淺析銀行安全審計監控技術

引言：為保障單位信息及信息處理設施的安全，防范內外部攻擊，單位采用各類安全控制措施。但外部入侵和內部違規行為從未停歇，加之單位內部缺乏必要的關聯分析，缺乏安全事件的監控手段。本文現提出安全審計監控平臺設計建議，共同打造安全監控審計平臺。

信息系統建設情況

中國建設銀行山東省分行信息系統主要包括總行部署系統和分行部署系統，總行部署系統服務器端部署在總行，由總行管理維護；分行部署系統，服務器端部署在省分行，由分行維護管理。目前在山東建行有服務器端部署的應用系統有小型機、服務器等400余臺、虛擬機200余臺等；客戶端由員工辦公用機及營業終端組成，以及辦公用機、營業終端；中心機房有路由器及交換機若干、UPS、空調等環境保障設備。

信息安全技術建設情況

為保障單位信息及信息處理設施的安全，防范內外部攻擊，單位采用身份認證、訪問控制、加密、防泄密、安全加固、安全監控、安全審計等安全技術，建設部署了各類安全控制措施：

建立了統一認證授權平臺，集中鑒別內部用戶身份；建立安全運維平臺，用于集中管理和鑒別主機、網絡設備等基礎設施的用戶身份。

在網絡層面部署了多層防火墻將內部網絡和外部網絡進行劃分，并采用防火墻、ACL、VLAN等技術對內部區域進行邏輯劃分，控制網絡之間的訪問。

建立了標準的密碼安全服務平臺，提供了標準的密碼運算服務軟件、接口、組件，已應用到啞終端及Windows終端，區域特色平臺中部分與第三方通訊采用符合加密標準的算法加密。

在全行的Windows主機和終端上部署了統一的病毒防護系統，在互聯網區部署了防病毒網關，在外聯網區部署了病毒防護策略。

在互聯網平臺部署了數據泄露防護系統，監控敏感數據傳輸。利用沙盒將互聯網訪問、敏感信息訪問與內網辦公進行有效隔離，防止敏感信息非授權傳播。

安全審計監控技術應用現狀

山東建行逐步部署實施了分行集中監控管理平臺、網管系統監控、中心機房場地監控系統等監控系統，通過對監控對象、監控指標、監控閾值的梳理和應用，在監控對象偏離預定閾值時，監控系統及時發出告警信息，運行維護人員及時處置，防范風險事件的范圍的蔓延。山東建行在網絡層面部署了IDS等設備對外部攻擊行為進行檢測、分析和處理；部署了集中監控平臺，對應用、主機設備的運行狀況進行實時監控；部署了互聯網內容過濾系統、Web DLP；對互聯網內容訪問、信息發送進行限制和過濾；實現了對網點、第三方網絡的監控和報警。

1．應用等監控情況，主要通過集中監控系統進行監控，內容包含應用進程運行情況、日志出錯情況等。

2．主機、網絡系統監控情況，主要通過中監控系統進行監控，監控內容包含系統進程、容量、網絡聯通等。

3．物理環境監控情況。主要使用場地監控系統，對省行中心機房門禁系統、UPS運行情況、電力指標、空調運行情況等情況進行實時監控，通過對指標閾值進行量化設置，超過正常范圍則通過電話、短信等方式報警，并對全省二級分行監控系統進行聯網監控，發現異常情況及時處置。

存在的不足

圖1 系統總體架構示意圖

外部入侵和內部違規行為從來都不是單一的行為，都是有時序或者邏輯上的聯系的，黑客的攻擊和內部的違規操作往往是分為若干步驟的，每個步驟都會在不同的設備和系統上留下蛛絲馬跡，單看某個設備的日志可能無法發現問題，但是將所有這些信息合到一起，就可能發現其中的隱患，而這也是關聯分析的目的所在。但目前商業銀行的安全信息和事件分布零散,各種安全日志和事件缺乏必要的關聯分析，缺乏安全事件的監控手段，一是難以全面收集，不利于深度挖掘有效信息，二是沒有統一的整體風險視圖，缺少安全風險呈現和發布平臺，無法及時掌控整體安全態勢。目前的關聯分析面臨三個主要問題，一是如何制定科學靈活的規則，對來自于多渠道的相同和相近的安全事件做歸并處理，避免重復告警；二是采用什么方式能夠快速分析出單個安全事件之間關系；三是關聯分析過程中如何應對安全事件風險的提升和降低。

系統建設目標

基于以上分析，現提出安全審計監控平臺設計建議。安全審計監控平臺全面采集和分析生產環境中應用平臺、運維平臺的安全信息、事件和安全操作日志，發現和預警外部攻擊、違規行為、安全隱患和事故，以加快風險事件的定位處理速度、保障信息系統的持續安全運營，如圖1所示。

1．豐富業務風險發現手段。通過業務交易的典型可疑交易賬戶、地點、行為等要素關聯分析，發現風險賬戶和可疑行為，豐富業務風險識別手段。

2．發現外部攻擊行為。通過對防火墻、入侵檢測系統、防病毒網關、Web應用等日志和事件的關聯分析，發現來自外部的威脅。

3．用戶和終端的審計和監控。通過審計和跟蹤用戶管理、用戶操作行為，監控終端健康狀況，發現風險和安全隱患。

4．信息泄露發現與監控。通過跟蹤數據、介質的使用情況和分析數據使用環境的日志，發現信息泄露行為。

5．統一呈現全面IT風險態勢。集中展示安全事件及風險分析報告，提供一體化、多視角的全面IT風險視圖。

系統主要功能

安全審計監控平臺包括安全事件收集、審計監控主控、安全事件關聯分析、安全風險發布和集中呈現、審計取證和監控跟蹤等5個模塊。組件整體功能視圖如圖2：

1．安全事件收集服務功能

對現有監控系統如集中監控系統、場地監控系統、網絡管理系統以及主機、數據庫、安全管理系統的日志等監控信息進行集中歸集，對于審計類信息系統如安全運維管理系統、安全類系統具有的審計功能（互聯網內容過濾系統、DLP、沙盒、防病毒系統等）、操作系統自帶審計日志。

業務類安全信息和事件從交易流水獲得；業務交易及管理系統、運維平臺及其他應用級、系統級日志，通過部署的采集節點進行收集；網絡層、操作系統層等事件日志通過專用采集設備獲得。以上數據同公共服務數據一起構成安全審計監控組件的基礎數據來源。

圖2 組件整體功能視圖

對于以上監控審計目標，系統服務提供各審計監控目標的安全日志、事件的采集，并將采集數據經過篩選、規范化處理后進入審計監控后端數據庫。主要包括3類：

信息集散地：已將其他系統或組件采集、篩選、規范化后的數據集，安全審計監控組件將直接從其數據庫中獲取信息；

第三方采集設備/系統：支持常見網絡和安全設備、操作系統、系統軟件、安全軟件的日志采集，向安全審計監控組件提供文件、數據庫記錄形式的日志信息；

其他類型監控目標：應用系統、客戶化定制的安全系統，需安全審計監控組件編寫數據采集插件或代理，對文件或數據庫記錄型的日志信息進行提取。

2．建立關聯分析,展現風險視圖

建立關聯分析規則。將安全日志信息原數據按關聯規則進行關聯分析后,形成面向特定主題的關聯分析數據，進行報告、報警處理。分為關聯分析控制器、關聯分析引擎、關聯規則，關聯規則由用戶定義、業務驅動、面向特定主題的規則（如郵件安全主題、數據防泄漏主題等），是不斷擴充和完善的；關聯分析引擎用于執行關聯規則，可適應規則不斷變化的狀況；關聯分析控制器實現關聯規則的獲取，調度和控制關聯分析引擎、實現多線程的并發。

展現目標風險視圖。安全審計監控平臺對各系統IT風險事件進行告警，通過短信、郵件發送給相關人員，并進行定期風險發布，同時實現重大IT風險事件處理過程的跟蹤。通過關聯規則分析后，一是展示單個系統的風險視圖及重要風險點，二是在分析每個系統的基礎上展示整體風險態勢，三是挖掘各關聯事件內容，發掘隱藏的相關性，發現新的安全事件。