XXXX银行安全审计综合管理平台建设方案.pdf

《XXXX银行安全审计综合管理平台建设方案.pdf》由会员分享，可在线阅读，更多相关《XXXX银行安全审计综合管理平台建设方案.pdf（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、某银行安全审计综合管理平台建设方案安全审计综合管理平台建设方案安全审计综合管理平台建设方案安全审计综合管理平台建设方案V1.2二二二二九年三月九年三月九年三月九年三月目目 录录日志审计系统建设方案第 2 页 共 34 页1 1 1 1 背景背景背景背景.4 4 4 42 2 2 2 安全审计管理现状安全审计管理现状安全审计管理现状安全审计管理现状.6 6 6 62.1 安全审计基本概念.62.2 总行金融信息管理中心安全审计管理现状.92.2.1 日志审计.92.2.2 数据库和网络审计.112.3 我行安全审计管理办法制定现状.112.4 安全审计产品及应用现状.133 3 3 3 安全审计

2、必要性安全审计必要性安全审计必要性安全审计必要性.131313134 4 4 4 安全审计综合管理平台建设目标安全审计综合管理平台建设目标安全审计综合管理平台建设目标安全审计综合管理平台建设目标.141414145 5 5 5 安全审计综合管理平台需求安全审计综合管理平台需求安全审计综合管理平台需求安全审计综合管理平台需求.161616165.1 日志审计系统需求.165.1.1 系统功能需求.165.1.2 系统性能需求.195.1.3 系统安全需求.205.1.4 系统接口需求.215.2 数据库和网络审计系统需求.225.2.1 审计功能需求.225.2.2 报表功能需求.235.2.3

3、 审计对象及兼容性支持.245.2.4 系统性能.245.2.5 审计完整性.256 6 6 6 安全审计综合管理平台建设方案安全审计综合管理平台建设方案安全审计综合管理平台建设方案安全审计综合管理平台建设方案.252525256.1 日志审计系统建设方案.25日志审计系统建设方案第 3 页 共 34 页6.1.1 日志管理建议.256.1.2 日志审计系统整体架构.266.1.3 日志采集实现方式.286.1.4 日志标准化实现方式.306.1.5 日志存储实现方式.316.1.6 日志关联分析.326.1.7 安全事件报警.336.1.8 日志报表.346.1.9 系统管理.356.1.1

4、0 系统接口规范.366.2 数据库和网络审计系统建设方案.376.2.1 数据库和网络行为综合审计.376.2.2 审计策略.386.2.3 审计内容.396.2.4 告警与响应管理.426.2.5 报表管理.427 7 7 7 系统部署方案系统部署方案系统部署方案系统部署方案.434343437.1 安全审计综合管理平台系统部署方案.437.2 系统部署环境要求.447.2.1 日志审计系统.447.2.2 数据库和网络审计系统.457.3 系统实施建议.457.4 二次开发.46日志审计系统建设方案第 4 页 共 34 页1 1 1 1 背景背景背景背景近年来，XX 银行信息化建设得到快

5、速发展，央行履行金融调控、金融稳定、金融市场和金融服务职能高度依赖于信息技术应用，信息安全问题的全局性影响作用日益增强。目前，XX 银行信息安全保障体系中安全系统建设已经达到了一定的水平。建设了非法外联监控管理系统、入侵检测系统、漏洞扫描系统、防病毒系统及补丁分发系统，为客户端安全管理、网络安全管理和系统安全管理提供了技术支撑手段，有效提高了安全管理水平；完成制定金融业星型网间互联安全规范金融业行业标准，完善内联网外联防火墙系统，确保 XX 银行网络边界安全；制定并下发银行计算机机房规范化工作指引，规范和加强机房环境安全管理。信息安全审计技术是实现信息安全整个过程中关键记录信息的监控统计，是信

6、息安全保障体系中不可缺少的一部分。随着电子政务、电子商务以及各类网上应用的开展得到了普遍关注，并且在越来越多的大型网络系统中已经成功应用并发挥着重要作用，特别针对安全事故分析、追踪起到了关键性作用。传统的安全审计系统局限于对主机的操作系统日志的收集和简单分析，缺乏对于多种平台下（Windows 系列、Unix 系列、Solaris 等）、多种网络设备、重要服务器系统、应用系统以及数据库系统综合的安全审计功能。随着网络规模的迅速扩大，单一式的安全审计技术逐步被分布式安全审计技术所代替，加上各类应用系统逐步增多，网络管理人员/运维人员工作量往往会成倍增加，使得关键信息得不到重点关注。大量事实表明，

7、对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志异常行为告警方式通知管理人员，及时进行分析并采取相应措施进行有效阻止，从而大大降低安全事件的发生率。目前我行信息安全保障工作尚未有效开展安全审计工作，缺少事后审计的技术支撑手段。当前，信息安全审计作为保障信息系统安全的制度逐渐发展起来；并已在对信息系统依赖性最高的金融业开始普及。信息安全审计的相关标准包括ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800 等。这些标准从不同角度提出信息安全控制体系，可以有效地控制信息安全风险。同时，公安部发布的信息系统安全等级保护技术要求中对安全审计提出明确的技术要求：审计

8、范围覆日志审计系统建设方案第 5 页 共 34 页盖网络设备、操作系统、数据库、应用系统，审计内容包括各网络设备运行状况、系统资源的异常使用、重要用户行为和重要系统命令的使用等系统内重要的安全相关事件。为进一步完善信息安全保障体系，2009 年立项建设安全审计系统，不断提高安全管理水平。2 2 2 2 安全审计管理现状安全审计管理现状安全审计管理现状安全审计管理现状2.12.12.12.1 安全审计基本概念安全审计基本概念安全审计基本概念安全审计基本概念信息安全审计是企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。信息安全审计能够为安全管理员提供一组可进行分析的管理数据，以发现在何

9、处发生了违反安全方案的事件。利用安全审计结果，可调整安全策略，堵住出现的漏洞。美国信息系统审计的权威专家 Ron Weber 又将它定义为收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源。根据在信息系统中需要进行安全审计的对象与内容，主要分为日志审计、网络审计、主机审计。下面分别说明如下：日志审计：日志审计：日志审计：日志审计：日志可以作为责任认定的依据，也可作为系统运行记录集，对分析系统运行情况、排除故障、提高效率都发挥重要作用。日志审计是安全审计针对信息系统整体安全状态监测的基础技术，主要通过对网络设备、安全设备、应用系统、操作系统、数据

10、库的集中日志采集、集中存储和关联分析，帮助管理员及时发现信息系统的安全事件，同时当遇到特殊安全事件和系统故障时，确保日志存在和不被篡改，帮助用户快速定位追查取证。大量事实表明，对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志审计进行分析、告警并及时采取相应措施进行有效阻止，从而大大降低安全事件的发生率。数据库审计：数据库审计：数据库审计：数据库审计：主要负责对数据库的各种访问操作进行监控；是安全审计对数据库进行审计技术。它采用专门的硬件审计引擎，通过旁路部署采用镜像等方式获取数据库访问的网络报文流量，实时监控网络中数据库的所有访问操作（如：插入、删除、更新、用户自定义操作等），还

11、原 SQL 操作命令包括源 IP地址、目的 IP 地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等，发现各种违规数据库操作行为，及时报警响应、全过程操作还原，从而实现安全日志审计系统建设方案第 6 页 共 34 页事件的准确全程跟踪定位，全面保障数据库系统安全。该采集方式不会对数据库的运行、访问产生任何影响，而且具有更强的实时性，是比较理想的数据库日志审计的实现方式。网络审计：网络审计：网络审计：网络审计：主要负责网络内容与行为的审计；是安全审计对网络通信的基础审计技术。它采用专门的网络审计硬件引擎，安装在网络通信系统的数据汇聚点，通过旁路抓取网络数据包进行典型协议分析、识别、判断

12、和记录，Telnet、HTTP、Email、FTP、网上聊天、文件共享、流量等的检测分析等。主机审计：主机审计：主机审计：主机审计：主要负责对网络重要区域的客户机上的各种上网行为、文件拷贝/打印操作、通过 Modem 擅自连接外网等进行审计。目前我行信息安全系统尚未有效开展安全审计工作，由于缺少对各网络设备、安全设备、应用系统、操作系统、数据库的集中日志采集、集中存储和关联分析等事后审计、追查取证的技术支撑手段,以至无法在遇到特殊安全事件和系统故障时确保日志存在和不被篡改，同时对主机和数据库的操作行为也没有审计和管理的手段，不同有效对操作行为进行审计，防止误操作和恶意行为的发生，因此我行迫切需

13、要尽快建设安全审计系统（包括日志审计、数据库审计、网络审计），确保我行信息系统安全。2.22.22.22.2 我行金融信息管理中心安全审计管理现状我行金融信息管理中心安全审计管理现状我行金融信息管理中心安全审计管理现状我行金融信息管理中心安全审计管理现状2.2.12.2.12.2.12.2.1 日志审计日志审计日志审计日志审计作为数据中心的运维部门，负责运维内联网总行局域网、总行机关办公自动化系统及货币发行信息管理系统、国库信息处理系统等重要业务系统，保障信息系统 IT 基础设施的安全运行。为更好地制定日志审计系统建设方案，开展了金融信息管理中心日志管理现状调研工作，调研内容包括设备/系统配置

14、哪些日志信息、日志信息包括哪些属性、日志采集所支持的协议/接口、日志存储方式及日志管理现状，金融信息管理中心日志管理现状调查表详见附件。通过分析日志管理现状调查表，将有关情况说明如下：一、日志内容。网络设备（包括交换机和路由器）、安全设备（包括防火墙、入侵检测设备、防病毒管理系统和补丁分发系统）、办公自动化系统和重要业务系统均配置一定的日志信息，其中每类设备具有一定的日志配置规范，应用系统日志审计系统建设方案第 7 页 共 34 页（办公自动化系统和重要业务系统）的日志内容差异较大，数据库和中间件仅配置“进程是否正常”的日志信息。二、日志格式。网络设备和部分安全设备根据厂商的不同，其日志格式也

15、不同，无统一的日志格式；应用系统根据系统平台的不同，其日志格式也不同，无统一的日志格式。三、日志采集协议/接口。网络设备和部分安全设备支持 SNMP Trap 和 Syslog协议，应用系统主要支持 TCP/IP 协议，个别应用系统自定义了日志采集方式。四、日志存储方式。网络设备和部分安全设备日志信息集中存储在日志服务器中，其他设备/系统日志均存储在本地主机上。日志信息以文本文件、关系型数据库文件、Domino 数据库文件和 XML 文件等方式进行存储。五、日志管理方式。主要为分散管理,且无日志管理规范。在系统/设备出现故障时，日志信息是定位故障，解决故障的主要依据。据了解，为加强网络基础设施

16、运行情况的监控，金融信息管理中心通过采集交换机和路由器等网络设备的日志信息，实现网络设备日志信息的集中管理，及时发现网络设备运行中出现的问题。通过上述现状的分析，目前日志管理存在如下问题：1、不同系统/设备的日志信息分散存储，日志信息被非法删除，导致安全事故处置工作无法追查取证。2、在系统发生故障后，才去通过日志信息定位故障，导致系统安全运行工作存在一定的被动性，应主动地在日志信息中及时发现系统运行存在的隐患，提高系统运行安全管理水平。3、随着我行信息化工作的不断深入，系统运维工作压力的不断加大，如不及时规范日志信息管理，信管中心将逐步面临运维的设备多、人员少的问题，不能及时准确把握运维工作的

17、重点。在目前日志信息管理基础上，若简单加强日志信息管理，仍存在如下问题：1、通过系统/设备各自的控制台去查看事件，窗口繁多，而且所有的事件都是孤立的，不同系统/设备之间的事件缺乏关联，分析起来极为麻烦，无法弄清楚真实的状况。2、不同系统/设备对同一个事件的描述可能是不同的，管理人员需了解各系日志审计系统建设方案第 8 页 共 34 页统/设备，分析各种不同格式的信息，导致管理人员的工作非常繁重，效率低。3、海量日志信息不但无法帮助找出真正的问题，反而因为太多而造成无法管理，并且不同系统/设备可能产生不同的日志信息格式，无法做到快速识别和响应。2.2.22.2.22.2.22.2.2 数据库和网

18、络审计数据库和网络审计数据库和网络审计数据库和网络审计目前我行没有实现对数据库操作和网络操作行为的审计。对系统的后台操作人员的远程登录主机、数据库的操作行为无法进行记录、审计，难以防止系统滥用、泄密等问题的发生。2.32.32.32.3 我行安全审计管理办法制定现状我行安全审计管理办法制定现状我行安全审计管理办法制定现状我行安全审计管理办法制定现状在银行信息安全管理规定提出如下安全审计要求：第一百三十九条各单位科技部门在支持与配合内审部门开展审计信息安全工作的同时，应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计，发现问题及时报本单位或上一级单位主管领导。第一百四十条

19、各单位应做好操作系统、数据库管理系统等审计功能配置管理，应完整保留相关日志记录，一般保留至少一个月，涉及资金交易的业务系统日志应根据需要确定保留时间。在银行信息系统安全配置指引-数据库分册提出如下安全审计要求：应配置审计日志，并定期查看、清理日志。审计内容包括创建、修改或删除数据库帐户、数据库对象、数据库表、数据库索引的行为；允许或者撤销审计功能的行为；授予或者取消数据库系统级别权限的行为；任何因为参考对象不存在而引的错误信息；任何改变数据库对象名称的动作；任何对数据库 Dictionary 或者数据库系统配置的改变；所有数据库连接失败的记录；所有 DBA 的数据库连接记录；所有数据库用户帐户

20、升级和删除操作的审计跟踪信息。审计数据应被保存为分析程序或者脚下本可读的格式，时间期限是一年。所有删除审计数据的操作，都应在动态查帐索引中保留记录。只有 DBA 或者安全审核员有权限选择、添加、删除或者修改、日志审计系统建设方案第 9 页 共 34 页停用审计信息。上述安全审计管理要求为开展日志审计系统建设提供了制度保障。2.42.42.42.4 安全审计产品及应用现状安全审计产品及应用现状安全审计产品及应用现状安全审计产品及应用现状目前市场上安全审计产品按审计类型也有很多产品，日志审计以 SIM 类产品为主，也叫安全信息和事件管理（SIEM），是安全管理领域发展的方向。SIM是一个全面的、面

21、向 IT 计算环境的安全集中管理平台，这个平台能够收集来自计算环境中各种设备和应用的安全日志和事件，并进行存储、监控、分析、报警、响应和报告，变过去被动的单点防御为全网的综合防御。由于日志审计对安全厂商的技术开发能力有较高要求,国内一些较有实力的安全厂商能够提供较为成熟的日志审计产品。目前，日志审计产品已在政府、运营商、金融、民航等行业广泛成功应用。针对数据库和网络行为审计产品，国内也有多个厂家有比较成熟的产品，在很多行业都有应用。3 3 3 3 安全审计必要性安全审计必要性安全审计必要性安全审计必要性通过安全审计系统建设，落实信息系统安全等级保护基本技术和管理要求中有关安全审计控制点及日志和

22、事件存储的要求，积累信息系统安全等级保护工作经验。通过综合安全审计平台的建设，进一步完善我行信息安全保障体系，改变事中及事后安全基础设施建设较弱的现状；为信息安全管理规定落实情况检查提供技术支撑手段，不断完善信息安全管理办法，提高信息安全管理水平；通过综合安全审计平台，实现信息系统 IT 基础设施日志信息的集中管理，全面掌握 IT 基础设施运行过程中出现的隐患，通过安全事件报警和日志报表的方式，在运维人员有限的条件下，有效地把握运维工作的重点，进一步增强系统安全运维工作的主动性，更好地保障系统的正常运行。同时，有效规避日志信息分散存储存在的非法删除风险，确保安全事故处置的取证工作。通过综合安全

23、审计平台的建设，规范我行安全审计管理工作，指导今后信息化项目建设，系统也为安全审计管理规范的实现提供了有效的技术支撑平台。日志审计系统建设方案第 10 页 共 34 页4 4 4 4 安全审计综合管理平台建设目标安全审计综合管理平台建设目标安全审计综合管理平台建设目标安全审计综合管理平台建设目标根据总行金融信息管理中心日志管理工作现状及存在的问题，结合日志审计系统建成后的预期收益，现将系统建设目标说明如下：海量日志数据的标准化集中管理。根据即定采集策略，采集信息系统 IT 基础设施日志信息，规范日志信息格式，实现海量日志数据的标准化集中存储，同时保存日志信息的原始数据，规避日志信息被非法删除而

24、带来的安全事故处置工作无法追查取证的风险；加强海量日志数据集中管理，特别历史日志数据的管理。系统运行风险及时报警与报表管理基于标准化的日志数据进行关联分析，及时发现信息系统 IT 基础设施运行过程中存在的安全隐患，并根据策略进行及时报警，为运维人员主动保障系统安全运行工作提供有效的技术支撑；实现安全隐患的报表管理，更好地支持系统运行安全管理工作。为落实有关信息安全管理规定提供技术支撑利用安全审计结果可以评估信息安全管理规定的落实情况，发现信息安全管理办法存在的问题，为完善信息安全管理办法提供依据，持续改进，进一步提高安全管理水平。规范信息系统日志信息管理。根据日志管理工作现状，提出信息系统日志

25、信息管理规范，明确信息系统 IT基础设施日志配置基本要求、日志内容基本要求等，一方面确保日志审计系统建设实现即定目标；另一方面指导今后信息化项目建设，完善信息安全管理制度体系，进一步提高安全管理水平。实现对我行各业务系统主机、数据库行为审计。对各业务系统的主机、数据库行为的审计，主要是在不影响业务系统正常运行的前提下，通过网络镜像流量的方式辅以独立日志分析等其它方式对用户行为进行隐蔽监视，对用户访问业务系统的行为进行审计，对用户危险行为进行告警并在必要时进行阻断，对事后发现的安全事件进行会话回放，进行网络通讯取证。日志审计系统建设方案第 11 页 共 34 页5 5 5 5 安全审计综合管理平

26、台需求安全审计综合管理平台需求安全审计综合管理平台需求安全审计综合管理平台需求5.15.15.15.1 日志审计系统需求日志审计系统需求日志审计系统需求日志审计系统需求5.1.15.1.15.1.15.1.1 系统功能需求系统功能需求系统功能需求系统功能需求5.1.1.1 日志采集功能需求采集范围日志审计系统需要对我行信息系统中的网络设备、主机系统、应用系统、安全系统及其他系统（如网络管理系统、存储设备等）进行日志采集。数据库是我行数据管理的基础，任何数据泄漏、篡改、删除都会对税务的整体数据造成严重损失。数据库审计是安全管理工作中的一个重要组成部分，通过对数据库的“信息活动”实时地进行监测审计

27、，使管理者对数据库的“信息活动”一目了然，能够及时掌握数据库服务器的应用情况，及时发现客户端的使用问题，存在着哪些安全威胁或隐患并予以纠正，预防应用安全事件的发生，即便发生了也能够可以快速查证并追根寻源。虽然数据库系统本身能够提供日志审计功能，但是数据库系统自身开启日志审计功能会带给系统较大的负担。为了保证数据库的性能、稳定性，建议采用国内已较为成熟的数据库审计技术，通过在网络部署专门的旁路数据库审计硬件设备,采用镜像等方式获取数据库访问的网络报文流量，实现针对各种数据库用户的操作命令级审计，从而随时掌握数据库的安全状况，及时发现和阻止各类数据操作违规事件或攻击事件，避免数据的各类安全损失，追

28、查或打击各类违规、违法行为，提高数据库数据安全管理的水平。该采集方式不会对数据库的运行、访问产生任何影响，而且具有更强的实时性，是比较理想的数据库日志审计的实现方式。数据来源与内容数据来源：审计数据源需要包括我行信息系统各组件的日志产生点，如主机操作日志、操作系统日志、数据库审计日志、FTP/WEB/NNTP/SMTP、安全设备日志等。数据内容：异常信息在采集后必须进行分类，例如可以将异常事件信息分成泄密事件和安全运行事件两大类，以便于我行日志审计系统管理人员能快速对事日志审计系统建设方案第 12 页 共 34 页件进行分析。采集策略采集策略需要包括采集频率、过滤、合并策略与信息传输策略。支持

29、根据采集对象的不同，可以设置实时采集、按秒、分钟、小时等采集频率。支持日志或事件进行必要的过滤和合并，从而只采集有用的、需要关注的日志和事件信息，屏蔽不需要关注的日志和事件信息。通过预先设定好的日志信息传输策略，使采集到的信息能够根据网络实际情况有序地传输到数据库服务器进行入库存储，避免因日志信息瞬间激增而对网络带宽资源的过度占用，同时保证信息传输的效率，避免断点重传。采集监控系统可以监控各采集点的日志传输状态，当有采集点无法正常发送日志信息时，系统可以自动进行告警通知管理员进行处理。5.1.1.2 日志格式标准化需求根据日志格式标准，对系统采集的信息系统 IT 基础设施日志信息进行标准化处理

30、。5.1.1.3 日志集中存储需求我行日志审计系统将对 300 余个审计对象进行日志审计，此系统需要具有海量的数据存储能力，其后台数据库需要采用稳定以及先进的企业级数据库（如DB2、MS SQL Server 数据库）；需要有合理的数据存储管理策略；需要支持磁盘阵列柜以及 SAN、NAS 等存储方式。5.1.1.4 日志关联分析需求为了解决目前日益严重的复合型风险威胁，我行日志审计系统需要具有关联分析功能：将不同安全设备的响应通过多种条件关联起来，以便于管理员的分析和处理。例如当一个严重的事件或用户行为发生后，从网络层面、主机/服务器层面、数据（库）、安全层面到应用层面可能都会有所反应（响应）

31、，这时候审日志审计系统建设方案第 13 页 共 34 页计系统将进行数据挖掘，将上述多个层面、多个维度的事件或行为数据挖掘和抽取、关联，将关联的结果呈现给使用者。5.1.1.5 安全事件报警需求为了快速、准确定位安全事件来源，及时处理安全事件，我行日志审计系统必须具备实时报警功能，报警方式应该多样化，如实时屏幕显示、电子邮件和短信等。5.1.1.6 日志报表需求我行日志审计系统的报表需要支持细粒度查询，使管理人员能够快速对安全事件进行正确的分析，其查询细粒度应该包括关键字、时间段、源地址、目的地址、源端口、目的端口、设备类型、事件类型、特定审计对象等多个条件的组合查询，并支持模糊查询。5.1.

32、25.1.25.1.25.1.2 系统性能需求系统性能需求系统性能需求系统性能需求目前我行日志审计系统需要审计 300 台以上的设备，以一台设备 3000 条/小时，每条日志 1KB 为标准计算，300 台设备每天的总日志条数为 2160万条，总日志量约为 21G。基于上述计算结果，结合同行业成功案例，建议系统性能如下：处理能力支持安全事件与日志每天 2 千万条以上；支持 120G 以上的数据库存储；支持的原始日志和事件的存储容量可达到 5 亿条；提供对原始日志及审计结果的压缩存储，文件存储压缩比一般不应小于 1：10；根据审计要求，原始信息及审计结果需保留 6 个月-1 年，因此，需支持磁盘

33、阵列、NAS 和 SAN 等多种存储方式，存储容量需达到 7TB 以上。5.1.35.1.35.1.35.1.3 系统安全需求系统安全需求系统安全需求系统安全需求权限划分需求：日志审计系统需要进行管理权限的划分，不同的管理员具有日志审计系统建设方案第 14 页 共 34 页不同的管理权限，例如管理配置权限与审计操作权限分离，系统中不允许出现超级用户权限。登录安全需求：日志审计系统在用户登录上需要强身份鉴别功能以及鉴别失效处理机制。传输安全需求：日志审计系统各个组件之间的通讯协议必须支持身份认证与传输加密，确保数据在传输过程中不被泄漏、篡改、删除。存储安全需求：日志审计系统的后端数据库必须采用安

34、全可靠的大型数据库，数据库的访问以及对日志审计系统的操作都要通过严格的身份鉴别，并对操作者的权限进行严格划分，保证数据存储安全。接口安全需求：日志审计系统各组件之间应该采用其厂商自身的，未公开并且成熟可靠的协议进行通信。日志审计平台与其他系统（网络设备、主机/服务器、应用系统、安全设备）的接口可采用标准的 SNMP、Syslog 等协议。5.1.45.1.45.1.45.1.4 系统接口需求系统接口需求系统接口需求系统接口需求我行日志审计系统主要提供如下接口进行日志采集：1、Syslog 方式，支持 SYSLOG 协议的设备，如：防火墙、UNIX 服务器等；2、ODBC/JDBC 方式，支持数

35、据库联接的设备；3、SNMP Trap 方式，支持 SNMP 协议的设备，如：交换机、路由器、网路安全设备等；4、XML 方式，支持 HTTP 协议的设备；5、EventLog 方式，支持 Windows 平台；6、特定接口方式，对于不支持通用协议的设备，需要定制开发，如：某网闸隔离系统；7、其他厂商内部专用协议。通过标准的接口，可以采集到网络设备、安全设备、主机系统、应用系统的各种类型日志：包含登陆信息、登陆认证失败信息、应用程序启动信息、进程改变信息、违反防火墙规则的网络行为、IDS 检测到的所有入侵事件和 IDS 自身生成的各种日志等。日志信息的采集可以根据我行信息系统的现实情况进行实时

36、传输或者定时日志审计系统建设方案第 15 页 共 34 页传输。5.25.25.25.2 数据库和网络审计系统需求数据库和网络审计系统需求数据库和网络审计系统需求数据库和网络审计系统需求5.2.15.2.15.2.15.2.1 审计功能需求审计功能需求审计功能需求审计功能需求 安全审计策略安全审计策略安全审计策略安全审计策略系统应允许使用者能够针对访问者、被保护对象、操作行为，访问源，事件类型等特征等制定具体的安全审计策略。策略制定方式应简单灵活，既可以制定适应于批量对象的公共策略，也可以制定适用于单个被保护对象的详细策略。系统应提供行为全部记录的默认审计策略。审计记录应该反应出用户的登录身份

37、，登录操作时使用的主机或数据库账号信息。在建设身份认证和访问控制功能后，可以禁止或允许用户使用某个主机或数据库账号进行登录和操作。审计记录应该反应出用户的登录身份，登录操作时使用的主机、网络设备或数据库账号信息。事件实时审计、告警、命令控制事件实时审计、告警、命令控制事件实时审计、告警、命令控制事件实时审计、告警、命令控制能灵活配置实时安全审计控制策略和预警参数，实时发现可疑操作（如操作系统 rm 命令、数据库 drop、delete 命令等），实时发出告警信息（向控制台发出告警信息、向管理员邮箱发送告警电子邮件、向管理员手机发出告警短消息、通过 SNMP 命令向日志审计系统、网管系统发出告警

38、等）。行为审计功能行为审计功能行为审计功能行为审计功能根据制定的安全审计策略，系统应对访问者访问被保护对象的操作交互过程进行记录，并允许选择记录整个操作过程的上行、下行数据。系统应能够将审计记录重组为会话的能力。单个会话的全部操作行为应能够进行回放。每一条审计记录应至少提供操作时间、访问者的身份信息、IP 地址、被保护对象（主机名称、IP 地址等）、操作内容、系统返回内容。审计记录结果要实现集中存储、集中管理、集中展现。事件查询功能事件查询功能事件查询功能事件查询功能系统需要提供丰富的查询界面，可以通过数据库事件查询、Telnet 事件查询、Ftp 事件查询、事件会话关联查询、告警查询等不同的

39、维度查询结果。并日志审计系统建设方案第 16 页 共 34 页支持导出报表。审计信息的存储审计信息的存储审计信息的存储审计信息的存储审计信息要求安全存储，分级别进行管理，普通管理员无法修改删除。用户登录认证及操作日志要求安全存储，普通管理员无法修改删除。系统应该提供灵活的审计信息存储策略，以应对大规模审计存储的要求；可以根据用户登录身份、使用的主机或数据库账号来制定审计信息存储策略。重复事件归并重复事件归并重复事件归并重复事件归并通过配置归并规则，系统可以对大批量的重复事件做统一归并，并记录归并次数。权限管理权限管理权限管理权限管理系统需要分管理员和审计员权限，审计员只能审计授权审计的系统的审

40、计信息。5.2.25.2.25.2.25.2.2 报表功能需求报表功能需求报表功能需求报表功能需求 查询功能查询功能查询功能查询功能系统用户应可按照时间段、访问者、主机或数据库账号、被保护对象、行为方式、行为特征等关键字进行精确或模糊匹配查询。操作人员根据查询结果可以关联查看整个会话的内容。统计报表功能统计报表功能统计报表功能统计报表功能系统应提供完整的报表系统。系统应按照访问者、被保护对象、行为方式、操作内容（例如数据库表名称）等生成统计报表，并按照要求添加、修改报表数量、格式及内容，以满足安全审计的要求。5.2.35.2.35.2.35.2.3 审计对象及兼容性支持审计对象及兼容性支持审计

41、对象及兼容性支持审计对象及兼容性支持应当包括（但不限于）：Telnet,ftp,SQL 等应用。操作系统支持：Unix,HP-UNIX,Solaris数据库支持：Oracle,DB2,Infomix,Mysql,Sqlserver应确保无遗漏等现象发生。日志审计系统建设方案第 17 页 共 34 页5.2.45.2.45.2.45.2.4 系统性能系统性能系统性能系统性能系统应满足大数据量的审计要求。满足千兆骨干网络审计要求，无丢包、漏包现象发生；系统应提供良好的查询能力；系统应至少满足 1 年的审计数据在线存储的需求，并提供相应的离线备份机制，对于超过在线存储时限的审计数据应提供导入导出的机

42、制。5.2.55.2.55.2.55.2.5 审计完整性审计完整性审计完整性审计完整性系统应能实现对所有访问者通过审计途径对现网内被保护对象的远程访问行为的审计，无遗漏、错报等现象的发生。6 6 6 6 安全审计综合管理平台建设方案安全审计综合管理平台建设方案安全审计综合管理平台建设方案安全审计综合管理平台建设方案6.16.16.16.1 日志审计系统建设方案日志审计系统建设方案日志审计系统建设方案日志审计系统建设方案6.1.16.1.16.1.16.1.1 日志管理建议日志管理建议日志管理建议日志管理建议基于我行日志审计系统的建设目标，需要对我行信息系统中的网络设备、主机系统、应用系统、安全

43、系统等进行日志采集，各采集对象的设备系统类型、采集的日志内容、采集方式及采集频率说明如下：审 计审 计审 计审 计内容内容内容内容具体审计需求描述具体审计需求描述具体审计需求描述具体审计需求描述日志内容包括日志内容包括日志内容包括日志内容包括拟采用的采集拟采用的采集拟采用的采集拟采用的采集方式方式方式方式采集频率采集频率采集频率采集频率操作操作操作操作系统系统系统系统SolarisAIXLinuxHP-UNIX帐户登录注销、帐号权限变更、操作系统启动关闭、shell 操作日志、SYSlOG日志。Agent 方式；针对 UNIXSYSLOG 日志可通过 syslog方式发送通过日志安全审计中心设

44、置采集频率策略,建议 1 分钟采集一次日志审计系统建设方案第 18 页 共 34 页 Windows 2000server Windows 2003server帐户登录注销、帐号权限变更、操作系统启动关闭、应用程序运行状态、系统文件和文件属性修改等Agent 方式通过日志安全审计中心设置采集频率策略,建议 1 分钟采集一次安全安全安全安全设备设备设备设备防火墙用户登录、修改配置、收集到的攻击日志等等Syslog、SNMPTrap方式采集在安全设备上配置日志传输频率，建议1分钟采集一次网络网络网络网络设备设备设备设备交换机路由器等（CISCO、华为、华三等）。用户登录、修改配置等Syslog、S

45、NMPTrap方式采集在网络设备上配置日志传输频率，建议1分钟采集一次数据数据数据数据库库库库ORACLESQL SERVERDB2SYBASEInformix用户登录、注销、数据查询、插入、数据修改、数据删除、修改配置等。通过部署旁路数据库审计硬件设备,采用镜像等方式获取数据库访问的网络报文流量，从而实现针对各种数据库用户的操作命令级审计。该采集方式不会对数据库的运行、访问产生影响通过日志安全审计中心设置数据库审计日志采集 频 率 策略，建议1分钟采集一次日志审计系统建设方案第 19 页 共 34 页6.1.26.1.26.1.26.1.2 日志审计系统整体架构日志审计系统整体架构日志审计系

46、统整体架构日志审计系统整体架构我行日志审计系统整体架构图如下：整体架构图说明：我行日志审计系统为软件架构，由采集服务器、管理服务器、数据库服务器三大部分组成。对被审计对象进行必要的设置或安装采集代理，即 可 实 现 对 整 个 系 统 的 综 合 审 计；我 行 日 志 审 计 系 统 采 用Browser/Server/DataBase 三层架构，管理人员无需安装任何客户端即可登录到日应用应用应用应用系统系统系统系统Webserver、Emailserver、Domino等应用系统；在实际项目中，还需要收集业务系统日志。WebWebWebWeb serverserverserverserve

47、r主要包括：主要包括：主要包括：主要包括：WebSphereApacheWebLogicMicrosoft IIS 等用户登录、修改配置、应用层的操作等Agent 方 式、Syslog、SNMPTrap、ODBC/JDBC方式通过日志安全审计中心设置数据库审计日志采集 频 率 策略，建议1分钟采集一次日志审计系统建设方案第 20 页 共 34 页志审计系统进行审计管理操作。我行日志审计系统功能结构图如下：功能结构图说明：我行日志审计系统将包括日志采集、日志存储、日志分析、系统管理、综合显示等功能模块，这些功能模块将有效满足我行针对日志审计系统各种功能需求。6.1.36.1.36.1.36.1.

48、3 日志采集实现方式日志采集实现方式日志采集实现方式日志采集实现方式6.1.3.1 系统支持的标准接口和协议1、Syslog 方式，支持 SYSLOG 协议的设备，如：防火墙、UNIX 服务器等；2、ODBC/JDBC 方式，支持数据库联接的设备；3、SNMP Trap 方式，支持 SNMP 协议的设备，如：交换机、路由器、网路安全设备等；4、XML 方式，支持 HTTP 协议的设备；日志审计系统建设方案第 21 页 共 34 页5、EventLog 方式，支持 Windows 平台；6、特定接口方式，对于不支持通用协议的设备，需要定制开发，如：某网闸隔离系统。7、其他厂商内部专用协议。Sys

49、log 和 SNMP Trap 方式作为最常见、传统的方式，被大部分设备厂商和日志审计系统所采用，建议我行采用这两种方式进行日志采集。Syslog 和 SNMP Trap 方式作为最成熟的网络协议，已经广泛应用在网络设备、安全设备等设备之上，用来传输各种日志信息，对系统本身影响很小。8、数据库日志审计数据库自身日志功能开启情况下，可通过 ODBC 方式收集数据库日志，但是在数据库日志量较大的情况下，数据库系统自身开启日志审计功能会带给系统较大的负担，不建议采用该方式收集数据库日志。为了保证数据库的性能、稳定性，建议采用国内已较为成熟的数据库审计技术，通过在网络部署专门的旁路数据库审计硬件设备,

50、采用镜像等方式获取数据库访问的网络报文流量，实现针对各种数据库用户的操作命令级审计。该采集方式不会对数据库的运行、访问产生任何影响，而且具有更强的实时性，是比较理想的数据库日志审计的实现方式。6.1.3.2 采集对象日志采集实现方式采集对象需支持通过安装审计代理程序或修改系统配置来进行日志的采集，通过日志收集策略定制来开启与关闭各系统的日志采集功能及确定应采集的日志的种类。为了保证被监控系统的保密性，原则上被监控系统要主动向日志审计系统发送自身生成的日志信息，日志审计系统尽可能的不主动访问被监控对象。6.1.46.1.46.1.46.1.4 日志标准化实现方式日志标准化实现方式日志标准化实现方