某銀行安全審計管理現(xiàn)狀

1、 . . . 某銀行安全審計綜合管理平臺建設方案V1.2二九年三月目 錄1背景42安全審計管理現(xiàn)狀62.1安全審計基本概念62.2 總行金融信息管理中心安全審計管理現(xiàn)狀92.2.1日志審計92.2.2數(shù)據(jù)庫和網絡審計112.3 我行安全審計管理辦法制定現(xiàn)狀112.4 安全審計產品與應用現(xiàn)狀133安全審計必要性134安全審計綜合管理平臺建設目標145安全審計綜合管理平臺需求165.1日志審計系統(tǒng)需求165.1.1系統(tǒng)功能需求165.1.2 系統(tǒng)性能需求195.1.3 系統(tǒng)安全需求205.1.4 系統(tǒng)接口需求215.2數(shù)據(jù)庫和網絡審計系統(tǒng)需求225.2.1審計功能需求225.2.2報表功能需求23

2、5.2.3審計對象與兼容性支持245.2.4系統(tǒng)性能245.2.5審計完整性256安全審計綜合管理平臺建設方案256.1日志審計系統(tǒng)建設方案256.1.1 日志管理建議256.1.2 日志審計系統(tǒng)整體架構266.1.3 日志采集實現(xiàn)方式286.1.4 日志標準化實現(xiàn)方式306.1.5 日志存儲實現(xiàn)方式316.1.6 日志關聯(lián)分析326.1.7 安全事件報警336.1.8 日志報表346.1.9系統(tǒng)管理356.1.10 系統(tǒng)接口規(guī)366.2數(shù)據(jù)庫和網絡審計系統(tǒng)建設方案376.2.1數(shù)據(jù)庫和網絡行為綜合審計376.2.2審計策略386.2.3審計容396.2.4告警與響應管理426.2.5報表管理

3、427系統(tǒng)部署方案437.1 安全審計綜合管理平臺系統(tǒng)部署方案437.2系統(tǒng)部署環(huán)境要求447.2.1日志審計系統(tǒng)447.2.2數(shù)據(jù)庫和網絡審計系統(tǒng)457.3 系統(tǒng)實施建議457.4 二次開發(fā)461背景近年來，XX銀行信息化建設得到快速發(fā)展，央行履行金融調控、金融穩(wěn)定、金融市場和金融服務職能高度依賴于信息技術應用，信息安全問題的全局性影響作用日益增強。目前，XX銀行信息安全保障體系中安全系統(tǒng)建設已經達到了一定的水平。建設了非法外聯(lián)監(jiān)控管理系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)與補丁分發(fā)系統(tǒng)，為客戶端安全管理、網絡安全管理和系統(tǒng)安全管理提供了技術支撐手段，有效提高了安全管理水平；完成制定金

4、融業(yè)星型網間互聯(lián)安全規(guī)金融業(yè)行業(yè)標準，完善聯(lián)網外聯(lián)防火墻系統(tǒng)，確保XX銀行網絡邊界安全；制定并下發(fā)銀行計算機機房規(guī)化工作指引，規(guī)和加強機房環(huán)境安全管理。信息安全審計技術是實現(xiàn)信息安全整個過程中關鍵記錄信息的監(jiān)控統(tǒng)計，是信息安全保障體系中不可缺少的一部分。隨著電子政務、電子商務以與各類網上應用的開展得到了普遍關注，并且在越來越多的大型網絡系統(tǒng)中已經成功應用并發(fā)揮著重要作用，特別針對安全事故分析、追蹤起到了關鍵性作用。傳統(tǒng)的安全審計系統(tǒng)局限于對主機的操作系統(tǒng)日志的收集和簡單分析，缺乏對于多種平臺下（Windows系列、Unix系列、Solaris等）、多種網絡設備、重要服務器系統(tǒng)、應用系統(tǒng)以與數(shù)據(jù)

5、庫系統(tǒng)綜合的安全審計功能。隨著網絡規(guī)模的迅速擴大，單一式的安全審計技術逐步被分布式安全審計技術所代替，加上各類應用系統(tǒng)逐步增多，網絡管理人員/運維人員工作量往往會成倍增加，使得關鍵信息得不到重點關注。大量事實表明，對于安全事件發(fā)生或關鍵數(shù)據(jù)遭到嚴重破壞之前完全可以預先通過日志異常行為告警方式通知管理人員，與時進行分析并采取相應措施進行有效阻止，從而大大降低安全事件的發(fā)生率。目前我行信息安全保障工作尚未有效開展安全審計工作，缺少事后審計的技術支撐手段。當前，信息安全審計作為保障信息系統(tǒng)安全的制度逐漸發(fā)展起來；并已在對信息系統(tǒng)依賴性最高的金融業(yè)開始普與。信息安全審計的相關標準包括ISO/IEC17

6、799、COSO、COBIT、ITIL、NISTSP800等。這些標準從不同角度提出信息安全控制體系，可以有效地控制信息安全風險。同時，公安部發(fā)布的信息系統(tǒng)安全等級保護技術要求中對安全審計提出明確的技術要求：審計圍覆蓋網絡設備、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)，審計容包括各網絡設備運行狀況、系統(tǒng)資源的異常使用、重要用戶行為和重要系統(tǒng)命令的使用等系統(tǒng)重要的安全相關事件。為進一步完善信息安全保障體系，2009年立項建設安全審計系統(tǒng)，不斷提高安全管理水平。2安全審計管理現(xiàn)狀2.1安全審計基本概念信息安全審計是企業(yè)控、信息系統(tǒng)治理、安全風險控制等的不可或缺的關鍵手段。信息安全審計能夠為安全管理員提供一組可進

7、行分析的管理數(shù)據(jù)，以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件。利用安全審計結果，可調整安全策略，堵住出現(xiàn)的漏洞。美國信息系統(tǒng)審計的權威專家Ron Weber又將它定義為收集并評估證據(jù)以決定一個計算機系統(tǒng)是否有效做到保護資產、維護數(shù)據(jù)完整、完成目標，同時最經濟的使用資源。根據(jù)在信息系統(tǒng)中需要進行安全審計的對象與容，主要分為日志審計、網絡審計、主機審計。下面分別說明如下：日志審計：日志可以作為責任認定的依據(jù)，也可作為系統(tǒng)運行記錄集，對分析系統(tǒng)運行情況、排除故障、提高效率都發(fā)揮重要作用。日志審計是安全審計針對信息系統(tǒng)整體安全狀態(tài)監(jiān)測的基礎技術，主要通過對網絡設備、安全設備、應用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫的集中

8、日志采集、集中存儲和關聯(lián)分析，幫助管理員與時發(fā)現(xiàn)信息系統(tǒng)的安全事件，同時當遇到特殊安全事件和系統(tǒng)故障時，確保日志存在和不被篡改，幫助用戶快速定位追查取證。大量事實表明，對于安全事件發(fā)生或關鍵數(shù)據(jù)遭到嚴重破壞之前完全可以預先通過日志審計進行分析、告警并與時采取相應措施進行有效阻止，從而大大降低安全事件的發(fā)生率。數(shù)據(jù)庫審計：主要負責對數(shù)據(jù)庫的各種訪問操作進行監(jiān)控；是安全審計對數(shù)據(jù)庫進行審計技術。它采用專門的硬件審計引擎，通過旁路部署采用鏡像等方式獲取數(shù)據(jù)庫訪問的網絡報文流量，實時監(jiān)控網絡中數(shù)據(jù)庫的所有訪問操作（如：插入、刪除、更新、用戶自定義操作等），還原SQL操作命令包括源IP地址、目的IP地址

9、、訪問時間、用戶名、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫表名、字段名等，發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為，與時報警響應、全過程操作還原，從而實現(xiàn)安全事件的準確全程跟蹤定位，全面保障數(shù)據(jù)庫系統(tǒng)安全。該采集方式不會對數(shù)據(jù)庫的運行、訪問產生任何影響，而且具有更強的實時性，是比較理想的數(shù)據(jù)庫日志審計的實現(xiàn)方式。網絡審計：主要負責網絡容與行為的審計；是安全審計對網絡通信的基礎審計技術。它采用專門的網絡審計硬件引擎，安裝在網絡通信系統(tǒng)的數(shù)據(jù)匯聚點，通過旁路抓取網絡數(shù)據(jù)包進行典型協(xié)議分析、識別、判斷和記錄，Telnet、 、Email、FTP、網上聊天、文件共享、流量等的檢測分析等。主機審計：主要負責對網絡重要區(qū)域的客戶機上的

10、各種上網行為、文件拷貝/打印操作、通過Modem擅自連接外網等進行審計。目前我行信息安全系統(tǒng)尚未有效開展安全審計工作，由于缺少對各網絡設備、安全設備、應用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫的集中日志采集、集中存儲和關聯(lián)分析等事后審計、追查取證的技術支撐手段,以至無法在遇到特殊安全事件和系統(tǒng)故障時確保日志存在和不被篡改，同時對主機和數(shù)據(jù)庫的操作行為也沒有審計和管理的手段，不同有效對操作行為進行審計，防止誤操作和惡意行為的發(fā)生，因此我行迫切需要盡快建設安全審計系統(tǒng)（包括日志審計、數(shù)據(jù)庫審計、網絡審計），確保我行信息系統(tǒng)安全。2.2 我行金融信息管理中心安全審計管理現(xiàn)狀2.2.1日志審計作為數(shù)據(jù)中心的運維部門，

11、負責運維聯(lián)網總行局域網、總行機關辦公自動化系統(tǒng)與貨幣發(fā)行信息管理系統(tǒng)、國庫信息處理系統(tǒng)等重要業(yè)務系統(tǒng)，保障信息系統(tǒng)IT基礎設施的安全運行。為更好地制定日志審計系統(tǒng)建設方案，開展了金融信息管理中心日志管理現(xiàn)狀調研工作，調研容包括設備/系統(tǒng)配置哪些日志信息、日志信息包括哪些屬性、日志采集所支持的協(xié)議/接口、日志存儲方式與日志管理現(xiàn)狀，金融信息管理中心日志管理現(xiàn)狀調查表詳見附件。通過分析日志管理現(xiàn)狀調查表，將有關情況說明如下：一、日志容。網絡設備（包括交換機和路由器）、安全設備（包括防火墻、入侵檢測設備、防病毒管理系統(tǒng)和補丁分發(fā)系統(tǒng)）、辦公自動化系統(tǒng)和重要業(yè)務系統(tǒng)均配置一定的日志信息，其中每類設備具

12、有一定的日志配置規(guī)，應用系統(tǒng)（辦公自動化系統(tǒng)和重要業(yè)務系統(tǒng)）的日志容差異較大，數(shù)據(jù)庫和中間件僅配置“進程是否正?！钡娜罩拘畔?。二、日志格式。網絡設備和部分安全設備根據(jù)廠商的不同，其日志格式也不同，無統(tǒng)一的日志格式；應用系統(tǒng)根據(jù)系統(tǒng)平臺的不同，其日志格式也不同，無統(tǒng)一的日志格式。三、日志采集協(xié)議/接口。網絡設備和部分安全設備支持SNMP Trap和Syslog協(xié)議，應用系統(tǒng)主要支持TCP/IP協(xié)議，個別應用系統(tǒng)自定義了日志采集方式。四、日志存儲方式。網絡設備和部分安全設備日志信息集中存儲在日志服務器中，其他設備/系統(tǒng)日志均存儲在本地主機上。日志信息以文本文件、關系型數(shù)據(jù)庫文件、Domino數(shù)據(jù)庫

13、文件和XML文件等方式進行存儲。五、日志管理方式。主要為分散管理,且無日志管理規(guī)。在系統(tǒng)/設備出現(xiàn)故障時，日志信息是定位故障，解決故障的主要依據(jù)。據(jù)了解，為加強網絡基礎設施運行情況的監(jiān)控，金融信息管理中心通過采集交換機和路由器等網絡設備的日志信息，實現(xiàn)網絡設備日志信息的集中管理，與時發(fā)現(xiàn)網絡設備運行中出現(xiàn)的問題。通過上述現(xiàn)狀的分析，目前日志管理存在如下問題：1、不同系統(tǒng)/設備的日志信息分散存儲，日志信息被非法刪除，導致安全事故處置工作無法追查取證。2、在系統(tǒng)發(fā)生故障后，才去通過日志信息定位故障，導致系統(tǒng)安全運行工作存在一定的被動性，應主動地在日志信息中與時發(fā)現(xiàn)系統(tǒng)運行存在的隱患，提高系統(tǒng)運行安

14、全管理水平。3、隨著我行信息化工作的不斷深入，系統(tǒng)運維工作壓力的不斷加大，如不與時規(guī)日志信息管理，信管中心將逐步面臨運維的設備多、人員少的問題，不能與時準確把握運維工作的重點。在目前日志信息管理基礎上，若簡單加強日志信息管理，仍存在如下問題：1、通過系統(tǒng)/設備各自的控制臺去查看事件，窗口繁多，而且所有的事件都是孤立的，不同系統(tǒng)/設備之間的事件缺乏關聯(lián)，分析起來極為麻煩，無法弄清楚真實的狀況。2、不同系統(tǒng)/設備對同一個事件的描述可能是不同的，管理人員需了解各系統(tǒng)/設備，分析各種不同格式的信息，導致管理人員的工作非常繁重，效率低。3、海量日志信息不但無法幫助找出真正的問題，反而因為太多而造成無法管

15、理，并且不同系統(tǒng)/設備可能產生不同的日志信息格式，無法做到快速識別和響應。2.2.2數(shù)據(jù)庫和網絡審計目前我行沒有實現(xiàn)對數(shù)據(jù)庫操作和網絡操作行為的審計。對系統(tǒng)的后臺操作人員的遠程登錄主機、數(shù)據(jù)庫的操作行為無法進行記錄、審計，難以防止系統(tǒng)濫用、泄密等問題的發(fā)生。2.3 我行安全審計管理辦法制定現(xiàn)狀在銀行信息安全管理規(guī)定提出如下安全審計要求：Ø 第一百三十九條各單位科技部門在支持與配合審部門開展審計信息安全工作的同時，應適時開展本單位和轄的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術審計，發(fā)現(xiàn)問題與時報本單位或上一級單位主管領導。Ø 第一百四十條各單位應做好操作系統(tǒng)、數(shù)據(jù)庫管理

16、系統(tǒng)等審計功能配置管理，應完整保留相關日志記錄，一般保留至少一個月，涉與資金交易的業(yè)務系統(tǒng)日志應根據(jù)需要確定保留時間。在銀行信息系統(tǒng)安全配置指引-數(shù)據(jù)庫分冊提出如下安全審計要求：Ø 應配置審計日志，并定期查看、清理日志。Ø 審計容包括創(chuàng)建、修改或刪除數(shù)據(jù)庫、數(shù)據(jù)庫對象、數(shù)據(jù)庫表、數(shù)據(jù)庫索引的行為；允許或者撤銷審計功能的行為；授予或者取消數(shù)據(jù)庫系統(tǒng)級別權限的行為；任何因為參考對象不存在而引的錯誤信息；任何改變數(shù)據(jù)庫對象名稱的動作；任何對數(shù)據(jù)庫Dictionary或者數(shù)據(jù)庫系統(tǒng)配置的改變；所有數(shù)據(jù)庫連接失敗的記錄；所有DBA的數(shù)據(jù)庫連接記錄；所有數(shù)據(jù)庫用戶升級和刪除操作的審計跟

17、蹤信息。Ø 審計數(shù)據(jù)應被保存為分析程序或者腳下本可讀的格式，時間期限是一年。所有刪除審計數(shù)據(jù)的操作，都應在動態(tài)查帳索引中保留記錄。Ø 只有DBA或者安全審核員有權限選擇、添加、刪除或者修改、停用審計信息。上述安全審計管理要求為開展日志審計系統(tǒng)建設提供了制度保障。2.4 安全審計產品與應用現(xiàn)狀目前市場上安全審計產品按審計類型也有很多產品，日志審計以SIM類產品為主，也叫安全信息和事件管理（SIEM），是安全管理領域發(fā)展的方向。SIM是一個全面的、面向IT計算環(huán)境的安全集中管理平臺，這個平臺能夠收集來自計算環(huán)境中各種設備和應用的安全日志和事件，并進行存儲、監(jiān)控、分析、報警、響應

18、和報告，變過去被動的單點防御為全網的綜合防御。由于日志審計對安全廠商的技術開發(fā)能力有較高要求,國一些較有實力的安全廠商能夠提供較為成熟的日志審計產品。目前，日志審計產品已在政府、運營商、金融、民航等行業(yè)廣泛成功應用。針對數(shù)據(jù)庫和網絡行為審計產品，國也有多個廠家有比較成熟的產品，在很多行業(yè)都有應用。3安全審計必要性通過安全審計系統(tǒng)建設，落實信息系統(tǒng)安全等級保護基本技術和管理要求中有關安全審計控制點與日志和事件存儲的要求，積累信息系統(tǒng)安全等級保護工作經驗。通過綜合安全審計平臺的建設，進一步完善我行信息安全保障體系，改變事中與事后安全基礎設施建設較弱的現(xiàn)狀；為信息安全管理規(guī)定落實情況檢查提供技術支撐

19、手段，不斷完善信息安全管理辦法，提高信息安全管理水平；通過綜合安全審計平臺，實現(xiàn)信息系統(tǒng)IT基礎設施日志信息的集中管理，全面掌握IT基礎設施運行過程中出現(xiàn)的隱患，通過安全事件報警和日志報表的方式，在運維人員有限的條件下，有效地把握運維工作的重點，進一步增強系統(tǒng)安全運維工作的主動性，更好地保障系統(tǒng)的正常運行。同時，有效規(guī)避日志信息分散存儲存在的非法刪除風險，確保安全事故處置的取證工作。通過綜合安全審計平臺的建設，規(guī)我行安全審計管理工作，指導今后信息化項目建設，系統(tǒng)也為安全審計管理規(guī)的實現(xiàn)提供了有效的技術支撐平臺。4安全審計綜合管理平臺建設目標根據(jù)總行金融信息管理中心日志管理工作現(xiàn)狀與存在的問題，

20、結合日志審計系統(tǒng)建成后的預期收益，現(xiàn)將系統(tǒng)建設目標說明如下：Ø 海量日志數(shù)據(jù)的標準化集中管理。根據(jù)即定采集策略，采集信息系統(tǒng)IT基礎設施日志信息，規(guī)日志信息格式，實現(xiàn)海量日志數(shù)據(jù)的標準化集中存儲，同時保存日志信息的原始數(shù)據(jù)，規(guī)避日志信息被非法刪除而帶來的安全事故處置工作無法追查取證的風險；加強海量日志數(shù)據(jù)集中管理，特別歷史日志數(shù)據(jù)的管理。Ø 系統(tǒng)運行風險與時報警與報表管理基于標準化的日志數(shù)據(jù)進行關聯(lián)分析，與時發(fā)現(xiàn)信息系統(tǒng)IT基礎設施運行過程中存在的安全隱患，并根據(jù)策略進行與時報警，為運維人員主動保障系統(tǒng)安全運行工作提供有效的技術支撐；實現(xiàn)安全隱患的報表管理，更好地支持系統(tǒng)運

21、行安全管理工作。Ø 為落實有關信息安全管理規(guī)定提供技術支撐利用安全審計結果可以評估信息安全管理規(guī)定的落實情況，發(fā)現(xiàn)信息安全管理辦法存在的問題，為完善信息安全管理辦法提供依據(jù)，持續(xù)改進，進一步提高安全管理水平。Ø 規(guī)信息系統(tǒng)日志信息管理。根據(jù)日志管理工作現(xiàn)狀，提出信息系統(tǒng)日志信息管理規(guī)，明確信息系統(tǒng)IT基礎設施日志配置基本要求、日志容基本要求等，一方面確保日志審計系統(tǒng)建設實現(xiàn)即定目標；另一方面指導今后信息化項目建設，完善信息安全管理制度體系，進一步提高安全管理水平。Ø 實現(xiàn)對我行各業(yè)務系統(tǒng)主機、數(shù)據(jù)庫行為審計。對各業(yè)務系統(tǒng)的主機、數(shù)據(jù)庫行為的審計，主要是在不影響業(yè)務

22、系統(tǒng)正常運行的前提下，通過網絡鏡像流量的方式輔以獨立日志分析等其它方式對用戶行為進行隱蔽監(jiān)視，對用戶訪問業(yè)務系統(tǒng)的行為進行審計，對用戶危險行為進行告警并在必要時進行阻斷，對事后發(fā)現(xiàn)的安全事件進行會話回放，進行網絡通訊取證。5安全審計綜合管理平臺需求5.1日志審計系統(tǒng)需求5.1.1系統(tǒng)功能需求日志采集功能需求Ø 采集圍日志審計系統(tǒng)需要對我行信息系統(tǒng)中的網絡設備、主機系統(tǒng)、應用系統(tǒng)、安全系統(tǒng)與其他系統(tǒng)（如網絡管理系統(tǒng)、存儲設備等）進行日志采集。數(shù)據(jù)庫是我行數(shù)據(jù)管理的基礎，任何數(shù)據(jù)泄漏、篡改、刪除都會對稅務的整體數(shù)據(jù)造成嚴重損失。數(shù)據(jù)庫審計是安全管理工作中的一個重要組成部分，

23、通過對數(shù)據(jù)庫的“信息活動”實時地進行監(jiān)測審計，使管理者對數(shù)據(jù)庫的“信息活動”一目了然，能夠與時掌握數(shù)據(jù)庫服務器的應用情況，與時發(fā)現(xiàn)客戶端的使用問題，存在著哪些安全威脅或隱患并予以糾正，預防應用安全事件的發(fā)生，即便發(fā)生了也能夠可以快速查證并追根尋源。雖然數(shù)據(jù)庫系統(tǒng)本身能夠提供日志審計功能，但是數(shù)據(jù)庫系統(tǒng)自身開啟日志審計功能會帶給系統(tǒng)較大的負擔。為了保證數(shù)據(jù)庫的性能、穩(wěn)定性，建議采用國已較為成熟的數(shù)據(jù)庫審計技術，通過在網絡部署專門的旁路數(shù)據(jù)庫審計硬件設備,采用鏡像等方式獲取數(shù)據(jù)庫訪問的網絡報文流量，實現(xiàn)針對各種數(shù)據(jù)庫用戶的操作命令級審計，從而隨時掌握數(shù)據(jù)庫的安全狀況，與時發(fā)現(xiàn)和阻止各類數(shù)據(jù)操作違規(guī)

24、事件或攻擊事件，避免數(shù)據(jù)的各類安全損失，追查或打擊各類違規(guī)、行為，提高數(shù)據(jù)庫數(shù)據(jù)安全管理的水平。該采集方式不會對數(shù)據(jù)庫的運行、訪問產生任何影響，而且具有更強的實時性，是比較理想的數(shù)據(jù)庫日志審計的實現(xiàn)方式。Ø 數(shù)據(jù)來源與容數(shù)據(jù)來源：審計數(shù)據(jù)源需要包括我行信息系統(tǒng)各組件的日志產生點，如主機操作日志、操作系統(tǒng)日志、數(shù)據(jù)庫審計日志、FTP/WEB/NNTP/SMTP、安全設備日志等。數(shù)據(jù)容：異常信息在采集后必須進行分類，例如可以將異常事件信息分成泄密事件和安全運行事件兩大類，以便于我行日志審計系統(tǒng)管理人員能快速對事件進行分析。Ø 采集策略采集策略需要包括采集頻率、過濾、合并策略與信

25、息傳輸策略。支持根據(jù)采集對象的不同，可以設置實時采集、按秒、分鐘、小時等采集頻率。支持日志或事件進行必要的過濾和合并，從而只采集有用的、需要關注的日志和事件信息，屏蔽不需要關注的日志和事件信息。通過預先設定好的日志信息傳輸策略，使采集到的信息能夠根據(jù)網絡實際情況有序地傳輸?shù)綌?shù)據(jù)庫服務器進行入庫存儲，避免因日志信息瞬間激增而對網絡帶寬資源的過度占用，同時保證信息傳輸?shù)男?，避免斷點重傳。Ø 采集監(jiān)控系統(tǒng)可以監(jiān)控各采集點的日志傳輸狀態(tài)，當有采集點無常發(fā)送日志信息時，系統(tǒng)可以自動進行告警通知管理員進行處理。日志格式標準化需求根據(jù)日志格式標準，對系統(tǒng)采集的信息系統(tǒng)IT基礎設施日

26、志信息進行標準化處理。日志集中存儲需求我行日志審計系統(tǒng)將對300余個審計對象進行日志審計，此系統(tǒng)需要具有海量的數(shù)據(jù)存儲能力，其后臺數(shù)據(jù)庫需要采用穩(wěn)定以與先進的企業(yè)級數(shù)據(jù)庫（如DB2、MS SQL Server 數(shù)據(jù)庫）；需要有合理的數(shù)據(jù)存儲管理策略；需要支持磁盤陣列柜以與SAN、NAS等存儲方式。日志關聯(lián)分析需求為了解決目前日益嚴重的復合型風險威脅，我行日志審計系統(tǒng)需要具有關聯(lián)分析功能：將不同安全設備的響應通過多種條件關聯(lián)起來，以便于管理員的分析和處理。例如當一個嚴重的事件或用戶行為發(fā)生后，從網絡層面、主機/服務器層面、數(shù)據(jù)（庫）、安全層面到應用層面可能都會有所反應

27、（響應），這時候審計系統(tǒng)將進行數(shù)據(jù)挖掘，將上述多個層面、多個維度的事件或行為數(shù)據(jù)挖掘和抽取、關聯(lián)，將關聯(lián)的結果呈現(xiàn)給使用者。安全事件報警需求為了快速、準確定位安全事件來源，與時處理安全事件，我行日志審計系統(tǒng)必須具備實時報警功能，報警方式應該多樣化，如實時屏幕顯示、電子和短信等。日志報表需求我行日志審計系統(tǒng)的報表需要支持細粒度查詢，使管理人員能夠快速對安全事件進行正確的分析，其查詢細粒度應該包括關鍵字、時間段、源地址、目的地址、源端口、目的端口、設備類型、事件類型、特定審計對象等多個條件的組合查詢，并支持模糊查詢。5.1.2 系統(tǒng)性能需求目前我行日志審計系統(tǒng)需要審計3

28、00臺以上的設備，以一臺設備3000條/小時，每條日志1KB為標準計算，300臺設備每天的總日志條數(shù)為2160萬條，總日志量約為21G?；谏鲜鲇嬎憬Y果，結合同行業(yè)成功案例，建議系統(tǒng)性能如下：處理能力支持安全事件與日志每天2千萬條以上；支持120G以上的數(shù)據(jù)庫存儲；支持的原始日志和事件的存儲容量可達到5億條； 提供對原始日志與審計結果的壓縮存儲，文件存儲壓縮比一般不應小于1：10；根據(jù)審計要求，原始信息與審計結果需保留6個月-1年，因此，需支持磁盤陣列、NAS和SAN等多種存儲方式，存儲容量需達到7TB以上。5.1.3 系統(tǒng)安全需求權限劃分需求：日志審計系統(tǒng)需要進行管理權限的劃分，不同的管理員

29、具有不同的管理權限，例如管理配置權限與審計操作權限分離，系統(tǒng)中不允許出現(xiàn)超級用戶權限。登錄安全需求：日志審計系統(tǒng)在用戶登錄上需要強身份鑒別功能以與鑒別失效處理機制。傳輸安全需求：日志審計系統(tǒng)各個組件之間的通訊協(xié)議必須支持身份認證與傳輸加密，確保數(shù)據(jù)在傳輸過程中不被泄漏、篡改、刪除。存儲安全需求：日志審計系統(tǒng)的后端數(shù)據(jù)庫必須采用安全可靠的大型數(shù)據(jù)庫，數(shù)據(jù)庫的訪問以與對日志審計系統(tǒng)的操作都要通過嚴格的身份鑒別，并對操作者的權限進行嚴格劃分，保證數(shù)據(jù)存儲安全。接口安全需求：日志審計系統(tǒng)各組件之間應該采用其廠商自身的，未公開并且成熟可靠的協(xié)議進行通信。日志審計平臺與其他系統(tǒng)（網絡設備、主機/服務器、應

30、用系統(tǒng)、安全設備）的接口可采用標準的SNMP、Syslog等協(xié)議。5.1.4 系統(tǒng)接口需求我行日志審計系統(tǒng)主要提供如下接口進行日志采集：1、Syslog方式，支持SYSLOG協(xié)議的設備，如：防火墻、UNIX服務器等；2、ODBC/JDBC方式，支持數(shù)據(jù)庫聯(lián)接的設備；3、SNMP Trap方式，支持SNMP協(xié)議的設備，如：交換機、路由器、網路安全設備等；4、XML方式，支持 協(xié)議的設備；5、EventLog方式，支持Windows平臺；6、特定接口方式，對于不支持通用協(xié)議的設備，需要定制開發(fā)，如：某網閘隔離系統(tǒng)；7、其他廠商部專用協(xié)議。通過標準的接口，可以采集到網絡設備、安全設備、主機系統(tǒng)、應用

31、系統(tǒng)的各種類型日志：包含登陸信息、登陸認證失敗信息、應用程序啟動信息、進程改變信息、違反防火墻規(guī)則的網絡行為、IDS檢測到的所有入侵事件和IDS自身生成的各種日志等。日志信息的采集可以根據(jù)我行信息系統(tǒng)的現(xiàn)實情況進行實時傳輸或者定時傳輸。5.2數(shù)據(jù)庫和網絡審計系統(tǒng)需求5.2.1審計功能需求n 安全審計策略系統(tǒng)應允許使用者能夠針對訪問者、被保護對象、操作行為，訪問源，事件類型等特征等制定具體的安全審計策略。策略制定方式應簡單靈活，既可以制定適應于批量對象的公共策略，也可以制定適用于單個被保護對象的詳細策略。系統(tǒng)應提供行為全部記錄的默認審計策略。審計記錄應該反應出用戶的登錄身份，登錄操作時使用的主機

32、或數(shù)據(jù)庫賬號信息。在建設身份認證和訪問控制功能后，可以禁止或允許用戶使用某個主機或數(shù)據(jù)庫賬號進行登錄和操作。審計記錄應該反應出用戶的登錄身份，登錄操作時使用的主機、網絡設備或數(shù)據(jù)庫賬號信息。n 事件實時審計、告警、命令控制能靈活配置實時安全審計控制策略和預警參數(shù)，實時發(fā)現(xiàn)可疑操作（如操作系統(tǒng)rm命令、數(shù)據(jù)庫drop、delete命令等），實時發(fā)出告警信息（向控制臺發(fā)出告警信息、向管理員發(fā)送告警電子、向管理員手機發(fā)出告警短消息、通過SNMP命令向日志審計系統(tǒng)、網管系統(tǒng)發(fā)出告警等）。n 行為審計功能根據(jù)制定的安全審計策略，系統(tǒng)應對訪問者訪問被保護對象的操作交互過程進行記錄，并允許選擇記錄整個操作過

33、程的上行、下行數(shù)據(jù)。系統(tǒng)應能夠將審計記錄重組為會話的能力。單個會話的全部操作行為應能夠進行回放。每一條審計記錄應至少提供操作時間、訪問者的身份信息、IP地址、被保護對象（主機名稱、IP地址等）、操作容、系統(tǒng)返回容。審計記錄結果要實現(xiàn)集中存儲、集中管理、集中展現(xiàn)。n 事件查詢功能系統(tǒng)需要提供豐富的查詢界面，可以通過數(shù)據(jù)庫事件查詢、Telnet事件查詢、Ftp事件查詢、事件會話關聯(lián)查詢、告警查詢等不同的維度查詢結果。并支持導出報表。n 審計信息的存儲 審計信息要求安全存儲，分級別進行管理，普通管理員無法修改刪除。用戶登錄認證與操作日志要求安全存儲，普通管理員無法修改刪除。系統(tǒng)應該提供靈活的審計信息

34、存儲策略，以應對大規(guī)模審計存儲的要求；可以根據(jù)用戶登錄身份、使用的主機或數(shù)據(jù)庫賬號來制定審計信息存儲策略。n 重復事件歸并通過配置歸并規(guī)則，系統(tǒng)可以對大批量的重復事件做統(tǒng)一歸并，并記錄歸并次數(shù)。n 權限管理系統(tǒng)需要分管理員和審計員權限，審計員只能審計授權審計的系統(tǒng)的審計信息。5.2.2報表功能需求n 查詢功能系統(tǒng)用戶應可按照時間段、訪問者、主機或數(shù)據(jù)庫賬號、被保護對象、行為方式、行為特征等關鍵字進行精確或模糊匹配查詢。 操作人員根據(jù)查詢結果可以關聯(lián)查看整個會話的容。n 統(tǒng)計報表功能系統(tǒng)應提供完整的報表系統(tǒng)。系統(tǒng)應按照訪問者、被保護對象、行為方式、操作容（例如數(shù)據(jù)庫表名稱）等生成統(tǒng)計報表，并按照

35、要求添加、修改報表數(shù)量、格式與容，以滿足安全審計的要求。5.2.3審計對象與兼容性支持應當包括（但不限于）：Telnet,ftp,SQL 等應用。操作系統(tǒng)支持：Unix,HP-UNIX ,Solaris 數(shù)據(jù)庫支持：Oracle ,DB2,Infomix ,Mysql,Sqlserver應確保無遺漏等現(xiàn)象發(fā)生。5.2.4系統(tǒng)性能Ø 系統(tǒng)應滿足大數(shù)據(jù)量的審計要求。滿足千兆骨干網絡審計要求，無丟包、漏包現(xiàn)象發(fā)生；Ø 系統(tǒng)應提供良好的查詢能力；Ø 系統(tǒng)應至少滿足1年的審計數(shù)據(jù)在線存儲的需求，并提供相應的離線備份機制，對于超過在線存儲時限的審計數(shù)據(jù)應提供導入導出的機制。5

36、.2.5審計完整性系統(tǒng)應能實現(xiàn)對所有訪問者通過審計途徑對現(xiàn)網被保護對象的遠程訪問行為的審計，無遺漏、錯報等現(xiàn)象的發(fā)生。6安全審計綜合管理平臺建設方案6.1日志審計系統(tǒng)建設方案6.1.1 日志管理建議基于我行日志審計系統(tǒng)的建設目標，需要對我行信息系統(tǒng)中的網絡設備、主機系統(tǒng)、應用系統(tǒng)、安全系統(tǒng)等進行日志采集，各采集對象的設備系統(tǒng)類型、采集的日志容、采集方式與采集頻率說明如下：審計容具體審計需求描述日志容包括擬采用的采集方式采集頻率操作系統(tǒng)ü Solaris ü AIXü Linuxü HP-UNIX登錄注銷、權限變更、操作系統(tǒng)啟動關閉、shell操作日志、S

37、YSlOG日志。Agent方式；針對UNIX SYSLOG日志可通過syslog方式發(fā)送通過日志安全審計中心設置采集頻率策略,建議1分鐘采集一次ü Windows 2000 serverü Windows 2003 server登錄注銷、權限變更、操作系統(tǒng)啟動關閉、應用程序運行狀態(tài)、系統(tǒng)文件和文件屬性修改等Agent方式通過日志安全審計中心設置采集頻率策略,建議1分鐘采集一次安全設備ü 防火墻用戶登錄、修改配置、收集到的攻擊日志等等Syslog、SNMP Trap方式采集在安全設備上配置日志傳輸頻率，建議1分鐘采集一次網絡設備ü 交換機ü 路由

38、器等（CISCO、華為、華三等）。用戶登錄、修改配置等Syslog、SNMP Trap方式采集在網絡設備上配置日志傳輸頻率，建議1分鐘采集一次數(shù)據(jù)庫ü ORACLEü SQL SERVERü DB2ü SYBASEü Informix用戶登錄、注銷、數(shù)據(jù)查詢、插入、數(shù)據(jù)修改、數(shù)據(jù)刪除、修改配置等。通過部署旁路數(shù)據(jù)庫審計硬件設備,采用鏡像等方式獲取數(shù)據(jù)庫訪問的網絡報文流量，從而實現(xiàn)針對各種數(shù)據(jù)庫用戶的操作命令級審計。該采集方式不會對數(shù)據(jù)庫的運行、訪問產生影響通過日志安全審計中心設置數(shù)據(jù)庫審計日志采集頻率策略，建議1分鐘采集一次應用系統(tǒng)Web se

39、rver、Email server、Domino等應用系統(tǒng)；在實際項目中，還需要收集業(yè)務系統(tǒng)日志。Web server主要包括：ü WebSphereü Apacheü WebLogicü Microsoft IIS等用戶登錄、修改配置、應用層的操作等Agent方式、Syslog、SNMP Trap、ODBC/JDBC方式通過日志安全審計中心設置數(shù)據(jù)庫審計日志采集頻率策略，建議1分鐘采集一次6.1.2 日志審計系統(tǒng)整體架構我行日志審計系統(tǒng)整體架構圖如下：整體架構圖說明：我行日志審計系統(tǒng)為軟件架構，由采集服務器、管理服務器、數(shù)據(jù)庫服務器三大部分組成。對被審

40、計對象進行必要的設置或安裝采集代理，即可實現(xiàn)對整個系統(tǒng)的綜合審計；我行日志審計系統(tǒng)采用Browser/Server/DataBase三層架構，管理人員無需安裝任何客戶端即可登錄到日志審計系統(tǒng)進行審計管理操作。我行日志審計系統(tǒng)功能結構圖如下：功能結構圖說明：我行日志審計系統(tǒng)將包括日志采集、日志存儲、日志分析、系統(tǒng)管理、綜合顯示等功能模塊，這些功能模塊將有效滿足我行針對日志審計系統(tǒng)各種功能需求。6.1.3 日志采集實現(xiàn)方式 系統(tǒng)支持的標準接口和協(xié)議1、Syslog方式，支持SYSLOG協(xié)議的設備，如：防火墻、UNIX服務器等；2、ODBC/JDBC方式，支持數(shù)據(jù)庫聯(lián)接的設備；3、SN

41、MP Trap方式，支持SNMP協(xié)議的設備，如：交換機、路由器、網路安全設備等；4、XML方式，支持 協(xié)議的設備；5、EventLog方式，支持Windows平臺；6、特定接口方式，對于不支持通用協(xié)議的設備，需要定制開發(fā)，如：某網閘隔離系統(tǒng)。7、其他廠商部專用協(xié)議。Syslog和SNMP Trap方式作為最常見、傳統(tǒng)的方式，被大部分設備廠商和日志審計系統(tǒng)所采用，建議我行采用這兩種方式進行日志采集。Syslog和SNMP Trap方式作為最成熟的網絡協(xié)議，已經廣泛應用在網絡設備、安全設備等設備之上，用來傳輸各種日志信息，對系統(tǒng)本身影響很小。8、數(shù)據(jù)庫日志審計數(shù)據(jù)庫自身日志功能開啟情況下，可通過O

42、DBC方式收集數(shù)據(jù)庫日志，但是在數(shù)據(jù)庫日志量較大的情況下，數(shù)據(jù)庫系統(tǒng)自身開啟日志審計功能會帶給系統(tǒng)較大的負擔，不建議采用該方式收集數(shù)據(jù)庫日志。為了保證數(shù)據(jù)庫的性能、穩(wěn)定性，建議采用國已較為成熟的數(shù)據(jù)庫審計技術，通過在網絡部署專門的旁路數(shù)據(jù)庫審計硬件設備,采用鏡像等方式獲取數(shù)據(jù)庫訪問的網絡報文流量，實現(xiàn)針對各種數(shù)據(jù)庫用戶的操作命令級審計。該采集方式不會對數(shù)據(jù)庫的運行、訪問產生任何影響，而且具有更強的實時性，是比較理想的數(shù)據(jù)庫日志審計的實現(xiàn)方式。 采集對象日志采集實現(xiàn)方式采集對象需支持通過安裝審計代理程序或修改系統(tǒng)配置來進行日志的采集，通過日志收集策略定制來開啟與關閉各系統(tǒng)的日志采集

43、功能與確定應采集的日志的種類。為了保證被監(jiān)控系統(tǒng)的性，原則上被監(jiān)控系統(tǒng)要主動向日志審計系統(tǒng)發(fā)送自身生成的日志信息，日志審計系統(tǒng)盡可能的不主動訪問被監(jiān)控對象。6.1.4 日志標準化實現(xiàn)方式 由于日志采集模塊收集到多種類型的日志，而這些日志定義的格式和容不盡一樣，日志標準化將不同的數(shù)據(jù)格式轉換成標準的數(shù)據(jù)格式并存儲，為上層應用提供數(shù)據(jù)支持。由于不同的設備，對事件的嚴重程度定義與側重點不盡一樣，不利于根據(jù)統(tǒng)一的安全策略進行處理。日志標準化將按照日志來源類型、事件類別、事件級別等可能的條件與條件的組合對事件嚴重級別進行重定義，便于日志分析模塊的分析處理。下面是日志信息標準化要求：日志事件信息的標準化字

44、段包括事件編號信息（此字段信息應全局唯一，作為標識事件的主鍵）、事件名稱、事件原始時間、事件采集時間、事件容、事件類型、事件源地址、事件目的地址、事件源端口、事件目的端口、事件原始級別、事件標準化后的級別、事件采集來源、事件涉與協(xié)議、會話信息等。我行日志審計系統(tǒng)對于今后新增加的被審計對象（如新增的應用系統(tǒng)），將使用標準的Syslog或SNMP協(xié)議作為其日志形式和接口，并協(xié)調日志審計系統(tǒng)廠商與新系統(tǒng)廠商提供技術方面的支持。新增的被審計對象，必須能滿足如下條件：1）提供標準的Syslog或SNMP接口；2）被審計對象需要提供詳細的日志信息，包括：登陸信息、狀態(tài)信息、依據(jù)自身業(yè)務邏輯產生的數(shù)據(jù)等；3

45、）日志事件信息的標準化字段包括事件編號信息（此字段信息應全局唯一，作為標識事件的主鍵）、事件名稱、事件原始時間、事件采集時間、事件容、事件類型、事件源地址、事件目的地址、事件源端口、事件目的端口、事件原始級別、事件標準化后的級別、事件采集來源、事件涉與協(xié)議、會話信息等；4）如果是應用系統(tǒng)日志，應該包含用戶信息，對于應用系統(tǒng)日志其級別的定義變得極其重要；5）提供設備所能產生的全部類型的日志樣本；6）提供全部日志類型中的字段的說明（尤其是數(shù)值與相應容的對照表）以與相應文檔；6.1.5 日志存儲實現(xiàn)方式我行日志審計系統(tǒng)將采用DB2或MS SQL Server 數(shù)據(jù)庫作為日志審計系統(tǒng)的在線存儲方式，根

46、據(jù)審計要求，原始信息與審計結果需提供壓縮存儲，文件存儲壓縮比一般不應小于1：10；并保留6個月1年以上，系統(tǒng)需支持磁盤陣列柜以與SAN、NAS等存儲方式，存儲容量需達到7TB以上。除了在線存儲方式外還將支持磁帶機作為離線存儲備份方式，離線數(shù)據(jù)可以通過導入到當前庫不同的表中進行查詢和分析，以避免對當前數(shù)據(jù)造成不利的影響。6.1.6 日志關聯(lián)分析我行日志審計系統(tǒng)將提供多種關聯(lián)分析方法，包括：一樣源IP的事件關聯(lián)分析、一樣目的IP的事件關聯(lián)分析、一樣事件類型的關聯(lián)分析以與基于規(guī)則的事件關聯(lián)分析、統(tǒng)計關聯(lián)分析和漏洞關聯(lián)分析（需要采用脆弱性模塊）。通過關聯(lián)分析能夠更加準確地定義和定位安全事件。一樣源IP

47、的事件關聯(lián)分析：通常用于對主機終端的活動進行分析審計，它把一樣源IP地址所產生的事件按照時間順序一一列出，幫助管理人員對該IP地址所進行的各項操作行為進行分析和審計，從而對其操作行為的目的性進行分析。一樣目的IP的事件關聯(lián)分析：通常用于對服務器被訪問和操作的活動進行分析和審計，它把一樣目的IP地址所產生的事件按照時間順序一一列出，幫助管理人員對該IP地址被訪問的活動進行分析和審計，從而發(fā)現(xiàn)部人員對服務器所進行非授權或可疑的操作。一樣事件類型的事件關聯(lián)分析：通常用于對特定事件的影響圍進行分析，它把所發(fā)生的一樣事件類型的按照時間順序一一列出，幫助管理人員對事件的波與面進行分析和審計?；谝?guī)則的事件

48、關聯(lián)分析：是把各種安全事件按照時間的先后序列與時間間隔進行檢測，判斷事件之間的相互關系是否符合預定義的規(guī)則，從而觸發(fā)分析總結出來的關聯(lián)分析后事件。統(tǒng)計關聯(lián)分析：是用戶通過定義一定時間發(fā)生的符合條件的事件量達到規(guī)定量，從而觸發(fā)關聯(lián)事件。所有能夠發(fā)送日志信息的IT基礎設施都可以做關聯(lián)分析，通過關聯(lián)分析可以與時發(fā)現(xiàn)IT基礎設施潛在風險。6.1.7 安全事件報警我行日志審計系統(tǒng)將提供實時屏幕顯示、電子、工作任務單、入庫（和短信）等報警方式；可以調整實時報警的排序方式；可以定義實時報警的顯示容，顯示容包括：l 發(fā)生的時間l 來源l 事件類型l 主體l 描述和結果（成功、失敗或待驗證等）；可以調整實時報警

49、策略，并且顯示的容與當前用戶的管理角色相關聯(lián)?？商峁┦录纳蠄髾C制，通過策略的設置明確哪些類型（如泄密事件、安全運行事件）、哪些等級（高、中高、中、中低、低等級以上）的安全事件需要隨時上報。6.1.8 日志報表我行日志審計系統(tǒng)可提供的報表包括以下種類：Ø 事件信息報表提供事件分布報表，按照不同事件類別提供各類事件的趨勢報表。Ø 綜合分析與預警報表綜合安全風險分析的報表，提供風險查詢報表，可以根據(jù)資產、域、趨勢等進行分類輸出，包括分析數(shù)據(jù)分布圍、受影響的系統(tǒng)、可能的嚴重程度等。Ø 響應過程報表提供響應模塊發(fā)生的響應事件的統(tǒng)計報表，按照響應事件的緊急程度、響應對象、響

50、應人員分類列表。Ø 綜合顯示報表提供綜合顯示模塊的實時截屏報表，包括列表顯示報表輸出、拓撲安全信息報表輸出、電子地圖安全信息報表輸出。Ø 平臺自身日志報表提供平臺自身日志的報表，包含訪問人、訪問次數(shù)、訪問時間等?？梢园凑諏徲媽ο笳宫F(xiàn)日志信息。報表輸出格式可轉換為PDF 、HTML、RTF、CSV等多種常用的標準格式，我行用戶可自定義報表。6.1.9系統(tǒng)管理我行日志審計系統(tǒng)設有用戶管理員、系統(tǒng)管理員、安全管理員和安全審計員四種操作和管理角色，每種操作管理角色中又可安排多個操作管理用戶，在系統(tǒng)中不存在超級用戶。通過角色的劃分并給予角色相應的授權實現(xiàn)了系統(tǒng)管理員、安全管理員和安全

51、審計員的三權分立。用戶管理員權限：用戶管理員負責對用戶、用戶組進行管理，包括建立、維護和刪除用戶組，并將用戶分配到相應的用戶組中。用戶管理員不參與綜合審計系統(tǒng)的各項具體操作。系統(tǒng)管理員權限：系統(tǒng)管理員負責設定各個用戶組的管理和操作權限，包括管理區(qū)域圍、管理的設備和對象、各項管理功能（如策略制定、關聯(lián)分析、審計查詢、審計報表、數(shù)據(jù)備份等）的操作權限等，權限控制分為“完全控制”、“讀取”、“寫入”、“更改”、“刪除”幾類。系統(tǒng)管理員不參與綜合審計系統(tǒng)的各項具體操作。安全管理員權限：安全管理員負責在權限許可的圍利用日志審計系統(tǒng)開展各項安全審計和管理操作。安全管理員的操作進行通過系統(tǒng)審計日志記錄下來，

52、以備審計管理員對安全管理員的各項管理操作進行審計。安全審計員權限：審計管理員僅具有對用戶管理員、系統(tǒng)管理員、安全管理員所從事的各項安全管理操作進行審計的權限，包括用戶登錄注銷、新增、修改、刪除用戶或用戶組等功能。6.1.10 系統(tǒng)接口規(guī)我行日志審計系統(tǒng)的接口規(guī)為標準協(xié)議：Syslog、SNMP。被監(jiān)控對象通過Syslog、SNMP協(xié)議主動把自身的日志信息發(fā)送到日志審計系統(tǒng)。日志審計系統(tǒng)要對外提供如下接口：Windows EventLog：可以通過該接口采集Windows主機的日志信息。Syslog：通過該接口可以采集網絡設備、安全設備、主機系統(tǒng)等日志信息。SNMP：通過該接口可以采集網絡設備、

53、安全設備、主機系統(tǒng)等日志信息。OPSEC：通過該接口可以采集nokia、checkpoint的日志信息。XML：通過該接口可以采集漏洞掃描系統(tǒng)的掃描結果。ODBC：通過該接口可以采集數(shù)據(jù)庫的日志信息。讀文件：通過該接口可以采集ftp、DNS等應用系統(tǒng)的日志信息。日志審計系統(tǒng)自身會有簡單的資產管理功能，如果我行沒有與現(xiàn)有資產管理系統(tǒng)進行數(shù)據(jù)同步的要求，不需要和現(xiàn)有的資產管理系統(tǒng)進行整合。如果要求做到和現(xiàn)有的資產管理系統(tǒng)整合，需要通過定制開發(fā)實現(xiàn)。與第三方的資產管理系統(tǒng)進行整合需要定制開發(fā)。6.2數(shù)據(jù)庫和網絡審計系統(tǒng)建設方案6.2.1數(shù)據(jù)庫和網絡行為綜合審計實時統(tǒng)計監(jiān)控管理人員可以通

54、過實時統(tǒng)計功能清楚地看到網部告警事件、活動會話（Active Session），以與對被保護對象的訪問情況。實時統(tǒng)計功能能夠統(tǒng)計最近5分鐘的數(shù)據(jù)，與時地反應出網絡部的動態(tài)。在實時統(tǒng)計中，用戶可以實時的查看當前活動對象、當前活動會話等的事件列表。用戶點擊某個活動會話，即可看到當前會話中用戶登錄、操作、注銷指令執(zhí)行與其返回結果的全過程。事件查詢事件查詢?yōu)橛脩籼峁┝藲v史事件查詢的手段。用戶可以指定復雜的查詢條件，快速檢索到需要的事件信息，從而協(xié)助管理員進行計算機取證分析，收集外部訪問或者部違規(guī)的證據(jù)。事件查詢細分為綜合事件查詢，數(shù)據(jù)庫事件查詢，主機事件查詢，F(xiàn)tp事件查詢。針對不同類別

55、的查詢，系統(tǒng)精心地為用戶提供了不同的查詢條件組合，方便用戶找到自己需要的信息。用戶可以指定的查詢條件包括：審計類型、事件接收時間、事件等級、源地址、目的地址、用戶名、策略名、會話ID（SessionID）等。趨勢分析能夠進行事件訪問的趨勢分析，對最近一段時間的事件進行統(tǒng)計分析，并描繪趨勢曲線。這樣，系統(tǒng)監(jiān)控管理員能夠清晰的看到最近一段時間部的的事件走向，并且可以清楚地看到敏感時間什么人對什么樣的保護對象進行過訪問，以與訪問了保護對象的什么資源。針對不同的審計類型，產品提供不同的趨勢分析，系統(tǒng)監(jiān)控人員可以根據(jù)需要查看不同的趨勢分析。6.2.2審計策略審計策略是為審計功能服務的，它為

56、系統(tǒng)提供數(shù)據(jù)包采集引擎所需的策略配置，對通過引擎的數(shù)據(jù)包進行基于審計策略的過濾，將符合審計策略的數(shù)據(jù)包提取出來、產生安全事件，然后再對安全事件進行審計分析。同時，審計策略也決定了審計的顆粒度，用戶可以通過對審計策略的設定來決定審計的各種細節(jié)。系統(tǒng)可以根據(jù)用戶要求自由組織審計策略，提供便捷的添加、修改、刪除、導入、導出、啟用和禁用等功能?？梢詫⑨槍ν粯I(yè)務的不同方面的審計策略選項集中到一條審計策略中進行配置，這樣用戶無需切換頁面和進行復雜的選項配置，簡化了用戶操作，同時并未減少需要配置的審計對象的元素。在策略配置中，用戶可以從各類協(xié)議中提取出公共部分進行統(tǒng)一配置，各類協(xié)議的私有部分再根據(jù)不同的細

57、節(jié)進行相應的配置，從而避免了重復配置，減輕了用戶的審計配置工作量。策略配置容：審計類型行為采集響應主機1登錄2注銷3一般操作1全部：審計全部容2訪問文件名稱關鍵字過濾1記錄2阻斷數(shù)據(jù)庫1用戶行為2數(shù)據(jù)定義3數(shù)據(jù)操作4數(shù)據(jù)控制5其他1全部：審計全部容2、關鍵字過濾（可以細化到庫、表、記錄、用戶、存儲過程、函數(shù)等）1記錄2阻斷FTP1登錄2注銷3一般操作1全部2、文件/目錄名稱關鍵字過濾1記錄2阻斷6.2.3審計容主機審計主機審計功能可審計VNC、Telnet、網上鄰居和定制的主機協(xié)議的登錄、注銷和一般操作等行為。用戶可以在業(yè)務綜合審計中單獨查看主機審計的實時統(tǒng)計信息和趨勢分析；可以定義專門的主機審計策略；可以在報表管理中單獨查看與主機審計相關的報表報告。數(shù)據(jù)庫審計數(shù)據(jù)庫審計功能可審計包括各個平臺（Windows、Linux、Solaris、AIX）和版本的SQL Server、Oracle等在的數(shù)據(jù)庫的DDL，DML，DCL和其它操作等行為。操作行為容和描述用戶行為數(shù)據(jù)庫用戶的