慕銀行

安全審計(jì)綜合管理平臺(tái)建設(shè)方案

V1.2二OO九年三月

目錄

1背景...........................................錯(cuò)誤!未定義書簽。

2安全審計(jì)管理現(xiàn)狀...............................錯(cuò)誤!未定義書簽。

2.1安全審計(jì)基本概念...........................錯(cuò)誤!未定義書簽。

2.2總行金融信息管理中心安全審計(jì)管理現(xiàn)狀......錯(cuò)誤!未定義書簽。

2.2.7日記審計(jì)................................錯(cuò)誤!未定義書簽。

2.2.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì).......................錯(cuò)誤!未定義書簽。

2.3我行安全審計(jì)管理辦法制定現(xiàn)狀..............錯(cuò)誤!未定義書簽。

2.4安全審計(jì)產(chǎn)品及應(yīng)用現(xiàn)狀....................錯(cuò)誤!未定義書簽。

3安全審計(jì)必要性..................................錯(cuò)誤!未定義書簽。

4安全審計(jì)綜合管理平臺(tái)建設(shè)目的...................錯(cuò)誤!未定義書簽。

5安全審計(jì)綜合管理平臺(tái)需求.......................錯(cuò)誤!未定義書簽。

5.1日記審計(jì)系統(tǒng)需求...........................錯(cuò)誤!未定義書簽。

5.1.1系統(tǒng)功能需求............................錯(cuò)誤!未定義書簽。

5.1.2系統(tǒng)性能需求............................錯(cuò)誤!未定義書簽。

5.1.3系統(tǒng)安全需求............................錯(cuò)誤!未定義書簽。

5.1.4系統(tǒng)接口需求............................錯(cuò)誤!未定義書簽。

5.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)系統(tǒng)需求..................錯(cuò)誤!未定義書簽。

5.2.1審計(jì)功能需求...........................錯(cuò)誤!未定義書簽。

5.2.2報(bào)表功能需求...........................錯(cuò)誤!未定義書簽。

5.2.3審計(jì)對(duì)象及兼容性支持...................錯(cuò)誤!未定義書簽。

5.2.4系統(tǒng)性能...............................錯(cuò)誤!未定義書簽。

5.2.5審計(jì)完整性.............................錯(cuò)誤!未定義書簽。

6安全審計(jì)綜合管理平臺(tái)建設(shè)方案..................錯(cuò)誤!未定義書簽。

6.1日記審計(jì)系統(tǒng)建設(shè)方案.......................錯(cuò)誤!未定義書簽。

6.1.1日記管理建議..........................錯(cuò)誤!未定義書簽。

6.1.2日記審計(jì)系統(tǒng)整體架構(gòu)...................錯(cuò)誤!未定義書簽。

6.1.3日記采集實(shí)現(xiàn)方式.......................錯(cuò)誤!未定義書簽。

6.1.4日記標(biāo)準(zhǔn)化實(shí)現(xiàn)方式....................錯(cuò)誤!未定義書簽。

6.1.5日記存儲(chǔ)實(shí)現(xiàn)方式.......................錯(cuò)誤!未定義書簽。

6.1.6日記關(guān)聯(lián)分析...........................錯(cuò)誤!未定義書簽。

6.1.7安全事件報(bào)警...........................錯(cuò)誤!未定義書簽。

6.1.8日記報(bào)表...............................錯(cuò)誤!未定義書簽。

6.1.9系統(tǒng)管理...............................錯(cuò)誤!未定義書簽。

6.1.10系統(tǒng)樓口規(guī)范..........................錯(cuò)誤!未定義書簽。

6.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)系統(tǒng)建設(shè)方案..............錯(cuò)誤!未定義書簽。

6.2.1數(shù)據(jù)庫和網(wǎng)絡(luò)行為綜合審計(jì)..............錯(cuò)誤!未定義書簽。

6.2.2審計(jì)策略...............................錯(cuò)誤!未定義書簽。

6.2.3審計(jì)內(nèi)容...............................錯(cuò)誤!未定義書簽。

6.2.4告警與響應(yīng)管理.........................錯(cuò)誤!未定義書簽。

6.2.5報(bào)表管理...............................錯(cuò)誤!未定義書簽。

7系統(tǒng)部署方案,…錯(cuò)誤!未定義書簽。

7.1安全審計(jì)綜合管理平臺(tái)系統(tǒng)部署方案...........錯(cuò)誤!未定義書簽。

7.2系統(tǒng)部署環(huán)境規(guī)定.............................錯(cuò)誤!未定義書簽。

7.2.1日記審計(jì)系統(tǒng)............................錯(cuò)誤!未定義書簽。

7.2.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)系統(tǒng)...................錯(cuò)誤!未定義書簽。

7.3系統(tǒng)實(shí)行建議.................................錯(cuò)誤!未定義書簽。

7.4二次開發(fā)......................................錯(cuò)誤!未定義書簽。

1背景

近年來，XX銀行信息化建設(shè)得到快速發(fā)展，央行履行金融調(diào)控、金融穩(wěn)定、

金融市場(chǎng)和金融服務(wù)職能高度依賴于信息技術(shù)應(yīng)用，信息安全問題的全局性影響

作用日益增強(qiáng)。

目前，XX銀行信息安全保障體系中安全系統(tǒng)建設(shè)已經(jīng)達(dá)成了一定的水平。

建設(shè)了非法外聯(lián)監(jiān)控管理系統(tǒng)、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)及補(bǔ)

丁分發(fā)系統(tǒng)，為客戶端安全管理、網(wǎng)絡(luò)安全管理和系統(tǒng)安全管理提供了技術(shù)支撐

手段，有效提高了安全管理水平；完畢制定《金融業(yè)星型網(wǎng)間互聯(lián)安全規(guī)范》金

融業(yè)行業(yè)標(biāo)準(zhǔn)，完善內(nèi)聯(lián)網(wǎng)外聯(lián)防火墻系統(tǒng)，保證XX銀行網(wǎng)絡(luò)邊界安全；制定

并下發(fā)《銀行計(jì)算機(jī)機(jī)房規(guī)范化工作指引》，規(guī)范和加強(qiáng)機(jī)房環(huán)境安全管理.

信息安全審計(jì)技術(shù)是實(shí)現(xiàn)信息安全整個(gè)過程中關(guān)鍵記錄信息的監(jiān)控記錄，是

信息安全保障體系中不可缺少的一部分。隨著電子政務(wù)、電子商務(wù)以及各類網(wǎng)上

應(yīng)用的開展得到了普遍關(guān)注，并且在越來越多的大型網(wǎng)絡(luò)系統(tǒng)中已經(jīng)成功應(yīng)用并

發(fā)揮著重要作用，特別針對(duì)安全事故分析、追蹤起到了關(guān)鍵性作用。

鍵手段。信息安全審計(jì)可認(rèn)為安全管理員提供一批可進(jìn)行分析的管理數(shù)據(jù)，以發(fā)

現(xiàn)在何處發(fā)生了違反安全方案的事件。運(yùn)用安全審計(jì)結(jié)果，可調(diào)整安全策略，堵

住出現(xiàn)的漏洞。

美國信息系統(tǒng)審計(jì)的權(quán)威專家RonWeber又將它定義為收集并評(píng)估證據(jù)以

決定一個(gè)計(jì)算機(jī)系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完畢目的，同時(shí)最

經(jīng)濟(jì)的使用資源。根據(jù)在信息系統(tǒng)中需要進(jìn)行安全審計(jì)的對(duì)象與內(nèi)容，重要分為

日記審計(jì)、網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)。下面分別說明如下：

日記審計(jì)：日記可以作為責(zé)任認(rèn)定的依據(jù)，乜可作為系統(tǒng)運(yùn)營記錄集，對(duì)分

析系統(tǒng)運(yùn)營情況、排除故障、提高效率都發(fā)揮重要作用。日記審計(jì)是安全審計(jì)針

對(duì)信息系統(tǒng)整體安全狀態(tài)監(jiān)測(cè)的基礎(chǔ)技術(shù)，重要通過對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)

用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫的集中日記采集、集中存儲(chǔ)和關(guān)聯(lián)分析，幫助管理員

及時(shí)發(fā)現(xiàn)信息系統(tǒng)的安全事件，同時(shí)當(dāng)碰到特殊安全事件和系統(tǒng)故障時(shí)，保證日

記存在和不被篡改，幫助用戶快速定位追查取證。大量事實(shí)表白，對(duì)于安全事件

發(fā)生或關(guān)鍵數(shù)據(jù)遭到嚴(yán)重破壞之前完全可以預(yù)先通過日記審計(jì)進(jìn)行分析、告警并

及時(shí)采用相應(yīng)措施進(jìn)行有效阻止，從而大大減少安全事件的發(fā)生率。

數(shù)據(jù)庫審計(jì)：重要負(fù)責(zé)對(duì)數(shù)據(jù)庫的各種訪問操作進(jìn)行監(jiān)控；是安全審計(jì)對(duì)數(shù)

據(jù)庫進(jìn)行審計(jì)技術(shù)。它采用專門的硬件審計(jì)引擎，通過旁路部署采用鏡像等方式

獲取數(shù)據(jù)庫訪問的網(wǎng)絡(luò)報(bào)文流量，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)庫的所有訪問操作（如：

插入、刪除、更新、出戶自定義操作等），還原SQL操作命令涉及源IP地址、

目的IP地址、訪問時(shí)間、用戶名、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫表名、字段名等，

發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為，及時(shí)報(bào)警響應(yīng)、全過程操作還原，從而實(shí)現(xiàn)安全

事件的準(zhǔn)確全程跟蹤定位，全面保障數(shù)據(jù)庫系統(tǒng)安全。該采集方式不會(huì)對(duì)數(shù)據(jù)庫

的運(yùn)營、訪問產(chǎn)生任何影響，并且具有更強(qiáng)的實(shí)時(shí)性，是比較抱負(fù)的數(shù)據(jù)庫日記

審計(jì)的實(shí)現(xiàn)方式。

網(wǎng)絡(luò)審計(jì)：重要負(fù)責(zé)網(wǎng)絡(luò)內(nèi)容與行為的審計(jì)；是安全審計(jì)對(duì)網(wǎng)絡(luò)通信的基礎(chǔ)

審計(jì)技術(shù)。它采用專門的網(wǎng)絡(luò)審計(jì)硬件引擎，安裝在網(wǎng)絡(luò)通信系統(tǒng)的數(shù)據(jù)匯聚點(diǎn)，

通過旁路抓取網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行典型協(xié)議分析、辨認(rèn)、判斷和記錄，Telnet、HTTP、

Email.FTP、網(wǎng)上聊天、文獻(xiàn)共享、流量等的檢測(cè)分析等。

主機(jī)審計(jì)：重要負(fù)責(zé)對(duì)網(wǎng)絡(luò)重要區(qū)域的客戶機(jī)上的各種上網(wǎng)行為、文獻(xiàn)拷貝

/打印操作、通過Modem擅自連接外網(wǎng)等進(jìn)行審計(jì)。

目前我行信息安全系統(tǒng)尚未有效開展安全審計(jì)工作，由于缺少對(duì)各網(wǎng)絡(luò)設(shè)

備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫的集中日記采集、集中存儲(chǔ)和關(guān)聯(lián)

分析等事后審計(jì)、追查取證的技術(shù)支撐手段,以至無法在碰到特殊安全事件和系

統(tǒng)故障時(shí)保證日記存在和不被篡改，同時(shí)對(duì)主機(jī)和數(shù)據(jù)庫的操作行為也沒有審計(jì)

和管理的手段，不同有效對(duì)操作行為進(jìn)行審計(jì)，防止誤操作和惡意行為的發(fā)生，

因此我行迫切需要盡快建設(shè)安全審計(jì)系統(tǒng)（涉及日記審計(jì)、數(shù)據(jù)庫審計(jì)、網(wǎng)絡(luò)審

計(jì)），保證我行信息系統(tǒng)安全。

2.2我行金融信息管理中心安全審計(jì)管理現(xiàn)狀

2.2.1日記審計(jì)

作為數(shù)據(jù)中心的運(yùn)維部門，負(fù)責(zé)運(yùn)維內(nèi)聯(lián)網(wǎng)總行局域網(wǎng)、總行機(jī)關(guān)辦公自動(dòng)

化系統(tǒng)及貨幣發(fā)行信息管理系統(tǒng)、國庫信息解決系統(tǒng)等重要業(yè)務(wù)系統(tǒng)，保障信息

系統(tǒng)IT基礎(chǔ)設(shè)施的安全運(yùn)營。為更好地制定日記審計(jì)系統(tǒng)建設(shè)方案，開展了金

融信息管理中心日記管理現(xiàn)狀調(diào)研工作，調(diào)研內(nèi)容涉及設(shè)備/系統(tǒng)配置哪些日記

信息、日記信息涉及哪些屬性、日記采集所支持的協(xié)議/接口、日記存儲(chǔ)方式及

日記管理現(xiàn)狀，金融信息管理中心日記管理現(xiàn)狀調(diào)查表詳見附件。通過度析日記

管理現(xiàn)狀調(diào)查表，將有關(guān)情況說明如下：

一、日記內(nèi)容。網(wǎng)絡(luò)設(shè)備（涉及互換機(jī)和路由器）、安全設(shè)備（涉及防火墻、

入侵檢測(cè)設(shè)備、防病毒管理系統(tǒng)和補(bǔ)丁分發(fā)系統(tǒng)）、辦公自動(dòng)化系統(tǒng)和重要業(yè)務(wù)

系統(tǒng)均配置一定的日記信息，其中每類設(shè)備具有一定的日記配置規(guī)范，應(yīng)用系統(tǒng)

（辦公自動(dòng)化系統(tǒng)和重要業(yè)務(wù)系統(tǒng)）的日記內(nèi)容差異較大，數(shù)據(jù)庫和中間件僅配

置“進(jìn)程是否正?！钡娜沼浶畔ⅰ?/p>

二、日記格式。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備根據(jù)廠商的不同，其日記格式也不

同，無統(tǒng)一的日記格式；應(yīng)用系統(tǒng)根據(jù)系統(tǒng)平臺(tái)的不同，其日記格式也不同，無

統(tǒng)一的日記格式。

三、日記采集協(xié)議/接口。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備支持SNMPTr叩和Syslog

協(xié)議，應(yīng)用系統(tǒng)重要支持TCP/IP協(xié)議，個(gè)別應(yīng)生系統(tǒng)自定義了日記采集方式。

四、日記存儲(chǔ)方式。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備日記信息集中存儲(chǔ)在日記服務(wù)

器中，其他設(shè)備/系統(tǒng)日記均存儲(chǔ)在本地主機(jī)上。日記信息以文本文獻(xiàn)、關(guān)系型

數(shù)據(jù)庫文獻(xiàn)、Domino數(shù)據(jù)庫文獻(xiàn)和XML文獻(xiàn)等方式進(jìn)行存儲(chǔ)。

五、日記管理方式。重要為分散管理,且無日記管理規(guī)范。在系統(tǒng)/設(shè)備出現(xiàn)

故障時(shí)，日記信息是定位故障，解決故障的重要依據(jù)。

據(jù)了解，為加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)營情況的監(jiān)控，金融信息管理中心通過采集

互換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備的日記信息，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備日記信息的集中管理，及

時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備運(yùn)營中出現(xiàn)的問題。

通過上述現(xiàn)狀的分析，目前日記管理存在如下問題：

1、不同系統(tǒng)/設(shè)備的日記信息分散存儲(chǔ)，日記信息被非法刪除，導(dǎo)致安全事

故處置工作無法追查取證。

2、在系統(tǒng)發(fā)生故障后，才去通過日記信息定位故障，導(dǎo)致系統(tǒng)安全運(yùn)營工

作存在一定的被動(dòng)性，應(yīng)積極地在日記信息中及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)營存在的隱患，提

高系統(tǒng)運(yùn)營安全管理水平。

3、隨著我行信息化工作的不斷進(jìn)一步，系統(tǒng)運(yùn)維工作壓力的不斷加大，如

不及時(shí)規(guī)范日記信息管理，信管中心將逐步面臨運(yùn)維的設(shè)備多、人員少的問題，

不能及時(shí)準(zhǔn)確把握運(yùn)維工作的重點(diǎn)。

在目前日記信息管理基礎(chǔ)上，若簡(jiǎn)樸加強(qiáng)日無信息管理，仍存在如下問題：

1、通過系統(tǒng)/設(shè)備各自的控制臺(tái)去查看事件，窗口繁多，并且所有的事件都

是孤立的，不同系統(tǒng)/設(shè)備之間的事件缺少關(guān)聯(lián)，分析起來極為麻煩，無法弄清

楚真實(shí)的狀況。

2、不同系統(tǒng)/設(shè)備對(duì)同一個(gè)事件的描述也許是不同的，管理人員需了解各系

統(tǒng)/設(shè)備，分析各種不同格式的信息，導(dǎo)致管理人員的工作非常繁重，效率低。

3、海量日記信息不僅無法幫助找出真正的問題，反而由于太多而導(dǎo)致無法

管理，并且不同系統(tǒng)/設(shè)備也許產(chǎn)生不同的日記信息格式，無法做到快速辨認(rèn)和

響應(yīng)。

2.2.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)

目前我行沒有實(shí)現(xiàn)對(duì)數(shù)據(jù)庫操作和網(wǎng)絡(luò)操作行為的審計(jì)。對(duì)系統(tǒng)的后臺(tái)操作

人員的遠(yuǎn)程登錄主機(jī)、數(shù)據(jù)庫的操作行為無法進(jìn)行記錄、審計(jì)，難以防止系統(tǒng)濫

用、泄密等問題的發(fā)生。

2.3我行安全審計(jì)管理辦法制定現(xiàn)狀

在《銀行信息安全管理規(guī)定》提出如下安全審計(jì)規(guī)定：

＞第一百三十九條各單位科技部門在支持與配合內(nèi)審部門開展審計(jì)信

息安全工作的同時(shí)，應(yīng)適時(shí)開展本單位和轄內(nèi)的信息系統(tǒng)平常運(yùn)營管理和

信息安全事件全過程的技術(shù)審計(jì)，發(fā)現(xiàn)問題及時(shí)報(bào)本單位或上一級(jí)單位主

管領(lǐng)導(dǎo)。

＞第一百四十條各單位應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計(jì)功能配

置管理，應(yīng)完整保存相關(guān)日記記錄，一般保存至少一個(gè)月，涉及資金交易

的業(yè)務(wù)系統(tǒng)日記應(yīng)根據(jù)需要擬定保存時(shí)間。

在《銀行信息系統(tǒng)安全配置指弓I-數(shù)據(jù)庫分冊(cè)》提出如下安全審計(jì)規(guī)定：

＞應(yīng)配置審計(jì)日記，并定期查看、清理日記。

＞審計(jì)內(nèi)容涉及創(chuàng)建、修改或刪除數(shù)據(jù)庫悵戶、數(shù)據(jù)庫對(duì)象、數(shù)據(jù)庫表、

數(shù)據(jù)庫索引的行為；允許或者撤消審計(jì)功能的行為；授予或者取消數(shù)據(jù)庫

系統(tǒng)級(jí)別權(quán)限的行為；任何由于參考對(duì)象不存在而引的錯(cuò)誤信息；任何改

變數(shù)據(jù)庫對(duì)象名稱的動(dòng)作；任何對(duì)數(shù)據(jù)庫Dictionary或者數(shù)據(jù)庫系統(tǒng)配置

的改變；所有數(shù)據(jù)庫連接失敗的記錄；所有DBA的數(shù)據(jù)庫連接記錄；所有

數(shù)據(jù)庫用戶帳戶升級(jí)和刪除操作的審計(jì)跟蹤信息。

＞審計(jì)數(shù)據(jù)應(yīng)被保存為分析程序或者腳下本可讀的格式，時(shí)間期限是一

年。所有刪除審計(jì)數(shù)據(jù)的操作，都應(yīng)在動(dòng)態(tài)查帳索引中保存記錄。

＞只有DBA或者安全審核員有權(quán)限選擇、添加、刪除或者修改、停用審

計(jì)信息。

上述安全審計(jì)管理規(guī)定為開展日記審計(jì)系統(tǒng)建設(shè)提供了制度保障。

2.4安全審計(jì)產(chǎn)品及應(yīng)用現(xiàn)狀

目前市場(chǎng)上安全審計(jì)產(chǎn)品按審計(jì)類型也有很多產(chǎn)品，日記審計(jì)以SIM類產(chǎn)

品為主，也叫安全信息和事件管理(SIEM),是安全管理領(lǐng)域發(fā)展的方向。SIM

是一個(gè)全面的、面向IT計(jì)算環(huán)境的安全集中管理平臺(tái)，這個(gè)平臺(tái)可以收集來自

計(jì)算環(huán)境中各種設(shè)備和應(yīng)用的安全日記和事件，并進(jìn)行存儲(chǔ)、監(jiān)控、分析、報(bào)警、

響應(yīng)和報(bào)告，變過去被動(dòng)的單點(diǎn)防御為全網(wǎng)的綜合防御。

由于日記審計(jì)對(duì)安全廠商的技術(shù)開發(fā)能力有較高規(guī)定,國內(nèi)一些較有實(shí)力的

安全廠商可以提供較為成熟的日記審計(jì)產(chǎn)品。目前，日記審計(jì)產(chǎn)品已在政府、運(yùn)

營商、金融、民航等行業(yè)廣泛成功應(yīng)用。

針對(duì)數(shù)據(jù)庫和網(wǎng)絡(luò)行為審計(jì)產(chǎn)品，國內(nèi)也有多個(gè)廠家有比較成熟的產(chǎn)品，在

很多行業(yè)都有應(yīng)用。

3安全審計(jì)必要性

通過安全審計(jì)系統(tǒng)建設(shè)，貫徹信息系統(tǒng)安全等級(jí)保護(hù)基本技術(shù)和管理規(guī)定中

有關(guān)安全審計(jì)控制點(diǎn)及日記和事件存儲(chǔ)的規(guī)定，積累信息系統(tǒng)安全等級(jí)保護(hù)工作

經(jīng)驗(yàn)。

通過綜合安全審計(jì)平臺(tái)的建設(shè)，進(jìn)一步完善我行信息安全保障體系，改變事

中及事后安全基礎(chǔ)設(shè)施建設(shè)較弱的現(xiàn)狀；為信息安全管理規(guī)定貫徹情況檢查提供

技術(shù)支撐手段，不斷完善信息安全管理辦法，提高信息安全管理水平；

通過綜合安全審計(jì)平臺(tái)，實(shí)現(xiàn)信息系統(tǒng)IT基礎(chǔ)設(shè)施日記信息的集中管理，

全面掌握IT基礎(chǔ)設(shè)施運(yùn)營過程中出現(xiàn)的隱患，通過安全事件報(bào)警和日記報(bào)表的

方式，在運(yùn)維人員有限的條件下，有效地把握運(yùn)維工作的重點(diǎn)，進(jìn)一步增強(qiáng)系統(tǒng)

安全運(yùn)維工作的積極性，更好地保障系統(tǒng)的正常運(yùn)營。同時(shí)，有效規(guī)避日記信息

分散存儲(chǔ)存在的非法刪除風(fēng)險(xiǎn)，保證安全事故處置的取證工作。

逋過綜合安全審計(jì)平臺(tái)的建設(shè)，規(guī)范我行安全審計(jì)管理工作，指導(dǎo)此后信息

化項(xiàng)目建設(shè)，系統(tǒng)也為安全審計(jì)管理規(guī)范的實(shí)現(xiàn)提供了有效的技術(shù)支撐平臺(tái)。

4安全審計(jì)綜合管理平臺(tái)建設(shè)目的

根據(jù)總行金融信息管理中心日記管理工作現(xiàn)狀及存在的問題，結(jié)合日記審計(jì)

系統(tǒng)建成后的預(yù)期收益，現(xiàn)將系統(tǒng)建設(shè)目的說明如下:

＞海量日記數(shù)據(jù)的標(biāo)準(zhǔn)化集中管理。

根據(jù)即定采集策略，采集信息系統(tǒng)IT基礎(chǔ)設(shè)施日記信息，規(guī)范日記信息格

式，實(shí)現(xiàn)海量日記數(shù)據(jù)的標(biāo)準(zhǔn)化集中存儲(chǔ)，同時(shí)保存日記信息的原始數(shù)據(jù)，規(guī)避

日記信息被非法刪除而帶來的安全事故處置工作無法追查取證的風(fēng)險(xiǎn)；加強(qiáng)海量

日記數(shù)據(jù)集中管理，特別歷史日記數(shù)據(jù)的管理。

＞系統(tǒng)運(yùn)營風(fēng)險(xiǎn)及時(shí)報(bào)警與報(bào)表管理

基于標(biāo)準(zhǔn)化的日記數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)信息系統(tǒng)IT基礎(chǔ)設(shè)施運(yùn)營

過程中存在的安全隱患，并根據(jù)策略進(jìn)行及時(shí)報(bào)警，為運(yùn)維人員積極保障系統(tǒng)安

全運(yùn)營工作提供有效的技術(shù)支撐；實(shí)現(xiàn)安全隱患的報(bào)表管理，更好地支持系統(tǒng)運(yùn)

營安全管理工作。

＞為貫徹有關(guān)信息安全管理規(guī)定提供技術(shù)支撐

運(yùn)用安全審計(jì)結(jié)果可以評(píng)估信息安全管理規(guī)定的貫徹情況，發(fā)現(xiàn)信息安全管

理辦法存在的問題，為完善信息安全管理辦法提供依據(jù)，連續(xù)改善，進(jìn)一步提高

安全管理水平。

＞規(guī)范信息系統(tǒng)日記信息管理。

根據(jù)日記管理工作現(xiàn)狀，提出信息系統(tǒng)日記信息管理規(guī)范，明確信息系統(tǒng)IT

基礎(chǔ)設(shè)施日記配置基本規(guī)定、日記內(nèi)容基本規(guī)定等，一方面保證日記審計(jì)系統(tǒng)建

設(shè)實(shí)現(xiàn)即定目的；另一方面指導(dǎo)此后信息化項(xiàng)目建設(shè)，完善信息安全管理制度體

系，進(jìn)一步提高安全管理水平。

＞實(shí)現(xiàn)對(duì)我行各業(yè)務(wù)系統(tǒng)主機(jī)、數(shù)據(jù)庫行為審計(jì)。

對(duì)各業(yè)務(wù)系統(tǒng)的主機(jī)、數(shù)據(jù)庫行為的審計(jì)，重要是在不影響業(yè)務(wù)系統(tǒng)正常運(yùn)

營的前提下，通過網(wǎng)絡(luò)鏡像流量的方式輔以獨(dú)立日記分析等其它方式對(duì)用戶行為

進(jìn)行隱蔽監(jiān)視，對(duì)用戶訪問業(yè)務(wù)系統(tǒng)的行為進(jìn)行審計(jì)，對(duì)用戶危險(xiǎn)行為進(jìn)行告警

并在必要時(shí)進(jìn)行阻斷，對(duì)事后發(fā)現(xiàn)的安全事件進(jìn)行會(huì)話回放，進(jìn)行網(wǎng)絡(luò)通訊取證。

5安全審計(jì)綜合管理平臺(tái)需求

5.1日記審計(jì)系統(tǒng)需求

5.1.1系統(tǒng)功能需求

5.1.1.1日記采集功能需求

＞采集范圍

日記審計(jì)系統(tǒng)需要對(duì)我行信息系統(tǒng)中的網(wǎng)絡(luò)沒備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、安

全系統(tǒng)及其他系統(tǒng)（如網(wǎng)絡(luò)管理系統(tǒng)、存儲(chǔ)設(shè)備等）進(jìn)行日記采集。

數(shù)據(jù)庫是我行數(shù)據(jù)管理的基礎(chǔ)，任何數(shù)據(jù)泄漏、篡改、刪除都會(huì)對(duì)稅務(wù)的

整體數(shù)據(jù)導(dǎo)致嚴(yán)重?fù)p失。數(shù)據(jù)庫審計(jì)是安全管理工作中的一個(gè)重要組成部分，通

過對(duì)數(shù)據(jù)庫的“信息活動(dòng)''實(shí)時(shí)地進(jìn)行監(jiān)測(cè)審計(jì)，使管理者對(duì)數(shù)據(jù)庫的“信息活動(dòng)”

一目了然，可以及時(shí)掌握數(shù)據(jù)庫服務(wù)器的應(yīng)用情況，及時(shí)發(fā)現(xiàn)客戶端的使用問題，

存在著哪些安全威脅或隱患并予以糾正，防止應(yīng)用安全事件的發(fā)生，即便發(fā)生了

也可以可以快速查證并追根尋源。雖然數(shù)據(jù)庫系統(tǒng)自身可以提供日記審計(jì)功能，

但是數(shù)據(jù)庫系統(tǒng)自身啟動(dòng)日記審計(jì)功能會(huì)帶給系統(tǒng)較大的承擔(dān)。為了保證數(shù)據(jù)庫

的性能、穩(wěn)定性，建議采用國內(nèi)已較為成熟的數(shù)據(jù)庫審計(jì)技術(shù)，通過在網(wǎng)絡(luò)部署

專門的旁路數(shù)據(jù)庫審片硬件設(shè)備，采用鏡像等方式獲取數(shù)據(jù)庫訪問的網(wǎng)絡(luò)報(bào)文流

量，實(shí)現(xiàn)針對(duì)各種數(shù)據(jù)庫用戶的操作命令級(jí)審計(jì)，從而隨時(shí)掌握數(shù)據(jù)庫的安全狀

況，及時(shí)發(fā)現(xiàn)和阻止各類數(shù)據(jù)操作違規(guī)事件或襲擊事件，避免數(shù)據(jù)的各類安全損

失，追查或打擊各類違規(guī)、違法行為，提高數(shù)據(jù)庫數(shù)據(jù)安全管理的水平。該采集

方式不會(huì)對(duì)數(shù)據(jù)庫的運(yùn)營、訪問產(chǎn)生任何影響，并且具有更強(qiáng)的實(shí)時(shí)性，是比較

抱負(fù)的數(shù)據(jù)庫日記審計(jì)的實(shí)現(xiàn)方式。

＞數(shù)據(jù)來源與內(nèi)容

數(shù)據(jù)來源：審計(jì)數(shù)據(jù)源需要涉及我行信息系統(tǒng)各組件的日記產(chǎn)生點(diǎn)，如主機(jī)

操作日記、操作系統(tǒng)日記、數(shù)據(jù)庫審計(jì)日記、FTP/WEB/NNTP/SMTP、安全設(shè)備

日記等。

數(shù)據(jù)內(nèi)容：異常信息在采集后必須進(jìn)行分類，例如可以符異常事件信息提成

泄密事件和安全運(yùn)營事件兩大類，以便于我行日記審計(jì)系統(tǒng)管理人員能快速對(duì)事

件進(jìn)行分析。

＞采集策略

采集策略需要涉及采集頻率、過濾、合并策略與信息傳輸策略。

支持根據(jù)采集對(duì)象的不同，可以設(shè)立實(shí)時(shí)采集、按秒、分鐘、小時(shí)等采集頻

率。

支持日記或事件進(jìn)行必要的過濾和合并，從而只采集有用的、需要關(guān)注的日

記和事件信息，屏蔽不需要關(guān)注的日記和事件信息。

通過預(yù)先設(shè)定好的日記信息傳輸策略，使采集到的信息可以根據(jù)網(wǎng)絡(luò)實(shí)際情

況有序地傳輸?shù)綌?shù)據(jù)庫服務(wù)器進(jìn)行入庫存儲(chǔ)，避免因日記信息瞬間激增而對(duì)網(wǎng)絡(luò)

帶寬資源的過度占用，同時(shí)保證信息傳輸?shù)男剩苊鈹帱c(diǎn)重傳。

＞采集監(jiān)控

系統(tǒng)可以監(jiān)控各采集點(diǎn)的日記傳輸狀態(tài)，當(dāng)有采集點(diǎn)無法正常發(fā)送日記信息

時(shí)，系統(tǒng)可以自動(dòng)進(jìn)行告警告知管理員進(jìn)行解決。

5.1.1.2日記格式標(biāo)準(zhǔn)化需求

根據(jù)日記格式標(biāo)準(zhǔn)，對(duì)系統(tǒng)采集的信息系統(tǒng)IT基礎(chǔ)設(shè)施日記信息進(jìn)行標(biāo)準(zhǔn)

化解決。

5.1.1.3日記集中存儲(chǔ)需求

我行日記審計(jì)系統(tǒng)將對(duì)300余個(gè)審計(jì)對(duì)象進(jìn)行日記審計(jì)，此系統(tǒng)需要具有海

量的數(shù)據(jù)存儲(chǔ)能力，其后臺(tái)數(shù)據(jù)庫需要采用穩(wěn)定以及先進(jìn)的公司級(jí)數(shù)據(jù)庫（如

DB2、MSSQLServer數(shù)據(jù)庫）；需要有合理的數(shù)據(jù)存儲(chǔ)管理策略；需要支持磁

盤陣列柜以及SAN、NAS等存儲(chǔ)方式。

5.1.1.4日記關(guān)聯(lián)分析需求

為了解決目前日益嚴(yán)重的復(fù)合型風(fēng)險(xiǎn)威脅，我行日記審計(jì)系統(tǒng)需要具有關(guān)聯(lián)

分析功能：將不同安全設(shè)備的響應(yīng)通過多種條件關(guān)聯(lián)起來，以便于管理員的分析

和解決。例如當(dāng)一個(gè)嚴(yán)重的事件或用戶行為發(fā)生后，從網(wǎng)絡(luò)層面、主機(jī)/服務(wù)器

層面、數(shù)據(jù)（庫）、安全層面到應(yīng)用層面也許都會(huì)有所反映（響應(yīng)），這時(shí)候?qū)?/p>

計(jì)系統(tǒng)將進(jìn)行數(shù)據(jù)挖掘，將上述多個(gè)層面、多個(gè)維度的事件或行為數(shù)據(jù)挖掘和抽

取、關(guān)聯(lián)，將關(guān)聯(lián)的結(jié)果呈現(xiàn)給使用者。

5.1.1.5安全事件報(bào)警需求

為了快速、準(zhǔn)擬定位安全事件來源，及時(shí)解決安全事件，我行日記審計(jì)系統(tǒng)

必須具有實(shí)時(shí)報(bào)警功能，報(bào)警方式應(yīng)當(dāng)多樣化，如實(shí)時(shí)屏幕顯示、電子郵件和短

信等。

5.1.1.6日記報(bào)表需求

我行日記審計(jì)系統(tǒng)的報(bào)表需要支持細(xì)粒度查詢，使管理人員可以快速對(duì)安全

事件進(jìn)行對(duì)的的分析，其查詢細(xì)粒度應(yīng)當(dāng)涉及關(guān)鍵字、時(shí)間段、源地址、目的地

孫、源端口、目的端口、設(shè)備類型、事件類型、特定審計(jì)對(duì)象等多個(gè)條件的組合

查詢，并支持模糊查詢。

5.1.2系統(tǒng)性能需求

目前我行日記審計(jì)系統(tǒng)需要審計(jì)300臺(tái)以上的設(shè)備，以一臺(tái)設(shè)備3000條/

小時(shí)，每條日記1KB為標(biāo)準(zhǔn)計(jì)算，300臺(tái)設(shè)備天天的總?cè)沼洍l數(shù)為2160萬條，

總?cè)沼浟考s為21G。

基于上述計(jì)算結(jié)果，結(jié)協(xié)議行業(yè)成功案例，建議系統(tǒng)性能如下：

解決能力支持安全事件與日記天天2千萬條以上；

支持120G以上的數(shù)據(jù)庫存儲(chǔ)；

支持的原始日記和事件的存儲(chǔ)容量可達(dá)成5億條；

提供對(duì)原始日記及審計(jì)結(jié)果的壓縮存儲(chǔ)，文獻(xiàn)存儲(chǔ)壓縮比一般不應(yīng)小于1：

10；

根據(jù)審計(jì)規(guī)定，原始信息及審計(jì)結(jié)果需保存6個(gè)月-1年，因此，需支持磁盤

陣列、NAS和SAN等多種存儲(chǔ)方式，存儲(chǔ)容量需達(dá)成7TB以上。

5.1.3系統(tǒng)安全需求

權(quán)限劃分需求：日記審計(jì)系統(tǒng)需要進(jìn)行管理權(quán)限的劃分，不同的管理員具有

不同的管理權(quán)限，例如管理配置權(quán)限與審計(jì)操作權(quán)限分離，系統(tǒng)中不允許出現(xiàn)超

級(jí)用戶權(quán)限。

登錄安全需求：日記審計(jì)系統(tǒng)在用戶登錄上需要強(qiáng)身份鑒別功能以及鑒別失

效解決機(jī)制。

傳輸安全需求：日記審計(jì)系統(tǒng)各個(gè)組件之間的通訊協(xié)議必須支持身份認(rèn)證與

傳輸加密，保證數(shù)據(jù)在傳輸過程中不被泄漏、篡改、刪除。

存儲(chǔ)安全需求：日記審計(jì)系統(tǒng)的后端數(shù)據(jù)庫必須采用安全可靠的大型數(shù)據(jù)

庫，數(shù)據(jù)庫的訪問以及對(duì)日記審計(jì)系統(tǒng)的操作都要通過嚴(yán)格的身份鑒別，并對(duì)操

作者的權(quán)限進(jìn)行嚴(yán)格劃分，保證數(shù)據(jù)存儲(chǔ)安全。

接口安全需求：日記審計(jì)系統(tǒng)各組件之間應(yīng)當(dāng)采用其廠商自身的，未公開并

且成熟可靠的協(xié)議進(jìn)行通信。日記審計(jì)平臺(tái)與其他系統(tǒng)（網(wǎng)絡(luò)設(shè)備、主機(jī)/服務(wù)

器、應(yīng)用系統(tǒng)、安全設(shè)備）的接口可采用標(biāo)準(zhǔn)的SNMP、Syslog等協(xié)議。

5.1.4系統(tǒng)接口需求

我行日記審計(jì)系統(tǒng)重要提供如下接口進(jìn)行日無采集：

1、Syslog方式，支持SYSLOG協(xié)議的設(shè)備，如：防火墻、UNIX服務(wù)器等；

2、ODBC/JDBC方式，支持?jǐn)?shù)據(jù)庫聯(lián)接的設(shè)備；

3、SNMPTrap方式，支持SNMP協(xié)議的設(shè)備，如：互換機(jī)、路由器、網(wǎng)路

安全設(shè)備等；

4、XML方式，支持HTTP協(xié)議的設(shè)備；

5、EventLog方式，支持Windows平臺(tái)；

6、特定接口方式，對(duì)于不支持通用協(xié)議的設(shè)備，需要定制開發(fā)，如：某網(wǎng)

閘隔離系統(tǒng)；

7、其他廠商內(nèi)部專用協(xié)議。

通過標(biāo)準(zhǔn)的接口，可以采集到網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)的

各種類型日記：包含登陸信息、登陸認(rèn)證失敗信息、應(yīng)用程序啟動(dòng)信息、進(jìn)程改

變信息、違反防火墻規(guī)則的網(wǎng)絡(luò)行為、IDS檢測(cè)到的所有入侵事件和IDS自身生

成的各種日記等。

日記信息的采集可以根據(jù)我行信息系統(tǒng)的現(xiàn)實(shí)情況進(jìn)行實(shí)時(shí)傳輸或者定期

傳輸。

5.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)系統(tǒng)需求

5.2.1審計(jì)功能需求

■安全審計(jì)鐐略

系統(tǒng)應(yīng)允許使用者可以針對(duì)訪問者、被保護(hù)對(duì)象、操作行為，訪問源，事

件類型等特性等制定具體的安全審計(jì)策略。策略制定方式應(yīng)簡(jiǎn)樸靈活，既可以

制定適應(yīng)于批量對(duì)象的公共策略，也可以制定合屈于單個(gè)被保護(hù)對(duì)象的具體策

略。系統(tǒng)應(yīng)提供行為所有記錄的默認(rèn)審計(jì)策略。審計(jì)記錄應(yīng)當(dāng)反映出用戶的登

錄身份，登錄操作時(shí)使用的主機(jī)或數(shù)據(jù)庫賬號(hào)信息。在建設(shè)身份認(rèn)證和訪問控

制功能后，可以嚴(yán)禁或允許用戶使用某個(gè)主機(jī)或數(shù)據(jù)庫賬號(hào)進(jìn)行登錄和操作。

審計(jì)記錄應(yīng)當(dāng)反映出用戶的登錄身份，登錄操作時(shí)使用的主機(jī)、網(wǎng)絡(luò)設(shè)備

或數(shù)據(jù)庫賬號(hào)信息。

■事件實(shí)時(shí)審計(jì)、告警、命令控制

能靈活配置實(shí)時(shí)安全審計(jì)控制策略和預(yù)警參數(shù)，實(shí)時(shí)發(fā)現(xiàn)可疑操作（如操

作系統(tǒng)rm命令、數(shù)據(jù)庫drop、delete命令等），實(shí)時(shí)發(fā)出告警信息（向控制

臺(tái)發(fā)出告警信息、向管理員郵箱發(fā)送告警電子郵件、向管理員手機(jī)發(fā)出告警短

消息、通過SNMP命令向日記審計(jì)系統(tǒng)、網(wǎng)管系統(tǒng)發(fā)出告警等）。

■行為審計(jì)功能

根據(jù)制定的安全審計(jì)策略，系統(tǒng)應(yīng)對(duì)訪問者訪問被保護(hù)對(duì)象的操作交互過

程進(jìn)行記錄，并允許選擇記錄整個(gè)操作過程的上行、下行數(shù)據(jù)。系統(tǒng)應(yīng)可以將

審計(jì)記錄重組為會(huì)話的能力。單個(gè)會(huì)話的所有操作行為應(yīng)可以進(jìn)行回放。

每一條審計(jì)記錄應(yīng)至少提供操作時(shí)間、訪問者的身份信息、IP地址、被保

護(hù)對(duì)象（主機(jī)名稱、IP地址等）、操作內(nèi)容、系統(tǒng)返回內(nèi)容。

審計(jì)記錄結(jié)果要實(shí)現(xiàn)集中存儲(chǔ)、集中管理、奠中展現(xiàn)。

■事件查詢功能

系統(tǒng)需要提供豐富的查詢界面，可以通過數(shù)據(jù)庫事件查詢、Telnet事件查

詢、Ftp事件查詢、事件會(huì)話關(guān)聯(lián)查詢、告警查詢等不同的維度查詢結(jié)果。并

支持導(dǎo)出報(bào)表。

■審計(jì)信息的存儲(chǔ)

審計(jì)信息規(guī)定安全存儲(chǔ)，分級(jí)別進(jìn)行管理，普通管理員無法修改刪除。用

戶登錄認(rèn)證及操作日記規(guī)定安全存儲(chǔ)，普通管理員無法修改刪除。

系統(tǒng)應(yīng)當(dāng)提供靈活的審計(jì)信息存儲(chǔ)策略，以應(yīng)對(duì)大規(guī)模審計(jì)存儲(chǔ)的規(guī)定；

可以根據(jù)用戶登錄身份、使用的主機(jī)或數(shù)據(jù)庫賬號(hào)來制定審計(jì)信息存儲(chǔ)策略。

■反復(fù)事件歸并

通過配置歸并規(guī)則，系統(tǒng)可以對(duì)大批量的反復(fù)事件做統(tǒng)一歸并，并記錄歸

并次數(shù)。

■權(quán)限管理

系統(tǒng)需要分管理員和審計(jì)員權(quán)限，審計(jì)員只能審計(jì)授權(quán)審計(jì)的系統(tǒng)的審計(jì)

信息。

5.2.2報(bào)表功能需求

■查詢功能

系統(tǒng)用戶應(yīng)可按照時(shí)間段、訪問者、主機(jī)或數(shù)據(jù)庫賬號(hào)、被保護(hù)對(duì)象、行

為方式、行為特性等關(guān)鍵字進(jìn)行精確或模糊匹配查詢。

操作人員根據(jù)查詢結(jié)果可以關(guān)聯(lián)查看整個(gè)會(huì)話的內(nèi)容。

■記錄報(bào)表功能

系統(tǒng)應(yīng)提供完整的報(bào)表系統(tǒng)。系統(tǒng)應(yīng)按照訪問者、被保護(hù)對(duì)象、行為方式、

操作內(nèi)容（例如數(shù)據(jù)庫表名稱）等生成記錄報(bào)表，并按照規(guī)定添加、修改報(bào)表

數(shù)量、格式及內(nèi)容，以滿足安全審計(jì)的規(guī)定。

5.2.3審計(jì)對(duì)象及兼容性支持

應(yīng)當(dāng)涉及（但不限于）:Telnet,ftp,SQL等應(yīng)用。

操作系統(tǒng)支持：Unix,HP-UNIX.Solaris

數(shù)據(jù)庫支持：Oracle,DB2,Infomix,Mysql,Sqlserver

應(yīng)保證無漏掉等現(xiàn)象發(fā)生。

5.2.4系統(tǒng)性能

＞系統(tǒng)應(yīng)滿足大數(shù)據(jù)量的審計(jì)規(guī)定。滿足千兆骨干網(wǎng)絡(luò)審計(jì)規(guī)定，無丟包、漏

包現(xiàn)象發(fā)生；

＞系統(tǒng)應(yīng)提供良好的查詢能力；

＞系統(tǒng)應(yīng)至少滿足1年的審計(jì)數(shù)據(jù)在線存儲(chǔ)的需求，并提供相應(yīng)的離線備份機(jī)

制，對(duì)于超過在線存儲(chǔ)時(shí)限的審計(jì)數(shù)據(jù)應(yīng)提供導(dǎo)入導(dǎo)出的機(jī)制。

5.2.5審計(jì)完整性

系統(tǒng)應(yīng)能實(shí)現(xiàn)對(duì)所有訪問者通過審計(jì)途徑對(duì)現(xiàn)網(wǎng)內(nèi)被保護(hù)對(duì)象的遠(yuǎn)程訪

問行為的審計(jì)，無漏掉、錯(cuò)報(bào)等現(xiàn)象的發(fā)生。

6安全審計(jì)綜合管理平臺(tái)要設(shè)方案

6.1日記審計(jì)系統(tǒng)建設(shè)方案

6.1.1日記管理建議

基于我行日記審計(jì)系統(tǒng)的建設(shè)目的，需要對(duì)我行信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、主

機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、安全系統(tǒng)等進(jìn)行日記采集，各采集對(duì)象的設(shè)備系統(tǒng)類型、采

集的日記內(nèi)容、采集方式及采集頻率說明如下：

審計(jì)具體審計(jì)需求描述日記內(nèi)容涉及擬采用的采集采集頻率

內(nèi)容方式

帳戶登錄注Agent方式；通過日記安

操作

/Solaris銷、帳號(hào)權(quán)限針對(duì)UNIX全審計(jì)中心

系統(tǒng)

/AIX變更、操作系SYSLOG日記設(shè)立采集頻

/Linux統(tǒng)啟動(dòng)關(guān)閉、可通過syslog率策略，建

/HP-UNIXshell操作日方式發(fā)送議1分鐘采

記、SYSIOG集一次

日記。

/Windows2023帳戶登錄注Agent方式通過日記安

server銷、帳號(hào)權(quán)限全審計(jì)中心

/Windows2023變更、操作系設(shè)立采集頻

server統(tǒng)啟動(dòng)關(guān)閉、率策略，建

應(yīng)用程序運(yùn)營議1分鐘采

狀態(tài)、系統(tǒng)文集一次

獻(xiàn)和文獻(xiàn)屬性

修改等

/防火墻用戶登錄、修Syslog、SNMP在安全設(shè)備

安全

改配置、收集Trap方式采集上配置日記

設(shè)備

到的襲擊日記傳輸頻率，

等等建議1分鐘

采集一次

/互換機(jī)用戶登錄、修Syslog、SNMP在網(wǎng)絡(luò)設(shè)備

網(wǎng)絡(luò)

/路由器等改配置等Trap方式采集上配置日記

設(shè)備

（CISCO,華為、華三傳輸頻率，

等）。建議1分鐘

采集一次

用戶登錄、注通過部署旁路通過日記安

數(shù)據(jù)

/ORACLE銷、數(shù)據(jù)查詢、數(shù)據(jù)庫審計(jì)硬全審計(jì)中心

庫

/SQLSERVER插入、數(shù)據(jù)修件設(shè)備，采用鏡設(shè)立數(shù)據(jù)庫

/DB2改、數(shù)據(jù)刪除、像等方式獲取審計(jì)日記采

/SYBASE修改配置等。數(shù)據(jù)庫訪問的集頻率策

/Informix網(wǎng)絡(luò)報(bào)文流量，略，建議1

從而實(shí)現(xiàn)針對(duì)分鐘采集一

各種數(shù)據(jù)庫用次

戶的操作命令

級(jí)審計(jì)。該采集

方式不會(huì)對(duì)數(shù)

據(jù)庫的運(yùn)營、訪

問產(chǎn)生影響

Webserver、Email用戶登錄、修Agent方式、通過日記安

應(yīng)用

server.Domino等應(yīng)用改配置、應(yīng)用Syslog、SNMP全審計(jì)中心

系統(tǒng)

系統(tǒng)；在實(shí)際項(xiàng)目中，層的操作等Trap、設(shè)立數(shù)據(jù)庫

還需要收集業(yè)務(wù)系統(tǒng)日ODBC/JDBC方審計(jì)日記采

記。式集頻率策

Webserver重要涉及：略，建議1

/WebSphere分鐘采集一

/Apache次

/WebLogic

/MicrosoftIIS等

6.1.2日記審計(jì)系統(tǒng)整體架構(gòu)

我行日記審計(jì)系統(tǒng)整體架構(gòu)圖如下:

網(wǎng)絡(luò)設(shè)備電日

綜

日

合

主機(jī)操作系統(tǒng)口④志

顯

采

集

應(yīng)用系統(tǒng)~~QQ示

中

中

心

心

安全系統(tǒng)

日志存儲(chǔ)中心

So

系統(tǒng)管理中心

整體架構(gòu)圖說明：我行日記審計(jì)系統(tǒng)為軟件架構(gòu)，由采集服務(wù)器、管理服務(wù)

器、數(shù)據(jù)庫服務(wù)器三大部分組成。對(duì)被審計(jì)對(duì)象進(jìn)行必要的設(shè)立或安裝采集代理,

即可實(shí)現(xiàn)對(duì)整個(gè)系統(tǒng)的綜合審計(jì)；我行日記審計(jì)系統(tǒng)采用

Browser/Server/DataBase三層架構(gòu)，管理人員無需安裝任何客戶端即可登錄到日

記審計(jì)系統(tǒng)進(jìn)行審計(jì)管理操作。

我行日記審計(jì)系統(tǒng)功能結(jié)構(gòu)圖如下：

審計(jì)中心

配置管理系統(tǒng)監(jiān)控

策

事

分

升

用

略

件

級(jí)

級(jí)

戶

管

管

管

管

管

理

理

理

理

理

數(shù)據(jù)關(guān)聯(lián)分析

^03^［數(shù)據(jù)壓縮

數(shù)據(jù)分析處理

數(shù)據(jù)標(biāo)準(zhǔn)化

9合海校蚓數(shù)據(jù)完雌校蛉

嬲睬集日志采集引擎篇十

SNMPTrap/Syslog/FILE/SOCKET/ODBC/......

------------(：----------—"-----'—\--------------------------

審計(jì)對(duì)象網(wǎng)絡(luò)設(shè)備安全設(shè)備操作系統(tǒng)應(yīng)用系統(tǒng)數(shù)據(jù)庫

功能結(jié)構(gòu)圖說明：我行日記審計(jì)系統(tǒng)將涉及日記采集、日記存儲(chǔ)、日記分析、

系統(tǒng)管理、綜合顯示等功能模塊，這些功能模塊將有效滿足我行針對(duì)日記審計(jì)系

統(tǒng)各種功能需求。

6.1.3日記采集實(shí)現(xiàn)方式

6.1.3.1系統(tǒng)支持的標(biāo)準(zhǔn)接口和協(xié)議

1、Syslog方式，支持SYSLOG協(xié)議的設(shè)備，如：防火墻、UNIX服務(wù)器等;

2、ODBC/JDBC方式，支持?jǐn)?shù)據(jù)庫聯(lián)接的設(shè)備；

3、SNMPTrap方式，支持SNMP協(xié)議的設(shè)各，如：互換機(jī)、路由器、網(wǎng)路

安全設(shè)備等；

4、XML方式，支持HTTP協(xié)議的設(shè)備；

5、EventLog方式，支持Windows平臺(tái)；

6、特定接口方式，對(duì)于不支持通用協(xié)議的設(shè)備，需要定制開發(fā)，如：某網(wǎng)

閘隔離系統(tǒng)。

7、其他廠商內(nèi)部專用協(xié)議。

Syslog和SNMPTrap方式作為最常見、傳統(tǒng)的方式，被大部分設(shè)備廠商和

日記審計(jì)系統(tǒng)所采用，建議我行采用這兩種方式進(jìn)行日記采集。

Syslog和SNMPTr叩方式作為最成熟的網(wǎng)絡(luò)協(xié)議，已經(jīng)廣泛應(yīng)用在網(wǎng)絡(luò)設(shè)

備、安全設(shè)備等設(shè)備之上，用來傳輸各種日記信息，對(duì)系統(tǒng)自身影響很小。

8、數(shù)據(jù)庫日記審計(jì)

數(shù)據(jù)庫自身日記功能啟動(dòng)情況下，可通過ODBC方式收集數(shù)據(jù)庫日記，但

是在數(shù)據(jù)庫日記量較大的情況下，數(shù)據(jù)庫系統(tǒng)自身啟動(dòng)日記審計(jì)功能會(huì)帶紿系統(tǒng)

較大的承擔(dān)，不建議采用該方式收集數(shù)據(jù)庫日記。

為了保證數(shù)據(jù)庫的性能、穩(wěn)定性，建議采用國內(nèi)已較為成熟的數(shù)據(jù)庫審計(jì)技

術(shù)，通過在網(wǎng)絡(luò)部署專門的旁路數(shù)據(jù)庫審計(jì)硬件設(shè)備，采用鏡像等方式獲取數(shù)據(jù)

庫訪問的網(wǎng)絡(luò)報(bào)文流量，實(shí)現(xiàn)針對(duì)各種數(shù)據(jù)庫用戶的操作命令級(jí)審計(jì)。該采集方

式不會(huì)對(duì)數(shù)據(jù)庫的運(yùn)營、訪問產(chǎn)生任何影響，并且具有更強(qiáng)的實(shí)時(shí)性，是比較抱

負(fù)的數(shù)據(jù)庫日記審計(jì)的實(shí)現(xiàn)方式。

6.1.3.2采集對(duì)象日記采集實(shí)現(xiàn)方式

采集對(duì)象需支持通過安裝審計(jì)代理程序或修改系統(tǒng)配置來進(jìn)行日記的采集，

通過日記收集策略定制來啟動(dòng)與關(guān)閉各系統(tǒng)的日記采集功能及擬定應(yīng)采集的日

記的種類。

為了保證被監(jiān)控系統(tǒng)的保密性，原則上被監(jiān)控系統(tǒng)要積極向日記審計(jì)系統(tǒng)發(fā)

送自身生成的日記信息，日記審計(jì)系統(tǒng)盡也許的不積極訪問被監(jiān)控對(duì)象。

6.1.4日記標(biāo)準(zhǔn)化實(shí)現(xiàn)方式

由于日記采集模塊收集到多種類型的日記，而這些日記定義的格式和內(nèi)容

不盡相同，日記標(biāo)準(zhǔn)化將不同的數(shù)據(jù)格式轉(zhuǎn)換成標(biāo)準(zhǔn)的數(shù)據(jù)格式并存儲(chǔ)，為上層

應(yīng)用提供數(shù)據(jù)支持。

由于不同的設(shè)備，對(duì)事件的嚴(yán)重限度定義及側(cè)重點(diǎn)不盡相同，不利于根據(jù)統(tǒng)

一的安全策略進(jìn)行解決。日記標(biāo)準(zhǔn)化將按照日記來源類型、事件類別、事件級(jí)別

等也許的條件及條件的組合對(duì)事件嚴(yán)重級(jí)別進(jìn)行重定義，便于日記分析模塊的分

析解決。

下面是日記信息標(biāo)準(zhǔn)化規(guī)定：

日記事件信息的標(biāo)準(zhǔn)化字段涉及事件編號(hào)信息（此字段信息應(yīng)全局唯一，作

為標(biāo)記事件的主鍵）、事件名稱、事件原始時(shí)間、事件采集時(shí)間、事件內(nèi)容、事

件類型、事件源地址、事件目的地址、事件源端口、事件目的端口、事件原始級(jí)

別、事件標(biāo)準(zhǔn)化后的級(jí)別、事件采集來源、事件涉及協(xié)議、會(huì)話信息等。

我行日記審計(jì)系統(tǒng)對(duì)于此后新增長(zhǎng)的被審計(jì)對(duì)象（如新增的應(yīng)用系統(tǒng)），將

使用標(biāo)準(zhǔn)的Syslog或SNMP協(xié)議作為其日記形式和接口，并協(xié)調(diào)日記審計(jì)系統(tǒng)

廠商與新系統(tǒng)廠商提供技術(shù)方面的支持。

新增的被審計(jì)對(duì)象，必須能滿足如下條件：

I）提供標(biāo)準(zhǔn)的Syslog或SNMP接口；

2）被審計(jì)對(duì)象需要提供具體的日記信息，涉及：登陸信息、狀態(tài)信息、依

據(jù)自身業(yè)務(wù)邏輯產(chǎn)生的數(shù)據(jù)等；

3）日記事件信息的標(biāo)準(zhǔn)化字段涉及事件編號(hào)信息（此字段信息應(yīng)全局唯一,

作為標(biāo)記事件的主鍵）、事件名稱、事件原始時(shí)間、事件采集時(shí)間、事件內(nèi)容、

事件類型、事件源地址、事件目的地址、事件源端口、事件目的端口、事件原始

級(jí)別、事件標(biāo)準(zhǔn)化后的級(jí)別、事件采集來源、事件涉及協(xié)議、會(huì)話信息等；

4）假如是應(yīng)用系死日記，應(yīng)當(dāng)包含用戶信息，對(duì)于應(yīng)用系統(tǒng)日記其級(jí)別的

定義變得極其重要；

5）提供設(shè)備所能產(chǎn)生的所有類型的日記樣本；

6）提供所有日記類型中的字段的說明（特別是數(shù)值與相應(yīng)內(nèi)容的對(duì)照表）

以及相應(yīng)文檔；

6.1.5日記存儲(chǔ)實(shí)現(xiàn)方式

我行日記審計(jì)系統(tǒng)將采用DB2或MSSQLServer數(shù)據(jù)庫作為日記審計(jì)系統(tǒng)

的在線存儲(chǔ)方式，根據(jù)審計(jì)規(guī)定，原始信息及審計(jì)結(jié)果需提供壓縮存儲(chǔ)，文獻(xiàn)存

儲(chǔ)壓縮比一般不應(yīng)小于1:10;并保存6個(gè)月1年以上，系統(tǒng)需支持磁盤陣列柜

以及SAN、NAS等存儲(chǔ)方式，存儲(chǔ)容量需達(dá)成7TB以上。

除了在線存儲(chǔ)方式外還將支持磁帶機(jī)作為離境存儲(chǔ)備份方式，離線數(shù)據(jù)可以

通過導(dǎo)入到當(dāng)前庫不同的表中進(jìn)行查詢和分析，以避免對(duì)當(dāng)前數(shù)據(jù)導(dǎo)致不利的影

響。

6.1.6日記關(guān)聯(lián)分析

我行日記審計(jì)系統(tǒng)將提供多種關(guān)聯(lián)分析方法，涉及：相同源IP的事件關(guān)聯(lián)

分析、相同目的IP的事件關(guān)聯(lián)分析、相同事件類型的關(guān)聯(lián)分析以及基于規(guī)則的

事件關(guān)聯(lián)分析、記錄關(guān)聯(lián)分析和漏洞關(guān)聯(lián)分析（需要采用脆弱性模塊）。通過關(guān)

聯(lián)分析可以更加準(zhǔn)確地定義和定位安全事件。

相同源IP的事件關(guān)聯(lián)分析：通常用于對(duì)主機(jī)終端的活動(dòng)進(jìn)行分析審計(jì)，它

把相同源IP地址所產(chǎn)生的事件按照時(shí)間順序一一列出，幫助管理人員對(duì)該IP地

址所進(jìn)行的各項(xiàng)操作行為進(jìn)行分析和審計(jì)，從而對(duì)其操作行為的目的性進(jìn)行分

析。

相同目的IP的事件關(guān)聯(lián)分析：通常用于對(duì)服務(wù)器被訪問和操作的活動(dòng)進(jìn)行

分析和審計(jì)，它把相同目的IP地址所產(chǎn)生的事件按照時(shí)間順序一一列出，幫助

管理人員對(duì)該IP地址被訪問的活動(dòng)進(jìn)行分析和審計(jì)，從而發(fā)現(xiàn)內(nèi)部人員對(duì)服務(wù)

器所進(jìn)行非授權(quán)或可疑的操作。

相同事件類型的事件關(guān)聯(lián)分析：通常用于對(duì)特定事件的影響范圍進(jìn)行分析，

它把所發(fā)生的相同事件類型的按照時(shí)間順序一一列出，幫助管理人員對(duì)事件的波

及面進(jìn)行分析和審計(jì)。

基于規(guī)則的事件關(guān)聯(lián)分析：是把各種安全事件按照時(shí)間的先后序列與時(shí)間間

隔進(jìn)行檢測(cè)，判斷事件之間的互相關(guān)系是否符合預(yù)定義的規(guī)則，從而觸發(fā)分析總

結(jié)出來的關(guān)聯(lián)分析后事件。

記錄關(guān)聯(lián)分析：是用戶通過定義一定期間內(nèi)發(fā)生的符合條件的事件量達(dá)成規(guī)

定量，從而觸發(fā)關(guān)聯(lián)事件。

所有可以發(fā)送日記信息的IT基礎(chǔ)設(shè)施都可以做關(guān)聯(lián)分析，通過關(guān)聯(lián)分析可

以及時(shí)發(fā)現(xiàn)IT基礎(chǔ)設(shè)施潛在風(fēng)險(xiǎn)。

6.1.7安全事件報(bào)警

我行日記審計(jì)系統(tǒng)將提供實(shí)時(shí)屏幕顯示、電子郵件、工作任務(wù)單、入庫（和

短信）等報(bào)警方式；可以調(diào)整實(shí)時(shí)報(bào)警的排序方式；可以定義實(shí)時(shí)報(bào)警的顯示內(nèi)

容，顯示內(nèi)容涉及：

?發(fā)生的時(shí)間

?來源

?事件類型

?主體

?描述和結(jié)果（成功、失敗或待驗(yàn)證等）；

可以調(diào)整實(shí)時(shí)報(bào)警策略，并且顯示的內(nèi)容與當(dāng)前用戶的管理角色相關(guān)聯(lián)。可

提供事件的上報(bào)機(jī)制，通過策略的設(shè)立明確哪些類型（如泄密事件、安全運(yùn)營事

件）、哪些等級(jí)（高、中高、中、中低、低等級(jí)以上）的安全事件需要隨時(shí)上報(bào)。

6.1.8日記報(bào)表

我行R記審計(jì)系統(tǒng)可提供的報(bào)表涉及以下種類：

＞事件信息報(bào)表

提供事件分布報(bào)表，按照不同事件類別提供各類事件的趨勢(shì)報(bào)表。

＞綜合分析與預(yù)警報(bào)表

綜合安全風(fēng)險(xiǎn)分析的報(bào)表，提供風(fēng)險(xiǎn)查詢報(bào)表，可以根據(jù)資產(chǎn)、域、趨勢(shì)等

進(jìn)行分類輸出，涉及分析數(shù)據(jù)分布范圍、受影響的系統(tǒng)、也許的嚴(yán)重限度等。

》響應(yīng)過程報(bào)表

提供響應(yīng)模塊發(fā)生的響應(yīng)事件的記錄報(bào)表，按照響應(yīng)事件的緊急限度、響應(yīng)

對(duì)象、響應(yīng)人員分類列表。

＞綜合顯示報(bào)表

提供綜合顯示模塊的實(shí)時(shí)截屏報(bào)表，涉及列表顯示報(bào)表輸出、拓?fù)浒踩畔?/p>

報(bào)表輸出、電子地圖安全信息報(bào)表輸出。

＞平臺(tái)自身日記報(bào)表

提供平臺(tái)自身日記的報(bào)表，包含訪問人、訪問次數(shù)、訪問時(shí)間等。

可以按照審計(jì)對(duì)象展現(xiàn)日記信息。

報(bào)表輸出格式可轉(zhuǎn)換為PDF、HTML、RTF、CSV等多種常用的標(biāo)準(zhǔn)格式，我

行用戶可自定義報(bào)表。

6.1.9系統(tǒng)管理

我行日記審計(jì)系統(tǒng)設(shè)有用戶管理員、系統(tǒng)管理員、安全管理員和安全審計(jì)員

四種操作和管理角色，每種操作管理角色中又可安排多個(gè)操作管理用戶，在系統(tǒng)

中不存在超級(jí)用戶。通過角色的劃分并給予角色相應(yīng)的授權(quán)實(shí)現(xiàn)了系統(tǒng)管理員、

安全管理員和安全審計(jì)員的三權(quán)分立。

用戶管理員權(quán)限：用戶管理員負(fù)責(zé)對(duì)用戶、用戶組進(jìn)行管理，涉及建立、維

護(hù)和刪除用戶組，并將用戶分派到相應(yīng)的用戶組中。用戶管理員不參與綜合審計(jì)

系統(tǒng)的各項(xiàng)具體操作。

系統(tǒng)管理員權(quán)限：系統(tǒng)管理員負(fù)責(zé)設(shè)定各個(gè)用戶組的管理和操作權(quán)限，涉及

管理區(qū)域范圍、管理的設(shè)備和對(duì)象、各項(xiàng)管理功能（如策略制定、關(guān)聯(lián)分析、審

計(jì)查詢、審計(jì)報(bào)表、數(shù)據(jù)備份等）的操作權(quán)限等，權(quán)限控制分為“完全控制”、

“讀取”、“寫入”、“更改”、“刪除”幾類。系統(tǒng)管理員不參與綜合審計(jì)系

統(tǒng)的各項(xiàng)具體操作。

安全管理員權(quán)限：安全管理員負(fù)責(zé)在權(quán)限許可的范圍內(nèi)運(yùn)用日記審計(jì)系統(tǒng)開

展各項(xiàng)安全審計(jì)和管理操作。安全管理員的操作進(jìn)行通過系統(tǒng)審計(jì)日記記錄下

來，以備審計(jì)管理員西安全管理員的各項(xiàng)管理操作進(jìn)行審計(jì)。

安全審計(jì)員權(quán)限：審計(jì)管理員僅具有對(duì)用戶管理員、系統(tǒng)管理員、安全管理

員所從事的各項(xiàng)安全管理操作進(jìn)行審計(jì)的權(quán)限，涉及用戶登錄注銷、新增、修改、

刪除用戶或用戶組等功能。

6.1.10系統(tǒng)接口規(guī)范

我行日記審計(jì)系統(tǒng)的接口規(guī)范為標(biāo)準(zhǔn)協(xié)議：Syslog、SNMPo被監(jiān)控對(duì)象通

過Syslog、SNMP協(xié)議積極把自身的日記信息發(fā)送到日記審計(jì)系統(tǒng)。

日記審計(jì)系統(tǒng)要咫外提供如下接口：

WindowsEventLog：可以通過該接口采集Windows主機(jī)的日記信息。

Syslog：通過該接口可以采集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)等日記信息。

SNMP：通過該接口可以采集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)等日記信息。

OPSEC：通過該接口可以采集nokia、checkpoint的日記信息。

XML：通過該接口可以采集漏洞掃描系統(tǒng)的掃描結(jié)果。

ODBC：通過該接口可以采集數(shù)據(jù)庫的日記信息。

讀文獻(xiàn)：通過該接口可以采集ftp、DNS等應(yīng)用系統(tǒng)的日記信息。

日記審計(jì)系統(tǒng)自身會(huì)有簡(jiǎn)樸的資產(chǎn)管理功能，假如我行沒有與現(xiàn)有資產(chǎn)管理

系統(tǒng)進(jìn)行數(shù)據(jù)同步的規(guī)定，不需要和現(xiàn)有的資產(chǎn)管理系統(tǒng)進(jìn)行整合。假如規(guī)定做

到和現(xiàn)有的資產(chǎn)管理系統(tǒng)整合，需要通過定制開發(fā)實(shí)現(xiàn)。

與第三方的資產(chǎn)管理系統(tǒng)進(jìn)行整合需要定制開發(fā)。

6.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)系統(tǒng)建設(shè)方案

6.2.1數(shù)據(jù)庫和網(wǎng)絡(luò)行為綜合審計(jì)

6.2.1.1實(shí)時(shí)記錄

監(jiān)控管理人員可以通過實(shí)時(shí)記錄功能清楚地看到網(wǎng)內(nèi)部告警事件、活動(dòng)會(huì)話

(ActiveSession),以及對(duì)被保護(hù)對(duì)象的訪問情況。

實(shí)時(shí)記錄功能可以記錄最近5分鐘的數(shù)據(jù)，及時(shí)地反映出網(wǎng)絡(luò)內(nèi)部的動(dòng)態(tài)。

在實(shí)時(shí)記錄中，用戶可以實(shí)時(shí)的查看當(dāng)前活動(dòng)對(duì)象、當(dāng)前活動(dòng)會(huì)話等的事件

列表。用戶點(diǎn)擊某個(gè)活動(dòng)會(huì)話，即可看到當(dāng)前會(huì)話中用戶登錄、操作、注銷指令

執(zhí)行及其返回結(jié)果的全過程。

6.2.1.2事件查詢

事件查詢?yōu)橛脩籼峁┝藲v史事件查詢的手段。用戶可以指定復(fù)雜的查詢條

件，快速檢索到需要的事件信息，從而協(xié)助管理員進(jìn)行計(jì)算機(jī)取證分析，收集外

部訪問或者內(nèi)部違規(guī)的證據(jù)。

事件查詢細(xì)分為綜合事件查詢，數(shù)據(jù)庫事件查詢，主機(jī)事件查詢，F(xiàn)tp事件

查詢。針對(duì)不同類別的查詢，系統(tǒng)精心地為用戶提供了不同的查詢條件組合，方

便用戶找到自己需要的信息。

用戶可以指定的查詢條件涉及：審計(jì)類型、事件接受時(shí)間、事件等級(jí)、源地

址、目的地址、用戶名、策略名、會(huì)話ID(SessionlD)等。

6.2.1.3趨勢(shì)分析

可以進(jìn)行事件訪問的趨勢(shì)分析，對(duì)最近一段時(shí)間的事件進(jìn)行記錄分析，并描

繪趨勢(shì)曲線。這樣，系統(tǒng)監(jiān)控管理員可以清楚的看到最近一段時(shí)間內(nèi)部的的事件

走向，并且可以清楚地看到敏感時(shí)間內(nèi)什么人對(duì)什么樣的保護(hù)對(duì)象進(jìn)行過訪問，

以及訪問了保護(hù)對(duì)象的什么資源。針對(duì)不同的審計(jì)類型，產(chǎn)品提供不同的趨勢(shì)分

析，系統(tǒng)監(jiān)控人員可以根據(jù)需要查看不同的趨勢(shì)分析。

6.2.2審計(jì)策略

審計(jì)策略是為審計(jì)功能服務(wù)的，它為系統(tǒng)提供數(shù)據(jù)包采集引擎所需的策略配

置，對(duì)通過引擎的數(shù)據(jù)包進(jìn)行基于審計(jì)策略的過濾，將符合審計(jì)策略的數(shù)據(jù)包提

取出來、產(chǎn)生安全事件，然后再對(duì)安全事件進(jìn)行審計(jì)分析。同時(shí)，審計(jì)策略也決

定了審計(jì)的顆粒度，用戶可以通過對(duì)審計(jì)策略的沒定來決定審計(jì)的各種細(xì)節(jié)。

系統(tǒng)可以根據(jù)用戶規(guī)定自由組織審計(jì)策略，提供便捷的添加、修改、刪除、

導(dǎo)入、導(dǎo)出、啟用和禁用等功能?？梢詫⑨槍?duì)同一業(yè)務(wù)的不同方面的審計(jì)策略選

項(xiàng)集中到一條審計(jì)策略中進(jìn)行配置，這樣用戶無需切換頁面和進(jìn)行復(fù)雜的選項(xiàng)配

置，簡(jiǎn)化了用戶操作，同時(shí)并未減少需要配置的審計(jì)對(duì)象的元素。在策略配置中，

用戶可以從各類協(xié)議中提取出公共部分進(jìn)行統(tǒng)一配置，各類協(xié)議的私有部分再根

據(jù)不同的細(xì)節(jié)進(jìn)行相應(yīng)的配置，從而避免了反復(fù)配置，減輕了用戶的審計(jì)配置工

作量。

策略配置內(nèi)容:

審計(jì)類行為采集響應(yīng)

型

主機(jī)1.登錄1.所有：審計(jì)所有內(nèi)容1.記錄

2.注銷2.訪問文獻(xiàn)名稱關(guān)鍵字過濾2.阻斷

3一般操作

數(shù)據(jù)庫1.用戶行為1.所有：審計(jì)所有內(nèi)容1.記錄

2.數(shù)據(jù)定義2、關(guān)鍵字過濾（可以細(xì)化到2.阻斷

3.數(shù)據(jù)操作庫、表、記錄、用戶、存儲(chǔ)過

4.數(shù)據(jù)控制程、函數(shù)等）

5.其他

FTP1.登錄1.所有1.記錄

2.注銷2、文獻(xiàn)/目錄名稱關(guān)鍵字過濾2.阻斷

3一般操作

6.2.3審計(jì)內(nèi)容

6.2.3.1主機(jī)審計(jì)

主機(jī)審計(jì)功能可審計(jì)VNC、Telnet.網(wǎng)上鄰居和定制的主機(jī)協(xié)議的登錄、注

銷和一般操作等行為。

用戶可以在業(yè)務(wù)綜合審計(jì)中單獨(dú)查看主機(jī)審計(jì)的實(shí)時(shí)記錄信息和趨勢(shì)分析；

可以定義專門的主機(jī)審計(jì)策略；可