日志是整个银行 IT 信息系统中非常重要的信息和数据,它对信息安全整个过程中关键记录信息的监控统计,特别针对安全事故分析、追踪起到了关键性作用。
随着网络规模的迅速扩大,加上各类应用系统逐步增多,运维人员工作量往往会成倍增加,使得关键信息得不到重点关注。
大量事实表明,对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志异常行为告警方式通知管理人员,及时进行分析并采取相应措施进行有效阻止,从而大大降低安全事件的发生率。例如常用的网络攻击手段,如暴力破解、 SQL 注入、漏洞扫描等操作都会留下大量的日志关键字证据。这些数据金矿如果能被有效利用,就可以快速响应类似安全事件,降低安全风险。
但是随着设备、应用系统的增加,对日志的及时监控、分析、管理变的越来越困难,使得管理员的工作量越来越大,同时也带来诸多的不可靠因素及信息安全瓶颈,因此银行客户迫切的希望能够建立一个“智能日志中心”,对日志进行收集、分析、展现及高效存储。
客户诉求
银行日志审计需求主要源自于两个方面的驱动力。
一方面,从银行和组织自身安全和应用的需要出发,日志分析能够帮助用户获悉信息系统的安全运行状态,识别针对信息系统的攻击和入侵,以及来自内部的违规和信息泄露,能够为事后的问题分析和调查取证提供必要的信息。有研究指出,69%的攻击行为实际上都有日志留存,进行日志管理的首要原因是监测与跟踪可疑的行为,例如非授权访问、内部信息泄露,等等。
同时日志完整记录信息系统运行过程的每个细节,包括报错、授权、变更配置等信息,是ITOA (IT Operation Analytics)的重要数据分析来源。通过对各类信息系统、IT设备日志的集中收集、达到日志统一管理、分析、汇总,改变传统的手工日志处理方式,提高工作效率,集中进行关联性分析,有利于快速定位故障原因和排查潜在的安全隐患。
另一方面,从国家法律法规、银行行业标准和规范的角度出发,日志分析已经成为了满足合规与内控需求的必备功能。
政策法规
《中华人民共和国网络安全法》第二十一条要求采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。日志留存不少于六个月,需要专门的支持大容量的日志收集存储设备进行处理。
《信息系统安全等级化保护基本要求》对于二级以上信息系统,在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计。而日志审计是符合这些要求的基本手段。
《商业银行内部控制指引》 第一百二十六条指出商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要。
《银行业信息科技风险管理指引》 第二十五条要求对于所有计算机操作系统和系统软件的安全,在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。
第二十六条要求对于所有信息系统的安全,以书面或电子格式保存审计痕迹;要求用户管理员监控和审查未成功的登录和用户账户的修改。
第二十七条要求银行业应制定相关策略和流程,管理所有生产系统的日志,以支持有效的审核、安全取证分析和预防欺诈。
客户价值
政策合规价值
SaCa DataInsight帮助客户完成相关网络安全政策法规中对于日志审计的合规要求,提高客户网络安全水平。
安全审计价值
SaCa DataInsight实现对客户网络中的系统和设备日志自动化统一收集审计,便捷快速的历史查询和数据统计,减少客户在安全审计上的人力和时间,帮助客户分析日志中记录的安全事件,及时发现网络威胁。
追溯定责价值
SaCa DataInsight能够对客户网络中的日志进行审计和分析,可以帮助客户发现各种日志记录的违规行为及攻击行为,为安全事件的事后追查提供有效的定责证据。
产品能力
SaCa DataInsight日志分析产品能够提供日志统一采集、预处理、分析和检查,帮助客户满足日志合规审计要求。
日志统一归集
通过SaCa DataInsight日志采集代理,可实现对各类日志进行统一采集集中存储。产品支持对接丰富的数据源,帮助客户将各类网络设备,操作系统,中间件,数据库,web服务,应用系统的日志全部接入到产品中。SaCa DataInsight日志采集代理对系统无依赖无入侵,正常运行时占用系统资源不超过1%,并且可以在服务端对采集代理进行资源限制与任务管理,超过限定的资源阈值会自动抑制,完全杜绝与生产环境业务应用出现抢占资源的问题。
日志安全审计,满足安全合规需求
SaCa DataInsight采集的所有审计日志都可以即时查询,完全满足安全合规需求,同时基于产品的报表、监控和告警等功能,还可以对恶意登录及攻击等日志数据进行有效分析和合规审计。
丰富灵活的可视化报表
SaCa DataInsight提供的可视化报表功能可以从多角度、多维度对审计日志进行全方位细粒度的分析,包括实时分析、历史分析、统计分析、对比分析以及趋势分析,用户也可以根据实际需要通过自定义报表扩展各类图表及仪表盘。
智能日志关联分析
SaCa DataInsight可通过查询关联引擎进行规则匹配,串联多环节日志数据,对不同系统业务的日志进行关联性分析,以达到事件追溯的目的。产品实时不间断地将客户的各类日志和异常信息汇集到产品中,通过统一的管理控制台进行实时、可视化的呈现,辅助客户迅速准确地识别安全事件,实现全网综合合规审计。同时借助大数据分析和挖掘技术,通过各种攻击模型场景发现各种网络攻击行为、用户异常访问和操作行为,及时发出告警。