【IT168 信息化】

　　目前，证券行业的网络与信息系统建设已经十分复杂，各类相关的日志信息分散在网络的各个位置，如何有效的对这些日志进行统一的监控审计成为了一大难题。与此同时，网络中的各种网络设备、安全设备、主机、应用和业务系统在工作中都产生了大量的安全事件和日志，却没有统一的进行管理，使得各个系统之间缺乏协同，整体安全无法得到保障。

　　海量的安全事件淹没了真正的安全威胁

　　在信息系统的运行过程中，我们的信息网络系统每天都会产生上几十万、甚至上百万条的各种日志和报警信息，而同时这些信息格式不同、技术特征不同，使得我们的技术人员根本没有足够的时间和精力去分析和处理这些日志信息，真正的安全威胁就像大海里的一根针一样难以被有效地发现。

　　复杂、多变的安全管理

　　IT系统会涉及到很多设备，如：网络设备、安全设备以及各种应用软件系统，而它们都有各自独立的部署方式和运行机制，很难从全局的风险角度（特别是我们很多业务应用都涉及到多个网段、多个设备，多个系统的现状）去进行策略分析和处理，最终导致了技术分析的复杂性，安全策略管理不一致性，以及应用安全管理变化的不可预见性等。

　　安全技术人员的匮乏

　　网络维护人员负担着繁重的网络维护和网络安全保障工作。面对如此庞大的网络业务支持需要和层出不穷的网络安全产品的管理，大大超出了用户现有技术人员的支撑范围。而由各种网络设备所产生的大量警报信息和复杂的安全管理流程更是增加了技术管理员人的工作量，并对其专业的安全技能要求更高了，不仅是网络的专家，还要是系统的、应用的以及各种安全技术的专家，这样就造成安全技术人员的严重匮乏，特别是随着网络应用的不断拓展，单纯依靠人员或专家的自身能力来解决问题已经成为制约整个网络信息系统发展的重要瓶颈。

　　缺乏整体安全风险的集中监控

　　风险是整体的，它涉及到整个企业网络的信息系统，虽然我们在网络的建设过程中，投入了大量的人力、物力和财力建设网络安全防护体系，但这些并不意味着我们的网络就已经变得十分安全和坚固了，如何在核心网络进行集中的安全监控，如何能够实时地掌握网络中各个部门、各个网段、各个应用系统的安全风险，以便我们能及时进行应对和响应，从而减少响应时间达到将风险影响程度降到最低，最大程度的减少网络安全事故、减少由于网络安全事故造成的损失或者避免发生网络安全事故是我们当前的重中之重。

　　繁琐、低效的安全响应处理措施和流程

　　当出现安全问题，比如说网络经常遭受蠕虫病毒感染时，我们也往往进行病毒的检查、杀毒等安全措施，但经常发现病毒总是清除不了，重复性杀毒工作很多，员工仍然经常通过很多非法途径感染病毒且觉得无所谓，好的经验和方法不能形成大家和各级单位处理的规范等问题，这样使得我们技术人员的安全响应慢，工作效率低等现象。

　　难以理解的原始数据报告

　　作为一个单位的决策者或部门主管，经常想了解目前整体的安全情况和下一步安全建设的依据，但往往只能面对下级技术部门所提供的一大堆数据技术资料，根本无法做出正确的分析和安排，使得我们的安全建设不能有效得不到上层的理解和支持等；同时其它部门对其数据的要求和目的也会有差别，因此如何提供知识化、基于特定部门和应用系统的角色化报告是目前和将来发展中一个较为突出的问题。

　　数据库存在的安全隐患

　　根据对某证券部、数据中心及网上交易的数据库系统的威胁与风险分析，证券行业用户数据库安全需求主要集中在以下方面：

　　对一般操作行为如数据库的登录、注销动作，特定的操作如对数据表的插入、删除、修改，执行特定的存贮过程等及操作系统级的各类操作都能够被记录和分析，分析的内容要求可以精确到SQL操作语句一级；

　　并且可以根据设置的规则，智能的判断出违规操作的行为，并对违规行为进行记录、报警；

　　数据库审计系统不能增加数据库及相关服务器的负担，不影响主机处理性能，在不改变已有系统设置的情况下对数据库及相关服务器的操作实现跟踪记录、定位，实现有效的在线监控；

　　具有专门的数据存储系统，能进行审计数据长期的记录和跟踪，并在需要时能对历史数据进行审计和调取；

　　考虑到业务系统的扩展性，数据库审计系统需要支持Oracle、SQL Server、Sybase、Informix、DB2等多种数据库；

　　能够对telnet、FTP和Netbios等基本的协议进行审计，从而实现对数据库等系统日常维护等操作行为的审计；

　　详细记录数据库操作信息，并提供丰富的审计信息查询方式和报表，方便安全事件定位分析，事后追查取证。同时根据《企业内部控制规范--基本规范的内部审计机制》以及《计算机信息系统安全等级保护数据库管理技术要求》，数据库审计是必不可少的一项；

　　因此需要单位网络中部署专业的数据库安全审计系统，可有效监控数据库访问行为，准确掌握数据库系统的安全状态，及时发现违反数据库安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，保障单位数据库安全。

　　网络行为存在的隐患

　　随着网络的高速发展，互联网的使用，使诸多的问题无不困扰着单位管理者，牵动着他们已经疲惫的神经，根据证券行业内部行为规范需求如下：

　　针对办公网络环境需求如下：

　　员工利用工作时间，聊天、炒股、玩网络游戏等行为，影响工作效率；

　　员工访问不良网站，遭受恶意代码、间谍软件及钓鱼式攻击等，影响企业网络正常运行；

　　员工随意使用P2P 下载、在线视频等，严重占用网络带宽，导致正常业务无法获取足够网络资源；

　　员工浏览非法网站、发表敏感信息和传播非法言论，造成恶劣社会影响，并可能导致国家法律问题；

　　员工随意通过EMAIL、即时通讯、网络共享文件夹、文件上传下载等方式发送敏感业务信息，导致信息外泄事件发生；

　　员工在论坛发表敏感信息、传播非法言论，造成恶劣社会影响；

　　恶意木马的威胁

　　网络中由于存在着大量的木马，一旦被植入木马给用户会带来很大的损失，针对证券行业网络安全内部规范，在木马威胁方面的需求如下：

　　木马通过外部网络进入内部网络、木马感染主机导致主动、被动泄密事件的发生。给组织带来很大的影响。

　　感染木马，导致内部网络性能下降，影响网络的正常使用。

　　一旦感染木马病毒，很容易被恶意程序破坏操作系统，删除文件、修改注册表导致正常工作不能进行。

　　针对加壳、加花、变种的木马，不能及时的发现和处理。

　　针对已发生的木马行为，无法定位事故的责任人，无法给管理员提供有力的分析手段。

　　面临着数据库核心数据被篡改、网络资源的浪费、木马虎视眈眈的威胁等风险，证券行业信息系统的安全建设应该有遵循哪些原则，请看《慧眼审计综合安全解决方案》