銀行安全審計(jì)管理現(xiàn)狀

1、某銀行安全審計(jì)綜合治理平臺(tái)建設(shè)方案V.2二九年三月目 錄 C 1-3hz HYPERLINK N:整理后l1背景 PAGEREFTo28260107 h HYPERIK l _Tc22860108 2安全審計(jì)治理現(xiàn)狀PGEREF _oc22860108 h6 HPERINK l_Toc228260109 2.1安全審計(jì)差不多概念PAGREF _Toc8260109h HYPERLIK l _Tc286011022 總行金融信息治理中心安全審計(jì)治理現(xiàn)狀PAGR Toc286011h9 HYPERIN l_Tc22826011 21日志審計(jì) PAGEF_To22826011 h HYPELNK l

2、Tc228201122.22數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)PAGREF _Toc2226012 1 ELINK l_oc220113 2.3 我行安全審計(jì)治理方法制定現(xiàn)狀 AERF _Toc22826011h 11HYPERLINK N:整理后l4 安全審計(jì)產(chǎn)品及應(yīng)用現(xiàn)狀 PEEF_Toc228260114h 13HYPERLINK N:整理后l3安全審計(jì)必要性AGRE _Toc2820115 13HYPERLINK N:整理后安全審計(jì)綜合治理平臺(tái)建設(shè)目標(biāo)PAGEREF _Toc282011 1HYPERLINK N:整理后l5安全審計(jì)綜合治理平臺(tái)需求 PAGEREF_Toc2286017h 6HYPERL

3、INK N:整理后5.1日志審計(jì)系統(tǒng)需求PAGEREF _Toc260118 h16HYPERLINK N:整理后51.1系統(tǒng)功能需求PAEREF Toc2820119 h 16HYPERLINK N:整理后5.1.2 系統(tǒng)性能需求 PAERETo2226010h HYPERLINK l oc2826121.1. 系統(tǒng)安全需求 PAEE _oc22826011 20HYPERLINK N:整理后 l _Tc2826012514系統(tǒng)接口需求 PAEREF _Toc22826012 HYERN l c28260 5.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)系統(tǒng)需求 PGEREF _Toc22826023 h22HYER

4、LNKl_o282024 5.審計(jì)功能需求 AERE_Tc228260124 22HYPERLINK N:整理后5.報(bào)表功能需求 PAGEREF Tc28260125 h 23HYPERLINK N:整理后.2.審計(jì)對(duì)象及兼容性支持 PAGREF_o8260126 h 24 HYERLINK l _To286017 5.2.4系統(tǒng)性能 REF Toc2826127 h 24 HPEINl _Toc2826012 525審計(jì)完整性 PAGEEF oc28260128h2 YPELIK l _Toc2226012 6安全審計(jì)綜合治理平臺(tái)建設(shè)方案 PAGERF oc286019 2HYPERLINK

5、 N:整理后6.1日志審計(jì)系統(tǒng)建設(shè)方案 PAEEF Toc228260130 5 ELINK l _Toc2260131 6.1.1 日志治理建議 PREF _Toc2826031 2 HYPERI l _Toc28260132 6.2 日志審計(jì)系統(tǒng)整體架構(gòu) PAGEREF _Toc2820132 h 26HPRLINK l _Tc228203 6.1.3 日志采集實(shí)現(xiàn)方式R _To282013 h 28HYPERLINK N:整理后l6.1. 日志標(biāo)準(zhǔn)化實(shí)現(xiàn)方式PAGEREF_Toc226134 h 30 YPERLIN l _oc2826035 615 日志存儲(chǔ)實(shí)現(xiàn)方式 PAEEF_Toc

6、22826135 31HYPERLINK N:整理后l.1.6 日志關(guān)聯(lián)分析 EE _Toc28203h 2HYPERLINK N:整理后.1.7安全事件報(bào)警PAGERF _c226013 h 3HYPERLINK N:整理后61.8 日志報(bào)表 PAGEREF _To2826018 h 34 YPERI lTc22826019 6.1.9系統(tǒng)治理GERE _T2209 35 HYERLIN l Toc826014 610 系統(tǒng)接口規(guī)范PGEREF _oc260140 h3 HYPERLIN l _Toc11 6.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)系統(tǒng)建設(shè)方案 PAGERF _Toc222601 YPRIN l

7、 _Toc22826014 6.2.1數(shù)據(jù)庫和網(wǎng)絡(luò)行為綜合審計(jì) AGEREF _Tc2820142 h 7 HYERLINK l Tc28260143 6.2.2審計(jì)策略 PAGEF _Tc8643 3HYPERLINK N:整理后l.2.3審計(jì)內(nèi)容 PGEFTo2821443HYPERINK l _Toc2220145 6.2.告警與響應(yīng)治理 AGERFc228601 h 2HYPERLINK N:整理后2.5報(bào)表治理 PAGEREF _Tc282614 h HPERLINKl To2820147 7系統(tǒng)部署方案 PAGRF _Tc2282604 3 YPERLINK l _22820148

8、 . 安全審計(jì)綜合治理平臺(tái)系統(tǒng)部署方案 PAGEEF _Toc286048h 43HYPERLINK N:整理后.2系統(tǒng)部署環(huán)境要求 PGERF Toc2226014h 44HYPERLINK N:整理后 l _Toc22826507.2.1日志審計(jì)系統(tǒng) GEE _oc228260150 h 4HYPERLINK N:整理后l.2.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)系統(tǒng)PGERF_Toc22260151 45HYPERLINK N:整理后l.3 系統(tǒng)實(shí)施建議PAGEREFoc2601 h 5 HYPERLINKl Toc22826017.4二次開發(fā)AGEREF _Tc286013h 461背景近年來,XX銀行

9、信息化建設(shè)得到快速進(jìn)展,央行履行金融調(diào)控、金融穩(wěn)定、金融市場(chǎng)和金融服務(wù)職能高度依靠于信息技術(shù)應(yīng)用,信息安全問題的全局性阻礙作用日益增強(qiáng)。目前，X銀行信息安全保障體系中安全系統(tǒng)建設(shè)差不多達(dá)到了一定的水平。建設(shè)了非法外聯(lián)監(jiān)控治理系統(tǒng)、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)及補(bǔ)丁分發(fā)系統(tǒng),為客戶端安全治理、網(wǎng)絡(luò)安全治理和系統(tǒng)安全治理提供了技術(shù)支撐手段，有效提高了安全治理水平;完成制定金融業(yè)星型網(wǎng)間互聯(lián)安全規(guī)范金融業(yè)行業(yè)標(biāo)準(zhǔn),完善內(nèi)聯(lián)網(wǎng)外聯(lián)防火墻系統(tǒng),確保XX銀行網(wǎng)絡(luò)邊界安全；制定并下發(fā)銀行計(jì)算機(jī)機(jī)房規(guī)范化工作指引，規(guī)范和加強(qiáng)機(jī)房環(huán)境安全治理。信息安全審計(jì)技術(shù)是實(shí)現(xiàn)信息安全整個(gè)過程中關(guān)鍵記錄信息的監(jiān)控

10、統(tǒng)計(jì)，是信息安全保障體系中不可缺少的一部分。隨著電子政務(wù)、電子商務(wù)以及各類網(wǎng)上應(yīng)用的開展得到了普遍關(guān)注,同時(shí)在越來越多的大型網(wǎng)絡(luò)系統(tǒng)中差不多成功應(yīng)用并發(fā)揮著重要作用，特不針對(duì)安全事故分析、追蹤起到了關(guān)鍵性作用。傳統(tǒng)的安全審計(jì)系統(tǒng)局限于對(duì)主機(jī)的操作系統(tǒng)日志的收集和簡單分析，缺乏關(guān)于多種平臺(tái)下（Windos系列、Unix系列、Soris等)、多種網(wǎng)絡(luò)設(shè)備、重要服務(wù)器系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)綜合的安全審計(jì)功能。隨著網(wǎng)絡(luò)規(guī)模的迅速擴(kuò)大,單一式的安全審計(jì)技術(shù)逐步被分布式安全審計(jì)技術(shù)所代替，加上各類應(yīng)用系統(tǒng)逐步增多,網(wǎng)絡(luò)治理人員/運(yùn)維人職員作量往往會(huì)成倍增加,使得關(guān)鍵信息得不到重點(diǎn)關(guān)注。大量事實(shí)表明,

11、關(guān)于安全事件發(fā)生或關(guān)鍵數(shù)據(jù)遭到嚴(yán)峻破壞之前完全能夠預(yù)先通過日志異常行為告警方式通知治理人員，及時(shí)進(jìn)行分析并采取相應(yīng)措施進(jìn)行有效阻止,從而大大降低安全事件的發(fā)生率。目前我行信息安全保障工作尚未有效開展安全審計(jì)工作,缺少事后審計(jì)的技術(shù)支撐手段。當(dāng)前,信息安全審計(jì)作為保障信息系統(tǒng)安全的制度逐漸進(jìn)展起來；并已在對(duì)信息系統(tǒng)依靠性最高的金融業(yè)開始普及。信息安全審計(jì)的相關(guān)標(biāo)準(zhǔn)包括IS/IEC1779、CSO、OI、ITIL、NISSP80等。這些標(biāo)準(zhǔn)從不同角度提出信息安全操縱體系，能夠有效地操縱信息安全風(fēng)險(xiǎn)。同時(shí),公安部公布的信息系統(tǒng)安全等級(jí)愛護(hù)技術(shù)要求中對(duì)安全審計(jì)提出明確的技術(shù)要求:審計(jì)范圍覆蓋網(wǎng)絡(luò)設(shè)備、

12、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng),審計(jì)內(nèi)容包括各網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、系統(tǒng)資源的異常使用、重要用戶行為和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。為進(jìn)一步完善信息安全保障體系,2009年立項(xiàng)建設(shè)安全審計(jì)系統(tǒng),不斷提高安全治理水平。2安全審計(jì)治理現(xiàn)狀2.1安全審計(jì)差不多概念信息安全審計(jì)是企業(yè)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險(xiǎn)操縱等的不可或缺的關(guān)鍵手段。信息安全審計(jì)能夠?yàn)榘踩卫韱T提供一組可進(jìn)行分析的治理數(shù)據(jù)，以發(fā)覺在何處發(fā)生了違反安全方案的事件。利用安全審計(jì)結(jié)果，可調(diào)整安全策略,堵住出現(xiàn)的漏洞。美國信息系統(tǒng)審計(jì)的權(quán)威專家RonWeber又將它定義為收集并評(píng)估證據(jù)以決定一個(gè)計(jì)算機(jī)系統(tǒng)是否有效做到愛護(hù)資產(chǎn)、維護(hù)

13、數(shù)據(jù)完整、完成目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源。依照在信息系統(tǒng)中需要進(jìn)行安全審計(jì)的對(duì)象與內(nèi)容，要緊分為日志審計(jì)、網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)。下面分不講明如下：日志審計(jì):日志能夠作為責(zé)任認(rèn)定的依據(jù)，也可作為系統(tǒng)運(yùn)行記錄集，對(duì)分析系統(tǒng)運(yùn)行情況、排除故障、提高效率都發(fā)揮重要作用。日志審計(jì)是安全審計(jì)針對(duì)信息系統(tǒng)整體安全狀態(tài)監(jiān)測(cè)的基礎(chǔ)技術(shù),要緊通過對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫的集中日志采集、集中存儲(chǔ)和關(guān)聯(lián)分析，關(guān)心治理員及時(shí)發(fā)覺信息系統(tǒng)的安全事件,同時(shí)當(dāng)遇到專門安全事件和系統(tǒng)故障時(shí),確保日志存在和不被篡改,關(guān)心用戶快速定位追查取證。大量事實(shí)表明,關(guān)于安全事件發(fā)生或關(guān)鍵數(shù)據(jù)遭到嚴(yán)峻破壞之前完全能夠預(yù)

14、先通過日志審計(jì)進(jìn)行分析、告警并及時(shí)采取相應(yīng)措施進(jìn)行有效阻止,從而大大降低安全事件的發(fā)生率。數(shù)據(jù)庫審計(jì)：要緊負(fù)責(zé)對(duì)數(shù)據(jù)庫的各種訪問操作進(jìn)行監(jiān)控；是安全審計(jì)對(duì)數(shù)據(jù)庫進(jìn)行審計(jì)技術(shù)。它采納專門的硬件審計(jì)引擎，通過旁路部署采納鏡像等方式獵取數(shù)據(jù)庫訪問的網(wǎng)絡(luò)報(bào)文流量,實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)庫的所有訪問操作（如：插入、刪除、更新、用戶自定義操作等），還原SQL操作命令包括源IP地址、目的IP地址、訪問時(shí)刻、用戶名、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫表名、字段名等,發(fā)覺各種違規(guī)數(shù)據(jù)庫操作行為，及時(shí)報(bào)警響應(yīng)、全過程操作還原,從而實(shí)現(xiàn)安全事件的準(zhǔn)確全程跟蹤定位，全面保障數(shù)據(jù)庫系統(tǒng)安全。該采集方式可不能對(duì)數(shù)據(jù)庫的運(yùn)行、訪問產(chǎn)生任何

15、阻礙,而且具有更強(qiáng)的實(shí)時(shí)性,是比較理想的數(shù)據(jù)庫日志審計(jì)的實(shí)現(xiàn)方式。網(wǎng)絡(luò)審計(jì)：要緊負(fù)責(zé)網(wǎng)絡(luò)內(nèi)容與行為的審計(jì)；是安全審計(jì)對(duì)網(wǎng)絡(luò)通信的基礎(chǔ)審計(jì)技術(shù)。它采納專門的網(wǎng)絡(luò)審計(jì)硬件引擎，安裝在網(wǎng)絡(luò)通信系統(tǒng)的數(shù)據(jù)匯聚點(diǎn)，通過旁路抓取網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行典型協(xié)議分析、識(shí)不、推斷和記錄，Tele、TT、Eml、FTP、網(wǎng)上談天、文件共享、流量等的檢測(cè)分析等。 主機(jī)審計(jì)：要緊負(fù)責(zé)對(duì)網(wǎng)絡(luò)重要區(qū)域的客戶機(jī)上的各種上網(wǎng)行為、文件拷貝/打印操作、通過Modem擅自連接外網(wǎng)等進(jìn)行審計(jì)。目前我行信息安全系統(tǒng)尚未有效開展安全審計(jì)工作,由于缺少對(duì)各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫的集中日志采集、集中存儲(chǔ)和關(guān)聯(lián)分析等事后審計(jì)

16、、追查取證的技術(shù)支撐手段,以至無法在遇到專門安全事件和系統(tǒng)故障時(shí)確保日志存在和不被篡改，同時(shí)對(duì)主機(jī)和數(shù)據(jù)庫的操作行為也沒有審計(jì)和治理的手段,不同有效對(duì)操作行為進(jìn)行審計(jì)，防止誤操作和惡意行為的發(fā)生,因此我行迫切需要盡快建設(shè)安全審計(jì)系統(tǒng)(包括日志審計(jì)、數(shù)據(jù)庫審計(jì)、網(wǎng)絡(luò)審計(jì)）,確保我行信息系統(tǒng)安全。22 我行金融信息治理中心安全審計(jì)治理現(xiàn)狀2.21日志審計(jì)作為數(shù)據(jù)中心的運(yùn)維部門，負(fù)責(zé)運(yùn)維內(nèi)聯(lián)網(wǎng)總行局域網(wǎng)、總行機(jī)關(guān)辦公自動(dòng)化系統(tǒng)及貨幣發(fā)行信息治理系統(tǒng)、國庫信息處理系統(tǒng)等重要業(yè)務(wù)系統(tǒng)，保障信息系統(tǒng)T基礎(chǔ)設(shè)施的安全運(yùn)行。為更好地制定日志審計(jì)系統(tǒng)建設(shè)方案,開展了金融信息治理中心日志治理現(xiàn)狀調(diào)研工作,調(diào)研內(nèi)容

17、包括設(shè)備系統(tǒng)配置哪些日志信息、日志信息包括哪些屬性、日志采集所支持的協(xié)議接口、日志存儲(chǔ)方式及日志治理現(xiàn)狀，金融信息治理中心日志治理現(xiàn)狀調(diào)查表詳見附件。通過分析日志治理現(xiàn)狀調(diào)查表，將有關(guān)情況講明如下：一、日志內(nèi)容。網(wǎng)絡(luò)設(shè)備(包括交換機(jī)和路由器)、安全設(shè)備（包括防火墻、入侵檢測(cè)設(shè)備、防病毒治理系統(tǒng)和補(bǔ)丁分發(fā)系統(tǒng))、辦公自動(dòng)化系統(tǒng)和重要業(yè)務(wù)系統(tǒng)均配置一定的日志信息,其中每類設(shè)備具有一定的日志配置規(guī)范，應(yīng)用系統(tǒng)（辦公自動(dòng)化系統(tǒng)和重要業(yè)務(wù)系統(tǒng))的日志內(nèi)容差異較大,數(shù)據(jù)庫和中間件僅配置“進(jìn)程是否正?！钡娜罩拘畔ⅰ６?、日志格式。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備依照廠商的不同，其日志格式也不同，無統(tǒng)一的日志格式；應(yīng)用系

18、統(tǒng)依照系統(tǒng)平臺(tái)的不同,其日志格式也不同，無統(tǒng)一的日志格式。三、日志采集協(xié)議/接口。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備支持SN Trap和Syl協(xié)議，應(yīng)用系統(tǒng)要緊支持TCP/IP協(xié)議,個(gè)不應(yīng)用系統(tǒng)自定義了日志采集方式。四、日志存儲(chǔ)方式。網(wǎng)絡(luò)設(shè)備和部分安全設(shè)備日志信息集中存儲(chǔ)在日志服務(wù)器中,其他設(shè)備/系統(tǒng)日志均存儲(chǔ)在本地主機(jī)上。日志信息以文本文件、關(guān)系型數(shù)據(jù)庫文件、ino數(shù)據(jù)庫文件和XM文件等方式進(jìn)行存儲(chǔ)。五、日志治理方式。要緊為分散治理,且無日志治理規(guī)范。在系統(tǒng)/設(shè)備出現(xiàn)故障時(shí)，日志信息是定位故障，解決故障的要緊依據(jù)。據(jù)了解,為加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行情況的監(jiān)控，金融信息治理中心通過采集交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備

19、的日志信息,實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備日志信息的集中治理,及時(shí)發(fā)覺網(wǎng)絡(luò)設(shè)備運(yùn)行中出現(xiàn)的問題。通過上述現(xiàn)狀的分析,目前日志治理存在如下問題：1、不同系統(tǒng)/設(shè)備的日志信息分散存儲(chǔ)，日志信息被非法刪除,導(dǎo)致安全事故處置工作無法追查取證。2、在系統(tǒng)發(fā)生故障后,才去通過日志信息定位故障,導(dǎo)致系統(tǒng)安全運(yùn)行工作存在一定的被動(dòng)性,應(yīng)主動(dòng)地在日志信息中及時(shí)發(fā)覺系統(tǒng)運(yùn)行存在的隱患，提高系統(tǒng)運(yùn)行安全治理水平。3、隨著我行信息化工作的不斷深入，系統(tǒng)運(yùn)維工作壓力的不斷加大，如不及時(shí)規(guī)范日志信息治理，信管中心將逐步面臨運(yùn)維的設(shè)備多、人員少的問題，不能及時(shí)準(zhǔn)確把握運(yùn)維工作的重點(diǎn)。在目前日志信息治理基礎(chǔ)上,若簡單加強(qiáng)日志信息治理,仍存在如

20、下問題：1、通過系統(tǒng)/設(shè)備各自的操縱臺(tái)去查看事件,窗口繁多,而且所有的事件差不多上孤立的，不同系統(tǒng)設(shè)備之間的事件缺乏關(guān)聯(lián)，分析起來極為苦惱,無法弄清晰真實(shí)的狀況。2、不同系統(tǒng)/設(shè)備對(duì)同一個(gè)事件的描述可能是不同的，治理人員需了解各系統(tǒng)設(shè)備,分析各種不同格式的信息，導(dǎo)致治理人員的工作特不繁重，效率低。、海量日志信息不但無法關(guān)心找出真正的問題，反而因?yàn)樘喽斐蔁o法治理,同時(shí)不同系統(tǒng)設(shè)備可能產(chǎn)生不同的日志信息格式,無法做到快速識(shí)不和響應(yīng)。2.數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)目前我行沒有實(shí)現(xiàn)對(duì)數(shù)據(jù)庫操作和網(wǎng)絡(luò)操作行為的審計(jì)。對(duì)系統(tǒng)的后臺(tái)操作人員的遠(yuǎn)程登錄主機(jī)、數(shù)據(jù)庫的操作行為無法進(jìn)行記錄、審計(jì),難以防止系統(tǒng)濫用、泄密

21、等問題的發(fā)生。2 我行安全審計(jì)治理方法制定現(xiàn)狀在銀行信息安全治理規(guī)定提出如下安全審計(jì)要求:第一百三十九條各單位科技部門在支持與配合內(nèi)審部門開展審計(jì)信息安全工作的同時(shí),應(yīng)適時(shí)開展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行治理和信息安全事件全過程的技術(shù)審計(jì),發(fā)覺問題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)。第一百四十條各單位應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫治理系統(tǒng)等審計(jì)功能配置治理,應(yīng)完整保留相關(guān)日志記錄,一般保留至少一個(gè)月，涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)依照需要確定保留時(shí)刻。在銀行信息系統(tǒng)安全配置指引數(shù)據(jù)庫分冊(cè)提出如下安全審計(jì)要求：應(yīng)配置審計(jì)日志，并定期查看、清理日志。審計(jì)內(nèi)容包括創(chuàng)建、修改或刪除數(shù)據(jù)庫帳戶、數(shù)據(jù)庫對(duì)象、數(shù)據(jù)庫

22、表、數(shù)據(jù)庫索引的行為；同意或者撤銷審計(jì)功能的行為;授予或者取消數(shù)據(jù)庫系統(tǒng)級(jí)不權(quán)限的行為；任何因?yàn)閰⒖紝?duì)象不存在而引的錯(cuò)誤信息；任何改變數(shù)據(jù)庫對(duì)象名稱的動(dòng)作；任何對(duì)數(shù)據(jù)庫Diciona或者數(shù)據(jù)庫系統(tǒng)配置的改變；所有數(shù)據(jù)庫連接失敗的記錄；所有DBA的數(shù)據(jù)庫連接記錄；所有數(shù)據(jù)庫用戶帳戶升級(jí)和刪除操作的審計(jì)跟蹤信息。審計(jì)數(shù)據(jù)應(yīng)被保存為分析程序或者腳下本可讀的格式，時(shí)刻期限是一年。所有刪除審計(jì)數(shù)據(jù)的操作,都應(yīng)在動(dòng)態(tài)查帳索引中保留記錄。只有BA或者安全審核員有權(quán)限選擇、添加、刪除或者修改、停用審計(jì)信息。上述安全審計(jì)治理要求為開展日志審計(jì)系統(tǒng)建設(shè)提供了制度保障。24 安全審計(jì)產(chǎn)品及應(yīng)用現(xiàn)狀目前市場(chǎng)上安全審計(jì)

23、產(chǎn)品按審計(jì)類型也有專門多產(chǎn)品,日志審計(jì)以SIM類產(chǎn)品為主,也叫安全信息和事件治理（SIE),是安全治理領(lǐng)域進(jìn)展的方向。SI是一個(gè)全面的、面向IT計(jì)算環(huán)境的安全集中治理平臺(tái)，那個(gè)平臺(tái)能夠收集來自計(jì)算環(huán)境中各種設(shè)備和應(yīng)用的安全日志和事件，并進(jìn)行存儲(chǔ)、監(jiān)控、分析、報(bào)警、響應(yīng)和報(bào)告,變過去被動(dòng)的單點(diǎn)防備為全網(wǎng)的綜合防備。由于日志審計(jì)對(duì)安全廠商的技術(shù)開發(fā)能力有較高要求，國內(nèi)一些較有實(shí)力的安全廠商能夠提供較為成熟的日志審計(jì)產(chǎn)品。目前,日志審計(jì)產(chǎn)品已在政府、運(yùn)營商、金融、民航等行業(yè)廣泛成功應(yīng)用。針對(duì)數(shù)據(jù)庫和網(wǎng)絡(luò)行為審計(jì)產(chǎn)品，國內(nèi)也有多個(gè)廠家有比較成熟的產(chǎn)品，在專門多行業(yè)都有應(yīng)用。3安全審計(jì)必要性通過安全審計(jì)

24、系統(tǒng)建設(shè),落實(shí)信息系統(tǒng)安全等級(jí)愛護(hù)差不多技術(shù)和治理要求中有關(guān)安全審計(jì)操縱點(diǎn)及日志和事件存儲(chǔ)的要求,積存信息系統(tǒng)安全等級(jí)愛護(hù)工作經(jīng)驗(yàn)。通過綜合安全審計(jì)平臺(tái)的建設(shè)，進(jìn)一步完善我行信息安全保障體系,改變事中及事后安全基礎(chǔ)設(shè)施建設(shè)較弱的現(xiàn)狀;為信息安全治理規(guī)定落實(shí)情況檢查提供技術(shù)支撐手段,不斷完善信息安全治理方法，提高信息安全治理水平；通過綜合安全審計(jì)平臺(tái),實(shí)現(xiàn)信息系統(tǒng)IT基礎(chǔ)設(shè)施日志信息的集中治理,全面掌握T基礎(chǔ)設(shè)施運(yùn)行過程中出現(xiàn)的隱患,通過安全事件報(bào)警和日志報(bào)表的方式,在運(yùn)維人員有限的條件下，有效地把握運(yùn)維工作的重點(diǎn)，進(jìn)一步增強(qiáng)系統(tǒng)安全運(yùn)維工作的主動(dòng)性,更好地保障系統(tǒng)的正常運(yùn)行。同時(shí),有效規(guī)避日志

25、信息分散存儲(chǔ)存在的非法刪除風(fēng)險(xiǎn),確保安全事故處置的取證工作。通過綜合安全審計(jì)平臺(tái)的建設(shè)，規(guī)范我行安全審計(jì)治理工作，指導(dǎo)今后信息化項(xiàng)目建設(shè)，系統(tǒng)也為安全審計(jì)治理規(guī)范的實(shí)現(xiàn)提供了有效的技術(shù)支撐平臺(tái)。安全審計(jì)綜合治理平臺(tái)建設(shè)目標(biāo)依照總行金融信息治理中心日志治理工作現(xiàn)狀及存在的問題，結(jié)合日志審計(jì)系統(tǒng)建成后的預(yù)期收益，現(xiàn)將系統(tǒng)建設(shè)目標(biāo)講明如下：海量日志數(shù)據(jù)的標(biāo)準(zhǔn)化集中治理。依照即定采集策略，采集信息系統(tǒng)IT基礎(chǔ)設(shè)施日志信息,規(guī)范日志信息格式，實(shí)現(xiàn)海量日志數(shù)據(jù)的標(biāo)準(zhǔn)化集中存儲(chǔ),同時(shí)保存日志信息的原始數(shù)據(jù)，規(guī)避日志信息被非法刪除而帶來的安全事故處置工作無法追查取證的風(fēng)險(xiǎn);加強(qiáng)海量日志數(shù)據(jù)集中治理，特不歷史日

26、志數(shù)據(jù)的治理。系統(tǒng)運(yùn)行風(fēng)險(xiǎn)及時(shí)報(bào)警與報(bào)表治理基于標(biāo)準(zhǔn)化的日志數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，及時(shí)發(fā)覺信息系統(tǒng)I基礎(chǔ)設(shè)施運(yùn)行過程中存在的安全隱患，并依照策略進(jìn)行及時(shí)報(bào)警,為運(yùn)維人員主動(dòng)保障系統(tǒng)安全運(yùn)行工作提供有效的技術(shù)支撐;實(shí)現(xiàn)安全隱患的報(bào)表治理，更好地支持系統(tǒng)運(yùn)行安全治理工作。為落實(shí)有關(guān)信息安全治理規(guī)定提供技術(shù)支撐利用安全審計(jì)結(jié)果能夠評(píng)估信息安全治理規(guī)定的落實(shí)情況，發(fā)覺信息安全治理方法存在的問題,為完善信息安全治理方法提供依據(jù),持續(xù)改進(jìn),進(jìn)一步提高安全治理水平。規(guī)范信息系統(tǒng)日志信息治理。依照日志治理工作現(xiàn)狀，提出信息系統(tǒng)日志信息治理規(guī)范，明確信息系統(tǒng)IT基礎(chǔ)設(shè)施日志配置差不多要求、日志內(nèi)容差不多要求等，一方

27、面確保日志審計(jì)系統(tǒng)建設(shè)實(shí)現(xiàn)即定目標(biāo);另一方面指導(dǎo)今后信息化項(xiàng)目建設(shè),完善信息安全治理制度體系,進(jìn)一步提高安全治理水平。實(shí)現(xiàn)對(duì)我行各業(yè)務(wù)系統(tǒng)主機(jī)、數(shù)據(jù)庫行為審計(jì)。對(duì)各業(yè)務(wù)系統(tǒng)的主機(jī)、數(shù)據(jù)庫行為的審計(jì),要緊是在不阻礙業(yè)務(wù)系統(tǒng)正常運(yùn)行的前提下,通過網(wǎng)絡(luò)鏡像流量的方式輔以獨(dú)立日志分析等其它方式對(duì)用戶行為進(jìn)行隱蔽監(jiān)視，對(duì)用戶訪問業(yè)務(wù)系統(tǒng)的行為進(jìn)行審計(jì)，對(duì)用戶危險(xiǎn)行為進(jìn)行告警并在必要時(shí)進(jìn)行阻斷,對(duì)事后發(fā)覺的安全事件進(jìn)行會(huì)話回放,進(jìn)行網(wǎng)絡(luò)通訊取證。安全審計(jì)綜合治理平臺(tái)需求.日志審計(jì)系統(tǒng)需求11系統(tǒng)功能需求51.1日志采集功能需求采集范圍日志審計(jì)系統(tǒng)需要對(duì)我行信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、安全系統(tǒng)

28、及其他系統(tǒng)(如網(wǎng)絡(luò)治理系統(tǒng)、存儲(chǔ)設(shè)備等）進(jìn)行日志采集。數(shù)據(jù)庫是我行數(shù)據(jù)治理的基礎(chǔ)，任何數(shù)據(jù)泄漏、篡改、刪除都會(huì)對(duì)稅務(wù)的整體數(shù)據(jù)造成嚴(yán)峻損失。數(shù)據(jù)庫審計(jì)是安全治理工作中的一個(gè)重要組成部分,通過對(duì)數(shù)據(jù)庫的“信息活動(dòng)”實(shí)時(shí)地進(jìn)行監(jiān)測(cè)審計(jì),使治理者對(duì)數(shù)據(jù)庫的“信息活動(dòng)”一目了然,能夠及時(shí)掌握數(shù)據(jù)庫服務(wù)器的應(yīng)用情況,及時(shí)發(fā)覺客戶端的使用問題，存在著哪些安全威脅或隱患并予以糾正，預(yù)防應(yīng)用安全事件的發(fā)生，即便發(fā)生了也能夠能夠快速查證并追根尋源。盡管數(shù)據(jù)庫系統(tǒng)本身能夠提供日志審計(jì)功能,然而數(shù)據(jù)庫系統(tǒng)自身開啟日志審計(jì)功能會(huì)帶給系統(tǒng)較大的負(fù)擔(dān)。為了保證數(shù)據(jù)庫的性能、穩(wěn)定性,建議采納國內(nèi)已較為成熟的數(shù)據(jù)庫審計(jì)技術(shù)，

29、通過在網(wǎng)絡(luò)部署專門的旁路數(shù)據(jù)庫審計(jì)硬件設(shè)備,采納鏡像等方式獵取數(shù)據(jù)庫訪問的網(wǎng)絡(luò)報(bào)文流量,實(shí)現(xiàn)針對(duì)各種數(shù)據(jù)庫用戶的操作命令級(jí)審計(jì)，從而隨時(shí)掌握數(shù)據(jù)庫的安全狀況,及時(shí)發(fā)覺和阻止各類數(shù)據(jù)操作違規(guī)事件或攻擊事件，幸免數(shù)據(jù)的各類安全損失，追查或打擊各類違規(guī)、違法行為,提高數(shù)據(jù)庫數(shù)據(jù)安全治理的水平。該采集方式可不能對(duì)數(shù)據(jù)庫的運(yùn)行、訪問產(chǎn)生任何阻礙，而且具有更強(qiáng)的實(shí)時(shí)性，是比較理想的數(shù)據(jù)庫日志審計(jì)的實(shí)現(xiàn)方式。數(shù)據(jù)來源與內(nèi)容數(shù)據(jù)來源:審計(jì)數(shù)據(jù)源需要包括我行信息系統(tǒng)各組件的日志產(chǎn)生點(diǎn)，如主機(jī)操作日志、操作系統(tǒng)日志、數(shù)據(jù)庫審計(jì)日志、FTBNTP/SMTP、安全設(shè)備日志等。數(shù)據(jù)內(nèi)容:異常信息在采集后必須進(jìn)行分類,例

30、如能夠?qū)惓Ｊ录畔⒎殖尚姑苁录桶踩\(yùn)行事件兩大類，以便于我行日志審計(jì)系統(tǒng)治理人員能快速對(duì)事件進(jìn)行分析。采集策略采集策略需要包括采集頻率、過濾、合并策略與信息傳輸策略。支持依照采集對(duì)象的不同,能夠設(shè)置實(shí)時(shí)采集、按秒、分鐘、小時(shí)等采集頻率。支持日志或事件進(jìn)行必要的過濾和合并，從而只采集有用的、需要關(guān)注的日志和事件信息，屏蔽不需要關(guān)注的日志和事件信息。通過預(yù)先設(shè)定好的日志信息傳輸策略，使采集到的信息能夠依照網(wǎng)絡(luò)實(shí)際情況有序地傳輸?shù)綌?shù)據(jù)庫服務(wù)器進(jìn)行入庫存儲(chǔ),幸免因日志信息瞬間激增而對(duì)網(wǎng)絡(luò)帶寬資源的過度占用,同時(shí)保證信息傳輸?shù)男?，幸免斷點(diǎn)重傳。采集監(jiān)控系統(tǒng)能夠監(jiān)控各采集點(diǎn)的日志傳輸狀態(tài),當(dāng)有采集點(diǎn)

31、無法正常發(fā)送日志信息時(shí),系統(tǒng)能夠自動(dòng)進(jìn)行告警通知治理員進(jìn)行處理。5.日志格式標(biāo)準(zhǔn)化需求依照日志格式標(biāo)準(zhǔn),對(duì)系統(tǒng)采集的信息系統(tǒng)IT基礎(chǔ)設(shè)施日志信息進(jìn)行標(biāo)準(zhǔn)化處理。5.1日志集中存儲(chǔ)需求我行日志審計(jì)系統(tǒng)將對(duì)300余個(gè)審計(jì)對(duì)象進(jìn)行日志審計(jì),此系統(tǒng)需要具有海量的數(shù)據(jù)存儲(chǔ)能力,其后臺(tái)數(shù)據(jù)庫需要采納穩(wěn)定以及先進(jìn)的企業(yè)級(jí)數(shù)據(jù)庫(如DB2、S SQL erer數(shù)據(jù)庫)；需要有合理的數(shù)據(jù)存儲(chǔ)治理策略；需要支持磁盤陣列柜以及SAN、NAS等存儲(chǔ)方式。.1.1.4日志關(guān)聯(lián)分析需求為了解決目前日益嚴(yán)峻的復(fù)合型風(fēng)險(xiǎn)威脅,我行日志審計(jì)系統(tǒng)需要具有關(guān)聯(lián)分析功能:將不同安全設(shè)備的響應(yīng)通過多種條件關(guān)聯(lián)起來，以便于治理員的分析和

32、處理。例如當(dāng)一個(gè)嚴(yán)峻的事件或用戶行為發(fā)生后,從網(wǎng)絡(luò)層面、主機(jī)/服務(wù)器層面、數(shù)據(jù)（庫）、安全層面到應(yīng)用層面可能都會(huì)有所反應(yīng)（響應(yīng)）,這時(shí)候?qū)徲?jì)系統(tǒng)將進(jìn)行數(shù)據(jù)挖掘,將上述多個(gè)層面、多個(gè)維度的事件或行為數(shù)據(jù)挖掘和抽取、關(guān)聯(lián)，將關(guān)聯(lián)的結(jié)果呈現(xiàn)給使用者。5.1.5安全事件報(bào)警需求為了快速、準(zhǔn)確定位安全事件來源,及時(shí)處理安全事件,我行日志審計(jì)系統(tǒng)必須具備實(shí)時(shí)報(bào)警功能，報(bào)警方式應(yīng)該多樣化，如實(shí)時(shí)屏幕顯示、電子郵件和短信等。1.1.6日志報(bào)表需求我行日志審計(jì)系統(tǒng)的報(bào)表需要支持細(xì)粒度查詢，使治理人員能夠快速對(duì)安全事件進(jìn)行正確的分析,其查詢細(xì)粒度應(yīng)該包括關(guān)鍵字、時(shí)刻段、源地址、目的地址、源端口、目的端口、設(shè)備類型

33、、事件類型、特定審計(jì)對(duì)象等多個(gè)條件的組合查詢，并支持模糊查詢。51.2 系統(tǒng)性能需求目前我行日志審計(jì)系統(tǒng)需要審計(jì)300臺(tái)以上的設(shè)備，以一臺(tái)設(shè)備300條/小時(shí)，每條日志1KB為標(biāo)準(zhǔn)計(jì)算,300臺(tái)設(shè)備每天的總?cè)罩緱l數(shù)為60萬條,總?cè)罩玖考s為21G?；谏鲜鲇?jì)算結(jié)果,結(jié)合同行業(yè)成功案例，建議系統(tǒng)性能如下:處理能力支持安全事件與日志每天2千萬條以上；支持120以上的數(shù)據(jù)庫存儲(chǔ)；支持的原始日志和事件的存儲(chǔ)容量可達(dá)到5億條； 提供對(duì)原始日志及審計(jì)結(jié)果的壓縮存儲(chǔ)，文件存儲(chǔ)壓縮比一般不應(yīng)小于1:10;依照審計(jì)要求,原始信息及審計(jì)結(jié)果需保留6個(gè)月-1年，因此,需支持磁盤陣列、NA和N等多種存儲(chǔ)方式,存儲(chǔ)容量需達(dá)

34、到7B以上。. 系統(tǒng)安全需求權(quán)限劃分需求:日志審計(jì)系統(tǒng)需要進(jìn)行治理權(quán)限的劃分，不同的治理員具有不同的治理權(quán)限，例如治理配置權(quán)限與審計(jì)操作權(quán)限分離，系統(tǒng)中不同意出現(xiàn)超級(jí)用戶權(quán)限。登錄安全需求:日志審計(jì)系統(tǒng)在用戶登錄上需要強(qiáng)身份鑒不功能以及鑒不失效處理機(jī)制。傳輸安全需求：日志審計(jì)系統(tǒng)各個(gè)組件之間的通訊協(xié)議必須支持身份認(rèn)證與傳輸加密,確保數(shù)據(jù)在傳輸過程中不被泄漏、篡改、刪除。存儲(chǔ)安全需求：日志審計(jì)系統(tǒng)的后端數(shù)據(jù)庫必須采納安全可靠的大型數(shù)據(jù)庫，數(shù)據(jù)庫的訪問以及對(duì)日志審計(jì)系統(tǒng)的操作都要通過嚴(yán)格的身份鑒不，并對(duì)操作者的權(quán)限進(jìn)行嚴(yán)格劃分，保證數(shù)據(jù)存儲(chǔ)安全。接口安全需求：日志審計(jì)系統(tǒng)各組件之間應(yīng)該采納其廠商自

35、身的,未公開同時(shí)成熟可靠的協(xié)議進(jìn)行通信。日志審計(jì)平臺(tái)與其他系統(tǒng)（網(wǎng)絡(luò)設(shè)備、主機(jī)/服務(wù)器、應(yīng)用系統(tǒng)、安全設(shè)備)的接口可采納標(biāo)準(zhǔn)的MP、slog等協(xié)議。5.1.4 系統(tǒng)接口需求我行日志審計(jì)系統(tǒng)要緊提供如下接口進(jìn)行日志采集:1、Sylog方式，支持SYLOG協(xié)議的設(shè)備,如:防火墻、I服務(wù)器等；2、OC/JD方式，支持?jǐn)?shù)據(jù)庫聯(lián)接的設(shè)備;、MP Trap方式,支持SNP協(xié)議的設(shè)備，如:交換機(jī)、路由器、網(wǎng)路安全設(shè)備等;4、XML方式,支持HTTP協(xié)議的設(shè)備；5、EvenL方式，支持Windos平臺(tái);6、特定接口方式,關(guān)于不支持通用協(xié)議的設(shè)備,需要定制開發(fā),如：某網(wǎng)閘隔離系統(tǒng)；7、其他廠商內(nèi)部專用協(xié)議。通過

36、標(biāo)準(zhǔn)的接口，能夠采集到網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)的各種類型日志：包含登陸信息、登陸認(rèn)證失敗信息、應(yīng)用程序啟動(dòng)信息、進(jìn)程改變信息、違反防火墻規(guī)則的網(wǎng)絡(luò)行為、DS檢測(cè)到的所有入侵事件和IS自身生成的各種日志等。日志信息的采集能夠依照我行信息系統(tǒng)的現(xiàn)實(shí)情況進(jìn)行實(shí)時(shí)傳輸或者定時(shí)傳輸。5.2數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)系統(tǒng)需求52.審計(jì)功能需求安全審計(jì)策略系統(tǒng)應(yīng)同意使用者能夠針對(duì)訪問者、被愛護(hù)對(duì)象、操作行為,訪問源，事件類型等特征等制定具體的安全審計(jì)策略。策略制定方式應(yīng)簡單靈活，既能夠制定適應(yīng)于批量對(duì)象的公共策略,也能夠制定適用于單個(gè)被愛護(hù)對(duì)象的詳細(xì)策略。系統(tǒng)應(yīng)提供行為全部記錄的默認(rèn)審計(jì)策略。審計(jì)記錄應(yīng)

37、該反應(yīng)出用戶的登錄身份,登錄操作時(shí)使用的主機(jī)或數(shù)據(jù)庫賬號(hào)信息。在建設(shè)身份認(rèn)證和訪問操縱功能后，能夠禁止或同意用戶使用某個(gè)主機(jī)或數(shù)據(jù)庫賬號(hào)進(jìn)行登錄和操作。審計(jì)記錄應(yīng)該反應(yīng)出用戶的登錄身份，登錄操作時(shí)使用的主機(jī)、網(wǎng)絡(luò)設(shè)備或數(shù)據(jù)庫賬號(hào)信息。事件實(shí)時(shí)審計(jì)、告警、命令操縱能靈活配置實(shí)時(shí)安全審計(jì)操縱策略和預(yù)警參數(shù),實(shí)時(shí)發(fā)覺可疑操作（如操作系統(tǒng)rm命令、數(shù)據(jù)庫drop、dlet命令等),實(shí)時(shí)發(fā)出告警信息(向操縱臺(tái)發(fā)出告警信息、向治理員郵箱發(fā)送告警電子郵件、向治理員手機(jī)發(fā)出告警短消息、通過P命令向日志審計(jì)系統(tǒng)、網(wǎng)管系統(tǒng)發(fā)出告警等）。行為審計(jì)功能依照制定的安全審計(jì)策略,系統(tǒng)應(yīng)對(duì)訪問者訪問被愛護(hù)對(duì)象的操作交互過程

38、進(jìn)行記錄,并同意選擇記錄整個(gè)操作過程的上行、下行數(shù)據(jù)。系統(tǒng)應(yīng)能夠?qū)徲?jì)記錄重組為會(huì)話的能力。單個(gè)會(huì)話的全部操作行為應(yīng)能夠進(jìn)行回放。每一條審計(jì)記錄應(yīng)至少提供操作時(shí)刻、訪問者的身份信息、IP地址、被愛護(hù)對(duì)象（主機(jī)名稱、IP地址等）、操作內(nèi)容、系統(tǒng)返回內(nèi)容。審計(jì)記錄結(jié)果要實(shí)現(xiàn)集中存儲(chǔ)、集中治理、集中展現(xiàn)。事件查詢功能系統(tǒng)需要提供豐富的查詢界面，能夠通過數(shù)據(jù)庫事件查詢、Teet事件查詢、Ft事件查詢、事件會(huì)話關(guān)聯(lián)查詢、告警查詢等不同的維度查詢結(jié)果。并支持導(dǎo)出報(bào)表。審計(jì)信息的存儲(chǔ) 審計(jì)信息要求安全存儲(chǔ)，分級(jí)不進(jìn)行治理,一般治理員無法修改刪除。用戶登錄認(rèn)證及操作日志要求安全存儲(chǔ),一般治理員無法修改刪除。系

39、統(tǒng)應(yīng)該提供靈活的審計(jì)信息存儲(chǔ)策略，以應(yīng)對(duì)大規(guī)模審計(jì)存儲(chǔ)的要求；能夠依照用戶登錄身份、使用的主機(jī)或數(shù)據(jù)庫賬號(hào)來制定審計(jì)信息存儲(chǔ)策略。重復(fù)事件歸并通過配置歸并規(guī)則,系統(tǒng)能夠?qū)Υ笈康闹貜?fù)事件做統(tǒng)一歸并，并記錄歸并次數(shù)。權(quán)限治理系統(tǒng)需要分治理員和審計(jì)員權(quán)限，審計(jì)員只能審計(jì)授權(quán)審計(jì)的系統(tǒng)的審計(jì)信息。5.22報(bào)表功能需求查詢功能系統(tǒng)用戶應(yīng)可按照時(shí)刻段、訪問者、主機(jī)或數(shù)據(jù)庫賬號(hào)、被愛護(hù)對(duì)象、行為方式、行為特征等關(guān)鍵字進(jìn)行精確或模糊匹配查詢。操作人員依照查詢結(jié)果能夠關(guān)聯(lián)查看整個(gè)會(huì)話的內(nèi)容。統(tǒng)計(jì)報(bào)表功能系統(tǒng)應(yīng)提供完整的報(bào)表系統(tǒng)。系統(tǒng)應(yīng)按照訪問者、被愛護(hù)對(duì)象、行為方式、操作內(nèi)容（例如數(shù)據(jù)庫表名稱)等生成統(tǒng)計(jì)報(bào)表

40、,并按照要求添加、修改報(bào)表數(shù)量、格式及內(nèi)容,以滿足安全審計(jì)的要求。審計(jì)對(duì)象及兼容性支持應(yīng)當(dāng)包括（但不限于)：Telet，ftp, 等應(yīng)用。操作系統(tǒng)支持：Unix,H-UX ,olri數(shù)據(jù)庫支持：Orcle ,D2，Infmix,Myql,Sqseer應(yīng)確保無遺漏等現(xiàn)象發(fā)生。系統(tǒng)性能系統(tǒng)應(yīng)滿足大數(shù)據(jù)量的審計(jì)要求。滿足千兆骨干網(wǎng)絡(luò)審計(jì)要求，無丟包、漏包現(xiàn)象發(fā)生；系統(tǒng)應(yīng)提供良好的查詢能力；系統(tǒng)應(yīng)至少滿足1年的審計(jì)數(shù)據(jù)在線存儲(chǔ)的需求，并提供相應(yīng)的離線備份機(jī)制，關(guān)于超過在線存儲(chǔ)時(shí)限的審計(jì)數(shù)據(jù)應(yīng)提供導(dǎo)入導(dǎo)出的機(jī)制。5.5審計(jì)完整性系統(tǒng)應(yīng)能實(shí)現(xiàn)對(duì)所有訪問者通過審計(jì)途徑對(duì)現(xiàn)網(wǎng)內(nèi)被愛護(hù)對(duì)象的遠(yuǎn)程訪問行為的審計(jì),

41、無遺漏、錯(cuò)報(bào)等現(xiàn)象的發(fā)生。6安全審計(jì)綜合治理平臺(tái)建設(shè)方案6.日志審計(jì)系統(tǒng)建設(shè)方案.1.1 日志治理建議基于我行日志審計(jì)系統(tǒng)的建設(shè)目標(biāo)，需要對(duì)我行信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、安全系統(tǒng)等進(jìn)行日志采集,各采集對(duì)象的設(shè)備系統(tǒng)類型、采集的日志內(nèi)容、采集方式及采集頻率講明如下:審計(jì)內(nèi)容具體審計(jì)需求描述日志內(nèi)容包括擬采納的采集方式采集頻率操作系統(tǒng)Sais AIXLinxHUNIX帳戶登錄注銷、帳號(hào)權(quán)限變更、操作系統(tǒng)啟動(dòng)關(guān)閉、shell操作日志、YSlOG日志。Ae方式;針對(duì)UNXSYLO日志可通過sylg方式發(fā)送通過日志安全審計(jì)中心設(shè)置采集頻率策略,建議1分鐘采集一次idw2000 serrW

42、ndw 200sve帳戶登錄注銷、帳號(hào)權(quán)限變更、操作系統(tǒng)啟動(dòng)關(guān)閉、應(yīng)用程序運(yùn)行狀態(tài)、系統(tǒng)文件和文件屬性修改等gen方式通過日志安全審計(jì)中心設(shè)置采集頻率策略，建議1分鐘采集一次安全設(shè)備防火墻用戶登錄、修改配置、收集到的攻擊日志等等Syslg、SNMP Tap方式采集在安全設(shè)備上配置日志傳輸頻率,建議1分鐘采集一次網(wǎng)絡(luò)設(shè)備交換機(jī)路由器等（CISCO、華為、華三等）。用戶登錄、修改配置等Syslog、 ra方式采集在網(wǎng)絡(luò)設(shè)備上配置日志傳輸頻率，建議1分鐘采集一次數(shù)據(jù)庫ORACLEQL SERVEDB2YBASEInfomi用戶登錄、注銷、數(shù)據(jù)查詢、插入、數(shù)據(jù)修改、數(shù)據(jù)刪除、修改配置等。通過部署旁路數(shù)

43、據(jù)庫審計(jì)硬件設(shè)備,采納鏡像等方式獵取數(shù)據(jù)庫訪問的網(wǎng)絡(luò)報(bào)文流量，從而實(shí)現(xiàn)針對(duì)各種數(shù)據(jù)庫用戶的操作命令級(jí)審計(jì)。該采集方式可不能對(duì)數(shù)據(jù)庫的運(yùn)行、訪問產(chǎn)生阻礙通過日志安全審計(jì)中心設(shè)置數(shù)據(jù)庫審計(jì)日志采集頻率策略,建議1分鐘采集一次應(yīng)用系統(tǒng)Web srvr、Emilsere、Dino等應(yīng)用系統(tǒng);在實(shí)際項(xiàng)目中,還需要收集業(yè)務(wù)系統(tǒng)日志。Wb server要緊包括:WebhereApacheWegicicrsoft IIS等用戶登錄、修改配置、應(yīng)用層的操作等nt方式、slg、MPTra、DC/JDB方式通過日志安全審計(jì)中心設(shè)置數(shù)據(jù)庫審計(jì)日志采集頻率策略,建議1分鐘采集一次6.1.2 日志審計(jì)系統(tǒng)整體架構(gòu)我行日志

44、審計(jì)系統(tǒng)整體架構(gòu)圖如下：整體架構(gòu)圖講明:我行日志審計(jì)系統(tǒng)為軟件架構(gòu)，由采集服務(wù)器、治理服務(wù)器、數(shù)據(jù)庫服務(wù)器三大部分組成。對(duì)被審計(jì)對(duì)象進(jìn)行必要的設(shè)置或安裝采集代理,即可實(shí)現(xiàn)對(duì)整個(gè)系統(tǒng)的綜合審計(jì);我行日志審計(jì)系統(tǒng)采納Broe/SereData三層架構(gòu)，治理人員無需安裝任何客戶端即可登錄到日志審計(jì)系統(tǒng)進(jìn)行審計(jì)治理操作。我行日志審計(jì)系統(tǒng)功能結(jié)構(gòu)圖如下：功能結(jié)構(gòu)圖講明：我行日志審計(jì)系統(tǒng)將包括日志采集、日志存儲(chǔ)、日志分析、系統(tǒng)治理、綜合顯示等功能模塊,這些功能模塊將有效滿足我行針對(duì)日志審計(jì)系統(tǒng)各種功能需求。6.1 日志采集實(shí)現(xiàn)方式61.3 系統(tǒng)支持的標(biāo)準(zhǔn)接口和協(xié)議1、Syslo方式,支持SYS協(xié)議的設(shè)備,

45、如：防火墻、UNIX服務(wù)器等；、ODC/JDBC方式,支持?jǐn)?shù)據(jù)庫聯(lián)接的設(shè)備;3、NP r方式,支持SNMP協(xié)議的設(shè)備，如:交換機(jī)、路由器、網(wǎng)路安全設(shè)備等；、XML方式,支持HT協(xié)議的設(shè)備;5、EenLg方式，支持Wnws平臺(tái)；6、特定接口方式,關(guān)于不支持通用協(xié)議的設(shè)備，需要定制開發(fā),如：某網(wǎng)閘隔離系統(tǒng)。7、其他廠商內(nèi)部專用協(xié)議。Syslo和SNP ap方式作為最常見、傳統(tǒng)的方式,被大部分設(shè)備廠商和日志審計(jì)系統(tǒng)所采納，建議我行采納這兩種方式進(jìn)行日志采集。Sslo和NMTap方式作為最成熟的網(wǎng)絡(luò)協(xié)議,差不多廣泛應(yīng)用在網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)備之上，用來傳輸各種日志信息,對(duì)系統(tǒng)本身阻礙專門小。8、數(shù)據(jù)

46、庫日志審計(jì)數(shù)據(jù)庫自身日志功能開啟情況下,可通過OB方式收集數(shù)據(jù)庫日志，然而在數(shù)據(jù)庫日志量較大的情況下,數(shù)據(jù)庫系統(tǒng)自身開啟日志審計(jì)功能會(huì)帶給系統(tǒng)較大的負(fù)擔(dān),不建議采納該方式收集數(shù)據(jù)庫日志。為了保證數(shù)據(jù)庫的性能、穩(wěn)定性,建議采納國內(nèi)已較為成熟的數(shù)據(jù)庫審計(jì)技術(shù),通過在網(wǎng)絡(luò)部署專門的旁路數(shù)據(jù)庫審計(jì)硬件設(shè)備,采納鏡像等方式獵取數(shù)據(jù)庫訪問的網(wǎng)絡(luò)報(bào)文流量,實(shí)現(xiàn)針對(duì)各種數(shù)據(jù)庫用戶的操作命令級(jí)審計(jì)。該采集方式可不能對(duì)數(shù)據(jù)庫的運(yùn)行、訪問產(chǎn)生任何阻礙,而且具有更強(qiáng)的實(shí)時(shí)性，是比較理想的數(shù)據(jù)庫日志審計(jì)的實(shí)現(xiàn)方式。6.1.2 采集對(duì)象日志采集實(shí)現(xiàn)方式采集對(duì)象需支持通過安裝審計(jì)代理程序或修改系統(tǒng)配置來進(jìn)行日志的采集，通過

47、日志收集策略定制來開啟與關(guān)閉各系統(tǒng)的日志采集功能及確定應(yīng)采集的日志的種類。為了保證被監(jiān)控系統(tǒng)的保密性,原則上被監(jiān)控系統(tǒng)要主動(dòng)向日志審計(jì)系統(tǒng)發(fā)送自身生成的日志信息,日志審計(jì)系統(tǒng)盡可能的不主動(dòng)訪問被監(jiān)控對(duì)象。6.4 日志標(biāo)準(zhǔn)化實(shí)現(xiàn)方式 由于日志采集模塊收集到多種類型的日志,而這些日志定義的格式和內(nèi)容不盡相同,日志標(biāo)準(zhǔn)化將不同的數(shù)據(jù)格式轉(zhuǎn)換成標(biāo)準(zhǔn)的數(shù)據(jù)格式并存儲(chǔ)，為上層應(yīng)用提供數(shù)據(jù)支持。由于不同的設(shè)備,對(duì)事件的嚴(yán)峻程度定義及側(cè)重點(diǎn)不盡相同，不利于依照統(tǒng)一的安全策略進(jìn)行處理。日志標(biāo)準(zhǔn)化將按照日志來源類型、事件類不、事件級(jí)不等可能的條件及條件的組合對(duì)事件嚴(yán)峻級(jí)不進(jìn)行重定義，便于日志分析模塊的分析處理。下

48、面是日志信息標(biāo)準(zhǔn)化要求:日志事件信息的標(biāo)準(zhǔn)化字段包括事件編號(hào)信息（此字段信息應(yīng)全局唯一,作為標(biāo)識(shí)事件的主鍵)、事件名稱、事件原始時(shí)刻、事件采集時(shí)刻、事件內(nèi)容、事件類型、事件源地址、事件目的地址、事件源端口、事件目的端口、事件原始級(jí)不、事件標(biāo)準(zhǔn)化后的級(jí)不、事件采集來源、事件涉及協(xié)議、會(huì)話信息等。我行日志審計(jì)系統(tǒng)關(guān)于今后新增加的被審計(jì)對(duì)象(如新增的應(yīng)用系統(tǒng)）,將使用標(biāo)準(zhǔn)的Syslog或SNM協(xié)議作為其日志形式和接口，并協(xié)調(diào)日志審計(jì)系統(tǒng)廠商與新系統(tǒng)廠商提供技術(shù)方面的支持。新增的被審計(jì)對(duì)象，必須能滿足如下條件：1）提供標(biāo)準(zhǔn)的Sylg或N接口;2)被審計(jì)對(duì)象需要提供詳細(xì)的日志信息,包括：登陸信息、狀態(tài)信

49、息、依據(jù)自身業(yè)務(wù)邏輯產(chǎn)生的數(shù)據(jù)等;3）日志事件信息的標(biāo)準(zhǔn)化字段包括事件編號(hào)信息（此字段信息應(yīng)全局唯一,作為標(biāo)識(shí)事件的主鍵）、事件名稱、事件原始時(shí)刻、事件采集時(shí)刻、事件內(nèi)容、事件類型、事件源地址、事件目的地址、事件源端口、事件目的端口、事件原始級(jí)不、事件標(biāo)準(zhǔn)化后的級(jí)不、事件采集來源、事件涉及協(xié)議、會(huì)話信息等;)假如是應(yīng)用系統(tǒng)日志，應(yīng)該包含用戶信息,關(guān)于應(yīng)用系統(tǒng)日志其級(jí)不的定義變得極其重要；5)提供設(shè)備所能產(chǎn)生的全部類型的日志樣本;6）提供全部日志類型中的字段的講明(尤其是數(shù)值與相應(yīng)內(nèi)容的對(duì)比表）以及相應(yīng)文檔；.15 日志存儲(chǔ)實(shí)現(xiàn)方式我行日志審計(jì)系統(tǒng)將采納DB或S SQL Sever 數(shù)據(jù)庫作為日

50、志審計(jì)系統(tǒng)的在線存儲(chǔ)方式,依照審計(jì)要求，原始信息及審計(jì)結(jié)果需提供壓縮存儲(chǔ)，文件存儲(chǔ)壓縮比一般不應(yīng)小于1：10;并保留6個(gè)月1年以上，系統(tǒng)需支持磁盤陣列柜以及SA、NAS等存儲(chǔ)方式,存儲(chǔ)容量需達(dá)到7TB以上。除了在線存儲(chǔ)方式外還將支持磁帶機(jī)作為離線存儲(chǔ)備份方式,離線數(shù)據(jù)能夠通過導(dǎo)入到當(dāng)前庫不同的表中進(jìn)行查詢和分析,以幸免對(duì)當(dāng)前數(shù)據(jù)造成不利的阻礙。6.1.6 日志關(guān)聯(lián)分析我行日志審計(jì)系統(tǒng)將提供多種關(guān)聯(lián)分析方法，包括：相同源I的事件關(guān)聯(lián)分析、相同目的IP的事件關(guān)聯(lián)分析、相同事件類型的關(guān)聯(lián)分析以及基于規(guī)則的事件關(guān)聯(lián)分析、統(tǒng)計(jì)關(guān)聯(lián)分析和漏洞關(guān)聯(lián)分析(需要采納脆弱性模塊)。通過關(guān)聯(lián)分析能夠更加準(zhǔn)確地定義和

51、定位安全事件。相同源P的事件關(guān)聯(lián)分析:通常用于對(duì)主機(jī)終端的活動(dòng)進(jìn)行分析審計(jì)，它把相同源地址所產(chǎn)生的事件按照時(shí)刻順序一一列出,關(guān)心治理人員對(duì)該IP地址所進(jìn)行的各項(xiàng)操作行為進(jìn)行分析和審計(jì)，從而對(duì)其操作行為的目的性進(jìn)行分析。相同目的P的事件關(guān)聯(lián)分析：通常用于對(duì)服務(wù)器被訪問和操作的活動(dòng)進(jìn)行分析和審計(jì),它把相同目的IP地址所產(chǎn)生的事件按照時(shí)刻順序一一列出，關(guān)心治理人員對(duì)該IP地址被訪問的活動(dòng)進(jìn)行分析和審計(jì),從而發(fā)覺內(nèi)部人員對(duì)服務(wù)器所進(jìn)行非授權(quán)或可疑的操作。相同事件類型的事件關(guān)聯(lián)分析：通常用于對(duì)特定事件的阻礙范圍進(jìn)行分析，它把所發(fā)生的相同事件類型的按照時(shí)刻順序一一列出，關(guān)心治理人員對(duì)事件的波及面進(jìn)行分析和

52、審計(jì)。基于規(guī)則的事件關(guān)聯(lián)分析:是把各種安全事件按照時(shí)刻的先后序列與時(shí)刻間隔進(jìn)行檢測(cè)，推斷事件之間的相互關(guān)系是否符合預(yù)定義的規(guī)則，從而觸發(fā)分析總結(jié)出來的關(guān)聯(lián)分析后事件。統(tǒng)計(jì)關(guān)聯(lián)分析:是用戶通過定義一定時(shí)刻內(nèi)發(fā)生的符合條件的事件量達(dá)到規(guī)定量,從而觸發(fā)關(guān)聯(lián)事件。所有能夠發(fā)送日志信息的IT基礎(chǔ)設(shè)施都能夠做關(guān)聯(lián)分析，通過關(guān)聯(lián)分析能夠及時(shí)發(fā)覺T基礎(chǔ)設(shè)施潛在風(fēng)險(xiǎn)。17 安全事件報(bào)警我行日志審計(jì)系統(tǒng)將提供實(shí)時(shí)屏幕顯示、電子郵件、工作任務(wù)單、入庫(和短信）等報(bào)警方式；能夠調(diào)整實(shí)時(shí)報(bào)警的排序方式；能夠定義實(shí)時(shí)報(bào)警的顯示內(nèi)容，顯示內(nèi)容包括：發(fā)生的時(shí)刻來源事件類型主體描述和結(jié)果(成功、失敗或待驗(yàn)證等)；能夠調(diào)整實(shí)時(shí)報(bào)

53、警策略,同時(shí)顯示的內(nèi)容與當(dāng)前用戶的治理角色相關(guān)聯(lián)。可提供事件的上報(bào)機(jī)制,通過策略的設(shè)置明確哪些類型(如泄密事件、安全運(yùn)行事件)、哪些等級(jí)（高、中高、中、中低、低等級(jí)以上)的安全事件需要隨時(shí)上報(bào)。6.1.8 日志報(bào)表我行日志審計(jì)系統(tǒng)可提供的報(bào)表包括以下種類:事件信息報(bào)表提供事件分布報(bào)表,按照不同事件類不提供各類事件的趨勢(shì)報(bào)表。綜合分析與預(yù)警報(bào)表綜合安全風(fēng)險(xiǎn)分析的報(bào)表,提供風(fēng)險(xiǎn)查詢報(bào)表，能夠依照資產(chǎn)、域、趨勢(shì)等進(jìn)行分類輸出，包括分析數(shù)據(jù)分布范圍、受阻礙的系統(tǒng)、可能的嚴(yán)峻程度等。響應(yīng)過程報(bào)表提供響應(yīng)模塊發(fā)生的響應(yīng)事件的統(tǒng)計(jì)報(bào)表,按照響應(yīng)事件的緊急程度、響應(yīng)對(duì)象、響應(yīng)人員分類列表。綜合顯示報(bào)表提供綜合

54、顯示模塊的實(shí)時(shí)截屏報(bào)表，包括列表顯示報(bào)表輸出、拓?fù)浒踩畔?bào)表輸出、電子地圖安全信息報(bào)表輸出。平臺(tái)自身日志報(bào)表提供平臺(tái)自身日志的報(bào)表，包含訪問人、訪問次數(shù)、訪問時(shí)刻等。能夠按照審計(jì)對(duì)象展現(xiàn)日志信息。報(bào)表輸出格式可轉(zhuǎn)換為PDF 、L、RT、CSV等多種常用的標(biāo)準(zhǔn)格式，我行用戶可自定義報(bào)表。6.19系統(tǒng)治理我行日志審計(jì)系統(tǒng)設(shè)有用戶治理員、系統(tǒng)治理員、安全治理員和安全審計(jì)員四種操作和治理角色,每種操作治理角色中又可安排多個(gè)操作治理用戶，在系統(tǒng)中不存在超級(jí)用戶。通過角色的劃分并給予角色相應(yīng)的授權(quán)實(shí)現(xiàn)了系統(tǒng)治理員、安全治理員和安全審計(jì)員的三權(quán)分立。用戶治理員權(quán)限：用戶治理員負(fù)責(zé)對(duì)用戶、用戶組進(jìn)行治理，包

55、括建立、維護(hù)和刪除用戶組,并將用戶分配到相應(yīng)的用戶組中。用戶治理員不參與綜合審計(jì)系統(tǒng)的各項(xiàng)具體操作。系統(tǒng)治理員權(quán)限：系統(tǒng)治理員負(fù)責(zé)設(shè)定各個(gè)用戶組的治理和操作權(quán)限,包括治理區(qū)域范圍、治理的設(shè)備和對(duì)象、各項(xiàng)治理功能(如策略制定、關(guān)聯(lián)分析、審計(jì)查詢、審計(jì)報(bào)表、數(shù)據(jù)備份等）的操作權(quán)限等,權(quán)限操縱分為“完全操縱”、“讀取”、“寫入”、“更改”、“刪除”幾類。系統(tǒng)治理員不參與綜合審計(jì)系統(tǒng)的各項(xiàng)具體操作。安全治理員權(quán)限:安全治理員負(fù)責(zé)在權(quán)限許可的范圍內(nèi)利用日志審計(jì)系統(tǒng)開展各項(xiàng)安全審計(jì)和治理操作。安全治理員的操作進(jìn)行通過系統(tǒng)審計(jì)日志記錄下來，以備審計(jì)治理員對(duì)安全治理員的各項(xiàng)治理操作進(jìn)行審計(jì)。安全審計(jì)員權(quán)限：審

56、計(jì)治理員僅具有對(duì)用戶治理員、系統(tǒng)治理員、安全治理員所從事的各項(xiàng)安全治理操作進(jìn)行審計(jì)的權(quán)限,包括用戶登錄注銷、新增、修改、刪除用戶或用戶組等功能。6. 系統(tǒng)接口規(guī)范我行日志審計(jì)系統(tǒng)的接口規(guī)范為標(biāo)準(zhǔn)協(xié)議：Syslo、SNMP。被監(jiān)控對(duì)象通過yl、MP協(xié)議主動(dòng)把自身的日志信息發(fā)送到日志審計(jì)系統(tǒng)。日志審計(jì)系統(tǒng)要對(duì)外提供如下接口:Windo EventL:能夠通過該接口采集Windo主機(jī)的日志信息。lo：通過該接口能夠采集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)等日志信息。SNMP:通過該接口能夠采集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)等日志信息。OSEC:通過該接口能夠采集nokia、hecpot的日志信息。ML:通過該

57、接口能夠采集漏洞掃描系統(tǒng)的掃描結(jié)果。ODBC：通過該接口能夠采集數(shù)據(jù)庫的日志信息。讀文件:通過該接口能夠采集p、DNS等應(yīng)用系統(tǒng)的日志信息。日志審計(jì)系統(tǒng)自身會(huì)有簡單的資產(chǎn)治理功能，假如我行沒有與現(xiàn)有資產(chǎn)治理系統(tǒng)進(jìn)行數(shù)據(jù)同步的要求,不需要和現(xiàn)有的資產(chǎn)治理系統(tǒng)進(jìn)行整合。假如要求做到和現(xiàn)有的資產(chǎn)治理系統(tǒng)整合，需要通過定制開發(fā)實(shí)現(xiàn)。與第三方的資產(chǎn)治理系統(tǒng)進(jìn)行整合需要定制開發(fā)。.數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)系統(tǒng)建設(shè)方案6.1數(shù)據(jù)庫和網(wǎng)絡(luò)行為綜合審計(jì)6.211實(shí)時(shí)統(tǒng)計(jì)監(jiān)控治理人員能夠通過實(shí)時(shí)統(tǒng)計(jì)功能清晰地看到網(wǎng)內(nèi)部告警事件、活動(dòng)會(huì)話(Activ eson),以及對(duì)被愛護(hù)對(duì)象的訪問情況。實(shí)時(shí)統(tǒng)計(jì)功能能夠統(tǒng)計(jì)最近5分鐘的

58、數(shù)據(jù),及時(shí)地反應(yīng)出網(wǎng)絡(luò)內(nèi)部的動(dòng)態(tài)。在實(shí)時(shí)統(tǒng)計(jì)中,用戶能夠?qū)崟r(shí)的查看當(dāng)前活動(dòng)對(duì)象、當(dāng)前活動(dòng)會(huì)話等的事件列表。用戶點(diǎn)擊某個(gè)活動(dòng)會(huì)話,即可看到當(dāng)前會(huì)話中用戶登錄、操作、注銷指令執(zhí)行及其返回結(jié)果的全過程。6.1.2事件查詢事件查詢?yōu)橛脩籼峁┝藲v史事件查詢的手段。用戶能夠指定復(fù)雜的查詢條件，快速檢索到需要的事件信息，從而協(xié)助治理員進(jìn)行計(jì)算機(jī)取證分析,收集外部訪問或者內(nèi)部違規(guī)的證據(jù)。事件查詢細(xì)分為綜合事件查詢，數(shù)據(jù)庫事件查詢,主機(jī)事件查詢,Ft事件查詢。針對(duì)不同類不的查詢，系統(tǒng)精心地為用戶提供了不同的查詢條件組合,方便用戶找到自己需要的信息。用戶能夠指定的查詢條件包括:審計(jì)類型、事件接收時(shí)刻、事件等級(jí)、源

59、地址、目的地址、用戶名、策略名、會(huì)話ID(esinID)等。6.1.3趨勢(shì)分析能夠進(jìn)行事件訪問的趨勢(shì)分析，對(duì)最近一段時(shí)刻的事件進(jìn)行統(tǒng)計(jì)分析，并描繪趨勢(shì)曲線。如此，系統(tǒng)監(jiān)控治理員能夠清晰的看到最近一段時(shí)刻內(nèi)部的的事件走向,同時(shí)能夠清晰地看到敏感時(shí)刻內(nèi)什么人對(duì)什么樣的愛護(hù)對(duì)象進(jìn)行過訪問，以及訪問了愛護(hù)對(duì)象的什么資源。針對(duì)不同的審計(jì)類型,產(chǎn)品提供不同的趨勢(shì)分析,系統(tǒng)監(jiān)控人員能夠依照需要查看不同的趨勢(shì)分析。62審計(jì)策略審計(jì)策略是為審計(jì)功能服務(wù)的，它為系統(tǒng)提供數(shù)據(jù)包采集引擎所需的策略配置,對(duì)通過引擎的數(shù)據(jù)包進(jìn)行基于審計(jì)策略的過濾，將符合審計(jì)策略的數(shù)據(jù)包提取出來、產(chǎn)生安全事件,然后再對(duì)安全事件進(jìn)行審計(jì)分析

60、。同時(shí),審計(jì)策略也決定了審計(jì)的顆粒度，用戶能夠通過對(duì)審計(jì)策略的設(shè)定來決定審計(jì)的各種細(xì)節(jié)。系統(tǒng)能夠依照用戶要求自由組織審計(jì)策略，提供便捷的添加、修改、刪除、導(dǎo)入、導(dǎo)出、啟用和禁用等功能。能夠?qū)⑨槍?duì)同一業(yè)務(wù)的不同方面的審計(jì)策略選項(xiàng)集中到一條審計(jì)策略中進(jìn)行配置,如此用戶無需切換頁面和進(jìn)行復(fù)雜的選項(xiàng)配置,簡化了用戶操作，同時(shí)并未減少需要配置的審計(jì)對(duì)象的元素。在策略配置中，用戶能夠從各類協(xié)議中提取出公共部分進(jìn)行統(tǒng)一配置,各類協(xié)議的私有部分再依照不同的細(xì)節(jié)進(jìn)行相應(yīng)的配置,從而幸免了重復(fù)配置，減輕了用戶的審計(jì)配置工作量。策略配置內(nèi)容：審計(jì)類型行為采集響應(yīng)主機(jī).登錄2.注銷3一般操作1.全部:審計(jì)全部內(nèi)容2.