日志审计在人民银行网络安全中的应用

2020-12-09 06:52刘萌
网络安全技术与应用 2020年12期
关键词:网络设备人民银行日志

◆刘萌

(中国人民银行昆明中心支行云南 650000)

1 引言

为贯彻落实党中央、国务院关于政务信息系统整合共享的决策部署,人民银行各省会中支以“数字央行”建设战略为指引,认真落实总行“三集中”工作要求,紧紧围绕央行信息化发展需要,推动全辖信息系统整合,旨在构建技术统一、资源共享、安全可靠的省级数据中心。随着软件开发、系统运行、数据管理等工作的省级集中,网络安全问题日益凸显,人民银行省级数据中心现有安全产品均为分散的专用解决方案,无法有效相互协作,已不能满足日益增长的安全管理要求。因此,如何有效利用硬件设备及应用系统在运行过程中产生的大量日志信息分析系统状态、提升系统预警能力、审计发现违规行为是人民银行网络安全亟待解决的问题,也是运维管理的关注点所在。

2 背景分析

(1)国家及行业法律法规要求

《网络安全法》于2017年6月1日起正式实施,其中第三章网络运行安全规定应“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”。人民银行网络安全管理相关规定要求“采取技术措施,监测、记录网络和信息系统运行状态,并按照规定留存相关的日志不少于六个月”。金融行业信息系统等级保护相关规定要求“应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录”,“应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等,保存时间不少于半年”。

(2)完善信息安全保障体系要求

日志审计能够提升网络安全运维水平,实现网络设备等IT基础设施日志信息的集中管理,全面掌握安全隐患,通过安全事件报警和日志报表的方式,在运维人员有限的条件下,有效把握运维工作重点,进一步增强网络运维主动性。同时,也可有效规避日志信息分散存储存在的非法删除风险,确保安全事故处置取证。更重要的是,日志审计可进一步完善信息安全保障体系,改变人民银行各节点事中、事后安全防护设施建设较弱的现状,为落实上级行各项要求及内部检查提供技术支撑手段,不断提升信息安全管理水平。

(3)网络运维风险排查整改要求

目前人民银行各省会中支虽部署了网管监控系统,但该系统仅能存储日志信息,无审计功能,加之网管监控系统本身服务器存储等限制因素,无法确保满足时限要求的网络日志保存需求。总行对各分支机构进行IT基础设施风险排查时也指出各分支行在网络方面日志审计机制尚未建立,少量单位的网络日志保存时间甚至不足3个月,缺乏事件分析追踪技术手段。因此为牢筑金融网络安全防线,提高网络风险防控水平,人民银行各节点需利用日志审计技术加强网络安全防护,构建全面的风险管理和内控体系。

3 需求分析

人民银行信息资产可分为网络设备、安全设备、计算与存储设备等,其中网络设备主要有路由器、交换机和防火墙,安全设备主要有入侵检测、流量分析和漏洞扫描,计算与存储设备主要有虚拟化平台、PC服务器和磁盘阵列;而业务系统则分为总行统一部署系统和自主开发建设系统,所采用的操作系统主要为Windows和Linux两类。针对上述设备与应用,日志审计系统主要通过数据采集、行为监控、数据分析、数据审计、信息储存以及信息检索等保障人民银行业务网络安全,并重点实现以下功能:

日志收集监控:能够实现人民银行在用设备及系统的日志信息、报警信息收集,及时发现正在和已经发生的安全事件,保证网络和业务系统的安全稳定运行。

信息资产管理:能够实现基于IP地址的硬件设备和信息系统资产管理,并可按重要程度分类汇总。

日志规则库:能够支持主流网络设备、主机系统、数据库系统等的日志格式,并提供日志格式适配功能,可自行适配新格式。

统计报表:能够快速生成多种专业化的日志报表,供人民银行运维人员分析使用。

4 部署规划

(1)系统架构

目前人民银行采用“总行-省会中支-地市中支-县支行”的四级组网结构,日志审计系统在人民银行各省节点可采用两级部署模式,即省会中支为一级节点,州市中支为二级节点。同时,为不影响重要业务系统的正常运行,建议采用旁路方式接入人民银行业务网络,不改变现有网络结构,被审计对象网络可达即可实现信息资产的日志收集与处理。根据审计需要,重点对人民银行省会中支网络设备、安全设备、虚拟化平台和应用系统及州市中支、县支行核心网络设备进行日志审计,系统部署架构如图1所示。

(2)日志规划

为保障全辖硬件设备及重要业务系统日志信息的全收集,日志审计系统一级节点实现对省级数据中心业务网络所有网络设备、安全设备、虚拟化平台及应用系统和州市中支核心网络设备的日志采集及审计管理及;日志审计系统二级节点实现对州市中支业务网络所有网络设备、安全设备及辖内县支行网络设备的日志采集及审计管理。以网络设备为例,其日志审计级别建议如下表,可根据系统存储和审计需要进行相应调整。

图1 日志审计系统部署架构图

表1 网络设备日志审计级别

5 应用效果

人民银行昆明中支根据上述架构与规划组织全省部署了业务网日志审计系统,实现了日志信息和安全事件快速收集、业务操作和攻击行为的实时监测,全面提升了网络系统预警和审计违规行为的能力。

(1)实现海量日志数据的集中审计管理

通过分级采集全省人民银行业务网络的网络、安全设备等信息资产日志信息,规范不同资产日志信息格式,实现全省海量日志数据的标准化集中存储与管理,同时保存日志原始数据,规避日志信息被非法删除而无法追查取证的风险。

(2)实现网络运行风险报警与报表管理

基于标准化日志数据的关联分析,通过设置报警策略,及时发现全省网络及应用系统在运行过程中存在的安全隐患,为网络运维人员提供有效的技术支撑,同时实现网络安全风险报表管理,更好地支持网络运维工作。

(3)为落实有关法律法规提供技术支撑

可充分利用日志审计结果有效评估国家法规和等级保护测评中有关安全管理和审计规定的落实情况,及时发现存在的问题,为完善网络信息安全管理和审计提供依据。

(4)为梳理业务访问流向提供数据来源

人民银行部分业务系统由于上线时间长、运维人员更换等原因,存在业务访问数据流不清晰、运维难度大等问题,通过日志审计系统收集防火墙等业务访问必经设备的日志信息,可有效梳理业务访问数据流,为建立业务监测模型奠定基础。

6 结语

日志审计系统在人民银行网络安全管理过程中发挥了重要作用,为运维管理人员提供了全局视角,完善了信息安全保障体系,为构建全面的风险管理和内控体系提供了必要支撑。接下来,日志审计系统将与网管监控、网络流量回溯分析以及网络安全态势感知等系统相结合,实现网络及应用的全方位运维审计管理,构建集感知能力、响应能力和防御能力三位一体的闭环安全运维体系。

猜你喜欢
网络设备人民银行日志
网络设备的安装与调试课程思政整体设计
一名老党员的工作日志
网络设备故障分析与检测系统的需求分析
扶贫日志
雅皮的心情日志
雅皮的心情日志
履行人民银行金融稳定职责的加强分析
地铁通信网络设备的维护