金融行業(yè)需要什么樣的安全審計產(chǎn)品
金融行業(yè)是現(xiàn)代服務(wù)業(yè)的重要組成部分,它通過溝通整個社會的經(jīng)濟活動而成為現(xiàn)代經(jīng)濟的核心。 近年來,隨著金融信息化進程的不斷推進,信息技術(shù)在金融業(yè)務(wù)中起著越來越重要的作用,越來越多的金融業(yè)務(wù)流程
用戶訪問互聯(lián)網(wǎng)的行為和內(nèi)容進行審計。主要識別的是Http、SMTP、FTP等協(xié)議,同時對互聯(lián)網(wǎng)的常用應(yīng)用如QQ、MSN、BT等也需要識別。互聯(lián)網(wǎng)審計一般是對內(nèi)部員工的上網(wǎng)進行規(guī)范。
辦公行為審計:內(nèi)部用戶打印、收發(fā)郵件、FTP下載等行為進行審計。
運維行為審計:運維人員對網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、數(shù)據(jù)庫中間件、應(yīng)用系統(tǒng)等進行配置、變更、備份等操作進行審計。
業(yè)務(wù)操作審計:業(yè)務(wù)人員通過業(yè)務(wù)系統(tǒng)進行業(yè)務(wù)操作行為的審計。由于業(yè)務(wù)操作最終會體現(xiàn)在數(shù)據(jù)庫中,所以通過數(shù)據(jù)庫審計可有效反映業(yè)務(wù)操作行為。
在金融行業(yè)中,運維行為和業(yè)務(wù)操作行為如果出現(xiàn)違規(guī)不僅可能造成業(yè)務(wù)中斷甚至造成資金丟失等嚴(yán)重金融事件,因此運維行為審計和業(yè)務(wù)操作行為審計是金融行業(yè)關(guān)注的重點。對此,目前市場上有運維審計產(chǎn)品、數(shù)據(jù)庫審計產(chǎn)品、日志審計產(chǎn)品和安全綜合審計產(chǎn)品。
運維審計產(chǎn)品主要是實現(xiàn)系統(tǒng)用戶的集中管理和運維人員的運維操作控制及審計功能。產(chǎn)品采用邏輯串行部署方式,一般部署在運維區(qū)的交換機上,運維人員不能直接訪問主機服務(wù)器,必須首先登錄到運維審計產(chǎn)品后才能訪問主機服務(wù)器進行運維操作。運維審計產(chǎn)品把運維人員的所有運維操作全部記錄下來,并且根據(jù)事先制定的策略允許或禁止某些操作的執(zhí)行,并且對于高危險操作實時進行報警。
數(shù)據(jù)庫審計產(chǎn)品能夠監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為,實時地、智能地解析對數(shù)據(jù)庫服務(wù)器的各種操作,一般操作行為如數(shù)據(jù)庫的登錄,特定的操作如對數(shù)據(jù)庫表的插入、刪除、修改,執(zhí)行特定的存貯過程等都能夠被記錄和分析,分析的內(nèi)容要求可以精確到SQL操作語句一級,并記錄這些操作的用戶名、機器IP地址、操作時間等重要信息。
日志審計產(chǎn)品能夠收集、分析和記錄操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用中間件等系統(tǒng)的日志數(shù)據(jù)。日志審計產(chǎn)品主要采用Syslog、SNMP Trap等方式采集系統(tǒng)日志,不需要在被采集設(shè)備上安裝采集代理程序。日志審計產(chǎn)品將各系統(tǒng)的日志統(tǒng)一集中存儲,可以有效保護審計日志的完整性,為日后的審計取證提供依據(jù)。
下表描述了目前市場上的審計產(chǎn)品能夠?qū)徲嫷挠脩粜袨橹g的關(guān)系:
給金融一個統(tǒng)一融合的安全審計方案
為了實現(xiàn)信息科技的全面安全審計而部署的日志審計、數(shù)據(jù)庫審計和運維審計系統(tǒng)是不應(yīng)該彼此割裂的,而能夠統(tǒng)一為一個整體,將收集到IT資源日志、數(shù)據(jù)庫訪問操作日志、系統(tǒng)運維操作日志一起進行關(guān)聯(lián)分析處理,進行統(tǒng)一管理、統(tǒng)一展現(xiàn)、統(tǒng)一分析、統(tǒng)一存儲,實現(xiàn)組織安全審計工作的一體化。
綜合安全審計系統(tǒng)的常見邏輯結(jié)構(gòu)圖1如下:
圖1 綜合安全審計系統(tǒng)的常見邏輯結(jié)構(gòu)圖
其中綜合安全審計系統(tǒng)內(nèi)部功能結(jié)構(gòu)圖如下圖2所示:
圖2 綜合安全審計系統(tǒng)內(nèi)部功能結(jié)構(gòu)
如上圖2所示,綜合安全審計系統(tǒng)各功能模塊的主要作用:
1)審計日志采集中心:收集日志審計設(shè)備、數(shù)據(jù)庫審計設(shè)備和運維審計設(shè)備等產(chǎn)生的審計日志信息,在審計日志采集的過程中,實現(xiàn)審計日志的過濾、范式化等操作。
2)審計日志存儲中心:接收審計日志采集中心的數(shù)據(jù),進行分類入庫保留原始的日志,同時,也會保存范式化數(shù)據(jù)以及關(guān)聯(lián)分析數(shù)據(jù),這些數(shù)據(jù)統(tǒng)一入庫存儲。
3)審計日志分析中心:對日志審計信息、數(shù)據(jù)審計信息、運維審計信息進行關(guān)聯(lián)分析和數(shù)據(jù)挖掘,深入分析可能存在的違規(guī)行為。
4)綜合顯示中心:提供一個統(tǒng)一的操作管理界面,方便安全審計人員進行操作,該中心主要包括如下模塊:
實時監(jiān)控模塊:實時顯示符合審計策略的報警信息,主要起到事中或?qū)崟r審計的作用。
查詢檢索模塊:通過關(guān)鍵字進行組合查詢,得到系統(tǒng)管理員所需要的結(jié)果。
綜合報表模塊。形成合規(guī)性報表、按照訪問者、時間段、被審計對象、操作內(nèi)容等生成報表。另外,報表系統(tǒng)提供方便的擴展接口,方便用戶生成定制化報表。
事后取證:日志存儲中心存儲了最原始的審計日志信息,通過事件取證功能,可以獲取相應(yīng)的審計證據(jù)。
5)用戶管理模塊。根據(jù)獨立審計的原則,集中日志審計系統(tǒng)采用三權(quán)分立的用戶管理辦法,管理員、操作員和審計員權(quán)限分
辦公行為審計:內(nèi)部用戶打印、收發(fā)郵件、FTP下載等行為進行審計。
運維行為審計:運維人員對網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、數(shù)據(jù)庫中間件、應(yīng)用系統(tǒng)等進行配置、變更、備份等操作進行審計。
業(yè)務(wù)操作審計:業(yè)務(wù)人員通過業(yè)務(wù)系統(tǒng)進行業(yè)務(wù)操作行為的審計。由于業(yè)務(wù)操作最終會體現(xiàn)在數(shù)據(jù)庫中,所以通過數(shù)據(jù)庫審計可有效反映業(yè)務(wù)操作行為。
在金融行業(yè)中,運維行為和業(yè)務(wù)操作行為如果出現(xiàn)違規(guī)不僅可能造成業(yè)務(wù)中斷甚至造成資金丟失等嚴(yán)重金融事件,因此運維行為審計和業(yè)務(wù)操作行為審計是金融行業(yè)關(guān)注的重點。對此,目前市場上有運維審計產(chǎn)品、數(shù)據(jù)庫審計產(chǎn)品、日志審計產(chǎn)品和安全綜合審計產(chǎn)品。
運維審計產(chǎn)品主要是實現(xiàn)系統(tǒng)用戶的集中管理和運維人員的運維操作控制及審計功能。產(chǎn)品采用邏輯串行部署方式,一般部署在運維區(qū)的交換機上,運維人員不能直接訪問主機服務(wù)器,必須首先登錄到運維審計產(chǎn)品后才能訪問主機服務(wù)器進行運維操作。運維審計產(chǎn)品把運維人員的所有運維操作全部記錄下來,并且根據(jù)事先制定的策略允許或禁止某些操作的執(zhí)行,并且對于高危險操作實時進行報警。
數(shù)據(jù)庫審計產(chǎn)品能夠監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為,實時地、智能地解析對數(shù)據(jù)庫服務(wù)器的各種操作,一般操作行為如數(shù)據(jù)庫的登錄,特定的操作如對數(shù)據(jù)庫表的插入、刪除、修改,執(zhí)行特定的存貯過程等都能夠被記錄和分析,分析的內(nèi)容要求可以精確到SQL操作語句一級,并記錄這些操作的用戶名、機器IP地址、操作時間等重要信息。
日志審計產(chǎn)品能夠收集、分析和記錄操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用中間件等系統(tǒng)的日志數(shù)據(jù)。日志審計產(chǎn)品主要采用Syslog、SNMP Trap等方式采集系統(tǒng)日志,不需要在被采集設(shè)備上安裝采集代理程序。日志審計產(chǎn)品將各系統(tǒng)的日志統(tǒng)一集中存儲,可以有效保護審計日志的完整性,為日后的審計取證提供依據(jù)。
下表描述了目前市場上的審計產(chǎn)品能夠?qū)徲嫷挠脩粜袨橹g的關(guān)系:
給金融一個統(tǒng)一融合的安全審計方案
為了實現(xiàn)信息科技的全面安全審計而部署的日志審計、數(shù)據(jù)庫審計和運維審計系統(tǒng)是不應(yīng)該彼此割裂的,而能夠統(tǒng)一為一個整體,將收集到IT資源日志、數(shù)據(jù)庫訪問操作日志、系統(tǒng)運維操作日志一起進行關(guān)聯(lián)分析處理,進行統(tǒng)一管理、統(tǒng)一展現(xiàn)、統(tǒng)一分析、統(tǒng)一存儲,實現(xiàn)組織安全審計工作的一體化。
綜合安全審計系統(tǒng)的常見邏輯結(jié)構(gòu)圖1如下:
圖1 綜合安全審計系統(tǒng)的常見邏輯結(jié)構(gòu)圖
其中綜合安全審計系統(tǒng)內(nèi)部功能結(jié)構(gòu)圖如下圖2所示:
圖2 綜合安全審計系統(tǒng)內(nèi)部功能結(jié)構(gòu)
如上圖2所示,綜合安全審計系統(tǒng)各功能模塊的主要作用:
1)審計日志采集中心:收集日志審計設(shè)備、數(shù)據(jù)庫審計設(shè)備和運維審計設(shè)備等產(chǎn)生的審計日志信息,在審計日志采集的過程中,實現(xiàn)審計日志的過濾、范式化等操作。
2)審計日志存儲中心:接收審計日志采集中心的數(shù)據(jù),進行分類入庫保留原始的日志,同時,也會保存范式化數(shù)據(jù)以及關(guān)聯(lián)分析數(shù)據(jù),這些數(shù)據(jù)統(tǒng)一入庫存儲。
3)審計日志分析中心:對日志審計信息、數(shù)據(jù)審計信息、運維審計信息進行關(guān)聯(lián)分析和數(shù)據(jù)挖掘,深入分析可能存在的違規(guī)行為。
4)綜合顯示中心:提供一個統(tǒng)一的操作管理界面,方便安全審計人員進行操作,該中心主要包括如下模塊:
實時監(jiān)控模塊:實時顯示符合審計策略的報警信息,主要起到事中或?qū)崟r審計的作用。
查詢檢索模塊:通過關(guān)鍵字進行組合查詢,得到系統(tǒng)管理員所需要的結(jié)果。
綜合報表模塊。形成合規(guī)性報表、按照訪問者、時間段、被審計對象、操作內(nèi)容等生成報表。另外,報表系統(tǒng)提供方便的擴展接口,方便用戶生成定制化報表。
事后取證:日志存儲中心存儲了最原始的審計日志信息,通過事件取證功能,可以獲取相應(yīng)的審計證據(jù)。
5)用戶管理模塊。根據(jù)獨立審計的原則,集中日志審計系統(tǒng)采用三權(quán)分立的用戶管理辦法,管理員、操作員和審計員權(quán)限分
責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進行時丨陜西電力部署6項重點任務(wù)
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
