银行信息安全监控实践

1.信息安全监控分析与处置

如图9-1所示，信息安全监控的工作重点是关注威胁与事件，通过信息安全技术手段的应用，关注终端、路由器、交换机、防火墙、安全传输平台、操作系统、数据库、应用系统等层面所面临的威胁和事件，识别与分析其所面临的安全威胁和事件。信息安全的监控需要与后续分析处置环节结合起来，通过与安全事件管理流程、应急响应流程的对接，将安全监控管理切实地落地。

图9-1 信息安全监控分析与处置

2.信息安全监控相关的技术手段

信息安全监控技术的发展可以分为单机时代、互联网时代、大数据及云时代。随着信息科技的整体的发展，安全监控技术也随之蓬勃发展，体现为更加高效的威胁及事件的识别、分析效率。

（1）单机时代的典型安全监控技术 该技术包括：

1）病毒码识别技术：计算机节点病毒识别。

2）漏洞识别技术：网络入侵识别。

3）协议分析技术：应用协议分析技术。

4）行为异常分析技术：DDoS攻击识别。

（2）互联网时代的典型安全监控技术 该技术包括：

1）病毒码识别技术：网关病毒流量识别。

2）漏洞识别技术：WEB应用攻击识别。

3）行为审计技术：上网行为管理技术、网络行为审计技术、数据库审计技术。

4）信誉评估检测技术：僵尸、钓鱼、垃圾邮件等云识别技术、入侵诱骗分析技术。

（3）大数据及云时代的典型安全监控技术 该技术包括：

1）动态沙盒分析技术：虚拟沙盒分析技术。

2）安全大数据关联分析技术：综合全网安全系统日志或数据包的海量数据关联分析技术、网络流量建模分析技术。(www.xing528.com)

3.安全日志分析在安全监控中的重要作用

安全日志是安全监控及后续处置的重要输入。目前银行业对安全日志分析的技术应用已经日趋成熟，在市场上也发现有众多的厂家提供安全日志分析的解决方案。具体的关于安全日志分析的技术解决方案将在本书的技术部分与读者进行分享，但是在进行技术应用的同时，还需要通过一系列的安全管理措施来对安全日志的分析过程加以规范与管理，具体的内容如下。

（1）安全日志记录

1）登录验证访问记录：可包括账号异常登录情况、口令猜测情况等。

2）设备配置发生修改记录：可包括办公地址段登录生产和测试网段的网络设备并更改配置、远程VPN用户登录网络设备更改配置等。

3）系统管理员和系统操作者的活动：可包括非计划时间内的操作及其他敏感操作等。

4）系统运行错误日志。

（2）安全日志管理

1）需有专门的空间存放日志，关键数据库、操作系统、网络设备及安全设备的日志应尽量进行集中存放，其他系统日志在条件允许的情况下，也要进行集中存放。

2）合理设置日志文件大小，并定期查看日志文件存储的空间是否足够。

3）日志的访问、查看，只能由相关授权人员完成，非授权人员不得拥有对日志的操作权限；日志审阅人员应独立于系统管理员。

4）应用管理员必须经过安全管理部门领导授权同意后才能查看日志。

（3）安全日志分析 安全管理员需熟悉日志的存放位置，具有日志审阅的基本技能，如能解读日志内容，判断违规操作及安全事件等。

（4）安全日志保护

1）日志服务器本身具备抗攻击能力。

2）所有的系统收集过来的日志（包括原始日志）必须保留超过限定的期限。

3）应把备份日志的数据存放在安全区域，防止非授权人员查看、拷贝日志资料。

4）所有系统必须使用统一的系统时间，以确保收集过来的日志是准确的。