一、 背景
随着信息化的快速发展,信息化应用在银行业务、资金流通中发挥着不可替代的重要作用,各项业务工作对信息网的依赖程度日益加深,信息网尤其是银行门户已成为银行和用户交流和交互的重要工具。银行门户网站在发挥巨大作用的同时,自身安全也变得越来越重要。该用户已部署了多种安全设备及系统来提高对网站的保护和监管。通过“金盾工程”的多期建设,完成了网站综合防护系统、防病毒系统、防火墙、入侵检测系统、监控及补丁分发系统、PKI/PMI身份认证等安全系统或技术手段建设。初步构建起了一套较为完善的安全防御技术体系。
但是随着信息安全系统的部署和发展,该银行的信息安全工作面临如下的需求:
需要建设全面的日志采集需求:需要将接入网络、网站范围内的安全日志及主机系统日志,统一采取日志,集中管理分析。
日志规范化需求:由于全网设备种类繁多,各设备日志信息存储格式、字段含义、通信协议差异较大。需要对采集到的各种设备日志进行归一化处理,提取审计记录完整信息,为后续审计分析提供依据。
基于策略的日志过滤、归并:面对海量原始日志,需要按照相关策略进行过滤和归并,减轻日志数据传输压力和存储压力。
关联分析及审计需求:对于来自各个资源的日志信息,提供多维的关联分析功能。面向系统用户,将一个用户在多个设备上的操作进行横向关联分析,形成以用户为主题的操作行为审计;面向特定安全事件,对于发生在多个设备上的事件痕迹进行关联分析,形成一个完整的事件相关操作过程的审计;从设备角度,形成本设备全部访问情况的安全审计报告。
日志存储需求:原始日志信息是来自网络的第一手数据,需要长期存储,并确保它们的完整性、保密性,不得随意访问、修改和删除。同时,由于日志量较大,应提供压缩存储机制。
通过实施告警标准化系统,可以达到对告警分级分类展现,提高工作效率的目的。因此,该银行用户希望通过建设一个日志审计平台,实现对各类安全日志进行集中管理并解决以上安全工作难题。
二、 方案
项目组对该银行用户的需求进行了分析和归类,决定采取如下方案:
1. 安装并部署日志审计系统。
日志审计系统(下简称日志审计系统)是公司独立研制的、拥有自主知识产权的新一代日志处理和分析的系统。系统通过集中采集各类系统中的安全事件(如网络攻击、防病毒等)、用户访问记录、系统运行日志、系统运行状态、网络存取日志等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理。
日志审计系统提供对信息系统中各类主机、数据库、应用和设备的安全事件进行实时采集、实时分析、异常报警、集中存储和事后分析功能,支持分布式部署,具备对各类网络设备、安全设备、操作系统、中间件服务器、通用服务、数据库和其它应用进行全面的日志安全审计能力。
通过日志审计系统,相关人员可以随时了解整系统的运行情况,及时发现系统异常事件及非法访问行为;通过事后分析和丰富的报表系统,管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障,日志审计系统可以确保日志完整性和可用性,协助管理员进行故障快速定位,并提供客观依据进行追查和恢复。
因此,日志审计系统可以帮助用户有效降低系统的故障而带来的损失,降低运维成本和管理的复杂度,显着提高系统整体的安全性、可靠性和运行效率,保证信息系统7X24的正常、持续、稳定运行,从而降低信息系统的整体安全风险。
日志审计系统功能架构
2. 安全日志的集中采集和分析
日志审计系统建设安装完毕之后,日志审计系统提供资产管理模块,以方便用户对被管对象的管理。随后接入各类日志和事件,指定需要采集的目标、接入方式以及相关参数(如数据库的各种连接参数)、选择标准换的脚本和过滤及归并策略;
系统根据指定的标准化脚本,对相应日志或事件进行标准字段的映射,并进行过滤和归并操作;过滤和归并的目的均是为了压缩整体日志数量,而且利用过滤策略,用户也可以将指定的日志转发至需要的地方或对日志信息的相关属性进行重新赋值;
审计和关联是日志审计系统的核心分析部分,它不仅可以综合考量各种日志之间可能存在的关系,而且能够对日志中相关要素进行分析;最终,关联和审计的结果均以告警的形式出现在系统中;
3. 安全事件的运维处理
系统通过综合分析,对相关资产的风险进行评估,给出量化的数值以标识系统的风险情况。利用工单形式,对关联和审计产生的告警进行流转,从而完成安全管理的闭环处理;
系统提供基础、高级和基于搜索表达式的方式对原始事件进行不同维度的查询和检索;
系统提供日志发送配置(即如何对各种系统进行配置,使其产生日志)、安全事件知识、安全经验等,对日志审计提供相应的支撑;
三、 效果
满足日志审计的迫切需求
因为日志审计是日常信息安全管理中最为重要的环节之一;能从纷繁复杂的日志中萃取出具有价值的部分是各类信息安全管理者、参与者、相关者最大的诉求。日志审计系统支持基于规则和基于统计的关联分析,支持多种数据来源和响应方式,能够基于资产进行综合风险分析和计算;支持长时间的关联分析,利用日志审计系统搭建的日志审计体系,具备高可靠、高性能的特点,满足了日志审计、集中分析的现实需求。
满足安全技术保障体系建设要求的需要
一个完整的信息安全技术保障体系应由检测、保护和响应三部分组成,而日志审计是检测安全事件的不可或缺重要手段之一。目前,大部分信息系统的所依赖的IDS/IPS系统只能检测部分来之网络的攻击事件,对运维人员的违规操作、系统运行异常、设备故障等安全事件缺乏监控能力,而这些异常事件恰恰是对内部信息系统安全威胁的最大部分。利用日志审计系统搭建的日志审计体系能分析各设备、系统、应用、数据库产生的运行日志,能够及时发现入侵检测系统检测到的各类安全隐患,并及时给予告警,从而避免安全事件的发生;
满足各种规范符合性要求的需要
诸如《信息安全等级保护》(几乎各级均要求提供审计功能)、《信息安全风险管理规范》、《基于互联网电子政务信息安全指南》、《银行业金融机构信息系统管理指引》等,要求对重要系统、设备的运日志进行保留,并且周期性地进行第三方审计的需要。利用日志审计系统搭建的日志审计体系可支持对安全规范的符合性要求,利用审计规则自动化的评估审计策略的符合程度,从而支撑用户对审计工作的需求。
满足灵活和易用 的需求
日志审计系统系统通过提供入门向导、个人工作台、任务通知、快捷菜单等方式,为用户提供了简单易用的界面,即使是初次使用日志审计系统,也完全能在较短的时间内掌握。
从产品设计角度而言,日志审计系统具有极大的灵活性,它拥有可配置的安全仪表板,可配置的系统功能菜单,支持用户自定义的告警策略和关联策略,具备灵活的安全事件标准化脚本以及方便的第三方接口,从而与该银行防护网络的其他应用系统良好的互动。