不知道银行业的系统内部审计是如何做的？

zizaza

各位前辈，请教个问题：对于建设一个系统来讲，在方案中是不是应该考虑如何运维的问题？比如将来系统建成了，系统管理员们怎么登录到主机或网络设备上进行操作，这个问题我一直比较困惑，大家都直接用telnet、ssh登录到设备上进行操作吗？这样的话，难道要开设备的记账服务吗？会对系统的效率有影响的吧？

zizaza

难道这是商业机密吗？有没有人可以帮忙解答一下啊。

dlms

我有点不明白楼主的问题。
系统内部审计。我没听说这种审计。
如果是系统管理员的操作。
首先登录生产机的话必须要有记录，本子上有记录。机器上面也有痕迹。原则上边上要有人监督操作。
不同的身份有不同权限的用户，比较重要的机器口令有两个以上的人同时保管。

关于资源方面本来*unix 或者as400 或者大机就是多用户操作系统，你多等录几个用户同时操作对于资源来说影响不大。
而且用户口令是有专人保管的。也不会有太多的人同时登录生产。

zg_ljc

楼主所要了解的是不是生产系统的操作？
一、打补丁
二、更改数据
三、日常操作
。。。
要针对不同操作制定方案

zizaza

原帖由 zg_ljc 于 2008-6-6 10:07 发表
楼主所要了解的是不是生产系统的操作？
一、打补丁
二、更改数据
三、日常操作
。。。
要针对不同操作制定方案

对对对，其实就是这个意思。
说的具体点：
（一）如果我是数据库管理员：
1、数据库的登录是不是要建一个认证服务器，比如radius AAA之类的认证服务器；
2、数据库管理员可不可以查询数据，还是只要保证数据库的运行正常；
3、数据库是不是要开启审计功能，即所有的操作都会记录日志；

zszyj

原帖由 zizaza 于 2008-6-5 15:37 发表
各位前辈，请教个问题：对于建设一个系统来讲，在方案中是不是应该考虑如何运维的问题？比如将来系统建成了，系统管理员们怎么登录到主机或网络设备上进行操作，这个问题我一直比较困惑，大家都直接用telnet、s ...

如何登录是属于系统安全控制的问题, 不是系统建设中该考虑的, 但是必须在系统运行维护中考虑, 在银行中都是归于两个不同的团队负责.
至于操作系统的审计记账功能, 一般不敢打开, 因为产生的工作文件太多了, 如果一时忘记清理,导致系统磁盘空间不够, 影响了业务系统运行, 那是很致命的, 而且审计也只能是事后的查证, 并不能起到很好的防御作用．
因此，对于银行系统内部关键的主机，一般都会从网络上物理隔绝从其它环境登录的网络通道，只保留主控室的几台终端通道，通过终端服务器登录．此外，对于关键网段，会使用一些实时网络监控工具，例如real secure, 监视和记录一切的网络报文，必要时可以重播，对于危险的操作，对通过干扰报文，中止其操作．你说的审计功能，基本上就可以通过这种工具实现．　
另外，很多系统会提供单独的一个系统维护界面，让系统管理员通过该界面推应用系统，而不允许直接进入超级用户或者数据库进行操作，该系统维护工具本身也能起到审计功能．