銀行安全審計綜合管理平臺建設(shè)方案樣本

某銀行安全審計綜合管理平臺建設(shè)方案V1.2二○○九年三月目錄1背景 42安全審計管理現(xiàn)狀 62.1安全審計基本概念 62.2總行金融信息管理中心安全審計管理現(xiàn)狀 92.2.1日記審計 92.2.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計 112.3我行安全審計管理辦法制定現(xiàn)狀 112.4安全審計產(chǎn)品及應(yīng)用現(xiàn)狀 133安全審計必要性 134安全審計綜合管理平臺建設(shè)目的 145安全審計綜合管理平臺需求 165.1日記審計系統(tǒng)需求 165.1.1系統(tǒng)功能需求 165.1.2系統(tǒng)性能需求 195.1.3系統(tǒng)安全需求 205.1.4系統(tǒng)接口需求 215.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計系統(tǒng)需求 225.2.1審計功能需求 225.2.2報表功能需求 235.2.3審計對象及兼容性支持 245.2.4系統(tǒng)性能 245.2.5審計完整性 256安全審計綜合管理平臺建設(shè)方案 256.1日記審計系統(tǒng)建設(shè)方案 256.1.1日記管理建議 256.1.2日記審計系統(tǒng)整體架構(gòu) 266.1.3日記采集實現(xiàn)方式 286.1.4日記原則化實現(xiàn)方式 306.1.5日記存儲實現(xiàn)方式 316.1.6日記關(guān)聯(lián)分析 326.1.7安全事件報警 336.1.8日記報表 346.1.9系統(tǒng)管理 356.1.10系統(tǒng)接口規(guī)范 366.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計系統(tǒng)建設(shè)方案 376.2.1數(shù)據(jù)庫和網(wǎng)絡(luò)行為綜合審計 376.2.2審計方略 386.2.3審計內(nèi)容 396.2.4告警與響應(yīng)管理 426.2.5報表管理 427系統(tǒng)布置方案 437.1安全審計綜合管理平臺系統(tǒng)布置方案 437.2系統(tǒng)布置環(huán)境規(guī)定 447.2.1日記審計系統(tǒng) 447.2.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計系統(tǒng) 457.3系統(tǒng)實行建議 457.4二次開發(fā) 461背景近年來，XX銀行信息化建設(shè)得到迅速發(fā)展，央行履行金融調(diào)控、金融穩(wěn)定、金融市場和金融服務(wù)職能高度依賴于信息技術(shù)應(yīng)用，信息安全問題全局性影響作用日益增強。當(dāng)前，XX銀行信息安全保障體系中安全系統(tǒng)建設(shè)已經(jīng)達到了一定水平。建設(shè)了非法外聯(lián)監(jiān)控管理系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)及補丁分發(fā)系統(tǒng)，為客戶端安全管理、網(wǎng)絡(luò)安全管理和系統(tǒng)安全管理提供了技術(shù)支撐手段，有效提高了安全管理水平；完畢制定《金融業(yè)星型網(wǎng)間互聯(lián)安全規(guī)范》金融業(yè)行業(yè)原則，完善內(nèi)聯(lián)網(wǎng)外聯(lián)防火墻系統(tǒng)，保證XX銀行網(wǎng)絡(luò)邊界安全；制定并下發(fā)《銀行計算機機房規(guī)范化工作指引》，規(guī)范和加強機房環(huán)境安全管理。信息安全審計技術(shù)是實現(xiàn)信息安全整個過程中核心記錄信息監(jiān)控記錄，是信息安全保障體系中不可缺少一某些。隨著電子政務(wù)、電子商務(wù)以及各類網(wǎng)上應(yīng)用開展得到了普遍關(guān)注，并且在越來越多大型網(wǎng)絡(luò)系統(tǒng)中已經(jīng)成功應(yīng)用并發(fā)揮著重要作用，特別針對安全事故分析、追蹤起到了核心性作用。老式安全審計系統(tǒng)局限于對主機操作系統(tǒng)日記收集和簡樸分析，缺少對于各種平臺下（Windows系列、Unix系列、Solaris等）、各種網(wǎng)絡(luò)設(shè)備、重要服務(wù)器系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)綜合安全審計功能。隨著網(wǎng)絡(luò)規(guī)模迅速擴大，單一式安全審計技術(shù)逐漸被分布式安全審計技術(shù)所代替，加上各類應(yīng)用系統(tǒng)逐漸增多，網(wǎng)絡(luò)管理人員/運維人員工作量往往會成倍增長，使得核心信息得不到重點關(guān)注。大量事實表白，對于安全事件發(fā)生或核心數(shù)據(jù)遭到嚴(yán)重破壞之前完全可以預(yù)先通過日記異常行為告警方式告知管理人員，及時進行分析并采用相應(yīng)辦法進行有效制止，從而大大減少安全事件發(fā)生率。當(dāng)前我行信息安全保障工作尚未有效開展安全審計工作，缺少事后審計技術(shù)支撐手段。當(dāng)前，信息安全審計作為保障信息系統(tǒng)安全制度逐漸發(fā)展起來；并已在對信息系統(tǒng)依賴性最高金融業(yè)開始普及。信息安全審計有關(guān)原則涉及ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800等。這些原則從不同角度提出信息安全控制體系，可以有效地控制信息安全風(fēng)險。同步，公安部發(fā)布《信息系統(tǒng)安全級別保護技術(shù)規(guī)定》中對安全審計提出明確技術(shù)規(guī)定：審計范疇覆蓋網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)，審計內(nèi)容涉及各網(wǎng)絡(luò)設(shè)備運營狀況、系統(tǒng)資源異常使用、重要顧客行為和重要系統(tǒng)命令使用等系統(tǒng)內(nèi)重要安全有關(guān)事件。為進一步完善信息安全保障體系，立項建設(shè)安全審計系統(tǒng)，不斷提高安全管理水平。2安全審計管理現(xiàn)狀2.1安全審計基本概念信息安全審計是公司內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險控制等不可或缺核心手段。信息安全審計可覺得安全管理員提供一組可進行分析管理數(shù)據(jù)，以發(fā)當(dāng)前何處發(fā)生了違背安全方案事件。運用安全審計成果，可調(diào)節(jié)安全方略，堵住浮現(xiàn)漏洞。美國信息系統(tǒng)審計權(quán)威專家RonWeber又將它定義為收集并評估證據(jù)以決定一種計算機系統(tǒng)與否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整、完畢目的，同步最經(jīng)濟使用資源。依照在信息系統(tǒng)中需要進行安全審計對象與內(nèi)容，重要分為日記審計、網(wǎng)絡(luò)審計、主機審計。下面分別闡明如下：日記審計：日記可以作為責(zé)任認(rèn)定根據(jù)，也可作為系統(tǒng)運營記錄集，對分析系統(tǒng)運營狀況、排除故障、提高效率都發(fā)揮重要作用。日記審計是安全審計針對信息系統(tǒng)整體安全狀態(tài)監(jiān)測基本技術(shù)，重要通過對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫集中日記采集、集中存儲和關(guān)聯(lián)分析，協(xié)助管理員及時發(fā)現(xiàn)信息系統(tǒng)安全事件，同步當(dāng)遇到特殊安全事件和系統(tǒng)故障時，保證日記存在和不被篡改，協(xié)助顧客迅速定位追查取證。大量事實表白，對于安全事件發(fā)生或核心數(shù)據(jù)遭到嚴(yán)重破壞之前完全可以預(yù)先通過日記審計進行分析、告警并及時采用相應(yīng)辦法進行有效制止，從而大大減少安全事件發(fā)生率。數(shù)據(jù)庫審計：重要負(fù)責(zé)對數(shù)據(jù)庫各種訪問操作進行監(jiān)控；是安全審計對數(shù)據(jù)庫進行審計技術(shù)。它采用專門硬件審計引擎，通過旁路布置采用鏡像等方式獲取數(shù)據(jù)庫訪問網(wǎng)絡(luò)報文流量，實時監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)庫所有訪問操作（如：插入、刪除、更新、顧客自定義操作等），還原SQL操作命令涉及源IP地址、目IP地址、訪問時間、顧客名、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫表名、字段名等，發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為，及時報警響應(yīng)、全過程操作還原，從而實現(xiàn)安全事件精確全程跟蹤定位，全面保障數(shù)據(jù)庫系統(tǒng)安全。該采集方式不會對數(shù)據(jù)庫運營、訪問產(chǎn)生任何影響，并且具備更強實時性，是比較抱負(fù)數(shù)據(jù)庫日記審計實現(xiàn)方式。網(wǎng)絡(luò)審計：重要負(fù)責(zé)網(wǎng)絡(luò)內(nèi)容與行為審計；是安全審計對網(wǎng)絡(luò)通信基本審計技術(shù)。它采用專門網(wǎng)絡(luò)審計硬件引擎，安裝在網(wǎng)絡(luò)通信系統(tǒng)數(shù)據(jù)匯聚點，通過旁路抓取網(wǎng)絡(luò)數(shù)據(jù)包進行典型合同分析、辨認(rèn)、判斷和記錄，Telnet、HTTP、Email、FTP、網(wǎng)上聊天、文獻共享、流量等檢測分析等。

主機審計：重要負(fù)責(zé)對網(wǎng)絡(luò)重要區(qū)域客戶機上各種上網(wǎng)行為、文獻拷貝/打印操作、通過Modem擅自連接外網(wǎng)等進行審計。當(dāng)前我行信息安全系統(tǒng)尚未有效開展安全審計工作，由于缺少對各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫集中日記采集、集中存儲和關(guān)聯(lián)分析等事后審計、追查取證技術(shù)支撐手段,以至無法在遇到特殊安全事件和系統(tǒng)故障時保證日記存在和不被篡改，同步對主機和數(shù)據(jù)庫操作行為也沒有審計和管理手段，不同有效對操作行為進行審計，防止誤操作和惡意行為發(fā)生，因而我行迫切需要盡快建設(shè)安全審計系統(tǒng)（涉及日記審計、數(shù)據(jù)庫審計、網(wǎng)絡(luò)審計），保證我行信息系統(tǒng)安全。2.2我行金融信息管理中心安全審計管理現(xiàn)狀2.2.1日記審計作為數(shù)據(jù)中心運維部門，負(fù)責(zé)運維內(nèi)聯(lián)網(wǎng)總行局域網(wǎng)、總行機關(guān)辦公自動化系統(tǒng)及貨幣發(fā)行信息管理系統(tǒng)、國庫信息解決系統(tǒng)等重要業(yè)務(wù)系統(tǒng)，保障信息系統(tǒng)IT基本設(shè)施安全運營。為更好地制定日記審計系統(tǒng)建設(shè)方案，開展了金融信息管理中心日記管理現(xiàn)狀調(diào)研工作，調(diào)研內(nèi)容涉及設(shè)備/系統(tǒng)配備哪些日記信息、日記信息涉及哪些屬性、日記采集所支持合同/接口、日記存儲方式及日記管理現(xiàn)狀，金融信息管理中心日記管理現(xiàn)狀調(diào)查表詳見附件。通過度析日記管理現(xiàn)狀調(diào)查表，將關(guān)于狀況闡明如下：一、日記內(nèi)容。網(wǎng)絡(luò)設(shè)備（涉及互換機和路由器）、安全設(shè)備（涉及防火墻、入侵檢測設(shè)備、防病毒管理系統(tǒng)和補丁分發(fā)系統(tǒng)）、辦公自動化系統(tǒng)和重要業(yè)務(wù)系統(tǒng)均配備一定日記信息，其中每類設(shè)備具備一定日記配備規(guī)范，應(yīng)用系統(tǒng)（辦公自動化系統(tǒng)和重要業(yè)務(wù)系統(tǒng)）日記內(nèi)容差別較大，數(shù)據(jù)庫和中間件僅配備“進程與否正常”日記信息。二、日記格式。網(wǎng)絡(luò)設(shè)備和某些安全設(shè)備依照廠商不同，其日記格式也不同，無統(tǒng)一日記格式；應(yīng)用系統(tǒng)依照系統(tǒng)平臺不同，其日記格式也不同，無統(tǒng)一日記格式。三、日記采集合同/接口。網(wǎng)絡(luò)設(shè)備和某些安全設(shè)備支持SNMPTrap和Syslog合同，應(yīng)用系統(tǒng)重要支持TCP/IP合同，個別應(yīng)用系統(tǒng)自定義了日記采集方式。四、日記存儲方式。網(wǎng)絡(luò)設(shè)備和某些安全設(shè)備日記信息集中存儲在日記服務(wù)器中，其她設(shè)備/系統(tǒng)日記均存儲在本地主機上。日記信息以文本文獻、關(guān)系型數(shù)據(jù)庫文獻、Domino數(shù)據(jù)庫文獻和XML文獻等方式進行存儲。五、日記管理方式。重要為分散管理,且無日記管理規(guī)范。在系統(tǒng)/設(shè)備浮現(xiàn)故障時，日記信息是定位故障，解決故障重要根據(jù)。據(jù)理解，為加強網(wǎng)絡(luò)基本設(shè)施運營狀況監(jiān)控，金融信息管理中心通過采集互換機和路由器等網(wǎng)絡(luò)設(shè)備日記信息，實現(xiàn)網(wǎng)絡(luò)設(shè)備日記信息集中管理，及時發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備運營中浮現(xiàn)問題。通過上述現(xiàn)狀分析，當(dāng)前日記管理存在如下問題：1、不同系統(tǒng)/設(shè)備日記信息分散存儲，日記信息被非法刪除，導(dǎo)致安全事故處置工作無法追查取證。2、在系統(tǒng)發(fā)生故障后，才去通過日記信息定位故障，導(dǎo)致系統(tǒng)安全運營工作存在一定被動性，應(yīng)積極地在日記信息中及時發(fā)現(xiàn)系統(tǒng)運營存在隱患，提高系統(tǒng)運營安全管理水平。3、隨著我行信息化工作不斷進一步，系統(tǒng)運維工作壓力不斷加大，如不及時規(guī)范日記信息管理，信管中心將逐漸面臨運維設(shè)備多、人員少問題，不能及時精確把握運維工作重點。在當(dāng)前日記信息管理基本上，若簡樸加強日記信息管理，仍存在如下問題：1、通過系統(tǒng)/設(shè)備各自控制臺去查看事件，窗口繁多，并且所有事件都是孤立，不同系統(tǒng)/設(shè)備之間事件缺少關(guān)聯(lián)，分析起來極為麻煩，無法弄清晰真實狀況。2、不同系統(tǒng)/設(shè)備對同一種事件描述也許是不同，管理人員需理解各系統(tǒng)/設(shè)備，分析各種不同格式信息，導(dǎo)致管理人員工作非常繁重，效率低。3、海量日記信息不但無法協(xié)助找出真正問題，反而由于太多而導(dǎo)致無法管理，并且不同系統(tǒng)/設(shè)備也許產(chǎn)生不同日記信息格式，無法做到迅速辨認(rèn)和響應(yīng)。2.2.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計當(dāng)前我行沒有實現(xiàn)對數(shù)據(jù)庫操作和網(wǎng)絡(luò)操作行為審計。對系統(tǒng)后臺操作人員遠(yuǎn)程登錄主機、數(shù)據(jù)庫操作行為無法進行記錄、審計，難以防止系統(tǒng)濫用、泄密等問題發(fā)生。2.3我行安全審計管理辦法制定現(xiàn)狀在《銀行信息安全管理規(guī)定》提出如下安全審計規(guī)定：第一百三十九條 各單位科技部門在支持與配合內(nèi)審部門開展審計信息安全工作同步，應(yīng)適時開展本單位和轄內(nèi)信息系統(tǒng)尋常運營管理和信息安全事件全過程技術(shù)審計，發(fā)現(xiàn)問題及時報本單位或上一級單位主管領(lǐng)導(dǎo)。第一百四十條 各單位應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配備管理，應(yīng)完整保存有關(guān)日記記錄，普通保存至少一種月，涉及資金交易業(yè)務(wù)系統(tǒng)日記應(yīng)依照需要擬定保存時間。在《銀行信息系統(tǒng)安全配備指引-數(shù)據(jù)庫分冊》提出如下安全審計規(guī)定：應(yīng)配備審計日記，并定期查看、清理日記。審計內(nèi)容涉及創(chuàng)立、修改或刪除數(shù)據(jù)庫帳戶、數(shù)據(jù)庫對象、數(shù)據(jù)庫表、數(shù)據(jù)庫索引行為；容許或者撤銷審計功能行為；授予或者取消數(shù)據(jù)庫系統(tǒng)級別權(quán)限行為；任何由于參照對象不存在而引錯誤信息；任何變化數(shù)據(jù)庫對象名稱動作；任何對數(shù)據(jù)庫Dictionary或者數(shù)據(jù)庫系統(tǒng)配備變化；所有數(shù)據(jù)庫連接失敗記錄；所有DBA數(shù)據(jù)庫連接記錄；所有數(shù)據(jù)庫顧客帳戶升級和刪除操作審計跟蹤信息。審計數(shù)據(jù)應(yīng)被保存為分析程序或者腳下本可讀格式，時間期限是一年。所有刪除審計數(shù)據(jù)操作，都應(yīng)在動態(tài)查帳索引中保存記錄。只有DBA或者安全審核員有權(quán)限選取、添加、刪除或者修改、停用審計信息。上述安全審計管理規(guī)定為開展日記審計系統(tǒng)建設(shè)提供了制度保障。2.4安全審計產(chǎn)品及應(yīng)用現(xiàn)狀當(dāng)前市場上安全審計產(chǎn)品按審計類型也有諸多產(chǎn)品，日記審計以SIM類產(chǎn)品為主，也叫安全信息和事件管理（SIEM），是安全管理領(lǐng)域發(fā)展方向。SIM是一種全面、面向IT計算環(huán)境安全集中管理平臺，這個平臺可以收集來自計算環(huán)境中各種設(shè)備和應(yīng)用安全日記和事件，并進行存儲、監(jiān)控、分析、報警、響應(yīng)和報告，變過去被動單點防御為全網(wǎng)綜合防御。由于日記審計對安全廠商技術(shù)開發(fā)能力有較高規(guī)定,國內(nèi)某些較有實力安全廠商可以提供較為成熟日記審計產(chǎn)品。當(dāng)前，日記審計產(chǎn)品已在政府、運營商、金融、民航等行業(yè)廣泛成功應(yīng)用。針對數(shù)據(jù)庫和網(wǎng)絡(luò)行為審計產(chǎn)品，國內(nèi)也有各種廠家有比較成熟產(chǎn)品，在諸多行業(yè)均有應(yīng)用。3安全審計必要性通過安全審計系統(tǒng)建設(shè)，貫徹信息系統(tǒng)安全級別保護基本技術(shù)和管理規(guī)定中關(guān)于安全審計控制點及日記和事件存儲規(guī)定，積累信息系統(tǒng)安全級別保護工作經(jīng)驗。通過綜合安全審計平臺建設(shè)，進一步完善我行信息安全保障體系，變化事中及事后安全基本設(shè)施建設(shè)較弱現(xiàn)狀；為信息安全管理規(guī)定貫徹狀況檢查提供技術(shù)支撐手段，不斷完善信息安全管理辦法，提高信息安全管理水平；通過綜合安全審計平臺，實現(xiàn)信息系統(tǒng)IT基本設(shè)施日記信息集中管理，全面掌握IT基本設(shè)施運營過程中浮現(xiàn)隱患，通過安全事件報警和日記報表方式，在運維人員有限條件下，有效地把握運維工作重點，進一步增強系統(tǒng)安全運維工作積極性，更好地保障系統(tǒng)正常運營。同步，有效規(guī)避日記信息分散存儲存在非法刪除風(fēng)險，保證安全事故處置取證工作。通過綜合安全審計平臺建設(shè)，規(guī)范我行安全審計管理工作，指引此后信息化項目建設(shè)，系統(tǒng)也為安全審計管理規(guī)范實現(xiàn)提供了有效技術(shù)支撐平臺。4安全審計綜合管理平臺建設(shè)目的依照總行金融信息管理中心日記管理工作現(xiàn)狀及存在問題，結(jié)合日記審計系統(tǒng)建成后預(yù)期收益，現(xiàn)將系統(tǒng)建設(shè)目的闡明如下：海量日記數(shù)據(jù)原則化集中管理。依照即定采集方略，采集信息系統(tǒng)IT基本設(shè)施日記信息，規(guī)范日記信息格式，實現(xiàn)海量日記數(shù)據(jù)原則化集中存儲，同步保存日記信息原始數(shù)據(jù)，規(guī)避日記信息被非法刪除而帶來安全事故處置工作無法追查取證風(fēng)險；加強海量日記數(shù)據(jù)集中管理，特別歷史日記數(shù)據(jù)管理。系統(tǒng)運營風(fēng)險及時報警與報表管理基于原則化日記數(shù)據(jù)進行關(guān)聯(lián)分析，及時發(fā)現(xiàn)信息系統(tǒng)IT基本設(shè)施運營過程中存在安全隱患，并依照方略進行及時報警，為運維人員積極保障系統(tǒng)安全運營工作提供有效技術(shù)支撐；實現(xiàn)安全隱患報表管理，更好地支持系統(tǒng)運營安全管理工作。為貫徹關(guān)于信息安全管理規(guī)定提供技術(shù)支撐運用安全審計成果可以評估信息安全管理規(guī)定貫徹狀況，發(fā)現(xiàn)信息安全管理辦法存在問題，為完善信息安全管理辦法提供根據(jù)，持續(xù)改進，進一步提高安全管理水平。規(guī)范信息系統(tǒng)日記信息管理。依照日記管理工作現(xiàn)狀，提出信息系統(tǒng)日記信息管理規(guī)范，明確信息系統(tǒng)IT基本設(shè)施日記配備基本規(guī)定、日記內(nèi)容基本規(guī)定等，一方面保證日記審計系統(tǒng)建設(shè)實現(xiàn)即定目的；另一方面指引此后信息化項目建設(shè)，完善信息安全管理制度體系，進一步提高安全管理水平。實現(xiàn)對我行各業(yè)務(wù)系統(tǒng)主機、數(shù)據(jù)庫行為審計。對各業(yè)務(wù)系統(tǒng)主機、數(shù)據(jù)庫行為審計，重要是在不影響業(yè)務(wù)系統(tǒng)正常運營前提下，通過網(wǎng)絡(luò)鏡像流量方式輔以獨立日記分析等其他方式對顧客行為進行隱蔽監(jiān)視，對顧客訪問業(yè)務(wù)系統(tǒng)行為進行審計，對顧客危險行為進行告警并在必要時進行阻斷，對事后發(fā)現(xiàn)安全事件進行會話回放，進行網(wǎng)絡(luò)通訊取證。5安全審計綜合管理平臺需求5.1日記審計系統(tǒng)需求5.1.1系統(tǒng)功能需求日記采集功能需求采集范疇日記審計系統(tǒng)需要對我行信息系統(tǒng)中網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、應(yīng)用系統(tǒng)、安全系統(tǒng)及其她系統(tǒng)（如網(wǎng)絡(luò)管理系統(tǒng)、存儲設(shè)備等）進行日記采集。數(shù)據(jù)庫是我行數(shù)據(jù)管理基本，任何數(shù)據(jù)泄漏、篡改、刪除都會對稅務(wù)整體數(shù)據(jù)導(dǎo)致嚴(yán)重?fù)p失。數(shù)據(jù)庫審計是安全管理工作中一種重要構(gòu)成某些，通過對數(shù)據(jù)庫“信息活動”實時地進行監(jiān)測審計，使管理者對數(shù)據(jù)庫“信息活動”一目了然，可以及時掌握數(shù)據(jù)庫服務(wù)器應(yīng)用狀況，及時發(fā)現(xiàn)客戶端使用問題，存在著哪些安全威脅或隱患并予以糾正，防止應(yīng)用安全事件發(fā)生，即便發(fā)生了也可以可以迅速查證并追根尋源。雖然數(shù)據(jù)庫系統(tǒng)自身可以提供日記審計功能，但是數(shù)據(jù)庫系統(tǒng)自身啟動日記審計功能會帶給系統(tǒng)較大承擔(dān)。為了保證數(shù)據(jù)庫性能、穩(wěn)定性，建議采用國內(nèi)已較為成熟數(shù)據(jù)庫審計技術(shù)，通過在網(wǎng)絡(luò)布置專門旁路數(shù)據(jù)庫審計硬件設(shè)備,采用鏡像等方式獲取數(shù)據(jù)庫訪問網(wǎng)絡(luò)報文流量，實現(xiàn)針對各種數(shù)據(jù)庫顧客操作命令級審計，從而隨時掌握數(shù)據(jù)庫安全狀況，及時發(fā)現(xiàn)和制止各類數(shù)據(jù)操作違規(guī)事件或襲擊事件，避免數(shù)據(jù)各類安全損失，追查或打擊各類違規(guī)、違法行為，提高數(shù)據(jù)庫數(shù)據(jù)安全管理水平。該采集方式不會對數(shù)據(jù)庫運營、訪問產(chǎn)生任何影響，并且具備更強實時性，是比較抱負(fù)數(shù)據(jù)庫日記審計實現(xiàn)方式。數(shù)據(jù)來源與內(nèi)容數(shù)據(jù)來源：審計數(shù)據(jù)源需要涉及我行信息系統(tǒng)各組件日記產(chǎn)生點，如主機操作日記、操作系統(tǒng)日記、數(shù)據(jù)庫審計日記、FTP/WEB/NNTP/SMTP、安全設(shè)備日記等。數(shù)據(jù)內(nèi)容：異常信息在采集后必要進行分類，例如可以將異常事件信息提成泄密事件和安全運營事件兩大類，以便于我行日記審計系統(tǒng)管理人員能迅速對事件進行分析。采集方略采集方略需要涉及采集頻率、過濾、合并方略與信息傳播方略。支持依照采集對象不同，可以設(shè)立實時采集、按秒、分鐘、小時等采集頻率。支持日記或事件進行必要過濾和合并，從而只采集有用、需要關(guān)注日記和事件信息，屏蔽不需要關(guān)注日記和事件信息。通過預(yù)先設(shè)定好日記信息傳播方略，使采集到信息可以依照網(wǎng)絡(luò)實際狀況有序地傳播到數(shù)據(jù)庫服務(wù)器進行入庫存儲，避免因日記信息瞬間激增而對網(wǎng)絡(luò)帶寬資源過度占用，同步保證信息傳播效率，避免斷點重傳。采集監(jiān)控系統(tǒng)可以監(jiān)控各采集點日記傳播狀態(tài)，當(dāng)有采集點無法正常發(fā)送日記信息時，系統(tǒng)可以自動進行告警告知管理員進行解決。日記格式原則化需求依照日記格式原則，對系統(tǒng)采集信息系統(tǒng)IT基本設(shè)施日記信息進行原則化解決。日記集中存儲需求我行日記審計系統(tǒng)將對300余個審計對象進行日記審計，此系統(tǒng)需要具備海量數(shù)據(jù)存儲能力，其后臺數(shù)據(jù)庫需要采用穩(wěn)定以及先進公司級數(shù)據(jù)庫（如DB2、MSSQLServer數(shù)據(jù)庫）；需要有合理數(shù)據(jù)存儲管理方略；需要支持磁盤陣列柜以及SAN、NAS等存儲方式。日記關(guān)聯(lián)分析需求為理解決當(dāng)前日益嚴(yán)重復(fù)合型風(fēng)險威脅，我行日記審計系統(tǒng)需要具備關(guān)聯(lián)分析功能：將不同安全設(shè)備響應(yīng)通過各種條件關(guān)聯(lián)起來，以便于管理員分析和解決。例如當(dāng)一種嚴(yán)重事件或顧客行為發(fā)生后，從網(wǎng)絡(luò)層面、主機/服務(wù)器層面、數(shù)據(jù)（庫）、安全層面到應(yīng)用層面也許都會有所反映（響應(yīng)），這時候?qū)徲嬒到y(tǒng)將進行數(shù)據(jù)挖掘，將上述各種層面、各種維度事件或行為數(shù)據(jù)挖掘和抽取、關(guān)聯(lián)，將關(guān)聯(lián)成果呈現(xiàn)給使用者。安全事件報警需求為了迅速、準(zhǔn)擬定位安全事件來源，及時解決安全事件，我行日記審計系統(tǒng)必要具備實時報警功能，報警方式應(yīng)當(dāng)多樣化，如實時屏幕顯示、電子郵件和短信等。日記報表需求我行日記審計系統(tǒng)報表需要支持細(xì)粒度查詢，使管理人員可以迅速對安全事件進行對的分析，其查詢細(xì)粒度應(yīng)當(dāng)涉及核心字、時間段、源地址、目地址、源端口、目端口、設(shè)備類型、事件類型、特定審計對象等各種條件組合查詢，并支持模糊查詢。5.1.2系統(tǒng)性能需求當(dāng)前我行日記審計系統(tǒng)需要審計300臺以上設(shè)備，以一臺設(shè)備3000條/小時，每條日記1KB為原則計算，300臺設(shè)備每天總?cè)沼洍l數(shù)為2160萬條，總?cè)沼浟考s為21G。基于上述計算成果，結(jié)合同行業(yè)成功案例，建議系統(tǒng)性能如下：解決能力支持安全事件與日記每天2千萬條以上；支持120G以上數(shù)據(jù)庫存儲；支持原始日記和事件存儲容量可達到5億條；提供對原始日記及審計成果壓縮存儲，文獻存儲壓縮比普通不應(yīng)不大于1：10；依照審計規(guī)定，原始信息及審計成果需保存6個月-1年，因而，需支持磁盤陣列、NAS和SAN等各種存儲方式，存儲容量需達到7TB以上。5.1.3系統(tǒng)安全需求權(quán)限劃分需求：日記審計系統(tǒng)需要進行管理權(quán)限劃分，不同管理員具備不同管理權(quán)限，例如管理配備權(quán)限與審計操作權(quán)限分離，系統(tǒng)中不容許浮現(xiàn)超級顧客權(quán)限。登錄安全需求：日記審計系統(tǒng)在顧客登錄上需要強身份鑒別功能以及鑒別失效解決機制。傳播安全需求：日記審計系統(tǒng)各個組件之間通訊合同必要支持身份認(rèn)證與傳播加密，保證數(shù)據(jù)在傳播過程中不被泄漏、篡改、刪除。存儲安全需求：日記審計系統(tǒng)后端數(shù)據(jù)庫必要采用安全可靠大型數(shù)據(jù)庫，數(shù)據(jù)庫訪問以及對日記審計系統(tǒng)操作都要通過嚴(yán)格身份鑒別，并對操作者權(quán)限進行嚴(yán)格劃分，保證數(shù)據(jù)存儲安全。接口安全需求：日記審計系統(tǒng)各組件之間應(yīng)當(dāng)采用其廠商自身，未公開并且成熟可靠合同進行通信。日記審計平臺與其她系統(tǒng)（網(wǎng)絡(luò)設(shè)備、主機/服務(wù)器、應(yīng)用系統(tǒng)、安全設(shè)備）接口可采用原則SNMP、Syslog等合同。5.1.4系統(tǒng)接口需求我行日記審計系統(tǒng)重要提供如下接口進行日記采集：1、Syslog方式，支持SYSLOG合同設(shè)備，如：防火墻、UNIX服務(wù)器等；2、ODBC/JDBC方式，支持?jǐn)?shù)據(jù)庫聯(lián)接設(shè)備；3、SNMPTrap方式，支持SNMP合同設(shè)備，如：互換機、路由器、網(wǎng)路安全設(shè)備等；4、XML方式，支持HTTP合同設(shè)備；5、EventLog方式，支持Windows平臺；6、特定接口方式，對于不支持通用合同設(shè)備，需要定制開發(fā)，如：某網(wǎng)閘隔離系統(tǒng)；7、其她廠商內(nèi)部專用合同。通過原則接口，可以采集到網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機系統(tǒng)、應(yīng)用系統(tǒng)各種類型日記：包括登陸信息、登陸認(rèn)證失敗信息、應(yīng)用程序啟動信息、進程變化信息、違背防火墻規(guī)則網(wǎng)絡(luò)行為、IDS檢測到所有入侵事件和IDS自身生成各種日記等。日記信息采集可以依照我行信息系統(tǒng)現(xiàn)狀進行實時傳播或者定期傳播。5.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計系統(tǒng)需求5.2.1審計功能需求安全審計方略系統(tǒng)應(yīng)容許使用者可以針對訪問者、被保護對象、操作行為，訪問源，事件類型等特性等制定詳細(xì)安全審計方略。方略制定方式應(yīng)簡樸靈活，既可以制定適應(yīng)于批量對象公共方略，也可以制定合用于單個被保護對象詳細(xì)方略。系統(tǒng)應(yīng)提供行為所有記錄默認(rèn)審計方略。審計記錄應(yīng)當(dāng)反映出顧客登錄身份，登錄操作時使用主機或數(shù)據(jù)庫賬號信息。在建設(shè)身份認(rèn)證和訪問控制功能后，可以禁止或容許顧客使用某個主機或數(shù)據(jù)庫賬號進行登錄和操作。審計記錄應(yīng)當(dāng)反映出顧客登錄身份，登錄操作時使用主機、網(wǎng)絡(luò)設(shè)備或數(shù)據(jù)庫賬號信息。事件實時審計、告警、命令控制能靈活配備實時安全審計控制方略和預(yù)警參數(shù)，實時發(fā)現(xiàn)可疑操作（如操作系統(tǒng)rm命令、數(shù)據(jù)庫drop、delete命令等），實時發(fā)出告警信息（向控制臺發(fā)出告警信息、向管理員郵箱發(fā)送告警電子郵件、向管理員手機發(fā)出告警短消息、通過SNMP命令向日記審計系統(tǒng)、網(wǎng)管系統(tǒng)發(fā)出告警等）。行為審計功能依照制定安全審計方略，系統(tǒng)應(yīng)對訪問者訪問被保護對象操作交互過程進行記錄，并容許選取記錄整個操作過程上行、下行數(shù)據(jù)。系統(tǒng)應(yīng)可以將審計記錄重組為會話能力。單個會話所有操作行為應(yīng)可以進行回放。每一條審計記錄應(yīng)至少提供操作時間、訪問者身份信息、IP地址、被保護對象（主機名稱、IP地址等）、操作內(nèi)容、系統(tǒng)返回內(nèi)容。審計記錄成果要實現(xiàn)集中存儲、集中管理、集中呈現(xiàn)。事件查詢功能系統(tǒng)需要提供豐富查詢界面，可以通過數(shù)據(jù)庫事件查詢、Telnet事件查詢、Ftp事件查詢、事件會話關(guān)聯(lián)查詢、告警查詢等不同維度查詢成果。并支持導(dǎo)出報表。審計信息存儲審計信息規(guī)定安全存儲，分級別進行管理，普通管理員無法修改刪除。顧客登錄認(rèn)證及操作日記規(guī)定安全存儲，普通管理員無法修改刪除。系統(tǒng)應(yīng)當(dāng)提供靈活審計信息存儲方略，以應(yīng)對大規(guī)模審計存儲規(guī)定；可以依照顧客登錄身份、使用主機或數(shù)據(jù)庫賬號來制定審計信息存儲方略。重復(fù)事件歸并通過配備歸并規(guī)則，系統(tǒng)可以對大批量重復(fù)事件做統(tǒng)一歸并，并記錄歸并次數(shù)。權(quán)限管理系統(tǒng)需要分管理員和審計員權(quán)限，審計員只能審計授權(quán)審計系統(tǒng)審計信息。5.2.2報表功能需求查詢功能系統(tǒng)顧客應(yīng)可按照時間段、訪問者、主機或數(shù)據(jù)庫賬號、被保護對象、行為方式、行為特性等核心字進行精準(zhǔn)或模糊匹配查詢。操作人員依照查詢成果可以關(guān)聯(lián)查看整個會話內(nèi)容。記錄報表功能系統(tǒng)應(yīng)提供完整報表系統(tǒng)。系統(tǒng)應(yīng)按照訪問者、被保護對象、行為方式、操作內(nèi)容（例如數(shù)據(jù)庫表名稱）等生成記錄報表，并按照規(guī)定添加、修改報表數(shù)量、格式及內(nèi)容，以滿足安全審計規(guī)定。5.2.3審計對象及兼容性支持應(yīng)當(dāng)涉及（但不限于）：Telnet,ftp,SQL等應(yīng)用。操作系統(tǒng)支持：Unix,HP-UNIX,Solaris數(shù)據(jù)庫支持：Oracle,DB2,Infomix,Mysql,Sqlserver應(yīng)保證無漏掉等現(xiàn)象發(fā)生。5.2.4系統(tǒng)性能系統(tǒng)應(yīng)滿足大數(shù)據(jù)量審計規(guī)定。滿足千兆骨干網(wǎng)絡(luò)審計規(guī)定，無丟包、漏包現(xiàn)象發(fā)生；系統(tǒng)應(yīng)提供良好查詢能力；系統(tǒng)應(yīng)至少滿足1年審計數(shù)據(jù)在線存儲需求，并提供相應(yīng)離線備份機制，對于超過在線存儲時限審計數(shù)據(jù)應(yīng)提供導(dǎo)入導(dǎo)出機制。5.2.5審計完整性系統(tǒng)應(yīng)能實現(xiàn)對所有訪問者通過審計途徑對現(xiàn)網(wǎng)內(nèi)被保護對象遠(yuǎn)程訪問行為審計，無漏掉、錯報等現(xiàn)象發(fā)生。6安全審計綜合管理平臺建設(shè)方案6.1日記審計系統(tǒng)建設(shè)方案6.1.1日記管理建議基于我行日記審計系統(tǒng)建設(shè)目的，需要對我行信息系統(tǒng)中網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、應(yīng)用系統(tǒng)、安全系統(tǒng)等進行日記采集，各采集對象設(shè)備系統(tǒng)類型、采集日記內(nèi)容、采集方式及采集頻率闡明如下：審計內(nèi)容詳細(xì)審計需求描述日記內(nèi)容涉及擬采用采集方式采集頻率操作系統(tǒng)SolarisAIXLinuxHP-UNIX帳戶登錄注銷、帳號權(quán)限變更、操作系統(tǒng)啟動關(guān)閉、shell操作日記、SYSlOG日記。Agent方式；針對UNIXSYSLOG日記可通過syslog方式發(fā)送通過日記安全審計中心設(shè)立采集頻率方略,建議1分鐘采集一次WindowsserverWindowsserver帳戶登錄注銷、帳號權(quán)限變更、操作系統(tǒng)啟動關(guān)閉、應(yīng)用程序運營狀態(tài)、系統(tǒng)文獻和文獻屬性修改等Agent方式通過日記安全審計中心設(shè)立采集頻率方略,建議1分鐘采集一次安全設(shè)備防火墻顧客登錄、修改配備、收集到襲擊日記等等Syslog、SNMPTrap方式采集在安全設(shè)備上配備日記傳播頻率，建議1分鐘采集一次網(wǎng)絡(luò)設(shè)備互換機路由器等（CISCO、華為、華三等）。顧客登錄、修改配備等Syslog、SNMPTrap方式采集在網(wǎng)絡(luò)設(shè)備上配備日記傳播頻率，建議1分鐘采集一次數(shù)據(jù)庫ORACLESQLSERVERDB2SYBASEInformix顧客登錄、注銷、數(shù)據(jù)查詢、插入、數(shù)據(jù)修改、數(shù)據(jù)刪除、修改配備等。通過布置旁路數(shù)據(jù)庫審計硬件設(shè)備,采用鏡像等方式獲取數(shù)據(jù)庫訪問網(wǎng)絡(luò)報文流量，從而實現(xiàn)針對各種數(shù)據(jù)庫顧客操作命令級審計。該采集方式不會對數(shù)據(jù)庫運營、訪問產(chǎn)生影響通過日記安全審計中心設(shè)立數(shù)據(jù)庫審計日記采集頻率方略，建議1分鐘采集一次應(yīng)用系統(tǒng)Webserver、Emailserver、Domino等應(yīng)用系統(tǒng)；在實際項目中，還需要收集業(yè)務(wù)系統(tǒng)日記。Webserver重要涉及：WebSphereApacheWebLogicMicrosoftIIS等顧客登錄、修改配備、應(yīng)用層操作等Agent方式、Syslog、SNMPTrap、ODBC/JDBC方式通過日記安全審計中心設(shè)立數(shù)據(jù)庫審計日記采集頻率方略，建議1分鐘采集一次6.1.2日記審計系統(tǒng)整體架構(gòu)我行日記審計系統(tǒng)整體架構(gòu)圖如下：整體架構(gòu)圖闡明：我行日記審計系統(tǒng)為軟件架構(gòu)，由采集服務(wù)器、管理服務(wù)器、數(shù)據(jù)庫服務(wù)器三大某些構(gòu)成。對被審計對象進行必要設(shè)立或安裝采集代理，即可實現(xiàn)對整個系統(tǒng)綜合審計；我行日記審計系統(tǒng)采用Browser/Server/DataBase三層架構(gòu)，管理人員無需安裝任何客戶端即可登錄到日記審計系統(tǒng)進行審計管理操作。我行日記審計系統(tǒng)功能構(gòu)造圖如下：功能構(gòu)造圖闡明：我行日記審計系統(tǒng)將涉及日記采集、日記存儲、日記分析、系統(tǒng)管理、綜合顯示等功能模塊，這些功能模塊將有效滿足我行針對日記審計系統(tǒng)各種功能需求。6.1.3日記采集實現(xiàn)方式系統(tǒng)支持原則接口和合同1、Syslog方式，支持SYSLOG合同設(shè)備，如：防火墻、UNIX服務(wù)器等；2、ODBC/JDBC方式，支持?jǐn)?shù)據(jù)庫聯(lián)接設(shè)備；3、SNMPTrap方式，支持SNMP合同設(shè)備，如：互換機、路由器、網(wǎng)路安全設(shè)備等；4、XML方式，支持HTTP合同設(shè)備；5、EventLog方式，支持Windows平臺；6、特定接口方式，對于不支持通用合同設(shè)備，需要定制開發(fā)，如：某網(wǎng)閘隔離系統(tǒng)。7、其她廠商內(nèi)部專用合同。Syslog和SNMPTrap方式作為最常用、老式方式，被大某些設(shè)備廠商和日記審計系統(tǒng)所采用，建議我行采用這兩種方式進行日記采集。Syslog和SNMPTrap方式作為最成熟網(wǎng)絡(luò)合同，已經(jīng)廣泛應(yīng)用在網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)備之上，用來傳播各種日記信息，對系統(tǒng)自身影響很小。8、數(shù)據(jù)庫日記審計數(shù)據(jù)庫自身日記功能啟動狀況下，可通過ODBC方式收集數(shù)據(jù)庫日記，但是在數(shù)據(jù)庫日記量較大狀況下，數(shù)據(jù)庫系統(tǒng)自身啟動日記審計功能會帶給系統(tǒng)較大承擔(dān)，不建議采用該方式收集數(shù)據(jù)庫日記。為了保證數(shù)據(jù)庫性能、穩(wěn)定性，建議采用國內(nèi)已較為成熟數(shù)據(jù)庫審計技術(shù)，通過在網(wǎng)絡(luò)布置專門旁路數(shù)據(jù)庫審計硬件設(shè)備,采用鏡像等方式獲取數(shù)據(jù)庫訪問網(wǎng)絡(luò)報文流量，實現(xiàn)針對各種數(shù)據(jù)庫顧客操作命令級審計。該采集方式不會對數(shù)據(jù)庫運營、訪問產(chǎn)生任何影響，并且具備更強實時性，是比較抱負(fù)數(shù)據(jù)庫日記審計實現(xiàn)方式。采集對象日記采集實現(xiàn)方式采集對象需支持通過安裝審計代理程序或修改系統(tǒng)配備來進行日記采集，通過日記收集方略定制來啟動與關(guān)閉各系統(tǒng)日記采集功能及擬定應(yīng)采集日記種類。為了保證被監(jiān)控系統(tǒng)保密性，原則上被監(jiān)控系統(tǒng)要積極向日記審計系統(tǒng)發(fā)送自身生成日記信息，日記審計系統(tǒng)盡量不積極訪問被監(jiān)控對象。6.1.4日記原則化實現(xiàn)方式由于日記采集模塊收集到各種類型日記，而這些日記定義格式和內(nèi)容不盡相似，日記原則化將不同數(shù)據(jù)格式轉(zhuǎn)換成原則數(shù)據(jù)格式并存儲，為上層應(yīng)用提供數(shù)據(jù)支持。由于不同設(shè)備，對事件嚴(yán)重限度定義及側(cè)重點不盡相似，不利于依照統(tǒng)一安全方略進行解決。日記原則化將按照日記來源類型、事件類別、事件級別等也許條件及條件組合對事件嚴(yán)重級別進行重定義，便于日記分析模塊分析解決。下面是日記信息原則化規(guī)定：日記事件信息原則化字段涉及事件編號信息（此字段信息應(yīng)全局唯一，作為標(biāo)記事件主鍵）、事件名稱、事件原始時間、事件采集時間、事件內(nèi)容、事件類型、事件源地址、事件目地址、事件源端口、事件目端口、事件原始級別、事件原則化后級別、事件采集來源、事件涉及合同、會話信息等。我行日記審計系統(tǒng)對于此后新增長被審計對象（如新增應(yīng)用系統(tǒng)），將使用原則Syslog或SNMP合同作為其日記形式和接口，并協(xié)調(diào)日記審計系統(tǒng)廠商與新系統(tǒng)廠商提供技術(shù)方面支持。新增被審計對象，必要能滿足如下條件：1）提供原則Syslog或SNMP接口；2）被審計對象需要提供詳細(xì)日記信息，涉及：登陸信息、狀態(tài)信息、根據(jù)自身業(yè)務(wù)邏輯產(chǎn)生數(shù)據(jù)等；3）日記事件信息原則化字段涉及事件編號信息（此字段信息應(yīng)全局唯一，作為標(biāo)記事件主鍵）、事件名稱、事件原始時間、事件采集時間、事件內(nèi)容、事件類型、事件源地址、事件目地址、事件源端口、事件目端口、事件原始級別、事件原則化后級別、事件采集來源、事件涉及合同、會話信息等；4）如果是應(yīng)用系統(tǒng)日記，應(yīng)當(dāng)包括顧客信息，對于應(yīng)用系統(tǒng)日記其級別定義變得極其重要；5）提供設(shè)備所能產(chǎn)生所有類型日記樣本；6）提供所有日記類型中字段闡明（特別是數(shù)值與相應(yīng)內(nèi)容對照表）以及相應(yīng)文檔；6.1.5日記存儲實現(xiàn)方式我行日記審計系統(tǒng)將采用DB2或MSSQLServer數(shù)據(jù)庫作為日記審計系統(tǒng)在線存儲方式，依照審計規(guī)定，原始信息及審計成果需提供壓縮存儲，文獻存儲壓縮比普通不應(yīng)不大于1：10；并保存6個月1年以上，系統(tǒng)需支持磁盤陣列柜以及SAN、NAS等存儲方式，存儲容量需達到7TB以上。除了在線存儲方式外還將支持磁帶機作為離線存儲備份方式，離線數(shù)據(jù)可以通過導(dǎo)入到當(dāng)前庫不同表中進行查詢和分析，以避免對當(dāng)前數(shù)據(jù)導(dǎo)致不利影響。6.1.6日記關(guān)聯(lián)分析我行日記審計系統(tǒng)將提供各種關(guān)聯(lián)分析辦法，涉及：相似源IP事件關(guān)聯(lián)分析、相似目IP事件關(guān)聯(lián)分析、相似事件類型關(guān)聯(lián)分析以及基于規(guī)則事件關(guān)聯(lián)分析、記錄關(guān)聯(lián)分析和漏洞關(guān)聯(lián)分析（需要采用脆弱性模塊）。通過關(guān)聯(lián)分析可以更加精確地定義和定位安全事件。相似源IP事件關(guān)聯(lián)分析：通慣用于對主機終端活動進行分析審計，它把相似源IP地址所產(chǎn)生事件按照時間順序一一列出，協(xié)助管理人員對該IP地址所進行各項操作行為進行分析和審計，從而對其操作行為目性進行分析。相似目IP事件關(guān)聯(lián)分析：通慣用于對服務(wù)器被訪問和操作活動進行分析和審計，它把相似目IP地址所產(chǎn)生事件按照時間順序一一列出，協(xié)助管理人員對該IP地址被訪問活動進行分析和審計，從而發(fā)現(xiàn)內(nèi)部人員對服務(wù)器所進行非授權(quán)或可疑操作。相似事件類型事件關(guān)聯(lián)分析：通慣用于對特定事件影響范疇進行分析，它把所發(fā)生相似事件類型按照時間順序一一列出，協(xié)助管理人員對事件波及面進行分析和審計?；谝?guī)則事件關(guān)聯(lián)分析：是把各種安全事件按照時間先后序列與時間間隔進行檢測，判斷事件之間互有關(guān)系與否符合預(yù)定義規(guī)則，從而觸發(fā)分析總結(jié)出來關(guān)聯(lián)分析后事件。記錄關(guān)聯(lián)分析：是顧客通過定義一定期間內(nèi)發(fā)生符合條件事件量達到規(guī)定量，從而觸發(fā)關(guān)聯(lián)事件。所有可以發(fā)送日記信息IT基本設(shè)施都可以做關(guān)聯(lián)分析，通過關(guān)聯(lián)分析可以及時發(fā)現(xiàn)IT基本設(shè)施潛在風(fēng)險。6.1.7安全事件報警我行日記審計系統(tǒng)將提供實時屏幕顯示、電子郵件、工作任務(wù)單、入庫（和短信）等報警方式；可以調(diào)節(jié)實時報警排序方式；可以定義實時報警顯示內(nèi)容，顯示內(nèi)容涉及：發(fā)生時間來源事件類型主體描述和成果（成功、失敗或待驗證等）；可以調(diào)節(jié)實時報警方略，并且顯示內(nèi)容與當(dāng)前顧客管理角色有關(guān)聯(lián)?？商峁┦录蠄髾C制，通過方略設(shè)立明確哪些類型（如泄密事件、安全運營事件）、哪些級別（高、中高、中、中低、低級別以上）安全事件需要隨時上報。6.1.8日記報表我行日記審計系統(tǒng)可提供報表涉及如下種類：事件信息報表提供事件分布報表，按照不同事件類別提供各類事件趨勢報表。綜合分析與預(yù)警報表綜合安全風(fēng)險分析報表，提供風(fēng)險查詢報表，可以依照資產(chǎn)、域、趨勢等進行分類輸出，涉及分析數(shù)據(jù)分布范疇、受影響系統(tǒng)、也許嚴(yán)重限度等。響應(yīng)過程報表提供響應(yīng)模塊發(fā)生響應(yīng)事件記錄報表，按照響應(yīng)事件緊急限度、響應(yīng)對象、響應(yīng)人員分類列表。綜合顯示報表提供綜合顯示模塊實時截屏報表，涉及列表顯示報表輸出、拓?fù)浒踩畔蟊磔敵?、電子地圖安全信息報表輸出。平臺自身日記報表提供平臺自身日記報表，包括訪問人、訪問次數(shù)、訪問時間等。可以按照審計對象呈現(xiàn)日記信息。報表輸出格式可轉(zhuǎn)換為PDF、HTML、RTF、CSV等各種慣用原則格式，我行顧客可自定義報表。6.1.9系統(tǒng)管理我行日記審計系統(tǒng)設(shè)有顧客管理員、系統(tǒng)管理員、安全管理員和安全審計員四種操作和管理角色，每種操作管理角色中又可安排各種操作管理顧客，在系統(tǒng)中不存在超級顧客。通過角色劃分并予以角色相應(yīng)授權(quán)實現(xiàn)了系統(tǒng)管理員、安全管理員和安全審計員三權(quán)分立。顧客管理員權(quán)限：顧客管理員負(fù)責(zé)對顧客、顧客組進行管理，涉及建立、維護和刪除顧客組，并將顧客分派到相應(yīng)顧客組中。顧客管理員不參加綜合審計系統(tǒng)各項詳細(xì)操作。系統(tǒng)管理員權(quán)限：系統(tǒng)管理員負(fù)責(zé)設(shè)定各個顧客組管理和操作權(quán)限，涉及管理區(qū)域范疇、管理設(shè)備和對象、各項管理功能（如方略制定、關(guān)聯(lián)分析、審計查詢、審計報表、數(shù)據(jù)備份等）操作權(quán)限等，權(quán)限控制分為“完全控制”、“讀取”、“寫入”、“更改”、“刪除”幾類。系統(tǒng)管理員不參加綜合審計系統(tǒng)各項詳細(xì)操作。安全管理員權(quán)限：安全管理員負(fù)責(zé)在權(quán)限允許范疇內(nèi)運用日記審計系統(tǒng)開展各項安全審計和管理操作。安全管理員操作進行通過系統(tǒng)審計日記記錄下來，以備審計管理員對安全管理員各項管理操作進行審計。安全審計員權(quán)限：審計管理員僅具備對顧客管理員、系統(tǒng)管理員、安全管理員所從事各項安全管理操作進行審計權(quán)限，涉及顧客登錄注銷、新增、修改、刪除顧客或顧客組等功能。6.1.10系統(tǒng)接口規(guī)范我行日記審計系統(tǒng)接口規(guī)范為原則合同：Syslog、SNMP。被監(jiān)控對象通過Syslog、SNMP合同積極把自身日記信息發(fā)送到日記審計系統(tǒng)。日記審計系統(tǒng)要對外提供如下接口：WindowsEventLog：可以通過該接口采集Windows主機日記信息。Syslog：通過該接口可以采集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機系統(tǒng)等日記信息。SNMP：通過該接口可以采集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機系統(tǒng)等日記信息。OPSEC：通過該接口可以采集nokia、checkpoint日記信息。XML：通過該接口可以采集漏洞掃描系統(tǒng)掃描成果。ODBC：通過該接口可以采集數(shù)據(jù)庫日記信息。讀文獻：通過該接口可以采集ftp、DNS等應(yīng)用系統(tǒng)日記信息。日記審計系統(tǒng)自身會有簡樸資產(chǎn)管理功能，如果我行沒有與既有資產(chǎn)管理系統(tǒng)進行數(shù)據(jù)同步規(guī)定，不需要和既有資產(chǎn)管理系統(tǒng)進行整合。如果規(guī)定做到和既有資產(chǎn)管理系統(tǒng)整合，需要通過定制開發(fā)實現(xiàn)。與第三方資產(chǎn)管理系統(tǒng)進行整合需要定制開發(fā)。6.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計系統(tǒng)建設(shè)方案6.2.1數(shù)據(jù)庫和網(wǎng)絡(luò)行為綜合審計實時記錄監(jiān)控管理人員可以通過實時記錄功能清晰地看到網(wǎng)內(nèi)部告警事件、活動會話（ActiveSession），以及對被保護對象訪問狀況。實時記錄功能可以記錄近來5分鐘數(shù)據(jù)，及時地反映出網(wǎng)絡(luò)內(nèi)部動態(tài)。在實時記錄中，顧客可以實時查看當(dāng)前活動對象、當(dāng)前活動會話等事件列表。顧客點擊某個活動會話，即可看到當(dāng)前會話中顧客登錄、操作、注銷指令執(zhí)行及其返回成果全過程。事件查詢事件查詢?yōu)轭櫩吞峁┝藲v史事件查詢手段。顧客可以指定復(fù)雜查詢條件，迅速檢索到需要事件信息，從而協(xié)助管理員進行計算機取證分析，收集外部訪問或者內(nèi)部違規(guī)證據(jù)。事件查詢細(xì)分為綜合事件查詢，數(shù)據(jù)庫事件查詢，主機事件查詢，F(xiàn)tp事件查詢。針對不同類別查詢，系統(tǒng)精心地為顧客提供了不同查詢條件組合，以便顧客找到自己需要信息。顧客可以指定查詢條件涉及：審計類型、事件接受時間、事件級別、源地址、目地址、顧客名、方略名、會話ID（SessionID）等。趨勢分析可以進行事件訪問趨勢分析，對近來一段時間事件進行記錄分析，并描繪趨勢曲線。這樣，系統(tǒng)監(jiān)控管理員可以清晰看到近來一段時間內(nèi)部事件走向，并且可以清晰地看到敏感時間內(nèi)什么人對什么樣保護對象進行過訪問，以及訪問了保護對象什么資源。針對不同審計類型，產(chǎn)品提供不同趨勢分析，系統(tǒng)監(jiān)控人員可以依照需要查看不同趨勢分析。6.2.2審計方略審計方略是為審計功能服務(wù)，它為系統(tǒng)提供數(shù)據(jù)包采集引擎所需方略配備，對通過引擎數(shù)據(jù)包進行基于審計方略過濾，將符合審計方略數(shù)據(jù)包提取出來、產(chǎn)生安全事件，然后再對安全事件進行審計分析。同步，審計方略也決定了審計顆粒度，顧客可以通過對審計方略設(shè)定來決定審計各種細(xì)節(jié)。系統(tǒng)可以依照顧客規(guī)定自由組織審計方略，提供便捷添加、修改、刪除、導(dǎo)入、導(dǎo)出、啟用和禁用等功能?？梢詫⑨槍ν粯I(yè)務(wù)不同方面審計方略選項集中到一條審計方略中進行配備，這樣顧客無需切換頁面和進行復(fù)雜選項配備，簡化了顧客操作，同步并未減少需要配備審計對象元素。在方略配備中，顧客可以從各類合同中提取出公共某些進行統(tǒng)一配備，各類合同私有某些再依照不同細(xì)節(jié)進行相應(yīng)配備，從而避免了重復(fù)配備，減輕了顧客審計配備工作量。方略配備內(nèi)容：審計類型行為采集響應(yīng)主機1．登錄2．注銷3普通操作1．所有：審計所有內(nèi)容2．訪問文獻名稱核心字過濾1．記錄2．阻斷數(shù)據(jù)庫1．顧客行為2．?dāng)?shù)據(jù)定義3．?dāng)?shù)據(jù)操作4．?dāng)?shù)據(jù)控制5．其她1．所有：審計所有內(nèi)容2、核心字過濾（可以細(xì)化到庫、表、記錄、顧客、存儲過程、函數(shù)等）1．記錄2．阻斷FTP1．登錄2．注銷3普通操作1．所有2、文獻/目錄名稱核心字過濾1．記錄2．阻斷6.2.3審計內(nèi)容主機審計主機審計功能可審計VNC、Telnet、網(wǎng)上鄰居和定制主機合同登錄、注銷和普通操作等行為。顧客可以在業(yè)務(wù)綜合審計中單獨查看主機審計實時記錄信息和趨勢分析；可以定義專門主機審計方略；可以在報表管理中單獨查看與主機審計有關(guān)報表報告。數(shù)據(jù)庫審計數(shù)據(jù)庫審計功能可審計涉及各個平臺（Windows、Linux、Solaris、AIX）和版本SQLServer、Oracle等在內(nèi)數(shù)據(jù)庫DDL，DML，DCL和其他操作等行為。操作行為內(nèi)容和描述顧客行為數(shù)據(jù)庫顧客登錄、注銷數(shù)據(jù)定義語言（DDL）操作CREATE，ALTER，DROP等創(chuàng)立、修改或者刪除數(shù)據(jù)庫對象（表、索引、視圖、存儲過程、觸發(fā)器、域，等等）SQL指令數(shù)據(jù)操作語言（DML）操作SELECT，DELETE，UPDATE，INSERT等用于檢索或者修改數(shù)據(jù)SQL指令數(shù)據(jù)控制語言（DCL）操作GRANT，REVOKE等定義數(shù)據(jù)庫顧客權(quán)限SQL指令其他操作涉及EXECUTE、COMMIT、ROLLBACK等事務(wù)操作指令數(shù)據(jù)庫審計內(nèi)容可以細(xì)化到庫、表、記錄、顧客、存儲過程、函數(shù)。顧客可以在業(yè)務(wù)綜合審計中單獨查看數(shù)據(jù)庫審計實時記錄信息和趨勢分析；可以定義專門數(shù)據(jù)庫審計方略；可以在報表管理中單獨查看與數(shù)據(jù)庫審計有關(guān)報表報告。FTP審計FTP審計功能可審計FTP合同登錄、注銷和普通操作等行為，可以審計FTP操作文獻/目錄名稱。顧客可以在業(yè)務(wù)綜合審計中單獨查看FTP審計實時記錄信息和趨勢分析；可以定義專門FTP審計方略；可以在報表管理中單獨查看與FTP審計有關(guān)報表報告。流量審計系統(tǒng)實時監(jiān)測顧客網(wǎng)絡(luò)七層構(gòu)造中各層流量分布，進行合同、流量綜合分析，從而可以依照業(yè)務(wù)網(wǎng)需要變化網(wǎng)絡(luò)狀況。在流量分析中，重要以報表形式形象地展示網(wǎng)絡(luò)中狀況。流量審計功能可以審計從三層到七層合同流量，可以審計20種以上應(yīng)用層合同，涉及IM、P2P、HTTP、POP3、SMTP等。流量審計內(nèi)容涉及數(shù)據(jù)包分布審計、流量分布審計、應(yīng)用合同流量審計、端口流量審計，顧客可以進行基本流量信息查看、合同分析、會話分析、節(jié)點分析。基本信息重要分析了數(shù)據(jù)包在網(wǎng)絡(luò)中分布狀況，例如多播、廣播、點播包分布，不同大小包分布，等等。還涉及了數(shù)據(jù)流量在不同步段分布狀況。合同分析重要體現(xiàn)了網(wǎng)絡(luò)中IP層和應(yīng)用層流量分布，還涉及不同端口流量分布，等等。會話分析描述了活動會話（Session）狀況。節(jié)點分析中重要是網(wǎng)絡(luò)中各個節(jié)點（涉及主機、無IP設(shè)備）在網(wǎng)絡(luò)中應(yīng)用層和IP層中