银行安全审计综合管理平台建设方案样本

某银行安全审计综合管理平台建设方案V1.2二○○九年三月目录1背景 42安全审计管理现状 62.1安全审计基本概念 62.2总行金融信息管理中心安全审计管理现状 92.2.1日记审计 92.2.2数据库和网络审计 112.3我行安全审计管理办法制定现状 112.4安全审计产品及应用现状 133安全审计必要性 134安全审计综合管理平台建设目的 145安全审计综合管理平台需求 165.1日记审计系统需求 165.1.1系统功能需求 165.1.2系统性能需求 195.1.3系统安全需求 205.1.4系统接口需求 215.2数据库和网络审计系统需求 225.2.1审计功能需求 225.2.2报表功能需求 235.2.3审计对象及兼容性支持 245.2.4系统性能 245.2.5审计完整性 256安全审计综合管理平台建设方案 256.1日记审计系统建设方案 256.1.1日记管理建议 256.1.2日记审计系统整体架构 266.1.3日记采集实现方式 286.1.4日记原则化实现方式 306.1.5日记存储实现方式 316.1.6日记关联分析 326.1.7安全事件报警 336.1.8日记报表 346.1.9系统管理 356.1.10系统接口规范 366.2数据库和网络审计系统建设方案 376.2.1数据库和网络行为综合审计 376.2.2审计方略 386.2.3审计内容 396.2.4告警与响应管理 426.2.5报表管理 427系统布置方案 437.1安全审计综合管理平台系统布置方案 437.2系统布置环境规定 447.2.1日记审计系统 447.2.2数据库和网络审计系统 457.3系统实行建议 457.4二次开发 461背景近年来，XX银行信息化建设得到迅速发展，央行履行金融调控、金融稳定、金融市场和金融服务职能高度依赖于信息技术应用，信息安全问题全局性影响作用日益增强。当前，XX银行信息安全保障体系中安全系统建设已经达到了一定水平。建设了非法外联监控管理系统、入侵检测系统、漏洞扫描系统、防病毒系统及补丁分发系统，为客户端安全管理、网络安全管理和系统安全管理提供了技术支撑手段，有效提高了安全管理水平；完毕制定《金融业星型网间互联安全规范》金融业行业原则，完善内联网外联防火墙系统，保证XX银行网络边界安全；制定并下发《银行计算机机房规范化工作指引》，规范和加强机房环境安全管理。信息安全审计技术是实现信息安全整个过程中核心记录信息监控记录，是信息安全保障体系中不可缺少一某些。随着电子政务、电子商务以及各类网上应用开展得到了普遍关注，并且在越来越多大型网络系统中已经成功应用并发挥着重要作用，特别针对安全事故分析、追踪起到了核心性作用。老式安全审计系统局限于对主机操作系统日记收集和简朴分析，缺少对于各种平台下（Windows系列、Unix系列、Solaris等）、各种网络设备、重要服务器系统、应用系统以及数据库系统综合安全审计功能。随着网络规模迅速扩大，单一式安全审计技术逐渐被分布式安全审计技术所代替，加上各类应用系统逐渐增多，网络管理人员/运维人员工作量往往会成倍增长，使得核心信息得不到重点关注。大量事实表白，对于安全事件发生或核心数据遭到严重破坏之前完全可以预先通过日记异常行为告警方式告知管理人员，及时进行分析并采用相应办法进行有效制止，从而大大减少安全事件发生率。当前我行信息安全保障工作尚未有效开展安全审计工作，缺少事后审计技术支撑手段。当前，信息安全审计作为保障信息系统安全制度逐渐发展起来；并已在对信息系统依赖性最高金融业开始普及。信息安全审计有关原则涉及ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800等。这些原则从不同角度提出信息安全控制体系，可以有效地控制信息安全风险。同步，公安部发布《信息系统安全级别保护技术规定》中对安全审计提出明确技术规定：审计范畴覆盖网络设备、操作系统、数据库、应用系统，审计内容涉及各网络设备运营状况、系统资源异常使用、重要顾客行为和重要系统命令使用等系统内重要安全有关事件。为进一步完善信息安全保障体系，立项建设安全审计系统，不断提高安全管理水平。2安全审计管理现状2.1安全审计基本概念信息安全审计是公司内控、信息系统治理、安全风险控制等不可或缺核心手段。信息安全审计可觉得安全管理员提供一组可进行分析管理数据，以发当前何处发生了违背安全方案事件。运用安全审计成果，可调节安全方略，堵住浮现漏洞。美国信息系统审计权威专家RonWeber又将它定义为收集并评估证据以决定一种计算机系统与否有效做到保护资产、维护数据完整、完毕目的，同步最经济使用资源。依照在信息系统中需要进行安全审计对象与内容，重要分为日记审计、网络审计、主机审计。下面分别阐明如下：日记审计：日记可以作为责任认定根据，也可作为系统运营记录集，对分析系统运营状况、排除故障、提高效率都发挥重要作用。日记审计是安全审计针对信息系统整体安全状态监测基本技术，重要通过对网络设备、安全设备、应用系统、操作系统、数据库集中日记采集、集中存储和关联分析，协助管理员及时发现信息系统安全事件，同步当遇到特殊安全事件和系统故障时，保证日记存在和不被篡改，协助顾客迅速定位追查取证。大量事实表白，对于安全事件发生或核心数据遭到严重破坏之前完全可以预先通过日记审计进行分析、告警并及时采用相应办法进行有效制止，从而大大减少安全事件发生率。数据库审计：重要负责对数据库各种访问操作进行监控；是安全审计对数据库进行审计技术。它采用专门硬件审计引擎，通过旁路布置采用镜像等方式获取数据库访问网络报文流量，实时监控网络中数据库所有访问操作（如：插入、删除、更新、顾客自定义操作等），还原SQL操作命令涉及源IP地址、目IP地址、访问时间、顾客名、数据库操作类型、数据库表名、字段名等，发现各种违规数据库操作行为，及时报警响应、全过程操作还原，从而实现安全事件精确全程跟踪定位，全面保障数据库系统安全。该采集方式不会对数据库运营、访问产生任何影响，并且具备更强实时性，是比较抱负数据库日记审计实现方式。网络审计：重要负责网络内容与行为审计；是安全审计对网络通信基本审计技术。它采用专门网络审计硬件引擎，安装在网络通信系统数据汇聚点，通过旁路抓取网络数据包进行典型合同分析、辨认、判断和记录，Telnet、HTTP、Email、FTP、网上聊天、文献共享、流量等检测分析等。

主机审计：重要负责对网络重要区域客户机上各种上网行为、文献拷贝/打印操作、通过Modem擅自连接外网等进行审计。当前我行信息安全系统尚未有效开展安全审计工作，由于缺少对各网络设备、安全设备、应用系统、操作系统、数据库集中日记采集、集中存储和关联分析等事后审计、追查取证技术支撑手段,以至无法在遇到特殊安全事件和系统故障时保证日记存在和不被篡改，同步对主机和数据库操作行为也没有审计和管理手段，不同有效对操作行为进行审计，防止误操作和恶意行为发生，因而我行迫切需要尽快建设安全审计系统（涉及日记审计、数据库审计、网络审计），保证我行信息系统安全。2.2我行金融信息管理中心安全审计管理现状2.2.1日记审计作为数据中心运维部门，负责运维内联网总行局域网、总行机关办公自动化系统及货币发行信息管理系统、国库信息解决系统等重要业务系统，保障信息系统IT基本设施安全运营。为更好地制定日记审计系统建设方案，开展了金融信息管理中心日记管理现状调研工作，调研内容涉及设备/系统配备哪些日记信息、日记信息涉及哪些属性、日记采集所支持合同/接口、日记存储方式及日记管理现状，金融信息管理中心日记管理现状调查表详见附件。通过度析日记管理现状调查表，将关于状况阐明如下：一、日记内容。网络设备（涉及互换机和路由器）、安全设备（涉及防火墙、入侵检测设备、防病毒管理系统和补丁分发系统）、办公自动化系统和重要业务系统均配备一定日记信息，其中每类设备具备一定日记配备规范，应用系统（办公自动化系统和重要业务系统）日记内容差别较大，数据库和中间件仅配备“进程与否正常”日记信息。二、日记格式。网络设备和某些安全设备依照厂商不同，其日记格式也不同，无统一日记格式；应用系统依照系统平台不同，其日记格式也不同，无统一日记格式。三、日记采集合同/接口。网络设备和某些安全设备支持SNMPTrap和Syslog合同，应用系统重要支持TCP/IP合同，个别应用系统自定义了日记采集方式。四、日记存储方式。网络设备和某些安全设备日记信息集中存储在日记服务器中，其她设备/系统日记均存储在本地主机上。日记信息以文本文献、关系型数据库文献、Domino数据库文献和XML文献等方式进行存储。五、日记管理方式。重要为分散管理,且无日记管理规范。在系统/设备浮现故障时，日记信息是定位故障，解决故障重要根据。据理解，为加强网络基本设施运营状况监控，金融信息管理中心通过采集互换机和路由器等网络设备日记信息，实现网络设备日记信息集中管理，及时发现网络设备运营中浮现问题。通过上述现状分析，当前日记管理存在如下问题：1、不同系统/设备日记信息分散存储，日记信息被非法删除，导致安全事故处置工作无法追查取证。2、在系统发生故障后，才去通过日记信息定位故障，导致系统安全运营工作存在一定被动性，应积极地在日记信息中及时发现系统运营存在隐患，提高系统运营安全管理水平。3、随着我行信息化工作不断进一步，系统运维工作压力不断加大，如不及时规范日记信息管理，信管中心将逐渐面临运维设备多、人员少问题，不能及时精确把握运维工作重点。在当前日记信息管理基本上，若简朴加强日记信息管理，仍存在如下问题：1、通过系统/设备各自控制台去查看事件，窗口繁多，并且所有事件都是孤立，不同系统/设备之间事件缺少关联，分析起来极为麻烦，无法弄清晰真实状况。2、不同系统/设备对同一种事件描述也许是不同，管理人员需理解各系统/设备，分析各种不同格式信息，导致管理人员工作非常繁重，效率低。3、海量日记信息不但无法协助找出真正问题，反而由于太多而导致无法管理，并且不同系统/设备也许产生不同日记信息格式，无法做到迅速辨认和响应。2.2.2数据库和网络审计当前我行没有实现对数据库操作和网络操作行为审计。对系统后台操作人员远程登录主机、数据库操作行为无法进行记录、审计，难以防止系统滥用、泄密等问题发生。2.3我行安全审计管理办法制定现状在《银行信息安全管理规定》提出如下安全审计规定：第一百三十九条 各单位科技部门在支持与配合内审部门开展审计信息安全工作同步，应适时开展本单位和辖内信息系统寻常运营管理和信息安全事件全过程技术审计，发现问题及时报本单位或上一级单位主管领导。第一百四十条 各单位应做好操作系统、数据库管理系统等审计功能配备管理，应完整保存有关日记记录，普通保存至少一种月，涉及资金交易业务系统日记应依照需要拟定保存时间。在《银行信息系统安全配备指引-数据库分册》提出如下安全审计规定：应配备审计日记，并定期查看、清理日记。审计内容涉及创立、修改或删除数据库帐户、数据库对象、数据库表、数据库索引行为；容许或者撤销审计功能行为；授予或者取消数据库系统级别权限行为；任何由于参照对象不存在而引错误信息；任何变化数据库对象名称动作；任何对数据库Dictionary或者数据库系统配备变化；所有数据库连接失败记录；所有DBA数据库连接记录；所有数据库顾客帐户升级和删除操作审计跟踪信息。审计数据应被保存为分析程序或者脚下本可读格式，时间期限是一年。所有删除审计数据操作，都应在动态查帐索引中保存记录。只有DBA或者安全审核员有权限选取、添加、删除或者修改、停用审计信息。上述安全审计管理规定为开展日记审计系统建设提供了制度保障。2.4安全审计产品及应用现状当前市场上安全审计产品按审计类型也有诸多产品，日记审计以SIM类产品为主，也叫安全信息和事件管理（SIEM），是安全管理领域发展方向。SIM是一种全面、面向IT计算环境安全集中管理平台，这个平台可以收集来自计算环境中各种设备和应用安全日记和事件，并进行存储、监控、分析、报警、响应和报告，变过去被动单点防御为全网综合防御。由于日记审计对安全厂商技术开发能力有较高规定,国内某些较有实力安全厂商可以提供较为成熟日记审计产品。当前，日记审计产品已在政府、运营商、金融、民航等行业广泛成功应用。针对数据库和网络行为审计产品，国内也有各种厂家有比较成熟产品，在诸多行业均有应用。3安全审计必要性通过安全审计系统建设，贯彻信息系统安全级别保护基本技术和管理规定中关于安全审计控制点及日记和事件存储规定，积累信息系统安全级别保护工作经验。通过综合安全审计平台建设，进一步完善我行信息安全保障体系，变化事中及事后安全基本设施建设较弱现状；为信息安全管理规定贯彻状况检查提供技术支撑手段，不断完善信息安全管理办法，提高信息安全管理水平；通过综合安全审计平台，实现信息系统IT基本设施日记信息集中管理，全面掌握IT基本设施运营过程中浮现隐患，通过安全事件报警和日记报表方式，在运维人员有限条件下，有效地把握运维工作重点，进一步增强系统安全运维工作积极性，更好地保障系统正常运营。同步，有效规避日记信息分散存储存在非法删除风险，保证安全事故处置取证工作。通过综合安全审计平台建设，规范我行安全审计管理工作，指引此后信息化项目建设，系统也为安全审计管理规范实现提供了有效技术支撑平台。4安全审计综合管理平台建设目的依照总行金融信息管理中心日记管理工作现状及存在问题，结合日记审计系统建成后预期收益，现将系统建设目的阐明如下：海量日记数据原则化集中管理。依照即定采集方略，采集信息系统IT基本设施日记信息，规范日记信息格式，实现海量日记数据原则化集中存储，同步保存日记信息原始数据，规避日记信息被非法删除而带来安全事故处置工作无法追查取证风险；加强海量日记数据集中管理，特别历史日记数据管理。系统运营风险及时报警与报表管理基于原则化日记数据进行关联分析，及时发现信息系统IT基本设施运营过程中存在安全隐患，并依照方略进行及时报警，为运维人员积极保障系统安全运营工作提供有效技术支撑；实现安全隐患报表管理，更好地支持系统运营安全管理工作。为贯彻关于信息安全管理规定提供技术支撑运用安全审计成果可以评估信息安全管理规定贯彻状况，发现信息安全管理办法存在问题，为完善信息安全管理办法提供根据，持续改进，进一步提高安全管理水平。规范信息系统日记信息管理。依照日记管理工作现状，提出信息系统日记信息管理规范，明确信息系统IT基本设施日记配备基本规定、日记内容基本规定等，一方面保证日记审计系统建设实现即定目的；另一方面指引此后信息化项目建设，完善信息安全管理制度体系，进一步提高安全管理水平。实现对我行各业务系统主机、数据库行为审计。对各业务系统主机、数据库行为审计，重要是在不影响业务系统正常运营前提下，通过网络镜像流量方式辅以独立日记分析等其他方式对顾客行为进行隐蔽监视，对顾客访问业务系统行为进行审计，对顾客危险行为进行告警并在必要时进行阻断，对事后发现安全事件进行会话回放，进行网络通讯取证。5安全审计综合管理平台需求5.1日记审计系统需求5.1.1系统功能需求日记采集功能需求采集范畴日记审计系统需要对我行信息系统中网络设备、主机系统、应用系统、安全系统及其她系统（如网络管理系统、存储设备等）进行日记采集。数据库是我行数据管理基本，任何数据泄漏、篡改、删除都会对税务整体数据导致严重损失。数据库审计是安全管理工作中一种重要构成某些，通过对数据库“信息活动”实时地进行监测审计，使管理者对数据库“信息活动”一目了然，可以及时掌握数据库服务器应用状况，及时发现客户端使用问题，存在着哪些安全威胁或隐患并予以纠正，防止应用安全事件发生，即便发生了也可以可以迅速查证并追根寻源。虽然数据库系统自身可以提供日记审计功能，但是数据库系统自身启动日记审计功能会带给系统较大承担。为了保证数据库性能、稳定性，建议采用国内已较为成熟数据库审计技术，通过在网络布置专门旁路数据库审计硬件设备,采用镜像等方式获取数据库访问网络报文流量，实现针对各种数据库顾客操作命令级审计，从而随时掌握数据库安全状况，及时发现和制止各类数据操作违规事件或袭击事件，避免数据各类安全损失，追查或打击各类违规、违法行为，提高数据库数据安全管理水平。该采集方式不会对数据库运营、访问产生任何影响，并且具备更强实时性，是比较抱负数据库日记审计实现方式。数据来源与内容数据来源：审计数据源需要涉及我行信息系统各组件日记产生点，如主机操作日记、操作系统日记、数据库审计日记、FTP/WEB/NNTP/SMTP、安全设备日记等。数据内容：异常信息在采集后必要进行分类，例如可以将异常事件信息提成泄密事件和安全运营事件两大类，以便于我行日记审计系统管理人员能迅速对事件进行分析。采集方略采集方略需要涉及采集频率、过滤、合并方略与信息传播方略。支持依照采集对象不同，可以设立实时采集、按秒、分钟、小时等采集频率。支持日记或事件进行必要过滤和合并，从而只采集有用、需要关注日记和事件信息，屏蔽不需要关注日记和事件信息。通过预先设定好日记信息传播方略，使采集到信息可以依照网络实际状况有序地传播到数据库服务器进行入库存储，避免因日记信息瞬间激增而对网络带宽资源过度占用，同步保证信息传播效率，避免断点重传。采集监控系统可以监控各采集点日记传播状态，当有采集点无法正常发送日记信息时，系统可以自动进行告警告知管理员进行解决。日记格式原则化需求依照日记格式原则，对系统采集信息系统IT基本设施日记信息进行原则化解决。日记集中存储需求我行日记审计系统将对300余个审计对象进行日记审计，此系统需要具备海量数据存储能力，其后台数据库需要采用稳定以及先进公司级数据库（如DB2、MSSQLServer数据库）；需要有合理数据存储管理方略；需要支持磁盘阵列柜以及SAN、NAS等存储方式。日记关联分析需求为理解决当前日益严重复合型风险威胁，我行日记审计系统需要具备关联分析功能：将不同安全设备响应通过各种条件关联起来，以便于管理员分析和解决。例如当一种严重事件或顾客行为发生后，从网络层面、主机/服务器层面、数据（库）、安全层面到应用层面也许都会有所反映（响应），这时候审计系统将进行数据挖掘，将上述各种层面、各种维度事件或行为数据挖掘和抽取、关联，将关联成果呈现给使用者。安全事件报警需求为了迅速、准拟定位安全事件来源，及时解决安全事件，我行日记审计系统必要具备实时报警功能，报警方式应当多样化，如实时屏幕显示、电子邮件和短信等。日记报表需求我行日记审计系统报表需要支持细粒度查询，使管理人员可以迅速对安全事件进行对的分析，其查询细粒度应当涉及核心字、时间段、源地址、目地址、源端口、目端口、设备类型、事件类型、特定审计对象等各种条件组合查询，并支持模糊查询。5.1.2系统性能需求当前我行日记审计系统需要审计300台以上设备，以一台设备3000条/小时，每条日记1KB为原则计算，300台设备每天总日记条数为2160万条，总日记量约为21G。基于上述计算成果，结合同行业成功案例，建议系统性能如下：解决能力支持安全事件与日记每天2千万条以上；支持120G以上数据库存储；支持原始日记和事件存储容量可达到5亿条；提供对原始日记及审计成果压缩存储，文献存储压缩比普通不应不大于1：10；依照审计规定，原始信息及审计成果需保存6个月-1年，因而，需支持磁盘阵列、NAS和SAN等各种存储方式，存储容量需达到7TB以上。5.1.3系统安全需求权限划分需求：日记审计系统需要进行管理权限划分，不同管理员具备不同管理权限，例如管理配备权限与审计操作权限分离，系统中不容许浮现超级顾客权限。登录安全需求：日记审计系统在顾客登录上需要强身份鉴别功能以及鉴别失效解决机制。传播安全需求：日记审计系统各个组件之间通讯合同必要支持身份认证与传播加密，保证数据在传播过程中不被泄漏、篡改、删除。存储安全需求：日记审计系统后端数据库必要采用安全可靠大型数据库，数据库访问以及对日记审计系统操作都要通过严格身份鉴别，并对操作者权限进行严格划分，保证数据存储安全。接口安全需求：日记审计系统各组件之间应当采用其厂商自身，未公开并且成熟可靠合同进行通信。日记审计平台与其她系统（网络设备、主机/服务器、应用系统、安全设备）接口可采用原则SNMP、Syslog等合同。5.1.4系统接口需求我行日记审计系统重要提供如下接口进行日记采集：1、Syslog方式，支持SYSLOG合同设备，如：防火墙、UNIX服务器等；2、ODBC/JDBC方式，支持数据库联接设备；3、SNMPTrap方式，支持SNMP合同设备，如：互换机、路由器、网路安全设备等；4、XML方式，支持HTTP合同设备；5、EventLog方式，支持Windows平台；6、特定接口方式，对于不支持通用合同设备，需要定制开发，如：某网闸隔离系统；7、其她厂商内部专用合同。通过原则接口，可以采集到网络设备、安全设备、主机系统、应用系统各种类型日记：包括登陆信息、登陆认证失败信息、应用程序启动信息、进程变化信息、违背防火墙规则网络行为、IDS检测到所有入侵事件和IDS自身生成各种日记等。日记信息采集可以依照我行信息系统现状进行实时传播或者定期传播。5.2数据库和网络审计系统需求5.2.1审计功能需求安全审计方略系统应容许使用者可以针对访问者、被保护对象、操作行为，访问源，事件类型等特性等制定详细安全审计方略。方略制定方式应简朴灵活，既可以制定适应于批量对象公共方略，也可以制定合用于单个被保护对象详细方略。系统应提供行为所有记录默认审计方略。审计记录应当反映出顾客登录身份，登录操作时使用主机或数据库账号信息。在建设身份认证和访问控制功能后，可以禁止或容许顾客使用某个主机或数据库账号进行登录和操作。审计记录应当反映出顾客登录身份，登录操作时使用主机、网络设备或数据库账号信息。事件实时审计、告警、命令控制能灵活配备实时安全审计控制方略和预警参数，实时发现可疑操作（如操作系统rm命令、数据库drop、delete命令等），实时发出告警信息（向控制台发出告警信息、向管理员邮箱发送告警电子邮件、向管理员手机发出告警短消息、通过SNMP命令向日记审计系统、网管系统发出告警等）。行为审计功能依照制定安全审计方略，系统应对访问者访问被保护对象操作交互过程进行记录，并容许选取记录整个操作过程上行、下行数据。系统应可以将审计记录重组为会话能力。单个会话所有操作行为应可以进行回放。每一条审计记录应至少提供操作时间、访问者身份信息、IP地址、被保护对象（主机名称、IP地址等）、操作内容、系统返回内容。审计记录成果要实现集中存储、集中管理、集中呈现。事件查询功能系统需要提供丰富查询界面，可以通过数据库事件查询、Telnet事件查询、Ftp事件查询、事件会话关联查询、告警查询等不同维度查询成果。并支持导出报表。审计信息存储审计信息规定安全存储，分级别进行管理，普通管理员无法修改删除。顾客登录认证及操作日记规定安全存储，普通管理员无法修改删除。系统应当提供灵活审计信息存储方略，以应对大规模审计存储规定；可以依照顾客登录身份、使用主机或数据库账号来制定审计信息存储方略。重复事件归并通过配备归并规则，系统可以对大批量重复事件做统一归并，并记录归并次数。权限管理系统需要分管理员和审计员权限，审计员只能审计授权审计系统审计信息。5.2.2报表功能需求查询功能系统顾客应可按照时间段、访问者、主机或数据库账号、被保护对象、行为方式、行为特性等核心字进行精准或模糊匹配查询。操作人员依照查询成果可以关联查看整个会话内容。记录报表功能系统应提供完整报表系统。系统应按照访问者、被保护对象、行为方式、操作内容（例如数据库表名称）等生成记录报表，并按照规定添加、修改报表数量、格式及内容，以满足安全审计规定。5.2.3审计对象及兼容性支持应当涉及（但不限于）：Telnet,ftp,SQL等应用。操作系统支持：Unix,HP-UNIX,Solaris数据库支持：Oracle,DB2,Infomix,Mysql,Sqlserver应保证无漏掉等现象发生。5.2.4系统性能系统应满足大数据量审计规定。满足千兆骨干网络审计规定，无丢包、漏包现象发生；系统应提供良好查询能力；系统应至少满足1年审计数据在线存储需求，并提供相应离线备份机制，对于超过在线存储时限审计数据应提供导入导出机制。5.2.5审计完整性系统应能实现对所有访问者通过审计途径对现网内被保护对象远程访问行为审计，无漏掉、错报等现象发生。6安全审计综合管理平台建设方案6.1日记审计系统建设方案6.1.1日记管理建议基于我行日记审计系统建设目的，需要对我行信息系统中网络设备、主机系统、应用系统、安全系统等进行日记采集，各采集对象设备系统类型、采集日记内容、采集方式及采集频率阐明如下：审计内容详细审计需求描述日记内容涉及拟采用采集方式采集频率操作系统SolarisAIXLinuxHP-UNIX帐户登录注销、帐号权限变更、操作系统启动关闭、shell操作日记、SYSlOG日记。Agent方式；针对UNIXSYSLOG日记可通过syslog方式发送通过日记安全审计中心设立采集频率方略,建议1分钟采集一次WindowsserverWindowsserver帐户登录注销、帐号权限变更、操作系统启动关闭、应用程序运营状态、系统文献和文献属性修改等Agent方式通过日记安全审计中心设立采集频率方略,建议1分钟采集一次安全设备防火墙顾客登录、修改配备、收集到袭击日记等等Syslog、SNMPTrap方式采集在安全设备上配备日记传播频率，建议1分钟采集一次网络设备互换机路由器等（CISCO、华为、华三等）。顾客登录、修改配备等Syslog、SNMPTrap方式采集在网络设备上配备日记传播频率，建议1分钟采集一次数据库ORACLESQLSERVERDB2SYBASEInformix顾客登录、注销、数据查询、插入、数据修改、数据删除、修改配备等。通过布置旁路数据库审计硬件设备,采用镜像等方式获取数据库访问网络报文流量，从而实现针对各种数据库顾客操作命令级审计。该采集方式不会对数据库运营、访问产生影响通过日记安全审计中心设立数据库审计日记采集频率方略，建议1分钟采集一次应用系统Webserver、Emailserver、Domino等应用系统；在实际项目中，还需要收集业务系统日记。Webserver重要涉及：WebSphereApacheWebLogicMicrosoftIIS等顾客登录、修改配备、应用层操作等Agent方式、Syslog、SNMPTrap、ODBC/JDBC方式通过日记安全审计中心设立数据库审计日记采集频率方略，建议1分钟采集一次6.1.2日记审计系统整体架构我行日记审计系统整体架构图如下：整体架构图阐明：我行日记审计系统为软件架构，由采集服务器、管理服务器、数据库服务器三大某些构成。对被审计对象进行必要设立或安装采集代理，即可实现对整个系统综合审计；我行日记审计系统采用Browser/Server/DataBase三层架构，管理人员无需安装任何客户端即可登录到日记审计系统进行审计管理操作。我行日记审计系统功能构造图如下：功能构造图阐明：我行日记审计系统将涉及日记采集、日记存储、日记分析、系统管理、综合显示等功能模块，这些功能模块将有效满足我行针对日记审计系统各种功能需求。6.1.3日记采集实现方式系统支持原则接口和合同1、Syslog方式，支持SYSLOG合同设备，如：防火墙、UNIX服务器等；2、ODBC/JDBC方式，支持数据库联接设备；3、SNMPTrap方式，支持SNMP合同设备，如：互换机、路由器、网路安全设备等；4、XML方式，支持HTTP合同设备；5、EventLog方式，支持Windows平台；6、特定接口方式，对于不支持通用合同设备，需要定制开发，如：某网闸隔离系统。7、其她厂商内部专用合同。Syslog和SNMPTrap方式作为最常用、老式方式，被大某些设备厂商和日记审计系统所采用，建议我行采用这两种方式进行日记采集。Syslog和SNMPTrap方式作为最成熟网络合同，已经广泛应用在网络设备、安全设备等设备之上，用来传播各种日记信息，对系统自身影响很小。8、数据库日记审计数据库自身日记功能启动状况下，可通过ODBC方式收集数据库日记，但是在数据库日记量较大状况下，数据库系统自身启动日记审计功能会带给系统较大承担，不建议采用该方式收集数据库日记。为了保证数据库性能、稳定性，建议采用国内已较为成熟数据库审计技术，通过在网络布置专门旁路数据库审计硬件设备,采用镜像等方式获取数据库访问网络报文流量，实现针对各种数据库顾客操作命令级审计。该采集方式不会对数据库运营、访问产生任何影响，并且具备更强实时性，是比较抱负数据库日记审计实现方式。采集对象日记采集实现方式采集对象需支持通过安装审计代理程序或修改系统配备来进行日记采集，通过日记收集方略定制来启动与关闭各系统日记采集功能及拟定应采集日记种类。为了保证被监控系统保密性，原则上被监控系统要积极向日记审计系统发送自身生成日记信息，日记审计系统尽量不积极访问被监控对象。6.1.4日记原则化实现方式由于日记采集模块收集到各种类型日记，而这些日记定义格式和内容不尽相似，日记原则化将不同数据格式转换成原则数据格式并存储，为上层应用提供数据支持。由于不同设备，对事件严重限度定义及侧重点不尽相似，不利于依照统一安全方略进行解决。日记原则化将按照日记来源类型、事件类别、事件级别等也许条件及条件组合对事件严重级别进行重定义，便于日记分析模块分析解决。下面是日记信息原则化规定：日记事件信息原则化字段涉及事件编号信息（此字段信息应全局唯一，作为标记事件主键）、事件名称、事件原始时间、事件采集时间、事件内容、事件类型、事件源地址、事件目地址、事件源端口、事件目端口、事件原始级别、事件原则化后级别、事件采集来源、事件涉及合同、会话信息等。我行日记审计系统对于此后新增长被审计对象（如新增应用系统），将使用原则Syslog或SNMP合同作为其日记形式和接口，并协调日记审计系统厂商与新系统厂商提供技术方面支持。新增被审计对象，必要能满足如下条件：1）提供原则Syslog或SNMP接口；2）被审计对象需要提供详细日记信息，涉及：登陆信息、状态信息、根据自身业务逻辑产生数据等；3）日记事件信息原则化字段涉及事件编号信息（此字段信息应全局唯一，作为标记事件主键）、事件名称、事件原始时间、事件采集时间、事件内容、事件类型、事件源地址、事件目地址、事件源端口、事件目端口、事件原始级别、事件原则化后级别、事件采集来源、事件涉及合同、会话信息等；4）如果是应用系统日记，应当包括顾客信息，对于应用系统日记其级别定义变得极其重要；5）提供设备所能产生所有类型日记样本；6）提供所有日记类型中字段阐明（特别是数值与相应内容对照表）以及相应文档；6.1.5日记存储实现方式我行日记审计系统将采用DB2或MSSQLServer数据库作为日记审计系统在线存储方式，依照审计规定，原始信息及审计成果需提供压缩存储，文献存储压缩比普通不应不大于1：10；并保存6个月1年以上，系统需支持磁盘阵列柜以及SAN、NAS等存储方式，存储容量需达到7TB以上。除了在线存储方式外还将支持磁带机作为离线存储备份方式，离线数据可以通过导入到当前库不同表中进行查询和分析，以避免对当前数据导致不利影响。6.1.6日记关联分析我行日记审计系统将提供各种关联分析办法，涉及：相似源IP事件关联分析、相似目IP事件关联分析、相似事件类型关联分析以及基于规则事件关联分析、记录关联分析和漏洞关联分析（需要采用脆弱性模块）。通过关联分析可以更加精确地定义和定位安全事件。相似源IP事件关联分析：通惯用于对主机终端活动进行分析审计，它把相似源IP地址所产生事件按照时间顺序一一列出，协助管理人员对该IP地址所进行各项操作行为进行分析和审计，从而对其操作行为目性进行分析。相似目IP事件关联分析：通惯用于对服务器被访问和操作活动进行分析和审计，它把相似目IP地址所产生事件按照时间顺序一一列出，协助管理人员对该IP地址被访问活动进行分析和审计，从而发现内部人员对服务器所进行非授权或可疑操作。相似事件类型事件关联分析：通惯用于对特定事件影响范畴进行分析，它把所发生相似事件类型按照时间顺序一一列出，协助管理人员对事件波及面进行分析和审计。基于规则事件关联分析：是把各种安全事件按照时间先后序列与时间间隔进行检测，判断事件之间互有关系与否符合预定义规则，从而触发分析总结出来关联分析后事件。记录关联分析：是顾客通过定义一定期间内发生符合条件事件量达到规定量，从而触发关联事件。所有可以发送日记信息IT基本设施都可以做关联分析，通过关联分析可以及时发现IT基本设施潜在风险。6.1.7安全事件报警我行日记审计系统将提供实时屏幕显示、电子邮件、工作任务单、入库（和短信）等报警方式；可以调节实时报警排序方式；可以定义实时报警显示内容，显示内容涉及：发生时间来源事件类型主体描述和成果（成功、失败或待验证等）；可以调节实时报警方略，并且显示内容与当前顾客管理角色有关联。可提供事件上报机制，通过方略设立明确哪些类型（如泄密事件、安全运营事件）、哪些级别（高、中高、中、中低、低级别以上）安全事件需要随时上报。6.1.8日记报表我行日记审计系统可提供报表涉及如下种类：事件信息报表提供事件分布报表，按照不同事件类别提供各类事件趋势报表。综合分析与预警报表综合安全风险分析报表，提供风险查询报表，可以依照资产、域、趋势等进行分类输出，涉及分析数据分布范畴、受影响系统、也许严重限度等。响应过程报表提供响应模块发生响应事件记录报表，按照响应事件紧急限度、响应对象、响应人员分类列表。综合显示报表提供综合显示模块实时截屏报表，涉及列表显示报表输出、拓扑安全信息报表输出、电子地图安全信息报表输出。平台自身日记报表提供平台自身日记报表，包括访问人、访问次数、访问时间等。可以按照审计对象呈现日记信息。报表输出格式可转换为PDF、HTML、RTF、CSV等各种惯用原则格式，我行顾客可自定义报表。6.1.9系统管理我行日记审计系统设有顾客管理员、系统管理员、安全管理员和安全审计员四种操作和管理角色，每种操作管理角色中又可安排各种操作管理顾客，在系统中不存在超级顾客。通过角色划分并予以角色相应授权实现了系统管理员、安全管理员和安全审计员三权分立。顾客管理员权限：顾客管理员负责对顾客、顾客组进行管理，涉及建立、维护和删除顾客组，并将顾客分派到相应顾客组中。顾客管理员不参加综合审计系统各项详细操作。系统管理员权限：系统管理员负责设定各个顾客组管理和操作权限，涉及管理区域范畴、管理设备和对象、各项管理功能（如方略制定、关联分析、审计查询、审计报表、数据备份等）操作权限等，权限控制分为“完全控制”、“读取”、“写入”、“更改”、“删除”几类。系统管理员不参加综合审计系统各项详细操作。安全管理员权限：安全管理员负责在权限允许范畴内运用日记审计系统开展各项安全审计和管理操作。安全管理员操作进行通过系统审计日记记录下来，以备审计管理员对安全管理员各项管理操作进行审计。安全审计员权限：审计管理员仅具备对顾客管理员、系统管理员、安全管理员所从事各项安全管理操作进行审计权限，涉及顾客登录注销、新增、修改、删除顾客或顾客组等功能。6.1.10系统接口规范我行日记审计系统接口规范为原则合同：Syslog、SNMP。被监控对象通过Syslog、SNMP合同积极把自身日记信息发送到日记审计系统。日记审计系统要对外提供如下接口：WindowsEventLog：可以通过该接口采集Windows主机日记信息。Syslog：通过该接口可以采集网络设备、安全设备、主机系统等日记信息。SNMP：通过该接口可以采集网络设备、安全设备、主机系统等日记信息。OPSEC：通过该接口可以采集nokia、checkpoint日记信息。XML：通过该接口可以采集漏洞扫描系统扫描成果。ODBC：通过该接口可以采集数据库日记信息。读文献：通过该接口可以采集ftp、DNS等应用系统日记信息。日记审计系统自身会有简朴资产管理功能，如果我行没有与既有资产管理系统进行数据同步规定，不需要和既有资产管理系统进行整合。如果规定做到和既有资产管理系统整合，需要通过定制开发实现。与第三方资产管理系统进行整合需要定制开发。6.2数据库和网络审计系统建设方案6.2.1数据库和网络行为综合审计实时记录监控管理人员可以通过实时记录功能清晰地看到网内部告警事件、活动会话（ActiveSession），以及对被保护对象访问状况。实时记录功能可以记录近来5分钟数据，及时地反映出网络内部动态。在实时记录中，顾客可以实时查看当前活动对象、当前活动会话等事件列表。顾客点击某个活动会话，即可看到当前会话中顾客登录、操作、注销指令执行及其返回成果全过程。事件查询事件查询为顾客提供了历史事件查询手段。顾客可以指定复杂查询条件，迅速检索到需要事件信息，从而协助管理员进行计算机取证分析，收集外部访问或者内部违规证据。事件查询细分为综合事件查询，数据库事件查询，主机事件查询，Ftp事件查询。针对不同类别查询，系统精心地为顾客提供了不同查询条件组合，以便顾客找到自己需要信息。顾客可以指定查询条件涉及：审计类型、事件接受时间、事件级别、源地址、目地址、顾客名、方略名、会话ID（SessionID）等。趋势分析可以进行事件访问趋势分析，对近来一段时间事件进行记录分析，并描绘趋势曲线。这样，系统监控管理员可以清晰看到近来一段时间内部事件走向，并且可以清晰地看到敏感时间内什么人对什么样保护对象进行过访问，以及访问了保护对象什么资源。针对不同审计类型，产品提供不同趋势分析，系统监控人员可以依照需要查看不同趋势分析。6.2.2审计方略审计方略是为审计功能服务，它为系统提供数据包采集引擎所需方略配备，对通过引擎数据包进行基于审计方略过滤，将符合审计方略数据包提取出来、产生安全事件，然后再对安全事件进行审计分析。同步，审计方略也决定了审计颗粒度，顾客可以通过对审计方略设定来决定审计各种细节。系统可以依照顾客规定自由组织审计方略，提供便捷添加、修改、删除、导入、导出、启用和禁用等功能。可以将针对同一业务不同方面审计方略选项集中到一条审计方略中进行配备，这样顾客无需切换页面和进行复杂选项配备，简化了顾客操作，同步并未减少需要配备审计对象元素。在方略配备中，顾客可以从各类合同中提取出公共某些进行统一配备，各类合同私有某些再依照不同细节进行相应配备，从而避免了重复配备，减轻了顾客审计配备工作量。方略配备内容：审计类型行为采集响应主机1．登录2．注销3普通操作1．所有：审计所有内容2．访问文献名称核心字过滤1．记录2．阻断数据库1．顾客行为2．数据定义3．数据操作4．数据控制5．其她1．所有：审计所有内容2、核心字过滤（可以细化到库、表、记录、顾客、存储过程、函数等）1．记录2．阻断FTP1．登录2．注销3普通操作1．所有2、文献/目录名称核心字过滤1．记录2．阻断6.2.3审计内容主机审计主机审计功能可审计VNC、Telnet、网上邻居和定制主机合同登录、注销和普通操作等行为。顾客可以在业务综合审计中单独查看主机审计实时记录信息和趋势分析；可以定义专门主机审计方略；可以在报表管理中单独查看与主机审计有关报表报告。数据库审计数据库审计功能可审计涉及各个平台（Windows、Linux、Solaris、AIX）和版本SQLServer、Oracle等在内数据库DDL，DML，DCL和其他操作等行为。操作行为内容和描述顾客行为数据库顾客登录、注销数据定义语言（DDL）操作CREATE，ALTER，DROP等创立、修改或者删除数据库对象（表、索引、视图、存储过程、触发器、域，等等）SQL指令数据操作语言（DML）操作SELECT，DELETE，UPDATE，INSERT等用于检索或者修改数据SQL指令数据控制语言（DCL）操作GRANT，REVOKE等定义数据库顾客权限SQL指令其他操作涉及EXECUTE、COMMIT、ROLLBACK等事务操作指令数据库审计内容可以细化到库、表、记录、顾客、存储过程、函数。顾客可以在业务综合审计中单独查看数据库审计实时记录信息和趋势分析；可以定义专门数据库审计方略；可以在报表管理中单独查看与数据库审计有关报表报告。FTP审计FTP审计功能可审计FTP合同登录、注销和普通操作等行为，可以审计FTP操作文献/目录名称。顾客可以在业务综合审计中单独查看FTP审计实时记录信息和趋势分析；可以定义专门FTP审计方略；可以在报表管理中单独查看与FTP审计有关报表报告。流量审计系统实时监测顾客网络七层构造中各层流量分布，进行合同、流量综合分析，从而可以依照业务网需要变化网络状况。在流量分析中，重要以报表形式形象地展示网络中状况。流量审计功能可以审计从三层到七层合同流量，可以审计20种以上应用层合同，涉及IM、P2P、HTTP、POP3、SMTP等。流量审计内容涉及数据包分布审计、流量分布审计、应用合同流量审计、端口流量审计，顾客可以进行基本流量信息查看、合同分析、会话分析、节点分析。基本信息重要分析了数据包在网络中分布状况，例如多播、广播、点播包分布，不同大小包分布，等等。还涉及了数据流量在不同步段分布状况。合同分析重要体现了网络中IP层和应用层流量分布，还涉及不同端口流量分布，等等。会话分析描述了活动会话（Session）状况。节点分析中重要是网络中各个节点（涉及主机、无IP设备）在网络中应用层和IP层中