业务系统审计系统方案

1、业务系统审计系统方案目录为什么需要业务审计天玥业务审计功能介绍专业审计产品的必要性应用案例和价值总结业务系统的问题身边的例子信息泄露信息篡改不良记录删除系统崩溃LAN办公区Web Server区DB Server区WAN外网边界Web ServerDB Server业务系统安全建设现状层层防护下问题依旧，合法人员做非法的事情，如何发现？WAFUTM / FWIPSEndpointSecurityIDS/MDSAudit相关政策法规-审计时间法规相关行业2001计算机信息系统安全保护等级划分准则政府行业2002商业银行内部控制指引 金融行业2002-2004 2002 Sarbanes-Oxle

2、y Act (bilingual) PCAOB Auditing Standard No. 2在美国上市的企业（涉及多个行业）2004-2005中国移动集团内控手册中国移动业务支撑网安全域划分和边界整合技术规范中国电信股份有限公司内部控制手册中国网通集团信息质量问责管理若干规定 中国网通集团内部控制体系建设指导意见 电信行业2006银行业金融机构信息系统风险管理指引商业银行合规风险管理指引中国银行业监督委员会办公厅文件银监办通313号保险公司内部审计指引（试行）保险公司风险管理指引（试行）金融行业2006深圳证券交易所上市公司内部控制指引 上海证券交易所上市公司内部控制指引 在中国上市的企业（

3、涉及多个行业）2008内部审计具体准则第28号信息系统审计行政事业单位，各央企2010网上银行系统信息安全通用规范网络架构、数据安全均需审计金融行业所有银行移动集团规范操作类型操作子类操作细项采集对象审计级别敏感数据操作客户资料信息(客户资料、账单、用户行为信息、精确营销目标用户群数据、资源数据、渠道及合作伙伴资料、客户服务密码)查询、导出、变更等CRM、BASS重要客户消费信息(基本业务订购关系、增值业务订购关系、积分数据、账户余额)开通、变更等CRM重要客户详单信息查询、导出等CRM非常重要关键操作批量业务操作批量资金调整CRM非常重要批量套餐变更CRM非常重要批量帐前优惠CRM非常重要批

4、量滞纳金减免CRM非常重要批量免催免停CRM非常重要批量积分变更CRM非常重要其他重要批量操作N/AN/A业务关键操作产品管理CRM重要集团大客户管理CRM非常重要公免号码管理CRM重要客户服务密码变更CRM非常重要客户资料变更CRM非常重要本地缴费（充值）业务（客户资料查询、办理）CRM非常重要营业停复机（客户资料查询、办理）CRM重要订购变更业务（客户资料查询、办理）CRM重要开过户（客户资料查询、办理）CRM重要积分兑换（客户资料查询、办理）CRM重要补换卡和号（客户资料查询、办理）CRM非常重要异地缴费业务（客户资料查询、办理）CRM非常重要其他重要批量操作N/AN/A4A：需要对关键

5、应用系统的敏感数据操作和关键操作进行审计。SMP：需要对应用中的敏感数据进行模糊化核查。电信集团要求中国电信2012760 号文关于印发中国电信 IT 安全保障体系建设规范 v2.0的通知中国电信2013186 号关于深化网络信息保护工作要求的通知中国电信2013411号文关于印发中国电信用户个人信息保护工作提升细则的通知敏感信息级别用户信息分为三个级别，从低到高分别为一级、二级、三级一级用户信息：业务号码（固定、移动电话号码等）、订购的业务信息（套餐、增值业务等），综合级的帐务信息等。二级用户信息：用户姓名、身份信息、地址等为二级用户信息。三级用户信息：用户通信详单、定位（位置）信息、银行帐

6、号等为三级用户信息。公安部要求应用日志采集 公安部应用日志要求应用系统/资源库中用户操作行为和接口服务的日志记录登录、查询、新增、删除、修改、接口服务目录为什么需要业务审计天玥业务审计功能介绍专业审计产品的必要性应用案例和价值总结业务审计的关键点业务操作审计业务安全分析业务取证溯源业务视角呈现业务操作审计越权行为记录异常行为告警服务器性能分析热点业务分析敏感数据分析业务结构分析审计日志检索访问过程追溯关键业务定义业务操作回放审计报告展现业务系统自身审计的不足老旧系统自身审计难无审计功能审计项目不全开发商无法联系，改造困难改造周期长无法关注业务全貌部分攻击或者违规会绕过审计模块更关注前台业务，往

7、往忽略后台数据处理过程对业务系统性能影响开启审计功能降低业务性能不符合独立审计原则审计记录可用性受业务系统影响自身审计不符合独立审计原则传统审计技术的不足互联网审计网络审计运维堡垒机综合日志审计网络流量审计业务审计？业务系统审计，需要新一代有针对性的专业产品目录为什么需要业务审计天玥业务审计功能介绍专业审计产品的必要性应用案例和价值总结业务审计的关键点业务操作审计业务安全分析业务取证溯源业务视角呈现关键操作审计敏感信息审计越权行为告警异常行为发现业务行为分析敏感数据分析审计日志检索业务操作回放访问过程追溯关键业务定义业务数据字典业务安全报告 天玥Web访问解析关键内容提取关键业务映射审计日志检

8、索访问页面回放统计分析报告业务权限梳理自动学习业务映射关系业务关联审计违规行为告警敏感数据核查异常业务发现精确解析违规发现审计报告业务自学习业务关联天玥业务审计核心功能精确解析业务系统定义支持审计HTTP、HTTPS两类业务系统，可精确提取操作账号信息。精确解析关键业务映射业务名称和网络数据特征的映射、网络符号和实际含义的映射、资产属性和IP的映射可自学习业务特征，减少对业务部门的依赖，并极大的降低配置工作量。业务映射有效辅助手段业务自学习 为了快速完成业务映射，系统利用数据挖掘技术，对业务数据进行网络提取，为审计人员定义业务提供帮助。业务自学习过程： 数据采集：从网络镜像中获取样本业务数据

9、数据挖掘：对样本数据进行挖掘，提取网络特征 业务映射：对网络特征进行业务定义精确解析访问解析和关键内容提取可获得信息：业务用户如何访问业务系统，提交的数据，修改的内容。可仿真回放页面请求和页面返回信息。违规发现违规和越权行为可初步评估是否存在越权或者违规行为，提示可能的风险。违规发现异常行为可初步评估是否存在异常或者攻击行为，提示可能的风险。未来会增加行为关联异常，如只查询不办理业务等。注：配置业务账号在特定时间内执行某业务操作的阈值2. 超过阈值实时告警（短信、邮件）和记录日志审计报告统计分析报告按照业务类型和名称的统计，并可进一步钻取到具体事件统计每个用户的业务操作，协助管理员或服务人员进

10、行应用权限的梳理审计报告协助管理者厘清业务权限产品功能架构捕包管理分析系统日志系统解析通信审计策略天玥业务审计系统审计引擎审计分析中心零拷贝碎片重组状态检测协议解析流重组规则匹配攻击检测响应解密技术日志上传事件告警业务映射对外接口系统管理业务配置日志存储统计报告策略配置异常发现关联分析产品型号丰富的产品型号和性能规格，覆盖绝大多数用户的部署需求BA600BA2600BA2900BA3900BA6600大型企业准万兆网络应用小型企业级百兆网络应用中小型企业级千兆网络应用中型企业千兆网络应用大型企业千兆网络应用BA8900大型企业万兆网络应用目录为什么需要业务审计天玥业务审计功能介绍专业审计产品的

11、必要性应用案例和价值总结案例1某省公安交警业务系统交警业务服务器用户镜像交警业务数据库审计系统应用类型业务会话数日志量冗余配置BS7250个/秒4.6G/天无通过web页面审计，发现业务系统存在安全风险，对违规操作定位了责任人案例2某省移动业支CRM系统2022/8/16审计对象：CRM业务系统（部分）流量：平均20Mbps，高峰80Mbps；平均访问审计日志量：200万/日关键业务：用户登录、产品变更服务、话费收取服务、平台业务办理服务、选号开户服务等总结源IP客户端、业务账号分布较为均匀，个别访问量较大。WEB访问出现HTTP错误代码，比如：404、502、503，建议业务部门进一步分析原

12、因。产品变更业务最多；选号开户业务最少；话费收取服务中业务人员*操作最多；“平台业务办理”中存在代码冗余个别账户可能存在在在线业务系统进行测试的情况案例3某省电信CRM系统2022/8/16员工访问了超越自己权限的业务数据，查询敏感数据；（高风险）从业务系统批量导出客户信息（高风险）通过木马外挂程序，高频率查询客户资料；（高风险）非法访问业务系统并批量修改客户资料、积分、余额等（高风险）通过打印接口偷取客户资料；（高风险）在非工作时段，查询并导出大量客户资料；（高风险）利用办业务的权限，趁机从业务系统进行客户信息违规查询（高风险）滥用工号权限，非法创建工号；（高风险）应用场景典型应用场景202

13、2/8/16违规行为黑客用非法IP、客户端等执行业务操作用木马高频查询客户资料页面偷取账号或者调用合法的接口，偷取或修改敏感信息。比如客户资料、积分，交易信息等从业务系统中批量查询并导出客户信息、交易信息等越权行为业务员利用业务系统漏洞，访问了超越自己权限的业务数据滥用工号权限，非法创建工号典型应用场景2022/8/16异常访问在非工作时段频繁关键业务或者访问敏感数据，如客户资料、交易金额利用办业务的权限，趁机从业系统进行客户信息违规查询只查询客户信息，不办理业务。业务系统缺陷业务系统对敏感信息未进行模糊化（核查）业务系统代码缺陷（核查）产品适用业务环境 业务环境（基于Java平台） 业务系统有软、硬件负载均衡部署 业务系统有集群方式部署、 一台多域部署 主要系统中间件Websphere/weblogic/Jboss/Tomcat 业务系统大部分部署在LINUXWIN平台 业务系统数据库Oracle9i/10g/11g、MS-SQL、Sybase、DB2、MySQL等全部支持LAN办公区Web Server区DB Server区WAN外网边界Web Server业务系统整体安全建设方案Web业务审计和数据库审计有机结合，形成全方位基于业务过程的审计解决方案