淺析銀行安全審計(jì)監(jiān)控技術(shù)

引言：為保障單位信息及信息處理設(shè)施的安全，防范內(nèi)外部攻擊，單位采用各類安全控制措施。但外部入侵和內(nèi)部違規(guī)行為從未停歇，加之單位內(nèi)部缺乏必要的關(guān)聯(lián)分析，缺乏安全事件的監(jiān)控手段。本文現(xiàn)提出安全審計(jì)監(jiān)控平臺(tái)設(shè)計(jì)建議，共同打造安全監(jiān)控審計(jì)平臺(tái)。

信息系統(tǒng)建設(shè)情況

中國(guó)建設(shè)銀行山東省分行信息系統(tǒng)主要包括總行部署系統(tǒng)和分行部署系統(tǒng)，總行部署系統(tǒng)服務(wù)器端部署在總行，由總行管理維護(hù)；分行部署系統(tǒng)，服務(wù)器端部署在省分行，由分行維護(hù)管理。目前在山東建行有服務(wù)器端部署的應(yīng)用系統(tǒng)有小型機(jī)、服務(wù)器等400余臺(tái)、虛擬機(jī)200余臺(tái)等；客戶端由員工辦公用機(jī)及營(yíng)業(yè)終端組成，以及辦公用機(jī)、營(yíng)業(yè)終端；中心機(jī)房有路由器及交換機(jī)若干、UPS、空調(diào)等環(huán)境保障設(shè)備。

信息安全技術(shù)建設(shè)情況

為保障單位信息及信息處理設(shè)施的安全，防范內(nèi)外部攻擊，單位采用身份認(rèn)證、訪問控制、加密、防泄密、安全加固、安全監(jiān)控、安全審計(jì)等安全技術(shù)，建設(shè)部署了各類安全控制措施：

建立了統(tǒng)一認(rèn)證授權(quán)平臺(tái)，集中鑒別內(nèi)部用戶身份；建立安全運(yùn)維平臺(tái)，用于集中管理和鑒別主機(jī)、網(wǎng)絡(luò)設(shè)備等基礎(chǔ)設(shè)施的用戶身份。

在網(wǎng)絡(luò)層面部署了多層防火墻將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進(jìn)行劃分，并采用防火墻、ACL、VLAN等技術(shù)對(duì)內(nèi)部區(qū)域進(jìn)行邏輯劃分，控制網(wǎng)絡(luò)之間的訪問。

建立了標(biāo)準(zhǔn)的密碼安全服務(wù)平臺(tái)，提供了標(biāo)準(zhǔn)的密碼運(yùn)算服務(wù)軟件、接口、組件，已應(yīng)用到啞終端及Windows終端，區(qū)域特色平臺(tái)中部分與第三方通訊采用符合加密標(biāo)準(zhǔn)的算法加密。

在全行的Windows主機(jī)和終端上部署了統(tǒng)一的病毒防護(hù)系統(tǒng)，在互聯(lián)網(wǎng)區(qū)部署了防病毒網(wǎng)關(guān)，在外聯(lián)網(wǎng)區(qū)部署了病毒防護(hù)策略。

在互聯(lián)網(wǎng)平臺(tái)部署了數(shù)據(jù)泄露防護(hù)系統(tǒng)，監(jiān)控敏感數(shù)據(jù)傳輸。利用沙盒將互聯(lián)網(wǎng)訪問、敏感信息訪問與內(nèi)網(wǎng)辦公進(jìn)行有效隔離，防止敏感信息非授權(quán)傳播。

安全審計(jì)監(jiān)控技術(shù)應(yīng)用現(xiàn)狀

山東建行逐步部署實(shí)施了分行集中監(jiān)控管理平臺(tái)、網(wǎng)管系統(tǒng)監(jiān)控、中心機(jī)房場(chǎng)地監(jiān)控系統(tǒng)等監(jiān)控系統(tǒng)，通過對(duì)監(jiān)控對(duì)象、監(jiān)控指標(biāo)、監(jiān)控閾值的梳理和應(yīng)用，在監(jiān)控對(duì)象偏離預(yù)定閾值時(shí)，監(jiān)控系統(tǒng)及時(shí)發(fā)出告警信息，運(yùn)行維護(hù)人員及時(shí)處置，防范風(fēng)險(xiǎn)事件的范圍的蔓延。山東建行在網(wǎng)絡(luò)層面部署了IDS等設(shè)備對(duì)外部攻擊行為進(jìn)行檢測(cè)、分析和處理；部署了集中監(jiān)控平臺(tái)，對(duì)應(yīng)用、主機(jī)設(shè)備的運(yùn)行狀況進(jìn)行實(shí)時(shí)監(jiān)控；部署了互聯(lián)網(wǎng)內(nèi)容過濾系統(tǒng)、Web DLP；對(duì)互聯(lián)網(wǎng)內(nèi)容訪問、信息發(fā)送進(jìn)行限制和過濾；實(shí)現(xiàn)了對(duì)網(wǎng)點(diǎn)、第三方網(wǎng)絡(luò)的監(jiān)控和報(bào)警。

1．應(yīng)用等監(jiān)控情況，主要通過集中監(jiān)控系統(tǒng)進(jìn)行監(jiān)控，內(nèi)容包含應(yīng)用進(jìn)程運(yùn)行情況、日志出錯(cuò)情況等。

2．主機(jī)、網(wǎng)絡(luò)系統(tǒng)監(jiān)控情況，主要通過中監(jiān)控系統(tǒng)進(jìn)行監(jiān)控，監(jiān)控內(nèi)容包含系統(tǒng)進(jìn)程、容量、網(wǎng)絡(luò)聯(lián)通等。

3．物理環(huán)境監(jiān)控情況。主要使用場(chǎng)地監(jiān)控系統(tǒng)，對(duì)省行中心機(jī)房門禁系統(tǒng)、UPS運(yùn)行情況、電力指標(biāo)、空調(diào)運(yùn)行情況等情況進(jìn)行實(shí)時(shí)監(jiān)控，通過對(duì)指標(biāo)閾值進(jìn)行量化設(shè)置，超過正常范圍則通過電話、短信等方式報(bào)警，并對(duì)全省二級(jí)分行監(jiān)控系統(tǒng)進(jìn)行聯(lián)網(wǎng)監(jiān)控，發(fā)現(xiàn)異常情況及時(shí)處置。

存在的不足

圖1 系統(tǒng)總體架構(gòu)示意圖

外部入侵和內(nèi)部違規(guī)行為從來都不是單一的行為，都是有時(shí)序或者邏輯上的聯(lián)系的，黑客的攻擊和內(nèi)部的違規(guī)操作往往是分為若干步驟的，每個(gè)步驟都會(huì)在不同的設(shè)備和系統(tǒng)上留下蛛絲馬跡，單看某個(gè)設(shè)備的日志可能無法發(fā)現(xiàn)問題，但是將所有這些信息合到一起，就可能發(fā)現(xiàn)其中的隱患，而這也是關(guān)聯(lián)分析的目的所在。但目前商業(yè)銀行的安全信息和事件分布零散,各種安全日志和事件缺乏必要的關(guān)聯(lián)分析，缺乏安全事件的監(jiān)控手段，一是難以全面收集，不利于深度挖掘有效信息，二是沒有統(tǒng)一的整體風(fēng)險(xiǎn)視圖，缺少安全風(fēng)險(xiǎn)呈現(xiàn)和發(fā)布平臺(tái)，無法及時(shí)掌控整體安全態(tài)勢(shì)。目前的關(guān)聯(lián)分析面臨三個(gè)主要問題，一是如何制定科學(xué)靈活的規(guī)則，對(duì)來自于多渠道的相同和相近的安全事件做歸并處理，避免重復(fù)告警；二是采用什么方式能夠快速分析出單個(gè)安全事件之間關(guān)系；三是關(guān)聯(lián)分析過程中如何應(yīng)對(duì)安全事件風(fēng)險(xiǎn)的提升和降低。

系統(tǒng)建設(shè)目標(biāo)

基于以上分析，現(xiàn)提出安全審計(jì)監(jiān)控平臺(tái)設(shè)計(jì)建議。安全審計(jì)監(jiān)控平臺(tái)全面采集和分析生產(chǎn)環(huán)境中應(yīng)用平臺(tái)、運(yùn)維平臺(tái)的安全信息、事件和安全操作日志，發(fā)現(xiàn)和預(yù)警外部攻擊、違規(guī)行為、安全隱患和事故，以加快風(fēng)險(xiǎn)事件的定位處理速度、保障信息系統(tǒng)的持續(xù)安全運(yùn)營(yíng)，如圖1所示。

1．豐富業(yè)務(wù)風(fēng)險(xiǎn)發(fā)現(xiàn)手段。通過業(yè)務(wù)交易的典型可疑交易賬戶、地點(diǎn)、行為等要素關(guān)聯(lián)分析，發(fā)現(xiàn)風(fēng)險(xiǎn)賬戶和可疑行為，豐富業(yè)務(wù)風(fēng)險(xiǎn)識(shí)別手段。

2．發(fā)現(xiàn)外部攻擊行為。通過對(duì)防火墻、入侵檢測(cè)系統(tǒng)、防病毒網(wǎng)關(guān)、Web應(yīng)用等日志和事件的關(guān)聯(lián)分析，發(fā)現(xiàn)來自外部的威脅。

3．用戶和終端的審計(jì)和監(jiān)控。通過審計(jì)和跟蹤用戶管理、用戶操作行為，監(jiān)控終端健康狀況，發(fā)現(xiàn)風(fēng)險(xiǎn)和安全隱患。

4．信息泄露發(fā)現(xiàn)與監(jiān)控。通過跟蹤數(shù)據(jù)、介質(zhì)的使用情況和分析數(shù)據(jù)使用環(huán)境的日志，發(fā)現(xiàn)信息泄露行為。

5．統(tǒng)一呈現(xiàn)全面IT風(fēng)險(xiǎn)態(tài)勢(shì)。集中展示安全事件及風(fēng)險(xiǎn)分析報(bào)告，提供一體化、多視角的全面IT風(fēng)險(xiǎn)視圖。

系統(tǒng)主要功能

安全審計(jì)監(jiān)控平臺(tái)包括安全事件收集、審計(jì)監(jiān)控主控、安全事件關(guān)聯(lián)分析、安全風(fēng)險(xiǎn)發(fā)布和集中呈現(xiàn)、審計(jì)取證和監(jiān)控跟蹤等5個(gè)模塊。組件整體功能視圖如圖2：

1．安全事件收集服務(wù)功能

對(duì)現(xiàn)有監(jiān)控系統(tǒng)如集中監(jiān)控系統(tǒng)、場(chǎng)地監(jiān)控系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)以及主機(jī)、數(shù)據(jù)庫(kù)、安全管理系統(tǒng)的日志等監(jiān)控信息進(jìn)行集中歸集，對(duì)于審計(jì)類信息系統(tǒng)如安全運(yùn)維管理系統(tǒng)、安全類系統(tǒng)具有的審計(jì)功能（互聯(lián)網(wǎng)內(nèi)容過濾系統(tǒng)、DLP、沙盒、防病毒系統(tǒng)等）、操作系統(tǒng)自帶審計(jì)日志。

業(yè)務(wù)類安全信息和事件從交易流水獲得；業(yè)務(wù)交易及管理系統(tǒng)、運(yùn)維平臺(tái)及其他應(yīng)用級(jí)、系統(tǒng)級(jí)日志，通過部署的采集節(jié)點(diǎn)進(jìn)行收集；網(wǎng)絡(luò)層、操作系統(tǒng)層等事件日志通過專用采集設(shè)備獲得。以上數(shù)據(jù)同公共服務(wù)數(shù)據(jù)一起構(gòu)成安全審計(jì)監(jiān)控組件的基礎(chǔ)數(shù)據(jù)來源。

圖2 組件整體功能視圖

對(duì)于以上監(jiān)控審計(jì)目標(biāo)，系統(tǒng)服務(wù)提供各審計(jì)監(jiān)控目標(biāo)的安全日志、事件的采集，并將采集數(shù)據(jù)經(jīng)過篩選、規(guī)范化處理后進(jìn)入審計(jì)監(jiān)控后端數(shù)據(jù)庫(kù)。主要包括3類：

信息集散地：已將其他系統(tǒng)或組件采集、篩選、規(guī)范化后的數(shù)據(jù)集，安全審計(jì)監(jiān)控組件將直接從其數(shù)據(jù)庫(kù)中獲取信息；

第三方采集設(shè)備/系統(tǒng)：支持常見網(wǎng)絡(luò)和安全設(shè)備、操作系統(tǒng)、系統(tǒng)軟件、安全軟件的日志采集，向安全審計(jì)監(jiān)控組件提供文件、數(shù)據(jù)庫(kù)記錄形式的日志信息；

其他類型監(jiān)控目標(biāo)：應(yīng)用系統(tǒng)、客戶化定制的安全系統(tǒng)，需安全審計(jì)監(jiān)控組件編寫數(shù)據(jù)采集插件或代理，對(duì)文件或數(shù)據(jù)庫(kù)記錄型的日志信息進(jìn)行提取。

2．建立關(guān)聯(lián)分析,展現(xiàn)風(fēng)險(xiǎn)視圖

建立關(guān)聯(lián)分析規(guī)則。將安全日志信息原數(shù)據(jù)按關(guān)聯(lián)規(guī)則進(jìn)行關(guān)聯(lián)分析后,形成面向特定主題的關(guān)聯(lián)分析數(shù)據(jù)，進(jìn)行報(bào)告、報(bào)警處理。分為關(guān)聯(lián)分析控制器、關(guān)聯(lián)分析引擎、關(guān)聯(lián)規(guī)則，關(guān)聯(lián)規(guī)則由用戶定義、業(yè)務(wù)驅(qū)動(dòng)、面向特定主題的規(guī)則（如郵件安全主題、數(shù)據(jù)防泄漏主題等），是不斷擴(kuò)充和完善的；關(guān)聯(lián)分析引擎用于執(zhí)行關(guān)聯(lián)規(guī)則，可適應(yīng)規(guī)則不斷變化的狀況；關(guān)聯(lián)分析控制器實(shí)現(xiàn)關(guān)聯(lián)規(guī)則的獲取，調(diào)度和控制關(guān)聯(lián)分析引擎、實(shí)現(xiàn)多線程的并發(fā)。

展現(xiàn)目標(biāo)風(fēng)險(xiǎn)視圖。安全審計(jì)監(jiān)控平臺(tái)對(duì)各系統(tǒng)IT風(fēng)險(xiǎn)事件進(jìn)行告警，通過短信、郵件發(fā)送給相關(guān)人員，并進(jìn)行定期風(fēng)險(xiǎn)發(fā)布，同時(shí)實(shí)現(xiàn)重大IT風(fēng)險(xiǎn)事件處理過程的跟蹤。通過關(guān)聯(lián)規(guī)則分析后，一是展示單個(gè)系統(tǒng)的風(fēng)險(xiǎn)視圖及重要風(fēng)險(xiǎn)點(diǎn)，二是在分析每個(gè)系統(tǒng)的基礎(chǔ)上展示整體風(fēng)險(xiǎn)態(tài)勢(shì)，三是挖掘各關(guān)聯(lián)事件內(nèi)容，發(fā)掘隱藏的相關(guān)性，發(fā)現(xiàn)新的安全事件。