金融行業需要什么樣的安全審計產品

2013-10-22 10:33:11 eNet硅谷動力　點擊量：評論 (0)

金融行業是現代服務業的重要組成部分，它通過溝通整個社會的經濟活動而成為現代經濟的核心。　　近年來，隨著金融信息化進程的不斷推進，信息技術在金融業務中起著越來越重要的作用，越來越多的金融業務流程

用戶訪問互聯網的行為和內容進行審計。主要識別的是Http、SMTP、FTP等協議，同時對互聯網的常用應用如QQ、MSN、BT等也需要識別。互聯網審計一般是對內部員工的上網進行規范。

　　辦公行為審計：內部用戶打印、收發郵件、FTP下載等行為進行審計。

　　運維行為審計：運維人員對網絡設備、主機系統、數據庫中間件、應用系統等進行配置、變更、備份等操作進行審計。

　　業務操作審計：業務人員通過業務系統進行業務操作行為的審計。由于業務操作最終會體現在數據庫中，所以通過數據庫審計可有效反映業務操作行為。

　　在金融行業中，運維行為和業務操作行為如果出現違規不僅可能造成業務中斷甚至造成資金丟失等嚴重金融事件，因此運維行為審計和業務操作行為審計是金融行業關注的重點。對此，目前市場上有運維審計產品、數據庫審計產品、日志審計產品和安全綜合審計產品。

　　運維審計產品主要是實現系統用戶的集中管理和運維人員的運維操作控制及審計功能。產品采用邏輯串行部署方式，一般部署在運維區的交換機上，運維人員不能直接訪問主機服務器，必須首先登錄到運維審計產品后才能訪問主機服務器進行運維操作。運維審計產品把運維人員的所有運維操作全部記錄下來，并且根據事先制定的策略允許或禁止某些操作的執行，并且對于高危險操作實時進行報警。

　　數據庫審計產品能夠監視并記錄對數據庫服務器的各類操作行為，實時地、智能地解析對數據庫服務器的各種操作，一般操作行為如數據庫的登錄，特定的操作如對數據庫表的插入、刪除、修改，執行特定的存貯過程等都能夠被記錄和分析，分析的內容要求可以精確到SQL操作語句一級，并記錄這些操作的用戶名、機器IP地址、操作時間等重要信息。

　　日志審計產品能夠收集、分析和記錄操作系統、網絡設備、應用中間件等系統的日志數據。日志審計產品主要采用Syslog、SNMP Trap等方式采集系統日志，不需要在被采集設備上安裝采集代理程序。日志審計產品將各系統的日志統一集中存儲，可以有效保護審計日志的完整性，為日后的審計取證提供依據。

　　下表描述了目前市場上的審計產品能夠審計的用戶行為之間的關系：

　　

　　給金融一個統一融合的安全審計方案

　　為了實現信息科技的全面安全審計而部署的日志審計、數據庫審計和運維審計系統是不應該彼此割裂的，而能夠統一為一個整體，將收集到IT資源日志、數據庫訪問操作日志、系統運維操作日志一起進行關聯分析處理，進行統一管理、統一展現、統一分析、統一存儲，實現組織安全審計工作的一體化。

　　綜合安全審計系統的常見邏輯結構圖1如下：

　　

　　圖1 綜合安全審計系統的常見邏輯結構圖
其中綜合安全審計系統內部功能結構圖如下圖2所示：

　　

　　圖2 綜合安全審計系統內部功能結構

　　如上圖2所示，綜合安全審計系統各功能模塊的主要作用：

　　1）審計日志采集中心：收集日志審計設備、數據庫審計設備和運維審計設備等產生的審計日志信息，在審計日志采集的過程中，實現審計日志的過濾、范式化等操作。

　　2）審計日志存儲中心：接收審計日志采集中心的數據，進行分類入庫保留原始的日志，同時，也會保存范式化數據以及關聯分析數據，這些數據統一入庫存儲。

　　3）審計日志分析中心：對日志審計信息、數據審計信息、運維審計信息進行關聯分析和數據挖掘，深入分析可能存在的違規行為。

　　4）綜合顯示中心：提供一個統一的操作管理界面，方便安全審計人員進行操作，該中心主要包括如下模塊：

　　實時監控模塊：實時顯示符合審計策略的報警信息，主要起到事中或實時審計的作用。

　　查詢檢索模塊：通過關鍵字進行組合查詢，得到系統管理員所需要的結果。

　　綜合報表模塊。形成合規性報表、按照訪問者、時間段、被審計對象、操作內容等生成報表。另外，報表系統提供方便的擴展接口，方便用戶生成定制化報表。

　　事后取證：日志存儲中心存儲了最原始的審計日志信息，通過事件取證功能，可以獲取相應的審計證據。

5）用戶管理模塊。根據獨立審計的原則，集中日志審計系統采用三權分立的用戶管理辦法，管理員、操作員和審計員權限分