當今的證券行業(yè)在IT信息安全領域面臨比以往更為復雜的局面，日益迫切的信息系統(tǒng)審計和內(nèi)控、以及持續(xù)增強的業(yè)務持續(xù)性需求，對證券行業(yè)的日志審計提出了明確的要求：

1) 《證券公司內(nèi)部控制指引》第一百一十七條要求“證券公司應保證信息系統(tǒng)日志的完備性，確保所有重大修改被完整地記錄，確保開啟審計留痕功能”。

2) 證監(jiān)會要求各證券單位“應建立對關鍵網(wǎng)絡、安全設備和服務器日志定期檢查和分析的制度。各單位應定期人工或采取軟件分析方式對關鍵網(wǎng)絡設備、安全設備和服務器日志進行檢查和詳盡的分析，通過定期對日志進行分析和總結(jié)，及時了解網(wǎng)絡狀況、設備運行狀況，發(fā)現(xiàn)薄弱環(huán)節(jié)，及時整改，形成記錄”。

3) 《證券期貨業(yè)信息系統(tǒng)安全檢查貫徹落實指引》第四章第二節(jié)對日志審計提出了具體要求，“各單位應對分散的各種日志進行統(tǒng)一管理，避免遺漏出現(xiàn)死角，管理內(nèi)容應包括定期備份，形成日志分析報告等”，“各單位應對與交易業(yè)務、網(wǎng)站和網(wǎng)上交易系統(tǒng)有關的關鍵服務器、存儲設備、路由器、防火墻、交換機等設備的系統(tǒng)日志、程序運行日志、安全事件日志等進行定期備份”，“定期對關鍵網(wǎng)絡、安全設備和服務器日志進行檢查和分析，形成記錄”。

4) 即將頒布的金融行業(yè)標準《證券期貨業(yè)信息系統(tǒng)安全等級保護基本要求》中，對網(wǎng)絡、主機和應用的安全審計有明確的要求。其中，第二級中針對主機安全審計要求 “審計范圍應覆蓋到服務器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶。系統(tǒng)不支持該要求的，應以系統(tǒng)運行安全和效率為前提，采用第三方安全審計產(chǎn)品實現(xiàn)審計要求。審計記錄應至少保存6個月?！钡诙壷嗅槍冒踩珜徲嬕蟆皩孟到y(tǒng)重要安全事件進行審計，審計記錄至少保存6個月”。第二級系統(tǒng)運維管理中要求“至少每季度對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為”。

而目前，證券行業(yè)的網(wǎng)絡與信息系統(tǒng)建設已經(jīng)十分復雜，各類相關的日志信息分散在網(wǎng)絡的各個位置，如何有效的對這些日志進行統(tǒng)一的監(jiān)控審計成為了一大難題。與此同時，網(wǎng)絡中的各種網(wǎng)絡設備、安全設備、主機、應用和業(yè)務系統(tǒng)在工作中都產(chǎn)生了大量的安全事件和日志，卻沒有統(tǒng)一的進行管理，使得各個系統(tǒng)之間缺乏協(xié)同，整體安全無法得到保障。

因此，證券行業(yè)客戶迫切需要一個全面的、面向公司IT計算環(huán)境的、集中的安全審計平臺及其系統(tǒng)，這個系統(tǒng)能夠收集來自公司IT計算環(huán)境中各種設備和應用的安全日志，以及針對核心數(shù)據(jù)庫服務器的訪問和操作行為，并進行存儲、監(jiān)控、審計、分析、報警、響應和報告。

證券基金期貨公司日志審計系統(tǒng)選購需求

對于證券基金期貨公司而言，選擇一款合適的日志安全審計系統(tǒng)有其特殊的標準，這是跟其行業(yè)特性分不開的。證券行業(yè)一個很重要的特點就是網(wǎng)絡與業(yè)務連續(xù)性第一，系統(tǒng)日志量大，日志審計系統(tǒng)要盡可能地降低對現(xiàn)有網(wǎng)絡與業(yè)務系統(tǒng)運作的影響。

證券行業(yè)在選擇日志審計系統(tǒng)的時候，具有很強的證券行業(yè)特性，至少應考慮以下衡量指標：

1） 關注日志審計的范圍，尤其是對證券行業(yè)常見網(wǎng)絡基礎設施的日志采集能力，例如要支持Cisco的網(wǎng)絡設備、NOKIA（Check Point）防火墻、IBM ISS入侵防御系統(tǒng)、F5負載均衡設備，以及IBM和Sun的小型機。此外，要支持公司大量部署的Oracle、MS SQL數(shù)據(jù)庫日志的采集。

2）關注日志采集與分析的性能。對于證券行業(yè)客戶而言，設備多、每小時產(chǎn)生的日志量巨大，如果性能跟不上，就無法實現(xiàn)日志的有效采集，后續(xù)分析和審計就失去了意義，內(nèi)控的目標也就無法達成。

3）關注對現(xiàn)有網(wǎng)絡與業(yè)務系統(tǒng)的影響性。包括日志采集的網(wǎng)絡帶寬占用情況，對被審計設備和系統(tǒng)的CPU、內(nèi)存占用的情況和系統(tǒng)穩(wěn)定性的影響，等等。

4）關注日志審計系統(tǒng)的實時分析和報表能力。通過日志審計系統(tǒng)不僅統(tǒng)一的收集各種日志，還要能夠幫助管理人員實時的監(jiān)視日志信息，發(fā)現(xiàn)可疑行為，并能夠定期地出具針對內(nèi)控的報表報告。

5）關注日志審計系統(tǒng)的總擁有成本。包括產(chǎn)品是軟件還是硬件；是否內(nèi)置存儲，還是要另配存儲設備；是否內(nèi)置數(shù)據(jù)庫系統(tǒng)，還是要另夠許可；是否具備日志存儲壓縮歸檔功能，以降低對存儲空間的占用；是否易于部署，便于使用，還是需要經(jīng)過復雜的培訓；等等。

總之，證券行業(yè)的日志審計解決方案作為一個審計平臺應能夠?qū)崟r不間斷地將證券公司中來自不同廠商的安全設備、網(wǎng)絡設備、主機、操作系統(tǒng)、用戶業(yè)務系統(tǒng)的日志、警報等信息匯集到審計中心，實現(xiàn)全網(wǎng)綜合安全審計。能夠?qū)崟r地對采集到的不同類型的信息進行歸一化和實時關聯(lián)分析，通過統(tǒng)一的控制臺界 面進行實時、可視化的呈現(xiàn)，協(xié)助安全管理人員迅速準確地識別安全事故。

對于集中存儲起來的海量信息，平臺可以讓審計人員借助歷史分析工具對日志進行深度挖掘、調(diào)查取證、證據(jù)保全。平臺能夠自動地或者在管理員人工干預的情況下對審計告警進行各種響應，還為客戶提供了豐富的報表模板，使得用戶能夠從各個角度對公司的安全狀況進行審計，并自動、定期地產(chǎn)生報表。

日志審計系統(tǒng)實施過程分析

日志審計產(chǎn)品選型很重要，項目實施更加重要。這類產(chǎn)品不同于一般的標準化產(chǎn)品，涉及證券公司分散的網(wǎng)絡及安全設備，還有主機、數(shù)據(jù)庫等等，并可能涉及多個相關業(yè)務部門和運維支撐管理部門，項目的實施好壞會直接影響到項目實際運用的效果。

一般性地，應該遵循實施環(huán)境調(diào)研、系統(tǒng)部署、系統(tǒng)試運行、項目培訓的4個標準步驟。借助標準化的實施流程和豐富的實際運維經(jīng)驗，從而更好地保證項目的成功。

應該說，整個實施過程的第一個階段最為重要，關系到項目后續(xù)能否順利展開。在實施環(huán)境調(diào)研階段，項目實施人員深入用戶現(xiàn)場，對日志審計系統(tǒng)涉及的網(wǎng)絡和設備節(jié)點進行了界定，核實了需要采集的日志源節(jié)點，明確了要采集的信息，以及采集方式，并制定出了相應的部署方案。

在系統(tǒng)部署階段，除了將硬件設備上架并調(diào)通外，還對需要發(fā)送日志的設備節(jié)點進行了相應的配置，例如配置網(wǎng)絡設備的syslog目的地址，配置Check Poink防火墻的日志發(fā)送目標地址，配置數(shù)據(jù)庫服務器所在交換機的鏡像端口，等等。

在系統(tǒng)試運行階段，主要是設計必要的實時監(jiān)控場景以及分析、預警規(guī)則，還有定制報表的工作，使得系統(tǒng)符合用戶的使用要求。

在項目培訓階段，實施人員做好系統(tǒng)及其相關文檔的移交工作，并針對系統(tǒng)的原理和使用操作進行培訓。

之后，項目就進入驗收環(huán)節(jié)。驗收合格，再進入運行維護和售后服務階段。

【編輯推薦】

1. 網(wǎng)御神州為招商基金提供全方位日志審計解決方案
2. 日志審計系統(tǒng)的選型指南