证券行业日志审计需求分析

　　当今的证券行业在IT信息安全领域面临比以往更为复杂的局面，日益迫切的信息系统审计和内控、以及持续增强的业务持续性需求，对证券行业的日志审计提出了明确的要求：

　　1) 《证券公司内部控制指引》第一百一十七条要求“证券公司应保证信息系统日志的完备性，确保所有重大修改被完整地记录，确保开启审计留痕功能”。

　　2) 证监会要求各证券单位“应建立对关键网络、安全设备和服务器日志定期检查和分析的制度。各单位应定期人工或采取软件分析方式对关键网络设备、安全设备和服务器日志进行检查和详尽的分析，通过定期对日志进行分析和总结，及时了解网络状况、设备运行状况，发现薄弱环节，及时整改，形成记录”。

　　3) 《证券期货业信息系统安全检查贯彻落实指引》第四章第二节对日志审计提出了具体要求，“各单位应对分散的各种日志进行统一管理，避免遗漏出现死角，管理内容应包括定期备份，形成日志分析报告等”，“各单位应对与交易业务、网站和网上交易系统有关的关键服务器、存储设备、路由器、防火墙、交换机等设备的系统日志、程序运行日志、安全事件日志等进行定期备份”，“定期对关键网络、安全设备和服务器日志进行检查和分析，形成记录”。

　　4) 即将颁布的金融行业标准《证券期货业信息系统安全等级保护基本要求》中，对网络、主机和应用的安全审计有明确的要求。其中，第二级中针对主机安全审计要求“审计范围应覆盖到服务器上的每个操作系统用户和 数据库用户。系统不支持该要求的，应以系统运行安全和效率为前提，采用第三方安全审计产品实现审计要求。审计记录应至少保存6个月。”第二级中针对应用安全审计要求“对应用系统重要安全事件进行审计，审计记录至少保存6个月”。第二级系统运维管理中要求“至少每季度对运行日志和审计数据进行分析，以便及时发现异常行为”。

　　而目前，证券行业的网络与信息系统建设已经十分复杂，各类相关的日志信息分散在网络的各个位置，如何有效的对这些日志进行统一的监控审计成为了一大难题。与此同时，网络中的各种网络设备、安全设备、主机、应用和业务系统在工作中都产生了大量的安全事件和日志，却没有统一的进行管理，使得各个系统之间缺乏协同，整体安全无法得到保障。

　　因此，证券行业客户迫切需要一个全面的、面向公司IT计算环境的、集中的安全审计平台及其系统，这个系统能够收集来自公司IT计算环境中各种设备和应 用的安全日志，以及针对核心数据库服务器的访问和操作行为，并进行存储、监控、审计、分析、报警、响应和报告。

　　招商基金日志审计系统选购需求

　　对于证券基金期货公司而言，选择一款合适的日志安全审计系统有其特殊的标准，这是跟其行业特性分不开的。证券行业一个很重要的特点就是网络与业务连续性第一，系统日志量大，日志审计系统要尽可能地降低对现有网络与业务系统运作的影响。

　　以招商基金管理有限公司为例，作为我国第一家中外合资的基金管理公司，其信息化建设已经达到了很高的水平。招商基金在选择日志审计系统的时候，列出了以下衡量指标，并具有很强的证券行业特性：

　　1) 关注日志审计的范围，尤其是对证券行业常见网络基础设施的日志采集能力，例如要支持Cisco的网络设备、NOKIA(Check Point)防火墙、IBM ISS入侵防御系统、F5负载均衡设备，以及IBM和Sun的小型机。此外，要支持公司大量部署的Oracle、MS SQL数据库日志的采集。

　　2) 关注日志采集与分析的性能。对于招商基金这样的证券行业客户而言，设备多、每小时产生的日志量巨大，如果性能跟不上，就无法实现日志的有效采集，后续分析和审计就失去了意义，内控的目标也就无法达成。

　　3) 关注对现有网络与业务系统的影响性。包括日志采集的网络带宽占用情况，对被审计设备和系统的CPU、内存占用的情况和系统稳定性的影响，等等。

　　4) 关注日志审计系统的实时分析和报表能力。招商基金希望通过日志审计系统不仅统一的收集各种日志，还要能够帮助管理人员实时的监视日志信息，发现可疑行为，并能够定期地出具针对内控的报表报告。

　　5) 关注日志审计系统的总拥有成本。包括产品是软件还是硬件;是否内置存储，还是要另配存储设备;是否内置数据库系统，还是要另够许可;是否具备日志存储压缩归档功能，以降低对存储空间的占用;是否易于部署，便于使用，还是需要经过复杂的培训;等等。

　　网御神州综合日志审计解决方案

　　针对招商基金提出的上述需求，网御神州公司向招商基金公司推荐了面向证券、基金、期货公司IT内控的综合日志安全审计解决方案。通过双方的深入沟通和产品测试，最终获得了用户的认可。目前，该解决方案已经在招商基金包括招商基金在内的多家证券行业客户得到了实际运用，获得客户的一致好评。

　　网御神州证券行业SecFox综合日志审计解决方案作为一个审计平台能够实时不间断地将证券公司中来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到审计中心，实现全网综合安全审计。能够实时地对采集到的不同类型的信息进行归一化和实时关联分析，通过统一的控制台界面进行实时、可视化的呈现，协助安全管理人员迅速准确地识别安全事故。对于集中存储起来的海量信息，平台可以让审计人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。平台能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应，还为客户提供了丰富的报表模板，使得用户能够从各个角度对公司的安全状况进行审计，并自动、定期地产生报表。

　　网御神州的证券行业SecFox综合日志审计解决方案具有以下特点，很好地满足了招商基金公司的需求，也符合证券行业对于日志审计的普遍要求：

　　1) 广泛的设备和系统支持力度。该解决方案能够采集国内外各种主流的网络设备、安全设备、主机、数据库和应用系统的日志，已经在包括证券、金融、政府、大企业在内的大量客户处得到过运用，技术成熟可靠。例如，对于Check Point防火墙，该解决方案通过其专有的OPSEC LEA协议进行日志采集，而非普通的syslog协议采集，大大提高了日志采集的效率。

　　2) 业界领先的日志采集与分析性能。网御神州的SecFox日志审计系统具有业界领先的日志采集与分析技术，并已经获得了发明专利。借助该技术，系统的日志采集性能可以达到30000EPS(Event per Second)，而事件入库性能也远远超过国内所有同类产品。在多个项目的POC(验证性)测试中，性能指标遥遥领先。

　　3) 对网络与业务系统影响性最小。本解决方案在采集日志的时候，尽可能地利用设备和系统自带的网络协议，不在源设备上安全代理。系统支持分布式部署，多网段日志采集技术，尽量降低日志流对现有网络带宽的占用。最关键的，本解决方案在采集数据库日志的时候，不用开启数据库系统自带的审计开关，直接通过网络旁路抓包的方式，侦听数据库访问协议报文，还原成SQL语句操作的请求和返回信息，送入审计中心。这种方式使得对数据库的影响为零，亦无须变动业务系统。

　　4) 具有很强的实时分析与历史报表能力。本解决方案基于网御神州另一项获得了发明专利的SMART关联分析引擎技术，能够实时的进行日志监控与分析。同时，解决方案内置报表编辑器，方便制作报表报告。

　　5) 整个审计系统采用硬件一体化设备，无需另配任何软件，部署方便，使用简洁。本解决方案最终交付给客户的产品就是一套硬件设备，包括一个硬件的审计中心和若干个审计探针。用户无需配置数据库、存储，也无需安装客户端。系统内置数据库及其许可，自带高容量存储，并采用RAID冗余设计，存储还能扩展。设备都可以配置冗余电源，提升自身可靠性。此外，探针设备具备多个网口，支持多路侦听。最后，用户使用方便，通过浏览器登录审计中心即可开展各项工作，界面清爽、清晰。

　　除了上述符合证券行业要求的基本特性，网御神州的证券行业SecFox综合日志审计解决方案还具有以下突出优势：

　　1) 完全自主开发，全中文界面，并国外同类产品更贴近中国证券行业客户的需求;

　　2) 业界最佳的审计信息可视化能力，具有监控频道、事件攻击图、攻击世界地图定位、行为分析图等多种图形化展现工具;

　　3) 强大的安全日志关联分析能力，获得一项发明专利，支持单事件关联、多事件关联、时序关联、统计关联、递归关联等分析算法;具备全属性关联能力。

　　招商基金项目实施介绍

　　在实施招商基金日志审计项目的时候，网御神州遵循了实施环境调研、系统部署、系统试运行、项目培训的4个标准步骤。借助标准化的实施流程和丰富的实际运维经验，从而更好地保证项目的成功。

　　应该说，整个实施过程的第一个阶段最为重要，关系到项目后续能否顺利展开。在实施环境调研阶段，项目实施人员深入用户现场，对日志审计系统涉及的网络和设备节点进行了界定，核实了需要采集的日志源节点，明确了要采集的信息，以及采集方式，并制定出了相应的部署方案。

　　下表展示了实施调研阶段中填写的《节点日志采集信息表》的片段

　　　下图则展示了整个审计系统部署的方式(注：此处仅作示意)。

　　▲

　　在系统部署阶段，除了将硬件设备上架并调通外，还对需要发送日志的设备节点进行了相应的配置，例如配置网络设备的syslog目的地址，配置Check Poink防火墙的日志发送目标地址，配置数据库服务器所在交换机的镜像端口，等等。

　　在系统试运行阶段，主要是设计必要的实时监控场景以及分析、预警规则，还有定制报表的工作，使得系统符合用户的使用要求。

　　在项目培训阶段，实施人员做好系统及其相关文档的移交工作，并针对系统的原理和使用操作进行培训。

　　之后，项目就进入验收环节。验收合格，再进入运行维护和售后服务阶段。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。