【文章內(nèi)容簡介】 5億條； 提供對原始日志及審計結(jié)果的壓縮存儲，文件存儲壓縮比一般不應(yīng)小于1：10；根據(jù)審計要求，原始信息及審計結(jié)果需保留6個月1年，因此，需支持磁盤陣列、NAS和SAN等多種存儲方式，存儲容量需達到7TB以上。 系統(tǒng)安全需求權(quán)限劃分需求：日志審計系統(tǒng)需要進行管理權(quán)限的劃分，不同的管理員具有不同的管理權(quán)限，例如管理配置權(quán)限與審計操作權(quán)限分離，系統(tǒng)中不允許出現(xiàn)超級用戶權(quán)限。登錄安全需求：日志審計系統(tǒng)在用戶登錄上需要強身份鑒別功能以及鑒別失效處理機制。傳輸安全需求：日志審計系統(tǒng)各個組件之間的通訊協(xié)議必須支持身份認(rèn)證與傳輸加密，確保數(shù)據(jù)在傳輸過程中不被泄漏、篡改、刪除。存儲安全需求：日志審計系統(tǒng)的后端數(shù)據(jù)庫必須采用安全可靠的大型數(shù)據(jù)庫，數(shù)據(jù)庫的訪問以及對日志審計系統(tǒng)的操作都要通過嚴(yán)格的身份鑒別，并對操作者的權(quán)限進行嚴(yán)格劃分，保證數(shù)據(jù)存儲安全。接口安全需求：日志審計系統(tǒng)各組件之間應(yīng)該采用其廠商自身的，未公開并且成熟可靠的協(xié)議進行通信。日志審計平臺與其他系統(tǒng)（網(wǎng)絡(luò)設(shè)備、主機/服務(wù)器、應(yīng)用系統(tǒng)、安全設(shè)備）的接口可采用標(biāo)準(zhǔn)的SNMP、Syslog等協(xié)議。 系統(tǒng)接口需求我行日志審計系統(tǒng)主要提供如下接口進行日志采集：Syslog方式，支持SYSLOG協(xié)議的設(shè)備，如：防火墻、UNIX服務(wù)器等；ODBC/JDBC方式，支持?jǐn)?shù)據(jù)庫聯(lián)接的設(shè)備；SNMP Trap方式，支持SNMP協(xié)議的設(shè)備，如：交換機、路由器、網(wǎng)路安全設(shè)備等；XML方式，支持HTTP協(xié)議的設(shè)備；EventLog方式，支持Windows平臺；特定接口方式，對于不支持通用協(xié)議的設(shè)備，需要定制開發(fā)，如：某網(wǎng)閘隔離系統(tǒng)；其他廠商內(nèi)部專用協(xié)議。通過標(biāo)準(zhǔn)的接口，可以采集到網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機系統(tǒng)、應(yīng)用系統(tǒng)的各種類型日志：包含登陸信息、登陸認(rèn)證失敗信息、應(yīng)用程序啟動信息、進程改變信息、違反防火墻規(guī)則的網(wǎng)絡(luò)行為、IDS檢測到的所有入侵事件和IDS自身生成的各種日志等。日志信息的采集可以根據(jù)我行信息系統(tǒng)的現(xiàn)實情況進行實時傳輸或者定時傳輸。n 安全審計策略系統(tǒng)應(yīng)允許使用者能夠針對訪問者、被保護對象、操作行為，訪問源，事件類型等特征等制定具體的安全審計策略。策略制定方式應(yīng)簡單靈活，既可以制定適應(yīng)于批量對象的公共策略，也可以制定適用于單個被保護對象的詳細策略。系統(tǒng)應(yīng)提供行為全部記錄的默認(rèn)審計策略。審計記錄應(yīng)該反應(yīng)出用戶的登錄身份，登錄操作時使用的主機或數(shù)據(jù)庫賬號信息。在建設(shè)身份認(rèn)證和訪問控制功能后，可以禁止或允許用戶使用某個主機或數(shù)據(jù)庫賬號進行登錄和操作。審計記錄應(yīng)該反應(yīng)出用戶的登錄身份，登錄操作時使用的主機、網(wǎng)絡(luò)設(shè)備或數(shù)據(jù)庫賬號信息。n 事件實時審計、告警、命令控制能靈活配置實時安全審計控制策略和預(yù)警參數(shù)，實時發(fā)現(xiàn)可疑操作（如操作系統(tǒng)rm命令、數(shù)據(jù)庫drop、delete命令等），實時發(fā)出告警信息（向控制臺發(fā)出告警信息、向管理員郵箱發(fā)送告警電子郵件、向管理員手機發(fā)出告警短消息、通過SNMP命令向日志審計系統(tǒng)、網(wǎng)管系統(tǒng)發(fā)出告警等）。n 行為審計功能根據(jù)制定的安全審計策略，系統(tǒng)應(yīng)對訪問者訪問被保護對象的操作交互過程進行記錄，并允許選擇記錄整個操作過程的上行、下行數(shù)據(jù)。系統(tǒng)應(yīng)能夠?qū)徲嬘涗浿亟M為會話的能力。單個會話的全部操作行為應(yīng)能夠進行回放。每一條審計記錄應(yīng)至少提供操作時間、訪問者的身份信息、IP地址、被保護對象（主機名稱、IP地址等）、操作內(nèi)容、系統(tǒng)返回內(nèi)容。審計記錄結(jié)果要實現(xiàn)集中存儲、集中管理、集中展現(xiàn)。n 事件查詢功能系統(tǒng)需要提供豐富的查詢界面，可以通過數(shù)據(jù)庫事件查詢、Telnet事件查詢、Ftp事件查詢、事件會話關(guān)聯(lián)查詢、告警查詢等不同的維度查詢結(jié)果。并支持導(dǎo)出報表。n 審計信息的存儲 審計信息要求安全存儲，分級別進行管理，普通管理員無法修改刪除。用戶登錄認(rèn)證及操作日志要求安全存儲，普通管理員無法修改刪除。系統(tǒng)應(yīng)該提供靈活的審計信息存儲策略，以應(yīng)對大規(guī)模審計存儲的要求；可以根據(jù)用戶登錄身份、使用的主機或數(shù)據(jù)庫賬號來制定審計信息存儲策略。n 重復(fù)事件歸并通過配置歸并規(guī)則，系統(tǒng)可以對大批量的重復(fù)事件做統(tǒng)一歸并，并記錄歸并次數(shù)。n 權(quán)限管理系統(tǒng)需要分管理員和審計員權(quán)限，審計員只能審計授權(quán)審計的系統(tǒng)的審計信息。n 查詢功能系統(tǒng)用戶應(yīng)可按照時間段、訪問者、主機或數(shù)據(jù)庫賬號、被保護對象、行為方式、行為特征等關(guān)鍵字進行精確或模糊匹配查詢。 操作人員根據(jù)查詢結(jié)果可以關(guān)聯(lián)查看整個會話的內(nèi)容。n 統(tǒng)計報表功能系統(tǒng)應(yīng)提供完整的報表系統(tǒng)。系統(tǒng)應(yīng)按照訪問者、被保護對象、行為方式、操作內(nèi)容（例如數(shù)據(jù)庫表名稱）等生成統(tǒng)計報表，并按照要求添加、修改報表數(shù)量、格式及內(nèi)容，以滿足安全審計的要求。應(yīng)當(dāng)包括（但不限于）：Telnet,ftp,SQL 等應(yīng)用。操作系統(tǒng)支持：Unix,HPUNIX ,Solaris 數(shù)據(jù)庫支持：Oracle ,DB2,Infomix ,Mysql,Sqlserver應(yīng)確保無遺漏等現(xiàn)象發(fā)生。216。 系統(tǒng)應(yīng)滿足大數(shù)據(jù)量的審計要求。滿足千兆骨干網(wǎng)絡(luò)審計要求，無丟包、漏包現(xiàn)象發(fā)生；216。 系統(tǒng)應(yīng)提供良好的查詢能力；216。 系統(tǒng)應(yīng)至少滿足1年的審計數(shù)據(jù)在線存儲的需求，并提供相應(yīng)的離線備份機制，對于超過在線存儲時限的審計數(shù)據(jù)應(yīng)提供導(dǎo)入導(dǎo)出的機制。系統(tǒng)應(yīng)能實現(xiàn)對所有訪問者通過審計途徑對現(xiàn)網(wǎng)內(nèi)被保護對象的遠程訪問行為的審計，無遺漏、錯報等現(xiàn)象的發(fā)生。6安全審計綜合管理平臺建設(shè)方案 日志管理建議基于我行日志審計系統(tǒng)的建設(shè)目標(biāo)，需要對我行信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、應(yīng)用系統(tǒng)、安全系統(tǒng)等進行日志采集，各采集對象的設(shè)備系統(tǒng)類型、采集的日志內(nèi)容、采集方式及采集頻率說明如下：審計內(nèi)容具體審計需求描述日志內(nèi)容包括擬采用的采集方式采集頻率操作系統(tǒng)252。 Solaris 252。 AIX252。 Linux252。 HPUNIX帳戶登錄注銷、帳號權(quán)限變更、操作系統(tǒng)啟動關(guān)閉、shell操作日志、SYSlOG日志。Agent方式；針對UNIX SYSLOG日志可通過syslog方式發(fā)送通過日志安全審計中心設(shè)置采集頻率策略,建議1分鐘采集一次252。 Windows 2000 server252。 Windows 2003 server帳戶登錄注銷、帳號權(quán)限變更、操作系統(tǒng)啟動關(guān)閉、應(yīng)用程序運行狀態(tài)、系統(tǒng)文件和文件屬性修改等Agent方式通過日志安全審計中心設(shè)置采集頻率策略,建議1分鐘采集一次安全設(shè)備252。 防火墻用戶登錄、修改配置、收集到的攻擊日志等等Syslog、SNMP Trap方式采集在安全設(shè)備上配置日志傳輸頻率，建議1分鐘采集一次網(wǎng)絡(luò)設(shè)備252。 交換機252。 路由器等（CISCO、華為、華三等）。用戶登錄、修改配置等Syslog、SNMP Trap方式采集在網(wǎng)絡(luò)設(shè)備上配置日志傳輸頻率，建議1分鐘采集一次數(shù)據(jù)庫252。 ORACLE252。 SQL SERVER252。 DB2252。 SYBASE252。 Informix用戶登錄、注銷、數(shù)據(jù)查詢、插入、數(shù)據(jù)修改、數(shù)據(jù)刪除、修改配置等。通過部署旁路數(shù)據(jù)庫審計硬件設(shè)備,采用鏡像等方式獲取數(shù)據(jù)庫訪問的網(wǎng)絡(luò)報文流量，從而實現(xiàn)針對各種數(shù)據(jù)庫用戶的操作命令級審計。該采集方式不會對數(shù)據(jù)庫的運行、訪問產(chǎn)生影響通過日志安全審計中心設(shè)置數(shù)據(jù)庫審計日志采集頻率策略，建議1分鐘采集一次應(yīng)用系統(tǒng)Web server、Email server、Domino等應(yīng)用系統(tǒng)；在實際項目中，還需要收集業(yè)務(wù)系統(tǒng)日志。Web server主要包括：252。 WebSphere252。 Apache252。 WebLogic252。 Microsoft IIS等用戶登錄、修改配置、應(yīng)用層的操作等Agent方式、Syslog、SNMP Trap、ODBC/JDBC方式通過日志安全審計中心設(shè)置數(shù)據(jù)庫審計日志采集頻率策略，建議1分鐘采集一次 日志審計系統(tǒng)整體架構(gòu)我行日志審計系統(tǒng)整體架構(gòu)圖如下：整體架構(gòu)圖說明：我行日志審計系統(tǒng)為軟件架構(gòu)，由采集服務(wù)器、管理服務(wù)器、數(shù)據(jù)庫服務(wù)器三大部分組成。對被審計對象進行必要的設(shè)置或安裝采集代理，即可實現(xiàn)對整個系統(tǒng)的綜合審計；我行日志審計系統(tǒng)采用Browser/Server/DataBase三層架構(gòu)，管理人員無需安裝任何客戶端即可登錄到日志審計系統(tǒng)進行審計管理操作。我行日志審計系統(tǒng)功能結(jié)構(gòu)圖如下：功能結(jié)構(gòu)圖說明：我行日志審計系統(tǒng)將包括日志采集、日志存儲、日志分析、系統(tǒng)管理、綜合顯示等功能模塊，這些功能模塊將有效滿足我行針對日志審計系統(tǒng)各種功能需求。 日志采集實現(xiàn)方式 系統(tǒng)支持的標(biāo)準(zhǔn)接口和協(xié)議Syslog方式，支持SYSLOG協(xié)議的設(shè)備，如：防火墻、UNIX服務(wù)器等；ODBC/JDBC方式，支持?jǐn)?shù)據(jù)庫聯(lián)接的設(shè)備；SNMP Trap方式，支持SNMP協(xié)議的設(shè)備，如：交換機、路由器、網(wǎng)路安全設(shè)備等；XML方式，支持HTTP協(xié)議的設(shè)備；EventLog方式，支持Windows平臺；特定接口方式，對于不支持通用協(xié)議的設(shè)備，需要定制開發(fā)，如：某網(wǎng)閘隔離系統(tǒng)。其他廠商內(nèi)部專用協(xié)議。Syslog和SNMP Trap方式作為最常見、傳統(tǒng)的方式，被大部分設(shè)備廠商和日志審計