日志審計在人民銀行網絡安全中的應用

◆劉萌

（中國人民銀行昆明中心支行云南 650000）

1 引言

為貫徹落實黨中央、國務院關于政務信息系統整合共享的決策部署，人民銀行各省會中支以“數字央行”建設戰略為指引，認真落實總行“三集中”工作要求，緊緊圍繞央行信息化發展需要，推動全轄信息系統整合，旨在構建技術統一、資源共享、安全可靠的省級數據中心。隨著軟件開發、系統運行、數據管理等工作的省級集中，網絡安全問題日益凸顯，人民銀行省級數據中心現有安全產品均為分散的專用解決方案，無法有效相互協作，已不能滿足日益增長的安全管理要求。因此，如何有效利用硬件設備及應用系統在運行過程中產生的大量日志信息分析系統狀態、提升系統預警能力、審計發現違規行為是人民銀行網絡安全亟待解決的問題，也是運維管理的關注點所在。

2 背景分析

（1）國家及行業法律法規要求

《網絡安全法》于2017年6月1日起正式實施，其中第三章網絡運行安全規定應“采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月”。人民銀行網絡安全管理相關規定要求“采取技術措施，監測、記錄網絡和信息系統運行狀態，并按照規定留存相關的日志不少于六個月”。金融行業信息系統等級保護相關規定要求“應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄”，“應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等，保存時間不少于半年”。

（2）完善信息安全保障體系要求

日志審計能夠提升網絡安全運維水平，實現網絡設備等IT基礎設施日志信息的集中管理，全面掌握安全隱患，通過安全事件報警和日志報表的方式，在運維人員有限的條件下，有效把握運維工作重點，進一步增強網絡運維主動性。同時，也可有效規避日志信息分散存儲存在的非法刪除風險，確保安全事故處置取證。更重要的是，日志審計可進一步完善信息安全保障體系，改變人民銀行各節點事中、事后安全防護設施建設較弱的現狀，為落實上級行各項要求及內部檢查提供技術支撐手段，不斷提升信息安全管理水平。

（3）網絡運維風險排查整改要求

目前人民銀行各省會中支雖部署了網管監控系統，但該系統僅能存儲日志信息，無審計功能，加之網管監控系統本身服務器存儲等限制因素，無法確保滿足時限要求的網絡日志保存需求?？傂袑Ω鞣种C構進行IT基礎設施風險排查時也指出各分支行在網絡方面日志審計機制尚未建立，少量單位的網絡日志保存時間甚至不足3個月，缺乏事件分析追蹤技術手段。因此為牢筑金融網絡安全防線，提高網絡風險防控水平，人民銀行各節點需利用日志審計技術加強網絡安全防護，構建全面的風險管理和內控體系。

3 需求分析

人民銀行信息資產可分為網絡設備、安全設備、計算與存儲設備等，其中網絡設備主要有路由器、交換機和防火墻，安全設備主要有入侵檢測、流量分析和漏洞掃描，計算與存儲設備主要有虛擬化平臺、PC服務器和磁盤陣列；而業務系統則分為總行統一部署系統和自主開發建設系統，所采用的操作系統主要為Windows和Linux兩類。針對上述設備與應用，日志審計系統主要通過數據采集、行為監控、數據分析、數據審計、信息儲存以及信息檢索等保障人民銀行業務網絡安全，并重點實現以下功能：

日志收集監控：能夠實現人民銀行在用設備及系統的日志信息、報警信息收集，及時發現正在和已經發生的安全事件，保證網絡和業務系統的安全穩定運行。

信息資產管理：能夠實現基于IP地址的硬件設備和信息系統資產管理，并可按重要程度分類匯總。

日志規則庫：能夠支持主流網絡設備、主機系統、數據庫系統等的日志格式，并提供日志格式適配功能，可自行適配新格式。

統計報表：能夠快速生成多種專業化的日志報表，供人民銀行運維人員分析使用。

4 部署規劃

（1）系統架構

目前人民銀行采用“總行-省會中支-地市中支-縣支行”的四級組網結構，日志審計系統在人民銀行各省節點可采用兩級部署模式，即省會中支為一級節點，州市中支為二級節點。同時，為不影響重要業務系統的正常運行，建議采用旁路方式接入人民銀行業務網絡，不改變現有網絡結構，被審計對象網絡可達即可實現信息資產的日志收集與處理。根據審計需要，重點對人民銀行省會中支網絡設備、安全設備、虛擬化平臺和應用系統及州市中支、縣支行核心網絡設備進行日志審計，系統部署架構如圖1所示。

（2）日志規劃

為保障全轄硬件設備及重要業務系統日志信息的全收集，日志審計系統一級節點實現對省級數據中心業務網絡所有網絡設備、安全設備、虛擬化平臺及應用系統和州市中支核心網絡設備的日志采集及審計管理及；日志審計系統二級節點實現對州市中支業務網絡所有網絡設備、安全設備及轄內縣支行網絡設備的日志采集及審計管理。以網絡設備為例，其日志審計級別建議如下表，可根據系統存儲和審計需要進行相應調整。

圖1 日志審計系統部署架構圖

表1 網絡設備日志審計級別

5 應用效果

人民銀行昆明中支根據上述架構與規劃組織全省部署了業務網日志審計系統，實現了日志信息和安全事件快速收集、業務操作和攻擊行為的實時監測，全面提升了網絡系統預警和審計違規行為的能力。

（1）實現海量日志數據的集中審計管理

通過分級采集全省人民銀行業務網絡的網絡、安全設備等信息資產日志信息，規范不同資產日志信息格式，實現全省海量日志數據的標準化集中存儲與管理，同時保存日志原始數據，規避日志信息被非法刪除而無法追查取證的風險。

（2）實現網絡運行風險報警與報表管理

基于標準化日志數據的關聯分析，通過設置報警策略，及時發現全省網絡及應用系統在運行過程中存在的安全隱患，為網絡運維人員提供有效的技術支撐，同時實現網絡安全風險報表管理，更好地支持網絡運維工作。

（3）為落實有關法律法規提供技術支撐

可充分利用日志審計結果有效評估國家法規和等級保護測評中有關安全管理和審計規定的落實情況，及時發現存在的問題，為完善網絡信息安全管理和審計提供依據。

（4）為梳理業務訪問流向提供數據來源

人民銀行部分業務系統由于上線時間長、運維人員更換等原因，存在業務訪問數據流不清晰、運維難度大等問題，通過日志審計系統收集防火墻等業務訪問必經設備的日志信息，可有效梳理業務訪問數據流，為建立業務監測模型奠定基礎。

6 結語

日志審計系統在人民銀行網絡安全管理過程中發揮了重要作用，為運維管理人員提供了全局視角，完善了信息安全保障體系，為構建全面的風險管理和內控體系提供了必要支撐。接下來，日志審計系統將與網管監控、網絡流量回溯分析以及網絡安全態勢感知等系統相結合，實現網絡及應用的全方位運維審計管理，構建集感知能力、響應能力和防御能力三位一體的閉環安全運維體系。