某银行安全审计管理现状6497.docx
《某银行安全审计管理现状6497.docx》由会员分享,可在线阅读,更多相关《某银行安全审计管理现状6497.docx(46页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、 某银行安全审计综合管管理平台建设设方案V1.2二九年三月目 录1背景42安全审计管理理现状62.1安全审计计基本概念62.2 总行金金融信息管理理中心安全审审计管理现状状92.2.1日志志审计92.2.2数据据库和网络审审计112.3 我行安安全审计管理理办法制定现现状112.4 安全审审计产品及应应用现状133安全审计必要要性134安全审计综合合管理平台建建设目标145安全审计综合合管理平台需需求165.1日志审计计系统需求165.1.1系统统功能需求165.1.2 系系统性能需求求195.1.3 系系统安全需求求205.1.44 系统接口口需求215.2数据库和和网络审计系系统需求225
2、.2.1审计计功能需求225.2.2报表表功能需求235.2.3审计计对象及兼容容性支持245.2.4系统统性能245.2.5审计计完整性256安全审计综合合管理平台建建设方案256.1日志审计计系统建设方方案256.1.1 日日志管理建议议256.1.2 日日志审计系统统整体架构266.1.3 日日志采集实现现方式286.1.4 日日志标准化实实现方式306.1.5 日日志存储实现现方式316.1.6 日日志关联分析析326.1.7 安安全事件报警警336.1.8 日日志报表346.1.9系统统管理356.1.10 系统接口规规范366.2数数据库和网络络审计系统建建设方案376.2.1数据
3、据库和网络行行为综合审计计376.2.2审计计策略386.2.3审计计内容396.2.4告警警与响应管理理426.2.5报表表管理427系统部署方案案437.1 安全审审计综合管理理平台系统部部署方案437.2系统部署署环境要求447.2.1日志志审计系统447.2.2数据据库和网络审审计系统457.3 系统实实施建议457.4 二次开开发461背景近年来,XX银银行信息化建建设得到快速速发展,央行行履行金融调调控、金融稳稳定、金融市市场和金融服服务职能高度度依赖于信息息技术应用,信信息安全问题题的全局性影影响作用日益益增强。目前,XX银行行信息安全保保障体系中安安全系统建设设已经达到了了一定
4、的水平平。建设了非非法外联监控控管理系统、入入侵检测系统统、漏洞扫描描系统、防病病毒系统及补补丁分发系统统,为客户端端安全管理、网网络安全管理理和系统安全全管理提供了了技术支撑手手段,有效提提高了安全管管理水平;完完成制定金金融业星型网网间互联安全全规范金融融业行业标准准,完善内联联网外联防火火墙系统,确确保XX银行行网络边界安安全;制定并并下发银行行计算机机房房规范化工作作指引,规规范和加强机机房环境安全全管理。信息安全审计技技术是实现信信息安全整个个过程中关键键记录信息的的监控统计,是是信息安全保保障体系中不不可缺少的一一部分。随着着电子政务、电电子商务以及及各类网上应应用的开展得得到了普
5、遍关关注,并且在在越来越多的的大型网络系系统中已经成成功应用并发发挥着重要作作用,特别针针对安全事故故分析、追踪踪起到了关键键性作用。传统的安全审计计系统局限于于对主机的操操作系统日志志的收集和简简单分析,缺缺乏对于多种种平台下(WWindowws系列、UUnix系列列、Solaaris等)、多多种网络设备备、重要服务务器系统、应应用系统以及及数据库系统统综合的安全全审计功能。随着网络规模的的迅速扩大,单单一式的安全全审计技术逐逐步被分布式式安全审计技技术所代替,加加上各类应用用系统逐步增增多,网络管管理人员/运运维人员工作作量往往会成成倍增加,使使得关键信息息得不到重点点关注。大量量事实表明
6、,对对于安全事件件发生或关键键数据遭到严严重破坏之前前完全可以预预先通过日志志异常行为告告警方式通知知管理人员,及及时进行分析析并采取相应应措施进行有有效阻止,从从而大大降低低安全事件的的发生率。目前我行信息安安全保障工作作尚未有效开开展安全审计计工作,缺少少事后审计的的技术支撑手手段。当前,信信息安全审计计作为保障信信息系统安全全的制度逐渐渐发展起来;并已在对信信息系统依赖赖性最高的金金融业开始普普及。信息安安全审计的相相关标准包括括ISO/IIEC177799、COOSO、COOBIT、IITIL、NNISTSPP800等。这这些标准从不不同角度提出出信息安全控控制体系,可可以有效地控控制
7、信息安全全风险。同时时,公安部发发布的信息息系统安全等等级保护技术术要求中对对安全审计提提出明确的技技术要求:审审计范围覆盖盖网络设备、操操作系统、数数据库、应用用系统,审计计内容包括各各网络设备运运行状况、系系统资源的异异常使用、重重要用户行为为和重要系统统命令的使用用等系统内重重要的安全相相关事件。为进一步完善信信息安全保障障体系,20009年立项项建设安全审计系统统,不断提高高安全管理水水平。2安全审计管理理现状2.1安全审计计基本概念信息安全审计是是企业内控、信信息系统治理理、安全风险险控制等的不不可或缺的关关键手段。信信息安全审计计能够为安全全管理员提供供一组可进行行分析的管理理数据
8、,以发发现在何处发发生了违反安安全方案的事事件。利用安安全审计结果果,可调整安安全策略,堵堵住出现的漏漏洞。美国信息系统审审计的权威专专家Ron Weberr又将它定义义为收集并评评估证据以决决定一个计算算机系统是否否有效做到保保护资产、维维护数据完整整、完成目标标,同时最经经济的使用资资源。根据在在信息系统中中需要进行安安全审计的对对象与内容,主主要分为日志志审计、网络络审计、主机机审计。下面面分别说明如如下:日志审计:日志志可以作为责责任认定的依依据,也可作作为系统运行行记录集,对对分析系统运运行情况、排排除故障、提提高效率都发发挥重要作用用。日志审计计是安全审计计针对信息系系统整体安全全
9、状态监测的的基础技术,主主要通过对网网络设备、安安全设备、应应用系统、操操作系统、数数据库的集中中日志采集、集集中存储和关关联分析,帮帮助管理员及及时发现信息息系统的安全全事件,同时时当遇到特殊殊安全事件和和系统故障时时,确保日志志存在和不被被篡改,帮助助用户快速定定位追查取证证。大量事实实表明,对于于安全事件发发生或关键数数据遭到严重重破坏之前完完全可以预先先通过日志审审计进行分析析、告警并及及时采取相应应措施进行有有效阻止,从从而大大降低低安全事件的的发生率。数据库审计:主主要负责对数数据库的各种种访问操作进进行监控;是是安全审计对对数据库进行行审计技术。它它采用专门的的硬件审计引引擎,通
10、过旁旁路部署采用用镜像等方式式获取数据库库访问的网络络报文流量,实实时监控网络络中数据库的的所有访问操操作(如:插插入、删除、更更新、用户自自定义操作等等),还原SSQL操作命命令包括源IIP地址、目目的IP地址址、访问时间间、用户名、数数据库操作类类型、数据库库表名、字段段名等,发现现各种违规数数据库操作行行为,及时报报警响应、全全过程操作还还原,从而实实现安全事件件的准确全程程跟踪定位,全全面保障数据据库系统安全全。该采集方方式不会对数数据库的运行行、访问产生生任何影响,而且具具有更强的实实时性,是比比较理想的数数据库日志审审计的实现方方式。网络审计:主要要负责网络内内容与行为的的审计;是
11、安安全审计对网网络通信的基基础审计技术术。它采用专专门的网络审审计硬件引擎擎,安装在网网络通信系统统的数据汇聚聚点,通过旁旁路抓取网络络数据包进行行典型协议分分析、识别、判判断和记录,Telnet、HTTP、Email、FTP、网上聊天、文件共享、流量等的检测分析等。主机审计:主要负责对网络重要区域的客户机上的各种上网行为、文件拷贝/打印操作、通过Modem擅自连接外网等进行审计。目前我行信息安安全系统尚未未有效开展安安全审计工作,由由于缺少对各各网络设备、安安全设备、应应用系统、操操作系统、数数据库的集中中日志采集、集集中存储和关关联分析等事事后审计、追追查取证的技技术支撑手段段,以至无法法
12、在遇到特殊殊安全事件和和系统故障时时确保日志存存在和不被篡篡改,同时对对主机和数据据库的操作行行为也没有审审计和管理的的手段,不同同有效对操作作行为进行审审计,防止误误操作和恶意意行为的发生生,因此我行行迫切需要尽快快建设安全审计系统统(包括日志志审计、数据据库审计、网网络审计),确确保我行信息息系统安全。2.2 我行金金融信息管理理中心安全审计管理理现状2.2.1日志志审计作为数据中心的的运维部门,负负责运维内联联网总行局域域网、总行机机关办公自动动化系统及货货币发行信息息管理系统、国国库信息处理理系统等重要要业务系统,保保障信息系统统IT基础设设施的安全运运行。为更好好地制定日志志审计系统
13、建建设方案,开开展了金融信信息管理中心心日志管理现现状调研工作作,调研内容容包括设备/系统配置哪哪些日志信息息、日志信息息包括哪些属属性、日志采采集所支持的的协议/接口口、日志存储储方式及日志志管理现状,金金融信息管理理中心日志管管理现状调查查表详见附件件。通过分析析日志管理现现状调查表,将将有关情况说说明如下:一、日志内容。网网络设备(包包括交换机和和路由器)、安安全设备(包包括防火墙、入入侵检测设备备、防病毒管管理系统和补补丁分发系统统)、办公自自动化系统和和重要业务系系统均配置一一定的日志信信息,其中每每类设备具有有一定的日志志配置规范,应应用系统(办办公自动化系系统和重要业业务系统)的
14、的日志内容差差异较大,数数据库和中间间件仅配置“进程是否正正常”的日志信息息。二、日志格式。网网络设备和部部分安全设备备根据厂商的的不同,其日日志格式也不不同,无统一一的日志格式式;应用系统统根据系统平平台的不同,其其日志格式也也不同,无统统一的日志格格式。三、日志采集协协议/接口。网网络设备和部部分安全设备备支持SNMMP Traap和Sysslog协议议,应用系统统主要支持TTCP/IPP协议,个别别应用系统自自定义了日志志采集方式。四、日志存储方方式。网络设设备和部分安安全设备日志志信息集中存存储在日志服服务器中,其其他设备/系系统日志均存存储在本地主主机上。日志志信息以文本本文件、关系
15、系型数据库文文件、Dommino数据据库文件和XXML文件等等方式进行存存储。五、日志管理方方式。主要为为分散管理,且无日志管管理规范。在在系统/设备备出现故障时时,日志信息息是定位故障障,解决故障障的主要依据据。据了解,为加强强网络基础设设施运行情况况的监控,金金融信息管理理中心通过采采集交换机和和路由器等网网络设备的日日志信息,实实现网络设备备日志信息的的集中管理,及及时发现网络络设备运行中中出现的问题题。通过上述现状的的分析,目前前日志管理存存在如下问题题:1、不同系统/设备的日志志信息分散存存储,日志信信息被非法删删除,导致安安全事故处置置工作无法追追查取证。2、在系统发生生故障后,才
16、才去通过日志志信息定位故故障,导致系系统安全运行行工作存在一一定的被动性性,应主动地地在日志信息息中及时发现现系统运行存存在的隐患,提提高系统运行行安全管理水水平。3、随着我行信信息化工作的的不断深入,系系统运维工作作压力的不断断加大,如不不及时规范日日志信息管理理,信管中心心将逐步面临临运维的设备备多、人员少少的问题,不不能及时准确确把握运维工工作的重点。在目前日志信息息管理基础上上,若简单加加强日志信息息管理,仍存存在如下问题题:1、通过系统/设备各自的的控制台去查查看事件,窗窗口繁多,而而且所有的事事件都是孤立立的,不同系系统/设备之之间的事件缺缺乏关联,分分析起来极为为麻烦,无法法弄清
17、楚真实实的状况。2、不同系统/设备对同一一个事件的描描述可能是不不同的,管理理人员需了解解各系统/设设备,分析各各种不同格式式的信息,导导致管理人员员的工作非常常繁重,效率率低。3、海量日志信信息不但无法法帮助找出真真正的问题,反反而因为太多多而造成无法法管理,并且且不同系统/设备可能产产生不同的日日志信息格式式,无法做到到快速识别和和响应。2.2.2数据据库和网络审计目前我行没有实实现对数据库库操作和网络络操作行为的的审计。对系统的后台台操作人员的的远程登录主主机、数据库库的操作行为为无法进行记记录、审计,难难以防止系统统滥用、泄密密等问题的发发生。2.3 我行安安全审计管理理办法制定现现状
18、在银行信息安安全管理规定定提出如下下安全审计要要求: 第一百三十九条条各单位科技技部门在支持持与配合内审审部门开展审审计信息安全全工作的同时时,应适时开开展本单位和和辖内的信息息系统日常运运行管理和信信息安全事件件全过程的技技术审计,发发现问题及时时报本单位或或上一级单位位主管领导。 第一百四十条各单位应做做好操作系统统、数据库管管理系统等审审计功能配置置管理,应完完整保留相关关日志记录,一一般保留至少少一个月,涉涉及资金交易易的业务系统统日志应根据据需要确定保保留时间。在银行信息系系统安全配置置指引-数据据库分册提提出如下安全全审计要求: 应配置审计日志志,并定期查查看、清理日日志。 审计内
19、容包括创创建、修改或或删除数据库库帐户、数据据库对象、数数据库表、数数据库索引的的行为;允许许或者撤销审审计功能的行行为;授予或或者取消数据据库系统级别别权限的行为为;任何因为为参考对象不不存在而引的的错误信息;任何改变数数据库对象名名称的动作;任何对数据据库Dicttionarry或者数据据库系统配置置的改变;所所有数据库连连接失败的记记录;所有DDBA的数据据库连接记录录;所有数据据库用户帐户户升级和删除除操作的审计计跟踪信息。 审计数据应被保保存为分析程程序或者脚下下本可读的格格式,时间期期限是一年。所所有删除审计计数据的操作作,都应在动动态查帐索引引中保留记录录。 只有DBA或者者安全
20、审核员员有权限选择择、添加、删删除或者修改改、停用审计计信息。上述安全审计管管理要求为开开展日志审计计系统建设提提供了制度保保障。2.4 安全审审计产品及应应用现状目前市场上安全全审计产品按按审计类型也也有很多产品品,日志审计计以SIM类类产品为主,也也叫安全信息息和事件管理理(SIEMM),是安全全管理领域发发展的方向。SSIM是一个个全面的、面面向IT计算算环境的安全全集中管理平平台,这个平平台能够收集集来自计算环环境中各种设设备和应用的的安全日志和和事件,并进进行存储、监监控、分析、报报警、响应和和报告,变过过去被动的单单点防御为全全网的综合防防御。由于日志审计对对安全厂商的的技术开发能
21、能力有较高要要求,国内一一些较有实力力的安全厂商商能够提供较较为成熟的日日志审计产品品。目前,日志审计产产品已在政府府、运营商、金金融、民航等行业业广泛成功应应用。针对数据库和网网络行为审计产品品,国内也有有多个厂家有有比较成熟的的产品,在很很多行业都有有应用。3安全审计必要要性通过安全审计系系统建设,落落实信息系统统安全等级保保护基本技术术和管理要求求中有关安全全审计控制点点及日志和事事件存储的要要求,积累信信息系统安全全等级保护工工作经验。通过综合安全审审计平台的建建设,进一步步完善我行信信息安全保障障体系,改变变事中及事后后安全基础设设施建设较弱弱的现状;为为信息安全管管理规定落实实情况
22、检查提提供技术支撑撑手段,不断断完善信息安安全管理办法法,提高信息息安全管理水水平;通过综合安全审审计平台,实实现信息系统统IT基础设设施日志信息息的集中管理理,全面掌握握IT基础设设施运行过程程中出现的隐隐患,通过安安全事件报警警和日志报表表的方式,在在运维人员有有限的条件下下,有效地把把握运维工作作的重点,进进一步增强系系统安全运维维工作的主动动性,更好地地保障系统的的正常运行。同同时,有效规规避日志信息息分散存储存存在的非法删删除风险,确确保安全事故故处置的取证证工作。通过综合安全审审计平台的建建设,规范我我行安全审计计管理工作,指指导今后信息息化项目建设设,系统也为为安全审计管理理规范
23、的实现现提供了有效效的技术支撑撑平台。4安全审计综合合管理平台建建设目标根据总行金融信信息管理中心心日志管理工工作现状及存存在的问题,结结合日志审计计系统建成后后的预期收益益,现将系统统建设目标说说明如下: 海量日志数据的的标准化集中中管理。根据即定采集策策略,采集信信息系统ITT基础设施日日志信息,规规范日志信息息格式,实现现海量日志数数据的标准化化集中存储,同同时保存日志志信息的原始始数据,规避避日志信息被被非法删除而而带来的安全全事故处置工工作无法追查查取证的风险险;加强海量量日志数据集集中管理,特特别历史日志志数据的管理理。 系统运行风险及及时报警与报报表管理基于标准化的日日志数据进行
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 银行 安全 审计 管理 现状 6497
限制150内