【正文】 某銀行安全審計(jì)綜合管理平臺(tái)建設(shè)方案○○九年三月目 錄1背景 42安全審計(jì)管理現(xiàn)狀 6 6 總行金融信息管理中心安全審計(jì)管理現(xiàn)狀 9 9 11 我行安全審計(jì)管理辦法制定現(xiàn)狀 11 安全審計(jì)產(chǎn)品及應(yīng)用現(xiàn)狀 133安全審計(jì)必要性 134安全審計(jì)綜合管理平臺(tái)建設(shè)目標(biāo) 145安全審計(jì)綜合管理平臺(tái)需求 16 16 16 系統(tǒng)性能需求 19 系統(tǒng)安全需求 20 系統(tǒng)接口需求 21 22 22 23 24 24 256安全審計(jì)綜合管理平臺(tái)建設(shè)方案 25 25 日志管理建議 25 日志審計(jì)系統(tǒng)整體架構(gòu) 26 日志采集實(shí)現(xiàn)方式 28 日志標(biāo)準(zhǔn)化實(shí)現(xiàn)方式 30 日志存儲(chǔ)實(shí)現(xiàn)方式 31 日志關(guān)聯(lián)分析 32 安全事件報(bào)警 33 日志報(bào)表 34 35 系統(tǒng)接口規(guī)范 36 37 37 38 39 42 427系統(tǒng)部署方案 43 安全審計(jì)綜合管理平臺(tái)系統(tǒng)部署方案 43 44 44 45 系統(tǒng)實(shí)施建議 45 二次開發(fā) 461背景近年來，XX銀行信息化建設(shè)得到快速發(fā)展，央行履行金融調(diào)控、金融穩(wěn)定、金融市場和金融服務(wù)職能高度依賴于信息技術(shù)應(yīng)用，信息安全問題的全局性影響作用日益增強(qiáng)。目前，XX銀行信息安全保障體系中安全系統(tǒng)建設(shè)已經(jīng)達(dá)到了一定的水平。建設(shè)了非法外聯(lián)監(jiān)控管理系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)及補(bǔ)丁分發(fā)系統(tǒng)，為客戶端安全管理、網(wǎng)絡(luò)安全管理和系統(tǒng)安全管理提供了技術(shù)支撐手段，有效提高了安全管理水平；完成制定《金融業(yè)星型網(wǎng)間互聯(lián)安全規(guī)范》金融業(yè)行業(yè)標(biāo)準(zhǔn)，完善內(nèi)聯(lián)網(wǎng)外聯(lián)防火墻系統(tǒng)，確保XX銀行網(wǎng)絡(luò)邊界安全；制定并下發(fā)《銀行計(jì)算機(jī)機(jī)房規(guī)范化工作指引》，規(guī)范和加強(qiáng)機(jī)房環(huán)境安全管理。信息安全審計(jì)技術(shù)是實(shí)現(xiàn)信息安全整個(gè)過程中關(guān)鍵記錄信息的監(jiān)控統(tǒng)計(jì)，是信息安全保障體系中不可缺少的一部分。隨著電子政務(wù)、電子商務(wù)以及各類網(wǎng)上應(yīng)用的開展得到了普遍關(guān)注，并且在越來越多的大型網(wǎng)絡(luò)系統(tǒng)中已經(jīng)成功應(yīng)用并發(fā)揮著重要作用，特別針對(duì)安全事故分析、追蹤起到了關(guān)鍵性作用。傳統(tǒng)的安全審計(jì)系統(tǒng)局限于對(duì)主機(jī)的操作系統(tǒng)日志的收集和簡單分析，缺乏對(duì)于多種平臺(tái)下（Windows系列、Unix系列、Solaris等）、多種網(wǎng)絡(luò)設(shè)備、重要服務(wù)器系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)綜合的安全審計(jì)功能。隨著網(wǎng)絡(luò)規(guī)模的迅速擴(kuò)大，單一式的安全審計(jì)技術(shù)逐步被分布式安全審計(jì)技術(shù)所代替，加上各類應(yīng)用系統(tǒng)逐步增多，網(wǎng)絡(luò)管理人員/運(yùn)維人員工作量往往會(huì)成倍增加，使得關(guān)鍵信息得不到重點(diǎn)關(guān)注。大量事實(shí)表明，對(duì)于安全事件發(fā)生或關(guān)鍵數(shù)據(jù)遭到嚴(yán)重破壞之前完全可以預(yù)先通過日志異常行為告警方式通知管理人員，及時(shí)進(jìn)行分析并采取相應(yīng)措施進(jìn)行有效阻止，從而大大降低安全事件的發(fā)生率。目前我行信息安全保障工作尚未有效開展安全審計(jì)工作，缺少事后審計(jì)的技術(shù)支撐手段。當(dāng)前，信息安全審計(jì)作為保障信息系統(tǒng)安全的制度逐漸發(fā)展起來；并已在對(duì)信息系統(tǒng)依賴性最高的金融業(yè)開始普及。信息安全審計(jì)的相關(guān)標(biāo)準(zhǔn)包括ISO/IEC1779COSO、COBIT、ITIL、NISTSP800等。這些標(biāo)準(zhǔn)從不同角度提出信息安全控制體系，可以有效地控制信息安全風(fēng)險(xiǎn)。同時(shí)，公安部發(fā)布的《信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求》中對(duì)安全審計(jì)提出明確的技術(shù)要求：審計(jì)范圍覆蓋網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)，審計(jì)內(nèi)容包括各網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、系統(tǒng)資源的異常使用、重要用戶行為和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。為進(jìn)一步完善信息安全保障體系，2009年立項(xiàng)建設(shè)安全審計(jì)系統(tǒng)，不斷提高安全管理水平。2安全審計(jì)管理現(xiàn)狀信息安全審計(jì)是企業(yè)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險(xiǎn)控制等的不可或缺的關(guān)鍵手段。信息安全審計(jì)能夠?yàn)榘踩芾韱T提供一組可進(jìn)行分析的管理數(shù)據(jù)，以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件。利用安全審計(jì)結(jié)果，可調(diào)整安全策略，堵住出現(xiàn)的漏洞。美國信息系統(tǒng)審計(jì)的權(quán)威專家Ron Weber又將它定義為收集并評(píng)估證據(jù)以決定一個(gè)計(jì)算機(jī)系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源。根據(jù)在信息系統(tǒng)中需要進(jìn)行安全審計(jì)的對(duì)象與內(nèi)容，主要分為日志審計(jì)、網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)。下面分別說明如下：日志審計(jì)：日志可以作為責(zé)任認(rèn)定的依據(jù)，也可作為系統(tǒng)運(yùn)行記錄集，對(duì)分析系統(tǒng)運(yùn)行情況、排除故障、提高效率都發(fā)揮重要作用。日志審計(jì)是安全審計(jì)針對(duì)信息系統(tǒng)整體安全狀態(tài)監(jiān)測的基礎(chǔ)技術(shù)，主要通過對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫的集中日志采集、集中存儲(chǔ)和關(guān)聯(lián)分析，幫助管理員及時(shí)發(fā)現(xiàn)信息系統(tǒng)的安全事件，同時(shí)當(dāng)遇到特殊安全事件和系統(tǒng)故障時(shí)，確保日志存在和不被篡改，幫助用戶快速定位追查取證。大量事實(shí)表明，對(duì)于安全事件發(fā)生或關(guān)鍵數(shù)據(jù)遭到嚴(yán)重破壞之前完全可以預(yù)先通過日志審計(jì)進(jìn)行分析、告警并及時(shí)采取相應(yīng)措施進(jìn)行有效阻止，從而大大降低安全事件的發(fā)生率。數(shù)據(jù)庫審計(jì)：主要負(fù)責(zé)對(duì)數(shù)據(jù)庫的各種訪問操作進(jìn)行監(jiān)控；是安全審計(jì)對(duì)數(shù)據(jù)庫進(jìn)行審計(jì)技術(shù)。它采用專門的硬件審計(jì)引擎，通過旁路部署采用鏡像等方式獲取數(shù)據(jù)庫訪問的網(wǎng)絡(luò)報(bào)文流量，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)庫的所有訪問操作（如：插入、刪除、更新、用戶自定義操作等），還原SQL操作命令包括源IP地址、目的IP地址、訪問時(shí)間、用戶名、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫表名、字段名等，發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為，及時(shí)報(bào)警響應(yīng)、全過程操作還原，從而實(shí)現(xiàn)安全事件的準(zhǔn)確全程跟蹤定位，全面保障數(shù)據(jù)庫系統(tǒng)安全。該采集方式不會(huì)對(duì)數(shù)據(jù)庫的運(yùn)行、訪問產(chǎn)生任何影響，而且具有更強(qiáng)的實(shí)時(shí)性，是比較理想的數(shù)據(jù)庫日志審計(jì)的實(shí)現(xiàn)方式。網(wǎng)絡(luò)審計(jì)：主要負(fù)責(zé)網(wǎng)絡(luò)內(nèi)容與行為的審計(jì)；是安全審計(jì)對(duì)網(wǎng)絡(luò)通信的基礎(chǔ)審計(jì)技術(shù)。它采用專門的網(wǎng)絡(luò)審計(jì)硬件引擎，安裝在網(wǎng)絡(luò)通信系統(tǒng)的數(shù)據(jù)匯聚點(diǎn)，通過旁路抓取網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行典型協(xié)議分析、識(shí)別、判斷和記錄，Telnet、HTTP、Email、FTP、網(wǎng)上聊天、文件共享、流量等的檢測分析等。　　　主機(jī)審計(jì)：主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)重要區(qū)域的客戶機(jī)上的各種上網(wǎng)行為、文件拷貝/打印操作、通過Modem擅自連接外網(wǎng)等進(jìn)行審計(jì)。目前我行信息安全系統(tǒng)尚未有效開展安全審計(jì)工作，由于缺少對(duì)各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫的集中日志采集、集中存儲(chǔ)和關(guān)聯(lián)分析等事后審計(jì)、追查取證的技術(shù)支撐手段,以至無法在遇到特殊安全事件和系統(tǒng)故障時(shí)確保日志存在和不被篡改，同時(shí)對(duì)主機(jī)和數(shù)據(jù)庫的操作行為也沒有審計(jì)和管理的手段，不同有效對(duì)操作行為進(jìn)行審計(jì)，防止誤操作和惡意行為的發(fā)生，因此我行迫切需要盡快建設(shè)安全審計(jì)系統(tǒng)（包括日志審計(jì)、數(shù)據(jù)庫審計(jì)、網(wǎng)絡(luò)審計(jì)），確保我行信息系統(tǒng)安全。 我行金融信息管理中心安全審計(jì)管理現(xiàn)狀作為數(shù)據(jù)中心的運(yùn)維部門，負(fù)責(zé)運(yùn)維內(nèi)聯(lián)網(wǎng)總行局域網(wǎng)、總行機(jī)關(guān)辦公自動(dòng)化系統(tǒng)及貨幣發(fā)行信息管理系統(tǒng)、國庫信息處理系統(tǒng)等重要業(yè)務(wù)系統(tǒng)，保障信息系統(tǒng)IT基礎(chǔ)設(shè)施的安全運(yùn)行。為更好地制定日志審計(jì)系統(tǒng)建設(shè)方案，開展了金融信息管理中心日志管理現(xiàn)狀調(diào)研工作，調(diào)研內(nèi)容包括設(shè)備/系統(tǒng)配置哪些日志信息、日志信息包括哪些屬性、日志采集所支持的協(xié)議/接口、日志存儲(chǔ)方式及日志管理現(xiàn)狀，金融信息管理中心日志管理現(xiàn)狀調(diào)查表詳見附件。通過分析日志管理現(xiàn)狀調(diào)查表，將有關(guān)情況說明如下：一、日志內(nèi)容。網(wǎng)絡(luò)設(shè)備（包括交換機(jī)和路由器）、安全設(shè)備（包括防火墻、入侵檢測設(shè)備、防病毒管理系統(tǒng)和補(bǔ)丁分發(fā)系統(tǒng)）、辦公自動(dòng)化系統(tǒng)和重要業(yè)務(wù)系統(tǒng)均配置一定的日志信息，其中每類設(shè)備具有一定的日志配置規(guī)范，應(yīng)用系統(tǒng)（辦公自動(dòng)化系統(tǒng)和重要業(yè)務(wù)系統(tǒng)）的日志內(nèi)容差異較大，數(shù)據(jù)庫和中間件僅配置“進(jìn)程是否正常”的日志信息。二、日志格式。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備根據(jù)廠商的不同，其日志格式也不同，無統(tǒng)一的日志格式；應(yīng)用系統(tǒng)根據(jù)系統(tǒng)平臺(tái)的不同，其日志格式也不同，無統(tǒng)一的日志格式。三、日志采集協(xié)議/接口。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備支持SNMP Trap和Syslog協(xié)議，應(yīng)用系統(tǒng)主要支持TCP/IP協(xié)議，個(gè)別應(yīng)用系統(tǒng)自定義了日志采集方式。四、日志存儲(chǔ)方式。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備日志信息集中存儲(chǔ)在日志服務(wù)器中，其他設(shè)備/系統(tǒng)日志均存儲(chǔ)在本地主機(jī)上。日志信息以文本文件、關(guān)系型數(shù)據(jù)庫文件、Domino數(shù)據(jù)庫文件和XML文件等方式進(jìn)行存儲(chǔ)。五、日志管理方式。主要為分散管理,且無日志管理規(guī)范。在系統(tǒng)/設(shè)備出現(xiàn)故障時(shí)，日志信息是定位故障，解決故障的主要依據(jù)。據(jù)了解，為加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行情況的監(jiān)控，金融信息管理中心通過采集交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備的日志信息，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備日志信息的集中管理，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備運(yùn)行中出現(xiàn)的問題。通過上述現(xiàn)狀的分析，目前日志管理存在如下問題：不同系統(tǒng)/設(shè)備的日志信息分散存儲(chǔ)，日志信息被非法刪除，導(dǎo)致安全事故處置工作無法追查取證。在系統(tǒng)發(fā)生故障后，才去通過日志信息定位故障，導(dǎo)致系統(tǒng)安全運(yùn)行工作存在一定的被動(dòng)性，應(yīng)主動(dòng)地在日志信息中及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行存在的隱患，提高系統(tǒng)運(yùn)行安全管理水平。隨著我行信息化工作的不斷深入，系統(tǒng)運(yùn)維工作壓力的不斷加大，如不及時(shí)規(guī)范日志信息管理，信管中心將逐步面臨運(yùn)維的設(shè)備多、人員少的問題，不能及時(shí)準(zhǔn)確把握運(yùn)維工作的重點(diǎn)。在目前日志信息管理基礎(chǔ)上，若簡單加強(qiáng)日志信息管理，仍存在如下問題：通過系統(tǒng)/設(shè)備各自的控制臺(tái)去查看事件，窗口繁多，而且所有的事件都是孤立的，不同系統(tǒng)/設(shè)備之間的事件缺乏關(guān)聯(lián)，分析起來極為麻煩，無法弄清楚真實(shí)的狀況。不同系統(tǒng)/設(shè)備對(duì)同一個(gè)事件的描述可能是不同的，管理人員需了解各系統(tǒng)/設(shè)備，分析各種不同格式的信息，導(dǎo)致管理人員的工作非常繁重，效率低。海量日志信息不但無法幫助找出真正