安全审计综合管理平台建设方案

安全审计综合管理平台建设方案 某银行 安全审计综合管理平台建设方案 V1.2 二??九年三月 目 录 日志审计系统建设方案 1背景 ..................................................................................................................................... 42安全审计管理现状.................................................................................................................. 5 2.1安全审计基本概念 ......................................................................................................... 5 2.2 总行金融信息管理中心安全审计管理现状 ................................................................... 6 2.2.1 ................................................................................................................ 6 日志审计 2.2.2数据库和网络审计 ................................................................................................. 8 2.3 我行安全审计管理办法制定现状 .................................................................................. 8 2.4 安全审计产品及应用现状 ............................................................................................. 9 3安全审计必要性 ..................................................................................................................... 9 4安全审计综合管理平台建设目标 ......................................................................................... 10 5安全审计综合管理平台需求 ................................................................................................ 11 5.1日志审计系统需求 ...................................................................................................... 11 5.1.1系统功能需求 ...................................................................................................... 11 5.1.2 系统性能需求 ..................................................................................................... 13 5.1.3 系统安全需求 ..................................................................................................... 13 5.1.4 系统接口需求 ..................................................................................................... 14 5.2数据库和网络审计系统需求 ........................................................................................ 15 ...................................................................................................... 15 5.2.1审计功能需求 5.2.2报表功能需求 ...................................................................................................... 16 5.2.3审计对象及兼容性支持 ....................................................................................... 16 5.2.4系统性能 .............................................................................................................. 17 5.2.5审计完整性 .......................................................................................................... 17 6安全审计综合管理平台建设方案 ......................................................................................... 17 6.1日志审计系统建设方案 ................................................................................................ 17 第 2 页 共 34 页 日志审计系统建设方案 ..................................................................................................... 17 6.1.1 日志管理建议 6.1.2 日志审计系统整体架构 ...................................................................................... 19 6.1.3 日志采集实现方式 .............................................................................................. 20 6.1.4 日志化实现方式 .......................................................................................... 21 6.1.5 .............................................................................................. 22 日志存储实现方式 6.1.6 日志关联分析 ..................................................................................................... 23 6.1.7 ..................................................................................................... 24 安全事件报警 6.1.8 日志报表 ............................................................................................................. 24 6.1.9系统管理 .............................................................................................................. 25 6.1.10 系统接口规范 ................................................................................................... 26 6.2数据库和网络审计系统建设方案 ................................................................................ 26 6.2.1数据库和网络行为综合审计................................................................................ 26 6.2.2审计策略 .............................................................................................................. 27 6.2.3审计内容 .............................................................................................................. 28 6.2.4告警与响应管理................................................................................................... 30 6.2.5报表管理 .............................................................................................................. 31 7系统部署方案 ....................................................................................................................... 31 7.1 安全审计综合管理平台系统部署方案 ........................................................................ 31 7.2系统部署环境要求 ....................................................................................................... 32 7.2.1日志审计系统 ...................................................................................................... 32 7.2.2数据库和网络审计系统 ....................................................................................... 33 7.3 系统实施建议 .............................................................................................................. 33 7.4 二次开发 ...................................................................................................................... 33 第 3 页 共 34 页 日志审计系统建设方案 1背景 近年来～XX银行信息化建设得到快速发展～央行履行金融调控、金融稳定、金融市场和金融服务职能高度依赖于信息技术应用～信息安全问题的全局性影响作用日益增强。 目前～XX银行信息安全保障体系中安全系统建设已经达到了一定的水平。建设了非法外联监控管理系统、入侵检测系统、漏洞扫描系统、防病毒系统及补丁分发系统～为客户端安全管理、网络安全管理和系统安全管理提供了技术支撑手段～有效提高了安全管理水平,完成制定《金融业星型网间互联安全规范》金融业行业标准～完善内联网外联防火墙系统～确保XX银行网络边界安全,制定并下发《银行计算机机房规范化工作指引》～规范和加强机房环境安全管理。 信息安全审计技术是实现信息安全整个过程中关键记录信息的监控统计～是信息安全保障体系中不可缺少的一部分。随着电子政务、电子商务以及各类网上应用的开展得到了普遍关注～并且在越来越多的大型网络系统中已经成功应用并发挥着重要作用～特别针对安全事故分析、追踪起到了关键性作用。 传统的安全审计系统局限于对主机的操作系统日志的收集和简单分析～缺乏对于多种平台下,Windows系列、Unix系列、Solaris等,、多种网络设备、重要服务器系统、应用系统以及数据库系统综合的安全审计功能。 随着网络规模的迅速扩大～单一式的安全审计技术逐步被分布式安全审计技术所代替～加上各类应用系统逐步增多～网络管理人员/运维人员工作量往往会成倍增加～使得关键信息得不到重点关注。大量事实表明～对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志异常行为告警方式通知管理人员～及时进行分析并采取相应措施进行有效阻止～从而大大降低安全事件的发生率。 目前我行信息安全保障工作尚未有效开展安全审计工作～缺少事后审计的技术支撑手段。当前～信息安全审计作为保障信息系统安全的制度逐渐发展起来,并已在对信息系统依赖性最高的金融业开始普及。信息安全审计的相关标准包括ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800等。这些标准从不同角度提出信息安全控制体系～可以有效地控制信息安全风险。同时～公安部发布的《信息系统安全等级保护技术要求》中对安全审计提出明确的技术要求:审计范围覆第 4 页 共 34 页 日志审计系统建设方案 盖网络设备、操作系统、数据库、应用系统～审计内容包括各网络设备运行状况、系统资源的异常使用、重要用户行为和重要系统命令的使用等系统内重要的安全相关事件。 为进一步完善信息安全保障体系～2009年立项建设安全审计系统～不断提高安全管理水平。 2安全审计管理现状 2.1安全审计基本概念 信息安全审计是企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。信息安全审计能够为安全管理员提供一组可进行分析的管理数据～以发现在何处发生了违反安全方案的事件。利用安全审计结果～可调整安全策略～堵住出现的漏洞。 美国信息系统审计的权威专家Ron Weber又将它定义为收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标～同时最经济的使用资源。根据在信息系统中需要进行安全审计的对象与内容～主要分为日志审计、网络审计、主机审计。下面分别说明如下: 日志审计:日志可以作为责任认定的依据～也可作为系统运行记录集～对分析系统运行情况、排除故障、提高效率都发挥重要作用。日志审计是安全审计针对信息系统整体安全状态监测的基础技术～主要通过对网络设备、安全设备、应用系统、操作系统、数据库的集中日志采集、集中存储和关联分析～帮助管理员及时发现信息系统的安全事件～同时当遇到特殊安全事件和系统故障时～确保日志存在和不被篡改～帮助用户快速定位追查取证。大量事实表明～对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志审计进行分析、告警并及时采取相应措施进行有效阻止～从而大大降低安全事件的发生率。 数据库审计:主要负责对数据库的各种访问操作进行监控,是安全审计对数据库进行审计技术。它采用专门的硬件审计引擎～通过旁路部署采用镜像等方式获取数据库访问的网络报文流量～实时监控网络中数据库的所有访问操作,如:插入、删除、更新、用户自定义操作等,～还原SQL操作命令包括源IP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等～发现各种违规数据库操作行为～及时报警响应、全过程操作还原～从而实现安全第 5 页 共 34 页 日志审计系统建设方案 事件的准确全程跟踪定位～全面保障数据库系统安全。该采集方式不会对数据库的运行、访问产生任何影响～而且具有更强的实时性～是比较理想的数据库日志审计的实现方式。 网络审计:主要负责网络内容与行为的审计,是安全审计对网络通信的基础审计技术。它采用专门的网络审计硬件引擎～安装在网络通信系统的数据汇聚点～通过旁路抓取网络数据包进行典型分析、识别、判断和记录～Telnet、HTTP、Email、FTP、网上聊天、文件共享、流量等的检测分析等。 主机审计:主要负责对网络重要区域的客户机上的各种上网行为、文件拷贝/打印操作、通过Modem擅自连接外网等进行审计。 目前我行信息安全系统尚未有效开展安全审计工作～由于缺少对各网络设备、安全设备、应用系统、操作系统、数据库的集中日志采集、集中存储和关联分析等事后审计、追查取证的技术支撑手段,以至无法在遇到特殊安全事件和系统故障时确保日志存在和不被篡改～同时对主机和数据库的操作行为也没有审计和管理的手段～不同有效对操作行为进行审计～防止误操作和恶意行为的发生～因此我行迫切需要尽快建设安全审计系统,包括日志审计、数据库审计、网络审计,～确保我行信息系统安全。 2.2 我行金融信息管理中心安全审计管理现状 2.2.1日志审计 作为数据中心的运维部门～负责运维内联网总行局域网、总行机关办公自动化系统及货币发行信息管理系统、国库信息处理系统等重要业务系统～保障信息系统IT基础设施的安全运行。为更好地制定日志审计系统建设方案～开展了金融信息管理中心日志管理现状调研工作～调研内容包括设备/系统配臵哪些日志信息、日志信息包括哪些属性、日志采集所支持的协议/接口、日志存储方式及日志管理现状～金融信息管理中心日志管理现状调查表详见附件。通过分析日志管理现状调查表～将有关情况说明如下: 一、日志内容。网络设备,包括交换机和路由器,、安全设备,包括防火墙、入侵检测设备、防病毒管理系统和补丁分发系统,、办公自动化系统和重要业务系统均配臵一定的日志信息～其中每类设备具有一定的日志配臵规范～应用系统第 6 页 共 34 页 日志审计系统建设方案 ,办公自动化系统和重要业务系统,的日志内容差异较大～数据库和中间件仅配臵“进程是否正常”的日志信息。 二、日志格式。网络设备和部分安全设备根据厂商的不同～其日志格式也不同～无统一的日志格式,应用系统根据系统平台的不同～其日志格式也不同～无统一的日志格式。 三、日志采集协议/接口。网络设备和部分安全设备支持SNMP Trap和Syslog协议～应用系统主要支持TCP/IP协议～个别应用系统自定义了日志采集方式。 四、日志存储方式。网络设备和部分安全设备日志信息集中存储在日志服务器中～其他设备/系统日志均存储在本地主机上。日志信息以文本文件、关系型数据库文件、Domino数据库文件和XML文件等方式进行存储。 五、日志管理方式。主要为分散管理,且无日志管理规范。在系统/设备出现故障时～日志信息是定位故障～解决故障的主要依据。 据了解～为加强网络基础设施运行情况的监控～金融信息管理中心通过采集交换机和路由器等网络设备的日志信息～实现网络设备日志信息的集中管理～及时发现网络设备运行中出现的问题。 通过上述现状的分析～目前日志管理存在如下问题: 1、不同系统/设备的日志信息分散存储～日志信息被非法删除～导致安全事故处臵工作无法追查取证。 2、在系统发生故障后～才去通过日志信息定位故障～导致系统安全运行工作存在一定的被动性～应主动地在日志信息中及时发现系统运行存在的隐患～提高系统运行安全管理水平。 3、随着我行信息化工作的不断深入～系统运维工作压力的不断加大～如不及时规范日志信息管理～信管中心将逐步面临运维的设备多、人员少的问题～不能及时准确把握运维工作的重点。 在目前日志信息管理基础上～若简单加强日志信息管理～仍存在如下问题: 1、通过系统/设备各自的控制台去查看事件～窗口繁多～而且所有的事件都是孤立的～不同系统/设备之间的事件缺乏关联～分析起来极为麻烦～无法弄清楚真实的状况。 2、不同系统/设备对同一个事件的描述可能是不同的～管理人员需了解各系第 7 页 共 34 页 日志审计系统建设方案 统/设备～分析各种不同格式的信息～导致管理人员的工作非常繁重～效率低。 3、海量日志信息不但无法帮助找出真正的问题～反而因为太多而造成无法管理～并且不同系统/设备可能产生不同的日志信息格式～无法做到快速识别和响应。 2.2.2数据库和网络审计 目前我行没有实现对数据库操作和网络操作行为的审计。对系统的后台操作人员的远程登录主机、数据库的操作行为无法进行记录、审计～难以防止系统滥用、泄密等问题的发生。 2.3 我行安全审计管理办法制定现状 在《银行信息安全管理规定》提出如下安全审计要求: , 第一百三十九条 各单位科技部门在支持与配合内审部门开展审计信 息安全工作的同时～应适时开展本单位和辖内的信息系统日常运行管理和 信息安全事件全过程的技术审计～发现问题及时报本单位或上一级单位主 管领导。 , 第一百四十条 各单位应做好操作系统、数据库管理系统等审计功能配 臵管理～应完整保留相关日志记录～一般保留至少一个月～涉及资金交易 的业务系统日志应根据需要确定保留时间。 在《银行信息系统安全配臵指引-数据库分册》提出如下安全审计要求: , 应配臵审计日志～并定期查看、清理日志。 , 审计内容包括创建、修改或删除数据库帐户、数据库对象、数据库表、 数据库索引的行为,允许或者撤销审计功能的行为,授予或者取消数据库 系统级别权限的行为,任何因为参考对象不存在而引的错误信息,任何改 变数据库对象名称的动作,任何对数据库Dictionary或者数据库系统配臵 的改变,所有数据库连接失败的记录,所有DBA的数据库连接记录,所有 数据库用户帐户升级和删除操作的审计跟踪信息。 , 审计数据应被保存为分析程序或者脚下本可读的格式～时间期限是一 年。所有删除审计数据的操作～都应在动态查帐索引中保留记录。 , 只有DBA或者安全审核员有权限选择、添加、删除或者修改、停用审第 8 页 共 34 页 日志审计系统建设方案 计信息。 上述安全审计管理要求为开展日志审计系统建设提供了制度保障。 2.4 安全审计产品及应用现状 目前市场上安全审计产品按审计类型也有很多产品～日志审计以SIM类产品为主～也叫安全信息和事件管理,SIEM,～是安全管理领域发展的方向。SIM是一个全面的、面向IT计算环境的安全集中管理平台～这个平台能够收集来自计算环境中各种设备和应用的安全日志和事件～并进行存储、监控、分析、报警、响应和～变过去被动的单点防御为全网的综合防御。 由于日志审计对安全厂商的技术开发能力有较高要求,国内一些较有实力的安全厂商能够提供较为成熟的日志审计产品。目前～日志审计产品已在政府、运营商、金融、民航等行业广泛成功应用。 针对数据库和网络行为审计产品～国内也有多个厂家有比较成熟的产品～在很多行业都有应用。 3安全审计必要性 通过安全审计系统建设～落实信息系统安全等级保护基本技术和管理要求中有关安全审计控制点及日志和事件存储的要求～积累信息系统安全等级保护工作经验。 通过综合安全审计平台的建设～进一步完善我行信息安全保障体系～改变事中及事后安全基础设施建设较弱的现状,为信息安全管理规定落实情况检查提供技术支撑手段～不断完善信息安全管理办法～提高信息安全管理水平, 通过综合安全审计平台～实现信息系统IT基础设施日志信息的集中管理～全面掌握IT基础设施运行过程中出现的隐患～通过安全事件报警和日志报表的方式～在运维人员有限的条件下～有效地把握运维工作的重点～进一步增强系统安全运维工作的主动性～更好地保障系统的正常运行。同时～有效规避日志信息分散存储存在的非法删除风险～确保安全事故处臵的取证工作。 通过综合安全审计平台的建设～规范我行安全审计管理工作～指导今后信息化项目建设～系统也为安全审计管理规范的实现提供了有效的技术支撑平台。 第 9 页 共 34 页 日志审计系统建设方案 4安全审计综合管理平台建设目标 根据总行金融信息管理中心日志管理工作现状及存在的问题～结合日志审计系统建成后的预期收益～现将系统建设目标说明如下: , 海量日志数据的标准化集中管理。 根据即定采集策略～采集信息系统IT基础设施日志信息～规范日志信息格式～实现海量日志数据的标准化集中存储～同时保存日志信息的原始数据～规避日志信息被非法删除而带来的安全事故处臵工作无法追查取证的风险,加强海量日志数据集中管理～特别历史日志数据的管理。 , 系统运行风险及时报警与报表管理 基于标准化的日志数据进行关联分析～及时发现信息系统IT基础设施运行过程中存在的安全隐患～并根据策略进行及时报警～为运维人员主动保障系统安全运行工作提供有效的技术支撑,实现安全隐患的报表管理～更好地支持系统运行安全管理工作。 , 为落实有关信息安全管理规定提供技术支撑 利用安全审计结果可以评估信息安全管理规定的落实情况～发现信息安全管理办法存在的问题～为完善信息安全管理办法提供依据～持续改进～进一步提高安全管理水平。 , 规范信息系统日志信息管理。 根据日志管理工作现状～提出信息系统日志信息管理规范～明确信息系统IT基础设施日志配臵基本要求、日志内容基本要求等～一方面确保日志审计系统建设实现即定目标,另一方面指导今后信息化项目建设～完善信息安全体系～进一步提高安全管理水平。 , 实现对我行各业务系统主机、数据库行为审计。 对各业务系统的主机、数据库行为的审计～主要是在不影响业务系统正常运行的前提下～通过网络镜像流量的方式辅以独立日志分析等其它方式对用户行为进行隐蔽监视～对用户访问业务系统的行为进行审计～对用户危险行为进行告警并在必要时进行阻断～对事后发现的安全事件进行会话回放～进行网络通讯取证。 第 10 页 共 34 页 日志审计系统建设方案 5安全审计综合管理平台需求 5.1日志审计系统需求 5.1.1系统功能需求 5.1.1.1日志采集功能需求 , 采集范围 日志审计系统需要对我行信息系统中的网络设备、主机系统、应用系统、安全系统及其他系统,如网络管理系统、存储设备等,进行日志采集。 数据库是我行数据管理的基础～任何数据泄漏、篡改、删除都会对税务的整体数据造成严重损失。数据库审计是安全管理工作中的一个重要组成部分～通过对数据库的“信息活动”实时地进行监测审计～使管理者对数据库的“信息活动”一目了然～能够及时掌握数据库服务器的应用情况～及时发现客户端的使用问题～存在着哪些安全威胁或隐患并予以纠正～预防应用安全事件的发生～即便发生了也能够可以快速查证并追根寻源。虽然数据库系统本身能够提供日志审计功能～但是数据库系统自身开启日志审计功能会带给系统较大的负担。为了保证数据库的性能、稳定性～建议采用国内已较为成熟的数据库审计技术～通过在网络部署专门的旁路数据库审计硬件设备,采用镜像等方式获取数据库访问的网络报文流量～实现针对各种数据库用户的操作命令级审计～从而随时掌握数据库的安全状况～及时发现和阻止各类数据操作违规事件或攻击事件～避免数据的各类安全损失～追查或打击各类违规、违法行为～提高数据库数据安全管理的水平。该采集方式不会对数据库的运行、访问产生任何影响～而且具有更强的实时性～是比较理想的数据库日志审计的实现方式。 , 数据来源与内容 数据来源:审计数据源需要包括我行信息系统各组件的日志产生点～如主机操作日志、操作系统日志、数据库审计日志、FTP/WEB/NNTP/SMTP、安全设备日志等。 数据内容:异常信息在采集后必须进行分类～例如可以将异常事件信息分成泄密事件和安全运行事件两大类～以便于我行日志审计系统管理人员能快速对事第 11 页 共 34 页 日志审计系统建设方案 件进行分析。 , 采集策略 采集策略需要包括采集频率、过滤、合并策略与信息传输策略。 支持根据采集对象的不同～可以设臵实时采集、按秒、分钟、小时等采集频率。 支持日志或事件进行必要的过滤和合并～从而只采集有用的、需要关注的日志和事件信息～屏蔽不需要关注的日志和事件信息。 通过预先设定好的日志信息传输策略～使采集到的信息能够根据网络实际情况有序地传输到数据库服务器进行入库存储～避免因日志信息瞬间激增而对网络带宽资源的过度占用～同时保证信息传输的效率～避免断点重传。 , 采集监控 系统可以监控各采集点的日志传输状态～当有采集点无法正常发送日志信息时～系统可以自动进行告警通知管理员进行处理。 5.1.1.2日志格式标准化需求 根据日志格式标准～对系统采集的信息系统IT基础设施日志信息进行标准化处理。 5.1.1.3日志集中存储需求 我行日志审计系统将对300余个审计对象进行日志审计～此系统需要具有海量的数据存储能力～其后台数据库需要采用稳定以及先进的企业级数据库,如DB2、MS SQL Server 数据库,,需要有合理的数据存储管理策略,需要支持磁盘阵列柜以及SAN、NAS等存储方式。 5.1.1.4日志关联分析需求 为了解决目前日益严重的复合型风险威胁～我行日志审计系统需要具有关联分析功能:将不同安全设备的响应通过多种条件关联起来～以便于管理员的分析和处理。例如当一个严重的事件或用户行为发生后～从网络层面、主机/服务器层面、数据,库,、安全层面到应用层面可能都会有所反应,响应,～这时候审第 12 页 共 34 页 日志审计系统建设方案 计系统将进行数据挖掘～将上述多个层面、多个维度的事件或行为数据挖掘和抽取、关联～将关联的结果呈现给使用者。 5.1.1.5安全事件报警需求 为了快速、准确定位安全事件来源～及时处理安全事件～我行日志审计系统必须具备实时报警功能～报警方式应该多样化～如实时屏幕显示、电子邮件和短信等。 5.1.1.6日志报表需求 我行日志审计系统的报表需要支持细粒度查询～使管理人员能够快速对安全事件进行正确的分析～其查询细粒度应该包括关键字、时间段、源地址、目的地址、源端口、目的端口、设备类型、事件类型、特定审计对象等多个条件的组合查询～并支持模糊查询。 5.1.2 系统性能需求 目前我行日志审计系统需要审计300台以上的设备～以一台设备3000条/小时～每条日志1KB为标准计算～300台设备每天的总日志条数为2160万条～总日志量约为21G。 基于上述计算结果～结合同行业成功案例～建议系统性能如下: 处理能力支持安全事件与日志每天2千万条以上, 支持120G以上的数据库存储, 支持的原始日志和事件的存储容量可达到5亿条, 提供对原始日志及审计结果的压缩存储～文件存储压缩比一般不应小于1:10, 根据审计要求～原始信息及审计结果需保留6个月-1年～因此～需支持磁盘阵列、NAS和SAN等多种存储方式～存储容量需达到7TB以上。 5.1.3 系统安全需求 权限划分需求:日志审计系统需要进行管理权限的划分～不同的管理员具有第 13 页 共 34 页 日志审计系统建设方案 不同的管理权限～例如管理配臵权限与审计操作权限分离～系统中不允许出现超级用户权限。 登录安全需求:日志审计系统在用户登录上需要强身份鉴别功能以及鉴别失效处理。 传输安全需求:日志审计系统各个组件之间的通讯协议必须支持身份认证与传输加密～确保数据在传输过程中不被泄漏、篡改、删除。 存储安全需求:日志审计系统的后端数据库必须采用安全可靠的大型数据库～数据库的访问以及对日志审计系统的操作都要通过严格的身份鉴别～并对操作者的权限进行严格划分～保证数据存储安全。 接口安全需求:日志审计系统各组件之间应该采用其厂商自身的～未公开并且成熟可靠的协议进行通信。日志审计平台与其他系统,网络设备、主机/服务器、应用系统、安全设备,的接口可采用标准的SNMP、Syslog等协议。 5.1.4 系统接口需求 我行日志审计系统主要提供如下接口进行日志采集: 1、Syslog方式～支持SYSLOG协议的设备～如:防火墙、UNIX服务器等, 2、ODBC/JDBC方式～支持数据库联接的设备, 3、SNMP Trap方式～支持SNMP协议的设备～如:交换机、路由器、网路安全设备等, 4、XML方式～支持HTTP协议的设备, 5、EventLog方式～支持Windows平台, 6、特定接口方式～对于不支持通用协议的设备～需要定制开发～如:某网闸隔离系统, 7、其他厂商内部专用协议。 通过标准的接口～可以采集到网络设备、安全设备、主机系统、应用系统的各种类型日志:包含登陆信息、登陆认证失败信息、应用程序启动信息、进程改变信息、违反防火墙规则的网络行为、IDS检测到的所有入侵事件和IDS自身生成的各种日志等。 日志信息的采集可以根据我行信息系统的现实情况进行实时传输或者定时第 14 页 共 34 页 日志审计系统建设方案 传输。 5.2数据库和网络审计系统需求 5.2.1审计功能需求 , 安全审计策略 系统应允许使用者能够针对访问者、被保护对象、操作行为～访问源～事件类型等特征等制定具体的安全审计策略。策略制定方式应简单灵活～既可以制定适应于批量对象的公共策略～也可以制定适用于单个被保护对象的详细策略。系统应提供行为全部记录的默认审计策略。审计记录应该反应出用户的登录身份～登录操作时使用的主机或数据库账号信息。在建设身份认证和访问控制功能后～可以禁止或允许用户使用某个主机或数据库账号进行登录和操作。 审计记录应该反应出用户的登录身份～登录操作时使用的主机、网络设备或数据库账号信息。 , 事件实时审计、告警、命令控制 能灵活配臵实时安全审计控制策略和预警参数～实时发现可疑操作,如操作系统rm命令、数据库drop、delete命令等,～实时发出告警信息,向控制台发出告警信息、向管理员邮箱发送告警电子邮件、向管理员手机发出告警短 日志审计系统、网管系统发出告警等,。 消息、通过SNMP命令向 , 行为审计功能 根据制定的安全审计策略～系统应对访问者访问被保护对象的操作交互过程进行记录～并允许选择记录整个操作过程的上行、下行数据。系统应能够将审计记录重组为会话的能力。单个会话的全部操作行为应能够进行回放。 每一条审计记录应至少提供操作时间、访问者的身份信息、IP地址、被保护对象,主机名称、IP地址等,、操作内容、系统返回内容。 审计记录结果要实现集中存储、集中管理、集中展现。 , 事件查询功能 系统需要提供丰富的查询界面～可以通过数据库事件查询、Telnet事件查询、Ftp事件查询、事件会话关联查询、告警查询等不同的维度查询结果。并第 15 页 共 34 页 日志审计系统建设方案 支持导出报表。 , 审计信息的存储 审计信息要求安全存储～分级别进行管理～普通管理员无法修改删除。用户登录认证及操作日志要求安全存储～普通管理员无法修改删除。 系统应该提供灵活的审计信息存储策略～以应对大规模审计存储的要求,可以根据用户登录身份、使用的主机或数据库账号来制定审计信息存储策略。 , 重复事件归并 通过配臵归并规则～系统可以对大批量的重复事件做统一归并～并记录归并次数。 , 权限管理 系统需要分管理员和审计员权限～审计员只能审计授权审计的系统的审计信息。 5.2.2报表功能需求 , 查询功能 系统用户应可按照时间段、访问者、主机或数据库账号、被保护对象、行为方式、行为特征等关键字进行精确或模糊匹配查询。 操作人员根据查询结果可以关联查看整个会话的内容。 , 统计报表功能 系统应提供完整的报表系统。系统应按照访问者、被保护对象、行为方式、操作内容,例如数据库表名称,等生成统计报表～并按照要求添加、修改报表数量、格式及内容～以满足安全审计的要求。 5.2.3审计对象及兼容性支持 应当包括,但不限于,:Telnet,ftp,SQL 等应用。 操作系统支持:Unix,HP-UNIX ,Solaris 数据库支持:Oracle ,DB2,Infomix ,Mysql,Sqlserver 应确保无遗漏等现象发生。 第 16 页 共 34 页 日志审计系统建设方案 5.2.4系统性能 , 系统应满足大数据量的审计要求。满足千兆骨干网络审计要求～无丢包、漏 包现象发生, , 系统应提供良好的查询能力, , 系统应至少满足1年的审计数据在线存储的需求～并提供相应的离线备份机 制～对于超过在线存储时限的审计数据应提供导入导出的机制。 5.2.5审计完整性 系统应能实现对所有访问者通过审计途径对现网内被保护对象的远程访问行为的审计～无遗漏、错报等现象的发生。 6安全审计综合管理平台建设方案 6.1日志审计系统建设方案 6.1.1 日志管理建议 基于我行日志审计系统的建设目标～需要对我行信息系统中的网络设备、主机系统、应用系统、安全系统等进行日志采集～各采集对象的设备系统类型、采集的日志内容、采集方式及采集频率说明如下: 审计具体审计需求描述 日志内容包括 拟采用的采集采集频率 内容 方式 帐户登录注Agent方式, 通过日志安操作, Solaris 销、帐号权限针对UNIX 全审计中心系统 变更、操作系SYSLOG日志设臵采集频, AIX , Linux 统启动关闭、可通过syslog率策略,建 , HP-UNIX shell操作日方式发送 议1分钟采 志、SYSlOG集一次 日志。 第 17 页 共 34 页 日志审计系统建设方案 , Windows 2000 帐户登录注Agent方式 通过日志安 server 销、帐号权限全审计中心, Windows 2003 变更、操作系设臵采集频 server 统启动关闭、率策略,建 应用程序运行议1分钟采 状态、系统文集一次 件和文件属性 修改等 用户登录、修Syslog、SNMP 在安全设备, 防火墙 安全改配臵、收集Trap方式采集 上配臵日志 设备 到的攻击日志传输频率～ 等等 建议1分钟 采集一次 用户登录、修Syslog、SNMP 在网络设备, 交换机 网络改配臵等 Trap方式采集 上配臵日志, 路由器等 设备 传输频率～,CISCO、华为、华三建议1分钟等,。 采集一次 用户登录、注通过部署旁路通过日志安 数据销、数据查询、数据库审计硬全审计中心, ORACLE 库 插入、数据修件设备,采用镜设臵数据库, SQL SERVER 改、数据删除、像等方式获取审计日志采, DB2 修改配臵等。 数据库访问的集频率策, SYBASE 网络报文流量～略～建议1 从而实现针对分钟采集一, Informix 各种数据库用次 户的操作命令 级审计。该采集 方式不会对数 据库的运行、访 问产生影响 第 18 页 共 34 页 日志审计系统建设方案 Web server、Email 用户登录、修Agent方式、通过日志安应用server、Domino等应用改配臵、应用Syslog、SNMP 全审计中心系统 系统,在实际项目中～层的操作等 Trap、设臵数据库 还需要收集业务系统日ODBC/JDBC方审计日志采 志。 式 集频率策 Web server主要包括: 略～建议1 分钟采集一, WebSphere 次 , Apache , WebLogic , Microsoft IIS等 6.1.2 日志审计系统整体架构 我行日志审计系统整体架构图如下: 整体架构图说明:我行日志审计系统为软件架构～由采集服务器、管理服务器、数据库服务器三大部分组成。对被审计对象进行必要的设臵或安装采集代理～即可实现对整个系统的综合审计,我行日志审计系统采用 Browser/Server/DataBase三层架构～管理人员无需安装任何客户端即可登录到日第 19 页 共 34 页 日志审计系统建设方案 志审计系统进行审计管理操作。 我行日志审计系统功能结构图如下: 功能结构图说明:我行日志审计系统将包括日志采集、日志存储、日志分析、系统管理、综合显示等功能模块～这些功能模块将有效满足我行针对日志审计系统各种功能需求。 6.1.3 日志采集实现方式 6.1.3.1 系统支持的标准接口和协议 1、Syslog方式～支持SYSLOG协议的设备～如:防火墙、UNIX服务器等, 2、ODBC/JDBC方式～支持数据库联接的设备, 3、SNMP Trap方式～支持SNMP协议的设备～如:交换机、路由器、网路安全设备等, 4、XML方式～支持HTTP协议的设备, 第 20 页 共 34 页 日志审计系统建设方案 5、EventLog方式～支持Windows平台, 6、特定接口方式～对于不支持通用协议的设备～需要定制开发～如:某网闸隔离系统。 7、其他厂商内部专用协议。 Syslog和SNMP Trap方式作为最常见、传统的方式～被大部分设备厂商和日志审计系统所采用～建议我行采用这两种方式进行日志采集。 Syslog和SNMP Trap方式作为最成熟的网络协议～已经广泛应用在网络设备、安全设备等设备之上～用来传输各种日志信息～对系统本身影响很小。 8、数据库日志审计 数据库自身日志功能开启情况下～可通过ODBC方式收集数据库日志～但是在数据库日志量较大的情况下～数据库系统自身开启日志审计功能会带给系统较大的负担～不建议采用该方式收集数据库日志。 为了保证数据库的性能、稳定性～建议采用国内已较为成熟的数据库审计技术～通过在网络部署专门的旁路数据库审计硬件设备,采用镜像等方式获取数据库访问的网络报文流量～实现针对各种数据库用户的操作命令级审计。该采集方式不会对数据库的运行、访问产生任何影响～而且具有更强的实时性～是比较理想的数据库日志审计的实现方式。 6.1.3.2 采集对象日志采集实现方式 采集对象需支持通过安装审计代理程序或修改系统配臵来进行日志的采集～通过日志收集策略定制来开启与关闭各系统的日志采集功能及确定应采集的日志的种类。 为了保证被监控系统的保密性～原则上被监控系统要主动向日志审计系统发送自身生成的日志信息～日志审计系统尽可能的不主动访问被监控对象。 6.1.4 日志标准化实现方式 由于日志采集模块收集到多种类型的日志～而这些日志定义的格式和内容不尽相同～日志标准化将不同的数据格式转换成标准的数据格式并存储～为上层应用提供数据支持。 第 21 页 共 34 页 日志审计系统建设方案 由于不同的设备～对事件的严重程度定义及侧重点不尽相同～不利于根据统一的安全策略进行处理。日志标准化将按照日志来源类型、事件类别、事件级别等可能的条件及条件的组合对事件严重级别进行重定义～便于日志分析模块的分析处理。 下面是日志信息标准化要求: 日志事件信息的标准化字段包括事件编号信息,此字段信息应全局唯一～作为标识事件的主键,、事件名称、事件原始时间、事件采集时间、事件内容、事件类型、事件源地址、事件目的地址、事件源端口、事件目的端口、事件原始级别、事件标准化后的级别、事件采集来源、事件涉及协议、会话信息等。 我行日志审计系统对于今后新增加的被审计对象,如新增的应用系统,～将使用标准的Syslog或SNMP协议作为其日志形式和接口～并协调日志审计系统厂商与新系统厂商提供技术方面的支持。 新增的被审计对象～必须能满足如下条件: 1,提供标准的Syslog或SNMP接口, 2,被审计对象需要提供详细的日志信息～包括:登陆信息、状态信息、依据自身业务逻辑产生的数据等, 3,日志事件信息的标准化字段包括事件编号信息,此字段信息应全局唯一～作为标识事件的主键,、事件名称、事件原始时间、事件采集时间、事件内容、事件类型、事件源地址、事件目的地址、事件源端口、事件目的端口、事件原始级别、事件标准化后的级别、事件采集来源、事件涉及协议、会话信息等, 4,如果是应用系统日志～应该包含用户信息～对于应用系统日志其级别的定义变得极其重要, 5,提供设备所能产生的全部类型的日志样本, 6,提供全部日志类型中的字段的说明,尤其是数值与相应内容的对照表,以及相应文档, 6.1.5 日志存储实现方式 我行日志审计系统将采用DB2或MS SQL Server 数据库作为日志审计系统的在线存储方式～根据审计要求～原始信息及审计结果需提供压缩存储～文件存第 22 页 共 34 页 日志审计系统建设方案 储压缩比一般不应小于1:10,并保留6个月1年以上～系统需支持磁盘阵列柜以及SAN、NAS等存储方式～存储容量需达到7TB以上。 除了在线存储方式外还将支持磁带机作为离线存储备份方式～离线数据可以通过导入到当前库不同的表中进行查询和分析～以避免对当前数据造成不利的影响。 6.1.6 日志关联分析 我行日志审计系统将提供多种关联分析方法～包括:相同源IP的事件关联分析、相同目的IP的事件关联分析、相同事件类型的关联分析以及基于规则的事件关联分析、统计关联分析和漏洞关联分析,需要采用脆弱性模块,。通过关联分析能够更加准确地定义和定位安全事件。 相同源IP的事件关联分析:通常用于对主机终端的活动进行分析审计～它把相同源IP地址所产生的事件按照时间顺序一一列出～帮助管理人员对该IP地址所进行的各项操作行为进行分析和审计～从而对其操作行为的目的性进行分析。 相同目的IP的事件关联分析:通常用于对服务器被访问和操作的活动进行分析和审计～它把相同目的IP地址所产生的事件按照时间顺序一一列出～帮助管理人员对该IP地址被访问的活动进行分析和审计～从而发现内部人员对服务器所进行非授权或可疑的操作。 相同事件类型的事件关联分析:通常用于对特定事件的影响范围进行分析～它把所发生的相同事件类型的按照时间顺序一一列出～帮助管理人员对事件的波及面进行分析和审计。 基于规则的事件关联分析:是把各种安全事件按照时间的先后序列与时间间隔进行检测～判断事件之间的相互关系是否符合预定义的规则～从而触发分析总结出来的关联分析后事件。 统计关联分析:是用户通过定义一定时间内发生的符合条件的事件量达到规定量～从而触发关联事件。 所有能够发送日志信息的IT基础设施都可以做关联分析～通过关联分析可以及时发现IT基础设施潜在风险。 第 23 页 共 34 页 日志审计系统建设方案 6.1.7 安全事件报警 我行日志审计系统将提供实时屏幕显示、电子邮件、工作任务单、入库,和短信,等报警方式,可以调整实时报警的排序方式,可以定义实时报警的显示内容～显示内容包括: , 发生的时间 , 来源 , 事件类型 , 主体 , 描述和结果,成功、失败或待验证等,, 可以调整实时报警策略～并且显示的内容与当前用户的管理角色相关联。可提供事件的上报机制～通过策略的设臵明确哪些类型,如泄密事件、安全运行事件,、哪些等级,高、中高、中、中低、低等级以上,的安全事件需要随时上报。 6.1.8 日志报表 我行日志审计系统可提供的报表包括以下种类: , 事件信息报表 提供事件分布报表～按照不同事件类别提供各类事件的趋势报表。 , 综合分析与预警报表 综合安全风险分析的报表～提供风险查询报表～可以根据资产、域、趋势等进行分类输出～包括分析数据分布范围、受影响的系统、可能的严重程度等。 , 响应过程报表 提供响应模块发生的响应事件的统计报表～按照响应事件的第 24 页 共 34 页 日志审计系统建设方案 紧急程度、响应对象、响应人员分类列表。 , 综合显示报表 提供综合显示模块的实时截屏报表～包括列表显示报表输出、拓扑安全信息报表输出、电子地图安全信息报表输出。 , 平台自身日志报表 提供平台自身日志的报表～包含访问人、访问次数、访问时间等。 可以按照审计对象展现日志信息。 报表输出格式可转换为PDF 、HTML、RTF、CSV等多种常用的标准格式～我行用户可自定义报表。 6.1.9系统管理 我行日志审计系统设有用户管理员、系统管理员、安全管理员和安全审计员四种操作和管理角色～每种操作管理角色中又可安排多个操作管理用户～在系统中不存在超级用户。通过角色的划分并给予角色相应的授权实现了系统管理员、安全管理员和安全审计员的三权分立。 用户管理员权限:用户管理员负责对用户、用户组进行管理～包括建立、维护和删除用户组～并将用户分配到相应的用户组中。用户管理员不参与综合审计系统的各项具体操作。 系统管理员权限:系统管理员负责设定各个用户组的管理和操作权限～包括管理区域范围、管理的设备和对象、各项管理功能,如策略制定、关联分析、审计查询、审计报表、数据备份等,的操作权限等～权限控制分为“完全控制”、“读取”、“写入”、“更改”、“删除”几类。系统管理员不参与综合审计系统的各项具体操作。 安全管理员权限:安全管理员负责在权限许可的范围内利用日志审计系统开展各项安全审计和管理操作。安全管理员的操作进行通过系统审计日志记录下第 25 页 共 34 页 日志审计系统建设方案 来～以备审计管理员对安全管理员的各项管理操作进行审计。 安全审计员权限:审计管理员仅具有对用户管理员、系统管理员、安全管理员所从事的各项安全管理操作进行审计的权限～包括用户登录注销、新增、修改、删除用户或用户组等功能。 6.1.10 系统接口规范 我行日志审计系统的接口规范为标准协议:Syslog、SNMP。被监控对象通过Syslog、SNMP协议主动把自身的日志信息发送到日志审计系统。 日志审计系统要对外提供如下接口: Windows EventLog:可以通过该接口采集Windows主机的日志信息。 Syslog:通过该接口可以采集网络设备、安全设备、主机系统等日志信息。 SNMP:通过该接口可以采集网络设备、安全设备、主机系统等日志信息。 OPSEC:通过该接口可以采集nokia、checkpoint的日志信息。 XML:通过该接口可以采集漏洞扫描系统的扫描结果。 ODBC:通过该接口可以采集数据库的日志信息。 读文件:通过该接口可以采集ftp、DNS等应用系统的日志信息。 日志审计系统自身会有简单的资产管理功能～如果我行没有与现有资产管理系统进行数据同步的要求～不需要和现有的资产管理系统进行整合。如果要求做到和现有的资产管理系统整合～需要通过定制开发实现。 与第三方的资产管理系统进行整合需要定制开发。 6.2数据库和网络审计系统建设方案 6.2.1数据库和网络行为综合审计 6.2.1.1实时统计 监控管理人员可以通过实时统计功能清楚地看到网内部告警事件、活动会话,Active Session,～以及对被保护对象的访问情况。 实时统计功能能够统计最近5分钟的数据～及时地反应出网络内部的动态。 在实时统计中～用户可以实时的查看当前活动对象、当前活动会话等的事件第 26 页 共 34 页 日志审计系统建设方案 列表。用户点击某个活动会话～即可看到当前会话中用户登录、操作、注销指令执行及其返回结果的全过程。 6.2.1.2事件查询 事件查询为用户提供了历史事件查询的手段。用户可以指定复杂的查询条件～快速检索到需要的事件信息～从而协助管理员进行计算机取证分析～收集外部访问或者内部违规的证据。 事件查询细分为综合事件查询～数据库事件查询～主机事件查询～Ftp事件查询。针对不同类别的查询～系统精心地为用户提供了不同的查询条件组合～方便用户找到自己需要的信息。 用户可以指定的查询条件包括:审计类型、事件接收时间、事件等级、源地址、目的地址、用户名、策略名、会话ID,SessionID,等。 6.2.1.3趋势分析 能够进行事件访问的趋势分析～对最近一段时间的事件进行统计分析～并描绘趋势曲线。这样～系统监控管理员能够清晰的看到最近一段时间内部的的事件走向～并且可以清楚地看到敏感时间内什么人对什么样的保护对象进行过访问～以及访问了保护对象的什么资源。针对不同的审计类型～产品提供不同的趋势分析～系统监控人员可以根据需要查看不同的趋势分析。 6.2.2审计策略 审计策略是为审计功能服务的～它为系统提供数据包采集引擎所需的策略配臵～对通过引擎的数据包进行基于审计策略的过滤～将符合审计策略的数据包提取出来、产生安全事件～然后再对安全事件进行审计分析。同时～审计策略也决定了审计的颗粒度～用户可以通过对审计策略的设定来决定审计的各种细节。 系统可以根据用户要求自由组织审计策略～提供便捷的添加、修改、删除、导入、导出、启用和禁用等功能。可以将针对同一业务的不同方面的审计策略选项集中到一条审计策略中进行配臵～这样用户无需切换页面和进行复杂的选项配臵～简化了用户操作～同时并未减少需要配臵的审计对象的元素。在策略配臵中～第 27 页 共 34 页 日志审计系统建设方案 用户可以从各类协议中提取出公共部分进行统一配臵～各类协议的私有部分再根 从而避免了重复配臵～减轻了用户的审计配臵工据不同的细节进行相应的配臵～ 作量。 策略配臵内容: 审计类行为 采集 响应 型 主机 1(登录 1(全部:审计全部内容 1(记录 2(注销 2(访问文件名称关键字过滤 2(阻断 3一般操作 数据库 1(用户行为 1(全部:审计全部内容 1(记录 2(数据定义 2、关键字过滤,可以细化到2(阻断 3(数据操作 库、表、记录、用户、存储过 4(数据控制 程、函数等, 5(其他 FTP 1(登录 1(全部 1(记录 2(注销 2、文件/目录名称关键字过滤 2(阻断 3一般操作 6.2.3审计内容 6.2.3.1主机审计 主机审计功能可审计VNC、Telnet、网上邻居和定制的主机协议的登录、注销和一般操作等行为。 用户可以在业务综合审计中单独查看主机审计的实时统计信息和趋势分析,可以定义专门的主机审计策略,可以在报表管理中单独查看与主机审计相关的报表报告。 第 28 页 共 34 页 日志审计系统建设方案 6.2.3.2数据库审计 数据库审计功能可审计包括各个平台,Windows、Linux、Solaris、AIX,和版本的SQL Server、Oracle等在内的数据库的DDL～DML～DCL和其它操作等行为。 操作行为 内容和描述 用户行为 数据库用户的登录、注销 数据定义语言,DDL,操CREATE～ALTER～DROP等创建、修改或者删除数作 据库对象,表、索引、视图、存储过程、触发器、域～ 等等,的SQL指令 数据操作语言,DML,SELECT～DELETE～UPDATE～INSERT等用于检索操作 或者修改数据的SQL指令 数据控制语言,DCL,操GRANT～REVOKE等定义数据库用户的权限的SQL作 指令 其它操作 包括EXECUTE、COMMIT、ROLLBACK等事务操 作指令 数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数。 用户可以在业务综合审计中单独查看数据库审计的实时统计信息和趋势分析,可以定义专门的数据库审计策略,可以在报表管理中单独查看与数据库审计相关的报表报告。 6.2.3.3FTP审计 FTP审计功能可审计FTP协议的登录、注销和一般操作等行为～可以审计FTP操作的文件/目录名称。 用户可以在业务综合审计中单独查看FTP审计的实时统计信息和趋势分析,可以定义专门的FTP审计策略,可以在报表管理中单独查看与FTP审计相关的报表报告。 第 29 页 共 34 页 日志审计系统建设方案 6.2.3.4流量审计 系统实时监测用户网络七层结构中各层的流量分布～进行协议、流量的综合分析～从而可以根据业务网需要改变网络状况。在流量分析中～主要以报表的形式形象地展示网络中的状况。 流量审计功能可以审计从三层到七层协议的流量～能够审计20种以上的应用层协议～包括IM、P2P、HTTP、POP3、SMTP等。流量审计的内容包括数据包分布审计、流量分布审计、应用协议流量审计、端口流量审计～用户可以进行基本流量信息查看、协议分析、会话分析、节点分析。 基本信息主要分析了数据包在网络中的分布状况～例如多播、广播、点播包的分布～不同大小的包分布～等等。还涉及了数据流量在不同时段的分布情况。 协议分析主要体现了网络中IP层和应用层的流量分布～还包括不同端口的流量分布～等等。 会话分析描述了活动会话,Session,的状况。 节点分析中主要是网络中各个节点,包括主机、无IP设备,在网络中的应用层和IP层中的流量分布～并对单个节点的流量状况进行了详细的分析～包括单个节点的基本网络信息～以及流量时段分布、协议和应用协议的具体分布。 6.2.4告警与响应管理 在事件分析引擎的驱动下～根据告警规则～针对符合规则的安全事件进行实时分析～抽取出对于安全管理人员真正有用的安全信息～从而协助安全管理人员快速识别安全事故～进行安全审计。告警规则应具有如下特性: , 规则分为系统预定义规则和用户自定义规则两大类 , 用户在制定规则的时候～既可以设定告警的触发条件～也可以设定触发 告警后的自动响应动作 , 修订告警规则无需重启系统或者某个模块～规则一旦被应用立即生效 , 规则编写支持各种运算符 在审计出安全事件并告警后～监控管理人员能够及时进行响应处理,发送邮件、SNMP Trap、执行程序脚本、设备联动～等等,。 第 30 页 共 34 页 日志审计系统建设方案 6.2.5报表管理 安全管理人员可以将网络行为审计的结果生成报表～作为工作内容汇报的一部分提交给相关部门。报表可以导出为各种格式～例如PDF、Excel、XML、RTF～等等。报表运行还可以进行调度～定期自动产生周报、月报～并通过邮件发送给指定接收人。 7系统部署方案 7.1 安全审计综合管理平台系统部署方案 部署结构图如下: 部署图说明如下: ,1,在业务系统的主机操作系统部署Agent～采集操作系统的日志信息。 ,2,外网各网络设备、安全设备、操作系统、应用系统将日志通过系统接口发送给安全中心。 ,3,在外网管理区部署日志安全审计中心及存储备份设备～负责集中收集第 31 页 共 34 页 日志审计系统建设方案 各网络设备、安全设备、应用系统、业务系统的日志信息～进行日志标准化及关联分析～发现告警安全事件,同时通过存储设备对日志进行定期存储备份。 ,4,数据库和网络审计系统通过镜像的方式获取数据～高警信息发送给日志审计系统。 7.2系统部署环境要求 7.2.1日志审计系统 1、服务器端 , 硬件环境 处理器: Intel X86系列或兼容CPU 最低PIV 2.0GHz或相当 推荐Xeon 2.0GHz * 2或相当 内 存:最低1GB～推荐2GB 硬 盘:最低IDE 80G * 1～推荐SCSI 72GB * 2 网 卡: 最低10/100自适应网卡 * 1, 推荐双网卡 推荐品牌:IBM、DELL、HP等 , 软件环境 操作系统:1、Windows 2000、Windows XP、Windows 2003 Server。 2、Linux 3、Solaris ,SPARC, Java环境:Java SDk 1.5 WEB服务器:Tomcat 5.5.20以上 数据库:ORACLE 9i/10g server或者SQL server2005 2、客户端 支持类型:支持Microsoft Internet Explorer浏览器 支持版本:6.0以上版本 支持语言:简体中文、英文+简体中文支持包 第 32 页 共 34 页 日志审计系统建设方案 插件要求:安装Macromedia Flash Player Version9.0.28以上版本 7.2.2数据库和网络审计系统 数据库和网络审计系统为硬件产品～系统应采用功能分担、分布式多处理机结构。主要模块冗余度为1+1～易于扩容和维护。 7.3 系统实施建议 由于总行正在进行内联网的内外网划分建设,根据内外网建设策略～将新建内网。内网建设后会将总行机关办公自动化系统等管理系统全部迁入～办公系统将受内外网划分工作影响较大,外网基于现有各主要业务系统～如货币发行信息管理系统、国库信息处理系统等重要业务系统～各业务系统基本不受内外网建设影响。 基于内外网的建设情况～从保证实际安全审计项目效果～安全审计系统建设将分阶段建设～考虑XX为新建系统～目前正在试点～货币发行管理信息系统需进行升级改造～拟先选择XX系统或货金系统作为日志采集对象～开展日志审计系统建设工作。同时～网络作为应用系统的基础设施且支持标准协议～也将作为日志采集对象。 通过试点采集网络基础设施和应用系统的日志信息～进一步完善日志管理规范～总结日志审计系统建设经验～不断扩大日志审计系统日志信息的采集范围。 为了保证系统的安全性～日志审计系统的部署必须建立在不影响正常系统的基础之上。日志审计系统部署之前～必须做好充分的准备工作。 ,要充分的调研被监控对象:调研内容包含产品名称、型号、支持接口类1 型等。 2,日志审计系统必须明确给出支持审计设备情况～不支持的设备要通过定制开发实现日志采集。我行要负责协调相关厂商进行配合。 4,供应商需要给出详细的实施方案～实施过程严格按照实施方案进行。 7.4 二次开发 我行日志审计系统将采用标准化的Syslog、SNMP协议,目前绝大多数被审计设备都支持这两种标准协议,。个别新系统如需经过二次开发才能由日志审计第 33 页 共 34 页 日志审计系统建设方案 系统审计～我行将协调日志审计系统厂商、新系统厂商配合进行二次开发工作～具体开发周期可在三方协商后确定～具体开发费用将在与日志审计系统厂商签订合同时确定。 第 34 页 共 34 页