证券行业日志审计需求分析，产品选型和实施建议

内控合规需求分析
 

当今的证券行业在IT信息安全领域面临比以往更为复杂的局面，日益迫切的信息系统审计和内控、以及持续加强的业务持续性需求，对证券行业的日志审计提出了明确的要求：

1) 《证券公司内部控制指引》第一百一十七条要求“证券公司应保证信息系统日志的完备性，确保全部重大修改被完整地记录，确保开启审计留痕功能”。

2) 证监会要求各证券单位“应创建对关键网络、安全设备和服务器日志按期检查和分析的制度。各单位应按期人工或采起软件分析方式对关键网络设备、安全设备和服 务器日志进行检查和详尽的分析，经过按期对日志进行分析和总结，及时了解网络情况、设备运行情况，发现薄弱环节，及时整改，造成记录”。

3) 《证券期货业信息系统安全检查贯彻落实指引》第四章第二节对日志审计提出了具体要求，“各单位应对分散的各类日志进行统一管理，避免遗漏出现死角，管理内 容应包括按期备份，造成日志分析报告等”，“各单位应对与交易业务、网站和网上交易系统有关的关键服务器、存储设备、路由器、防火墙、交换机等设备的系统 日志、程序运行日志、安全事件日志等进行按期备份”，“按期对关键网络、安全设备和服务器日志进行检查和分析，造成记录”。

4) 即将颁布的金融行业标准《证券期货业信息系统安全等级保护基本要求》中，对网络、主机和应用的安全审计有明确的要求。其中，第二级中针对主机安全审计要求 “审计范围应覆盖到服务器上的每一个操做系统用户和数据库用户。系统不支持该要求的，应以系统运行安全和效率为前提，采用第三方安全审计产品实现审计要求。 审计记录应至少保存6个月。”第二级中针对应用安全审计要求“对应用系统重要安全事件进行审计，审计记录至少保存6个月”。第二级系统运维管理中要求“至 少每季度对运行日志和审计数据进行分析，以便及时发现异常行为”。

而目前，证券行业的网络与信息系统建设已经十分复杂，各种相关的日志信息分散在网络的各个位置，如何有效的对这些日志进行统一的监控审计成为了一大 难题。与此同时，网络中的各类网络设备、安全设备、主机、应用和业务系统在工做中都产生了大量的安全事件和日志，却没有统一的进行管理，使得各个系统之间 缺少协同，总体安全没法获得保障。

所以，证券行业客户迫切须要一个全面的、面向公司IT计算环境的、集中的安全审计平台及其系统，这个系统可以收集来自公司IT计算环境中各类设备和应用的安全日志，以及针对核心数据库服务器的访问和操做行为，并进行存储、监控、审计、分析、报警、响应和报告。

 

证券基金期货公司日志审计系统选购需求

对于证券基金期货公司而言，选择一款合适的日志安全审计系统有其特殊的标准，这是跟其行业特性分不开的。证券行业一个很重要的特色就是网络与业务连续性第一，系统日志量大，日志审计系统要尽量地下降对现有网络与业务系统运做的影响。

证券行业在选择日志审计系统的时候，具备很强的证券行业特性，至少应考虑如下衡量指标：

1） 关注日志审计的范围，尤为是对证券行业常见网络基础设施的日志采集能力，例如要支持Cisco的网络设备、NOKIA（Check Point）防火墙、IBM ISS***防护系统、F5负载均衡设备，以及IBM和Sun的小型机。此外，要支持公司大量部署的Oracle、MS SQL数据库日志的采集。

2）关注日志采集与分析的性能。对于证券行业客户而言，设备多、每小时产生的日志量巨大，若是性能跟不上，就没法实现日志的有效采集，后续分析和审计就失去了意义，内控的目标也就没法达成。

3）关注对现有网络与业务系统的影响性。包括日志采集的网络带宽占用状况，对被审计设备和系统的CPU、内存占用的状况和系统稳定性的影响，等等。

4）关注日志审计系统的实时分析和报表能力。经过日志审计系统不只统一的收集各类日志，还要可以帮助管理人员实时的监视日志信息，发现可疑行为，并可以按期地出具针对内控的报表报告。

5）关注日志审计系统的总拥有成本。包括产品是软件仍是硬件；是否内置存储，仍是要另配存储设备；是否内置数据库系统，仍是要另够许可；是否具有日志存储压缩归档功能，以下降对存储空间的占用；是否易于部署，便于使用，仍是须要通过复杂的培训；等等。

 

总之，证券行业的日志审计解决方案做为一个审计平台应可以实时不间断地将证券公司中来自不一样厂商的安全设备、网络设备、主机、操做系统、用户业务系 统的日志、警报等信息聚集到审计中心，实现全网综合安全审计。可以实时地对采集到的不一样类型的信息进行归一化和实时关联分析，经过统一的控制台界 面进行实时、可视化的呈现，协助安全管理人员迅速准确地识别安全事故。

对于集中存储起来的海量信息，平台可让审计人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。平台可以自动地或者在管理员人工干预的 状况下对审计告警进行各类响应，还为客户提供了丰富的报表模板，使得用户可以从各个角度对公司的安全情况进行审计，并自动、按期地产生报表。

 

日志审计系统实施过程分析

日志审计产品选型很重要，项目实施更加剧要。这类产品不一样于通常的标准化产品，涉及证券公司分散的网络及安全设备，还有主机、数据库等等，并可能涉及多个相关业务部门和运维支撑管理部门，项目的实施好坏会直接影响到项目实际运用的效果。
 

通常性地，应该遵循实施环境调研、系统部署、系统试运行、项目培训的4个标准步骤。借助标准化的实施流程和丰富的实际运维经验，从而更好地保证项目的成功。

应该说，整个实施过程的第一个阶段最为重要，关系到项目后续可否顺利展开。在实施环境调研阶段，项目实施人员深刻用户现场，对日志审计系统涉及的网络和设备节点进行了界定，核实了须要采集的日志源节点，明确了要采集的信息，以及采集方式，并制定出了相应的部署方案。

在系统部署阶段，除了将硬件设备上架并调通外，还对须要发送日志的设备节点进行了相应的配置，例如配置网络设备的syslog目的地址，配置Check Poink防火墙的日志发送目标地址，配置数据库服务器所在交换机的镜像端口，等等。

在系统试运行阶段，主要是设计必要的实时监控场景以及分析、预警规则，还有定制报表的工做，使得系统符合用户的使用要求。

在项目培训阶段，实施人员作好系统及其相关文档的移交工做，并针对系统的原理和使用操做进行培训。

以后，项目就进入验收环节。验收合格，再进入运行维护和售后服务阶段。