日誌是整個銀行 IT 信息系統中非常重要的信息和數據,它對信息安全整個過程中關鍵記錄信息的監控統計,特別針對安全事故分析、追蹤起到了關鍵性作用。
隨着網絡規模的迅速擴大,加上各類應用系統逐步增多,運維人員工作量往往會成倍增加,使得關鍵信息得不到重點關注。
大量事實表明,對於安全事件發生或關鍵數據遭到嚴重破壞之前完全可以預先通過日誌異常行爲告警方式通知管理人員,及時進行分析並採取相應措施進行有效阻止,從而大大降低安全事件的發生率。例如常用的網絡***手段,如暴力破解、 SQL 注入、漏洞掃描等操作都會留下大量的日誌關鍵字證據。這些數據金礦如果能被有效利用,就可以快速響應類似安全事件,降低安全風險。
但是隨着設備、應用系統的增加,對日誌的及時監控、分析、管理變的越來越困難,使得管理員的工作量越來越大,同時也帶來諸多的不可靠因素及信息安全瓶頸,因此×××迫切的希望能夠建立一個“智能日誌中心”,對日誌進行收集、分析、展現及高效存儲。
客戶訴求
銀行日誌審計需求主要源自於兩個方面的驅動力。
一方面,從銀行和組織自身安全和應用的需要出發,日誌分析能夠幫助用戶獲悉信息系統的安全運行狀態,識別針對信息系統的***和***,以及來自內部的違規和信息泄露,能夠爲事後的問題分析和調查取證提供必要的信息。有研究指出,69%的***行爲實際上都有日誌留存,進行日誌管理的首要原因是監測與跟蹤可疑的行爲,例如非授權訪問、內部信息泄露,等等。
同時日誌完整記錄信息系統運行過程的每個細節,包括報錯、授權、變更配置等信息,是ITOA (IT Operation Analytics)的重要數據分析來源。通過對各類信息系統、IT設備日誌的集中收集、達到日誌統一管理、分析、彙總,改變傳統的手工日誌處理方式,提高工作效率,集中進行關聯性分析,有利於快速定位故障原因和排查潛在的安全隱患。
另一方面,從國家法律法規、銀行行業標準和規範的角度出發,日誌分析已經成爲了滿足合規與內控需求的必備功能。
政策法規
《×××網絡安全法》第二十一條要求採取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日誌不少於六個月。日誌留存不少於六個月,需要專門的支持大容量的日誌收集存儲設備進行處理。
《信息系統安全等級化保護基本要求》對於二級以上信息系統,在網絡安全、主機安全和應用安全等基本要求中明確要求進行安全審計。而日誌審計是符合這些要求的基本手段。
《商業銀行內部控制指引》 第一百二十六條指出商業銀行的網絡設備、操作系統、數據庫系統、應用程序等均當設置必要的日誌。日誌應當能夠滿足各類內部和外部審計的需要。
《銀行業信息科技風險管理指引》 第二十五條要求對於所有計算機操作系統和系統軟件的安全,在系統日誌中記錄不成功的登錄、重要系統文件的訪問、對用戶賬戶的修改等有關重要事項,手動或自動監控系統出現的任何異常事件,定期彙報監控情況。
第二十六條要求對於所有信息系統的安全,以書面或電子格式保存審計痕跡;要求用戶管理員監控和審查未成功的登錄和用戶賬戶的修改。
第二十七條要求銀行業應制定相關策略和流程,管理所有生產系統的日誌,以支持有效的審覈、安全取證分析和預防欺詐。
客戶價值
政策合規價值
SaCa DataInsight幫助客戶完成相關網絡安全政策法規中對於日誌審計的合規要求,提高客戶網絡安全水平。
安全審計價值
SaCa DataInsight實現對客戶網絡中的系統和設備日誌自動化統一收集審計,便捷快速的歷史查詢和數據統計,減少客戶在安全審計上的人力和時間,幫助客戶分析日誌中記錄的安全事件,及時發現網絡威脅。
追溯定責價值
SaCa DataInsight能夠對客戶網絡中的日誌進行審計和分析,可以幫助客戶發現各種日誌記錄的違規行爲及***行爲,爲安全事件的事後追查提供有效的定責證據。
產品能力
SaCa DataInsight日誌分析產品能夠提供日誌統一採集、預處理、分析和檢查,幫助客戶滿足日誌合規審計要求。
日誌統一歸集
通過SaCa DataInsight日誌採集代理,可實現對各類日誌進行統一採集集中存儲。產品支持對接豐富的數據源,幫助客戶將各類網絡設備,操作系統,中間件,數據庫,web服務,應用系統的日誌全部接入到產品中。SaCa DataInsight日誌採集代理對系統無依賴無***,正常運行時佔用系統資源不超過1%,並且可以在服務端對採集代理進行資源限制與任務管理,超過限定的資源閾值會自動抑制,完全杜絕與生產環境業務應用出現搶佔資源的問題。
日誌安全審計,滿足安全合規需求
SaCa DataInsight採集的所有審計日誌都可以即時查詢,完全滿足安全合規需求,同時基於產品的報表、監控和告警等功能,還可以對惡意登錄及***等日誌數據進行有效分析和合規審計。
豐富靈活的可視化報表
SaCa DataInsight提供的可視化報表功能可以從多角度、多維度對審計日誌進行全方位細粒度的分析,包括實時分析、歷史分析、統計分析、對比分析以及趨勢分析,用戶也可以根據實際需要通過自定義報表擴展各類圖表及儀表盤。
智能日誌關聯分析
SaCa DataInsight可通過查詢關聯引擎進行規則匹配,串聯多環節日誌數據,對不同系統業務的日誌進行關聯性分析,以達到事件追溯的目的。產品實時不間斷地將客戶的各類日誌和異常信息彙集到產品中,通過統一的管理控制檯進行實時、可視化的呈現,輔助客戶迅速準確地識別安全事件,實現全網綜合合規審計。同時藉助大數據分析和挖掘技術,通過各種***模型場景發現各種網絡***行爲、用戶異常訪問和操作行爲,及時發出告警。
