【正文】 ，數(shù)據(jù)庫事件查詢，主機(jī)事件查詢，F(xiàn)tp事件查詢。針對不同類別的查詢，系統(tǒng)精心地為用戶提供了不同的查詢條件組合，方便用戶找到自己需要的信息。用戶可以指定的查詢條件包括：審計類型、事件接收時間、事件等級、源地址、目的地址、用戶名、策略名、會話ID（SessionID）等。能夠進(jìn)行事件訪問的趨勢分析，對最近一段時間的事件進(jìn)行統(tǒng)計分析，并描繪趨勢曲線。這樣，系統(tǒng)監(jiān)控管理員能夠清晰的看到最近一段時間內(nèi)部的的事件走向，并且可以清楚地看到敏感時間內(nèi)什么人對什么樣的保護(hù)對象進(jìn)行過訪問，以及訪問了保護(hù)對象的什么資源。針對不同的審計類型，產(chǎn)品提供不同的趨勢分析，系統(tǒng)監(jiān)控人員可以根據(jù)需要查看不同的趨勢分析。審計策略是為審計功能服務(wù)的，它為系統(tǒng)提供數(shù)據(jù)包采集引擎所需的策略配置，對通過引擎的數(shù)據(jù)包進(jìn)行基于審計策略的過濾，將符合審計策略的數(shù)據(jù)包提取出來、產(chǎn)生安全事件，然后再對安全事件進(jìn)行審計分析。同時，審計策略也決定了審計的顆粒度，用戶可以通過對審計策略的設(shè)定來決定審計的各種細(xì)節(jié)。系統(tǒng)可以根據(jù)用戶要求自由組織審計策略，提供便捷的添加、修改、刪除、導(dǎo)入、導(dǎo)出、啟用和禁用等功能。可以將針對同一業(yè)務(wù)的不同方面的審計策略選項集中到一條審計策略中進(jìn)行配置，這樣用戶無需切換頁面和進(jìn)行復(fù)雜的選項配置，簡化了用戶操作，同時并未減少需要配置的審計對象的元素。在策略配置中，用戶可以從各類協(xié)議中提取出公共部分進(jìn)行統(tǒng)一配置，各類協(xié)議的私有部分再根據(jù)不同的細(xì)節(jié)進(jìn)行相應(yīng)的配置，從而避免了重復(fù)配置，減輕了用戶的審計配置工作量。策略配置內(nèi)容：審計類型行為采集響應(yīng)主機(jī)1．登錄2．注銷3一般操作1．全部：審計全部內(nèi)容2．訪問文件名稱關(guān)鍵字過濾1．記錄2．阻斷數(shù)據(jù)庫1．用戶行為2．?dāng)?shù)據(jù)定義3．?dāng)?shù)據(jù)操作4．?dāng)?shù)據(jù)控制5．其他1．全部：審計全部內(nèi)容關(guān)鍵字過濾（可以細(xì)化到庫、表、記錄、用戶、存儲過程、函數(shù)等）1．記錄2．阻斷FTP1．登錄2．注銷3一般操作1．全部文件/目錄名稱關(guān)鍵字過濾1．記錄2．阻斷主機(jī)審計功能可審計VNC、Telnet、網(wǎng)上鄰居和定制的主機(jī)協(xié)議的登錄、注銷和一般操作等行為。用戶可以在業(yè)務(wù)綜合審計中單獨查看主機(jī)審計的實時統(tǒng)計信息和趨勢分析；可以定義專門的主機(jī)審計策略；可以在報表管理中單獨查看與主機(jī)審計相關(guān)的報表報告。數(shù)據(jù)庫審計功能可審計包括各個平臺（Windows、Linux、Solaris、AIX）和版本的SQL Server、Oracle等在內(nèi)的數(shù)據(jù)庫的DDL，DML，DCL和其它操作等行為。操作行為內(nèi)容和描述用戶行為數(shù)據(jù)庫用戶的登錄、注銷數(shù)據(jù)定義語言（DDL）操作CREATE，ALTER，DROP等創(chuàng)建、修改或者刪除數(shù)據(jù)庫對象（表、索引、視圖、存儲過程、觸發(fā)器、域，等等）的SQL指令數(shù)據(jù)操作語言（DML）操作SELECT，DELETE，UPDATE，INSERT等用于檢索或者修改數(shù)據(jù)的SQL指令數(shù)據(jù)控制語言（DCL）操作GRANT，REVOKE等定義數(shù)據(jù)庫用戶的權(quán)限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事務(wù)操作指令數(shù)據(jù)庫審計的內(nèi)容可以細(xì)化到庫、表、記錄、用戶、存儲過程、函數(shù)。用戶可以在業(yè)務(wù)綜合審計中單獨查看數(shù)據(jù)庫審計的實時統(tǒng)計信息和趨勢分析；可以定義專門的數(shù)據(jù)庫審計策略；可以在報表管理中單獨查看與數(shù)據(jù)庫審計相關(guān)的報表報告。FTP審計功能可審計FTP協(xié)議的登錄、注銷和一般操作等行為，可以審計FTP操作的文件/目錄名稱。用戶可以在業(yè)務(wù)綜合審計中單獨查看FTP審計的實時統(tǒng)計信息和趨勢分析；可以定義專門的FTP審計策略；可以在報表管理中單獨查看與FTP審計相關(guān)的報表報告。系統(tǒng)實時監(jiān)測用戶網(wǎng)絡(luò)七層結(jié)構(gòu)中各層的流量分布，進(jìn)行協(xié)議、流量的綜合分析，從而可以根據(jù)業(yè)務(wù)網(wǎng)需要改變網(wǎng)絡(luò)狀況。在流量分析中，主要以報表的形式形象地展示網(wǎng)絡(luò)中的狀況。流量審計功能可以審計從三層到七層協(xié)議的流量，能夠?qū)徲?0種以上的應(yīng)用層協(xié)議，包括IM、P2P、HTTP、POPSMTP等。流量審計的內(nèi)容包括數(shù)據(jù)包分布審計、流量分布審計、應(yīng)用協(xié)議流量審計、端口流量審計，用戶可以進(jìn)行基本流量信息查看、協(xié)議分析、會話分析、節(jié)點分析?；拘畔⒅饕治隽藬?shù)據(jù)包在網(wǎng)絡(luò)中的分布狀況，例如多播、廣播、點播包的分布，不同大小的包分布，等等。還涉及了數(shù)據(jù)流量在不同時段的分布情況。協(xié)議分析主要體現(xiàn)了網(wǎng)絡(luò)中IP層和應(yīng)用層的流量分布，還包括不同端口的流量分布，等等。會話分析描述了活動會話（Session）的狀況。節(jié)點分析中主要是網(wǎng)絡(luò)中各個節(jié)點（包括主機(jī)、無IP設(shè)備）在網(wǎng)絡(luò)中的應(yīng)用層和IP層中的流量分布，并對單個節(jié)點的流量狀況進(jìn)行了詳細(xì)的分析，包括單個節(jié)點的基本網(wǎng)絡(luò)信息，以及流量時段分布、協(xié)議和應(yīng)用協(xié)議的具體分布。在事件分析引擎的驅(qū)動下，根據(jù)告警規(guī)則，針對符合規(guī)則的安全事件進(jìn)行實時分析，抽取出對于安全管理人員真正有用的安全信息，從而協(xié)助安全管理人員快速識別安全事故，進(jìn)行安全審計。告警規(guī)則應(yīng)具有如下特性：216。 規(guī)則分為系統(tǒng)預(yù)定義規(guī)則和用戶自定義規(guī)則兩大類216。 用戶在制定規(guī)則的時候，既可以設(shè)定告警的觸發(fā)條件，也可以設(shè)定觸發(fā)告警后的自動響應(yīng)動作216。 修訂告警規(guī)則無需重啟系統(tǒng)或者某個模塊，規(guī)則一旦被應(yīng)用立即生效216。 規(guī)則編寫支持各種運算符在審計出安全事件并告警后，監(jiān)控管理人員能夠及時進(jìn)行響應(yīng)處理（發(fā)送郵件、SNMP Trap、執(zhí)行程序腳本、設(shè)備聯(lián)動，等等）。安全管理人員可以將網(wǎng)絡(luò)行為審計的結(jié)果生成報表，作為工作內(nèi)容匯報的一部分提交給相關(guān)部門。報表可以導(dǎo)出為各種格式，例如PDF、Excel、XML、RTF，等等。報表運行還可以進(jìn)行調(diào)度，定期自動產(chǎn)生周報、月報，并通過郵件發(fā)送給指定接收人。7系統(tǒng)部署方案 安全審計綜合管理平臺系統(tǒng)部署方案部署結(jié)構(gòu)圖如下：部署圖說明如下：（1）在業(yè)務(wù)系統(tǒng)的主機(jī)操作系統(tǒng)部署Agent，采集操作系統(tǒng)的日志信息。（2）外網(wǎng)各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)將日志通過系統(tǒng)接口發(fā)送給安全中心。（3）在外網(wǎng)管理區(qū)部署日志安全審計中心及存儲備份設(shè)備，負(fù)責(zé)集中收集各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)的日志信息，進(jìn)行日志標(biāo)準(zhǔn)化及關(guān)聯(lián)分析，發(fā)現(xiàn)告警安全事件；同時通過存儲設(shè)備對日志進(jìn)行定期存儲備份。（4）數(shù)據(jù)庫和網(wǎng)絡(luò)審計系統(tǒng)通過鏡像的方式獲取數(shù)據(jù)，高警信息發(fā)送給日志審計系統(tǒng)。服務(wù)器端216。 硬件環(huán)境處理器： Intel X86系列或兼容CPU最低PIV 推薦Xeon * 2或相當(dāng)內(nèi) 存：最低1GB，推薦2GB硬 盤：最低IDE 80G * 1，推薦SCSI 72GB * 2網(wǎng) 卡： 最低10/100自適應(yīng)網(wǎng)卡 * 1, 推薦雙網(wǎng)卡推薦品牌：IBM、DELL、HP等216。 軟件環(huán)境操作系統(tǒng)：Windows 2000、Windows XP、Windows 2003 Server。 Linux Solaris （SPARC）Java環(huán)境：Java SDk WEB服務(wù)器：Tomcat 數(shù)據(jù)庫：ORACLE 9i/10g server或者SQL server2005客戶端支持類型：支持Microsoft Internet Explorer瀏覽器支持版本：支持語言：簡體中文、英文+簡體中文支持包插件要求：安裝Macromedia Flash Player 數(shù)據(jù)庫和網(wǎng)絡(luò)審計系統(tǒng)為硬件產(chǎn)品，系統(tǒng)應(yīng)采用功能分擔(dān)、分布式多處理機(jī)結(jié)構(gòu)。主要模塊冗余度為1+1，易于擴(kuò)容和維護(hù)。 系統(tǒng)實施建議由于總行正在進(jìn)行內(nèi)聯(lián)網(wǎng)的內(nèi)外網(wǎng)劃分建設(shè),根據(jù)內(nèi)外網(wǎng)建設(shè)策略，將新建內(nèi)網(wǎng)。內(nèi)網(wǎng)建設(shè)后會將總行機(jī)關(guān)辦公自動化系統(tǒng)等管理系統(tǒng)全部遷入，辦公系統(tǒng)將受內(nèi)外網(wǎng)劃分工作影響較大；外網(wǎng)基于現(xiàn)有各主要業(yè)務(wù)系統(tǒng)，如貨幣發(fā)行信息管理系統(tǒng)、國庫信息處理系統(tǒng)等重要業(yè)務(wù)系統(tǒng)，各業(yè)務(wù)系統(tǒng)基本不受內(nèi)外網(wǎng)建設(shè)影響?；趦?nèi)外網(wǎng)的建設(shè)情況，從保證實際安全審計項目效果，安全審計系統(tǒng)建設(shè)將分階段建設(shè)，考慮XX為新建系統(tǒng)，目前正在試點，貨幣發(fā)行管理信息系統(tǒng)需進(jìn)行升級改造，擬先選擇XX系統(tǒng)或貨金系統(tǒng)作為日志采集對象，開展日志審計系統(tǒng)建設(shè)工作。同時，網(wǎng)絡(luò)作為應(yīng)用系統(tǒng)的基礎(chǔ)設(shè)施且支持標(biāo)準(zhǔn)協(xié)議，也將作為日志采集對象。通過試點采集網(wǎng)絡(luò)基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)的日志信息，進(jìn)一步完善日志管理規(guī)范，總結(jié)日志審計系統(tǒng)建設(shè)經(jīng)驗，不斷擴(kuò)大日志審計系統(tǒng)日志信息的采集范圍。為了保證系統(tǒng)的安全性，日志審計系統(tǒng)的部署必須建立在不影響正常系統(tǒng)的基礎(chǔ)之上。日志審計系統(tǒng)部署之前，必須做好充分的準(zhǔn)備工作。1）要充分的調(diào)研被監(jiān)控對象：調(diào)研內(nèi)容包含產(chǎn)品名稱、型號、支持接口類型等。2）日志審計系統(tǒng)必須明確給出支持審計設(shè)備情況，不支持的設(shè)備要通過定制開發(fā)實現(xiàn)日志采集。我行要負(fù)責(zé)協(xié)調(diào)相關(guān)廠商進(jìn)行配合。4）供應(yīng)商需要給出詳細(xì)的實施方案，實施過程嚴(yán)格按照實施方案進(jìn)行。 二次開發(fā)我行日志審計系統(tǒng)將采用標(biāo)準(zhǔn)化的Syslog、SNMP協(xié)議（目前絕大多數(shù)被審計設(shè)備都支持這兩種標(biāo)準(zhǔn)協(xié)議）。個別新系統(tǒng)如需經(jīng)過二次開發(fā)才能由日志審計系統(tǒng)審計，我行將協(xié)調(diào)日志審計系統(tǒng)廠商、新系統(tǒng)廠商配合進(jìn)行二次開發(fā)工作，具體開發(fā)周期可在三方協(xié)商后確定，具體開發(fā)費用將在與日志審計系統(tǒng)廠商簽訂合同時確定。40 / 40