金融行业需要什么样的安全审计产品
金融行业是现代服务业的重要组成部分,它通过沟通整个社会的经济活动而成为现代经济的核心。 近年来,随着金融信息化进程的不断推进,信息技术在金融业务中起着越来越重要的作用,越来越多的金融业务流程
用户访问互联网的行为和内容进行审计。主要识别的是Http、SMTP、FTP等协议,同时对互联网的常用应用如QQ、MSN、BT等也需要识别。互联网审计一般是对内部员工的上网进行规范。
办公行为审计:内部用户打印、收发邮件、FTP下载等行为进行审计。
运维行为审计:运维人员对网络设备、主机系统、数据库中间件、应用系统等进行配置、变更、备份等操作进行审计。
业务操作审计:业务人员通过业务系统进行业务操作行为的审计。由于业务操作最终会体现在数据库中,所以通过数据库审计可有效反映业务操作行为。
在金融行业中,运维行为和业务操作行为如果出现违规不仅可能造成业务中断甚至造成资金丢失等严重金融事件,因此运维行为审计和业务操作行为审计是金融行业关注的重点。对此,目前市场上有运维审计产品、数据库审计产品、日志审计产品和安全综合审计产品。
运维审计产品主要是实现系统用户的集中管理和运维人员的运维操作控制及审计功能。产品采用逻辑串行部署方式,一般部署在运维区的交换机上,运维人员不能直接访问主机服务器,必须首先登录到运维审计产品后才能访问主机服务器进行运维操作。运维审计产品把运维人员的所有运维操作全部记录下来,并且根据事先制定的策略允许或禁止某些操作的执行,并且对于高危险操作实时进行报警。
数据库审计产品能够监视并记录对数据库服务器的各类操作行为,实时地、智能地解析对数据库服务器的各种操作,一般操作行为如数据库的登录,特定的操作如对数据库表的插入、删除、修改,执行特定的存贮过程等都能够被记录和分析,分析的内容要求可以精确到SQL操作语句一级,并记录这些操作的用户名、机器IP地址、操作时间等重要信息。
日志审计产品能够收集、分析和记录操作系统、网络设备、应用中间件等系统的日志数据。日志审计产品主要采用Syslog、SNMP Trap等方式采集系统日志,不需要在被采集设备上安装采集代理程序。日志审计产品将各系统的日志统一集中存储,可以有效保护审计日志的完整性,为日后的审计取证提供依据。
下表描述了目前市场上的审计产品能够审计的用户行为之间的关系:
给金融一个统一融合的安全审计方案
为了实现信息科技的全面安全审计而部署的日志审计、数据库审计和运维审计系统是不应该彼此割裂的,而能够统一为一个整体,将收集到IT资源日志、数据库访问操作日志、系统运维操作日志一起进行关联分析处理,进行统一管理、统一展现、统一分析、统一存储,实现组织安全审计工作的一体化。
综合安全审计系统的常见逻辑结构图1如下:
图1 综合安全审计系统的常见逻辑结构图
其中综合安全审计系统内部功能结构图如下图2所示:
图2 综合安全审计系统内部功能结构
如上图2所示,综合安全审计系统各功能模块的主要作用:
1)审计日志采集中心:收集日志审计设备、数据库审计设备和运维审计设备等产生的审计日志信息,在审计日志采集的过程中,实现审计日志的过滤、范式化等操作。
2)审计日志存储中心:接收审计日志采集中心的数据,进行分类入库保留原始的日志,同时,也会保存范式化数据以及关联分析数据,这些数据统一入库存储。
3)审计日志分析中心:对日志审计信息、数据审计信息、运维审计信息进行关联分析和数据挖掘,深入分析可能存在的违规行为。
4)综合显示中心:提供一个统一的操作管理界面,方便安全审计人员进行操作,该中心主要包括如下模块:
实时监控模块:实时显示符合审计策略的报警信息,主要起到事中或实时审计的作用。
查询检索模块:通过关键字进行组合查询,得到系统管理员所需要的结果。
综合报表模块。形成合规性报表、按照访问者、时间段、被审计对象、操作内容等生成报表。另外,报表系统提供方便的扩展接口,方便用户生成定制化报表。
事后取证:日志存储中心存储了最原始的审计日志信息,通过事件取证功能,可以获取相应的审计证据。
5)用户管理模块。根据独立审计的原则,集中日志审计系统采用三权分立的用户管理办法,管理员、操作员和审计员权限分
办公行为审计:内部用户打印、收发邮件、FTP下载等行为进行审计。
运维行为审计:运维人员对网络设备、主机系统、数据库中间件、应用系统等进行配置、变更、备份等操作进行审计。
业务操作审计:业务人员通过业务系统进行业务操作行为的审计。由于业务操作最终会体现在数据库中,所以通过数据库审计可有效反映业务操作行为。
在金融行业中,运维行为和业务操作行为如果出现违规不仅可能造成业务中断甚至造成资金丢失等严重金融事件,因此运维行为审计和业务操作行为审计是金融行业关注的重点。对此,目前市场上有运维审计产品、数据库审计产品、日志审计产品和安全综合审计产品。
运维审计产品主要是实现系统用户的集中管理和运维人员的运维操作控制及审计功能。产品采用逻辑串行部署方式,一般部署在运维区的交换机上,运维人员不能直接访问主机服务器,必须首先登录到运维审计产品后才能访问主机服务器进行运维操作。运维审计产品把运维人员的所有运维操作全部记录下来,并且根据事先制定的策略允许或禁止某些操作的执行,并且对于高危险操作实时进行报警。
数据库审计产品能够监视并记录对数据库服务器的各类操作行为,实时地、智能地解析对数据库服务器的各种操作,一般操作行为如数据库的登录,特定的操作如对数据库表的插入、删除、修改,执行特定的存贮过程等都能够被记录和分析,分析的内容要求可以精确到SQL操作语句一级,并记录这些操作的用户名、机器IP地址、操作时间等重要信息。
日志审计产品能够收集、分析和记录操作系统、网络设备、应用中间件等系统的日志数据。日志审计产品主要采用Syslog、SNMP Trap等方式采集系统日志,不需要在被采集设备上安装采集代理程序。日志审计产品将各系统的日志统一集中存储,可以有效保护审计日志的完整性,为日后的审计取证提供依据。
下表描述了目前市场上的审计产品能够审计的用户行为之间的关系:
给金融一个统一融合的安全审计方案
为了实现信息科技的全面安全审计而部署的日志审计、数据库审计和运维审计系统是不应该彼此割裂的,而能够统一为一个整体,将收集到IT资源日志、数据库访问操作日志、系统运维操作日志一起进行关联分析处理,进行统一管理、统一展现、统一分析、统一存储,实现组织安全审计工作的一体化。
综合安全审计系统的常见逻辑结构图1如下:
图1 综合安全审计系统的常见逻辑结构图
其中综合安全审计系统内部功能结构图如下图2所示:
图2 综合安全审计系统内部功能结构
如上图2所示,综合安全审计系统各功能模块的主要作用:
1)审计日志采集中心:收集日志审计设备、数据库审计设备和运维审计设备等产生的审计日志信息,在审计日志采集的过程中,实现审计日志的过滤、范式化等操作。
2)审计日志存储中心:接收审计日志采集中心的数据,进行分类入库保留原始的日志,同时,也会保存范式化数据以及关联分析数据,这些数据统一入库存储。
3)审计日志分析中心:对日志审计信息、数据审计信息、运维审计信息进行关联分析和数据挖掘,深入分析可能存在的违规行为。
4)综合显示中心:提供一个统一的操作管理界面,方便安全审计人员进行操作,该中心主要包括如下模块:
实时监控模块:实时显示符合审计策略的报警信息,主要起到事中或实时审计的作用。
查询检索模块:通过关键字进行组合查询,得到系统管理员所需要的结果。
综合报表模块。形成合规性报表、按照访问者、时间段、被审计对象、操作内容等生成报表。另外,报表系统提供方便的扩展接口,方便用户生成定制化报表。
事后取证:日志存储中心存储了最原始的审计日志信息,通过事件取证功能,可以获取相应的审计证据。
5)用户管理模块。根据独立审计的原则,集中日志审计系统采用三权分立的用户管理办法,管理员、操作员和审计员权限分
责任编辑:和硕涵
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞
-
发电电力辅助服务营销决策模型
2019-06-24电力辅助服务营销 -
绕过安卓SSL验证证书的四种方式
-
网络何以可能
2017-02-24网络
