【正文】 ，數(shù)據(jù)庫(kù)事件查詢，主機(jī)事件查詢，F(xiàn)tp事件查詢。針對(duì)不同類別的查詢，系統(tǒng)精心地為用戶提供了不同的查詢條件組合，方便用戶找到自己需要的信息。用戶可以指定的查詢條件包括：審計(jì)類型、事件接收時(shí)間、事件等級(jí)、源地址、目的地址、用戶名、策略名、會(huì)話ID（SessionID）等。能夠進(jìn)行事件訪問(wèn)的趨勢(shì)分析，對(duì)最近一段時(shí)間的事件進(jìn)行統(tǒng)計(jì)分析，并描繪趨勢(shì)曲線。這樣，系統(tǒng)監(jiān)控管理員能夠清晰的看到最近一段時(shí)間內(nèi)部的的事件走向，并且可以清楚地看到敏感時(shí)間內(nèi)什么人對(duì)什么樣的保護(hù)對(duì)象進(jìn)行過(guò)訪問(wèn)，以及訪問(wèn)了保護(hù)對(duì)象的什么資源。針對(duì)不同的審計(jì)類型，產(chǎn)品提供不同的趨勢(shì)分析，系統(tǒng)監(jiān)控人員可以根據(jù)需要查看不同的趨勢(shì)分析。審計(jì)策略是為審計(jì)功能服務(wù)的，它為系統(tǒng)提供數(shù)據(jù)包采集引擎所需的策略配置，對(duì)通過(guò)引擎的數(shù)據(jù)包進(jìn)行基于審計(jì)策略的過(guò)濾，將符合審計(jì)策略的數(shù)據(jù)包提取出來(lái)、產(chǎn)生安全事件，然后再對(duì)安全事件進(jìn)行審計(jì)分析。同時(shí)，審計(jì)策略也決定了審計(jì)的顆粒度，用戶可以通過(guò)對(duì)審計(jì)策略的設(shè)定來(lái)決定審計(jì)的各種細(xì)節(jié)。系統(tǒng)可以根據(jù)用戶要求自由組織審計(jì)策略，提供便捷的添加、修改、刪除、導(dǎo)入、導(dǎo)出、啟用和禁用等功能。可以將針對(duì)同一業(yè)務(wù)的不同方面的審計(jì)策略選項(xiàng)集中到一條審計(jì)策略中進(jìn)行配置，這樣用戶無(wú)需切換頁(yè)面和進(jìn)行復(fù)雜的選項(xiàng)配置，簡(jiǎn)化了用戶操作，同時(shí)并未減少需要配置的審計(jì)對(duì)象的元素。在策略配置中，用戶可以從各類協(xié)議中提取出公共部分進(jìn)行統(tǒng)一配置，各類協(xié)議的私有部分再根據(jù)不同的細(xì)節(jié)進(jìn)行相應(yīng)的配置，從而避免了重復(fù)配置，減輕了用戶的審計(jì)配置工作量。策略配置內(nèi)容：審計(jì)類型行為采集響應(yīng)主機(jī)1．登錄2．注銷3一般操作1．全部：審計(jì)全部?jī)?nèi)容2．訪問(wèn)文件名稱關(guān)鍵字過(guò)濾1．記錄2．阻斷數(shù)據(jù)庫(kù)1．用戶行為2．?dāng)?shù)據(jù)定義3．?dāng)?shù)據(jù)操作4．?dāng)?shù)據(jù)控制5．其他1．全部：審計(jì)全部?jī)?nèi)容關(guān)鍵字過(guò)濾（可以細(xì)化到庫(kù)、表、記錄、用戶、存儲(chǔ)過(guò)程、函數(shù)等）1．記錄2．阻斷FTP1．登錄2．注銷3一般操作1．全部文件/目錄名稱關(guān)鍵字過(guò)濾1．記錄2．阻斷主機(jī)審計(jì)功能可審計(jì)VNC、Telnet、網(wǎng)上鄰居和定制的主機(jī)協(xié)議的登錄、注銷和一般操作等行為。用戶可以在業(yè)務(wù)綜合審計(jì)中單獨(dú)查看主機(jī)審計(jì)的實(shí)時(shí)統(tǒng)計(jì)信息和趨勢(shì)分析；可以定義專門的主機(jī)審計(jì)策略；可以在報(bào)表管理中單獨(dú)查看與主機(jī)審計(jì)相關(guān)的報(bào)表報(bào)告。數(shù)據(jù)庫(kù)審計(jì)功能可審計(jì)包括各個(gè)平臺(tái)（Windows、Linux、Solaris、AIX）和版本的SQL Server、Oracle等在內(nèi)的數(shù)據(jù)庫(kù)的DDL，DML，DCL和其它操作等行為。操作行為內(nèi)容和描述用戶行為數(shù)據(jù)庫(kù)用戶的登錄、注銷數(shù)據(jù)定義語(yǔ)言（DDL）操作CREATE，ALTER，DROP等創(chuàng)建、修改或者刪除數(shù)據(jù)庫(kù)對(duì)象（表、索引、視圖、存儲(chǔ)過(guò)程、觸發(fā)器、域，等等）的SQL指令數(shù)據(jù)操作語(yǔ)言（DML）操作SELECT，DELETE，UPDATE，INSERT等用于檢索或者修改數(shù)據(jù)的SQL指令數(shù)據(jù)控制語(yǔ)言（DCL）操作GRANT，REVOKE等定義數(shù)據(jù)庫(kù)用戶的權(quán)限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事務(wù)操作指令數(shù)據(jù)庫(kù)審計(jì)的內(nèi)容可以細(xì)化到庫(kù)、表、記錄、用戶、存儲(chǔ)過(guò)程、函數(shù)。用戶可以在業(yè)務(wù)綜合審計(jì)中單獨(dú)查看數(shù)據(jù)庫(kù)審計(jì)的實(shí)時(shí)統(tǒng)計(jì)信息和趨勢(shì)分析；可以定義專門的數(shù)據(jù)庫(kù)審計(jì)策略；可以在報(bào)表管理中單獨(dú)查看與數(shù)據(jù)庫(kù)審計(jì)相關(guān)的報(bào)表報(bào)告。FTP審計(jì)功能可審計(jì)FTP協(xié)議的登錄、注銷和一般操作等行為，可以審計(jì)FTP操作的文件/目錄名稱。用戶可以在業(yè)務(wù)綜合審計(jì)中單獨(dú)查看FTP審計(jì)的實(shí)時(shí)統(tǒng)計(jì)信息和趨勢(shì)分析；可以定義專門的FTP審計(jì)策略；可以在報(bào)表管理中單獨(dú)查看與FTP審計(jì)相關(guān)的報(bào)表報(bào)告。系統(tǒng)實(shí)時(shí)監(jiān)測(cè)用戶網(wǎng)絡(luò)七層結(jié)構(gòu)中各層的流量分布，進(jìn)行協(xié)議、流量的綜合分析，從而可以根據(jù)業(yè)務(wù)網(wǎng)需要改變網(wǎng)絡(luò)狀況。在流量分析中，主要以報(bào)表的形式形象地展示網(wǎng)絡(luò)中的狀況。流量審計(jì)功能可以審計(jì)從三層到七層協(xié)議的流量，能夠?qū)徲?jì)20種以上的應(yīng)用層協(xié)議，包括IM、P2P、HTTP、POPSMTP等。流量審計(jì)的內(nèi)容包括數(shù)據(jù)包分布審計(jì)、流量分布審計(jì)、應(yīng)用協(xié)議流量審計(jì)、端口流量審計(jì)，用戶可以進(jìn)行基本流量信息查看、協(xié)議分析、會(huì)話分析、節(jié)點(diǎn)分析。基本信息主要分析了數(shù)據(jù)包在網(wǎng)絡(luò)中的分布狀況，例如多播、廣播、點(diǎn)播包的分布，不同大小的包分布，等等。還涉及了數(shù)據(jù)流量在不同時(shí)段的分布情況。協(xié)議分析主要體現(xiàn)了網(wǎng)絡(luò)中IP層和應(yīng)用層的流量分布，還包括不同端口的流量分布，等等。會(huì)話分析描述了活動(dòng)會(huì)話（Session）的狀況。節(jié)點(diǎn)分析中主要是網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)（包括主機(jī)、無(wú)IP設(shè)備）在網(wǎng)絡(luò)中的應(yīng)用層和IP層中的流量分布，并對(duì)單個(gè)節(jié)點(diǎn)的流量狀況進(jìn)行了詳細(xì)的分析，包括單個(gè)節(jié)點(diǎn)的基本網(wǎng)絡(luò)信息，以及流量時(shí)段分布、協(xié)議和應(yīng)用協(xié)議的具體分布。在事件分析引擎的驅(qū)動(dòng)下，根據(jù)告警規(guī)則，針對(duì)符合規(guī)則的安全事件進(jìn)行實(shí)時(shí)分析，抽取出對(duì)于安全管理人員真正有用的安全信息，從而協(xié)助安全管理人員快速識(shí)別安全事故，進(jìn)行安全審計(jì)。告警規(guī)則應(yīng)具有如下特性：216。 規(guī)則分為系統(tǒng)預(yù)定義規(guī)則和用戶自定義規(guī)則兩大類216。 用戶在制定規(guī)則的時(shí)候，既可以設(shè)定告警的觸發(fā)條件，也可以設(shè)定觸發(fā)告警后的自動(dòng)響應(yīng)動(dòng)作216。 修訂告警規(guī)則無(wú)需重啟系統(tǒng)或者某個(gè)模塊，規(guī)則一旦被應(yīng)用立即生效216。 規(guī)則編寫支持各種運(yùn)算符在審計(jì)出安全事件并告警后，監(jiān)控管理人員能夠及時(shí)進(jìn)行響應(yīng)處理（發(fā)送郵件、SNMP Trap、執(zhí)行程序腳本、設(shè)備聯(lián)動(dòng)，等等）。安全管理人員可以將網(wǎng)絡(luò)行為審計(jì)的結(jié)果生成報(bào)表，作為工作內(nèi)容匯報(bào)的一部分提交給相關(guān)部門。報(bào)表可以導(dǎo)出為各種格式，例如PDF、Excel、XML、RTF，等等。報(bào)表運(yùn)行還可以進(jìn)行調(diào)度，定期自動(dòng)產(chǎn)生周報(bào)、月報(bào)，并通過(guò)郵件發(fā)送給指定接收人。7系統(tǒng)部署方案 安全審計(jì)綜合管理平臺(tái)系統(tǒng)部署方案部署結(jié)構(gòu)圖如下：部署圖說(shuō)明如下：（1）在業(yè)務(wù)系統(tǒng)的主機(jī)操作系統(tǒng)部署Agent，采集操作系統(tǒng)的日志信息。（2）外網(wǎng)各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)將日志通過(guò)系統(tǒng)接口發(fā)送給安全中心。（3）在外網(wǎng)管理區(qū)部署日志安全審計(jì)中心及存儲(chǔ)備份設(shè)備，負(fù)責(zé)集中收集各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)的日志信息，進(jìn)行日志標(biāo)準(zhǔn)化及關(guān)聯(lián)分析，發(fā)現(xiàn)告警安全事件；同時(shí)通過(guò)存儲(chǔ)設(shè)備對(duì)日志進(jìn)行定期存儲(chǔ)備份。（4）數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)審計(jì)系統(tǒng)通過(guò)鏡像的方式獲取數(shù)據(jù)，高警信息發(fā)送給日志審計(jì)系統(tǒng)。服務(wù)器端216。 硬件環(huán)境處理器： Intel X86系列或兼容CPU最低PIV 推薦Xeon * 2或相當(dāng)內(nèi) 存：最低1GB，推薦2GB硬 盤：最低IDE 80G * 1，推薦SCSI 72GB * 2網(wǎng) 卡： 最低10/100自適應(yīng)網(wǎng)卡 * 1, 推薦雙網(wǎng)卡推薦品牌：IBM、DELL、HP等216。 軟件環(huán)境操作系統(tǒng)：Windows 2000、Windows XP、Windows 2003 Server。 Linux Solaris （SPARC）Java環(huán)境：Java SDk WEB服務(wù)器：Tomcat 數(shù)據(jù)庫(kù)：ORACLE 9i/10g server或者SQL server2005客戶端支持類型：支持Microsoft Internet Explorer瀏覽器支持版本：支持語(yǔ)言：簡(jiǎn)體中文、英文+簡(jiǎn)體中文支持包插件要求：安裝Macromedia Flash Player 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)審計(jì)系統(tǒng)為硬件產(chǎn)品，系統(tǒng)應(yīng)采用功能分擔(dān)、分布式多處理機(jī)結(jié)構(gòu)。主要模塊冗余度為1+1，易于擴(kuò)容和維護(hù)。 系統(tǒng)實(shí)施建議由于總行正在進(jìn)行內(nèi)聯(lián)網(wǎng)的內(nèi)外網(wǎng)劃分建設(shè),根據(jù)內(nèi)外網(wǎng)建設(shè)策略，將新建內(nèi)網(wǎng)。內(nèi)網(wǎng)建設(shè)后會(huì)將總行機(jī)關(guān)辦公自動(dòng)化系統(tǒng)等管理系統(tǒng)全部遷入，辦公系統(tǒng)將受內(nèi)外網(wǎng)劃分工作影響較大；外網(wǎng)基于現(xiàn)有各主要業(yè)務(wù)系統(tǒng)，如貨幣發(fā)行信息管理系統(tǒng)、國(guó)庫(kù)信息處理系統(tǒng)等重要業(yè)務(wù)系統(tǒng)，各業(yè)務(wù)系統(tǒng)基本不受內(nèi)外網(wǎng)建設(shè)影響?；趦?nèi)外網(wǎng)的建設(shè)情況，從保證實(shí)際安全審計(jì)項(xiàng)目效果，安全審計(jì)系統(tǒng)建設(shè)將分階段建設(shè)，考慮XX為新建系統(tǒng)，目前正在試點(diǎn)，貨幣發(fā)行管理信息系統(tǒng)需進(jìn)行升級(jí)改造，擬先選擇XX系統(tǒng)或貨金系統(tǒng)作為日志采集對(duì)象，開(kāi)展日志審計(jì)系統(tǒng)建設(shè)工作。同時(shí)，網(wǎng)絡(luò)作為應(yīng)用系統(tǒng)的基礎(chǔ)設(shè)施且支持標(biāo)準(zhǔn)協(xié)議，也將作為日志采集對(duì)象。通過(guò)試點(diǎn)采集網(wǎng)絡(luò)基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)的日志信息，進(jìn)一步完善日志管理規(guī)范，總結(jié)日志審計(jì)系統(tǒng)建設(shè)經(jīng)驗(yàn)，不斷擴(kuò)大日志審計(jì)系統(tǒng)日志信息的采集范圍。為了保證系統(tǒng)的安全性，日志審計(jì)系統(tǒng)的部署必須建立在不影響正常系統(tǒng)的基礎(chǔ)之上。日志審計(jì)系統(tǒng)部署之前，必須做好充分的準(zhǔn)備工作。1）要充分的調(diào)研被監(jiān)控對(duì)象：調(diào)研內(nèi)容包含產(chǎn)品名稱、型號(hào)、支持接口類型等。2）日志審計(jì)系統(tǒng)必須明確給出支持審計(jì)設(shè)備情況，不支持的設(shè)備要通過(guò)定制開(kāi)發(fā)實(shí)現(xiàn)日志采集。我行要負(fù)責(zé)協(xié)調(diào)相關(guān)廠商進(jìn)行配合。4）供應(yīng)商需要給出詳細(xì)的實(shí)施方案，實(shí)施過(guò)程嚴(yán)格按照實(shí)施方案進(jìn)行。 二次開(kāi)發(fā)我行日志審計(jì)系統(tǒng)將采用標(biāo)準(zhǔn)化的Syslog、SNMP協(xié)議（目前絕大多數(shù)被審計(jì)設(shè)備都支持這兩種標(biāo)準(zhǔn)協(xié)議）。個(gè)別新系統(tǒng)如需經(jīng)過(guò)二次開(kāi)發(fā)才能由日志審計(jì)系統(tǒng)審計(jì)，我行將協(xié)調(diào)日志審計(jì)系統(tǒng)廠商、新系統(tǒng)廠商配合進(jìn)行二次開(kāi)發(fā)工作，具體開(kāi)發(fā)周期可在三方協(xié)商后確定，具體開(kāi)發(fā)費(fèi)用將在與日志審計(jì)系統(tǒng)廠商簽訂合同時(shí)確定。40 / 40