某银行安全审计管理现状

1、 HYPERLINK HYPERLINK 某银行暗安全审计综合管芭理平台唉建设方案板V1岸.2唉二案凹九年三月目 录TOC o 1-3 h z u HYPERLINK l _Toc228260107 1背景 PAGEREF _Toc228260107 h 4 HYPERLINK l _Toc228260108 肮2巴安全审计管理现摆状俺 PAGEREF _Toc228260108 h 哎6 HYPERLINK l _Toc228260109 芭2.1昂安全审计基本概皑念耙 PAGEREF _Toc228260109 h 氨6 HYPERLINK l _Toc228260110 稗2.2 扳总行

2、金融信息管扮理中心安全审计哎管理现状按 PAGEREF _Toc228260110 h 叭9 HYPERLINK l _Toc228260111 哎2.2.1盎日志审计白 PAGEREF _Toc228260111 h 斑9 HYPERLINK l _Toc228260112 稗2.2.2澳数据库和网络审癌计唉 PAGEREF _Toc228260112 h 搬11 HYPERLINK l _Toc228260113 半2.3 癌我行安全审计管澳理办法制定现状邦 PAGEREF _Toc228260113 h 氨11 HYPERLINK l _Toc228260114 霸2.4 拌安全审计产品

3、及胺应用现状翱 PAGEREF _Toc228260114 h 按13 HYPERLINK l _Toc228260115 凹3熬安全审计必要性澳 PAGEREF _Toc228260115 h 稗13 HYPERLINK l _Toc228260116 熬4艾安全审计综合管搬理平台建设目标叭 PAGEREF _Toc228260116 h 敖14 HYPERLINK l _Toc228260117 坝5隘安全审计综合管澳理平台需求扮 PAGEREF _Toc228260117 h 败16 HYPERLINK l _Toc228260118 氨5.1佰日志审计系统需把求巴 PAGEREF _T

4、oc228260118 h 扒16 HYPERLINK l _Toc228260119 岸5.1.1矮系统功能需求背 PAGEREF _Toc228260119 h 哎16 HYPERLINK l _Toc228260120 隘5.1.2 俺系统性能需求癌 PAGEREF _Toc228260120 h 稗19 HYPERLINK l _Toc228260121 蔼5.1.3 氨系统安全需求翱 PAGEREF _Toc228260121 h 背20 HYPERLINK l _Toc22盎8260122傲昂 挨5.1.4 俺系统接口需求艾 PAGEREF _Toc228260122 h 办21

5、HYPERLINK l _Toc228260123 摆5.2瓣数据库和网络审背计系统需求疤 PAGEREF _Toc228260123 h 绊22 HYPERLINK l _Toc228260124 斑5.2.1败审计功能需求扮 PAGEREF _Toc228260124 h 柏22 HYPERLINK l _Toc228260125 霸5.2坝.2熬报表功能需求耙 PAGEREF _Toc228260125 h 班23 HYPERLINK l _Toc228260126 爱5.2.3坝审计对象及兼容罢性支持颁 PAGEREF _Toc228260126 h 唉24 HYPERLINK l _

6、Toc228260127 昂5.2.4矮系统性能俺 PAGEREF _Toc228260127 h 跋24 HYPERLINK l _Toc228260128 坝5.2.5碍审计完整性败 PAGEREF _Toc228260128 h 扳25 HYPERLINK l _Toc228260129 碍6靶安全审计综合管半理平台建设方案肮 PAGEREF _Toc228260129 h 瓣25 HYPERLINK l _Toc228260130 唉6.1罢日志审计系统建拜设方案岸 PAGEREF _Toc228260130 h 碍25 HYPERLINK l _Toc228260131 扮6.1.1

7、 拔日志管理建议袄 PAGEREF _Toc228260131 h 唉25 HYPERLINK l _Toc228260132 阿6.1.2 敖日志审计系统整熬体架构懊 PAGEREF _Toc228260132 h 敖26 HYPERLINK l _Toc228260133 拔6.1.3 案日志采集实现方扮式芭 PAGEREF _Toc228260133 h 拔28 HYPERLINK l _Toc228260134 扳6.1.4 皑日志标准化实现搬方式碍 PAGEREF _Toc228260134 h 袄30 HYPERLINK l _Toc228260135 哎6.1.5 拔日志存储实现

8、方爱式碍 PAGEREF _Toc228260135 h 俺31 HYPERLINK l _Toc228260136 氨6.1.6 颁日志关联分析澳 PAGEREF _Toc228260136 h 办32 HYPERLINK l _Toc228260137 版6.1.7 敖安全事件报警安 PAGEREF _Toc228260137 h 捌33 HYPERLINK l _Toc228260138 按6.1.8 靶日志报表斑 PAGEREF _Toc228260138 h 傲34 HYPERLINK l _Toc228260139 柏6.1.9版系统管理柏 PAGEREF _Toc22826013

9、9 h 跋35 HYPERLINK l _Toc228260140 拔6.1.10 佰系统接口规范芭 PAGEREF _Toc228260140 h 半36 HYPERLINK l _Toc22826014盎1啊 鞍6.2熬数据库和网络审啊计系统建设方案挨 PAGEREF _Toc228260141 h 爱37 HYPERLINK l _Toc228260142 扮6.2.1拌数据库和网络行懊为综合审计瓣 PAGEREF _Toc228260142 h 爱37 HYPERLINK l _Toc228260143 伴6.2.2瓣审计策略吧 PAGEREF _Toc228260143 h 扳38

10、HYPERLINK l _Toc228260144 氨6.2.班3扮审计内容爱 PAGEREF _Toc228260144 h 拔39 HYPERLINK l _Toc228260145 绊6.2.4吧告警与响应管理捌 PAGEREF _Toc228260145 h 拔42 HYPERLINK l _Toc228260146 安6.2.5蔼报表管理巴 PAGEREF _Toc228260146 h 碍42 HYPERLINK l _Toc228260147 懊7白系统部署方案胺 PAGEREF _Toc228260147 h 矮43 HYPERLINK l _Toc228260148 啊7.1

11、 扒安全审计综合管懊理平台系统部署伴方案扮 PAGEREF _Toc228260148 h 背43 HYPERLINK l _Toc228260149 邦7.2办系统部署环境要隘求版 PAGEREF _Toc228260149 h 捌44 HYPERLINK l _Toc228260150 唉7.2.1傲日志审计系统柏 PAGEREF _Toc228260150 h 版44 HYPERLINK l _Toc228260151 拔7.2.2稗数据库和网络审蔼计系统绊 PAGEREF _Toc228260151 h 拜45 HYPERLINK l _Toc228260152 巴7.3 跋系统实施建

12、议熬 PAGEREF _Toc228260152 h 半45 HYPERLINK l _Toc228260153 懊7.4 埃二次开发袄 PAGEREF _Toc228260153 h 叭461背景碍近年来，皑XX银行捌信息化建设得到啊快速发展，央行耙履行金融调控、扳金融稳定、金融芭市场和金融服务氨职能高度依赖于碍信息技术应用，斑信息安全问题的办全局性影响作用氨日益增强。扒目前，败XX银行澳信息安全保障体拔系中安全系统建按设已经达到了一爸定的水平。建设搬了非法外联监控碍管理系统、入侵安检测系统、漏洞爸扫描系统、防病埃毒系统及补丁分邦发系统，为客户皑端安全管理、网瓣络安全管理和系敖统安全管理提供

13、案了技术支撑手段耙，有效提高了安叭全管理水平；完蔼成制定金融业叭星型网间互联安啊全规范金融业暗行业标准，完善敖内联网外联防火扒墙系统，确保败XX银行暗网络边界安全；耙制定并下发叭银行耙计算机机房规范埃化工作指引，伴规范和加强机房奥环境安全管理。昂信息安全审计技氨术是实现信息安绊全整个过程中关皑键记录信息的监霸控统计，是信息斑安全保障体系中柏不可缺少的一部颁分。随着电子政办务、电子商务以胺及各类网上应用矮的开展得到了普版遍关注，并且在哎越来越多的大型办网络系统中已经盎成功应用并发挥阿着重要作用，特碍别针对安全事故把分析、追踪起到埃了关键性作用。拜传统的安全审计靶系统局限于对主埃机的操作系统日爱志

14、的收集和简单阿分析，缺乏对于办多种平台下（W爸indows系捌列、Unix系班列、Solar按is等）、多种翱网络设备、重要隘服务器系统、应啊用系统以及数据疤库系统综合的安霸全审计功能。稗随着网络规模的拜迅速扩大，单一奥式的安全审计技埃术逐步被分布式半安全审计技术所癌代替，加上各类蔼应用系统逐步增熬多，网络管理人胺员/运维人员工跋作量往往会成倍爱增加，使得关键熬信息得不到重点笆关注。大量事实搬表明，对于安全唉事件发生或关键白数据遭到严重破办坏之前完全可以哎预先通过日志异案常行为告警方式凹通知管理人员，胺及时进行分析并捌采取相应措施进绊行有效阻止，从扮而大大降低安全邦事件的发生率。跋目前我行信息

15、安巴全保障工作尚未碍有效开展安全审拔计工作，缺少事颁后审计的技术支矮撑手段。当前，瓣信息安全审计作颁为保障信息系统佰安全的制度逐渐柏发展起来；并已鞍在对信息系统依芭赖性最高的金融办业开始普及。信扳息安全审计的相扒关标准包括IS伴O/IEC17斑799、COS佰O、COBIT熬、ITIL、N吧ISTSP80癌0等。这些标准胺从不同角度提出奥信息安全控制体肮系，可以有效地扒控制信息安全风挨险。同时，公安扒部发布的信息凹系统安全等级保邦护技术要求中伴对安全审计提出扒明确的技术要求蔼：审计范围覆盖败网络设备、操作班系统、数据库、瓣应用系统，审计暗内容包括各网络伴设备运行状况、蔼系统资源的异常癌使用、重

16、要用户伴行为和重要系统熬命令的使用等系扒统内重要的安全八相关事件。澳为进一步完善信败息安全保障体系艾，2009年立澳项建设斑安全芭审计系统，不断奥提高安全管理水巴平。瓣2安全审计管理背现状凹2.1安全审计澳基本概念鞍信息安全审计凹是傲企业内控、信息蔼系统治理、安全爱风险控制等的不斑可或缺的关键手瓣段。胺信息安全审计能颁够为安全管理员癌提供一组可进行拜分析的管理数据啊，以发现在何处昂发生了违反安全熬方案的事件。利疤用安全审计结果板，可调整安全策翱略，堵住出现的暗漏洞。跋美国信息系统审唉计的权威专家R捌on Webe扒r又将它定义为凹收集并评估证据佰以决定一个计算八机系统是否有效办做到保护资产、翱

17、维护数据完整、摆完成目标，同时拜最经济的使用资盎源。办根据在信息系统伴中需要进行安全哀审计的对象与内八容，主要分为日白志审计、网络审板计、主机审计。碍下面分别说明如伴下：搬日志审计：氨日志可以作为责唉任认定的依据，阿也可作为系统运罢行记录集，对分百析系统运行情况败、排除故障、提凹高效率都发挥重霸要作用。日志审白计是安全审计针懊对信息系统整体隘安全状态监测的败基础技术，主要扮通过对网络设备百、安全设备、应埃用系统、操作系按统、数据库的集邦中日志采集、集奥中存储和关联分耙析，帮助管理员稗及时发现信息系般统的安全事件，巴同时当遇到特殊扒安全事件和系统胺故障时，确保日阿志存在和不被篡班改，帮助用户快皑

18、速定位追查取证盎。大量事实表明阿，对于安全事件胺发生或关键数据背遭到严重破坏之笆前完全可以预先艾通过日志审计进百行分析、告警并扒及时采取相应措班施进行有效阻止艾，从而大大降低按安全事件的发生捌率。巴数据库审计：摆主要负责对数据俺库的各种访问操摆作进行监控；是懊安全审计对数据坝库进行审计技术扒。它采用专门的瓣硬件审计引擎，芭通过旁路部署按采用镜像等方式般获取数据库访问阿的网络报文流量敖，实时监控网络傲中数据库的所有岸访问操作敖（如：插入、删哀除、更新、用户凹自定义操作等）邦，还原SQL操熬作命令包括源I跋P地址、目的I巴P地址、访问时凹间、用户名、数翱据库操作类型、搬数据库表名、字拜段名等，拜发

19、现各种违规数拌据库操作行为，岸及时报警响应、哎全过程操作还原办，从而实现安全胺事件的准确全程耙跟踪定位，全面伴保障数据库系统板安全。澳该采集方式不会吧对数据库的运行碍、访问产生胺任何袄影响败，而且具有更强哎的实时性，是比办较理想的数据库翱日志审计的实现半方式。艾网络审计：皑主要负责网络内昂容与行为的审计矮；是安全审计对傲网络通信的基础盎审计技术。它采跋用专门的网络审百计硬件引擎，安懊装在网络通信系靶统的数据汇聚点巴，通过旁路抓取澳网络数据包进行隘典型协议分析、碍识别、判断和记唉录，半Telnet、傲HTTP、Em熬ail、FTP芭、网上聊天、袄文件共享、流量挨等的检测分析等疤。啊澳主机审计：案

20、主要负责对网络蔼重要区域的客户袄机上的各种上网霸行为、文件拷贝班/打印操作、通唉过Modem擅阿自连接外网等进拜行审计。坝目前我行信息安傲全系统尚未有效奥开展袄安全伴审计蔼工作，由于缺少碍对各网络设备、柏安全设备、应用哎系统、操作系统唉、数据库的集中哀日志采集、集中坝存储和关联分析奥等事后审计、追氨查取证的技术支癌撑手段,以至无八法在遇到特殊安哀全事件和系统故罢障时确保日志存叭在和不被篡改，俺同时对主机和数蔼据库的操作行为芭也没有审计和管唉理的手段，不同氨有效对操作行为胺进行审计，防止阿误操作和恶意行拌为的发生，蔼因此我行碍迫切绊需要尽快建设奥安全疤审计系统（包括伴日志审计、凹数据库审计搬、网

21、络审计背），确保我行信把息系统安全。埃2.2 隘我坝行金融信息管理袄中心扒安全埃审计管理现状罢2.2.1日志盎审计稗作为数据中心的吧运维部门，负责拌运维内联网总行阿局域网、总行机皑关办公自动化系佰统及货币发行信哀息管理系统、国搬库信息处理系统罢等重要业务系统斑，保障信息系统扮IT基础设施的癌安全运行。为更稗好地制定日志审绊计系统建设方案澳，开展了金融信拌息管理中心日志敖管理现状调研工芭作，调研内容包岸括设备/系统配瓣置哪些日志信息把、日志信息包括版哪些属性、日志哀采集所支持的协哎议/接口、日志奥存储方式及日志扳管理现状，金融拌信息管理中心日案志管理现状调查版表详见附件。通吧过分析日志管理叭现状

22、调查表，将艾有关情况说明如拔下：暗一、日志内容。芭网络设备（包括版交换机和路由器敖）、安全设备（跋包括防火墙、入胺侵检测设备、防胺病毒管理系统和半补丁分发系统）安、办公自动化系癌统和重要业务系埃统均配置一定的笆日志信息，其中凹每类设备具有一盎定的日志配置规扒范，应用系统（案办公自动化系统按和重要业务系统傲）的日志内容差隘异较大，数据库疤和中间件仅配置拔“扒进程是否正常般”疤的日志信息。唉二、日志格式。皑网络设备和部分巴安全设备根据厂碍商的不同，其日傲志格式也不同，摆无统一的日志格爱式；应用系统根氨据系统平台的不哎同，其日志格式颁也不同，无统一百的日志格式。矮三、日志采集协澳议/接口。网络疤设备

23、和部分安全耙设备支持SNM捌P Trap和百Syslog协埃议，应用系统主百要支持TCP/班IP协议，个别版应用系统自定义斑了日志采集方式哀。氨四、日志存储方矮式。网络设备和柏部分安全设备日板志信息集中存储安在日志服务器中熬，其他设备/系罢统日志均存储在傲本地主机上。日瓣志信息以文本文把件、关系型数据摆库文件、Dom碍ino数据库文吧件和XML文件邦等方式进行存储斑。懊五、日志管理方阿式。主要为分散办管理,且无日志懊管理规范。在系稗统/设备出现故爱障时，日志信息唉是定位故障，解巴决故障的主要依哀据。安据了解，为加强暗网络基础设施运摆行情况的监控，岸金融信息管理中百心通过采集交换般机和路由器等网

24、袄络设备的日志信霸息，实现网络设疤备日志信息的集巴中管理，及时发捌现网络设备运行哎中出现的问题。疤通过上述现状的白分析，目前日志巴管理存在如下问霸题：癌1、不同系统/阿设备的日志信息巴分散存储，日志柏信息被非法删除傲，导致安全事故爸处置工作无法追坝查取证。癌2、在系统发生哀故障后，才去通办过日志信息定位般故障，导致系统柏安全运行工作存罢在一定的被动性熬，应主动地在日巴志信息中及时发伴现系统运行存在坝的隐患，提高系扳统运行安全管理跋水平。奥3、随着我行信邦息化工作的不断版深入，系统运维邦工作压力的不断跋加大，如不及时吧规范日志信息管八理，信管中心将暗逐步面临运维的拜设备多、人员少翱的问题，不能及

25、哎时准确把握运维按工作的重点。败在目前日志信息艾管理基础上，若耙简单加强日志信翱息管理，仍存在背如下问题：凹1、通过系统/胺设备各自的控制扒台去查看事件，啊窗口繁多，而且摆所有的事件都是绊孤立的，不同系熬统/设备之间的挨事件缺乏关联，板分析起来极为麻昂烦，无法弄清楚疤真实的状况。拌2、不同系统/暗设备对同一个事扒件的描述可能是懊不同的，管理人芭员需了解各系统巴/设备，分析各暗种不同格式的信奥息，导致管理人阿员的工作非常繁把重，效率低。佰3、海量日志信爱息不但无法帮助伴找出真正的问题氨，反而因为太多般而造成无法管理百，并且不同系统矮/设备可能产生懊不同的日志信息挨格式，无法做到爱快速识别和响应艾

26、。坝2.2.2数据胺库半和网络笆审计颁目前我行没有实百现对数据库操作澳和办网络操作行为的邦审计。爱对暗系统的后台操作拜人员的远程登录败主机、数据库的霸操作行为无法进哀行记录、审计，版难以防止系统滥哎用、泄密等问题氨的发生。矮2.3 我行安办全审计管理办法八制定现状扳在碍银行袄信息安全管理规般定提出如下安扮全审计要求：疤第一百三十九条袄敖各单位科技部门耙在支持与配合内矮审部门开展审计哀信息安全工作的皑同时，应适时开靶展本单位和辖内癌的信息系统日常拔运行管理和信息斑安全事件全过程版的技术审计，发暗现问题及时报本俺单位或上一级单把位主管领导。安第一百四十条翱敖各单位应做好操蔼作系统、数据库暗管理系统

27、等审计隘功能配置管理，芭应完整保留相关版日志记录，一般拌保留至少一个月翱，涉及资金交易碍的业务系统日志靶应根据需要确定傲保留时间。翱在扒银行扮信息系统安全配皑置指引-数据库耙分册提出如下靶安全审计要求：搬应配置审计日志霸，并定期查看、澳清理日志。芭审计内容包括创啊建、修改或删除版数据库帐户、数鞍据库对象、数据懊库表、数据库索败引的行为；允许背或者撤销审计功哎能的行为；授予碍或者取消数据库半系统级别权限的按行为；任何因为阿参考对象不存在白而引的错误信息案；任何改变数据摆库对象名称的动傲作；任何对数据矮库Dictio叭nary或者数皑据库系统配置的昂改变；所有数据板库连接失败的记版录；所有DBA巴

28、的数据库连接记艾录；所有数据库隘用户帐户升级和办删除操作的审计稗跟踪信息。鞍审计数据应被保搬存为分析程序或跋者脚下本可读的扮格式，时间期限办是一年。所有删绊除审计数据的操艾作，都应在动态按查帐索引中保留背记录。肮只有DBA或者拔安全审核员有权昂限选择、添加、败删除或者修改、鞍停用审计信息。搬上述安全审计管按理要求为开展日颁志审计系统建设埃提供了制度保障半。板2.4 袄安全盎审计产品及应用板现状佰目前市场上安全拔审计产品耙按审计类型也有扒很多产品，日志搬审计叭以SIM类产品捌为主，也叫安全艾信息和事件管理吧（SIEM），隘是安全管理领域笆发展的方向。S半IM是一个全面唉的、面向IT计版算环境的安

29、全集奥中管理平台，这疤个平台能够收集岸来自计算环境中背各种设备和应用笆的安全日志和事阿件，并进行存储扳、监控、分析、靶报警、响应和报案告，变过去被动懊的单点防御为全俺网的综合防御。斑由于日志审计对拜安全厂商的技术案开发能力有较高霸要求,国内一些八较有实力的安全拌厂商能够提供较熬为成熟的日志审跋计产品。目前矮，矮日志审计产品已唉在政府、运营商半、金融拔、民航百等行业广泛成功挨应用。盎针对皑数据库版和网络懊行为艾审计产品拜，国内也有多个扒厂家有比较成熟氨的产品，在很多罢行业都有应用。肮3安全审计必要唉性挨通过半安全肮审计系统建设，稗落实信息系统安颁全等级保护基本百技术和管理要求班中有关安全审计佰控

30、制点及日志和挨事件存储的要求拌，积累信息系统颁安全等级保护工摆作经验。懊通过板综合安全审计平啊台把的建设，进一步扳完善我行信息安白全保障体系，改熬变事中及事后安氨全基础设施建设笆较弱的现状；为背信息安全管理规埃定落实情况检查白提供技术支撑手胺段，不断完善信案息安全管理办法傲，提高信息安全鞍管理水平；疤通过盎综合安全审计平哎台隘，实现信息系统艾IT基础设施日颁志信息的集中管凹理，全面掌握I案T基础设施运行爱过程中出现的隐摆患，通过安全事扒件报警和日志报邦表的方式，在运澳维人员有限的条瓣件下，有效地把摆握运维工作的重爱点，进一步增强昂系统安全运维工爸作的主动性，更岸好地保障系统的袄正常运行。同时拜

31、，有效规避日志版信息分散存储存按在的非法删除风耙险，确保安全事爱故处置的取证工案作。爱通过柏综合安全审计平爸台靶的建设，规范我巴行胺安全审计半管理工作，指导佰今后信息化项目懊建设，系统也为哀安全审计爱管理规范的实现敖提供了有效的技皑术支撑平台。阿4安全审计综合啊管理平台建设目奥标癌根据总行金融信鞍息管理中心日志翱管理工作现状及败存在的问题，结靶合日志审计系统岸建成后的预期收板益，现将系统建敖设目标说明如下靶：吧海量日志数据的柏标准化集中管理澳。埃根据即定采集策搬略，采集信息系翱统IT基础设施扮日志信息，规范霸日志信息格式，稗实现海量日志数奥据的标准化集中扮存储，同时保存靶日志信息的原始癌数据，

32、规避日志挨信息被非法删除罢而带来的安全事盎故处置工作无法拌追查取证的风险拔；加强海量日志背数据集中管理，艾特别历史日志数跋据的管理。凹系统运行风险及板时报警与报表管背理把基于标准化的日傲志数据进行关联柏分析，及时发现懊信息系统IT基埃础设施运行过程背中存在的安全隐邦患，并根据策略绊进行及时报警，绊为运维人员主动凹保障系统安全运办行工作提供有效唉的技术支撑；实鞍现安全隐患的报搬表管理，更好地疤支持系统运行安扳全管理工作。般为落实有关信息斑安全管理规定提癌供技术支撑翱利用安全审计结啊果可以评估信息板安全管理规定的半落实情况，发现扒信息安全管理办懊法存在的问题，捌为完善信息安全啊管理办法提供依伴据，

33、持续改进，办进一步提高安全拜管理水平。澳规范信息系统日哀志信息管理。捌根据日志管理工半作现状，提出信凹息系统日志信息翱管理规范，明确拌信息系统IT基耙础设施日志配置矮基本要求、日志哀内容基本要求等昂，一方面确保日熬志审计系统建设般实现即定目标；熬另一方面指导今爱后信息化项目建靶设，完善信息安败全管理制度体系爱，进一步提高安般全管理水平。癌实现对碍我行俺各业务系统主机百、数据库行为审拜计。斑对版各业务系统的主懊机、芭数据库行为办的审计摆，主要是在不影澳响业务系统正常搬运行的前提下，半通过网络镜像流岸量的方式辅以独鞍立日志分析等其八它方式对用户行拌为进行隐蔽监视跋，对用户访问业办务系统的行为进捌行

34、审计，对用户啊危险行为进行告跋警并在必要败时进行阻断，对凹事后发现的安全八事件进行会话回拌放，进行网络通翱讯取证。哎5拔安全审计综合管熬理平台需求啊5.1日志审计艾系统需求俺5.1.1系统袄功能需求胺般日志采集功能需爸求采集范围颁日志审计系统需熬要对我行信息系按统中的网络设备耙、主机系统、应搬用系统、安全系哎统及其他系统（颁如网络管理系统稗、存储设备等）摆进行日志采集。氨 袄数据库是爸我行扒数据管理的基础俺，班任何数据泄漏、盎篡改、删除都会啊对税务的整体数熬据造成严重损失般。疤数据库审计是安吧全管理工作中的板一个重要组成部拜分，通过对数据哀库的“信息活动耙”实时地进行监拔测审计，使管理版者对数

35、据库的“白信息活动”一目拌了然，能够及时伴掌握数据库服务跋器的应用情况，摆及时发现客户端癌的使用问题，存罢在着哪些安全耙威胁或袄隐患并予以纠正稗，预防应用安全熬事件的发生，即班便发生了也能够伴可以快速查证并挨追根寻源。扮虽然佰数据库系统本身岸能够唉提供日志审计功跋能，巴但是白数据库系统自身伴开启日志审计功佰能会带给系统较背大的负担。唉为了保证数据库板的性能、稳定性安，建议采用国内霸已较为成熟的数按据库审计技术，败通过跋在网络部署哀专门的旁路柏数据库审计癌硬件耙设备败,采用镜像等方皑式获取数据库访扒问的网络报文流芭量，实现针对各暗种数据库用户的哎操作命令级审计伴，从而摆随时掌握数据库唉的安全状况

36、，及啊时发现和阻止各澳类数据操作违规柏事件或攻击事件稗，避免数据的各爱类安全损失，追蔼查或打击各类违吧规、违法行为，罢提高数据库数据柏安全管理的水平岸。邦该采集方式不会昂对数据库的运行罢、访问产生啊任何唉影响隘，而且具有更强敖的实时性，是比摆较理想的数据库八日志审计的实现蔼方式。数据来源与内容耙数据来源：审计凹数据源需要包括班我行信息系统各柏组件的日志产生拌点，如主机操作隘日志、操作系统跋日志、数据库审板计日志、安全敖设备日志等。邦数据内容：异常办信息在采集后必背须进行分类，例搬如可以将异常事安件信息分成泄密般事件和安全运行哀事件两大类，以捌便于我行日志审艾计系统管理人员癌能快速对事件进邦行分

37、析。采集策略扒采集策略需要包熬括采集频率、过板滤、合并策略与吧信息传输策略。靶支持根据采集对澳象的不同，可以熬设置实时采集、奥按秒、分钟、小哀时等采集频率。癌支持日志或事件埃进行必要的过滤巴和合并，从而只翱采集有用的、需昂要关注的日志和懊事件信息，屏蔽爱不需要关注的日袄志和事件信息。奥通过预先设定好拔的日志信息传输叭策略，使采集到瓣的信息能够根据拌网络实际情况有柏序地传输到数据懊库服务器进行入八库存储，避免因按日志信息瞬间激傲增而对网络带宽胺资源的过度占用伴，同时保证信息罢传输的效率，避柏免断点重传。采集监控皑系统可以监控各皑采集点的日志传叭输状态，当有采扒集点无法正常发白送日志信息时，傲系统

38、可以自动进百行告警通知管理叭员进行处理。佰5.1.凹1.2盎日志格式标准化捌需求吧根据日志格式标皑准，对系统采集搬的信息系统IT爸基础设施日志信班息进行标准化处俺理。昂5.1.癌1.3蔼日志集中存储需班求阿我行日志审计系八统将对300余唉个审计对象进行白日志审计，此系伴统需要具有海量摆的数据存储能力爸，其后台数据库绊需要采用稳定以阿及先进的企业级办数据库（如DB懊2、MS SQ笆L Serve翱r 数据库）；挨需要有合理的数般据存储管理策略耙；需要支持磁盘皑阵列柜以及SA柏N、NAS等存挨储方式。瓣5.1.跋1.鞍4日志关联分析靶需求懊为了解决目前日傲益严重的复合型拌风险威胁，我行办日志审计系

39、统需矮要具有关联分析暗功能：将不同安摆全设备的响应通翱过多种条件关联扮起来，以便于管半理员的分析和处百理。例如当一个挨严重的事件或用霸户行为发生后，板从网络层面、主跋机/服务器层面柏、数据（库）、罢安全层面到应用爱层面可能都会有肮所反应（响应）芭，这时候审计系白统将进行数据挖傲掘，将上述多个班层面、多个维度版的事件或行为数拜据挖掘和抽取、摆关联，将关联的啊结果呈现给使用罢者。矮5.1.吧1.癌5安全事件报警暗需求巴为了快速、准确岸定位安全事件来埃源，及时处理安摆全事件，我行日叭志审计系统必须胺具备实时报警功癌能，报警方式应把该多样化，如实奥时屏幕显示、电稗子邮件和短信等澳。哎5.1.叭1.罢6

40、日志报表需求懊我行日志审计系绊统的报表需要支袄持细粒度查询，邦使管理人员能够班快速对安全事件跋进行正确的分析佰，其查询细粒度半应该包括八关键字、时间段白、源地址、目的按地址、源端口、扮目的端口、设备绊类型、事件类型版、特定审计对象氨等多个条件的组皑合查询，并支持氨模糊查询。氨5.挨1.班2 系统性能需凹求坝目前我行日志审跋计系统需要审计碍300台以上的蔼设备，以一台设板备3000条/安小时，每条日志氨1KB为标准计败算，300台设八备每天的总日志按条数为2160碍万条，总日志量瓣约为21G。俺基于上述计算结肮果，结合同行业柏成功案例，建议拌系统性能如下：版处理能力支持安把全事件与日志每矮天2千

41、万条以上熬；版支持扒120G俺以上的数据库存败储；哎支持的原始日志昂和事件的存储容笆量可达到扒5笆亿条；岸 提供对原始日般志及审计结果的澳压缩存储，文件板存储压缩比一般安不应小于1：1扳0；艾根据审计要求，稗原始信息及审计奥结果需保留6个扳月-1年，因此埃，需支持磁盘阵爸列、NAS和S安AN等多种存储盎方式，存储容量绊需达到7TB以半上。皑5.胺1.扮3 系统安全需办求暗权限划分需求：阿日志审计系统需熬要进行管理权限爸的划分，不同的柏管理员具有不同芭的管理权限，例爱如管理配置权限隘与审计操作权限氨分离，系统中不哎允许出现超级用佰户权限。摆登录安全需求：半日志审计系统在胺用户登录上需要班强身份鉴

42、别功能扮以及鉴别失效处白理机制。颁传输安全需求：半日志审计系统各伴个组件之间的通挨讯协议必须支持岸身份认证与传输熬加密，确保数据奥在传输过程中不唉被泄漏、篡改、隘删除。胺存储安全需求：白日志审计系统的啊后端数据库必须稗采用安全可靠的昂大型数据库，数俺据库的访问以及俺对日志审计系统靶的操作都要通过巴严格的身份鉴别摆，并对操作者的柏权限进行严格划班分，保证数据存瓣储安全。颁接口安全需求：搬日志审计系统各稗组件之间应该采奥用其厂商自身的扳，未公开并且成矮熟可靠的协议进埃行通信。日志审矮计平台与其他系邦统（网络设备、办主机/服务器、昂应用系统、安全靶设备）的接口可暗采用标准的SN拔MP、Sysl翱og

43、等协议。案5.阿1.捌4 系统接口需摆求扮我行日志审计系笆统主要提供如下昂接口进行日志采俺集：罢1、Syslo芭g方式，支持S罢YSLOG协议澳的设备，如：防霸火墙、UNIX绊服务器等；埃2、ODBC/半JDBC方式，吧支持数据库联接捌的设备；绊3、SNMP 办Trap方式，摆支持爸SNMP癌协议的设备，如般：交换机、路由白器、网路安全设扮备等；爸4、XML方式扮，支持HTTP百协议的设备；稗5、Event斑Log方式，支案持Window板s平台；芭6、特定接口方百式，对于不支持拜通用协议的设备颁，需要定制开发吧，如：某网闸隔熬离系统；颁7、其他厂商内绊部专用协议。胺通过标准的接口班，可以采集

44、到网把络设备、安全设啊备、主机系统、矮应用系统的各种版类型日志：包含翱登陆信息、登陆扮认证失败信息、耙应用程序启动信疤息、进程改变信捌息、违反防火墙笆规则的网络行为案、IDS检测到板的所有入侵事件办和IDS自身生胺成的各种日志等爸。安日志信息的采集坝可以根据我行信靶息系统的现实情岸况进行实时传输盎或者定时传输。版5.2罢数据库和网络审凹计癌系统需求佰5.2.1耙审计艾功能哀需求安全审计策略傲系统应允许使用氨者能够针对访问靶者、被保护对象隘、操作行为，访芭问源，事件类型氨等特征等制定具熬体的安全审计策隘略。策略制定方熬式应简单灵活，捌既可以制定适应哎于批量对象的公扮共策略，也可以敖制定适用于单个

45、坝被保护对象的详拌细策略。系统应拌提供行为全部记邦录的默认审计策哎略。盎审计记录应该反按应出用户的登录懊身份，登录操作罢时使用的主机或颁数据库账号信息百。在建设身份认搬证和访问控制功碍能后，可以禁止般或允许用户使用伴某个主机或数据拔库账号进行登录俺和操作。绊审计记录应该反搬应出用户的登录罢身份，登录操作版时使用的主机瓣、网络设备昂或数据库账号信澳息。般事件实时审计、案告警、命令控制柏能灵活配置实时耙安全审计控制策疤略和预警参数，袄实时发现可疑操颁作（如操作系统暗rm命令、数据巴库drop、d按elete命令百等），实时发出按告警信息（向控败制台发出告警信懊息、向管理员邮矮箱发送告警电子爱邮件、

46、向管理员案手机发出告警短敖消息、通过SN般MP命令向罢日志审计懊系统哀、网管系统班发出告警等）。行为审计功能皑根据制定的安全吧审计策略，系统凹应对访问者访问半被保护对象的操皑作交互过程进行肮记录，并允许选爱择记录整个操作袄过程的上行、下伴行数据。系统应背能够将审计记录按重组为会话的能霸力。单个会话的蔼全部操作行为应耙能够进行回放。爱每一条审计记录哎应至少提供操作案时间、访问者的拌身份信息、IP啊地址、被保护对凹象（主机名称、柏IP地址等）、挨操作内容、系统邦返回内容。唉审计记录结果要佰实现集中存储、爱集中管理、集中澳展现。事件查询功能背系统需要提供丰拌富的查询界面，懊可以通过数据库般事件查询、

47、奥T斑elnet事件办查询、爱F艾tp事件罢查询傲、事件会话关联傲查询、告警查询搬等不同的维度查耙询结果。并支持敖导出报表。盎审计信息的存储搬 疤审计信息要求安挨全存储，分级别艾进行管理，普通安管理员无法修改跋删除。用户登录碍认证及操作日志鞍要求安全存储，扮普通管理员无法班修改删除。疤系统应该提供灵埃活的审计信息存般储策略，以应对暗大规模审计存储哀的要求；可以根鞍据用户登录身份办、使用的主机或拔数据库账号来制袄定审计信息存储百策略。重复事件归并伴通过配置归并规熬则，系统可以对爸大批量的重复事八件做统一归并，爸并记录归并次数叭。权限管理案系统需要分管理啊员和审计员权限拔，审计员只能审叭计胺授权审

48、计的暗系统的审计信息阿。坝5.2.2扳报表功能俺需求查询功能办系统用户应可按板照时间段、访问熬者、主机或数据罢库账号、被保护袄对象、行为方式稗、行为特征等关拌键字进行精确或八模糊匹配查询。岸 跋操作人员根据查啊询结果可以关联靶查看整个会话的败内容。统计报表功能颁系统应提供完整绊的报表系统。系巴统应按照访问者按、被保护对象、扳行为方式、操作安内容（例如数据岸库表名称）等生霸成统计报表，并昂按照要求添加、澳修改报表数量、板格式及内容，以跋满足跋安全盎审计的要求。柏5.2.3审计邦对象疤及兼容性支持疤应当包括（但不蔼限于）：Tel盎net, 等应皑用。艾操作系统支持：暗Unix,HP半-UNIX ,

49、百Solaris搬 肮数据库支持：O把racle ,摆DB2,Inf爸omix ,M肮ysql,Sq扳lserver罢应确保无遗漏等啊现象发生。拌5.2.4系统办性能熬系统应满足大数爱据量的审计要求伴。满足千兆骨干颁网络审计要求，艾无丢包、漏包现邦象发生；百系统应提供良好哎的查询能力；版系统应至少满足岸1年的审计数据罢在线存储的需求按，并提供相应的扮离线备份机制，搬对于超过在线存搬储时限的审计数懊据应提供导入导氨出的机制罢。笆5.2.5审计埃完整性扒系统应能实现对靶所有访问者通过凹审计途径对现网扒内被保护对象的肮远程访问行为的靶审计，无遗漏、霸错报等现象的发版生。疤6安全审计综合瓣管理平台建设

50、方氨案背6坝.1扮日志审计系统建案设方案傲6.按1.1巴 日志管理建议挨基于我行日志审办计系统的建设目捌标，需要对我行稗信息系统中的网扒络设备、主机系啊统、应用系统、百安全系统等进行挨日志采集，各采岸集对象的设备系背统类型、采集的败日志内容、采集隘方式及采集频率办说明如下：爱审计内容耙具体审计需求描绊述跋日志内容包括背拟采用的采集方碍式佰采集频率熬操作系统蔼Solaris拌 绊AIX八Linux搬HP-UNIX扮帐户登录注销、安帐号权限变更、摆操作系统启动关办闭、shell罢操作日志、SY案SlOG日志。扮Agent方式安；爱针对UNIX 矮SYSLOG日捌志可通过sys阿log方式发送翱通过

51、日志安全审碍计中心奥设置采集频率扳策略扮,建议1分钟采安集一次岸Windows白 2000 s碍erver拜Windows败 2003 s靶erver熬帐户登录注销、盎帐号权限变更、靶操作系统启动关艾闭、应用程序运袄行状态、系统文般件和文件属性修矮改等笆Agent方式癌通过日志安全审埃计中心拜设置采集频率巴策略拌,建议1分钟采矮集一次白安全设备巴防火墙扒用户登录、修改艾配置、笆收集到的攻击日办志等等癌Syslog瓣、奥SNMP Tr叭ap方式采集颁在搬安全设备摆上配置日志传输佰频率办，建议1分钟采伴集一次疤网络设备白交换机拌路由器等哀（扒CISCO、华翱为、华三等靶）鞍。白用户登录、修改案配置

52、等昂Syslog埃、靶SNMP Tr癌ap方式采集靶在柏网络设备哎上配置日志传输翱频率哎，建议1分钟采昂集一次摆数据库败ORACLE岸SQL SER澳VER岸DB2柏SYBASE案Informi拌x百用户登录、注销坝、数据查询、插跋入、数据修改、坝数据删除、修改安配置等。稗通过把部署袄旁路扮数据库审计翱硬件芭设备安,采用镜像等方板式获取数据库访唉问的网络报文流案量，从而实现针吧对各种数据库用扳户的操作命令级颁审计。该采集方版式不会对数据库凹的运行、访问产岸生影响按通过日志安全审斑计中心蔼设置氨数据库审计日志埃采集频率白策略巴，建议1分钟采颁集一次坝应用系统捌Web ser皑ver、Ema罢il

53、 serv板er、Domi鞍no等应用系统扒；在实际项目中扮，还需要收集业瓣务系统日志。绊Web ser败ver主要包括扮：氨WebSphe澳re巴Apache傲WebLogi疤c板Microso笆ft IIS等版用户登录、修改邦配置、应用层的笆操作等叭Agent方式靶、拌Syslog唉、熬SNMP Tr吧ap案、肮ODBC/JD熬BC方式版通过日志安全审搬计中心把设置拌数据库审计日志氨采集频率耙策略疤，建议1分钟采碍集一次埃6懊.1坝.2 日志审计矮系统整体架构八我行日志审计系八统整体架构图如昂下：颁整体架构图说明扒：我行日志审计跋系统为软件架构巴，由采集服务器翱、管理服务器、版数据库服务器

54、三拜大部分组成。对般被审计对象进行瓣必要的设置或安板装采集代理，即傲可实现对整个系白统的综合审计；扮我行日志审计系隘统采用Brow伴ser/Ser矮ver/Dat霸aBase三层佰架构，管理人员叭无需安装任何客巴户端即可登录到拜日志审计系统进扳行审计管理操作奥。暗我行日志审计系阿统功能结构图如搬下：奥功能结构图说明矮：我行日志审计邦系统将包括日志柏采集、日志存储阿、日志分析、系爸统管理、综合显把示等功能模块，芭这些功能模块将罢有效满足我行针奥对日志审计系统扮各种功能需求。翱6.笆1.叭3 日志采集实鞍现方式斑6.扮1.肮3.1 系统支哀持的标准接口和拔协议艾1、Syslo罢g方式，支持S斑YS

55、LOG协议氨的设备，如：防爱火墙、UNIX八服务器等；半2、ODBC/半JDBC方式，邦支持数据库联接半的设备；芭3、SNMP 捌Trap方式，俺支持颁SNMP按协议的设备，如八：交换机、路由半器、网路安全设邦备等；罢4、XML方式安，支持HTTP拔协议的设备；奥5、Event斑Log方式，支版持Window百s平台；袄6、特定接口方阿式，对于不支持爱通用协议的设备颁，需要定制开发翱，如：某网闸隔巴离系统。瓣7、其他厂商内八部专用协议。败Syslog和挨SNMP Tr佰ap方式作为最捌常见、传统的方斑式，被大部分设版备厂商和日志审安计系统所采用，百建议我行采用这摆两种方式进行日俺志采集。爸Sy

56、slog和佰SNMP Tr耙ap方式作为最癌成熟的网络协议碍，已经广泛应用爸在网络设备、安按全设备等设备之霸上，用来传输各捌种日志信息，对碍系统本身影响很挨小。搬8、数据库日志蔼审计啊数据库自身日志矮功能开启情况下笆，可通过ODB肮C方式收集数据阿库日志懊，但是疤在数据库日志量瓣较大的情况下，班数据库系统自身哀开启日志审计功败能会带给系统较癌大的负担敖，不建议采用该傲方式收集数据库案日志。搬为了保证数据库按的性能、稳定性罢，建议采用国内百已较为成熟的数白据库审计技术，吧通过班在网络部署奥专门的旁路拌数据库审计癌硬件按设备班,采用镜像等方拜式获取数据库访伴问的网络报文流阿量，实现针对各隘种数据库

57、用户的艾操作命令级审计伴。该采集方式不办会对数据库的运坝行、访问产生般任何绊影响把，而且具有更强扒的实时性，是比癌较理想的数据库罢日志审计的实现靶方式。摆6.盎1.澳3.2 采集对摆象日志采集实现扒方式傲采集对象需支持稗通过安装审计代澳理程序或修改系颁统配置来进行日叭志的采集，通过鞍日志收集策略定坝制来开启与关闭绊各系统的日志采叭集功能及确定应艾采集的日志的种八类。把为了保证被监控氨系统的保密性，稗原则上被监控系耙统要主动向日志稗审计系统发送自阿身生成的日志信稗息，日志审计系扮统尽可能的不主把动访问被监控对鞍象。邦6哀.1氨.4 日志标准百化实现方式傲 由于日志采板集模块收集到多霸种类型的日志

58、，傲而这些日志定义拔的格式和内容不叭尽相同，日志标伴准化将不同的数凹据格式转换成标艾准的数据格式并熬存储，为上层应扳用提供数据支持翱。爸由于不同的设备皑，对事件的严重百程度定义及侧重班点不尽相同，不芭利于根据统一的拜安全策略进行处癌理。日志标准化叭将按照日志来源癌类型、事件类别埃、事件级别等可绊能的条件及条件挨的组合对事件严靶重级别进行重定哎义，便于日志分爱析模块的分析处班理。蔼下面是日志信息矮标准化要求：靶日志事件信息的百标准化字段包括芭事件编号信息（邦此字段信息应全靶局唯一，作为标伴识事件的主键）按、事件名称、事氨件原始时间、事把件采集时间、事伴件内容、事件类颁型、事件源地址癌、事件目的地

59、址百、事件源端口、矮事件目的端口、熬事件原始级别、按事件标准化后的背级别、事件采集奥来源、事件涉及半协议、会话信息搬等。案我行日志审计系懊统对于今后新增搬加的被审计对象搬（如新增的应用坝系统），将使用盎标准的伴Syslog或哎SNMP协议胺作为其日志形式捌和接口，并协调邦日志审计系统厂爱商与新系统厂商败提供技术方面的巴支持。邦新增的被审计对瓣象，必须能满足扳如下条件：白1）提供标准的伴Syslog或搬SNMP接口；扮2）被审计对象版需要提供详细的隘日志信息，包括隘：登陆信息、状颁态信息、依据自盎身业务逻辑产生捌的数据等；隘3）日志事件信皑息的标准化字段埃包括事件编号信芭息（此字段信息翱应全局唯

60、一，作氨为标识事件的主肮键）、事件名称办、事件原始时间吧、事件采集时间懊、事件内容、事稗件类型、事件源唉地址、事件目的疤地址、事件源端八口、事件目的端绊口、事件原始级耙别、事件标准化摆后的级别、事件鞍采集来源、事件疤涉及协议、会话吧信息等；八4）如果是应用爱系统日志，应该把包含用户信息，邦对于应用系统日奥志其级别的定义拌变得极其重要；俺5）提供设备所蔼能产生的全部类阿型的日志样本；八6）提供全部日翱志类型中的字段跋的说明（尤其是斑数值与相应内容背的对照表）以及扮相应文档；隘6拌.1矮.5 日志存储敖实现方式巴我行日志审计系跋统将采用DB2巴或MS SQL皑 Server背 数据库作为日柏志审计