审定稿XX银行安全审计综合管理平台项目建设方案Word文档下载推荐.docx

审定稿XX银行安全审计综合管理平台项目建设方案Word文档下载推荐.docx

《审定稿XX银行安全审计综合管理平台项目建设方案Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《审定稿XX银行安全审计综合管理平台项目建设方案Word文档下载推荐.docx（25页珍藏版）》请在冰豆网上搜索。

随着电子政务、电子商务以及各类网上应用の的开展得到了普遍关注，并且在越来越多の的大型网络系统中已经成功应用并发挥着重要作用，特别针对安全事故分析、追踪起到了关键性作用；

传统の的安全审计系统局限于对主机の的操作系统日志の的收集和简单分析，缺乏对于多种平台下（Windows系列、Unix系列、Solaris等）、多种网络设备、重要服务器系统、应用系统以及数据库系统综合の的安全审计功能；

随着网络规模の的迅速扩大，单一式の的安全审计技术逐步被分布式安全审计技术所代替，加上各类应用系统逐步增多，网络管理人员/运维人员工作量往往会成倍增加，使得关键信息得不到重点关注；

大量事实表明，对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志异常行为告警方式通知管理人员，及时进行分析并采取相应措施进行有效阻止，从而大大降低安全事件の的发生率；

目前我行信息安全保障工作尚未有效开展安全审计工作，缺少事后审计の的技术支撑手段；

当前，信息安全审计作为保障信息系统安全の的制度逐渐发展起来；

并已在对信息系统依赖性最高の的金融业开始普及；

信息安全审计の的相关标准包括ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800等；

这些标准从不同角度提出信息安全控制体系，可以有效地控制信息安全风险；

同时，公安部发布の的《信息系统安全等级保护技术要求》中对安全审计提出明确の的技术要求：

审计范围覆盖网络设备、操作系统、数据库、应用系统，审计内容包括各网络设备运行状况、系统资源の的异常使用、重要用户行为和重要系统命令の的使用等系统内重要の的安全相关事件；

为进一步完善信息安全保障体系，2009年立项建设安全审计系统，不断提高安全管理水平；

2安全审计管理现状

2.1安全审计基本概念

信息安全审计是企业内控、信息系统治理、安全风险控制等の的不可或缺の的关键手段；

信息安全审计能够为安全管理员提供一组可进行分析の的管理数据，以发现在何处发生了违反安全方案の的事件；

利用安全审计结果，可调整安全策略，堵住出现の的漏洞；

美国信息系统审计の的权威专家RonWeber又将它定义为收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济の的使用资源；

根据在信息系统中需要进行安全审计の的对象与内容，主要分为日志审计、网络审计、主机审计；

下面分别说明如下：

日志审计：

日志可以作为责任认定の的依据，也可作为系统运行记录集，对分析系统运行情况、排除故障、提高效率都发挥重要作用；

日志审计是安全审计针对信息系统整体安全状态监测の的基础技术，主要通过对网络设备、安全设备、应用系统、操作系统、数据库の的集中日志采集、集中存储和关联分析，帮助管理员及时发现信息系统の的安全事件，同时当遇到特殊安全事件和系统故障时，确保日志存在和不被篡改，帮助用户快速定位追查取证；

大量事实表明，对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志审计进行分析、告警并及时采取相应措施进行有效阻止，从而大大降低安全事件の的发生率；

数据库审计：

主要负责对数据库の的各种访问操作进行监控；

是安全审计对数据库进行审计技术；

它采用专门の的硬件审计引擎，通过旁路部署采用镜像等方式获取数据库访问の的网络报文流量，实时监控网络中数据库の的所有访问操作（如：

插入、删除、更新、用户自定义操作等），还原SQL操作命令包括源IP地址、目の的IP地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等，发现各种违规数据库操作行为，及时报警响应、全过程操作还原，从而实现安全事件の的准确全程跟踪定位，全面保障数据库系统安全；

该采集方式不会对数据库の的运行、访问产生任何影响，而且具有更强の的实时性，是比较理想の的数据库日志审计の的实现方式；

网络审计：

主要负责网络内容与行为の的审计；

是安全审计对网络通信の的基础审计技术；

它采用专门の的网络审计硬件引擎，安装在网络通信系统の的数据汇聚点，通过旁路抓取网络数据包进行典型协议分析、识别、判断和记录，Telnet、HTTP、Email、FTP、网上聊天、文件共享、流量等の的检测分析等；

　　主机审计：

主要负责对网络重要区域の的客户机上の的各种上网行为、文件拷贝/打印操作、通过Modem擅自连接外网等进行审计；

目前我行信息安全系统尚未有效开展安全审计工作，由于缺少对各网络设备、安全设备、应用系统、操作系统、数据库の的集中日志采集、集中存储和关联分析等事后审计、追查取证の的技术支撑手段,以至无法在遇到特殊安全事件和系统故障时确保日志存在和不被篡改，同时对主机和数据库の的操作行为也没有审计和管理の的手段，不同有效对操作行为进行审计，防止误操作和恶意行为の的发生，因此我行迫切需要尽快建设安全审计系统（包括日志审计、数据库审计、网络审计），确保我行信息系统安全；

2.2我行金融信息管理中心安全审计管理现状

2.2.1日志审计

作为数据中心の的运维部门，负责运维内联网总行局域网、总行机关办公自动化系统及货币发行信息管理系统、国库信息处理系统等重要业务系统，保障信息系统IT基础设施の的安全运行；

为更好地制定日志审计系统建设方案，开展了金融信息管理中心日志管理现状调研工作，调研内容包括设备/系统配置哪些日志信息、日志信息包括哪些属性、日志采集所支持の的协议/接口、日志存储方式及日志管理现状，金融信息管理中心日志管理现状调查表详见附件；

通过分析日志管理现状调查表，将有关情况说明如下：

一、日志内容；

网络设备（包括交换机和路由器）、安全设备（包括防火墙、入侵检测设备、防病毒管理系统和补丁分发系统）、办公自动化系统和重要业务系统均配置一定の的日志信息，其中每类设备具有一定の的日志配置规范，应用系统（办公自动化系统和重要业务系统）の的日志内容差异较大，数据库和中间件仅配置“进程是否正常”の的日志信息；

二、日志格式；

网络设备和部分安全设备根据厂商の的不同，其日志格式也不同，无统一の的日志格式；

应用系统根据系统平台の的不同，其日志格式也不同，无统一の的日志格式；

三、日志采集协议/接口；

网络设备和部分安全设备支持SNMPTrap和Syslog协议，应用系统主要支持TCP/IP协议，个别应用系统自定义了日志采集方式；

四、日志存储方式；

网络设备和部分安全设备日志信息集中存储在日志服务器中，其他设备/系统日志均存储在本地主机上；

日志信息以文本文件、关系型数据库文件、Domino数据库文件和XML文件等方式进行存储；

五、日志管理方式；

主要为分散管理,且无日志管理规范；

在系统/设备出现故障时，日志信息是定位故障，解决故障の的主要依据；

据了解，为加强网络基础设施运行情况の的监控，金融信息管理中心通过采集交换机和路由器等网络设备の的日志信息，实现网络设备日志信息の的集中管理，及时发现网络设备运行中出现の的问题；

通过上述现状の的分析，目前日志管理存在如下问题：

1、不同系统/设备の的日志信息分散存储，日志信息被非法删除，导致安全事故处置工作无法追查取证；

2、在系统发生故障后，才去通过日志信息定位故障，导致系统安全运行工作存在一定の的被动性，应主动地在日志信息中及时发现系统运行存在の的隐患，提高系统运行安全管理水平；

3、随着我行信息化工作の的不断深入，系统运维工作压力の的不断加大，如不及时规范日志信息管理，信管中心将逐步面临运维の的设备多、人员少の的问题，不能及时准确把握运维工作の的重点；

在目前日志信息管理基础上，若简单加强日志信息管理，仍存在如下问题：

1、通过系统/设备各自の的控制台去查看事件，窗口繁多，而且所有の的事件都是孤立の的，不同系统/设备之间の的事件缺乏关联，分析起来极为麻烦，无法弄清楚真实の的状况；

2、不同系统/设备对同一个事件の的描述可能是不同の的，管理人员需了解各系统/设备，分析各种不同格式の的信息，导致管理人员の的工作非常繁重，效率低；

3、海量日志信息不但无法帮助找出真正の的问题，反而因为太多而造成无法管理，并且不同系统/设备可能产生不同の的日志信息格式，无法做到快速识别和响应；

2.2.2数据库和网络审计

目前我行没有实现对数据库操作和网络操作行为の的审计；

对系统の的后台操作人员の的远程登录主机、数据库の的操作行为无法进行记录、审计，难以防止系统滥用、泄密等问题の的发生；

2.3我行安全审计管理办法制定现状

在《银行信息安全管理规定》提出如下安全审计要求：

Ø

第一百三十九条各单位科技部门在支持与配合内审部门开展审计信息安全工作の的同时，应适时开展本单位和辖内の的信息系统日常运行管理和信息安全事件全过程の的技术审计，发现问题及时报本单位或上一级单位主管领导；

第一百四十条各单位应做好操作系统、数据库管理系统等审计功能配置管理，应完整保留相关日志记录，一般保留至少一个月，涉及资金交易の的业务系统日志应根据需要确定保留时间；

在《银行信息系统安全配置指引-数据库分册》提出如下安全审计要求：

应配置审计日志，并定期查看、清理日志；

审计内容包括创建、修改或删除数据库帐户、数据库对象、数据库表、数据库索引の的行为；

允许或者撤销审计功能の的行为；

授予或者取消数据库系统级别权限の的行为；

任何因为参考对象不存在而引の的错误信息；

任何改变数据库对象名称の的动作；

任何对数据库Dictionary或者数据库系统配置の的改变；

所有数据库连接失败の的记录；

所有DBAの的数据库连接记录；

所有数据库用户帐户升级和删除操作の的审计跟踪信息；

审计数据应被保存为分析程序或者脚下本可读の的格式，时间期限是一年；

所有删除审计数据の的操作，都应在动态查帐索引中保留记录；

只有DBA或者安全审核员有权限选择、添加、删除或者修改、停用审计信息；

上述安全审计管理要求为开展日志审计系统建设提供了制度保障；

2.4安全审计产品及应用现状

目前市场上安全审计产品按审计类型也有很多产品，日志审计以SIM类产品为主，也叫安全信息和事件管理（SIEM），是安全管理领域发展の的方向；

SIM是一个全面の的、面向IT计算环境の的安全集中管理平台，这个平台能够收集来自计算环境中各种设备和应用の的安全日志和事件，并进行存储、监控、分析、报警、响应和报告，变过去被动の的单点防御为全网の的综合防御；

由于日志审计对安全厂商の的技术开发能力有较高要求,国内一些较有实力の的安全厂商能够提供较为成熟の的日志审计产品；

目前，日志审计产品已在政府、运营商、金融、民航等行业广泛成功应用；

针对数据库和网络行为审计产品，国内也有多个厂家有比较成熟の的产品，在很多行业都有应用；

3安全审计必要性

通过安全审计系统建设，落实信息系统安全等级保护基本技术和管理要求中有关安全审计控制点及日志和事件存储の的要求，积累信息系统安全等级保护工作经验；

通过综合安全审计平台の的建设，进一步完善我行信息安全保障体系，改变事中及事后安全基础设施建设较弱の的现状；

为信息安全管理规定落实情况检查提供