證券行業日志審計需求分析,產品選型和實施建議
當今的證券行業在IT信息安全領域面臨比以往更為復雜的局面,日益迫切的信息系統審計和內控、以及持續增強的業務持續性需求,對證券行業的日志審計提出了明確的要求:
1) 《證券公司內部控制指引》第一百一十七條要求“證券公司應保證信息系統日志的完備性,確保所有重大修改被完整地記錄,確保開啟審計留痕功能”。
2) 證監會要求各證券單位“應建立對關鍵網絡、安全設備和服務器日志定期檢查和分析的制度。各單位應定期人工或采取軟件分析方式對關鍵網絡設備、安全設備和服務器日志進行檢查和詳盡的分析,通過定期對日志進行分析和總結,及時了解網絡狀況、設備運行狀況,發現薄弱環節,及時整改,形成記錄”。
3) 《證券期貨業信息系統安全檢查貫徹落實指引》第四章第二節對日志審計提出了具體要求,“各單位應對分散的各種日志進行統一管理,避免遺漏出現死角,管理內容應包括定期備份,形成日志分析報告等”,“各單位應對與交易業務、網站和網上交易系統有關的關鍵服務器、存儲設備、路由器、防火墻、交換機等設備的系統日志、程序運行日志、安全事件日志等進行定期備份”,“定期對關鍵網絡、安全設備和服務器日志進行檢查和分析,形成記錄”。
4) 即將頒布的金融行業標準《證券期貨業信息系統安全等級保護基本要求》中,對網絡、主機和應用的安全審計有明確的要求。其中,第二級中針對主機安全審計要求 “審計范圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶。系統不支持該要求的,應以系統運行安全和效率為前提,采用第三方安全審計產品實現審計要求。審計記錄應至少保存6個月。”第二級中針對應用安全審計要求“對應用系統重要安全事件進行審計,審計記錄至少保存6個月”。第二級系統運維管理中要求“至少每季度對運行日志和審計數據進行分析,以便及時發現異常行為”。
而目前,證券行業的網絡與信息系統建設已經十分復雜,各類相關的日志信息分散在網絡的各個位置,如何有效的對這些日志進行統一的監控審計成為了一大難題。與此同時,網絡中的各種網絡設備、安全設備、主機、應用和業務系統在工作中都產生了大量的安全事件和日志,卻沒有統一的進行管理,使得各個系統之間缺乏協同,整體安全無法得到保障。
因此,證券行業客戶迫切需要一個全面的、面向公司IT計算環境的、集中的安全審計平臺及其系統,這個系統能夠收集來自公司IT計算環境中各種設備和應用的安全日志,以及針對核心數據庫服務器的訪問和操作行為,并進行存儲、監控、審計、分析、報警、響應和報告。
證券基金期貨公司日志審計系統選購需求
對于證券基金期貨公司而言,選擇一款合適的日志安全審計系統有其特殊的標準,這是跟其行業特性分不開的。證券行業一個很重要的特點就是網絡與業務連續性第一,系統日志量大,日志審計系統要盡可能地降低對現有網絡與業務系統運作的影響。
證券行業在選擇日志審計系統的時候,具有很強的證券行業特性,至少應考慮以下衡量指標:
1) 關注日志審計的范圍,尤其是對證券行業常見網絡基礎設施的日志采集能力,例如要支持Cisco的網絡設備、NOKIA(Check Point)防火墻、IBM ISS入侵防御系統、F5負載均衡設備,以及IBM和Sun的小型機。此外,要支持公司大量部署的Oracle、MS SQL數據庫日志的采集。
2)關注日志采集與分析的性能。對于證券行業客戶而言,設備多、每小時產生的日志量巨大,如果性能跟不上,就無法實現日志的有效采集,后續分析和審計就失去了意義,內控的目標也就無法達成。
3)關注對現有網絡與業務系統的影響性。包括日志采集的網絡帶寬占用情況,對被審計設備和系統的CPU、內存占用的情況和系統穩定性的影響,等等。
4)關注日志審計系統的實時分析和報表能力。通過日志審計系統不僅統一的收集各種日志,還要能夠幫助管理人員實時的監視日志信息,發現可疑行為,并能夠定期地出具針對內控的報表報告。
5)關注日志審計系統的總擁有成本。包括產品是軟件還是硬件;是否內置存儲,還是要另配存儲設備;是否內置數據庫系統,還是要另夠許可;是否具備日志存儲壓縮歸檔功能,以降低對存儲空間的占用;是否易于部署,便于使用,還是需要經過復雜的培訓;等等。
總之,證券行業的日志審計解決方案作為一個審計平臺應能夠實時不間斷地將證券公司中來自不同廠商的安全設備、網絡設備、主機、操作系統、用戶業務系統的日志、警報等信息匯集到審計中心,實現全網綜合安全審計。能夠實時地對采集到的不同類型的信息進行歸一化和實時關聯分析,通過統一的控制臺界 面進行實時、可視化的呈現,協助安全管理人員迅速準確地識別安全事故。
對于集中存儲起來的海量信息,平臺可以讓審計人員借助歷史分析工具對日志進行深度挖掘、調查取證、證據保全。平臺能夠自動地或者在管理員人工干預的情況下對審計告警進行各種響應,還為客戶提供了豐富的報表模板,使得用戶能夠從各個角度對公司的安全狀況進行審計,并自動、定期地產生報表。
日志審計系統實施過程分析
日志審計產品選型很重要,項目實施更加重要。這類產品不同于一般的標準化產品,涉及證券公司分散的網絡及安全設備,還有主機、數據庫等等,并可能涉及多個相關業務部門和運維支撐管理部門,項目的實施好壞會直接影響到項目實際運用的效果。
一般性地,應該遵循實施環境調研、系統部署、系統試運行、項目培訓的4個標準步驟。借助標準化的實施流程和豐富的實際運維經驗,從而更好地保證項目的成功。
應該說,整個實施過程的第一個階段最為重要,關系到項目后續能否順利展開。在實施環境調研階段,項目實施人員深入用戶現場,對日志審計系統涉及的網絡和設備節點進行了界定,核實了需要采集的日志源節點,明確了要采集的信息,以及采集方式,并制定出了相應的部署方案。
在系統部署階段,除了將硬件設備上架并調通外,還對需要發送日志的設備節點進行了相應的配置,例如配置網絡設備的syslog目的地址,配置Check Poink防火墻的日志發送目標地址,配置數據庫服務器所在交換機的鏡像端口,等等。
在系統試運行階段,主要是設計必要的實時監控場景以及分析、預警規則,還有定制報表的工作,使得系統符合用戶的使用要求。
在項目培訓階段,實施人員做好系統及其相關文檔的移交工作,并針對系統的原理和使用操作進行培訓。
之后,項目就進入驗收環節。驗收合格,再進入運行維護和售后服務階段。
【編輯推薦】
