶登錄身份、使用的主機或數(shù)據(jù)庫賬號來制定審計信息存儲策略。n 重復事件歸并通過配置歸并規(guī)則,系統(tǒng)可以對大批量的重復事件做統(tǒng)一歸并,并記錄歸并次數(shù)。n 權(quán)限管理系統(tǒng)需要分管理員和審計員權(quán)限,審計員只能審計授權(quán)審計的系統(tǒng)的審計信息。5.2.2 報表效用需求n 查詢效用系統(tǒng)用戶應(yīng)可按照時間段、訪問者、主機或數(shù)據(jù)庫賬號、被保護對象、行為方式、行為特征等關(guān)鍵字進行精確或模糊匹配查詢。操作人員根據(jù)查詢結(jié)果可以關(guān)聯(lián)查看整個會話的內(nèi)容。n 統(tǒng)計報表效用系統(tǒng)應(yīng)提供完整的報表系統(tǒng)。系統(tǒng)應(yīng)按照訪問者、被保護對象、行為方式、 操作內(nèi)容（例如數(shù)據(jù)庫表名稱）等生成統(tǒng)計報表,并按照要求添加、修改報表數(shù)量、格式及內(nèi)容,以滿足安全審計的要求。5.2.3 審計對象及兼容性支持應(yīng)當包括（但不限于）：Telnet,等應(yīng)用。操作系統(tǒng)支持：Unix,HP-UNIX,Solaris數(shù)據(jù)庫支持：Oracle,DB2,Infomix,Mysql,Sqlserver應(yīng)確保無遺漏等現(xiàn)象發(fā)生。5.2.4 系統(tǒng)性能Ø 系統(tǒng)應(yīng)滿足大數(shù)據(jù)量的審計要求。滿足千兆骨干網(wǎng)絡(luò)審計要求,無丟包、漏包現(xiàn)象發(fā)生；Ø 系統(tǒng)應(yīng)提供良好的查詢能力；Ø 系統(tǒng)應(yīng)至少滿足 1 年的審計數(shù)據(jù)在線存儲的需求,并提供相應(yīng)的離線備份機制,對于超過在線存儲時限的審計數(shù)據(jù)應(yīng)提供導入導出的機制。5.2.5 審計完整性系統(tǒng)應(yīng)能實現(xiàn)對所有訪問者通過審計途徑對現(xiàn)網(wǎng)內(nèi)被保護對象的遠程訪問行為的審計,無遺漏、錯報等現(xiàn)象的發(fā)生。6 安全審計綜合管理平臺建設(shè)方案6.1 日志審計系統(tǒng)建設(shè)方案6.1.1 日志管理建議基于我行日志審計系統(tǒng)的建設(shè)目標,需要對我行信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、應(yīng)用系統(tǒng)、安全系統(tǒng)等進行日志采集,各采集對象的設(shè)備系統(tǒng)類型、采集的日志內(nèi)容、采集方式及采集頻率說明如下：審 計 具體審計需求描述日志內(nèi)容包括 擬 采 用 的 采 集 采集頻率 內(nèi)容方式Agent 方式；通過日志安全審計帳戶登錄注銷、針對操作系統(tǒng)ü Solarisü AIXü Linuxü HP-UNIXUNIXSYSLOG 中心設(shè)置采集頻率帳號權(quán)限變更、日志可通過操作系統(tǒng)啟動 syslog 方式發(fā)送策略,建議關(guān)閉、shell 操1 分鐘采集一次作日志、科教興國18