当今的证券行业在IT信息安全领域面临比以往更为复杂的局面,日益迫切的信息系统审计和内控、以及持续增强的业务持续性需求,对证券行业的日志审计提出了明确的要求:
1) 《证券公司内部控制指引》第一百一十七条要求“证券公司应保证信息系统日志的完备性,确保所有重大修改被完整地记录,确保开启审计留痕功能”。
2) 证监会要求各证券单位“应建立对关键网络、安全设备和服务器日志定期检查和分析的制度。各单位应定期人工或采取软件分析方式对关键网络设备、安全设备和服务器日志进行检查和详尽的分析,通过定期对日志进行分析和总结,及时了解网络状况、设备运行状况,发现薄弱环节,及时整改,形成记录”。
3) 《证券期货业信息系统安全检查贯彻落实指引》第四章第二节对日志审计提出了具体要求,“各单位应对分散的各种日志进行统一管理,避免遗漏出现死角,管理内容应包括定期备份,形成日志分析报告等”,“各单位应对与交易业务、网站和网上交易系统有关的关键服务器、存储设备、路由器、防火墙、交换机等设备的系统日志、程序运行日志、安全事件日志等进行定期备份”,“定期对关键网络、安全设备和服务器日志进行检查和分析,形成记录”。
4) 即将颁布的金融行业标准《证券期货业信息系统安全等级保护基本要求》中,对网络、主机和应用的安全审计有明确的要求。其中,第二级中针对主机安全审计要求 “审计范围应覆盖到服务器上的每个操作系统用户和数据库用户。系统不支持该要求的,应以系统运行安全和效率为前提,采用第三方安全审计产品实现审计要求。审计记录应至少保存6个月。”第二级中针对应用安全审计要求“对应用系统重要安全事件进行审计,审计记录至少保存6个月”。第二级系统运维管理中要求“至少每季度对运行日志和审计数据进行分析,以便及时发现异常行为”。
而目前,证券行业的网络与信息系统建设已经十分复杂,各类相关的日志信息分散在网络的各个位置,如何有效的对这些日志进行统一的监控审计成为了一大难题。与此同时,网络中的各种网络设备、安全设备、主机、应用和业务系统在工作中都产生了大量的安全事件和日志,却没有统一的进行管理,使得各个系统之间缺乏协同,整体安全无法得到保障。
因此,证券行业客户迫切需要一个全面的、面向公司IT计算环境的、集中的安全审计平台及其系统,这个系统能够收集来自公司IT计算环境中各种设备和应用的安全日志,以及针对核心数据库服务器的访问和操作行为,并进行存储、监控、审计、分析、报警、响应和报告。
证券基金期货公司日志审计系统选购需求
对于证券基金期货公司而言,选择一款合适的日志安全审计系统有其特殊的标准,这是跟其行业特性分不开的。证券行业一个很重要的特点就是网络与业务连续性第一,系统日志量大,日志审计系统要尽可能地降低对现有网络与业务系统运作的影响。
证券行业在选择日志审计系统的时候,具有很强的证券行业特性,至少应考虑以下衡量指标:
1) 关注日志审计的范围,尤其是对证券行业常见网络基础设施的日志采集能力,例如要支持Cisco的网络设备、NOKIA(Check Point)防火墙、IBM ISS入侵防御系统、F5负载均衡设备,以及IBM和Sun的小型机。此外,要支持公司大量部署的Oracle、MS SQL数据库日志的采集。
2)关注日志采集与分析的性能。对于证券行业客户而言,设备多、每小时产生的日志量巨大,如果性能跟不上,就无法实现日志的有效采集,后续分析和审计就失去了意义,内控的目标也就无法达成。
3)关注对现有网络与业务系统的影响性。包括日志采集的网络带宽占用情况,对被审计设备和系统的CPU、内存占用的情况和系统稳定性的影响,等等。
4)关注日志审计系统的实时分析和报表能力。通过日志审计系统不仅统一的收集各种日志,还要能够帮助管理人员实时的监视日志信息,发现可疑行为,并能够定期地出具针对内控的报表报告。
5)关注日志审计系统的总拥有成本。包括产品是软件还是硬件;是否内置存储,还是要另配存储设备;是否内置数据库系统,还是要另够许可;是否具备日志存储压缩归档功能,以降低对存储空间的占用;是否易于部署,便于使用,还是需要经过复杂的培训;等等。
总之,证券行业的日志审计解决方案作为一个审计平台应能够实时不间断地将证券公司中来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计。能够实时地对采集到的不同类型的信息进行归一化和实时关联分析,通过统一的控制台界 面进行实时、可视化的呈现,协助安全管理人员迅速准确地识别安全事故。
对于集中存储起来的海量信息,平台可以让审计人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。平台能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,还为客户提供了丰富的报表模板,使得用户能够从各个角度对公司的安全状况进行审计,并自动、定期地产生报表。
日志审计系统实施过程分析
日志审计产品选型很重要,项目实施更加重要。这类产品不同于一般的标准化产品,涉及证券公司分散的网络及安全设备,还有主机、数据库等等,并可能涉及多个相关业务部门和运维支撑管理部门,项目的实施好坏会直接影响到项目实际运用的效果。
一般性地,应该遵循实施环境调研、系统部署、系统试运行、项目培训的4个标准步骤。借助标准化的实施流程和丰富的实际运维经验,从而更好地保证项目的成功。
应该说,整个实施过程的第一个阶段最为重要,关系到项目后续能否顺利展开。在实施环境调研阶段,项目实施人员深入用户现场,对日志审计系统涉及的网络和设备节点进行了界定,核实了需要采集的日志源节点,明确了要采集的信息,以及采集方式,并制定出了相应的部署方案。
在系统部署阶段,除了将硬件设备上架并调通外,还对需要发送日志的设备节点进行了相应的配置,例如配置网络设备的syslog目的地址,配置Check Poink防火墙的日志发送目标地址,配置数据库服务器所在交换机的镜像端口,等等。
在系统试运行阶段,主要是设计必要的实时监控场景以及分析、预警规则,还有定制报表的工作,使得系统符合用户的使用要求。
在项目培训阶段,实施人员做好系统及其相关文档的移交工作,并针对系统的原理和使用操作进行培训。
之后,项目就进入验收环节。验收合格,再进入运行维护和售后服务阶段。
【编辑推荐】
