引言：為保障單位信息及信息處理設施的安全，防范內外部攻擊，單位采用各類安全控制措施。但外部入侵和內部違規(guī)行為從未停歇，加之單位內部缺乏必要的關聯(lián)分析，缺乏安全事件的監(jiān)控手段。本文現(xiàn)提出安全審計監(jiān)控平臺設計建議，共同打造安全監(jiān)控審計平臺。

信息系統(tǒng)建設情況

中國建設銀行山東省分行信息系統(tǒng)主要包括總行部署系統(tǒng)和分行部署系統(tǒng)，總行部署系統(tǒng)服務器端部署在總行，由總行管理維護；分行部署系統(tǒng)，服務器端部署在省分行，由分行維護管理。目前在山東建行有服務器端部署的應用系統(tǒng)有小型機、服務器等400余臺、虛擬機200余臺等；客戶端由員工辦公用機及營業(yè)終端組成，以及辦公用機、營業(yè)終端；中心機房有路由器及交換機若干、UPS、空調等環(huán)境保障設備。

信息安全技術建設情況

為保障單位信息及信息處理設施的安全，防范內外部攻擊，單位采用身份認證、訪問控制、加密、防泄密、安全加固、安全監(jiān)控、安全審計等安全技術，建設部署了各類安全控制措施：

建立了統(tǒng)一認證授權平臺，集中鑒別內部用戶身份；建立安全運維平臺，用于集中管理和鑒別主機、網(wǎng)絡設備等基礎設施的用戶身份。

在網(wǎng)絡層面部署了多層防火墻將內部網(wǎng)絡和外部網(wǎng)絡進行劃分，并采用防火墻、ACL、VLAN等技術對內部區(qū)域進行邏輯劃分，控制網(wǎng)絡之間的訪問。

建立了標準的密碼安全服務平臺，提供了標準的密碼運算服務軟件、接口、組件，已應用到啞終端及Windows終端，區(qū)域特色平臺中部分與第三方通訊采用符合加密標準的算法加密。

在全行的Windows主機和終端上部署了統(tǒng)一的病毒防護系統(tǒng)，在互聯(lián)網(wǎng)區(qū)部署了防病毒網(wǎng)關，在外聯(lián)網(wǎng)區(qū)部署了病毒防護策略。

在互聯(lián)網(wǎng)平臺部署了數(shù)據(jù)泄露防護系統(tǒng)，監(jiān)控敏感數(shù)據(jù)傳輸。利用沙盒將互聯(lián)網(wǎng)訪問、敏感信息訪問與內網(wǎng)辦公進行有效隔離，防止敏感信息非授權傳播。

安全審計監(jiān)控技術應用現(xiàn)狀

山東建行逐步部署實施了分行集中監(jiān)控管理平臺、網(wǎng)管系統(tǒng)監(jiān)控、中心機房場地監(jiān)控系統(tǒng)等監(jiān)控系統(tǒng)，通過對監(jiān)控對象、監(jiān)控指標、監(jiān)控閾值的梳理和應用，在監(jiān)控對象偏離預定閾值時，監(jiān)控系統(tǒng)及時發(fā)出告警信息，運行維護人員及時處置，防范風險事件的范圍的蔓延。山東建行在網(wǎng)絡層面部署了IDS等設備對外部攻擊行為進行檢測、分析和處理；部署了集中監(jiān)控平臺，對應用、主機設備的運行狀況進行實時監(jiān)控；部署了互聯(lián)網(wǎng)內容過濾系統(tǒng)、Web DLP；對互聯(lián)網(wǎng)內容訪問、信息發(fā)送進行限制和過濾；實現(xiàn)了對網(wǎng)點、第三方網(wǎng)絡的監(jiān)控和報警。

1．應用等監(jiān)控情況，主要通過集中監(jiān)控系統(tǒng)進行監(jiān)控，內容包含應用進程運行情況、日志出錯情況等。

2．主機、網(wǎng)絡系統(tǒng)監(jiān)控情況，主要通過中監(jiān)控系統(tǒng)進行監(jiān)控，監(jiān)控內容包含系統(tǒng)進程、容量、網(wǎng)絡聯(lián)通等。

3．物理環(huán)境監(jiān)控情況。主要使用場地監(jiān)控系統(tǒng)，對省行中心機房門禁系統(tǒng)、UPS運行情況、電力指標、空調運行情況等情況進行實時監(jiān)控，通過對指標閾值進行量化設置，超過正常范圍則通過電話、短信等方式報警，并對全省二級分行監(jiān)控系統(tǒng)進行聯(lián)網(wǎng)監(jiān)控，發(fā)現(xiàn)異常情況及時處置。

存在的不足

圖1 系統(tǒng)總體架構示意圖

外部入侵和內部違規(guī)行為從來都不是單一的行為，都是有時序或者邏輯上的聯(lián)系的，黑客的攻擊和內部的違規(guī)操作往往是分為若干步驟的，每個步驟都會在不同的設備和系統(tǒng)上留下蛛絲馬跡，單看某個設備的日志可能無法發(fā)現(xiàn)問題，但是將所有這些信息合到一起，就可能發(fā)現(xiàn)其中的隱患，而這也是關聯(lián)分析的目的所在。但目前商業(yè)銀行的安全信息和事件分布零散,各種安全日志和事件缺乏必要的關聯(lián)分析，缺乏安全事件的監(jiān)控手段，一是難以全面收集，不利于深度挖掘有效信息，二是沒有統(tǒng)一的整體風險視圖，缺少安全風險呈現(xiàn)和發(fā)布平臺，無法及時掌控整體安全態(tài)勢。目前的關聯(lián)分析面臨三個主要問題，一是如何制定科學靈活的規(guī)則，對來自于多渠道的相同和相近的安全事件做歸并處理，避免重復告警；二是采用什么方式能夠快速分析出單個安全事件之間關系；三是關聯(lián)分析過程中如何應對安全事件風險的提升和降低。

系統(tǒng)建設目標

基于以上分析，現(xiàn)提出安全審計監(jiān)控平臺設計建議。安全審計監(jiān)控平臺全面采集和分析生產(chǎn)環(huán)境中應用平臺、運維平臺的安全信息、事件和安全操作日志，發(fā)現(xiàn)和預警外部攻擊、違規(guī)行為、安全隱患和事故，以加快風險事件的定位處理速度、保障信息系統(tǒng)的持續(xù)安全運營，如圖1所示。

1．豐富業(yè)務風險發(fā)現(xiàn)手段。通過業(yè)務交易的典型可疑交易賬戶、地點、行為等要素關聯(lián)分析，發(fā)現(xiàn)風險賬戶和可疑行為，豐富業(yè)務風險識別手段。

2．發(fā)現(xiàn)外部攻擊行為。通過對防火墻、入侵檢測系統(tǒng)、防病毒網(wǎng)關、Web應用等日志和事件的關聯(lián)分析，發(fā)現(xiàn)來自外部的威脅。

3．用戶和終端的審計和監(jiān)控。通過審計和跟蹤用戶管理、用戶操作行為，監(jiān)控終端健康狀況，發(fā)現(xiàn)風險和安全隱患。

4．信息泄露發(fā)現(xiàn)與監(jiān)控。通過跟蹤數(shù)據(jù)、介質的使用情況和分析數(shù)據(jù)使用環(huán)境的日志，發(fā)現(xiàn)信息泄露行為。

5．統(tǒng)一呈現(xiàn)全面IT風險態(tài)勢。集中展示安全事件及風險分析報告，提供一體化、多視角的全面IT風險視圖。

系統(tǒng)主要功能

安全審計監(jiān)控平臺包括安全事件收集、審計監(jiān)控主控、安全事件關聯(lián)分析、安全風險發(fā)布和集中呈現(xiàn)、審計取證和監(jiān)控跟蹤等5個模塊。組件整體功能視圖如圖2：

1．安全事件收集服務功能

對現(xiàn)有監(jiān)控系統(tǒng)如集中監(jiān)控系統(tǒng)、場地監(jiān)控系統(tǒng)、網(wǎng)絡管理系統(tǒng)以及主機、數(shù)據(jù)庫、安全管理系統(tǒng)的日志等監(jiān)控信息進行集中歸集，對于審計類信息系統(tǒng)如安全運維管理系統(tǒng)、安全類系統(tǒng)具有的審計功能（互聯(lián)網(wǎng)內容過濾系統(tǒng)、DLP、沙盒、防病毒系統(tǒng)等）、操作系統(tǒng)自帶審計日志。

業(yè)務類安全信息和事件從交易流水獲得；業(yè)務交易及管理系統(tǒng)、運維平臺及其他應用級、系統(tǒng)級日志，通過部署的采集節(jié)點進行收集；網(wǎng)絡層、操作系統(tǒng)層等事件日志通過專用采集設備獲得。以上數(shù)據(jù)同公共服務數(shù)據(jù)一起構成安全審計監(jiān)控組件的基礎數(shù)據(jù)來源。

圖2 組件整體功能視圖

對于以上監(jiān)控審計目標，系統(tǒng)服務提供各審計監(jiān)控目標的安全日志、事件的采集，并將采集數(shù)據(jù)經(jīng)過篩選、規(guī)范化處理后進入審計監(jiān)控后端數(shù)據(jù)庫。主要包括3類：

信息集散地：已將其他系統(tǒng)或組件采集、篩選、規(guī)范化后的數(shù)據(jù)集，安全審計監(jiān)控組件將直接從其數(shù)據(jù)庫中獲取信息；

第三方采集設備/系統(tǒng)：支持常見網(wǎng)絡和安全設備、操作系統(tǒng)、系統(tǒng)軟件、安全軟件的日志采集，向安全審計監(jiān)控組件提供文件、數(shù)據(jù)庫記錄形式的日志信息；

其他類型監(jiān)控目標：應用系統(tǒng)、客戶化定制的安全系統(tǒng)，需安全審計監(jiān)控組件編寫數(shù)據(jù)采集插件或代理，對文件或數(shù)據(jù)庫記錄型的日志信息進行提取。

2．建立關聯(lián)分析,展現(xiàn)風險視圖

建立關聯(lián)分析規(guī)則。將安全日志信息原數(shù)據(jù)按關聯(lián)規(guī)則進行關聯(lián)分析后,形成面向特定主題的關聯(lián)分析數(shù)據(jù)，進行報告、報警處理。分為關聯(lián)分析控制器、關聯(lián)分析引擎、關聯(lián)規(guī)則，關聯(lián)規(guī)則由用戶定義、業(yè)務驅動、面向特定主題的規(guī)則（如郵件安全主題、數(shù)據(jù)防泄漏主題等），是不斷擴充和完善的；關聯(lián)分析引擎用于執(zhí)行關聯(lián)規(guī)則，可適應規(guī)則不斷變化的狀況；關聯(lián)分析控制器實現(xiàn)關聯(lián)規(guī)則的獲取，調度和控制關聯(lián)分析引擎、實現(xiàn)多線程的并發(fā)。

展現(xiàn)目標風險視圖。安全審計監(jiān)控平臺對各系統(tǒng)IT風險事件進行告警，通過短信、郵件發(fā)送給相關人員，并進行定期風險發(fā)布，同時實現(xiàn)重大IT風險事件處理過程的跟蹤。通過關聯(lián)規(guī)則分析后，一是展示單個系統(tǒng)的風險視圖及重要風險點，二是在分析每個系統(tǒng)的基礎上展示整體風險態(tài)勢，三是挖掘各關聯(lián)事件內容，發(fā)掘隱藏的相關性，發(fā)現(xiàn)新的安全事件。