银行应用层安全审计

项目背景

中国XX银行在利用NetEye访问控制设备、数据加密设备、网络审计设备进行网络层面的安全体系建设后,进一步提出构架应用层安全审计系统的设想。在该需求中,安全系统将直接定位于对应用层访问行为审计、用户身份与权限关联分析,约束应用层行为的合法性,提高应用层交易安全程度。

为基本囊括所有针对中国XX银行业务系统的访问行为,中国XX银行要求对大部分网络活动进行跟踪记录、重组,最后对这些网络操作进行全面的记录,同时可以根据检索规则对业务系统使用的常见协议(如FTP、Telnet、HTTP、SMTP和POP3等)进行全程回放或重现,并且能理解TELNET、FTP协议的内容,并对这两种协议进行审计。对于其他的应用层协议,可通过在网络服务配置中添加协议端口,即可实现对此服务的原始数据的会话重组,并可通过审计系统界面进行回放。通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。

同时,为保护中国XX银行信息资产的安全性,中国XX银行提出对数据系统访问行为进行有效审计和关联分析的要求,这一环节将构成除了数据库本身自带审计系统以外的唯一的审计系统,而且因为该系统与保护对象数据库之间的独立性,能够有效提高日志审计的安全性和公正性。

另外,为中国XX银行提供安全防护服务的其他基础性网络安全设备同样被纳入本次应用安全审计的考虑范围,如前期工程中所大量部署的各类防火墙、IDS和数据加密设备等。

从基本的边界访问控制开始,直至本次安全建设,中国XX银行安全体系将完成对技术意义上各个层面的完整覆盖,为实现最终的应用安全目标迈出最直接的一步。

需求分析

本次安全建设的重点在于实现关键应用协议的内容检索、身份识别和关联分析,因此要求安全设备能够切实理解所有关键应用协议的指令、语法等内部细节,此类关键应用协议包括:

所以,如何理解并支持中国XX银行业务系统所涉及到的诸多协议称为解决方案首要考虑的课题。而且,在此基础上,能够有效从关键流量中提取出访问者身份信息、行为企图和访问目标的权限控制并进行关联分析成为本次解决方案的重要亮点。

解决方案

针对中国XX银行给出的既定目标,东软公司提供了以应用行为审计、业务指令监听记录、命令行操作还原、访问身份与目标资源关联为核心的银行应用业务审计系统解决方案。

该解决方案建立在东软公司NetEye安全阵营中的银行业务系统安全审计系统产品的基础之上,通过流量筛选过滤、特征匹配、协议分析、关键信息提取、身份权限与目标信息敏感度关联、访问行为日志记录、敏感流量应用层内容再现和过程回放等技术手段实现了第三方的应用级安全审计系统。

具体实施

东软银行应用业务安全审计解决方案是围绕NetEye安全审计系统产品而展开的。

NetEye安全审计系统产品有两大部分组成,采用了层次化的体系结构和模块化的功能设计:

以该银行省会分行节点为例,该节点共部署两台探头设备和一套控制系统:

联系我们

欢迎致电4006556789,或通过在线方式与我们联系

close

关闭