證券行業(yè)日志審計(jì)需求分析,產(chǎn)品選型和實(shí)施建議
當(dāng)今的證券行業(yè)在IT信息安全領(lǐng)域面臨比以往更為復(fù)雜的局面,日益迫切的信息系統(tǒng)審計(jì)和內(nèi)控、以及持續(xù)增強(qiáng)的業(yè)務(wù)持續(xù)性需求,對(duì)證券行業(yè)的日志審計(jì)提出了明確的要求:
1) 《證券公司內(nèi)部控制指引》第一百一十七條要求“證券公司應(yīng)保證信息系統(tǒng)日志的完備性,確保所有重大修改被完整地記錄,確保開啟審計(jì)留痕功能”。
2) 證監(jiān)會(huì)要求各證券單位“應(yīng)建立對(duì)關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器日志定期檢查和分析的制度。各單位應(yīng)定期人工或采取軟件分析方式對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器日志進(jìn)行檢查和詳盡的分析,通過定期對(duì)日志進(jìn)行分析和總結(jié),及時(shí)了解網(wǎng)絡(luò)狀況、設(shè)備運(yùn)行狀況,發(fā)現(xiàn)薄弱環(huán)節(jié),及時(shí)整改,形成記錄”。
3) 《證券期貨業(yè)信息系統(tǒng)安全檢查貫徹落實(shí)指引》第四章第二節(jié)對(duì)日志審計(jì)提出了具體要求,“各單位應(yīng)對(duì)分散的各種日志進(jìn)行統(tǒng)一管理,避免遺漏出現(xiàn)死角,管理內(nèi)容應(yīng)包括定期備份,形成日志分析報(bào)告等”,“各單位應(yīng)對(duì)與交易業(yè)務(wù)、網(wǎng)站和網(wǎng)上交易系統(tǒng)有關(guān)的關(guān)鍵服務(wù)器、存儲(chǔ)設(shè)備、路由器、防火墻、交換機(jī)等設(shè)備的系統(tǒng)日志、程序運(yùn)行日志、安全事件日志等進(jìn)行定期備份”,“定期對(duì)關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器日志進(jìn)行檢查和分析,形成記錄”。
4) 即將頒布的金融行業(yè)標(biāo)準(zhǔn)《證券期貨業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中,對(duì)網(wǎng)絡(luò)、主機(jī)和應(yīng)用的安全審計(jì)有明確的要求。其中,第二級(jí)中針對(duì)主機(jī)安全審計(jì)要求 “審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶。系統(tǒng)不支持該要求的,應(yīng)以系統(tǒng)運(yùn)行安全和效率為前提,采用第三方安全審計(jì)產(chǎn)品實(shí)現(xiàn)審計(jì)要求。審計(jì)記錄應(yīng)至少保存6個(gè)月。”第二級(jí)中針對(duì)應(yīng)用安全審計(jì)要求“對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì),審計(jì)記錄至少保存6個(gè)月”。第二級(jí)系統(tǒng)運(yùn)維管理中要求“至少每季度對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析,以便及時(shí)發(fā)現(xiàn)異常行為”。
而目前,證券行業(yè)的網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)已經(jīng)十分復(fù)雜,各類相關(guān)的日志信息分散在網(wǎng)絡(luò)的各個(gè)位置,如何有效的對(duì)這些日志進(jìn)行統(tǒng)一的監(jiān)控審計(jì)成為了一大難題。與此同時(shí),網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、應(yīng)用和業(yè)務(wù)系統(tǒng)在工作中都產(chǎn)生了大量的安全事件和日志,卻沒有統(tǒng)一的進(jìn)行管理,使得各個(gè)系統(tǒng)之間缺乏協(xié)同,整體安全無(wú)法得到保障。
因此,證券行業(yè)客戶迫切需要一個(gè)全面的、面向公司IT計(jì)算環(huán)境的、集中的安全審計(jì)平臺(tái)及其系統(tǒng),這個(gè)系統(tǒng)能夠收集來(lái)自公司IT計(jì)算環(huán)境中各種設(shè)備和應(yīng)用的安全日志,以及針對(duì)核心數(shù)據(jù)庫(kù)服務(wù)器的訪問和操作行為,并進(jìn)行存儲(chǔ)、監(jiān)控、審計(jì)、分析、報(bào)警、響應(yīng)和報(bào)告。
證券基金期貨公司日志審計(jì)系統(tǒng)選購(gòu)需求
對(duì)于證券基金期貨公司而言,選擇一款合適的日志安全審計(jì)系統(tǒng)有其特殊的標(biāo)準(zhǔn),這是跟其行業(yè)特性分不開的。證券行業(yè)一個(gè)很重要的特點(diǎn)就是網(wǎng)絡(luò)與業(yè)務(wù)連續(xù)性第一,系統(tǒng)日志量大,日志審計(jì)系統(tǒng)要盡可能地降低對(duì)現(xiàn)有網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)運(yùn)作的影響。
證券行業(yè)在選擇日志審計(jì)系統(tǒng)的時(shí)候,具有很強(qiáng)的證券行業(yè)特性,至少應(yīng)考慮以下衡量指標(biāo):
1) 關(guān)注日志審計(jì)的范圍,尤其是對(duì)證券行業(yè)常見網(wǎng)絡(luò)基礎(chǔ)設(shè)施的日志采集能力,例如要支持Cisco的網(wǎng)絡(luò)設(shè)備、NOKIA(Check Point)防火墻、IBM ISS入侵防御系統(tǒng)、F5負(fù)載均衡設(shè)備,以及IBM和Sun的小型機(jī)。此外,要支持公司大量部署的Oracle、MS SQL數(shù)據(jù)庫(kù)日志的采集。
2)關(guān)注日志采集與分析的性能。對(duì)于證券行業(yè)客戶而言,設(shè)備多、每小時(shí)產(chǎn)生的日志量巨大,如果性能跟不上,就無(wú)法實(shí)現(xiàn)日志的有效采集,后續(xù)分析和審計(jì)就失去了意義,內(nèi)控的目標(biāo)也就無(wú)法達(dá)成。
3)關(guān)注對(duì)現(xiàn)有網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)的影響性。包括日志采集的網(wǎng)絡(luò)帶寬占用情況,對(duì)被審計(jì)設(shè)備和系統(tǒng)的CPU、內(nèi)存占用的情況和系統(tǒng)穩(wěn)定性的影響,等等。
4)關(guān)注日志審計(jì)系統(tǒng)的實(shí)時(shí)分析和報(bào)表能力。通過日志審計(jì)系統(tǒng)不僅統(tǒng)一的收集各種日志,還要能夠幫助管理人員實(shí)時(shí)的監(jiān)視日志信息,發(fā)現(xiàn)可疑行為,并能夠定期地出具針對(duì)內(nèi)控的報(bào)表報(bào)告。
5)關(guān)注日志審計(jì)系統(tǒng)的總擁有成本。包括產(chǎn)品是軟件還是硬件;是否內(nèi)置存儲(chǔ),還是要另配存儲(chǔ)設(shè)備;是否內(nèi)置數(shù)據(jù)庫(kù)系統(tǒng),還是要另夠許可;是否具備日志存儲(chǔ)壓縮歸檔功能,以降低對(duì)存儲(chǔ)空間的占用;是否易于部署,便于使用,還是需要經(jīng)過復(fù)雜的培訓(xùn);等等。
總之,證券行業(yè)的日志審計(jì)解決方案作為一個(gè)審計(jì)平臺(tái)應(yīng)能夠?qū)崟r(shí)不間斷地將證券公司中來(lái)自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)中心,實(shí)現(xiàn)全網(wǎng)綜合安全審計(jì)。能夠?qū)崟r(shí)地對(duì)采集到的不同類型的信息進(jìn)行歸一化和實(shí)時(shí)關(guān)聯(lián)分析,通過統(tǒng)一的控制臺(tái)界 面進(jìn)行實(shí)時(shí)、可視化的呈現(xiàn),協(xié)助安全管理人員迅速準(zhǔn)確地識(shí)別安全事故。
對(duì)于集中存儲(chǔ)起來(lái)的海量信息,平臺(tái)可以讓審計(jì)人員借助歷史分析工具對(duì)日志進(jìn)行深度挖掘、調(diào)查取證、證據(jù)保全。平臺(tái)能夠自動(dòng)地或者在管理員人工干預(yù)的情況下對(duì)審計(jì)告警進(jìn)行各種響應(yīng),還為客戶提供了豐富的報(bào)表模板,使得用戶能夠從各個(gè)角度對(duì)公司的安全狀況進(jìn)行審計(jì),并自動(dòng)、定期地產(chǎn)生報(bào)表。
日志審計(jì)系統(tǒng)實(shí)施過程分析
日志審計(jì)產(chǎn)品選型很重要,項(xiàng)目實(shí)施更加重要。這類產(chǎn)品不同于一般的標(biāo)準(zhǔn)化產(chǎn)品,涉及證券公司分散的網(wǎng)絡(luò)及安全設(shè)備,還有主機(jī)、數(shù)據(jù)庫(kù)等等,并可能涉及多個(gè)相關(guān)業(yè)務(wù)部門和運(yùn)維支撐管理部門,項(xiàng)目的實(shí)施好壞會(huì)直接影響到項(xiàng)目實(shí)際運(yùn)用的效果。
一般性地,應(yīng)該遵循實(shí)施環(huán)境調(diào)研、系統(tǒng)部署、系統(tǒng)試運(yùn)行、項(xiàng)目培訓(xùn)的4個(gè)標(biāo)準(zhǔn)步驟。借助標(biāo)準(zhǔn)化的實(shí)施流程和豐富的實(shí)際運(yùn)維經(jīng)驗(yàn),從而更好地保證項(xiàng)目的成功。
應(yīng)該說,整個(gè)實(shí)施過程的第一個(gè)階段最為重要,關(guān)系到項(xiàng)目后續(xù)能否順利展開。在實(shí)施環(huán)境調(diào)研階段,項(xiàng)目實(shí)施人員深入用戶現(xiàn)場(chǎng),對(duì)日志審計(jì)系統(tǒng)涉及的網(wǎng)絡(luò)和設(shè)備節(jié)點(diǎn)進(jìn)行了界定,核實(shí)了需要采集的日志源節(jié)點(diǎn),明確了要采集的信息,以及采集方式,并制定出了相應(yīng)的部署方案。
在系統(tǒng)部署階段,除了將硬件設(shè)備上架并調(diào)通外,還對(duì)需要發(fā)送日志的設(shè)備節(jié)點(diǎn)進(jìn)行了相應(yīng)的配置,例如配置網(wǎng)絡(luò)設(shè)備的syslog目的地址,配置Check Poink防火墻的日志發(fā)送目標(biāo)地址,配置數(shù)據(jù)庫(kù)服務(wù)器所在交換機(jī)的鏡像端口,等等。
在系統(tǒng)試運(yùn)行階段,主要是設(shè)計(jì)必要的實(shí)時(shí)監(jiān)控場(chǎng)景以及分析、預(yù)警規(guī)則,還有定制報(bào)表的工作,使得系統(tǒng)符合用戶的使用要求。
在項(xiàng)目培訓(xùn)階段,實(shí)施人員做好系統(tǒng)及其相關(guān)文檔的移交工作,并針對(duì)系統(tǒng)的原理和使用操作進(jìn)行培訓(xùn)。
之后,項(xiàng)目就進(jìn)入驗(yàn)收環(huán)節(jié)。驗(yàn)收合格,再進(jìn)入運(yùn)行維護(hù)和售后服務(wù)階段。
【編輯推薦】
