【財(cái)務(wù)管理內(nèi)部審計(jì) 】某銀行安全審計(jì)管理現(xiàn)狀

上傳人:gfy****yf 文檔編號(hào):102926770 上傳時(shí)間:2022-06-07 格式:DOC 頁(yè)數(shù):18 大?。?53.34KB
收藏 版權(quán)申訴 舉報(bào) 下載
【財(cái)務(wù)管理內(nèi)部審計(jì) 】某銀行安全審計(jì)管理現(xiàn)狀_第1頁(yè)
第1頁(yè) / 共18頁(yè)
【財(cái)務(wù)管理內(nèi)部審計(jì) 】某銀行安全審計(jì)管理現(xiàn)狀_第2頁(yè)
第2頁(yè) / 共18頁(yè)
【財(cái)務(wù)管理內(nèi)部審計(jì) 】某銀行安全審計(jì)管理現(xiàn)狀_第3頁(yè)
第3頁(yè) / 共18頁(yè)

下載文檔到電腦,查找使用更方便

12 積分

下載資源

還剩頁(yè)未讀,繼續(xù)閱讀

資源描述:

《【財(cái)務(wù)管理內(nèi)部審計(jì) 】某銀行安全審計(jì)管理現(xiàn)狀》由會(huì)員分享,可在線閱讀,更多相關(guān)《【財(cái)務(wù)管理內(nèi)部審計(jì) 】某銀行安全審計(jì)管理現(xiàn)狀(18頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、 {財(cái)務(wù)管理內(nèi)部審計(jì)} 某銀行安全審計(jì)管理現(xiàn)狀 某銀行 安全審計(jì)綜合管理平臺(tái)建設(shè)方案 V1.2 二○○九年三月 目錄 1 背景 4 2 安全審計(jì)管理現(xiàn)狀 6 2.1 安全審計(jì)基本概念 6 2.2 總行金融信息管理中心安全審計(jì)管理現(xiàn)狀 9 2.2.1 日志審計(jì) 9 2.2.2 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)審計(jì) 11 2.3 我行安全審計(jì)管理辦法制定現(xiàn)狀 11 2.4 安全審計(jì)產(chǎn)品及應(yīng)用現(xiàn)狀 13 3 安全審計(jì)必要性 13 4 安全審計(jì)綜合管理平臺(tái)建設(shè)目標(biāo) 14 5 安全審計(jì)綜合管理平臺(tái)需求 16 5.1 日志審計(jì)系統(tǒng)需求 16 5.1.1 系統(tǒng)效用需求

2、 16 5.1.2 系統(tǒng)性能需求 19 5.1.3 系統(tǒng)安全需求 20 5.1.4 系統(tǒng)接口需求 21 5.2 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)審計(jì)系統(tǒng)需求 22 5.2.1 審計(jì)效用需求 22 5.2.2 報(bào)表效用需求 23 5.2.3 審計(jì)對(duì)象及兼容性支持 24 5.2.4 系統(tǒng)性能 24 5.2.5 審計(jì)完整性 25 6 安全審計(jì)綜合管理平臺(tái)建設(shè)方案 25 6.1 日志審計(jì)系統(tǒng)建設(shè)方案 25 6.1.1 日志管理建議 25 6.1.2 日志審計(jì)系統(tǒng)整體架構(gòu) 26 6.1.3 日志采集實(shí)現(xiàn)方式 28 6.1.4 日志標(biāo)準(zhǔn)化實(shí)現(xiàn)方式 30 6.1.5 日志存儲(chǔ)實(shí)現(xiàn)方式 31 6

3、.1.6 日志關(guān)聯(lián)分析 32 6.1.7 安全事件報(bào)警 33 6.1.8 日志報(bào)表 34 6.1.9 系統(tǒng)管理 35 6.1.10 系統(tǒng)接口規(guī)范 36 6.2 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)審計(jì)系統(tǒng)建設(shè)方案 37 6.2.1 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)行為綜合審計(jì) 37 6.2.2 審計(jì)策略 38 6.2.3 審計(jì)內(nèi)容 39 6.2.4 告警與響應(yīng)管理 42 6.2.5 報(bào)表管理 42 7 系統(tǒng)部署方案 43 7.1 安全審計(jì)綜合管理平臺(tái)系統(tǒng)部署方案 43 7.2 系統(tǒng)部署環(huán)境要求 44 7.2.1 日志審計(jì)系統(tǒng) 44 7.2.2 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)審計(jì)系統(tǒng) 45 7.3 系統(tǒng)實(shí)施建

4、議 45 7.4 二次開(kāi)發(fā) 46 1 背景 近年來(lái),XX 銀行信息化建設(shè)得到快速發(fā)展,央行履行金融調(diào)控、金融穩(wěn)定、 金融市場(chǎng)和金融服務(wù)職能高度依賴于信息技術(shù)應(yīng)用,信息安全問(wèn)題的全局性影響 作用日益增強(qiáng)。 目前,XX 銀行信息安全保障體系中安全系統(tǒng)建設(shè)已經(jīng)達(dá)到了一定的水平。 建設(shè)了非法外聯(lián)監(jiān)控管理系統(tǒng)、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)及補(bǔ) 丁分發(fā)系統(tǒng),為客戶端安全管理、網(wǎng)絡(luò)安全管理和系統(tǒng)安全管理提供了技術(shù)支撐 手段,有效提高了安全管理水平;完成制定《金融業(yè)星型網(wǎng)間互聯(lián)安全規(guī)范》金 融業(yè)行業(yè)標(biāo)準(zhǔn),完善內(nèi)聯(lián)網(wǎng)外聯(lián)防火墻系統(tǒng),確保 XX 銀行網(wǎng)絡(luò)邊界安全;制定 并下發(fā)《銀行

5、計(jì)算機(jī)機(jī)房規(guī)范化工作指引》,規(guī)范和加強(qiáng)機(jī)房環(huán)境安全管理。 信息安全審計(jì)技術(shù)是實(shí)現(xiàn)信息安全整個(gè)過(guò)程中關(guān)鍵記錄信息的監(jiān)控統(tǒng)計(jì),是 信息安全保障體系中不可缺少的一部分。隨著電子政務(wù)、電子商務(wù)以及各類網(wǎng)上 應(yīng)用的開(kāi)展得到了普遍關(guān)注,并且在越來(lái)越多的大型網(wǎng)絡(luò)系統(tǒng)中已經(jīng)成功應(yīng)用并 發(fā)揮著重要作用,特別針對(duì)安全事故分析、追蹤起到了關(guān)鍵性作用。 傳統(tǒng)的安全審計(jì)系統(tǒng)局限于對(duì)主機(jī)的操作系統(tǒng)日志的收集和簡(jiǎn)單分析,缺乏 對(duì)于多種平臺(tái)下(Windows 系列、Unix 系列、Solaris 等)、多種網(wǎng)絡(luò)設(shè)備、重 要服務(wù)器系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)庫(kù)系統(tǒng)綜合的安全審計(jì)效用。 隨著網(wǎng)絡(luò)規(guī)模的迅

6、速擴(kuò)大,單一式的安全審計(jì)技術(shù)逐步被分布式安全審計(jì)技 術(shù)所代替,加上各類應(yīng)用系統(tǒng)逐步增多,網(wǎng)絡(luò)管理人員/運(yùn)維人員工作量往往會(huì)成 倍增加,使得關(guān)鍵信息得不到重點(diǎn)關(guān)注。大量事實(shí)表明,對(duì)于安全事件發(fā)生或關(guān) 鍵數(shù)據(jù)遭到嚴(yán)重破壞之前完全可以預(yù)先通過(guò)日志異常行為告警方式通知管理人 員,及時(shí)進(jìn)行分析并采取相應(yīng)措施進(jìn)行有效阻止,從而大大降低安全事件的發(fā)生 率。 目前我行信息安全保障工作尚未有效開(kāi)展安全審計(jì)工作,缺少事后審計(jì)的技 術(shù)支撐手段。當(dāng)前,信息安全審計(jì)作為保障信息系統(tǒng)安全的制度逐漸發(fā)展起來(lái); 并已在對(duì)信息系統(tǒng)依賴性最高的金融業(yè)開(kāi)始普及。信息安全審計(jì)的相關(guān)標(biāo)準(zhǔn)包括 ISO/IEC17799

7、、COSO、COBIT、ITIL、NISTSP800 等。這些標(biāo)準(zhǔn)從不同角度 提出信息安全控制體系,可以有效地控制信息安全風(fēng)險(xiǎn)。同時(shí),公安部發(fā)布的 《信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求》中對(duì)安全審計(jì)提出明確的技術(shù)要求:審計(jì)范 圍覆蓋網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng),審計(jì)內(nèi)容包括各網(wǎng)絡(luò)設(shè)備運(yùn)行 狀況、系統(tǒng)資源的異常使用、重要用戶行為和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要 的安全相關(guān)事件。 為進(jìn)一步完善信息安全保障體系,2009 年立項(xiàng)建設(shè)安全審計(jì)系統(tǒng),不斷提 高安全管理水平。 2 安全審計(jì)管理現(xiàn)狀 2.1 安全審計(jì)基本概念 信息安全審計(jì)是企業(yè)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險(xiǎn)控制等的不可或

8、缺的關(guān) 鍵手段。信息安全審計(jì)能夠?yàn)榘踩芾韱T提供一組可進(jìn)行分析的管理數(shù)據(jù),以發(fā) 現(xiàn)在何處發(fā)生了違反安全方案的事件。利用安全審計(jì)結(jié)果,可調(diào)整安全策略,堵 住出現(xiàn)的漏洞。 美國(guó)信息系統(tǒng)審計(jì)的權(quán)威專家 RonWeber 又將它定義為收集并評(píng)估證據(jù)以 決定一個(gè)計(jì)算機(jī)系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成目標(biāo),同時(shí)最 經(jīng)濟(jì)的使用資源。根據(jù)在信息系統(tǒng)中需要進(jìn)行安全審計(jì)的對(duì)象與內(nèi)容,主要分為 日志審計(jì)、網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)。下面分別說(shuō)明如下: 日志審計(jì):日志可以作為責(zé)任認(rèn)定的依據(jù),也可作為系統(tǒng)運(yùn)行記錄集,對(duì)分 析系統(tǒng)運(yùn)行情況、排除故障、提高效率都發(fā)揮重要作用。日志審計(jì)是

9、安全審計(jì)針 對(duì)信息系統(tǒng)整體安全狀態(tài)監(jiān)測(cè)的基礎(chǔ)技術(shù),主要通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng) 用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)的集中日志采集、集中存儲(chǔ)和關(guān)聯(lián)分析,幫助管理員 及時(shí)發(fā)現(xiàn)信息系統(tǒng)的安全事件,同時(shí)當(dāng)遇到特殊安全事件和系統(tǒng)故障時(shí),確保日 志存在和不被篡改,幫助用戶快速定位追查取證。大量事實(shí)表明,對(duì)于安全事件 發(fā)生或關(guān)鍵數(shù)據(jù)遭到嚴(yán)重破壞之前完全可以預(yù)先通過(guò)日志審計(jì)進(jìn)行分析、告警并 及時(shí)采取相應(yīng)措施進(jìn)行有效阻止,從而大大降低安全事件的發(fā)生率。 數(shù)據(jù)庫(kù)審計(jì):主要負(fù)責(zé)對(duì)數(shù)據(jù)庫(kù)的各種訪問(wèn)操作進(jìn)行監(jiān)控;是安全審計(jì)對(duì)數(shù) 據(jù)庫(kù)進(jìn)行審計(jì)技術(shù)。它采用專門(mén)的硬件審計(jì)引擎,通過(guò)旁路部署采用鏡像等方式 獲取數(shù)據(jù)

10、庫(kù)訪問(wèn)的網(wǎng)絡(luò)報(bào)文流量,實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)庫(kù)的所有訪問(wèn)操作(如: 插入、刪除、更新、用戶自定義操作等),還原 SQL 操作命令包括源 IP 地址、 目的 IP 地址、訪問(wèn)時(shí)間、用戶名、數(shù)據(jù)庫(kù)操作類型、數(shù)據(jù)庫(kù)表名、字段名等, 發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫(kù)操作行為,及時(shí)報(bào)警響應(yīng)、全過(guò)程操作還原,從而實(shí)現(xiàn)安全 事件的準(zhǔn)確全程跟蹤定位,全面保障數(shù)據(jù)庫(kù)系統(tǒng)安全。該采集方式不會(huì)對(duì)數(shù)據(jù)庫(kù) 的運(yùn)行、訪問(wèn)產(chǎn)生任何影響,而且具有更強(qiáng)的實(shí)時(shí)性,是比較理想的數(shù)據(jù)庫(kù)日志 審計(jì)的實(shí)現(xiàn)方式。 網(wǎng)絡(luò)審計(jì):主要負(fù)責(zé)網(wǎng)絡(luò)內(nèi)容與行為的審計(jì);是安全審計(jì)對(duì)網(wǎng)絡(luò)通信的基礎(chǔ) 審計(jì)技術(shù)。它采用專門(mén)的網(wǎng)絡(luò)審計(jì)硬件引擎,安裝在網(wǎng)絡(luò)通信系統(tǒng)的

11、數(shù)據(jù)匯聚點(diǎn), 通過(guò)旁路抓取網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行典型契約分析、識(shí)別、判斷和記錄,Telnet、 HTTP、Email、FTP、網(wǎng)上聊天、文件共享、流量等的檢測(cè)分析等。 主機(jī)審計(jì):主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)重要區(qū)域的客戶機(jī)上的各種上網(wǎng)行為、文件拷貝 /打印操作、通過(guò) Modem 擅自連接外網(wǎng)等進(jìn)行審計(jì)。 目前我行信息安全系統(tǒng)尚未有效開(kāi)展安全審計(jì)工作,由于缺少對(duì)各網(wǎng)絡(luò)設(shè)備、 安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)的集中日志采集、集中存儲(chǔ)和關(guān)聯(lián)分析 等事后審計(jì)、追查取證的技術(shù)支撐手段,以至無(wú)法在遇到特殊安全事件和系統(tǒng)故障 時(shí)確保日志存在和不被篡改,同時(shí)對(duì)主機(jī)和數(shù)據(jù)庫(kù)的操作行為也沒(méi)有審計(jì)和管

12、理 的手段,不同有效對(duì)操作行為進(jìn)行審計(jì),防止誤操作和惡意行為的發(fā)生,因此我 行迫切需要盡快建設(shè)安全審計(jì)系統(tǒng)(包括日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、網(wǎng)絡(luò)審計(jì)), 確保我行信息系統(tǒng)安全。 2.2 我行金融信息管理中心安全審計(jì)管理現(xiàn)狀 2.2.1 日志審計(jì) 作為數(shù)據(jù)中心的運(yùn)維部門(mén),負(fù)責(zé)運(yùn)維內(nèi)聯(lián)網(wǎng)總行局域網(wǎng)、總行機(jī)關(guān)辦公自動(dòng) 化系統(tǒng)及貨幣發(fā)行信息管理系統(tǒng)、國(guó)庫(kù)信息處理系統(tǒng)等重要業(yè)務(wù)系統(tǒng),保障信息 系統(tǒng) IT 基礎(chǔ)設(shè)施的安全運(yùn)行。為更好地制定日志審計(jì)系統(tǒng)建設(shè)方案,開(kāi)展了金融 信息管理中心日志管理現(xiàn)狀調(diào)研工作,調(diào)研內(nèi)容包括設(shè)備/系統(tǒng)配置哪些日志信息、 日志信息包括哪些屬性、日志采集所支持的契約/接

13、口、日志存儲(chǔ)方式及日志管理 現(xiàn)狀,金融信息管理中心日志管理現(xiàn)狀調(diào)查表詳見(jiàn)附件。通過(guò)分析日志管理現(xiàn)狀 調(diào)查表,將有關(guān)情況說(shuō)明如下: 一、日志內(nèi)容。網(wǎng)絡(luò)設(shè)備(包括交換機(jī)和路由器)、安全設(shè)備(包括防火墻、 入侵檢測(cè)設(shè)備、防病毒管理系統(tǒng)和補(bǔ)丁分發(fā)系統(tǒng))、辦公自動(dòng)化系統(tǒng)和重要業(yè)務(wù) 系統(tǒng)均配置一定的日志信息,其中每類設(shè)備具有一定的日志配置規(guī)范,應(yīng)用系統(tǒng) (辦公自動(dòng)化系統(tǒng)和重要業(yè)務(wù)系統(tǒng))的日志內(nèi)容差異較大,數(shù)據(jù)庫(kù)和中間件僅配 置“進(jìn)程是否正?!钡娜罩拘畔?。 二、日志格式。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備根據(jù)廠商的不同,其日志格式也不 同,無(wú)統(tǒng)一的日志格式;應(yīng)用系統(tǒng)根據(jù)系統(tǒng)平臺(tái)的不同,其日志格式也不同

14、,無(wú) 統(tǒng)一的日志格式。 三、日志采集契約/接口。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備支持 SNMPTrap 和 Syslog 契約,應(yīng)用系統(tǒng)主要支持 TCP/IP 契約,個(gè)別應(yīng)用系統(tǒng)自定義了日志采集 方式。 四、日志存儲(chǔ)方式。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備日志信息集中存儲(chǔ)在日志服務(wù) 器中,其他設(shè)備/系統(tǒng)日志均存儲(chǔ)在本地主機(jī)上。日志信息以文本文件、關(guān)系型數(shù) 據(jù)庫(kù)文件、Domino 數(shù)據(jù)庫(kù)文件和 XML 文件等方式進(jìn)行存儲(chǔ)。 五、日志管理方式。主要為分散管理,且無(wú)日志管理規(guī)范。在系統(tǒng)/設(shè)備出現(xiàn) 故障時(shí),日志信息是定位故障,解決故障的主要依據(jù)。 據(jù)了解,為加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行情況的監(jiān)控

15、,金融信息管理中心通過(guò)采集 交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備的日志信息,實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備日志信息的集中管理,及 時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備運(yùn)行中出現(xiàn)的問(wèn)題。 通過(guò)上述現(xiàn)狀的分析,目前日志管理存在如下問(wèn)題: 1、不同系統(tǒng)/設(shè)備的日志信息分散存儲(chǔ),日志信息被非法刪除,導(dǎo)致安全事 故處置工作無(wú)法追查取證。 2、在系統(tǒng)發(fā)生故障后,才去通過(guò)日志信息定位故障,導(dǎo)致系統(tǒng)安全運(yùn)行工 作存在一定的被動(dòng)性,應(yīng)主動(dòng)地在日志信息中及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行存在的隱患,提 高系統(tǒng)運(yùn)行安全管理水平。 3、隨著我行信息化工作的不斷深入,系統(tǒng)運(yùn)維工作壓力的不斷加大,如不 及時(shí)規(guī)范日志信息管理,信管中心將逐步面臨運(yùn)維的設(shè)備多、人員少的問(wèn)題,

16、不 能及時(shí)準(zhǔn)確把握運(yùn)維工作的重點(diǎn)。 在目前日志信息管理基礎(chǔ)上,若簡(jiǎn)單加強(qiáng)日志信息管理,仍存在如下問(wèn)題: 1、通過(guò)系統(tǒng)/設(shè)備各自的控制臺(tái)去查看事件,窗口繁多,而且所有的事件都 是孤立的,不同系統(tǒng)/設(shè)備之間的事件缺乏關(guān)聯(lián),分析起來(lái)極為麻煩,無(wú)法弄清楚 真實(shí)的狀況。 2、不同系統(tǒng)/設(shè)備對(duì)同一個(gè)事件的描述可能是不同的,管理人員需了解各系 統(tǒng)/設(shè)備,分析各種不同格式的信息,導(dǎo)致管理人員的工作非常繁重,效率低。 3、海量日志信息不但無(wú)法幫助找出真正的問(wèn)題,反而因?yàn)樘喽斐蔁o(wú)法 管理,并且不同系統(tǒng)/設(shè)備可能產(chǎn)生不同的日志信息格式,無(wú)法做到快速識(shí)別和響 應(yīng)。 2.2.2

17、 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)審計(jì) 目前我行沒(méi)有實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)操作和網(wǎng)絡(luò)操作行為的審計(jì)。對(duì)系統(tǒng)的后臺(tái)操作 人員的遠(yuǎn)程登錄主機(jī)、數(shù)據(jù)庫(kù)的操作行為無(wú)法進(jìn)行記錄、審計(jì),難以防止系統(tǒng)濫 用、泄密等問(wèn)題的發(fā)生。 2.3 我行安全審計(jì)管理辦法制定現(xiàn)狀 在《銀行信息安全管理規(guī)定》提出如下安全審計(jì)要求: ? 第一百三十九條各單位科技部門(mén)在支持與配合內(nèi)審部門(mén)開(kāi)展審計(jì)信息安 全工作的同時(shí),應(yīng)適時(shí)開(kāi)展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安 全事件全過(guò)程的技術(shù)審計(jì),發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)。 ? 第一百四十條各單位應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等審計(jì)效用配置 管理,應(yīng)完整保留相關(guān)日志記錄,一般保

18、留至少一個(gè)月,涉及資金交易的業(yè) 務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時(shí)間。 在《銀行信息系統(tǒng)安全配置指引-數(shù)據(jù)庫(kù)分冊(cè)》提出如下安全審計(jì)要求: ? 應(yīng)配置審計(jì)日志,并定期查看、清理日志。 ? 審計(jì)內(nèi)容包括創(chuàng)建、修改或刪除數(shù)據(jù)庫(kù)帳戶、數(shù)據(jù)庫(kù)對(duì)象、數(shù)據(jù)庫(kù)表、 數(shù)據(jù)庫(kù)索引的行為;允許或者撤銷審計(jì)效用的行為;授予或者取消數(shù)據(jù)庫(kù)系 統(tǒng)級(jí)別權(quán)限的行為;任何因?yàn)閰⒖紝?duì)象不存在而引的錯(cuò)誤信息;任何改變數(shù) 據(jù)庫(kù)對(duì)象名稱的動(dòng)作;任何對(duì)數(shù)據(jù)庫(kù) Dictionary 或者數(shù)據(jù)庫(kù)系統(tǒng)配置的改變; 所有數(shù)據(jù)庫(kù)連接失敗的記錄;所有 DBA 的數(shù)據(jù)庫(kù)連接記錄;所有數(shù)據(jù)庫(kù)用 戶帳戶升級(jí)和刪除操作的審計(jì)跟蹤信息。 ?

19、審計(jì)數(shù)據(jù)應(yīng)被保存為分析程序或者腳下本可讀的格式,時(shí)間期限是一年。 所有刪除審計(jì)數(shù)據(jù)的操作,都應(yīng)在動(dòng)態(tài)查帳索引中保留記錄。 ? 只有 DBA 或者安全審核員有權(quán)限選擇、添加、刪除或者修改、停用審 計(jì)信息。 上述安全審計(jì)管理要求為開(kāi)展日志審計(jì)系統(tǒng)建設(shè)提供了制度保障。 2.4 安全審計(jì)產(chǎn)品及應(yīng)用現(xiàn)狀 目前市場(chǎng)上安全審計(jì)產(chǎn)品按審計(jì)類型也有很多產(chǎn)品,日志審計(jì)以 SIM 類產(chǎn)品 為主,也叫安全信息和事件管理(SIEM),是安全管理領(lǐng)域發(fā)展的方向。SIM 是一個(gè)全面的、面向 IT 計(jì)算環(huán)境的安全集中管理平臺(tái),這個(gè)平臺(tái)能夠收集來(lái)自計(jì) 算環(huán)境中各種設(shè)備和應(yīng)用的安全日志和事件,并

20、進(jìn)行存儲(chǔ)、監(jiān)控、分析、報(bào)警、 響應(yīng)和報(bào)告,變過(guò)去被動(dòng)的單點(diǎn)防御為全網(wǎng)的綜合防御。 由于日志審計(jì)對(duì)安全廠商的技術(shù)開(kāi)發(fā)能力有較高要求,國(guó)內(nèi)一些較有實(shí)力的 安全廠商能夠提供較為成熟的日志審計(jì)產(chǎn)品。目前,日志審計(jì)產(chǎn)品已在政府、運(yùn) 營(yíng)商、金融、民航等行業(yè)廣泛成功應(yīng)用。 針對(duì)數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)行為審計(jì)產(chǎn)品,國(guó)內(nèi)也有多個(gè)廠家有比較成熟的產(chǎn)品,在 很多行業(yè)都有應(yīng)用。 3 安全審計(jì)必要性 通過(guò)安全審計(jì)系統(tǒng)建設(shè),落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)基本技術(shù)和管理要求中 有關(guān)安全審計(jì)控制點(diǎn)及日志和事件存儲(chǔ)的要求,積累信息系統(tǒng)安全等級(jí)保護(hù)工作 經(jīng)驗(yàn)。 通過(guò)綜合安全審計(jì)平臺(tái)的建設(shè),進(jìn)一步完善我行信息安全保障體系,改

21、變事 中及事后安全基礎(chǔ)設(shè)施建設(shè)較弱的現(xiàn)狀;為信息安全管理規(guī)定落實(shí)情況檢查提供 技術(shù)支撐手段,不斷完善信息安全管理辦法,提高信息安全管理水平; 通過(guò)綜合安全審計(jì)平臺(tái),實(shí)現(xiàn)信息系統(tǒng) IT 基礎(chǔ)設(shè)施日志信息的集中管理,全 面掌握 IT 基礎(chǔ)設(shè)施運(yùn)行過(guò)程中出現(xiàn)的隱患,通過(guò)安全事件報(bào)警和日志報(bào)表的方式, 在運(yùn)維人員有限的條件下,有效地把握運(yùn)維工作的重點(diǎn),進(jìn)一步增強(qiáng)系統(tǒng)安全運(yùn) 維工作的主動(dòng)性,更好地保障系統(tǒng)的正常運(yùn)行。同時(shí),有效規(guī)避日志信息分散存 儲(chǔ)存在的非法刪除風(fēng)險(xiǎn),確保安全事故處置的取證工作。 通過(guò)綜合安全審計(jì)平臺(tái)的建設(shè),規(guī)范我行安全審計(jì)管理工作,指導(dǎo)今后信息 化項(xiàng)目

22、建設(shè),系統(tǒng)也為安全審計(jì)管理規(guī)范的實(shí)現(xiàn)提供了有效的技術(shù)支撐平臺(tái)。 4 安全審計(jì)綜合管理平臺(tái)建設(shè)目標(biāo) 根據(jù)總行金融信息管理中心日志管理工作現(xiàn)狀及存在的問(wèn)題,結(jié)合日志審計(jì) 系統(tǒng)建成后的預(yù)期收益,現(xiàn)將系統(tǒng)建設(shè)目標(biāo)說(shuō)明如下: ? 海量日志數(shù)據(jù)的標(biāo)準(zhǔn)化集中管理。 根據(jù)即定采集策略,采集信息系統(tǒng) IT 基礎(chǔ)設(shè)施日志信息,規(guī)范日志信息格式, 實(shí)現(xiàn)海量日志數(shù)據(jù)的標(biāo)準(zhǔn)化集中存儲(chǔ),同時(shí)保存日志信息的原始數(shù)據(jù),規(guī)避日志 信息被非法刪除而帶來(lái)的安全事故處置工作無(wú)法追查取證的風(fēng)險(xiǎn);加強(qiáng)海量日志 數(shù)據(jù)集中管理,特別歷史日志數(shù)據(jù)的管理。 ? 系統(tǒng)運(yùn)行風(fēng)險(xiǎn)及時(shí)報(bào)警與報(bào)表管理 基于標(biāo)準(zhǔn)化的日志數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析

23、,及時(shí)發(fā)現(xiàn)信息系統(tǒng) IT 基礎(chǔ)設(shè)施運(yùn)行過(guò) 程中存在的安全隱患,并根據(jù)策略進(jìn)行及時(shí)報(bào)警,為運(yùn)維人員主動(dòng)保障系統(tǒng)安全 運(yùn)行工作提供有效的技術(shù)支撐;實(shí)現(xiàn)安全隱患的報(bào)表管理,更好地支持系統(tǒng)運(yùn)行 安全管理工作。 ? 為落實(shí)有關(guān)信息安全管理規(guī)定提供技術(shù)支撐 利用安全審計(jì)結(jié)果可以評(píng)估信息安全管理規(guī)定的落實(shí)情況,發(fā)現(xiàn)信息安全管 理辦法存在的問(wèn)題,為完善信息安全管理辦法提供依據(jù),持續(xù)改進(jìn),進(jìn)一步提高 安全管理水平。 ? 規(guī)范信息系統(tǒng)日志信息管理。 根據(jù)日志管理工作現(xiàn)狀,提出信息系統(tǒng)日志信息管理規(guī)范,明確信息系統(tǒng) IT 基礎(chǔ)設(shè)施日志配置基本要求、日志內(nèi)容基本要求等,一方面確保日志審計(jì)系統(tǒng)建

24、設(shè)實(shí)現(xiàn)即定目標(biāo);另一方面指導(dǎo)今后信息化項(xiàng)目建設(shè),完善信息安全管理制度體 系,進(jìn)一步提高安全管理水平。 ? 實(shí)現(xiàn)對(duì)我行各業(yè)務(wù)系統(tǒng)主機(jī)、數(shù)據(jù)庫(kù)行為審計(jì)。 對(duì)各業(yè)務(wù)系統(tǒng)的主機(jī)、數(shù)據(jù)庫(kù)行為的審計(jì),主要是在不影響業(yè)務(wù)系統(tǒng)正常運(yùn) 行的前提下,通過(guò)網(wǎng)絡(luò)鏡像流量的方式輔以獨(dú)立日志分析等其它方式對(duì)用戶行為 進(jìn)行隱蔽監(jiān)視,對(duì)用戶訪問(wèn)業(yè)務(wù)系統(tǒng)的行為進(jìn)行審計(jì),對(duì)用戶危險(xiǎn)行為進(jìn)行告警 并在必要時(shí)進(jìn)行阻斷,對(duì)事后發(fā)現(xiàn)的安全事件進(jìn)行會(huì)話回放,進(jìn)行網(wǎng)絡(luò)通訊取證。 5 安全審計(jì)綜合管理平臺(tái)需求 5.1 日志審計(jì)系統(tǒng)需求 5.1.1 系統(tǒng)效用需求 5.1.1.1 日志采集效用需求 ? 采集范

25、圍 日志審計(jì)系統(tǒng)需要對(duì)我行信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、安 全系統(tǒng)及其他系統(tǒng)(如網(wǎng)絡(luò)管理系統(tǒng)、存儲(chǔ)設(shè)備等)進(jìn)行日志采集。 數(shù)據(jù)庫(kù)是我行數(shù)據(jù)管理的基礎(chǔ),任何數(shù)據(jù)泄漏、篡改、刪除都會(huì)對(duì)稅務(wù)的整 體數(shù)據(jù)造成嚴(yán)重?fù)p失。數(shù)據(jù)庫(kù)審計(jì)是安全管理工作中的一個(gè)重要組成部分,通過(guò) 對(duì)數(shù)據(jù)庫(kù)的“信息活動(dòng)”實(shí)時(shí)地進(jìn)行監(jiān)測(cè)審計(jì),使管理者對(duì)數(shù)據(jù)庫(kù)的“信息活動(dòng)”一目 了然,能夠及時(shí)掌握數(shù)據(jù)庫(kù)服務(wù)器的應(yīng)用情況,及時(shí)發(fā)現(xiàn)客戶端的使用問(wèn)題,存 在著哪些安全威脅或隱患并予以糾正,預(yù)防應(yīng)用安全事件的發(fā)生,即便發(fā)生了也 能夠可以快速查證并追根尋源。雖然數(shù)據(jù)庫(kù)系統(tǒng)本身能夠提供日志審計(jì)效用,但 是數(shù)據(jù)庫(kù)系統(tǒng)自

26、身開(kāi)啟日志審計(jì)效用會(huì)帶給系統(tǒng)較大的負(fù)擔(dān)。為了保證數(shù)據(jù)庫(kù)的 性能、穩(wěn)定性,建議采用國(guó)內(nèi)已較為成熟的數(shù)據(jù)庫(kù)審計(jì)技術(shù),通過(guò)在網(wǎng)絡(luò)部署專 門(mén)的旁路數(shù)據(jù)庫(kù)審計(jì)硬件設(shè)備,采用鏡像等方式獲取數(shù)據(jù)庫(kù)訪問(wèn)的網(wǎng)絡(luò)報(bào)文流量, 實(shí)現(xiàn)針對(duì)各種數(shù)據(jù)庫(kù)用戶的操作命令級(jí)審計(jì),從而隨時(shí)掌握數(shù)據(jù)庫(kù)的安全狀況, 及時(shí)發(fā)現(xiàn)和阻止各類數(shù)據(jù)操作違規(guī)事件或進(jìn)攻事件,避免數(shù)據(jù)的各類安全損失, 追查或打擊各類違規(guī)、違法行為,提高數(shù)據(jù)庫(kù)數(shù)據(jù)安全管理的水平。該采集方式 不會(huì)對(duì)數(shù)據(jù)庫(kù)的運(yùn)行、訪問(wèn)產(chǎn)生任何影響,而且具有更強(qiáng)的實(shí)時(shí)性,是比較理想 的數(shù)據(jù)庫(kù)日志審計(jì)的實(shí)現(xiàn)方式。 ? 數(shù)據(jù)來(lái)源與內(nèi)容 數(shù)據(jù)來(lái)源:審計(jì)數(shù)據(jù)源需要包括我行信息系統(tǒng)

27、各組件的日志產(chǎn)生點(diǎn),如主機(jī) 操作日志、操作系統(tǒng)日志、數(shù)據(jù)庫(kù)審計(jì)日志、、安全設(shè)備日志等。 數(shù)據(jù)內(nèi)容:異常信息在采集后必須進(jìn)行分類,例如可以將異常事件信息分成 泄密事件和安全運(yùn)行事件兩大類,以便于我行日志審計(jì)系統(tǒng)管理人員能快速對(duì)事 件進(jìn)行分析。 ? 采集策略 采集策略需要包括采集頻率、過(guò)濾、合并策略與信息傳輸策略。 支持根據(jù)采集對(duì)象的不同,可以設(shè)置實(shí)時(shí)采集、按秒、分鐘、小時(shí)等采集頻 率。 支持日志或事件進(jìn)行必要的過(guò)濾和合并,從而只采集有用的、需要關(guān)注的日 志和事件信息,屏蔽不需要關(guān)注的日志和事件信息。 通過(guò)預(yù)先設(shè)定好的日志信息傳輸策略,使采集到的信息能夠根據(jù)網(wǎng)

28、絡(luò)實(shí)際情 況有序地傳輸?shù)綌?shù)據(jù)庫(kù)服務(wù)器進(jìn)行入庫(kù)存儲(chǔ),避免因日志信息瞬間激增而對(duì)網(wǎng)絡(luò) 帶寬資源的過(guò)度占用,同時(shí)保證信息傳輸?shù)男?避免斷點(diǎn)重傳。 ? 采集監(jiān)控 系統(tǒng)可以監(jiān)控各采集點(diǎn)的日志傳輸狀態(tài),當(dāng)有采集點(diǎn)無(wú)法正常發(fā)送日志信息 時(shí),系統(tǒng)可以自動(dòng)進(jìn)行告警通知管理員進(jìn)行處理。 5.1.1.2 日志格式標(biāo)準(zhǔn)化需求 根據(jù)日志格式標(biāo)準(zhǔn),對(duì)系統(tǒng)采集的信息系統(tǒng) IT 基礎(chǔ)設(shè)施日志信息進(jìn)行標(biāo)準(zhǔn)化 處理。 5.1.1.3 日志集中存儲(chǔ)需求 我行日志審計(jì)系統(tǒng)將對(duì) 300 余個(gè)審計(jì)對(duì)象進(jìn)行日志審計(jì),此系統(tǒng)需要具有海 量的數(shù)據(jù)存儲(chǔ)能力,其后臺(tái)數(shù)據(jù)庫(kù)需要采用穩(wěn)定以及先進(jìn)的企業(yè)級(jí)數(shù)據(jù)庫(kù)(如 DB2、M

29、SSQLServer 數(shù)據(jù)庫(kù));需要有合理的數(shù)據(jù)存儲(chǔ)管理策略;需要支持磁 盤(pán)陣列柜以及 SAN、NAS 等存儲(chǔ)方式。 5.1.1.4 日志關(guān)聯(lián)分析需求 為了解決目前日益嚴(yán)重的復(fù)合型風(fēng)險(xiǎn)威脅,我行日志審計(jì)系統(tǒng)需要具有關(guān)聯(lián) 分析效用:將不同安全設(shè)備的響應(yīng)通過(guò)多種條件關(guān)聯(lián)起來(lái),以便于管理員的分析 和處理。例如當(dāng)一個(gè)嚴(yán)重的事件或用戶行為發(fā)生后,從網(wǎng)絡(luò)層面、主機(jī)/服務(wù)器層 面、數(shù)據(jù)(庫(kù))、安全層面到應(yīng)用層面可能都會(huì)有所反應(yīng)(響應(yīng)),這時(shí)候?qū)徲?jì) 系統(tǒng)將進(jìn)行數(shù)據(jù)挖掘,將上述多個(gè)層面、多個(gè)維度的事件或行為數(shù)據(jù)挖掘和抽取、 關(guān)聯(lián),將關(guān)聯(lián)的結(jié)果呈現(xiàn)給使用者。 5.1.1.5 安全

30、事件報(bào)警需求 為了快速、準(zhǔn)確定位安全事件來(lái)源,及時(shí)處理安全事件,我行日志審計(jì)系統(tǒng) 必須具備實(shí)時(shí)報(bào)警效用,報(bào)警方式應(yīng)該多樣化,如實(shí)時(shí)屏幕顯示、電子郵件和短 信等。 5.1.1.6 日志報(bào)表需求 我行日志審計(jì)系統(tǒng)的報(bào)表需要支持細(xì)粒度查詢,使管理人員能夠快速對(duì)安全 事件進(jìn)行正確的分析,其查詢細(xì)粒度應(yīng)該包括關(guān)鍵字、時(shí)間段、源地址、目的地 址、源端口、目的端口、設(shè)備類型、事件類型、特定審計(jì)對(duì)象等多個(gè)條件的組合 查詢,并支持模糊查詢。 5.1.2 系統(tǒng)性能需求 目前我行日志審計(jì)系統(tǒng)需要審計(jì) 300 臺(tái)以上的設(shè)備,以一臺(tái)設(shè)備 3000 條/小 時(shí),每條日志 1KB 為標(biāo)準(zhǔn)計(jì)算,300

31、臺(tái)設(shè)備每天的總?cè)罩緱l數(shù)為 2160 萬(wàn)條,總 日志量約為 21G。 基于上述計(jì)算結(jié)果,結(jié)合同行業(yè)成功案例,建議系統(tǒng)性能如下: 處理能力支持安全事件與日志每天 2 千萬(wàn)條以上; 支持 120G 以上的數(shù)據(jù)庫(kù)存儲(chǔ); 支持的原始日志和事件的存儲(chǔ)容量可達(dá)到 5 億條; 提供對(duì)原始日志及審計(jì)結(jié)果的壓縮存儲(chǔ),文件存儲(chǔ)壓縮比一般不應(yīng)小于 1: 10; 根據(jù)審計(jì)要求,原始信息及審計(jì)結(jié)果需保留 6 個(gè)月-1 年,因此,需支持磁盤(pán) 陣列、NAS 和 SAN 等多種存儲(chǔ)方式,存儲(chǔ)容量需達(dá)到 7TB 以上。 5.1.3 系統(tǒng)安全需求 權(quán)限劃分需求:日志審計(jì)系統(tǒng)需要進(jìn)行管理權(quán)限的劃

32、分,不同的管理員具有 不同的管理權(quán)限,例如管理配置權(quán)限與審計(jì)操作權(quán)限分離,系統(tǒng)中不允許出現(xiàn)超 級(jí)用戶權(quán)限。 登錄安全需求:日志審計(jì)系統(tǒng)在用戶登錄上需要強(qiáng)身份鑒別效用以及鑒別失 效處理機(jī)制。 傳輸安全需求:日志審計(jì)系統(tǒng)各個(gè)組件之間的通訊契約必須支持身份認(rèn)證與 傳輸加密,確保數(shù)據(jù)在傳輸過(guò)程中不被泄漏、篡改、刪除。 存儲(chǔ)安全需求:日志審計(jì)系統(tǒng)的后端數(shù)據(jù)庫(kù)必須采用安全可靠的大型數(shù)據(jù)庫(kù), 數(shù)據(jù)庫(kù)的訪問(wèn)以及對(duì)日志審計(jì)系統(tǒng)的操作都要通過(guò)嚴(yán)格的身份鑒別,并對(duì)操作者 的權(quán)限進(jìn)行嚴(yán)格劃分,保證數(shù)據(jù)存儲(chǔ)安全。 接口安全需求:日志審計(jì)系統(tǒng)各組件之間應(yīng)該采用其廠商自身的,未公開(kāi)并 且成熟可靠的契約

33、進(jìn)行通信。日志審計(jì)平臺(tái)與其他系統(tǒng)(網(wǎng)絡(luò)設(shè)備、主機(jī)/服務(wù)器、 應(yīng)用系統(tǒng)、安全設(shè)備)的接口可采用標(biāo)準(zhǔn)的 SNMP、Syslog 等契約。 5.1.4 系統(tǒng)接口需求 我行日志審計(jì)系統(tǒng)主要提供如下接口進(jìn)行日志采集: 1、Syslog 方式,支持 SYSLOG 契約的設(shè)備,如:防火墻、UNIX 服務(wù)器等; 2、ODBC/JDBC 方式,支持?jǐn)?shù)據(jù)庫(kù)聯(lián)接的設(shè)備; 3、SNMPTrap 方式,支持 SNMP 契約的設(shè)備,如:交換機(jī)、路由器、網(wǎng)路 安全設(shè)備等; 4、XML 方式,支持 HTTP 契約的設(shè)備; 5、EventLog 方式,支持 Windows 平臺(tái); 6、特定接口方式,對(duì)于不支

34、持通用契約的設(shè)備,需要定制開(kāi)發(fā),如:某網(wǎng) 閘隔離系統(tǒng); 7、其他廠商內(nèi)部專用契約。 通過(guò)標(biāo)準(zhǔn)的接口,可以采集到網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)的 各種類型日志:包含登陸信息、登陸認(rèn)證失敗信息、應(yīng)用程序啟動(dòng)信息、進(jìn)程改 變信息、違反防火墻規(guī)則的網(wǎng)絡(luò)行為、IDS 檢測(cè)到的所有入侵事件和 IDS 自身生 成的各種日志等。 日志信息的采集可以根據(jù)我行信息系統(tǒng)的現(xiàn)實(shí)情況進(jìn)行實(shí)時(shí)傳輸或者定時(shí) 傳輸。 5.2 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)審計(jì)系統(tǒng)需求 5.2.1 審計(jì)效用需求 n 安全審計(jì)策略 系統(tǒng)應(yīng)允許使用者能夠針對(duì)訪問(wèn)者、被保護(hù)對(duì)象、操作行為,訪問(wèn)源,事 件類型等特征等制

35、定具體的安全審計(jì)策略。策略制定方式應(yīng)簡(jiǎn)單靈活,既可以 制定適應(yīng)于批量對(duì)象的大眾策略,也可以制定適用于單個(gè)被保護(hù)對(duì)象的詳細(xì)策 略。系統(tǒng)應(yīng)提供行為全部記錄的默認(rèn)審計(jì)策略。審計(jì)記錄應(yīng)該反應(yīng)出用戶的登 錄身份,登錄操作時(shí)使用的主機(jī)或數(shù)據(jù)庫(kù)賬號(hào)信息。在建設(shè)身份認(rèn)證和訪問(wèn)控 制效用后,可以禁止或允許用戶使用某個(gè)主機(jī)或數(shù)據(jù)庫(kù)賬號(hào)進(jìn)行登錄和操作。 審計(jì)記錄應(yīng)該反應(yīng)出用戶的登錄身份,登錄操作時(shí)使用的主機(jī)、網(wǎng)絡(luò)設(shè)備 或數(shù)據(jù)庫(kù)賬號(hào)信息。 n 事件實(shí)時(shí)審計(jì)、告警、命令控制 能靈活配置實(shí)時(shí)安全審計(jì)控制策略和預(yù)警參數(shù),實(shí)時(shí)發(fā)現(xiàn)可疑操作(如操 作系統(tǒng) rm 命令、數(shù)據(jù)庫(kù) drop、delete 命令等),

36、實(shí)時(shí)發(fā)出告警信息(向控制 臺(tái)發(fā)出告警信息、向管理員郵箱發(fā)送告警電子郵件、向管理員手機(jī)發(fā)出告警短 消息、通過(guò) SNMP 命令向日志審計(jì)系統(tǒng)、網(wǎng)管系統(tǒng)發(fā)出告警等)。 n 行為審計(jì)效用 根據(jù)制定的安全審計(jì)策略,系統(tǒng)應(yīng)對(duì)訪問(wèn)者訪問(wèn)被保護(hù)對(duì)象的操作交互過(guò) 程進(jìn)行記錄,并允許選擇記錄整個(gè)操作過(guò)程的上行、下行數(shù)據(jù)。系統(tǒng)應(yīng)能夠?qū)? 審計(jì)記錄重組為會(huì)話的能力。單個(gè)會(huì)話的全部操作行為應(yīng)能夠進(jìn)行回放。 每一條審計(jì)記錄應(yīng)至少提供操作時(shí)間、訪問(wèn)者的身份信息、IP 地址、被保 護(hù)對(duì)象(主機(jī)名稱、IP 地址等)、操作內(nèi)容、系統(tǒng)返回內(nèi)容。 審計(jì)記錄結(jié)果要實(shí)現(xiàn)集中存儲(chǔ)、集中管理、集中展現(xiàn)。 n

37、 事件查詢效用 系統(tǒng)需要提供豐富的查詢界面,可以通過(guò)數(shù)據(jù)庫(kù)事件查詢、Telnet 事件查 詢、Ftp 事件查詢、事件會(huì)話關(guān)聯(lián)查詢、告警查詢等不同的維度查詢結(jié)果。并 支持導(dǎo)出報(bào)表。 n 審計(jì)信息的存儲(chǔ) 審計(jì)信息要求安全存儲(chǔ),分級(jí)別進(jìn)行管理,普通管理員無(wú)法修改刪除。用 戶登錄認(rèn)證及操作日志要求安全存儲(chǔ),普通管理員無(wú)法修改刪除。 系統(tǒng)應(yīng)該提供靈活的審計(jì)信息存儲(chǔ)策略,以應(yīng)對(duì)大規(guī)模審計(jì)存儲(chǔ)的要求; 可以根據(jù)用戶登錄身份、使用的主機(jī)或數(shù)據(jù)庫(kù)賬號(hào)來(lái)制定審計(jì)信息存儲(chǔ)策略。 n 重復(fù)事件歸并 通過(guò)配置歸并規(guī)則,系統(tǒng)可以對(duì)大批量的重復(fù)事件做統(tǒng)一歸并,并記錄歸 并次數(shù)。 n 權(quán)限管理 系統(tǒng)

38、需要分管理員和審計(jì)員權(quán)限,審計(jì)員只能審計(jì)授權(quán)審計(jì)的系統(tǒng)的審計(jì) 信息。 5.2.2 報(bào)表效用需求 n 查詢效用 系統(tǒng)用戶應(yīng)可按照時(shí)間段、訪問(wèn)者、主機(jī)或數(shù)據(jù)庫(kù)賬號(hào)、被保護(hù)對(duì)象、行 為方式、行為特征等關(guān)鍵字進(jìn)行精確或模糊匹配查詢。 操作人員根據(jù)查詢結(jié)果可以關(guān)聯(lián)查看整個(gè)會(huì)話的內(nèi)容。 n 統(tǒng)計(jì)報(bào)表效用 系統(tǒng)應(yīng)提供完整的報(bào)表系統(tǒng)。系統(tǒng)應(yīng)按照訪問(wèn)者、被保護(hù)對(duì)象、行為方式、 操作內(nèi)容(例如數(shù)據(jù)庫(kù)表名稱)等生成統(tǒng)計(jì)報(bào)表,并按照要求添加、修改報(bào)表 數(shù)量、格式及內(nèi)容,以滿足安全審計(jì)的要求。 5.2.3 審計(jì)對(duì)象及兼容性支持 應(yīng)當(dāng)包括(但不限于):Telnet,等應(yīng)用。 操作

39、系統(tǒng)支持:Unix,HP-UNIX,Solaris 數(shù)據(jù)庫(kù)支持:Oracle,DB2,Infomix,Mysql,Sqlserver 應(yīng)確保無(wú)遺漏等現(xiàn)象發(fā)生。 5.2.4 系統(tǒng)性能 ? 系統(tǒng)應(yīng)滿足大數(shù)據(jù)量的審計(jì)要求。滿足千兆骨干網(wǎng)絡(luò)審計(jì)要求,無(wú)丟包、漏 包現(xiàn)象發(fā)生; ? 系統(tǒng)應(yīng)提供良好的查詢能力; ? 系統(tǒng)應(yīng)至少滿足 1 年的審計(jì)數(shù)據(jù)在線存儲(chǔ)的需求,并提供相應(yīng)的離線備份機(jī) 制,對(duì)于超過(guò)在線存儲(chǔ)時(shí)限的審計(jì)數(shù)據(jù)應(yīng)提供導(dǎo)入導(dǎo)出的機(jī)制。 5.2.5 審計(jì)完整性 系統(tǒng)應(yīng)能實(shí)現(xiàn)對(duì)所有訪問(wèn)者通過(guò)審計(jì)途徑對(duì)現(xiàn)網(wǎng)內(nèi)被保護(hù)對(duì)象的遠(yuǎn)程訪問(wèn) 行為的審計(jì),無(wú)遺漏、錯(cuò)報(bào)等現(xiàn)象的發(fā)生。 6 安全審計(jì)

40、綜合管理平臺(tái)建設(shè)方案 6.1 日志審計(jì)系統(tǒng)建設(shè)方案 6.1.1 日志管理建議 基于我行日志審計(jì)系統(tǒng)的建設(shè)目標(biāo),需要對(duì)我行信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、主 機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、安全系統(tǒng)等進(jìn)行日志采集,各采集對(duì)象的設(shè)備系統(tǒng)類型、采 集的日志內(nèi)容、采集方式及采集頻率說(shuō)明如下: 審 計(jì) 具體審計(jì)需求描述 日志內(nèi)容包括 擬 采 用 的 采 集 采集頻率 內(nèi)容 方式 Agent 方式; 通過(guò)日志 安全審計(jì) 帳戶登錄注銷、針對(duì) 操作 系統(tǒng) ü Solaris ü AIX ü Linux ü HP-UNIX UNIXSYSLOG 中心設(shè)置 采集頻率 帳號(hào)權(quán)限變更、 日志可通過(guò) 操作系統(tǒng)啟動(dòng) syslog 方式發(fā) 送 策略,建議 關(guān)閉、shell 操 1 分鐘采集 一次 作日志、 科教興國(guó) 18

展開(kāi)閱讀全文
溫馨提示:
1: 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號(hào):ICP2024067431號(hào)-1 川公網(wǎng)安備51140202000466號(hào)


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺(tái),本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請(qǐng)立即通知裝配圖網(wǎng),我們立即給予刪除!