2023年8月1日发(作者:)
安全审计综合管理平台建设方案1
某银行
安全审计综合管理平台建设方案
V1.2
二○○九年三月
目录
1背景 (4)
2安全审计管理现状 (5)
2.1安全审计基本概念 (5)
2.2总行金融信息管理中心安全审计管理现状 (6)
2.2.1日志审计 (6)
2.2.2数据库和网络审计 (8)
2.3我行安全审计管理办法制定现状 (8)
2.4安全审计产品及应用现状 (9)
3安全审计必要性 (9)
4安全审计综合管理平台建设目标 (10)
5安全审计综合管理平台需求 (11)
5.1日志审计系统需求 (11)
5.1.1系统功能需求 (11)
5.1.2 系统性能需求 (13)
5.1.3 系统安全需求 (13)
5.1.4 系统接口需求 (14)
5.2数据库和网络审计系统需求 (15)
5.2.1审计功能需求 (15)
5.2.2报表功能需求 (16)
5.2.3审计对象及兼容性支持 (16)
5.2.4系统性能 (17)
5.2.5审计完整性 (17)
6安全审计综合管理平台建设方案 (17)
6.1日志审计系统建设方案 (17)
6.1.1 日志管理建议 (17)
6.1.2 日志审计系统整体架构 (19)
6.1.3 日志采集实现方式 (20)
6.1.4 日志标准化实现方式 (21)
6.1.5 日志存储实现方式 (22)
6.1.6 日志关联分析 (23)
6.1.7 安全事件报警 (24)
6.1.8 日志报表 (24)
6.1.9系统管理 (25)
6.1.10 系统接口规范 (26)
6.2数据库和网络审计系统建设方案 (26)
6.2.1数据库和网络行为综合审计 (26)
6.2.2审计策略 (27)
6.2.3审计内容 (28)
6.2.4告警与响应管理 (30)
6.2.5报表管理 (31)
7系统部署方案 (31)
7.1安全审计综合管理平台系统部署方案 (31)
7.2系统部署环境要求 (32)
7.2.1日志审计系统 (32)
7.2.2数据库和网络审计系统 (33)
7.3系统实施建议 (33)
7.4二次开发 (33)
1背景
近年来,XX银行信息化建设得到快速发展,央行履行金融调控、金融稳定、金融市场和金融服务职能高度依赖于信息技术应用,信息安全问题的全局性影响作用日益增强。
目前,XX银行信息安全保障体系中安全系统建设已经达到了一定的水平。建设了非法外联监控管理系统、入侵检测系统、漏洞扫描系统、防病毒系统及补丁分发系统,为客户端安全管理、网络安全管理和系统安全管理提供了技术支撑手段,有效提高了安全管理水平;完成制定《金融业星型网间互联安全规范》金融业行业标准,完善内联网外联防火墙系统,确保XX银行网络边界安全;制定并下发《银行计算机机房规范化工作指引》,规范和加强机房环境安全管理。
信息安全审计技术是实现信息安全整个过程中关键记录信息的监控统计,是信息安全保障体系中不可缺少的一部分。随着电子政务、电子商务以及各类网上应用的开展得到了普遍关注,并且在越来越多的大型网络系统中已经成功应用并发挥着重要作用,特别针对安全事故分析、追踪起到了关键性作用。
传统的安全审计系统局限于对主机的操作系统日志的收集和简单分析,缺乏对于多种平台下(Windows系列、Unix系列、Solaris等)、多种网络设备、重要服务器系统、应用系统以及数据库系统综合的安全审计功能。
随着网络规模的迅速扩大,单一式的安全审计技术逐步被分布式安全审计技术所代替,加上各类应用系统逐步增多,网络管理人员/运维人员工作量往往会成倍增加,使得关键信息得不到重点关注。大量事实表明,对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志异常行为告警方式通知管理人员,及时进行分析并采取相应措施进行有效阻止,从而大大降低安全事件的发生率。
目前我行信息安全保障工作尚未有效开展安全审计工作,缺少事后审计的技术支撑手段。当前,信息安全审计作为保障信息系统安全的制度逐渐发展起来;并已在对信息系统依赖性最高的金融业开始普及。信息安全审计的相关标准包括ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800等。这些标准从不同角度提出信息安全控制体系,可以有效地控制信息安全风险。同时,公安部发布的《信息系统安全等级保护技术要求》中对安全审计提出明确的技术要求:审计范围覆
盖网络设备、操作系统、数据库、应用系统,审计内容包括各网络设备运行状况、系统资源的异常使用、重要用户行为和重要系统命令的使用等系统内重要的安全相关事件。
为进一步完善信息安全保障体系,2009年立项建设安全审计系统,不断提高安全管理水平。
2安全审计管理现状
2.1安全审计基本概念
信息安全审计是企业内控、信息系统治理、安全风险控制等 的不可或缺的关键手段。信息安全审计能够为安全管理员提供一组可进行分析的管理数据,以发现在何处发生了违反安全方案的事件。利用安全审计结果,可调整安全策略,堵住出现的漏洞。
美国信息系统审计的权威专家Ron Weber又将它定义为收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标,同时最经济的使用资源。根据在信息系统中需要进行安全审计的对象与内容,主要分为日志审计、网络审计、主机审计。下面分别说明如下:
日志审计:日志可以作为责任认定的依据,也可作为系统运行记录集,对分析系统运行情况、排除故障、提高效率都发挥重要作用。日志审计是安全审计针对信息系统整体安全状态监测的基础技术,主要通过对网络设备、安全设备、应用系统、操作系统、数据库的集中日志采集、集中存储和关联分析,帮助管理员及时发现信息系统的安全事件,同时当遇到特殊安全事件和系统故障时,确保日志存在和不被篡改,帮助用户快速定位追查取证。大量事实表明,对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志审计进行分析、告警并及时采取相应措施进行有效阻止,从而大大降低安全事件的发生率。
数据库审计:主要负责对数据库的各种访问操作进行监控;是安全审计对数据库进行审计技术。它采用专门的硬件审计引擎,通过旁路部署采用镜像等方式获取数据库访问的网络报文流量,实时监控网络中数据库的所有访问操作(如:插入、删除、更新、用户自定义操作等),还原SQL操作命令包括源IP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等,发现各种违规数据库操作行为,及时报警响应、 全过程操作还原,从而实现安全
安全审计综合管理平台建设方案1第2页
事件的准确全程跟踪定位,全面保障数据库系统安全。该采集方式不会对数据库的运行、访问产生任何影响,而且具有更强的实时性,是比较理想的数据库日志审计的实现方式。
网络审计:主要负责网络内容与行为的审计;是安全审计对网络通信的基础审计技术。它采用专门的网络审计硬件引擎,安装在网络通信系统的数据汇聚点,通过旁路抓取网络数据包进行典型协议分析、识别、判断和记录,Telnet、HTTP、Email、FTP、网上聊天、文件共享、流量等的检测分析等。
主机审计:主要负责对网络重要区域的客户机上的各种上网行为、文件拷贝/打印操作、通过Modem擅自连接外网等进行审计。
目前我行信息安全系统尚未有效开展安全审计工作,由于缺少对各网络设备、安全设备、应用系统、操作系统、数据库的集中日志采集、集中存储和关联分析等事后审计、追查取证的技术支撑手段,以至无法在遇到特殊安全事件和系统故障时确保日志存在和不被篡改,同时对主机和数据库的操作行为也没有审计和管理的手段,不同有效对操作行为进行审计,防止误操作和恶意 行为的发生,因此我行迫切需要尽快建设安全审计系统(包括日志审计、数据库审计、网络审计),确保我行信息系统安全。
2.2 我行金融信息管理中心安全审计管理现状
2.2.1日志审计
作为数据中心的运维部门,负责运维内联网总行局域网、总行机关办公自动化系统及货币发行信息管理系统、国库信息处理系统等重要业务系统,保障信息系统IT基础设施的安全运行。为更好地制定日志审计系统建设方案,开展了金融信息管理中心日志管理现状调研工作,调研内容包括设备/系统配臵哪些日志信息、日志信息包括哪些属性、日志采集所支持的协议/接口、日志存储方式及日志管理现状,金融信息管理中心日志管理现状调查表详见附件。通过分析日志管理现状调查表,将有关情况说明如下:
一、日志内容。网络设备(包括交换机和路由器)、安全设备(包括防火墙、入侵检测设备、防病毒管理系统和补丁分发系统)、办公自动化系统和重要业务系统均配臵一定的日志信息,其中每类设备具有一定的日志配臵规范,应用系统
(办公自动化系统和重要业务系统)的日志内容差异较大,数据库和中间件仅配臵“进程是否正常”的日志信息。
二、日志格式。网络设备和部分安全设备根据厂商的不同,其日志格式也不同,无统一的日志格式;应用系统根据系统平台的不同,其日志格式也不同,无统一的日志格式。
三、日志采集协议/接口。网络设备和部分安全设备支持 SNMP Trap和Syslog 协议,应用系统主要支持TCP/IP协议,个别应用系统自定义了日志采集方式。
四、日志存储方式。网络设备和部分安全设备日志信息集中存储在日志服务器中,其他设备/系统日志均存储在本地主机上。日志信息以文本文件、关系型数据库文件、Domino数据库文件和XML文件等方式进行存储。
五、日志管理方式。主要为分散管理,且无日志管理规范。在系统/设备出现故障时,日志信息是定位故障,解决故障的主要依据。
据了解,为加强网络基础设施运行情况的监控,金融信息管理中心通过采集交换机和路由器等网络设备的日志信息,实现网络设备日志信息的集中管理,及时发现网络设备运行中出现的问题。
通过上述现状的分析,目前日志管理存在如下问题:
1、不同系统/设备的日志信息分散存储,日志信息被非法删除,导致安全事故处臵工作无法追查取证。
2、在系统发生故障后,才去通过日志信息定位故障,导致系统安全运行工作存在一定的被动性,应主动地在日志信息中及时发现系统运行存在的隐患,提高系统运行安全管理水平。
3、随着我行信息化工作的不断深入,系统运维工作压力的不断加大,如不及时规范日志信息管理,信管中心将逐步面临运维的设备多、人员少的问题,不能及时准确把握运维工作的重点。
在目前日志信息管理基础上,若简单加强日志信息管理,仍存在如下问题:
1、通过系统/设备各自的控制台去查看事件,窗口繁多,而且所有的事件都是孤立的,不同系统/设备之间的事件缺乏关联,分析起来极为麻烦,无法弄清楚真实的状况。
2、不同系统/设备对同一个事件的描述可能是不同的,管理人员需了解各系
统/设备,分析各种不同格式的信息,导致管理人员的工作非常繁重,效率低。
3、海量日志信息不但无法帮助找出真正的问题,反而因为太多而造成无法管理,并且不同系统/设备可能产生不同的日志信息格式,无法做到快速识别和响应。
2.2.2数据库和网络审计
目前我行没有实现对数据库操作和网络操作行为的审计。对系统的后台操作人员的远程登录主机、数据库的操作行为无法进行记录、审计,难以防止系统滥用、泄密等问题的发生。
2.3 我行安全审计管理办法制定现状
在《银行信息安全管理规定》提出如下安全审计要求:
第一百三十九条各单位科技部门在支持与配合内审部门开展审计信息安全工作的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及 时报本单位或上一级单位主管领导。
第一百四十条各单位应做好操作系统、数据库管理系统等审计功能配臵管理,应完整保留相关日志记录,一般保留至少一个月,涉及资金交易的业务系统日志应根据需要确定保留时间。
在《银行信息系统安全配臵指引-数据库分册》提出如下安全审计要求:
应配臵审计日志,并定期查看、清理日志。
审计内容包括创建、修改或删除数据库帐户、数据库对象、数据库表、数据库索引的行为;允许或者撤销审计功能的行为;授予或者取消数据库系统级别权限的行为;任何因为参考对象不存在而引的错误信息;任何改变数据库对象名称的动作;任何对数据库Dictionary或者数据库系统配臵的改变;所有数据库连接失败的记录;所有DBA的数据库连接记录;所有数据库用户帐户升级和删除操作的审计跟踪信息。
审计数据应被保存为分析程序或者脚下本可读的格式,时间期限是一年。所有删除审计数据的操作,都应在动态查帐索引中保留记录。
只有DBA或者安全审核员有权限选择、添加、删除或者修改、停用审
计信息。
上述安全审计管理要求为开展日志审计系统建设提供了制度保障。
2.4 安全审计产品及应用现状
目前市场上安全审计产品按审计类型也有很多产品,日志审计以SIM类产品为主,也叫安全信息和事件管理(SIEM),是安全管理领域发展的方向。SIM 是一个全面的、面向IT计算环境的安全集中管理平台,这个平台能够收集来自计算环境中各种设备和应用的安全日志和事件,并进行存储、监控、分析、报警、响应和报告,变过去被动的单点防御为全网的综合防御。
由于日志审计对安全厂商的技术开发能力有较高要求,国内一些较有实力的安全厂商能够提供较为成熟的日志审计产品。目前,日志审计产品已在政府、运营商、金融、民航等行业广泛成功应用。
针对数据库和网络行为审计产品,国内也有多个厂家有比较成熟的产品,在很多行业都有应用。
3安全审计必要性
通过安全审计系统建设,落实信息系统安全等级保护基本技术和管理要求中有关安全审计控制点及日志和事件存储的要求,积累信息系统安全等级保护工作经验。
通过综合安全审计平台的建设,进一步完善我行信息安全保障体系,改变事中及事后安全基础设施建设较弱的现状;为信息安全管理规定落实情况检查提供技术支撑手段,不断完善信息安全管理办法,提高信息安全管理水平;
通过综合安全审计平台,实现信息系统IT基础设施日志信息的集中管理,全面掌握IT基础设施运行过程中出现的隐患, 通过安全事件报警和日志报表的方式,在运维人员有限的条件下,有效地把握运维工作的重点,进一步增强系统安全运维工作的主动性,更好地保障系统的正常运行。同时,有效规避日志信息分散存储存在的非法删除风险,确保安全事故处臵的取证工作。
通过综合安全审计平台的建设,规范我行安全审计管理工作,指导今后信息化项目建设,系统也为安全审计管理规范的实现提供了有效的技术支撑平台。
4安全审计综合管理平台建设目标
根据总行金融信息管理中心日志管理工作现状及存在的问题,结合日志审计系统建成后的预期收益,现将系统建设目标说明如下:
海量日志数据的标准化集中管理。
根据即定采集策略,采集信息系统IT基础设施日志信息,规范日志信息格式,实现海量日志数据的标准化集中存储,同时保存日志信息的原始数据,规避日志信息被非法删除而带来的安全事故处臵工作无法追查取证的风险;加强海量日志数据集中管理,特别历史日志数据的管理。
系统运行风险及时报警与报表管理
基于标准化的日志数据进行关联分析,及时发现信息系统IT基础设施运行过程中存在的安全隐患,并根据策略进行及时报警,为运维人员主动保障系统安全运行工作提供有效的技术支撑;实现安全隐患的报表管理,更好地支持系统运行安全管理工 作。
为落实有关信息安全管理规定提供技术支撑
利用安全审计结果可以评估信息安全管理规定的落实情况,发现信息安全管理办法存在的问题,为完善信息安全管理办法提供依据,持续改进,进一步提高安全管理水平。
规范信息系统日志信息管理。
根据日志管理工作现状,提出信息系统日志信息管理规范,明确信息系统IT 基础设施日志配臵基本要求、日志内容基本要求等,一方面确保日志审计系统建设实现即定目标;另一方面指导今后信息化项目建设,完善信息安全管理制度体系,进一步提高安全管理水平。
实现对我行各业务系统主机、数据库行为审计。
对各业务系统的主机、数据库行为的审计,主要是在不影响业务系统正常运行的前提下,通过网络镜像流量的方式辅以独立日志分析等其它方式对用户行为进行隐蔽监视,对用户访问业务系统的行为进行审计,对用户危险行为进行告警并在必要时进行阻断,对事后发现的安全事件进行会话回放,进行网络通讯取证。
2023年8月1日发(作者:)
安全审计综合管理平台建设方案1
某银行
安全审计综合管理平台建设方案
V1.2
二○○九年三月
目录
1背景 (4)
2安全审计管理现状 (5)
2.1安全审计基本概念 (5)
2.2总行金融信息管理中心安全审计管理现状 (6)
2.2.1日志审计 (6)
2.2.2数据库和网络审计 (8)
2.3我行安全审计管理办法制定现状 (8)
2.4安全审计产品及应用现状 (9)
3安全审计必要性 (9)
4安全审计综合管理平台建设目标 (10)
5安全审计综合管理平台需求 (11)
5.1日志审计系统需求 (11)
5.1.1系统功能需求 (11)
5.1.2 系统性能需求 (13)
5.1.3 系统安全需求 (13)
5.1.4 系统接口需求 (14)
5.2数据库和网络审计系统需求 (15)
5.2.1审计功能需求 (15)
5.2.2报表功能需求 (16)
5.2.3审计对象及兼容性支持 (16)
5.2.4系统性能 (17)
5.2.5审计完整性 (17)
6安全审计综合管理平台建设方案 (17)
6.1日志审计系统建设方案 (17)
6.1.1 日志管理建议 (17)
6.1.2 日志审计系统整体架构 (19)
6.1.3 日志采集实现方式 (20)
6.1.4 日志标准化实现方式 (21)
6.1.5 日志存储实现方式 (22)
6.1.6 日志关联分析 (23)
6.1.7 安全事件报警 (24)
6.1.8 日志报表 (24)
6.1.9系统管理 (25)
6.1.10 系统接口规范 (26)
6.2数据库和网络审计系统建设方案 (26)
6.2.1数据库和网络行为综合审计 (26)
6.2.2审计策略 (27)
6.2.3审计内容 (28)
6.2.4告警与响应管理 (30)
6.2.5报表管理 (31)
7系统部署方案 (31)
7.1安全审计综合管理平台系统部署方案 (31)
7.2系统部署环境要求 (32)
7.2.1日志审计系统 (32)
7.2.2数据库和网络审计系统 (33)
7.3系统实施建议 (33)
7.4二次开发 (33)
1背景
近年来,XX银行信息化建设得到快速发展,央行履行金融调控、金融稳定、金融市场和金融服务职能高度依赖于信息技术应用,信息安全问题的全局性影响作用日益增强。
目前,XX银行信息安全保障体系中安全系统建设已经达到了一定的水平。建设了非法外联监控管理系统、入侵检测系统、漏洞扫描系统、防病毒系统及补丁分发系统,为客户端安全管理、网络安全管理和系统安全管理提供了技术支撑手段,有效提高了安全管理水平;完成制定《金融业星型网间互联安全规范》金融业行业标准,完善内联网外联防火墙系统,确保XX银行网络边界安全;制定并下发《银行计算机机房规范化工作指引》,规范和加强机房环境安全管理。
信息安全审计技术是实现信息安全整个过程中关键记录信息的监控统计,是信息安全保障体系中不可缺少的一部分。随着电子政务、电子商务以及各类网上应用的开展得到了普遍关注,并且在越来越多的大型网络系统中已经成功应用并发挥着重要作用,特别针对安全事故分析、追踪起到了关键性作用。
传统的安全审计系统局限于对主机的操作系统日志的收集和简单分析,缺乏对于多种平台下(Windows系列、Unix系列、Solaris等)、多种网络设备、重要服务器系统、应用系统以及数据库系统综合的安全审计功能。
随着网络规模的迅速扩大,单一式的安全审计技术逐步被分布式安全审计技术所代替,加上各类应用系统逐步增多,网络管理人员/运维人员工作量往往会成倍增加,使得关键信息得不到重点关注。大量事实表明,对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志异常行为告警方式通知管理人员,及时进行分析并采取相应措施进行有效阻止,从而大大降低安全事件的发生率。
目前我行信息安全保障工作尚未有效开展安全审计工作,缺少事后审计的技术支撑手段。当前,信息安全审计作为保障信息系统安全的制度逐渐发展起来;并已在对信息系统依赖性最高的金融业开始普及。信息安全审计的相关标准包括ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800等。这些标准从不同角度提出信息安全控制体系,可以有效地控制信息安全风险。同时,公安部发布的《信息系统安全等级保护技术要求》中对安全审计提出明确的技术要求:审计范围覆
盖网络设备、操作系统、数据库、应用系统,审计内容包括各网络设备运行状况、系统资源的异常使用、重要用户行为和重要系统命令的使用等系统内重要的安全相关事件。
为进一步完善信息安全保障体系,2009年立项建设安全审计系统,不断提高安全管理水平。
2安全审计管理现状
2.1安全审计基本概念
信息安全审计是企业内控、信息系统治理、安全风险控制等 的不可或缺的关键手段。信息安全审计能够为安全管理员提供一组可进行分析的管理数据,以发现在何处发生了违反安全方案的事件。利用安全审计结果,可调整安全策略,堵住出现的漏洞。
美国信息系统审计的权威专家Ron Weber又将它定义为收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标,同时最经济的使用资源。根据在信息系统中需要进行安全审计的对象与内容,主要分为日志审计、网络审计、主机审计。下面分别说明如下:
日志审计:日志可以作为责任认定的依据,也可作为系统运行记录集,对分析系统运行情况、排除故障、提高效率都发挥重要作用。日志审计是安全审计针对信息系统整体安全状态监测的基础技术,主要通过对网络设备、安全设备、应用系统、操作系统、数据库的集中日志采集、集中存储和关联分析,帮助管理员及时发现信息系统的安全事件,同时当遇到特殊安全事件和系统故障时,确保日志存在和不被篡改,帮助用户快速定位追查取证。大量事实表明,对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志审计进行分析、告警并及时采取相应措施进行有效阻止,从而大大降低安全事件的发生率。
数据库审计:主要负责对数据库的各种访问操作进行监控;是安全审计对数据库进行审计技术。它采用专门的硬件审计引擎,通过旁路部署采用镜像等方式获取数据库访问的网络报文流量,实时监控网络中数据库的所有访问操作(如:插入、删除、更新、用户自定义操作等),还原SQL操作命令包括源IP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等,发现各种违规数据库操作行为,及时报警响应、 全过程操作还原,从而实现安全
安全审计综合管理平台建设方案1第2页
事件的准确全程跟踪定位,全面保障数据库系统安全。该采集方式不会对数据库的运行、访问产生任何影响,而且具有更强的实时性,是比较理想的数据库日志审计的实现方式。
网络审计:主要负责网络内容与行为的审计;是安全审计对网络通信的基础审计技术。它采用专门的网络审计硬件引擎,安装在网络通信系统的数据汇聚点,通过旁路抓取网络数据包进行典型协议分析、识别、判断和记录,Telnet、HTTP、Email、FTP、网上聊天、文件共享、流量等的检测分析等。
主机审计:主要负责对网络重要区域的客户机上的各种上网行为、文件拷贝/打印操作、通过Modem擅自连接外网等进行审计。
目前我行信息安全系统尚未有效开展安全审计工作,由于缺少对各网络设备、安全设备、应用系统、操作系统、数据库的集中日志采集、集中存储和关联分析等事后审计、追查取证的技术支撑手段,以至无法在遇到特殊安全事件和系统故障时确保日志存在和不被篡改,同时对主机和数据库的操作行为也没有审计和管理的手段,不同有效对操作行为进行审计,防止误操作和恶意 行为的发生,因此我行迫切需要尽快建设安全审计系统(包括日志审计、数据库审计、网络审计),确保我行信息系统安全。
2.2 我行金融信息管理中心安全审计管理现状
2.2.1日志审计
作为数据中心的运维部门,负责运维内联网总行局域网、总行机关办公自动化系统及货币发行信息管理系统、国库信息处理系统等重要业务系统,保障信息系统IT基础设施的安全运行。为更好地制定日志审计系统建设方案,开展了金融信息管理中心日志管理现状调研工作,调研内容包括设备/系统配臵哪些日志信息、日志信息包括哪些属性、日志采集所支持的协议/接口、日志存储方式及日志管理现状,金融信息管理中心日志管理现状调查表详见附件。通过分析日志管理现状调查表,将有关情况说明如下:
一、日志内容。网络设备(包括交换机和路由器)、安全设备(包括防火墙、入侵检测设备、防病毒管理系统和补丁分发系统)、办公自动化系统和重要业务系统均配臵一定的日志信息,其中每类设备具有一定的日志配臵规范,应用系统
(办公自动化系统和重要业务系统)的日志内容差异较大,数据库和中间件仅配臵“进程是否正常”的日志信息。
二、日志格式。网络设备和部分安全设备根据厂商的不同,其日志格式也不同,无统一的日志格式;应用系统根据系统平台的不同,其日志格式也不同,无统一的日志格式。
三、日志采集协议/接口。网络设备和部分安全设备支持 SNMP Trap和Syslog 协议,应用系统主要支持TCP/IP协议,个别应用系统自定义了日志采集方式。
四、日志存储方式。网络设备和部分安全设备日志信息集中存储在日志服务器中,其他设备/系统日志均存储在本地主机上。日志信息以文本文件、关系型数据库文件、Domino数据库文件和XML文件等方式进行存储。
五、日志管理方式。主要为分散管理,且无日志管理规范。在系统/设备出现故障时,日志信息是定位故障,解决故障的主要依据。
据了解,为加强网络基础设施运行情况的监控,金融信息管理中心通过采集交换机和路由器等网络设备的日志信息,实现网络设备日志信息的集中管理,及时发现网络设备运行中出现的问题。
通过上述现状的分析,目前日志管理存在如下问题:
1、不同系统/设备的日志信息分散存储,日志信息被非法删除,导致安全事故处臵工作无法追查取证。
2、在系统发生故障后,才去通过日志信息定位故障,导致系统安全运行工作存在一定的被动性,应主动地在日志信息中及时发现系统运行存在的隐患,提高系统运行安全管理水平。
3、随着我行信息化工作的不断深入,系统运维工作压力的不断加大,如不及时规范日志信息管理,信管中心将逐步面临运维的设备多、人员少的问题,不能及时准确把握运维工作的重点。
在目前日志信息管理基础上,若简单加强日志信息管理,仍存在如下问题:
1、通过系统/设备各自的控制台去查看事件,窗口繁多,而且所有的事件都是孤立的,不同系统/设备之间的事件缺乏关联,分析起来极为麻烦,无法弄清楚真实的状况。
2、不同系统/设备对同一个事件的描述可能是不同的,管理人员需了解各系
统/设备,分析各种不同格式的信息,导致管理人员的工作非常繁重,效率低。
3、海量日志信息不但无法帮助找出真正的问题,反而因为太多而造成无法管理,并且不同系统/设备可能产生不同的日志信息格式,无法做到快速识别和响应。
2.2.2数据库和网络审计
目前我行没有实现对数据库操作和网络操作行为的审计。对系统的后台操作人员的远程登录主机、数据库的操作行为无法进行记录、审计,难以防止系统滥用、泄密等问题的发生。
2.3 我行安全审计管理办法制定现状
在《银行信息安全管理规定》提出如下安全审计要求:
第一百三十九条各单位科技部门在支持与配合内审部门开展审计信息安全工作的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及 时报本单位或上一级单位主管领导。
第一百四十条各单位应做好操作系统、数据库管理系统等审计功能配臵管理,应完整保留相关日志记录,一般保留至少一个月,涉及资金交易的业务系统日志应根据需要确定保留时间。
在《银行信息系统安全配臵指引-数据库分册》提出如下安全审计要求:
应配臵审计日志,并定期查看、清理日志。
审计内容包括创建、修改或删除数据库帐户、数据库对象、数据库表、数据库索引的行为;允许或者撤销审计功能的行为;授予或者取消数据库系统级别权限的行为;任何因为参考对象不存在而引的错误信息;任何改变数据库对象名称的动作;任何对数据库Dictionary或者数据库系统配臵的改变;所有数据库连接失败的记录;所有DBA的数据库连接记录;所有数据库用户帐户升级和删除操作的审计跟踪信息。
审计数据应被保存为分析程序或者脚下本可读的格式,时间期限是一年。所有删除审计数据的操作,都应在动态查帐索引中保留记录。
只有DBA或者安全审核员有权限选择、添加、删除或者修改、停用审
计信息。
上述安全审计管理要求为开展日志审计系统建设提供了制度保障。
2.4 安全审计产品及应用现状
目前市场上安全审计产品按审计类型也有很多产品,日志审计以SIM类产品为主,也叫安全信息和事件管理(SIEM),是安全管理领域发展的方向。SIM 是一个全面的、面向IT计算环境的安全集中管理平台,这个平台能够收集来自计算环境中各种设备和应用的安全日志和事件,并进行存储、监控、分析、报警、响应和报告,变过去被动的单点防御为全网的综合防御。
由于日志审计对安全厂商的技术开发能力有较高要求,国内一些较有实力的安全厂商能够提供较为成熟的日志审计产品。目前,日志审计产品已在政府、运营商、金融、民航等行业广泛成功应用。
针对数据库和网络行为审计产品,国内也有多个厂家有比较成熟的产品,在很多行业都有应用。
3安全审计必要性
通过安全审计系统建设,落实信息系统安全等级保护基本技术和管理要求中有关安全审计控制点及日志和事件存储的要求,积累信息系统安全等级保护工作经验。
通过综合安全审计平台的建设,进一步完善我行信息安全保障体系,改变事中及事后安全基础设施建设较弱的现状;为信息安全管理规定落实情况检查提供技术支撑手段,不断完善信息安全管理办法,提高信息安全管理水平;
通过综合安全审计平台,实现信息系统IT基础设施日志信息的集中管理,全面掌握IT基础设施运行过程中出现的隐患, 通过安全事件报警和日志报表的方式,在运维人员有限的条件下,有效地把握运维工作的重点,进一步增强系统安全运维工作的主动性,更好地保障系统的正常运行。同时,有效规避日志信息分散存储存在的非法删除风险,确保安全事故处臵的取证工作。
通过综合安全审计平台的建设,规范我行安全审计管理工作,指导今后信息化项目建设,系统也为安全审计管理规范的实现提供了有效的技术支撑平台。
4安全审计综合管理平台建设目标
根据总行金融信息管理中心日志管理工作现状及存在的问题,结合日志审计系统建成后的预期收益,现将系统建设目标说明如下:
海量日志数据的标准化集中管理。
根据即定采集策略,采集信息系统IT基础设施日志信息,规范日志信息格式,实现海量日志数据的标准化集中存储,同时保存日志信息的原始数据,规避日志信息被非法删除而带来的安全事故处臵工作无法追查取证的风险;加强海量日志数据集中管理,特别历史日志数据的管理。
系统运行风险及时报警与报表管理
基于标准化的日志数据进行关联分析,及时发现信息系统IT基础设施运行过程中存在的安全隐患,并根据策略进行及时报警,为运维人员主动保障系统安全运行工作提供有效的技术支撑;实现安全隐患的报表管理,更好地支持系统运行安全管理工 作。
为落实有关信息安全管理规定提供技术支撑
利用安全审计结果可以评估信息安全管理规定的落实情况,发现信息安全管理办法存在的问题,为完善信息安全管理办法提供依据,持续改进,进一步提高安全管理水平。
规范信息系统日志信息管理。
根据日志管理工作现状,提出信息系统日志信息管理规范,明确信息系统IT 基础设施日志配臵基本要求、日志内容基本要求等,一方面确保日志审计系统建设实现即定目标;另一方面指导今后信息化项目建设,完善信息安全管理制度体系,进一步提高安全管理水平。
实现对我行各业务系统主机、数据库行为审计。
对各业务系统的主机、数据库行为的审计,主要是在不影响业务系统正常运行的前提下,通过网络镜像流量的方式辅以独立日志分析等其它方式对用户行为进行隐蔽监视,对用户访问业务系统的行为进行审计,对用户危险行为进行告警并在必要时进行阻断,对事后发现的安全事件进行会话回放,进行网络通讯取证。
发布评论