內控合規需求分析
當今的證券行業在IT信息安全領域面臨比以往更爲複雜的局面,日益迫切的信息系統審計和內控、以及持續增強的業務持續性需求,對證券行業的日誌審計提出了明確的要求:
1) 《證券公司內部控制指引》第一百一十七條要求“證券公司應保證信息系統日誌的完備性,確保所有重大修改被完整地記錄,確保開啓審計留痕功能”。
2) 證監會要求各證券單位“應建立對關鍵網絡、安全設備和服務器日誌定期檢查和分析的制度。各單位應定期人工或採取軟件分析方式對關鍵網絡設備、安全設備和服 務器日誌進行檢查和詳盡的分析,通過定期對日誌進行分析和總結,及時瞭解網絡狀況、設備運行狀況,發現薄弱環節,及時整改,形成記錄”。
3) 《證券期貨業信息系統安全檢查貫徹落實指引》第四章第二節對日誌審計提出了具體要求,“各單位應對分散的各種日誌進行統一管理,避免遺漏出現死角,管理內 容應包括定期備份,形成日誌分析報告等”,“各單位應對與交易業務、網站和網上交易系統有關的關鍵服務器、存儲設備、路由器、防火牆、交換機等設備的系統 日誌、程序運行日誌、安全事件日誌等進行定期備份”,“定期對關鍵網絡、安全設備和服務器日誌進行檢查和分析,形成記錄”。
4) 即將頒佈的金融行業標準《證券期貨業信息系統安全等級保護基本要求》中,對網絡、主機和應用的安全審計有明確的要求。其中,第二級中針對主機安全審計要求 “審計範圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶。系統不支持該要求的,應以系統運行安全和效率爲前提,採用第三方安全審計產品實現審計要求。 審計記錄應至少保存6個月。”第二級中針對應用安全審計要求“對應用系統重要安全事件進行審計,審計記錄至少保存6個月”。第二級系統運維管理中要求“至 少每季度對運行日誌和審計數據進行分析,以便及時發現異常行爲”。
而目前,證券行業的網絡與信息系統建設已經十分複雜,各類相關的日誌信息分散在網絡的各個位置,如何有效的對這些日誌進行統一的監控審計成爲了一大 難題。與此同時,網絡中的各種網絡設備、安全設備、主機、應用和業務系統在工作中都產生了大量的安全事件和日誌,卻沒有統一的進行管理,使得各個系統之間 缺乏協同,整體安全無法得到保障。
因此,證券行業客戶迫切需要一個全面的、面向公司IT計算環境的、集中的安全審計平臺及其系統,這個系統能夠收集來自公司IT計算環境中各種設備和應用的安全日誌,以及針對核心數據庫服務器的訪問和操作行爲,並進行存儲、監控、審計、分析、報警、響應和報告。
證券基金期貨公司日誌審計系統選購需求
對於證券基金期貨公司而言,選擇一款合適的日誌安全審計系統有其特殊的標準,這是跟其行業特性分不開的。證券行業一個很重要的特點就是網絡與業務連續性第一,系統日誌量大,日誌審計系統要儘可能地降低對現有網絡與業務系統運作的影響。
證券行業在選擇日誌審計系統的時候,具有很強的證券行業特性,至少應考慮以下衡量指標:
1) 關注日誌審計的範圍,尤其是對證券行業常見網絡基礎設施的日誌採集能力,例如要支持Cisco的網絡設備、NOKIA(Check Point)防火牆、IBM ISS***防禦系統、F5負載均衡設備,以及IBM和Sun的小型機。此外,要支持公司大量部署的Oracle、MS SQL數據庫日誌的採集。
2)關注日誌採集與分析的性能。對於證券行業客戶而言,設備多、每小時產生的日誌量巨大,如果性能跟不上,就無法實現日誌的有效採集,後續分析和審計就失去了意義,內控的目標也就無法達成。
3)關注對現有網絡與業務系統的影響性。包括日誌採集的網絡帶寬佔用情況,對被審計設備和系統的CPU、內存佔用的情況和系統穩定性的影響,等等。
4)關注日誌審計系統的實時分析和報表能力。通過日誌審計系統不僅統一的收集各種日誌,還要能夠幫助管理人員實時的監視日誌信息,發現可疑行爲,並能夠定期地出具針對內控的報表報告。
5)關注日誌審計系統的總擁有成本。包括產品是軟件還是硬件;是否內置存儲,還是要另配存儲設備;是否內置數據庫系統,還是要另夠許可;是否具備日誌存儲壓縮歸檔功能,以降低對存儲空間的佔用;是否易於部署,便於使用,還是需要經過複雜的培訓;等等。
總之,證券行業的日誌審計解決方案作爲一個審計平臺應能夠實時不間斷地將證券公司中來自不同廠商的安全設備、網絡設備、主機、操作系統、用戶業務系 統的日誌、警報等信息彙集到審計中心,實現全網綜合安全審計。能夠實時地對採集到的不同類型的信息進行歸一化和實時關聯分析,通過統一的控制檯界 面進行實時、可視化的呈現,協助安全管理人員迅速準確地識別安全事故。
對於集中存儲起來的海量信息,平臺可以讓審計人員藉助歷史分析工具對日誌進行深度挖掘、調查取證、證據保全。平臺能夠自動地或者在管理員人工干預的 情況下對審計告警進行各種響應,還爲客戶提供了豐富的報表模板,使得用戶能夠從各個角度對公司的安全狀況進行審計,並自動、定期地產生報表。
日誌審計系統實施過程分析
日誌審計產品選型很重要,項目實施更加重要。這類產品不同於一般的標準化產品,涉及證券公司分散的網絡及安全設備,還有主機、數據庫等等,並可能涉及多個相關業務部門和運維支撐管理部門,項目的實施好壞會直接影響到項目實際運用的效果。
一般性地,應該遵循實施環境調研、系統部署、系統試運行、項目培訓的4個標準步驟。藉助標準化的實施流程和豐富的實際運維經驗,從而更好地保證項目的成功。
應該說,整個實施過程的第一個階段最爲重要,關係到項目後續能否順利展開。在實施環境調研階段,項目實施人員深入用戶現場,對日誌審計系統涉及的網絡和設備節點進行了界定,覈實了需要採集的日誌源節點,明確了要採集的信息,以及採集方式,並制定出了相應的部署方案。
在系統部署階段,除了將硬件設備上架並調通外,還對需要發送日誌的設備節點進行了相應的配置,例如配置網絡設備的syslog目的地址,配置Check Poink防火牆的日誌發送目標地址,配置數據庫服務器所在交換機的鏡像端口,等等。
在系統試運行階段,主要是設計必要的實時監控場景以及分析、預警規則,還有定製報表的工作,使得系統符合用戶的使用要求。
在項目培訓階段,實施人員做好系統及其相關文檔的移交工作,並針對系統的原理和使用操作進行培訓。
之後,項目就進入驗收環節。驗收合格,再進入運行維護和售後服務階段。