證券行業(yè)日志審計需求分析
當(dāng)今的證券行業(yè)在IT信息安全領(lǐng)域面臨比以往更為復(fù)雜的局面,日益迫切的信息系統(tǒng)審計和內(nèi)控、以及持續(xù)增強的業(yè)務(wù)持續(xù)性需求,對證券行業(yè)的日志審計提出了明確的要求:
1) 《證券公司內(nèi)部控制指引》第一百一十七條要求“證券公司應(yīng)保證信息系統(tǒng)日志的完備性,確保所有重大修改被完整地記錄,確保開啟審計留痕功能”。
2) 證監(jiān)會要求各證券單位“應(yīng)建立對關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器日志定期檢查和分析的制度。各單位應(yīng)定期人工或采取軟件分析方式對關(guān)鍵網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器日志進行檢查和詳盡的分析,通過定期對日志進行分析和總結(jié),及時了解網(wǎng)絡(luò)狀況、設(shè)備運行狀況,發(fā)現(xiàn)薄弱環(huán)節(jié),及時整改,形成記錄”。
3) 《證券期貨業(yè)信息系統(tǒng)安全檢查貫徹落實指引》第四章第二節(jié)對日志審計提出了具體要求,“各單位應(yīng)對分散的各種日志進行統(tǒng)一管理,避免遺漏出現(xiàn)死角,管理內(nèi)容應(yīng)包括定期備份,形成日志分析報告等”,“各單位應(yīng)對與交易業(yè)務(wù)、網(wǎng)站和網(wǎng)上交易系統(tǒng)有關(guān)的關(guān)鍵服務(wù)器、存儲設(shè)備、路由器、防火墻、交換機等設(shè)備的系統(tǒng)日志、程序運行日志、安全事件日志等進行定期備份”,“定期對關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器日志進行檢查和分析,形成記錄”。
4) 即將頒布的金融行業(yè)標(biāo)準(zhǔn)《證券期貨業(yè)信息系統(tǒng)安全等級保護基本要求》中,對網(wǎng)絡(luò)、主機和應(yīng)用的安全審計有明確的要求。其中,第二級中針對主機安全審計要求 “審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和 數(shù)據(jù)庫用戶。系統(tǒng)不支持該要求的,應(yīng)以系統(tǒng)運行安全和效率為前提,采用第三方安全審計產(chǎn)品實現(xiàn)審計要求。審計記錄應(yīng)至少保存6個月。”第二級中針對應(yīng)用安全審計要求“對應(yīng)用系統(tǒng)重要安全事件進行審計,審計記錄至少保存6個月”。第二級系統(tǒng)運維管理中要求“至少每季度對運行日志和審計數(shù)據(jù)進行分析,以便及時發(fā)現(xiàn)異常行為”。
而目前,證券行業(yè)的網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)已經(jīng)十分復(fù)雜,各類相關(guān)的日志信息分散在網(wǎng)絡(luò)的各個位置,如何有效的對這些日志進行統(tǒng)一的監(jiān)控審計成為了一大難題。與此同時,網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機、應(yīng)用和業(yè)務(wù)系統(tǒng)在工作中都產(chǎn)生了大量的安全事件和日志,卻沒有統(tǒng)一的進行管理,使得各個系統(tǒng)之間缺乏協(xié)同,整體安全無法得到保障。
因此,證券行業(yè)客戶迫切需要一個全面的、面向公司IT計算環(huán)境的、集中的安全審計平臺及其系統(tǒng),這個系統(tǒng)能夠收集來自公司IT計算環(huán)境中各種設(shè)備和應(yīng) 用的安全日志,以及針對核心數(shù)據(jù)庫服務(wù)器的訪問和操作行為,并進行存儲、監(jiān)控、審計、分析、報警、響應(yīng)和報告。
招商基金日志審計系統(tǒng)選購需求
對于證券基金期貨公司而言,選擇一款合適的日志安全審計系統(tǒng)有其特殊的標(biāo)準(zhǔn),這是跟其行業(yè)特性分不開的。證券行業(yè)一個很重要的特點就是網(wǎng)絡(luò)與業(yè)務(wù)連續(xù)性第一,系統(tǒng)日志量大,日志審計系統(tǒng)要盡可能地降低對現(xiàn)有網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)運作的影響。
以招商基金管理有限公司為例,作為我國第一家中外合資的基金管理公司,其信息化建設(shè)已經(jīng)達到了很高的水平。招商基金在選擇日志審計系統(tǒng)的時候,列出了以下衡量指標(biāo),并具有很強的證券行業(yè)特性:
1) 關(guān)注日志審計的范圍,尤其是對證券行業(yè)常見網(wǎng)絡(luò)基礎(chǔ)設(shè)施的日志采集能力,例如要支持Cisco的網(wǎng)絡(luò)設(shè)備、NOKIA(Check Point)防火墻、IBM ISS入侵防御系統(tǒng)、F5負載均衡設(shè)備,以及IBM和Sun的小型機。此外,要支持公司大量部署的Oracle、MS SQL數(shù)據(jù)庫日志的采集。
2) 關(guān)注日志采集與分析的性能。對于招商基金這樣的證券行業(yè)客戶而言,設(shè)備多、每小時產(chǎn)生的日志量巨大,如果性能跟不上,就無法實現(xiàn)日志的有效采集,后續(xù)分析和審計就失去了意義,內(nèi)控的目標(biāo)也就無法達成。
3) 關(guān)注對現(xiàn)有網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)的影響性。包括日志采集的網(wǎng)絡(luò)帶寬占用情況,對被審計設(shè)備和系統(tǒng)的CPU、內(nèi)存占用的情況和系統(tǒng)穩(wěn)定性的影響,等等。
4) 關(guān)注日志審計系統(tǒng)的實時分析和報表能力。招商基金希望通過日志審計系統(tǒng)不僅統(tǒng)一的收集各種日志,還要能夠幫助管理人員實時的監(jiān)視日志信息,發(fā)現(xiàn)可疑行為,并能夠定期地出具針對內(nèi)控的報表報告。
5) 關(guān)注日志審計系統(tǒng)的總擁有成本。包括產(chǎn)品是軟件還是硬件;是否內(nèi)置存儲,還是要另配存儲設(shè)備;是否內(nèi)置數(shù)據(jù)庫系統(tǒng),還是要另夠許可;是否具備日志存儲壓縮歸檔功能,以降低對存儲空間的占用;是否易于部署,便于使用,還是需要經(jīng)過復(fù)雜的培訓(xùn);等等。
網(wǎng)御神州綜合日志審計解決方案
針對招商基金提出的上述需求,網(wǎng)御神州公司向招商基金公司推薦了面向證券、基金、期貨公司IT內(nèi)控的綜合日志安全審計解決方案。通過雙方的深入溝通和產(chǎn)品測試,最終獲得了用戶的認可。目前,該解決方案已經(jīng)在招商基金包括招商基金在內(nèi)的多家證券行業(yè)客戶得到了實際運用,獲得客戶的一致好評。
網(wǎng)御神州證券行業(yè)SecFox綜合日志審計解決方案作為一個審計平臺能夠?qū)崟r不間斷地將證券公司中來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報等信息匯集到審計中心,實現(xiàn)全網(wǎng)綜合安全審計。能夠?qū)崟r地對采集到的不同類型的信息進行歸一化和實時關(guān)聯(lián)分析,通過統(tǒng)一的控制臺界面進行實時、可視化的呈現(xiàn),協(xié)助安全管理人員迅速準(zhǔn)確地識別安全事故。對于集中存儲起來的海量信息,平臺可以讓審計人員借助歷史分析工具對日志進行深度挖掘、調(diào)查取證、證據(jù)保全。平臺能夠自動地或者在管理員人工干預(yù)的情況下對審計告警進行各種響應(yīng),還為客戶提供了豐富的報表模板,使得用戶能夠從各個角度對公司的安全狀況進行審計,并自動、定期地產(chǎn)生報表。
網(wǎng)御神州的證券行業(yè)SecFox綜合日志審計解決方案具有以下特點,很好地滿足了招商基金公司的需求,也符合證券行業(yè)對于日志審計的普遍要求:
1) 廣泛的設(shè)備和系統(tǒng)支持力度。該解決方案能夠采集國內(nèi)外各種主流的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機、數(shù)據(jù)庫和應(yīng)用系統(tǒng)的日志,已經(jīng)在包括證券、金融、政府、大企業(yè)在內(nèi)的大量客戶處得到過運用,技術(shù)成熟可靠。例如,對于Check Point防火墻,該解決方案通過其專有的OPSEC LEA協(xié)議進行日志采集,而非普通的syslog協(xié)議采集,大大提高了日志采集的效率。
2) 業(yè)界領(lǐng)先的日志采集與分析性能。網(wǎng)御神州的SecFox日志審計系統(tǒng)具有業(yè)界領(lǐng)先的日志采集與分析技術(shù),并已經(jīng)獲得了發(fā)明專利。借助該技術(shù),系統(tǒng)的日志采集性能可以達到30000EPS(Event per Second),而事件入庫性能也遠遠超過國內(nèi)所有同類產(chǎn)品。在多個項目的POC(驗證性)測試中,性能指標(biāo)遙遙領(lǐng)先。
3) 對網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)影響性最小。本解決方案在采集日志的時候,盡可能地利用設(shè)備和系統(tǒng)自帶的網(wǎng)絡(luò)協(xié)議,不在源設(shè)備上安全代理。系統(tǒng)支持分布式部署,多網(wǎng)段日志采集技術(shù),盡量降低日志流對現(xiàn)有網(wǎng)絡(luò)帶寬的占用。最關(guān)鍵的,本解決方案在采集數(shù)據(jù)庫日志的時候,不用開啟數(shù)據(jù)庫系統(tǒng)自帶的審計開關(guān),直接通過網(wǎng)絡(luò)旁路抓包的方式,偵聽數(shù)據(jù)庫訪問協(xié)議報文,還原成SQL語句操作的請求和返回信息,送入審計中心。這種方式使得對數(shù)據(jù)庫的影響為零,亦無須變動業(yè)務(wù)系統(tǒng)。
4) 具有很強的實時分析與歷史報表能力。本解決方案基于網(wǎng)御神州另一項獲得了發(fā)明專利的SMART關(guān)聯(lián)分析引擎技術(shù),能夠?qū)崟r的進行日志監(jiān)控與分析。同時,解決方案內(nèi)置報表編輯器,方便制作報表報告。
5) 整個審計系統(tǒng)采用硬件一體化設(shè)備,無需另配任何軟件,部署方便,使用簡潔。本解決方案最終交付給客戶的產(chǎn)品就是一套硬件設(shè)備,包括一個硬件的審計中心和若干個審計探針。用戶無需配置數(shù)據(jù)庫、存儲,也無需安裝客戶端。系統(tǒng)內(nèi)置數(shù)據(jù)庫及其許可,自帶高容量存儲,并采用RAID冗余設(shè)計,存儲還能擴展。設(shè)備都可以配置冗余電源,提升自身可靠性。此外,探針設(shè)備具備多個網(wǎng)口,支持多路偵聽。最后,用戶使用方便,通過瀏覽器登錄審計中心即可開展各項工作,界面清爽、清晰。
除了上述符合證券行業(yè)要求的基本特性,網(wǎng)御神州的證券行業(yè)SecFox綜合日志審計解決方案還具有以下突出優(yōu)勢:
1) 完全自主開發(fā),全中文界面,并國外同類產(chǎn)品更貼近中國證券行業(yè)客戶的需求;
2) 業(yè)界最佳的審計信息可視化能力,具有監(jiān)控頻道、事件攻擊圖、攻擊世界地圖定位、行為分析圖等多種圖形化展現(xiàn)工具;
3) 強大的安全日志關(guān)聯(lián)分析能力,獲得一項發(fā)明專利,支持單事件關(guān)聯(lián)、多事件關(guān)聯(lián)、時序關(guān)聯(lián)、統(tǒng)計關(guān)聯(lián)、遞歸關(guān)聯(lián)等分析算法;具備全屬性關(guān)聯(lián)能力。 上一頁1 2 下一頁進入論壇>>
(責(zé)任編輯:陳意)聲明:IT商業(yè)新聞網(wǎng)登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點或證實其描述。文章內(nèi)容僅供參考。新聞咨詢:(010)68023640. 如果你對網(wǎng)站有好的建議請點擊網(wǎng)站建議發(fā)表你的建議。
推薦閱讀
“惠普正在向著全球最大企業(yè)級服務(wù)公司進軍。”10月20日,比爾在跳槽惠普后首次到訪中國,并在接受記者專訪時表示,惠普2009財年1146億美元凈營收中,軟件和服務(wù)業(yè)務(wù)已經(jīng)占據(jù)將近一半,而惠普近期一系列的戰(zhàn)略調(diào)整正>>>詳細閱讀
本文標(biāo)題:網(wǎng)御神州助力招商基金解決日志審計問題
地址:http://m.sdlzkt.com/a/xie/20111230/193030.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示