人行系统中存储着大量的敏感数据,为防止非授权访问,设置诸多有效的访问控制,如在网络边界设置相应的防火墙策略,在应用层采取用户认证授权。即便如此,拥有合法账号的用户的访问可能违规,内部用户可以方便地利用内部网络通过各种通讯协议进行刺探,获取、删除或者篡改重要的数据和信息。
为了加强生产系统的安全管理,建立可及时发现系统运行安全风险、支持有效的审核、安全取证分析和预防欺诈、满足监管要求、符合内部及外审机构稽核要求的完整的网络行为分析平台,实现对核心应用行为和数据库操作的管理及分析,人行征信中心部署两套数据库审计系统,项目实施的拓扑图如下:
通过将核心的业务后台数据库网络访问流量、DMZ区域的重要应用系统网络访问流量镜像到数据库审计设备的网络接口上,全面采集对数据库、WEB、邮件及其他应用的访问数据包。
项目成效:
1)核心的网络活动进行跟踪记录,根据检索规则对业务系统使用的常见协议(如FTP、Telnet、HTTP、SMTP和POP3等)进行回放或重现,并且能理解TELNET、FTP协议的内容,并对这两种协议进行审计
2)数据库操作行为细粒度记录并回放,能够对请求信息和返回结果进行审计,还支持操作内容回放。真正实现了对"谁、什么时间段内、对什么(数据)、进行了哪些操作、结果如何"的全程审计
3)根据预定义的分析规则发现可疑操作,进行多种形式的告警;同时,所有的数据会存储在数据库中,可以根据审计的需要定期或不定期进行相关的审计,生成相关的审计报表,满足内控和合规的需要
4)主备方式实现审计不中断,无人值守,7*24实时审计,按时自动投递报表。这些都极大的减少了人员方面的投入,节省了IT的投入成本。
本项目的建设使人行征信系统核心数据的保护及对可疑操作的审计追踪能力上了一个台阶,有力地保护了人行征信系统重要的业务数据的安全,达到了项目的预期目标,赢得了用户的高度认可。