日志審計(jì)在人民銀行網(wǎng)絡(luò)安全中的應(yīng)用

◆劉萌

（中國人民銀行昆明中心支行云南 650000）

1 引言

為貫徹落實(shí)黨中央、國務(wù)院關(guān)于政務(wù)信息系統(tǒng)整合共享的決策部署，人民銀行各省會中支以“數(shù)字央行”建設(shè)戰(zhàn)略為指引，認(rèn)真落實(shí)總行“三集中”工作要求，緊緊圍繞央行信息化發(fā)展需要，推動全轄信息系統(tǒng)整合，旨在構(gòu)建技術(shù)統(tǒng)一、資源共享、安全可靠的省級數(shù)據(jù)中心。隨著軟件開發(fā)、系統(tǒng)運(yùn)行、數(shù)據(jù)管理等工作的省級集中，網(wǎng)絡(luò)安全問題日益凸顯，人民銀行省級數(shù)據(jù)中心現(xiàn)有安全產(chǎn)品均為分散的專用解決方案，無法有效相互協(xié)作，已不能滿足日益增長的安全管理要求。因此，如何有效利用硬件設(shè)備及應(yīng)用系統(tǒng)在運(yùn)行過程中產(chǎn)生的大量日志信息分析系統(tǒng)狀態(tài)、提升系統(tǒng)預(yù)警能力、審計(jì)發(fā)現(xiàn)違規(guī)行為是人民銀行網(wǎng)絡(luò)安全亟待解決的問題，也是運(yùn)維管理的關(guān)注點(diǎn)所在。

2 背景分析

（1）國家及行業(yè)法律法規(guī)要求

《網(wǎng)絡(luò)安全法》于2017年6月1日起正式實(shí)施，其中第三章網(wǎng)絡(luò)運(yùn)行安全規(guī)定應(yīng)“采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月”。人民銀行網(wǎng)絡(luò)安全管理相關(guān)規(guī)定要求“采取技術(shù)措施，監(jiān)測、記錄網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)行狀態(tài)，并按照規(guī)定留存相關(guān)的日志不少于六個月”。金融行業(yè)信息系統(tǒng)等級保護(hù)相關(guān)規(guī)定要求“應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄”，“應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等，保存時間不少于半年”。

（2）完善信息安全保障體系要求

日志審計(jì)能夠提升網(wǎng)絡(luò)安全運(yùn)維水平，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備等IT基礎(chǔ)設(shè)施日志信息的集中管理，全面掌握安全隱患，通過安全事件報警和日志報表的方式，在運(yùn)維人員有限的條件下，有效把握運(yùn)維工作重點(diǎn)，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)運(yùn)維主動性。同時，也可有效規(guī)避日志信息分散存儲存在的非法刪除風(fēng)險，確保安全事故處置取證。更重要的是，日志審計(jì)可進(jìn)一步完善信息安全保障體系，改變?nèi)嗣胥y行各節(jié)點(diǎn)事中、事后安全防護(hù)設(shè)施建設(shè)較弱的現(xiàn)狀，為落實(shí)上級行各項(xiàng)要求及內(nèi)部檢查提供技術(shù)支撐手段，不斷提升信息安全管理水平。

（3）網(wǎng)絡(luò)運(yùn)維風(fēng)險排查整改要求

目前人民銀行各省會中支雖部署了網(wǎng)管監(jiān)控系統(tǒng)，但該系統(tǒng)僅能存儲日志信息，無審計(jì)功能，加之網(wǎng)管監(jiān)控系統(tǒng)本身服務(wù)器存儲等限制因素，無法確保滿足時限要求的網(wǎng)絡(luò)日志保存需求。總行對各分支機(jī)構(gòu)進(jìn)行IT基礎(chǔ)設(shè)施風(fēng)險排查時也指出各分支行在網(wǎng)絡(luò)方面日志審計(jì)機(jī)制尚未建立，少量單位的網(wǎng)絡(luò)日志保存時間甚至不足3個月，缺乏事件分析追蹤技術(shù)手段。因此為牢筑金融網(wǎng)絡(luò)安全防線，提高網(wǎng)絡(luò)風(fēng)險防控水平，人民銀行各節(jié)點(diǎn)需利用日志審計(jì)技術(shù)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，構(gòu)建全面的風(fēng)險管理和內(nèi)控體系。

3 需求分析

人民銀行信息資產(chǎn)可分為網(wǎng)絡(luò)設(shè)備、安全設(shè)備、計(jì)算與存儲設(shè)備等，其中網(wǎng)絡(luò)設(shè)備主要有路由器、交換機(jī)和防火墻，安全設(shè)備主要有入侵檢測、流量分析和漏洞掃描，計(jì)算與存儲設(shè)備主要有虛擬化平臺、PC服務(wù)器和磁盤陣列；而業(yè)務(wù)系統(tǒng)則分為總行統(tǒng)一部署系統(tǒng)和自主開發(fā)建設(shè)系統(tǒng)，所采用的操作系統(tǒng)主要為Windows和Linux兩類。針對上述設(shè)備與應(yīng)用，日志審計(jì)系統(tǒng)主要通過數(shù)據(jù)采集、行為監(jiān)控、數(shù)據(jù)分析、數(shù)據(jù)審計(jì)、信息儲存以及信息檢索等保障人民銀行業(yè)務(wù)網(wǎng)絡(luò)安全，并重點(diǎn)實(shí)現(xiàn)以下功能：

日志收集監(jiān)控：能夠?qū)崿F(xiàn)人民銀行在用設(shè)備及系統(tǒng)的日志信息、報警信息收集，及時發(fā)現(xiàn)正在和已經(jīng)發(fā)生的安全事件，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行。

信息資產(chǎn)管理：能夠?qū)崿F(xiàn)基于IP地址的硬件設(shè)備和信息系統(tǒng)資產(chǎn)管理，并可按重要程度分類匯總。

日志規(guī)則庫：能夠支持主流網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等的日志格式，并提供日志格式適配功能，可自行適配新格式。

統(tǒng)計(jì)報表：能夠快速生成多種專業(yè)化的日志報表，供人民銀行運(yùn)維人員分析使用。

4 部署規(guī)劃

（1）系統(tǒng)架構(gòu)

目前人民銀行采用“總行-省會中支-地市中支-縣支行”的四級組網(wǎng)結(jié)構(gòu)，日志審計(jì)系統(tǒng)在人民銀行各省節(jié)點(diǎn)可采用兩級部署模式，即省會中支為一級節(jié)點(diǎn)，州市中支為二級節(jié)點(diǎn)。同時，為不影響重要業(yè)務(wù)系統(tǒng)的正常運(yùn)行，建議采用旁路方式接入人民銀行業(yè)務(wù)網(wǎng)絡(luò)，不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，被審計(jì)對象網(wǎng)絡(luò)可達(dá)即可實(shí)現(xiàn)信息資產(chǎn)的日志收集與處理。根據(jù)審計(jì)需要，重點(diǎn)對人民銀行省會中支網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬化平臺和應(yīng)用系統(tǒng)及州市中支、縣支行核心網(wǎng)絡(luò)設(shè)備進(jìn)行日志審計(jì)，系統(tǒng)部署架構(gòu)如圖1所示。

（2）日志規(guī)劃

為保障全轄硬件設(shè)備及重要業(yè)務(wù)系統(tǒng)日志信息的全收集，日志審計(jì)系統(tǒng)一級節(jié)點(diǎn)實(shí)現(xiàn)對省級數(shù)據(jù)中心業(yè)務(wù)網(wǎng)絡(luò)所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬化平臺及應(yīng)用系統(tǒng)和州市中支核心網(wǎng)絡(luò)設(shè)備的日志采集及審計(jì)管理及；日志審計(jì)系統(tǒng)二級節(jié)點(diǎn)實(shí)現(xiàn)對州市中支業(yè)務(wù)網(wǎng)絡(luò)所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備及轄內(nèi)縣支行網(wǎng)絡(luò)設(shè)備的日志采集及審計(jì)管理。以網(wǎng)絡(luò)設(shè)備為例，其日志審計(jì)級別建議如下表，可根據(jù)系統(tǒng)存儲和審計(jì)需要進(jìn)行相應(yīng)調(diào)整。

圖1 日志審計(jì)系統(tǒng)部署架構(gòu)圖

表1 網(wǎng)絡(luò)設(shè)備日志審計(jì)級別

5 應(yīng)用效果

人民銀行昆明中支根據(jù)上述架構(gòu)與規(guī)劃組織全省部署了業(yè)務(wù)網(wǎng)日志審計(jì)系統(tǒng)，實(shí)現(xiàn)了日志信息和安全事件快速收集、業(yè)務(wù)操作和攻擊行為的實(shí)時監(jiān)測，全面提升了網(wǎng)絡(luò)系統(tǒng)預(yù)警和審計(jì)違規(guī)行為的能力。

（1）實(shí)現(xiàn)海量日志數(shù)據(jù)的集中審計(jì)管理

通過分級采集全省人民銀行業(yè)務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)、安全設(shè)備等信息資產(chǎn)日志信息，規(guī)范不同資產(chǎn)日志信息格式，實(shí)現(xiàn)全省海量日志數(shù)據(jù)的標(biāo)準(zhǔn)化集中存儲與管理，同時保存日志原始數(shù)據(jù)，規(guī)避日志信息被非法刪除而無法追查取證的風(fēng)險。

（2）實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)行風(fēng)險報警與報表管理

基于標(biāo)準(zhǔn)化日志數(shù)據(jù)的關(guān)聯(lián)分析，通過設(shè)置報警策略，及時發(fā)現(xiàn)全省網(wǎng)絡(luò)及應(yīng)用系統(tǒng)在運(yùn)行過程中存在的安全隱患，為網(wǎng)絡(luò)運(yùn)維人員提供有效的技術(shù)支撐，同時實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險報表管理，更好地支持網(wǎng)絡(luò)運(yùn)維工作。

（3）為落實(shí)有關(guān)法律法規(guī)提供技術(shù)支撐

可充分利用日志審計(jì)結(jié)果有效評估國家法規(guī)和等級保護(hù)測評中有關(guān)安全管理和審計(jì)規(guī)定的落實(shí)情況，及時發(fā)現(xiàn)存在的問題，為完善網(wǎng)絡(luò)信息安全管理和審計(jì)提供依據(jù)。

（4）為梳理業(yè)務(wù)訪問流向提供數(shù)據(jù)來源

人民銀行部分業(yè)務(wù)系統(tǒng)由于上線時間長、運(yùn)維人員更換等原因，存在業(yè)務(wù)訪問數(shù)據(jù)流不清晰、運(yùn)維難度大等問題，通過日志審計(jì)系統(tǒng)收集防火墻等業(yè)務(wù)訪問必經(jīng)設(shè)備的日志信息，可有效梳理業(yè)務(wù)訪問數(shù)據(jù)流，為建立業(yè)務(wù)監(jiān)測模型奠定基礎(chǔ)。

6 結(jié)語

日志審計(jì)系統(tǒng)在人民銀行網(wǎng)絡(luò)安全管理過程中發(fā)揮了重要作用，為運(yùn)維管理人員提供了全局視角，完善了信息安全保障體系，為構(gòu)建全面的風(fēng)險管理和內(nèi)控體系提供了必要支撐。接下來，日志審計(jì)系統(tǒng)將與網(wǎng)管監(jiān)控、網(wǎng)絡(luò)流量回溯分析以及網(wǎng)絡(luò)安全態(tài)勢感知等系統(tǒng)相結(jié)合，實(shí)現(xiàn)網(wǎng)絡(luò)及應(yīng)用的全方位運(yùn)維審計(jì)管理，構(gòu)建集感知能力、響應(yīng)能力和防御能力三位一體的閉環(huán)安全運(yùn)維體系。