本站搜索: ·培训课程 ·审计资源
  ·首页  培训会议CIAACCACISACPACIMACGACATACAAIA澳洲CAP审计师考试风险管理师税务筹划师会计职称资格注册税务师理财规划师
税务咨询师法务会计师审计资讯审计法规审计案例公司治理风险管理内部控制审计常识审计书城审计论文固定资产投资审计财政审计经济责任审计
金融审计绩效审计计算机审计招聘/求职 审计问吧审计QQ群审计论坛 网上课堂审计报刊中国审计教育网理事会中国审计人才库中国审计精英论坛
银行应用层安全审计项目案例
 ·站内导航:首页->审计案例->内部审计->管理
银行应用层安全审计项目案例
  www.shenji.org  中国审计教育网  2008/10/24  我要纠错
 

针对中国XX银行给出的既定目标,东软公司提供了以应用行为审计、业务指令监听记录、命令行操作还原、访问身份与目标资源关联为核心的银行应用业务审计系统解决方案。

 案 例 简 介

  中国XX银行在利用NetEye访问控制设备、数据加密设备、网络审计设备进行网络层面的安全体系建设后,进一步提出构架应用层安全审计系统的设想。在该需求中,安全系统将直接定位于对应用层访问行为审计、用户身份与权限关联分析,约束应用层行为的合法性,提高应用层交易安全程度。为基本囊括所有针对中国XX银行业务系统的访问行为,中国XX银行要求对大部分网络活动进行跟踪记录、重组,最后对这些网络操作进行全面的记录,同时可以根据检索规则对业务系统使用的常见协议(如FTP、Telnet、HTTP、SMTP和POP3等)进行全程回放或重现,并且能理解TELNET、FTP协议的内容,并对这两种协议进行审计。对于其他的应用层协议,可通过在网络服务配置中添加协议端口,即可实现对此服务的原始数据的会话重组,并可通过审计系统界面进行回放。通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。同时,为保护中国XX银行信息资产的安全性,中国XX银行提出对数据系统访问行为进行有效审计和关联分析的要求,这一环节将构成除了数据库本身自带审计系统以外的唯一的审计系统,而且因为该系统与保护对象数据库之间的独立性,能够有效提高日志审计的安全性和公正性。另外,为中国XX银行提供安全防护服务的其他基础性网络安全设备同样被纳入本次应用安全审计的考虑范围,如前期工程中所大量部署的各类防火墙、IDS和数据加密设备等。

  用 户 名 称

  中国XX银行

  用 户 类 型

  金融

  用 户 需 求

  本次安全建设的重点在于实现关键应用协议的内容检索、身份识别和关联分析,因此要求安全设备能够切实理解所有关键应用协议的指令、语法等内部细节,此类关键应用协议包括:

  HTTP

  FTP

  TELNET

  INFORMIX的DBACCESS

  AIX的SMIT

  ODBC数据源连接

  NOKIA防火墙认证协议

  东软NetEye防火墙认证协议

  对其他应用要求提供自定义接口,供管理员在需要的时候自行定制检测规则。

  所以,如何理解并支持中国XX银行业务系统所涉及到的诸多协议称为解决方案首要考虑的课题。而且,在此基础上,能够有效从关键流量中提取出访问者身份信息、行为企图和访问目标的权限控制并进行关联分析成为本次解决方案的重要亮点。

  技 术 路 线

  针对中国XX银行给出的既定目标,东软公司提供了以应用行为审计、业务指令监听记录、命令行操作还原、访问身份与目标资源关联为核心的银行应用业务审计系统解决方案。

  该解决方案建立在东软公司NetEye安全阵营中的银行业务系统安全审计系统产品的基础之上,通过流量筛选过滤、特征匹配、协议分析、关键信息提取、身份权限与目标信息敏感度关联、访问行为日志记录、敏感流量应用层内容再现和过程回放等技术手段实现了第三方的应用级安全审计系统。

  东软公司银行应用业务安全审计解决方案是围绕NetEye安全审计系统产品而展开的。

  NetEye安全审计系统产品有两大部分组成,采用了层次化的体系结构和模块化的功能设计:

  ¨ 探头:是由策略驱动的网络监听和分析系统,它监听所在物理网络上的所有通信信息,分析这些网络信息,将分析结果与网探上运行的策略集相匹配,依照匹配结果对网络信息执行报警、阻断、日志等安全响应。同时它还需要完成对来自管理中心请求的接收和响应工作;

  ¨ 控制系统:是整个监控审计系统的集中管理和控制软件系统,它负责控制网探的运行状态,接收和处理网探传送的网络信息,同时它还要为用户提供各项管理规则的配置接口以及网络数据统计信息的查询显示接口,是管理员与审计系统的人机接口。

  以该银行省会分行节点为例,该节点共部署两台探头设备和一套控制系统:

  1. 两台探头设备,以千兆链路分别连接两台核心交换机Catalyst 6509交换机的监听口,主要负责收集对关键服务器主机的攻击行为和业务请求访问操作。由于探头部署方式比较类似于IDS设备,以旁路方式连接到网络中,因此不需要改变网络的物理结构及网络逻辑划分和配置;

  2. 探头通过百兆FE链路与控制系统进行交互。由于每台探头均提供物理上分离的管理接口,因此可有效实现监听流量与管理流量的物理隔离,保障审计系统在网络中的部署隐蔽性;

  3. 控制系统向管理员提供各种服务的人机界面,包括流量分析、协议恢复、报警、日志审计、系统管理等各项操作;

  部署示意如下图所示:

                                                     银行应用层安全审计项目案例

  成 果

  从基本的边界访问控制开始,直至本次安全建设,中国XX银行安全体系将完成对技术意义上各个层面的完整覆盖,为实现最终的应用安全目标迈出最直接的一步。


来源:赛迪网  作者:佚名  编辑:moodstar   
 
 
声明:中国审计教育网所刊内容由会员自主发布或转载,仅代表作者个人观点,与中国审计教育网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。如有作品内容、版权和其它问题。请与本网站联系,我们核实后将给予删除。联系邮箱:bjshenji@163.com

 
花(834)蛋(756)已有 9203 位网友浏览此页面
>>审计人物
 
李金华审计长当选联合国审计委员 [2007/12/12]
董大胜在云南调研时强调:地方审 [2007/12/12]
董大胜副审计长会见世行驻中国代 [2007/12/12]
董大胜:把握审计工作发展规律 [2007/12/12]
董大胜:明确目标抓住重点 进一 [2007/12/12]
审计署召开金融审计工作座谈会 [2007/12/12]
董大胜副审计长在上海检查金融审 [2007/12/12]
国家审计署副审计长董大胜莅雅考 [2007/12/12]
国家审计署纪检组长安国观瞻木塔 [2007/12/12]
审计署副审计长董大胜就《审计法 [2007/12/12]
  >>招聘信息 更多...
 
品胜博睿, www.shenj [2017/12/29]
上海天豪财税公司 [2016/4/30]
深圳市海王生物工程股份有限公司 [2014/3/13]
中山大学 [2012/7/18]
绍兴市时欧针纺织品有限公司 [2009/8/18]
中亿原动力网络公司 [2009/8/15]
www.crfzs.com [2009/7/26]
www.crfzs.com [2009/7/26]
中亿商盟 [2009/7/15]
中亿商盟 [2009/7/15]
  >>审计问吧 更多...
 
管理层私人信息披露 [2016/12/5]
内部控制存在的缺陷 [2012/12/20]
单位负责人搞错了 [2012/10/28]
论证注册会计师在执行财务会计报 [2012/5/27]
审计理论前沿性课题 [2012/1/8]
审计的特点是什么? [2010/7/22]
各类审计报告的出具条件及措辞格 [2010/7/22]
审计风险的对策 [2010/7/22]
<<论现代企业制度下的内部审计 [2010/7/22]
注册会计师如何对被审计单位内部 [2010/7/22]
·更多审计资讯 热点
企业风险管理调查问卷说明 [2009/10/10]
2004中国内部审计论坛邀请函 [2007/11/22]
为何中国红十字会没有独立审计报告 [2008/5/22]
"维稳"成了"伪稳" 基金疯狂... [2008/8/25]
中钢集团安徽天源科技股份有限公... [2008/4/2]
企业内部控制调查问卷说明 [2009/10/10]
猪肉冒蓝光细菌"惹的祸"? 工... [2011/12/14]
江苏南京溧水审计局五措并举开展... [2011/12/14]
湖南省监狱管理局原局长受贿17... [2011/12/14]
湖北召开省经济责任审计工作会议... [2011/12/14]
中国昨日连续发生5起地震 专家... [2011/12/13]
·更多培训会议 热点
暂时没有相关内容!
·最新机构 热点
新疆克州审计局 [2013/4/21]
静宁县审计局 [2012/10/28]
江西省瑞昌市审计局 [2012/9/19]
双鸭山市审计局 [2012/6/21]
甘肃省庆阳市审计局 [2012/3/2]
33333 [2010/7/14]
北京中京泰会计师事务所 [2009/11/10]
河南省舞阳县审计局 [2009/8/7]
188753 [2009/7/2]
安徽省巢湖市庐江县审计局 [2009/6/29]
翼城审计局 [2009/6/26]
关于我们 - 会员服务 - 广告服务 - 加盟合作 - 增值服务 - 版权声明 - 网站地图 - 汇款方式 - 公司招聘 - 联系我们
Copyright ◎ 2003-2007 www.shenji.org All rights reserved. 版权所有中国审计教育网
 Email:bjshenji#163.com  发信时请把 #换成 @  



「网络实名:
中国审计教育网
 网址www.shenji.org 京ICP证041307号 电子公告批复 法律顾问

京公网安备 11010802020610号