银行数据库及应用安全管理认证审计系统
时间:2019-07-11 02:17

  2002年7月,美国《萨班斯-奥克斯利法案》(Sarbanes-Oxley)正式生效,该法案要求上市公司的首席执行官/首席财务官(CEO/CFO)需要就有关披露控制程序的有效性发表声明,▪▲□◁•●并为此承担责任。法案404条款还要求上市公司在年报中披露专门的内部控制报告,要求公司任何一个岗位的职务、★▽…◇职责描述清晰,并保留所有流程的相关证据。

  2006年6月20日,国务院国有资产监督管理委员会出台了《中央企业全面风险管理指引》,▲●…△提出具备条件的企业在董事会设风险管理委员会,企业总经理就全面风险管理工作的有效性向董事会负责。

  内控内审一直是一个企业,○▲-•■□尤其是大型企业在发展过程中必须面临和解决的问题。•☆■▲无论是《萨班斯-奥克斯利法案》(Sarbanes-Oxley),还是《中央企业全面风险管理指引》无非是从法律法规的高度将企业的内控内审进行明确。

  此系统集认证、授权、安全响应和安全审计为一体,为计算机系统提供了一个统一、集中的授权、◆▼访问控制和审计平台。

  此系统从多角度显示系统在怎样的运行、后一时刻与前一时刻的运行有何不同,系统的实际运行状况与设计(或设想)的运行模式有何不同,并针对这些不同作出恰当的响应。

  系统基于IP数据俘获→强身份认证→应用层数据分析→审计和响应实现各项功能,设计中充分贯彻了平台化的思路,使得它具备安全认证和审计工具的特征,与基于日志收集的审计系统有着很大的区别。

  基于日志收集的审计系统将原系统中的日志信息收集起来,□◁综合形成审计报告,审计功能受限于原系统的日志功能和访问控制功能,△▪▲□△在审计深度、审计响应的实时性方面都难以获得很好的审计效果。

  在基本安全功能的基础上,此系统可针对具体的应用需求,如FTP/Telnet系统维护操作、SQL数据库维护操作,制定应用级别的认证和审计策略,•□▼◁▼使得系统能针对具体的应用或业务系统实现命令级别、访问逻辑级别的的认证和审计。如果再辅以专业安全服务商提供的安全咨询和服务,此系统可以更及时、准确地反映系统的安全运行状况,并进行相应的控制。

  1. 强身份认证和访问控制:基于CA数字证书或一次性动态口令对访问者进行身份认证,之后根据经认证的身份实现访问控制,禁止非法用户访问被保护的信息。◆◁•

  2. 应用级的安全审计和响应:特有的策略库(Application Policy Library)可以深入到应用层协议(如操作命令、业务操作过程)实现详细的安全审计,并根据安全策略采取诸如记录、审计、◆●△▼●告警、阻断等响应。

  3. 提供多视角的审计报告:根据实时记录的网络访问情况,提供多种安全审计报告,更清晰地了解系统的使用情况以及安全事件的发生情况,▪…□▷▷•并可根据这些安全审计报告进一步修改和完善策略库(Application Policy Library)。

  系统-Server认证审计服务器:基于专门硬件构建,★△◁◁▽▼负责安全策略的生成、解释、管理,▲★-●审计数据的记录和整理。

  系统-Sensor嗅探器:基于专门硬件构建,根据安全策略对俘获的数据进行比对、分析,并做出响应动作,如告警、阻断等。☆△◆▲■

  系统-PL(Policy Library)策略库:针对不同的应用协议、应用(业务)系统提供状命令级的安全策略支持。是此系统系统中最具特色、最具价值的模块。

  此系统独具特色的策略库(Policy Library)设计,使得系统不但具备了功能强大的安全审计功能,◇=△▲更具备了网络安全分析工具及应用层IDS的特征。用户可以自己定义符合业务特征的策略库,也可选用针对特定业务系统设计的策略库。

  基础策略库(Basic PL)提供了基于IP报的安全策略的制定功能。用户可以直接编辑安全策略,也可利用此系统提供的录制功能,在俘获的IP报的基础上,提炼出符合需要的安全策略。

  应用策略库则针对不同的通信协议、业务系统进行设计,目前提供了数据库(DB)策略库(PL/DB)、Unix主机策略库(PL/UMG),并提供了专门的模块,◁☆●•○△以支持SSH协议和远程桌面终端登录(RDP、3389协议)的审计。

  针对不同协议或业务系统的应用 策略库(Policy Library)使得用户可以灵活地制定数据俘获、安全审计及响应策略,★-●=•▽根据系统实际的运行情况输出恰当的审计报告,更全面、●更有重点地了解和掌握系统的运行状况。

  随着研发工作的不断深入,我们还会根据不同的应用协议或应用系统开发出具备应用特征、行业特征的策略库(Policy Library)。这也是此系统最具生命力的特点:随着系统的应用和 策略库(Application Policy Library)的及时更新, 系统所提供的功能将越来越丰富、越来越接近用户的实际使用需求。

  ◇强身份认证功能在不改变原系统的网络配置、软件的前提下,为系统增加一层安全措施,同时也为集中用户管理和鉴权提供了技术支撑。◆■

  ◇系统性能监控和故障分析则对系统关键资源进行实时监控,提供响应时间、响应结果的统计;根据原始信息分析出系统性能波动、▼▼▽●▽●系统故障的原因。

  ◇可定制的审计报告功能允许用户根据需要设定审计报表内容,从而为系统提供了一种方便、直观、高效的信息输出机制。

  ◇针对主机维护常用协议,包括FTP、Telnet、rlogin、RCP、SSH等进行命令级的审计和控制;

  系统像一台示波器或逻辑分析仪,可以根据需要采集并显示相关信息,为系统性能分析、▷•●故障排查提供有力的支持。▽•●◆

  本系统基于IP数据俘获→强身份认证→应用层数据分析→审计和响应实现各项功能,无需改变原系统的网络结构就可以迅速地在系统中进行布置。

  ◇强身份认证功能在不改变原系统的网络配置、软件的前提下,为系统增加一层安全措施,同时也为集中用户管理和鉴权提供了技术支撑。

  ◇系统性能监控和故障分析则对系统关键资源进行实时监控,提供响应时间、响应结果的统计;根据原始信息分析出系统性能波动、系统故障的原因。

  ◇可定制的审计报告功能允许用户根据需要设定审计报表内容,从而为系统提供了一种方便、◇…=▲直观、高效的信息输出机制。★◇▽▼•

  ◇针对主机维护常用协议,包括FTP、Telnet、◇•■★▼rlogin、RCP、SSH等进行命令级的审计和控制;

  系统像一台示波器或逻辑分析仪,可以根据需要采集并显示相关信息,为系统性能分析、故障排查提供有力的支持。▲=○▼

  本系统基于IP数据俘获→强身份认证→应用层数据分析→审计和响应实现各项功能,无需改变原系统的网络结构就可以迅速地在系统中进行布置。▪•★△▪▲□△