银行安全审计综合管理平台建设方案
某银行 安全审计综合管理平台建设方案 V1.2二○○九年三月 目 录 1背景4 2安全审计管理现状6 2.1安全审计基本概念6 2.2 总行金融信息管理中心安全审计管理现状9 2.2.1日记审计9 2.2.2数据库和网络审计11 2.3 我行安全审计管理办法制定现状11 2.4 安全审计产品及应用现状13 3安全审计必要性13 4安全审计综合管理平台建设目的14 5安全审计综合管理平台需求16 5.1日记审计系统需求16 5.1.1系统功能需求16 5.1.2 系统性能需求19 5.1.3 系统安全需求20 5.1.4 系统接口需求21 5.2数据库和网络审计系统需求22 5.2.1审计功能需求22 5.2.2报表功能需求23 5.2.3审计对象及兼容性支持24 5.2.4系统性能24 5.2.5审计完整性25 6安全审计综合管理平台建设方案25 6.1日记审计系统建设方案25 6.1.1 日记管理建议25 6.1.2 日记审计系统整体架构26 6.1.3 日记采集实现方式28 6.1.4 日记标准化实现方式30 6.1.5 日记存储实现方式31 6.1.6 日记关联分析32 6.1.7 安全事件报警33 6.1.8 日记报表34 6.1.9系统管理35 6.1.10 系统接口规范36 6.2数据库和网络审计系统建设方案37 6.2.1数据库和网络行为综合审计37 6.2.2审计策略38 6.2.3审计内容39 6.2.4告警与响应管理42 6.2.5报表管理42 7系统部署方案43 7.1 安全审计综合管理平台系统部署方案43 7.2系统部署环境规定44 7.2.1日记审计系统44 7.2.2数据库和网络审计系统45 7.3 系统实行建议45 7.4 二次开发46 1背景 近年来,XX银行信息化建设得到快速发展,央行履行金融调控、金融稳定、金融市场和金融服务职能高度依赖于信息技术应用,信息安全问题的全局性影响作用日益增强。 目前,XX银行信息安全保障体系中安全系统建设已经达成了一定的水平。建设了非法外联监控管理系统、入侵检测系统、漏洞扫描系统、防病毒系统及补丁分发系统,为客户端安全管理、网络安全管理和系统安全管理提供了技术支撑手段,有效提高了安全管理水平;完毕制定《金融业星型网间互联安全规范》金融业行业标准,完善内联网外联防火墙系统,保证XX银行网络边界安全;制定并下发《银行计算机机房规范化工作指引》,规范和加强机房环境安全管理。 信息安全审计技术是实现信息安全整个过程中关键记录信息的监控记录,是信息安全保障体系中不可缺少的一部分。随着电子政务、电子商务以及各类网上应用的开展得到了普遍关注,并且在越来越多的大型网络系统中已经成功应用并发挥着重要作用,特别针对安全事故分析、追踪起到了关键性作用。 传统的安全审计系统局限于对主机的操作系统日记的收集和简朴分析,缺少对于多种平台下(Windows系列、Unix系列、Solaris等)、多种网络设备、重要服务器系统、应用系统以及数据库系统综合的安全审计功能。 随着网络规模的迅速扩大,单一式的安全审计技术逐步被分布式安全审计技术所代替,加上各类应用系统逐步增多,网络管理人员/运维人员工作量往往会成倍增长,使得关键信息得不到重点关注。大量事实表白,对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日记异常行为告警方式告知管理人员,及时进行分析并采用相应措施进行有效阻止,从而大大减少安全事件的发生率。 目前我行信息安全保障工作尚未有效开展安全审计工作,缺少事后审计的技术支撑手段。当前,信息安全审计作为保障信息系统安全的制度逐渐发展起来;并已在对信息系统依赖性最高的金融业开始普及。信息安全审计的相关标准涉及ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800等。这些标准从不同角度提出信息安全控制体系,可以有效地控制信息安全风险。同时,公安部发布的《信息系统安全等级保护技术规定》中对安全审计提出明确的技术规定:审计范围覆盖网络设备、操作系统、数据库、应用系统,审计内容涉及各网络设备运营状况、系统资源的异常使用、重要用户行为和重要系统命令的使用等系统内重要的安全相关事件。 为进一步完善信息安全保障体系,2023年立项建设安全审计系统,不断提高安全管理水平。 2安全审计管理现状 2.1安全审计基本概念 信息安全审计是公司内控、信息系统治理、安全风险控制等的不可或缺的关键手段。信息安全审计可认为安全管理员提供一组可进行分析的管理数据,以发现在何处发生了违反安全方案的事件。运用安全审计结果,可调整安全策略,堵住出现的漏洞。 美国信息系统审计的权威专家Ron Weber又将它定义为收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完毕目的,同时最经济的使用资源。根据在信息系统中需要进行安全审计的对象与内容,重要分为日记审计、网络审计、主机审计。下面分别说明如下: 日记审计:日记可以作为责任认定的依据,也可作为系统运营记录集,对分析系统运营情况、排除故障、提高效率都发挥重要作用。日记审计是安全审计针对信息系统整体安全状态监测的基础技术,重要通过对网络设备、安全设备、应用系统、操作系统、数据库的集中日记采集、集中存储和关联分析,帮助管理员及时发现信息系统的安全事件,同时当碰到特殊安全事件和系统故障时,保证日记存在和不被篡改,帮助用户快速定位追查取证。大量事实表白,对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日记审计进行分析、告警并及时采用相应措施进行有效阻止,从而大大减少安全事件的发生率。 数据库审计:重要负责对数据库的各种访问操作进行监控;是安全审计对数据库进行审计技术。它采用专门的硬件审计引擎,通过旁路部署采用镜像等方式获取数据库访问的网络报文流量,实时监控网络中数据库的所有访问操作(如:插入、删除、更新、用户自定义操作等),还原SQL操作命令涉及源IP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等,发现各种违规数据库操作行为,及时报警响应、全过程操作还原,从而实现安全事件的准确全程跟踪定位,全面保障数据库系统安全。该采集方式不会对数据库的运营、访问产生任何影响,并且具有更强的实时性,是比较抱负的数据库日记审计的实现方式。 网络审计:重要负责网络内容与行为的审计;是安全审计对网络通信的基础审计技术。它采用专门的网络审计硬件引擎,安装在网络通信系统的数据汇聚点,通过旁路抓取网络数据包进行典型协议分析、辨认、判断和记录,Telnet、HTTP、Email、FTP、网上聊天、文献共享、流量等的检测分析等。 主机审计:重要负责对网络重要区域的客户机上的各种上网行为、文献拷贝/打印操作、通过Modem擅自连接外网等进行审计。 目前我行信息安全系统尚未有效开展安全审计工作,由于缺少对各网络设备、安全设备、应用系统、操作系统、数据库的集中日记采