银行安全审计管理现状

1、某银行安全审计综合治理平台建设方案V.2二九年三月目 录 C 1-3hz HYPERLINK N:整理后l1背景 PAGEREFTo28260107 h HYPERIK l _Tc22860108 2安全审计治理现状PGEREF _oc22860108 h6 HPERINK l_Toc228260109 2.1安全审计差不多概念PAGREF _Toc8260109h HYPERLIK l _Tc286011022 总行金融信息治理中心安全审计治理现状PAGR Toc286011h9 HYPERIN l_Tc22826011 21日志审计 PAGEF_To22826011 h HYPELNK l

2、Tc228201122.22数据库和网络审计PAGREF _Toc2226012 1 ELINK l_oc220113 2.3 我行安全审计治理方法制定现状 AERF _Toc22826011h 11HYPERLINK N:整理后l4 安全审计产品及应用现状 PEEF_Toc228260114h 13HYPERLINK N:整理后l3安全审计必要性AGRE _Toc2820115 13HYPERLINK N:整理后安全审计综合治理平台建设目标PAGEREF _Toc282011 1HYPERLINK N:整理后l5安全审计综合治理平台需求 PAGEREF_Toc2286017h 6HYPERL

3、INK N:整理后5.1日志审计系统需求PAGEREF _Toc260118 h16HYPERLINK N:整理后51.1系统功能需求PAEREF Toc2820119 h 16HYPERLINK N:整理后5.1.2 系统性能需求 PAERETo2226010h HYPERLINK l oc2826121.1. 系统安全需求 PAEE _oc22826011 20HYPERLINK N:整理后 l _Tc2826012514系统接口需求 PAEREF _Toc22826012 HYERN l c28260 5.2数据库和网络审计系统需求 PGEREF _Toc22826023 h22HYER

4、LNKl_o282024 5.审计功能需求 AERE_Tc228260124 22HYPERLINK N:整理后5.报表功能需求 PAGEREF Tc28260125 h 23HYPERLINK N:整理后.2.审计对象及兼容性支持 PAGREF_o8260126 h 24 HYERLINK l _To286017 5.2.4系统性能 REF Toc2826127 h 24 HPEINl _Toc2826012 525审计完整性 PAGEEF oc28260128h2 YPELIK l _Toc2226012 6安全审计综合治理平台建设方案 PAGERF oc286019 2HYPERLINK

5、 N:整理后6.1日志审计系统建设方案 PAEEF Toc228260130 5 ELINK l _Toc2260131 6.1.1 日志治理建议 PREF _Toc2826031 2 HYPERI l _Toc28260132 6.2 日志审计系统整体架构 PAGEREF _Toc2820132 h 26HPRLINK l _Tc228203 6.1.3 日志采集实现方式R _To282013 h 28HYPERLINK N:整理后l6.1. 日志标准化实现方式PAGEREF_Toc226134 h 30 YPERLIN l _oc2826035 615 日志存储实现方式 PAEEF_Toc

6、22826135 31HYPERLINK N:整理后l.1.6 日志关联分析 EE _Toc28203h 2HYPERLINK N:整理后.1.7安全事件报警PAGERF _c226013 h 3HYPERLINK N:整理后61.8 日志报表 PAGEREF _To2826018 h 34 YPERI lTc22826019 6.1.9系统治理GERE _T2209 35 HYERLIN l Toc826014 610 系统接口规范PGEREF _oc260140 h3 HYPERLIN l _Toc11 6.2数据库和网络审计系统建设方案 PAGERF _Toc222601 YPRIN l

7、 _Toc22826014 6.2.1数据库和网络行为综合审计 AGEREF _Tc2820142 h 7 HYERLINK l Tc28260143 6.2.2审计策略 PAGEF _Tc8643 3HYPERLINK N:整理后l.2.3审计内容 PGEFTo2821443HYPERINK l _Toc2220145 6.2.告警与响应治理 AGERFc228601 h 2HYPERLINK N:整理后2.5报表治理 PAGEREF _Tc282614 h HPERLINKl To2820147 7系统部署方案 PAGRF _Tc2282604 3 YPERLINK l _22820148

8、 . 安全审计综合治理平台系统部署方案 PAGEEF _Toc286048h 43HYPERLINK N:整理后.2系统部署环境要求 PGERF Toc2226014h 44HYPERLINK N:整理后 l _Toc22826507.2.1日志审计系统 GEE _oc228260150 h 4HYPERLINK N:整理后l.2.2数据库和网络审计系统PGERF_Toc22260151 45HYPERLINK N:整理后l.3 系统实施建议PAGEREFoc2601 h 5 HYPERLINKl Toc22826017.4二次开发AGEREF _Tc286013h 461背景近年来,XX银行

9、信息化建设得到快速进展,央行履行金融调控、金融稳定、金融市场和金融服务职能高度依靠于信息技术应用,信息安全问题的全局性阻碍作用日益增强。目前，X银行信息安全保障体系中安全系统建设差不多达到了一定的水平。建设了非法外联监控治理系统、入侵检测系统、漏洞扫描系统、防病毒系统及补丁分发系统,为客户端安全治理、网络安全治理和系统安全治理提供了技术支撑手段，有效提高了安全治理水平;完成制定金融业星型网间互联安全规范金融业行业标准,完善内联网外联防火墙系统,确保XX银行网络边界安全；制定并下发银行计算机机房规范化工作指引，规范和加强机房环境安全治理。信息安全审计技术是实现信息安全整个过程中关键记录信息的监控

10、统计，是信息安全保障体系中不可缺少的一部分。随着电子政务、电子商务以及各类网上应用的开展得到了普遍关注,同时在越来越多的大型网络系统中差不多成功应用并发挥着重要作用，特不针对安全事故分析、追踪起到了关键性作用。传统的安全审计系统局限于对主机的操作系统日志的收集和简单分析，缺乏关于多种平台下（Windos系列、Unix系列、Soris等)、多种网络设备、重要服务器系统、应用系统以及数据库系统综合的安全审计功能。随着网络规模的迅速扩大,单一式的安全审计技术逐步被分布式安全审计技术所代替，加上各类应用系统逐步增多,网络治理人员/运维人职员作量往往会成倍增加,使得关键信息得不到重点关注。大量事实表明,

11、关于安全事件发生或关键数据遭到严峻破坏之前完全能够预先通过日志异常行为告警方式通知治理人员，及时进行分析并采取相应措施进行有效阻止,从而大大降低安全事件的发生率。目前我行信息安全保障工作尚未有效开展安全审计工作,缺少事后审计的技术支撑手段。当前,信息安全审计作为保障信息系统安全的制度逐渐进展起来；并已在对信息系统依靠性最高的金融业开始普及。信息安全审计的相关标准包括IS/IEC1779、CSO、OI、ITIL、NISSP80等。这些标准从不同角度提出信息安全操纵体系，能够有效地操纵信息安全风险。同时,公安部公布的信息系统安全等级爱护技术要求中对安全审计提出明确的技术要求:审计范围覆盖网络设备、

12、操作系统、数据库、应用系统,审计内容包括各网络设备运行状况、系统资源的异常使用、重要用户行为和重要系统命令的使用等系统内重要的安全相关事件。为进一步完善信息安全保障体系,2009年立项建设安全审计系统,不断提高安全治理水平。2安全审计治理现状2.1安全审计差不多概念信息安全审计是企业内控、信息系统治理、安全风险操纵等的不可或缺的关键手段。信息安全审计能够为安全治理员提供一组可进行分析的治理数据，以发觉在何处发生了违反安全方案的事件。利用安全审计结果，可调整安全策略,堵住出现的漏洞。美国信息系统审计的权威专家RonWeber又将它定义为收集并评估证据以决定一个计算机系统是否有效做到爱护资产、维护

13、数据完整、完成目标，同时最经济的使用资源。依照在信息系统中需要进行安全审计的对象与内容，要紧分为日志审计、网络审计、主机审计。下面分不讲明如下：日志审计:日志能够作为责任认定的依据，也可作为系统运行记录集，对分析系统运行情况、排除故障、提高效率都发挥重要作用。日志审计是安全审计针对信息系统整体安全状态监测的基础技术,要紧通过对网络设备、安全设备、应用系统、操作系统、数据库的集中日志采集、集中存储和关联分析，关心治理员及时发觉信息系统的安全事件,同时当遇到专门安全事件和系统故障时,确保日志存在和不被篡改,关心用户快速定位追查取证。大量事实表明,关于安全事件发生或关键数据遭到严峻破坏之前完全能够预

14、先通过日志审计进行分析、告警并及时采取相应措施进行有效阻止,从而大大降低安全事件的发生率。数据库审计：要紧负责对数据库的各种访问操作进行监控；是安全审计对数据库进行审计技术。它采纳专门的硬件审计引擎，通过旁路部署采纳镜像等方式猎取数据库访问的网络报文流量,实时监控网络中数据库的所有访问操作（如：插入、删除、更新、用户自定义操作等），还原SQL操作命令包括源IP地址、目的IP地址、访问时刻、用户名、数据库操作类型、数据库表名、字段名等,发觉各种违规数据库操作行为，及时报警响应、全过程操作还原,从而实现安全事件的准确全程跟踪定位，全面保障数据库系统安全。该采集方式可不能对数据库的运行、访问产生任何

15、阻碍,而且具有更强的实时性,是比较理想的数据库日志审计的实现方式。网络审计：要紧负责网络内容与行为的审计；是安全审计对网络通信的基础审计技术。它采纳专门的网络审计硬件引擎，安装在网络通信系统的数据汇聚点，通过旁路抓取网络数据包进行典型协议分析、识不、推断和记录，Tele、TT、Eml、FTP、网上谈天、文件共享、流量等的检测分析等。 主机审计：要紧负责对网络重要区域的客户机上的各种上网行为、文件拷贝/打印操作、通过Modem擅自连接外网等进行审计。目前我行信息安全系统尚未有效开展安全审计工作,由于缺少对各网络设备、安全设备、应用系统、操作系统、数据库的集中日志采集、集中存储和关联分析等事后审计

16、、追查取证的技术支撑手段,以至无法在遇到专门安全事件和系统故障时确保日志存在和不被篡改，同时对主机和数据库的操作行为也没有审计和治理的手段,不同有效对操作行为进行审计，防止误操作和恶意行为的发生,因此我行迫切需要尽快建设安全审计系统(包括日志审计、数据库审计、网络审计）,确保我行信息系统安全。22 我行金融信息治理中心安全审计治理现状2.21日志审计作为数据中心的运维部门，负责运维内联网总行局域网、总行机关办公自动化系统及货币发行信息治理系统、国库信息处理系统等重要业务系统，保障信息系统T基础设施的安全运行。为更好地制定日志审计系统建设方案,开展了金融信息治理中心日志治理现状调研工作,调研内容

17、包括设备系统配置哪些日志信息、日志信息包括哪些属性、日志采集所支持的协议接口、日志存储方式及日志治理现状，金融信息治理中心日志治理现状调查表详见附件。通过分析日志治理现状调查表，将有关情况讲明如下：一、日志内容。网络设备(包括交换机和路由器)、安全设备（包括防火墙、入侵检测设备、防病毒治理系统和补丁分发系统)、办公自动化系统和重要业务系统均配置一定的日志信息,其中每类设备具有一定的日志配置规范，应用系统（办公自动化系统和重要业务系统)的日志内容差异较大,数据库和中间件仅配置“进程是否正常”的日志信息。二、日志格式。网络设备和部分安全设备依照厂商的不同，其日志格式也不同，无统一的日志格式；应用系

18、统依照系统平台的不同,其日志格式也不同，无统一的日志格式。三、日志采集协议/接口。网络设备和部分安全设备支持SN Trap和Syl协议，应用系统要紧支持TCP/IP协议,个不应用系统自定义了日志采集方式。四、日志存储方式。网络设备和部分安全设备日志信息集中存储在日志服务器中,其他设备/系统日志均存储在本地主机上。日志信息以文本文件、关系型数据库文件、ino数据库文件和XM文件等方式进行存储。五、日志治理方式。要紧为分散治理,且无日志治理规范。在系统/设备出现故障时，日志信息是定位故障，解决故障的要紧依据。据了解,为加强网络基础设施运行情况的监控，金融信息治理中心通过采集交换机和路由器等网络设备

19、的日志信息,实现网络设备日志信息的集中治理,及时发觉网络设备运行中出现的问题。通过上述现状的分析,目前日志治理存在如下问题：1、不同系统/设备的日志信息分散存储，日志信息被非法删除,导致安全事故处置工作无法追查取证。2、在系统发生故障后,才去通过日志信息定位故障,导致系统安全运行工作存在一定的被动性,应主动地在日志信息中及时发觉系统运行存在的隐患，提高系统运行安全治理水平。3、随着我行信息化工作的不断深入，系统运维工作压力的不断加大，如不及时规范日志信息治理，信管中心将逐步面临运维的设备多、人员少的问题，不能及时准确把握运维工作的重点。在目前日志信息治理基础上,若简单加强日志信息治理,仍存在如

20、下问题：1、通过系统/设备各自的操纵台去查看事件,窗口繁多,而且所有的事件差不多上孤立的，不同系统设备之间的事件缺乏关联，分析起来极为苦恼,无法弄清晰真实的状况。2、不同系统/设备对同一个事件的描述可能是不同的，治理人员需了解各系统设备,分析各种不同格式的信息，导致治理人员的工作特不繁重，效率低。、海量日志信息不但无法关心找出真正的问题，反而因为太多而造成无法治理,同时不同系统设备可能产生不同的日志信息格式,无法做到快速识不和响应。2.数据库和网络审计目前我行没有实现对数据库操作和网络操作行为的审计。对系统的后台操作人员的远程登录主机、数据库的操作行为无法进行记录、审计,难以防止系统滥用、泄密

21、等问题的发生。2 我行安全审计治理方法制定现状在银行信息安全治理规定提出如下安全审计要求:第一百三十九条各单位科技部门在支持与配合内审部门开展审计信息安全工作的同时,应适时开展本单位和辖内的信息系统日常运行治理和信息安全事件全过程的技术审计,发觉问题及时报本单位或上一级单位主管领导。第一百四十条各单位应做好操作系统、数据库治理系统等审计功能配置治理,应完整保留相关日志记录,一般保留至少一个月，涉及资金交易的业务系统日志应依照需要确定保留时刻。在银行信息系统安全配置指引数据库分册提出如下安全审计要求：应配置审计日志，并定期查看、清理日志。审计内容包括创建、修改或删除数据库帐户、数据库对象、数据库

22、表、数据库索引的行为；同意或者撤销审计功能的行为;授予或者取消数据库系统级不权限的行为；任何因为参考对象不存在而引的错误信息；任何改变数据库对象名称的动作；任何对数据库Diciona或者数据库系统配置的改变；所有数据库连接失败的记录；所有DBA的数据库连接记录；所有数据库用户帐户升级和删除操作的审计跟踪信息。审计数据应被保存为分析程序或者脚下本可读的格式，时刻期限是一年。所有删除审计数据的操作,都应在动态查帐索引中保留记录。只有BA或者安全审核员有权限选择、添加、删除或者修改、停用审计信息。上述安全审计治理要求为开展日志审计系统建设提供了制度保障。24 安全审计产品及应用现状目前市场上安全审计

23、产品按审计类型也有专门多产品,日志审计以SIM类产品为主,也叫安全信息和事件治理（SIE),是安全治理领域进展的方向。SI是一个全面的、面向IT计算环境的安全集中治理平台，那个平台能够收集来自计算环境中各种设备和应用的安全日志和事件，并进行存储、监控、分析、报警、响应和报告,变过去被动的单点防备为全网的综合防备。由于日志审计对安全厂商的技术开发能力有较高要求，国内一些较有实力的安全厂商能够提供较为成熟的日志审计产品。目前,日志审计产品已在政府、运营商、金融、民航等行业广泛成功应用。针对数据库和网络行为审计产品，国内也有多个厂家有比较成熟的产品，在专门多行业都有应用。3安全审计必要性通过安全审计

24、系统建设,落实信息系统安全等级爱护差不多技术和治理要求中有关安全审计操纵点及日志和事件存储的要求,积存信息系统安全等级爱护工作经验。通过综合安全审计平台的建设，进一步完善我行信息安全保障体系,改变事中及事后安全基础设施建设较弱的现状;为信息安全治理规定落实情况检查提供技术支撑手段,不断完善信息安全治理方法，提高信息安全治理水平；通过综合安全审计平台,实现信息系统IT基础设施日志信息的集中治理,全面掌握T基础设施运行过程中出现的隐患,通过安全事件报警和日志报表的方式,在运维人员有限的条件下，有效地把握运维工作的重点，进一步增强系统安全运维工作的主动性,更好地保障系统的正常运行。同时,有效规避日志

25、信息分散存储存在的非法删除风险,确保安全事故处置的取证工作。通过综合安全审计平台的建设，规范我行安全审计治理工作，指导今后信息化项目建设，系统也为安全审计治理规范的实现提供了有效的技术支撑平台。安全审计综合治理平台建设目标依照总行金融信息治理中心日志治理工作现状及存在的问题，结合日志审计系统建成后的预期收益，现将系统建设目标讲明如下：海量日志数据的标准化集中治理。依照即定采集策略，采集信息系统IT基础设施日志信息,规范日志信息格式，实现海量日志数据的标准化集中存储,同时保存日志信息的原始数据，规避日志信息被非法删除而带来的安全事故处置工作无法追查取证的风险;加强海量日志数据集中治理，特不历史日

26、志数据的治理。系统运行风险及时报警与报表治理基于标准化的日志数据进行关联分析，及时发觉信息系统I基础设施运行过程中存在的安全隐患，并依照策略进行及时报警,为运维人员主动保障系统安全运行工作提供有效的技术支撑;实现安全隐患的报表治理，更好地支持系统运行安全治理工作。为落实有关信息安全治理规定提供技术支撑利用安全审计结果能够评估信息安全治理规定的落实情况，发觉信息安全治理方法存在的问题,为完善信息安全治理方法提供依据,持续改进,进一步提高安全治理水平。规范信息系统日志信息治理。依照日志治理工作现状，提出信息系统日志信息治理规范，明确信息系统IT基础设施日志配置差不多要求、日志内容差不多要求等，一方

27、面确保日志审计系统建设实现即定目标;另一方面指导今后信息化项目建设,完善信息安全治理制度体系,进一步提高安全治理水平。实现对我行各业务系统主机、数据库行为审计。对各业务系统的主机、数据库行为的审计,要紧是在不阻碍业务系统正常运行的前提下,通过网络镜像流量的方式辅以独立日志分析等其它方式对用户行为进行隐蔽监视，对用户访问业务系统的行为进行审计，对用户危险行为进行告警并在必要时进行阻断,对事后发觉的安全事件进行会话回放,进行网络通讯取证。安全审计综合治理平台需求.日志审计系统需求11系统功能需求51.1日志采集功能需求采集范围日志审计系统需要对我行信息系统中的网络设备、主机系统、应用系统、安全系统

28、及其他系统(如网络治理系统、存储设备等）进行日志采集。数据库是我行数据治理的基础，任何数据泄漏、篡改、删除都会对税务的整体数据造成严峻损失。数据库审计是安全治理工作中的一个重要组成部分,通过对数据库的“信息活动”实时地进行监测审计,使治理者对数据库的“信息活动”一目了然,能够及时掌握数据库服务器的应用情况,及时发觉客户端的使用问题，存在着哪些安全威胁或隐患并予以纠正，预防应用安全事件的发生，即便发生了也能够能够快速查证并追根寻源。尽管数据库系统本身能够提供日志审计功能,然而数据库系统自身开启日志审计功能会带给系统较大的负担。为了保证数据库的性能、稳定性,建议采纳国内已较为成熟的数据库审计技术，

29、通过在网络部署专门的旁路数据库审计硬件设备,采纳镜像等方式猎取数据库访问的网络报文流量,实现针对各种数据库用户的操作命令级审计，从而随时掌握数据库的安全状况,及时发觉和阻止各类数据操作违规事件或攻击事件，幸免数据的各类安全损失，追查或打击各类违规、违法行为,提高数据库数据安全治理的水平。该采集方式可不能对数据库的运行、访问产生任何阻碍，而且具有更强的实时性，是比较理想的数据库日志审计的实现方式。数据来源与内容数据来源:审计数据源需要包括我行信息系统各组件的日志产生点，如主机操作日志、操作系统日志、数据库审计日志、FTBNTP/SMTP、安全设备日志等。数据内容:异常信息在采集后必须进行分类,例

30、如能够将异常事件信息分成泄密事件和安全运行事件两大类，以便于我行日志审计系统治理人员能快速对事件进行分析。采集策略采集策略需要包括采集频率、过滤、合并策略与信息传输策略。支持依照采集对象的不同,能够设置实时采集、按秒、分钟、小时等采集频率。支持日志或事件进行必要的过滤和合并，从而只采集有用的、需要关注的日志和事件信息，屏蔽不需要关注的日志和事件信息。通过预先设定好的日志信息传输策略，使采集到的信息能够依照网络实际情况有序地传输到数据库服务器进行入库存储,幸免因日志信息瞬间激增而对网络带宽资源的过度占用,同时保证信息传输的效率，幸免断点重传。采集监控系统能够监控各采集点的日志传输状态,当有采集点

31、无法正常发送日志信息时,系统能够自动进行告警通知治理员进行处理。5.日志格式标准化需求依照日志格式标准,对系统采集的信息系统IT基础设施日志信息进行标准化处理。5.1日志集中存储需求我行日志审计系统将对300余个审计对象进行日志审计,此系统需要具有海量的数据存储能力,其后台数据库需要采纳稳定以及先进的企业级数据库(如DB2、S SQL erer数据库)；需要有合理的数据存储治理策略；需要支持磁盘阵列柜以及SAN、NAS等存储方式。.1.1.4日志关联分析需求为了解决目前日益严峻的复合型风险威胁,我行日志审计系统需要具有关联分析功能:将不同安全设备的响应通过多种条件关联起来，以便于治理员的分析和

32、处理。例如当一个严峻的事件或用户行为发生后,从网络层面、主机/服务器层面、数据（库）、安全层面到应用层面可能都会有所反应（响应）,这时候审计系统将进行数据挖掘,将上述多个层面、多个维度的事件或行为数据挖掘和抽取、关联，将关联的结果呈现给使用者。5.1.5安全事件报警需求为了快速、准确定位安全事件来源,及时处理安全事件,我行日志审计系统必须具备实时报警功能，报警方式应该多样化，如实时屏幕显示、电子邮件和短信等。1.1.6日志报表需求我行日志审计系统的报表需要支持细粒度查询，使治理人员能够快速对安全事件进行正确的分析,其查询细粒度应该包括关键字、时刻段、源地址、目的地址、源端口、目的端口、设备类型

33、、事件类型、特定审计对象等多个条件的组合查询，并支持模糊查询。51.2 系统性能需求目前我行日志审计系统需要审计300台以上的设备，以一台设备300条/小时，每条日志1KB为标准计算,300台设备每天的总日志条数为60万条,总日志量约为21G。基于上述计算结果,结合同行业成功案例，建议系统性能如下:处理能力支持安全事件与日志每天2千万条以上；支持120以上的数据库存储；支持的原始日志和事件的存储容量可达到5亿条； 提供对原始日志及审计结果的压缩存储，文件存储压缩比一般不应小于1:10;依照审计要求,原始信息及审计结果需保留6个月-1年，因此,需支持磁盘阵列、NA和N等多种存储方式,存储容量需达

34、到7B以上。. 系统安全需求权限划分需求:日志审计系统需要进行治理权限的划分，不同的治理员具有不同的治理权限，例如治理配置权限与审计操作权限分离，系统中不同意出现超级用户权限。登录安全需求:日志审计系统在用户登录上需要强身份鉴不功能以及鉴不失效处理机制。传输安全需求：日志审计系统各个组件之间的通讯协议必须支持身份认证与传输加密,确保数据在传输过程中不被泄漏、篡改、删除。存储安全需求：日志审计系统的后端数据库必须采纳安全可靠的大型数据库，数据库的访问以及对日志审计系统的操作都要通过严格的身份鉴不，并对操作者的权限进行严格划分，保证数据存储安全。接口安全需求：日志审计系统各组件之间应该采纳其厂商自

35、身的,未公开同时成熟可靠的协议进行通信。日志审计平台与其他系统（网络设备、主机/服务器、应用系统、安全设备)的接口可采纳标准的MP、slog等协议。5.1.4 系统接口需求我行日志审计系统要紧提供如下接口进行日志采集:1、Sylog方式，支持SYLOG协议的设备,如:防火墙、I服务器等；2、OC/JD方式，支持数据库联接的设备;、MP Trap方式,支持SNP协议的设备，如:交换机、路由器、网路安全设备等;4、XML方式,支持HTTP协议的设备；5、EvenL方式，支持Windos平台;6、特定接口方式,关于不支持通用协议的设备,需要定制开发,如：某网闸隔离系统；7、其他厂商内部专用协议。通过

36、标准的接口，能够采集到网络设备、安全设备、主机系统、应用系统的各种类型日志：包含登陆信息、登陆认证失败信息、应用程序启动信息、进程改变信息、违反防火墙规则的网络行为、DS检测到的所有入侵事件和IS自身生成的各种日志等。日志信息的采集能够依照我行信息系统的现实情况进行实时传输或者定时传输。5.2数据库和网络审计系统需求52.审计功能需求安全审计策略系统应同意使用者能够针对访问者、被爱护对象、操作行为,访问源，事件类型等特征等制定具体的安全审计策略。策略制定方式应简单灵活，既能够制定适应于批量对象的公共策略,也能够制定适用于单个被爱护对象的详细策略。系统应提供行为全部记录的默认审计策略。审计记录应

37、该反应出用户的登录身份,登录操作时使用的主机或数据库账号信息。在建设身份认证和访问操纵功能后，能够禁止或同意用户使用某个主机或数据库账号进行登录和操作。审计记录应该反应出用户的登录身份，登录操作时使用的主机、网络设备或数据库账号信息。事件实时审计、告警、命令操纵能灵活配置实时安全审计操纵策略和预警参数,实时发觉可疑操作（如操作系统rm命令、数据库drop、dlet命令等),实时发出告警信息(向操纵台发出告警信息、向治理员邮箱发送告警电子邮件、向治理员手机发出告警短消息、通过P命令向日志审计系统、网管系统发出告警等）。行为审计功能依照制定的安全审计策略,系统应对访问者访问被爱护对象的操作交互过程

38、进行记录,并同意选择记录整个操作过程的上行、下行数据。系统应能够将审计记录重组为会话的能力。单个会话的全部操作行为应能够进行回放。每一条审计记录应至少提供操作时刻、访问者的身份信息、IP地址、被爱护对象（主机名称、IP地址等）、操作内容、系统返回内容。审计记录结果要实现集中存储、集中治理、集中展现。事件查询功能系统需要提供丰富的查询界面，能够通过数据库事件查询、Teet事件查询、Ft事件查询、事件会话关联查询、告警查询等不同的维度查询结果。并支持导出报表。审计信息的存储 审计信息要求安全存储，分级不进行治理,一般治理员无法修改删除。用户登录认证及操作日志要求安全存储,一般治理员无法修改删除。系

39、统应该提供灵活的审计信息存储策略，以应对大规模审计存储的要求；能够依照用户登录身份、使用的主机或数据库账号来制定审计信息存储策略。重复事件归并通过配置归并规则,系统能够对大批量的重复事件做统一归并，并记录归并次数。权限治理系统需要分治理员和审计员权限，审计员只能审计授权审计的系统的审计信息。5.22报表功能需求查询功能系统用户应可按照时刻段、访问者、主机或数据库账号、被爱护对象、行为方式、行为特征等关键字进行精确或模糊匹配查询。操作人员依照查询结果能够关联查看整个会话的内容。统计报表功能系统应提供完整的报表系统。系统应按照访问者、被爱护对象、行为方式、操作内容（例如数据库表名称)等生成统计报表

40、,并按照要求添加、修改报表数量、格式及内容,以满足安全审计的要求。审计对象及兼容性支持应当包括（但不限于)：Telet，ftp, 等应用。操作系统支持：Unix,H-UX ,olri数据库支持：Orcle ,D2，Infmix,Myql,Sqseer应确保无遗漏等现象发生。系统性能系统应满足大数据量的审计要求。满足千兆骨干网络审计要求，无丢包、漏包现象发生；系统应提供良好的查询能力；系统应至少满足1年的审计数据在线存储的需求，并提供相应的离线备份机制，关于超过在线存储时限的审计数据应提供导入导出的机制。5.5审计完整性系统应能实现对所有访问者通过审计途径对现网内被爱护对象的远程访问行为的审计,

41、无遗漏、错报等现象的发生。6安全审计综合治理平台建设方案6.日志审计系统建设方案.1.1 日志治理建议基于我行日志审计系统的建设目标，需要对我行信息系统中的网络设备、主机系统、应用系统、安全系统等进行日志采集,各采集对象的设备系统类型、采集的日志内容、采集方式及采集频率讲明如下:审计内容具体审计需求描述日志内容包括拟采纳的采集方式采集频率操作系统Sais AIXLinxHUNIX帐户登录注销、帐号权限变更、操作系统启动关闭、shell操作日志、YSlOG日志。Ae方式;针对UNXSYLO日志可通过sylg方式发送通过日志安全审计中心设置采集频率策略,建议1分钟采集一次idw2000 serrW

42、ndw 200sve帐户登录注销、帐号权限变更、操作系统启动关闭、应用程序运行状态、系统文件和文件属性修改等gen方式通过日志安全审计中心设置采集频率策略，建议1分钟采集一次安全设备防火墙用户登录、修改配置、收集到的攻击日志等等Syslg、SNMP Tap方式采集在安全设备上配置日志传输频率,建议1分钟采集一次网络设备交换机路由器等（CISCO、华为、华三等）。用户登录、修改配置等Syslog、 ra方式采集在网络设备上配置日志传输频率，建议1分钟采集一次数据库ORACLEQL SERVEDB2YBASEInfomi用户登录、注销、数据查询、插入、数据修改、数据删除、修改配置等。通过部署旁路数

43、据库审计硬件设备,采纳镜像等方式猎取数据库访问的网络报文流量，从而实现针对各种数据库用户的操作命令级审计。该采集方式可不能对数据库的运行、访问产生阻碍通过日志安全审计中心设置数据库审计日志采集频率策略,建议1分钟采集一次应用系统Web srvr、Emilsere、Dino等应用系统;在实际项目中,还需要收集业务系统日志。Wb server要紧包括:WebhereApacheWegicicrsoft IIS等用户登录、修改配置、应用层的操作等nt方式、slg、MPTra、DC/JDB方式通过日志安全审计中心设置数据库审计日志采集频率策略,建议1分钟采集一次6.1.2 日志审计系统整体架构我行日志

44、审计系统整体架构图如下：整体架构图讲明:我行日志审计系统为软件架构，由采集服务器、治理服务器、数据库服务器三大部分组成。对被审计对象进行必要的设置或安装采集代理,即可实现对整个系统的综合审计;我行日志审计系统采纳Broe/SereData三层架构，治理人员无需安装任何客户端即可登录到日志审计系统进行审计治理操作。我行日志审计系统功能结构图如下：功能结构图讲明：我行日志审计系统将包括日志采集、日志存储、日志分析、系统治理、综合显示等功能模块,这些功能模块将有效满足我行针对日志审计系统各种功能需求。6.1 日志采集实现方式61.3 系统支持的标准接口和协议1、Syslo方式,支持SYS协议的设备,

45、如：防火墙、UNIX服务器等；、ODC/JDBC方式,支持数据库联接的设备;3、NP r方式,支持SNMP协议的设备，如:交换机、路由器、网路安全设备等；、XML方式,支持HT协议的设备;5、EenLg方式，支持Wnws平台；6、特定接口方式,关于不支持通用协议的设备，需要定制开发,如：某网闸隔离系统。7、其他厂商内部专用协议。Syslo和SNP ap方式作为最常见、传统的方式,被大部分设备厂商和日志审计系统所采纳，建议我行采纳这两种方式进行日志采集。Sslo和NMTap方式作为最成熟的网络协议,差不多广泛应用在网络设备、安全设备等设备之上，用来传输各种日志信息,对系统本身阻碍专门小。8、数据

46、库日志审计数据库自身日志功能开启情况下,可通过OB方式收集数据库日志，然而在数据库日志量较大的情况下,数据库系统自身开启日志审计功能会带给系统较大的负担,不建议采纳该方式收集数据库日志。为了保证数据库的性能、稳定性,建议采纳国内已较为成熟的数据库审计技术,通过在网络部署专门的旁路数据库审计硬件设备,采纳镜像等方式猎取数据库访问的网络报文流量,实现针对各种数据库用户的操作命令级审计。该采集方式可不能对数据库的运行、访问产生任何阻碍,而且具有更强的实时性，是比较理想的数据库日志审计的实现方式。6.1.2 采集对象日志采集实现方式采集对象需支持通过安装审计代理程序或修改系统配置来进行日志的采集，通过

47、日志收集策略定制来开启与关闭各系统的日志采集功能及确定应采集的日志的种类。为了保证被监控系统的保密性,原则上被监控系统要主动向日志审计系统发送自身生成的日志信息,日志审计系统尽可能的不主动访问被监控对象。6.4 日志标准化实现方式 由于日志采集模块收集到多种类型的日志,而这些日志定义的格式和内容不尽相同,日志标准化将不同的数据格式转换成标准的数据格式并存储，为上层应用提供数据支持。由于不同的设备,对事件的严峻程度定义及侧重点不尽相同，不利于依照统一的安全策略进行处理。日志标准化将按照日志来源类型、事件类不、事件级不等可能的条件及条件的组合对事件严峻级不进行重定义，便于日志分析模块的分析处理。下

48、面是日志信息标准化要求:日志事件信息的标准化字段包括事件编号信息（此字段信息应全局唯一,作为标识事件的主键)、事件名称、事件原始时刻、事件采集时刻、事件内容、事件类型、事件源地址、事件目的地址、事件源端口、事件目的端口、事件原始级不、事件标准化后的级不、事件采集来源、事件涉及协议、会话信息等。我行日志审计系统关于今后新增加的被审计对象(如新增的应用系统）,将使用标准的Syslog或SNM协议作为其日志形式和接口，并协调日志审计系统厂商与新系统厂商提供技术方面的支持。新增的被审计对象，必须能满足如下条件：1）提供标准的Sylg或N接口;2)被审计对象需要提供详细的日志信息,包括：登陆信息、状态信

49、息、依据自身业务逻辑产生的数据等;3）日志事件信息的标准化字段包括事件编号信息（此字段信息应全局唯一,作为标识事件的主键）、事件名称、事件原始时刻、事件采集时刻、事件内容、事件类型、事件源地址、事件目的地址、事件源端口、事件目的端口、事件原始级不、事件标准化后的级不、事件采集来源、事件涉及协议、会话信息等;)假如是应用系统日志，应该包含用户信息,关于应用系统日志其级不的定义变得极其重要；5)提供设备所能产生的全部类型的日志样本;6）提供全部日志类型中的字段的讲明(尤其是数值与相应内容的对比表）以及相应文档；.15 日志存储实现方式我行日志审计系统将采纳DB或S SQL Sever 数据库作为日

50、志审计系统的在线存储方式,依照审计要求，原始信息及审计结果需提供压缩存储，文件存储压缩比一般不应小于1：10;并保留6个月1年以上，系统需支持磁盘阵列柜以及SA、NAS等存储方式,存储容量需达到7TB以上。除了在线存储方式外还将支持磁带机作为离线存储备份方式,离线数据能够通过导入到当前库不同的表中进行查询和分析,以幸免对当前数据造成不利的阻碍。6.1.6 日志关联分析我行日志审计系统将提供多种关联分析方法，包括：相同源I的事件关联分析、相同目的IP的事件关联分析、相同事件类型的关联分析以及基于规则的事件关联分析、统计关联分析和漏洞关联分析(需要采纳脆弱性模块)。通过关联分析能够更加准确地定义和

51、定位安全事件。相同源P的事件关联分析:通常用于对主机终端的活动进行分析审计，它把相同源地址所产生的事件按照时刻顺序一一列出,关心治理人员对该IP地址所进行的各项操作行为进行分析和审计，从而对其操作行为的目的性进行分析。相同目的P的事件关联分析：通常用于对服务器被访问和操作的活动进行分析和审计,它把相同目的IP地址所产生的事件按照时刻顺序一一列出，关心治理人员对该IP地址被访问的活动进行分析和审计,从而发觉内部人员对服务器所进行非授权或可疑的操作。相同事件类型的事件关联分析：通常用于对特定事件的阻碍范围进行分析，它把所发生的相同事件类型的按照时刻顺序一一列出，关心治理人员对事件的波及面进行分析和

52、审计。基于规则的事件关联分析:是把各种安全事件按照时刻的先后序列与时刻间隔进行检测，推断事件之间的相互关系是否符合预定义的规则，从而触发分析总结出来的关联分析后事件。统计关联分析:是用户通过定义一定时刻内发生的符合条件的事件量达到规定量,从而触发关联事件。所有能够发送日志信息的IT基础设施都能够做关联分析，通过关联分析能够及时发觉T基础设施潜在风险。17 安全事件报警我行日志审计系统将提供实时屏幕显示、电子邮件、工作任务单、入库(和短信）等报警方式；能够调整实时报警的排序方式；能够定义实时报警的显示内容，显示内容包括：发生的时刻来源事件类型主体描述和结果(成功、失败或待验证等)；能够调整实时报

53、警策略,同时显示的内容与当前用户的治理角色相关联。可提供事件的上报机制,通过策略的设置明确哪些类型(如泄密事件、安全运行事件)、哪些等级（高、中高、中、中低、低等级以上)的安全事件需要随时上报。6.1.8 日志报表我行日志审计系统可提供的报表包括以下种类:事件信息报表提供事件分布报表,按照不同事件类不提供各类事件的趋势报表。综合分析与预警报表综合安全风险分析的报表,提供风险查询报表，能够依照资产、域、趋势等进行分类输出，包括分析数据分布范围、受阻碍的系统、可能的严峻程度等。响应过程报表提供响应模块发生的响应事件的统计报表,按照响应事件的紧急程度、响应对象、响应人员分类列表。综合显示报表提供综合

54、显示模块的实时截屏报表，包括列表显示报表输出、拓扑安全信息报表输出、电子地图安全信息报表输出。平台自身日志报表提供平台自身日志的报表，包含访问人、访问次数、访问时刻等。能够按照审计对象展现日志信息。报表输出格式可转换为PDF 、L、RT、CSV等多种常用的标准格式，我行用户可自定义报表。6.19系统治理我行日志审计系统设有用户治理员、系统治理员、安全治理员和安全审计员四种操作和治理角色,每种操作治理角色中又可安排多个操作治理用户，在系统中不存在超级用户。通过角色的划分并给予角色相应的授权实现了系统治理员、安全治理员和安全审计员的三权分立。用户治理员权限：用户治理员负责对用户、用户组进行治理，包

55、括建立、维护和删除用户组,并将用户分配到相应的用户组中。用户治理员不参与综合审计系统的各项具体操作。系统治理员权限：系统治理员负责设定各个用户组的治理和操作权限,包括治理区域范围、治理的设备和对象、各项治理功能(如策略制定、关联分析、审计查询、审计报表、数据备份等）的操作权限等,权限操纵分为“完全操纵”、“读取”、“写入”、“更改”、“删除”几类。系统治理员不参与综合审计系统的各项具体操作。安全治理员权限:安全治理员负责在权限许可的范围内利用日志审计系统开展各项安全审计和治理操作。安全治理员的操作进行通过系统审计日志记录下来，以备审计治理员对安全治理员的各项治理操作进行审计。安全审计员权限：审

56、计治理员仅具有对用户治理员、系统治理员、安全治理员所从事的各项安全治理操作进行审计的权限,包括用户登录注销、新增、修改、删除用户或用户组等功能。6. 系统接口规范我行日志审计系统的接口规范为标准协议：Syslo、SNMP。被监控对象通过yl、MP协议主动把自身的日志信息发送到日志审计系统。日志审计系统要对外提供如下接口:Windo EventL:能够通过该接口采集Windo主机的日志信息。lo：通过该接口能够采集网络设备、安全设备、主机系统等日志信息。SNMP:通过该接口能够采集网络设备、安全设备、主机系统等日志信息。OSEC:通过该接口能够采集nokia、hecpot的日志信息。ML:通过该

57、接口能够采集漏洞扫描系统的扫描结果。ODBC：通过该接口能够采集数据库的日志信息。读文件:通过该接口能够采集p、DNS等应用系统的日志信息。日志审计系统自身会有简单的资产治理功能，假如我行没有与现有资产治理系统进行数据同步的要求,不需要和现有的资产治理系统进行整合。假如要求做到和现有的资产治理系统整合，需要通过定制开发实现。与第三方的资产治理系统进行整合需要定制开发。.数据库和网络审计系统建设方案6.1数据库和网络行为综合审计6.211实时统计监控治理人员能够通过实时统计功能清晰地看到网内部告警事件、活动会话(Activ eson),以及对被爱护对象的访问情况。实时统计功能能够统计最近5分钟的

58、数据,及时地反应出网络内部的动态。在实时统计中,用户能够实时的查看当前活动对象、当前活动会话等的事件列表。用户点击某个活动会话,即可看到当前会话中用户登录、操作、注销指令执行及其返回结果的全过程。6.1.2事件查询事件查询为用户提供了历史事件查询的手段。用户能够指定复杂的查询条件，快速检索到需要的事件信息，从而协助治理员进行计算机取证分析,收集外部访问或者内部违规的证据。事件查询细分为综合事件查询，数据库事件查询,主机事件查询,Ft事件查询。针对不同类不的查询，系统精心地为用户提供了不同的查询条件组合,方便用户找到自己需要的信息。用户能够指定的查询条件包括:审计类型、事件接收时刻、事件等级、源

59、地址、目的地址、用户名、策略名、会话ID(esinID)等。6.1.3趋势分析能够进行事件访问的趋势分析，对最近一段时刻的事件进行统计分析，并描绘趋势曲线。如此，系统监控治理员能够清晰的看到最近一段时刻内部的的事件走向,同时能够清晰地看到敏感时刻内什么人对什么样的爱护对象进行过访问，以及访问了爱护对象的什么资源。针对不同的审计类型,产品提供不同的趋势分析,系统监控人员能够依照需要查看不同的趋势分析。62审计策略审计策略是为审计功能服务的，它为系统提供数据包采集引擎所需的策略配置,对通过引擎的数据包进行基于审计策略的过滤，将符合审计策略的数据包提取出来、产生安全事件,然后再对安全事件进行审计分析

60、。同时,审计策略也决定了审计的颗粒度，用户能够通过对审计策略的设定来决定审计的各种细节。系统能够依照用户要求自由组织审计策略，提供便捷的添加、修改、删除、导入、导出、启用和禁用等功能。能够将针对同一业务的不同方面的审计策略选项集中到一条审计策略中进行配置,如此用户无需切换页面和进行复杂的选项配置,简化了用户操作，同时并未减少需要配置的审计对象的元素。在策略配置中，用户能够从各类协议中提取出公共部分进行统一配置,各类协议的私有部分再依照不同的细节进行相应的配置,从而幸免了重复配置，减轻了用户的审计配置工作量。策略配置内容：审计类型行为采集响应主机.登录2.注销3一般操作1.全部:审计全部内容2.