【正文】 4）供應(yīng)商需要給出詳細(xì)的實(shí)施方案，實(shí)施過(guò)程嚴(yán)格按照實(shí)施方案進(jìn)行?；趦?nèi)外網(wǎng)的建設(shè)情況，從保證實(shí)際安全審計(jì)項(xiàng)目效果，安全審計(jì)系統(tǒng)建設(shè)將分階段建設(shè)，考慮XX為新建系統(tǒng)，目前正在試點(diǎn)，貨幣發(fā)行管理信息系統(tǒng)需進(jìn)行升級(jí)改造，擬先選擇XX系統(tǒng)或貨金系統(tǒng)作為日志采集對(duì)象，開(kāi)展日志審計(jì)系統(tǒng)建設(shè)工作。（4）數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)審計(jì)系統(tǒng)通過(guò)鏡像的方式獲取數(shù)據(jù)，高警信息發(fā)送給日志審計(jì)系統(tǒng)。 修訂告警規(guī)則無(wú)需重啟系統(tǒng)或者某個(gè)模塊，規(guī)則一旦被應(yīng)用立即生效216。還涉及了數(shù)據(jù)流量在不同時(shí)段的分布情況。用戶(hù)可以在業(yè)務(wù)綜合審計(jì)中單獨(dú)查看數(shù)據(jù)庫(kù)審計(jì)的實(shí)時(shí)統(tǒng)計(jì)信息和趨勢(shì)分析；可以定義專(zhuān)門(mén)的數(shù)據(jù)庫(kù)審計(jì)策略；可以在報(bào)表管理中單獨(dú)查看與數(shù)據(jù)庫(kù)審計(jì)相關(guān)的報(bào)表報(bào)告。同時(shí)，審計(jì)策略也決定了審計(jì)的顆粒度，用戶(hù)可以通過(guò)對(duì)審計(jì)策略的設(shè)定來(lái)決定審計(jì)的各種細(xì)節(jié)。用戶(hù)可以指定復(fù)雜的查詢(xún)條件，快速檢索到需要的事件信息，從而協(xié)助管理員進(jìn)行計(jì)算機(jī)取證分析，收集外部訪(fǎng)問(wèn)或者內(nèi)部違規(guī)的證據(jù)。日志審計(jì)系統(tǒng)自身會(huì)有簡(jiǎn)單的資產(chǎn)管理功能，如果我行沒(méi)有與現(xiàn)有資產(chǎn)管理系統(tǒng)進(jìn)行數(shù)據(jù)同步的要求，不需要和現(xiàn)有的資產(chǎn)管理系統(tǒng)進(jìn)行整合。被監(jiān)控對(duì)象通過(guò)Syslog、SNMP協(xié)議主動(dòng)把自身的日志信息發(fā)送到日志審計(jì)系統(tǒng)。用戶(hù)管理員權(quán)限：用戶(hù)管理員負(fù)責(zé)對(duì)用戶(hù)、用戶(hù)組進(jìn)行管理，包括建立、維護(hù)和刪除用戶(hù)組，并將用戶(hù)分配到相應(yīng)的用戶(hù)組中。216。 安全事件報(bào)警我行日志審計(jì)系統(tǒng)將提供實(shí)時(shí)屏幕顯示、電子郵件、工作任務(wù)單、入庫(kù)（和短信）等報(bào)警方式；可以調(diào)整實(shí)時(shí)報(bào)警的排序方式；可以定義實(shí)時(shí)報(bào)警的顯示內(nèi)容，顯示內(nèi)容包括：l 發(fā)生的時(shí)間l 來(lái)源l 事件類(lèi)型l 主體l 描述和結(jié)果（成功、失敗或待驗(yàn)證等）；可以調(diào)整實(shí)時(shí)報(bào)警策略，并且顯示的內(nèi)容與當(dāng)前用戶(hù)的管理角色相關(guān)聯(lián)。 日志關(guān)聯(lián)分析我行日志審計(jì)系統(tǒng)將提供多種關(guān)聯(lián)分析方法，包括：相同源IP的事件關(guān)聯(lián)分析、相同目的IP的事件關(guān)聯(lián)分析、相同事件類(lèi)型的關(guān)聯(lián)分析以及基于規(guī)則的事件關(guān)聯(lián)分析、統(tǒng)計(jì)關(guān)聯(lián)分析和漏洞關(guān)聯(lián)分析（需要采用脆弱性模塊）。為了保證被監(jiān)控系統(tǒng)的保密性，原則上被監(jiān)控系統(tǒng)要主動(dòng)向日志審計(jì)系統(tǒng)發(fā)送自身生成的日志信息，日志審計(jì)系統(tǒng)盡可能的不主動(dòng)訪(fǎng)問(wèn)被監(jiān)控對(duì)象。 日志采集實(shí)現(xiàn)方式 系統(tǒng)支持的標(biāo)準(zhǔn)接口和協(xié)議Syslog方式，支持SYSLOG協(xié)議的設(shè)備，如：防火墻、UNIX服務(wù)器等；ODBC/JDBC方式，支持?jǐn)?shù)據(jù)庫(kù)聯(lián)接的設(shè)備；SNMP Trap方式，支持SNMP協(xié)議的設(shè)備，如：交換機(jī)、路由器、網(wǎng)路安全設(shè)備等；XML方式，支持HTTP協(xié)議的設(shè)備；EventLog方式，支持Windows平臺(tái)；特定接口方式，對(duì)于不支持通用協(xié)議的設(shè)備，需要定制開(kāi)發(fā)，如：某網(wǎng)閘隔離系統(tǒng)。該采集方式不會(huì)對(duì)數(shù)據(jù)庫(kù)的運(yùn)行、訪(fǎng)問(wèn)產(chǎn)生影響通過(guò)日志安全審計(jì)中心設(shè)置數(shù)據(jù)庫(kù)審計(jì)日志采集頻率策略，建議1分鐘采集一次應(yīng)用系統(tǒng)Web server、Email server、Domino等應(yīng)用系統(tǒng)；在實(shí)際項(xiàng)目中，還需要收集業(yè)務(wù)系統(tǒng)日志。 路由器等（CISCO、華為、華三等）。 AIX252。216。n 重復(fù)事件歸并通過(guò)配置歸并規(guī)則，系統(tǒng)可以對(duì)大批量的重復(fù)事件做統(tǒng)一歸并，并記錄歸并次數(shù)。單個(gè)會(huì)話(huà)的全部操作行為應(yīng)能夠進(jìn)行回放。策略制定方式應(yīng)簡(jiǎn)單靈活，既可以制定適應(yīng)于批量對(duì)象的公共策略，也可以制定適用于單個(gè)被保護(hù)對(duì)象的詳細(xì)策略。傳輸安全需求：日志審計(jì)系統(tǒng)各個(gè)組件之間的通訊協(xié)議必須支持身份認(rèn)證與傳輸加密，確保數(shù)據(jù)在傳輸過(guò)程中不被泄漏、篡改、刪除。為了解決目前日益嚴(yán)重的復(fù)合型風(fēng)險(xiǎn)威脅，我行日志審計(jì)系統(tǒng)需要具有關(guān)聯(lián)分析功能：將不同安全設(shè)備的響應(yīng)通過(guò)多種條件關(guān)聯(lián)起來(lái)，以便于管理員的分析和處理。 采集策略采集策略需要包括采集頻率、過(guò)濾、合并策略與信息傳輸策略。數(shù)據(jù)庫(kù)審計(jì)是安全管理工作中的一個(gè)重要組成部分，通過(guò)對(duì)數(shù)據(jù)庫(kù)的“信息活動(dòng)”實(shí)時(shí)地進(jìn)行監(jiān)測(cè)審計(jì)，使管理者對(duì)數(shù)據(jù)庫(kù)的“信息活動(dòng)”一目了然，能夠及時(shí)掌握數(shù)據(jù)庫(kù)服務(wù)器的應(yīng)用情況，及時(shí)發(fā)現(xiàn)客戶(hù)端的使用問(wèn)題，存在著哪些安全威脅或隱患并予以糾正，預(yù)防應(yīng)用安全事件的發(fā)生，即便發(fā)生了也能夠可以快速查證并追根尋源。 規(guī)范信息系統(tǒng)日志信息管理。4安全審計(jì)綜合管理平臺(tái)建設(shè)目標(biāo)根據(jù)總行金融信息管理中心日志管理工作現(xiàn)狀及存在的問(wèn)題，結(jié)合日志審計(jì)系統(tǒng)建成后的預(yù)期收益，現(xiàn)將系統(tǒng)建設(shè)目標(biāo)說(shuō)明如下：216。SIM是一個(gè)全面的、面向IT計(jì)算環(huán)境的安全集中管理平臺(tái)，這個(gè)平臺(tái)能夠收集來(lái)自計(jì)算環(huán)境中各種設(shè)備和應(yīng)用的安全日志和事件，并進(jìn)行存儲(chǔ)、監(jiān)控、分析、報(bào)警、響應(yīng)和報(bào)告，變過(guò)去被動(dòng)的單點(diǎn)防御為全網(wǎng)的綜合防御。 審計(jì)內(nèi)容包括創(chuàng)建、修改或刪除數(shù)據(jù)庫(kù)帳戶(hù)、數(shù)據(jù)庫(kù)對(duì)象、數(shù)據(jù)庫(kù)表、數(shù)據(jù)庫(kù)索引的行為；允許或者撤銷(xiāo)審計(jì)功能的行為；授予或者取消數(shù)據(jù)庫(kù)系統(tǒng)級(jí)別權(quán)限的行為；任何因?yàn)閰⒖紝?duì)象不存在而引的錯(cuò)誤信息；任何改變數(shù)據(jù)庫(kù)對(duì)象名稱(chēng)的動(dòng)作；任何對(duì)數(shù)據(jù)庫(kù)Dictionary或者數(shù)據(jù)庫(kù)系統(tǒng)配置的改變；所有數(shù)據(jù)庫(kù)連接失敗的記錄；所有DBA的數(shù)據(jù)庫(kù)連接記錄；所有數(shù)據(jù)庫(kù)用戶(hù)帳戶(hù)升級(jí)和刪除操作的審計(jì)跟蹤信息。對(duì)系統(tǒng)的后臺(tái)操作人員的遠(yuǎn)程登錄主機(jī)、數(shù)據(jù)庫(kù)的操作行為無(wú)法進(jìn)行記錄、審計(jì)，難以防止系統(tǒng)濫用、泄密等問(wèn)題的發(fā)生。據(jù)了解，為加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行情況的監(jiān)控，金融信息管理中心通過(guò)采集交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備的日志信息，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備日志信息的集中管理，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備運(yùn)行中出現(xiàn)的問(wèn)題。三、日志采集協(xié)議/接口?！　　≈鳈C(jī)審計(jì)：主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)重要區(qū)域的客戶(hù)機(jī)上的各種上網(wǎng)行為、文件拷貝/打印操作、通過(guò)Modem擅自連接外網(wǎng)等進(jìn)行審計(jì)。下面分別說(shuō)明如下：日志審計(jì)：日志可以作為責(zé)任認(rèn)定的依據(jù)，也可作為系統(tǒng)運(yùn)行記錄集，對(duì)分析系統(tǒng)運(yùn)行情況、排除故障、提高效率都發(fā)揮重要作用。這些標(biāo)準(zhǔn)從不同角度提出信息安全控制體系，可以有效地控制信息安全風(fēng)險(xiǎn)。信息安全審計(jì)技術(shù)是實(shí)現(xiàn)信息安全整個(gè)過(guò)程中關(guān)鍵記錄信息的監(jiān)控統(tǒng)計(jì)，是信息安全保障體系中不可缺少的一部分。隨著電子政務(wù)、電子商務(wù)以及各類(lèi)網(wǎng)上應(yīng)用的開(kāi)展得到了普遍關(guān)注，并且在越來(lái)越多的大型網(wǎng)絡(luò)系統(tǒng)中已經(jīng)成功應(yīng)用并發(fā)揮著重要作用，特別針對(duì)安全事故分析、追蹤起到了關(guān)鍵性作用。同時(shí)，公安部發(fā)布的《信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求》中對(duì)安全審計(jì)提出明確的技術(shù)要求：審計(jì)范圍覆蓋網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)，審計(jì)內(nèi)容包括各網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、系統(tǒng)資源的異常使用、重要用戶(hù)行為和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。日志審計(jì)是安全審計(jì)針對(duì)信息系統(tǒng)整體安全狀態(tài)監(jiān)測(cè)的基礎(chǔ)技術(shù)，主要通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)的集中日志采集、集中存儲(chǔ)和關(guān)聯(lián)分析，幫助管理員及時(shí)發(fā)現(xiàn)信息系統(tǒng)的安全事件，同時(shí)當(dāng)遇到特殊安全事件和系統(tǒng)故障時(shí)，確保日志存在和不被篡改，幫助用戶(hù)快速定位追查取證。目前我行信息安全系統(tǒng)尚未有效開(kāi)展安全審計(jì)工作，由于缺少對(duì)各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)的集中日志采集、集中存儲(chǔ)和關(guān)聯(lián)分析等事后審計(jì)、追查取證的技術(shù)支撐手段,以至無(wú)法在遇到特殊安全事件和系統(tǒng)故障時(shí)確保日志存在和不被篡改，同時(shí)對(duì)主機(jī)和數(shù)據(jù)庫(kù)的操作行為也沒(méi)有審計(jì)和管理的手段，不同有效對(duì)操作行為進(jìn)行審計(jì)，防止誤操作和惡意行為的發(fā)生，因此我行迫切需要盡快建設(shè)安全審計(jì)系統(tǒng)（包括日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、網(wǎng)絡(luò)審計(jì)），確保我行信息系統(tǒng)安全。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備支持SNMP Trap和Syslog協(xié)議，應(yīng)用系統(tǒng)主要支持TCP/IP協(xié)議，個(gè)別應(yīng)用系統(tǒng)自定義了日志采集方式。通過(guò)上述現(xiàn)狀的分析，目前日志管理存在如下問(wèn)題：不同系統(tǒng)/設(shè)備的日志信息分散存儲(chǔ)，日志信息被非法刪除，導(dǎo)致安全事故處置工作無(wú)法追查取證。 我行安全審計(jì)管理辦法制定現(xiàn)狀在《銀行信息安全管理規(guī)定》提出如下安全審計(jì)要求：216。216。由于日志審計(jì)對(duì)安全廠(chǎng)商的技術(shù)開(kāi)發(fā)能力有較高要求,國(guó)內(nèi)一些較有實(shí)力的安全廠(chǎng)商能夠提供較為成熟的日志審計(jì)產(chǎn)品。 海量日志數(shù)據(jù)的標(biāo)準(zhǔn)化集中管理。根據(jù)日志管理工作現(xiàn)狀，提出信息系統(tǒng)日志信息管理規(guī)范，明確信息系統(tǒng)IT基礎(chǔ)設(shè)施日志配置基本要求、日志內(nèi)容基本要求等，一方面確保日志審計(jì)系統(tǒng)建設(shè)實(shí)現(xiàn)即定目標(biāo)；另一方面指導(dǎo)今后信息化項(xiàng)目建設(shè)，完善信息安全管理制度體系，進(jìn)一步提高安全管理水平。雖然數(shù)據(jù)庫(kù)系統(tǒng)本身能夠提供日志審計(jì)功能，但是數(shù)據(jù)庫(kù)系統(tǒng)自身開(kāi)啟日志審計(jì)功能會(huì)帶給系統(tǒng)較大的負(fù)擔(dān)。支持根據(jù)采集對(duì)象的不同，可以設(shè)置實(shí)時(shí)采集、按秒、分鐘、小時(shí)等采集頻率。例如當(dāng)一個(gè)嚴(yán)重的事件或用戶(hù)行為發(fā)生后，從網(wǎng)絡(luò)層面、主機(jī)/服務(wù)器層面、數(shù)據(jù)（庫(kù)）、安全層面到應(yīng)用層面可能都會(huì)有所反應(yīng)（響應(yīng)），這時(shí)候?qū)徲?jì)系統(tǒng)將進(jìn)行數(shù)據(jù)挖掘，將上述多個(gè)層面、多個(gè)維度的事件或行為數(shù)據(jù)挖掘和抽取、關(guān)聯(lián)，將關(guān)聯(lián)的結(jié)果呈現(xiàn)給使用者。存儲(chǔ)安全需求：日志審計(jì)系統(tǒng)的后端數(shù)據(jù)庫(kù)必須采用安全可靠的大型數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)以及對(duì)日志審計(jì)系統(tǒng)的操作都要通過(guò)嚴(yán)格的身份鑒別，并對(duì)操作者的權(quán)限進(jìn)行嚴(yán)格劃分，保證數(shù)據(jù)存儲(chǔ)安全。系統(tǒng)應(yīng)提供行為全部記錄的默認(rèn)審計(jì)策略。每一條審計(jì)記錄應(yīng)至少提供操作時(shí)間、訪(fǎng)問(wèn)者的身份信息、IP地址、被保護(hù)對(duì)象（主機(jī)名稱(chēng)、IP地址等）、操作內(nèi)容、系統(tǒng)返回內(nèi)容。n 權(quán)限管理系統(tǒng)需要分管理員和審計(jì)員權(quán)限，審計(jì)員只能審計(jì)授權(quán)審計(jì)的系統(tǒng)的審計(jì)信息。 系統(tǒng)應(yīng)滿(mǎn)足大數(shù)據(jù)量的審計(jì)要求。 Linux252。用戶(hù)登錄、修改配置等Syslog、SNMP Trap方式采集在網(wǎng)絡(luò)設(shè)備上配置日志傳輸頻率，建議1分鐘采集一次數(shù)據(jù)庫(kù)252。Web server主要包括：252。其他廠(chǎng)商內(nèi)部專(zhuān)用協(xié)議。 日志標(biāo)準(zhǔn)化實(shí)現(xiàn)方式 由于日志采集模塊收集到多種類(lèi)型