TSZSSA 0005-2023 證券公司重要信息系統(tǒng)監(jiān)控管理標(biāo)準(zhǔn)

ICS03.060CCSA11團(tuán) 體 標(biāo) 準(zhǔn)T/SZSSA0005-2023證券公司重要信息系統(tǒng)監(jiān)控管理標(biāo)準(zhǔn)MonitorManagementStandardofImportantInformationSystemofSecuritiesCompanies2023-12-18發(fā)布 2023-12-18實施深市證業(yè)協(xié)會 發(fā) 布PAGEPAGE2目??次目??次 2前??言 3范圍 4引用文件 4術(shù)語和定義 4監(jiān)控管理和分類 4監(jiān)控數(shù)據(jù)管理 6監(jiān)控服務(wù)及展示 6前??言本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件中的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本標(biāo)準(zhǔn)主要起草單位：深圳市證券業(yè)協(xié)會、深圳資本市場金融科技委員會、中國中金財富證券有限公司、中信證券股份有限公司、長城證券股份有限公司、五礦證券有限公司、第一創(chuàng)業(yè)證券股份有限公司、東亞前海證券有限責(zé)任公司、世紀(jì)證券有限責(zé)任公司、中山證券有限責(zé)任公司。本標(biāo)準(zhǔn)主要起草人：張植斌、林國峰、谷明澤、謝碧松、戴先宇、蔡坤、劉偉、郭臣義、李翔、彭玉輝、魏俊鵬、徐楠、肖志武、葉龍賢、馮張生、劉耀東、薛海波、張俊躍、甘照、胡超、黃華藝、姚剛、趙茂軍、葉標(biāo)松、劉國濤。范圍IT本規(guī)范所指重要信息系統(tǒng)參考《證券期貨業(yè)信息系統(tǒng)運(yùn)維管理規(guī)范》，參考《證券基金經(jīng)營機(jī)構(gòu)信息技術(shù)管理辦法》重要信息系統(tǒng)定義，參考中國信通院《技術(shù)運(yùn)營標(biāo)準(zhǔn)規(guī)范》中相關(guān)定義內(nèi)容。本規(guī)范適用于證券公司重要信息系統(tǒng)的監(jiān)控管理。引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件?！蹲C券基金經(jīng)營機(jī)構(gòu)信息技術(shù)管理辦法》（中國證券監(jiān)督管理委員會令第179號附件一）。術(shù)語和定義信息系統(tǒng)由計算機(jī)硬件、網(wǎng)絡(luò)和通信設(shè)備、軟件、信息資源構(gòu)成，能完成一個或多個特定業(yè)務(wù)目標(biāo)的技術(shù)體系。監(jiān)控系統(tǒng)對信息系統(tǒng)的數(shù)據(jù)采集、收集、解析和處理，并實時分析、展示、響應(yīng)事件的信息系統(tǒng)。其可對信息系統(tǒng)提供及時安全警報、以及可選的控制和管理信息系統(tǒng)運(yùn)行的能力。事件不屬于某項服務(wù)的標(biāo)準(zhǔn)操作、標(biāo)準(zhǔn)流程或標(biāo)準(zhǔn)數(shù)據(jù)，導(dǎo)致或可能導(dǎo)致服務(wù)中斷或服務(wù)質(zhì)量降低的任一事態(tài)。4監(jiān)控管理和分類公司應(yīng)根據(jù)自身情況建立監(jiān)控管理制度，并定期對制度進(jìn)行修訂。對于監(jiān)控系統(tǒng)的變更規(guī)范應(yīng)納入公司的變更管理規(guī)范制度當(dāng)中，并定期修訂。本標(biāo)準(zhǔn)根據(jù)信息系統(tǒng)的架構(gòu)、應(yīng)用組成和應(yīng)用場景不同，對事件的監(jiān)控至少應(yīng)分成基礎(chǔ)資源監(jiān)控、應(yīng)用層監(jiān)控以及場景和用戶層監(jiān)控三大類型。不同類型涵蓋的監(jiān)控對象和內(nèi)容也有不同。信息系統(tǒng)應(yīng)該根據(jù)自身的應(yīng)用場景對應(yīng)相應(yīng)的監(jiān)控分類設(shè)置監(jiān)控。CMDB監(jiān)控系統(tǒng)建議采用采用雙活或者多活的架構(gòu)，保障系統(tǒng)的穩(wěn)定性。系統(tǒng)的各個功能模塊及資源應(yīng)具備易擴(kuò)容性。監(jiān)控事件的相關(guān)預(yù)警值、預(yù)警內(nèi)容需要定期檢查和評估并進(jìn)行更新，對更新和評估要有日志保存做到可回溯和可回退。監(jiān)控事件除基本的聲光、短信、即時通訊、郵件等通知和展示外，應(yīng)有專門的監(jiān)控系統(tǒng)對監(jiān)控事件予以線上展示并對較為復(fù)雜的業(yè)務(wù)場景類監(jiān)控應(yīng)建立專門的監(jiān)控平臺對監(jiān)控場景和內(nèi)容進(jìn)行具象展示。監(jiān)控系統(tǒng)應(yīng)針對不同的系統(tǒng)和應(yīng)用設(shè)置不同的監(jiān)控頻率，防止對操作系統(tǒng)或者應(yīng)用系統(tǒng)的性能產(chǎn)生影響。監(jiān)控系統(tǒng)應(yīng)具有基本的權(quán)限管理功能，對不同的人員角色可相應(yīng)的進(jìn)行不同菜單和監(jiān)控事件展示及觸達(dá)等的權(quán)限管理。權(quán)限管理的場景包括但不限于人員或角色的新增、崗位變化、離崗離職等。表1監(jiān)控建議分類標(biāo)準(zhǔn)分類監(jiān)控指標(biāo)監(jiān)控對象監(jiān)控對象基礎(chǔ)監(jiān)控絕對值、百分比等數(shù)據(jù)中心環(huán)境監(jiān)控溫濕度、基礎(chǔ)設(shè)施狀態(tài)、人員及設(shè)備進(jìn)出等；服務(wù)器硬件（CPU、內(nèi)存、磁盤等）CPU、內(nèi)存、磁盤、網(wǎng)絡(luò)連接狀態(tài)等；網(wǎng)絡(luò)設(shè)備及帶寬網(wǎng)絡(luò)設(shè)備狀態(tài)、網(wǎng)絡(luò)流量，端口狀態(tài)，數(shù)據(jù)包延遲，丟包率等；安全設(shè)備和系統(tǒng)特征庫更新狀況、授權(quán)狀況、端口狀態(tài)等；云設(shè)備、云組件及存儲設(shè)備及資源運(yùn)行狀態(tài)、利用率、進(jìn)程、數(shù)據(jù)交換延遲等應(yīng)用監(jiān)控絕對值、關(guān)鍵字、存續(xù)性等操作系統(tǒng)操作系統(tǒng)事件關(guān)鍵字、端口應(yīng)用程序進(jìn)程狀態(tài)、內(nèi)存和CPU等資源使用量、并發(fā)量、關(guān)鍵數(shù)據(jù)指標(biāo)、文件等日志日志狀態(tài)、關(guān)鍵字、變化量、日志文件大小、日志時間等數(shù)據(jù)庫數(shù)據(jù)庫日志信息、表空間、連接數(shù)、數(shù)據(jù)庫鎖等容器容器資源使用情況、狀態(tài)、進(jìn)程、日志等場景監(jiān)控綜合指標(biāo)、基線計算等性能，容量應(yīng)用響應(yīng)時間、traceId業(yè)務(wù)場景，業(yè)務(wù)流渠道、地域指標(biāo)，委托、報盤、撤單、成交、行情、轉(zhuǎn)賬、查詢、開戶等業(yè)務(wù)連續(xù)性、業(yè)務(wù)基線監(jiān)控等鏈路層監(jiān)控鏈路的數(shù)據(jù)流調(diào)用、應(yīng)用層調(diào)用、調(diào)用響應(yīng)時間、調(diào)用次數(shù)統(tǒng)計數(shù)據(jù)流，指標(biāo)監(jiān)控數(shù)據(jù)連續(xù)性、時延、失敗率、RTO、RPO安全事件內(nèi)外網(wǎng)攻擊、病毒爆發(fā)、DDoS、異常訪問、暴力破解等關(guān)聯(lián)分析事件；輿情等網(wǎng)站、微博、公眾號等內(nèi)容、訪問量監(jiān)控備注：1.此監(jiān)控分類標(biāo)準(zhǔn)依據(jù)監(jiān)控對象對監(jiān)控進(jìn)行的分類標(biāo)準(zhǔn)。各對象監(jiān)控閾值、百分比等可根據(jù)信息系統(tǒng)分級不同自行確定。部分監(jiān)控對象（如數(shù)據(jù)庫）如有針對該對象的團(tuán)標(biāo)監(jiān)控規(guī)范或細(xì)則，建議以該對象的具體團(tuán)標(biāo)監(jiān)控規(guī)范為參考標(biāo)準(zhǔn)。對于監(jiān)控系統(tǒng)自身的基礎(chǔ)監(jiān)控還應(yīng)提供多種監(jiān)控工具進(jìn)行交叉監(jiān)控。監(jiān)控數(shù)據(jù)管理監(jiān)控數(shù)據(jù)（如應(yīng)用日志、告警日志、操作日志等）1年。表2監(jiān)控數(shù)據(jù)管理標(biāo)準(zhǔn)數(shù)據(jù)管理數(shù)據(jù)管理標(biāo)準(zhǔn)參考方式或應(yīng)用數(shù)據(jù)采集3SDK、API、私有協(xié)議等。量化管理采集服務(wù)，如能反映企業(yè)應(yīng)用的覆蓋率。數(shù)據(jù)采集上報到多個服務(wù)端；支持可擴(kuò)展，高可用的采集架構(gòu)。數(shù)據(jù)采集頻率適應(yīng)監(jiān)控需求及審計標(biāo)準(zhǔn)，并且可以按照實際需要進(jìn)行個性化調(diào)整。標(biāo)準(zhǔn)SSH、SNMP、CIM、HTTP、TCP、UDP等協(xié)議采集數(shù)據(jù)或自安裝AGENT；數(shù)據(jù)傳輸int、char、binary單份數(shù)據(jù)多份訂閱及分發(fā)傳輸。對重要及敏感系統(tǒng)的數(shù)據(jù)需要加密傳輸控制。Kafka、Zookeeper數(shù)據(jù)接收基礎(chǔ)數(shù)據(jù)篩選，如支持?jǐn)?shù)據(jù)轉(zhuǎn)發(fā)、丟棄、復(fù)制等。對原始數(shù)據(jù)進(jìn)行規(guī)則化處理，如清洗、校對等。數(shù)據(jù)接收架構(gòu)具備可擴(kuò)展性。對異構(gòu)數(shù)據(jù)源集中接收。正則表達(dá)式解析、JSON支持自定義解析規(guī)則數(shù)據(jù)處理具備常用邏輯運(yùn)算的能力，如自定義數(shù)據(jù)四則運(yùn)算、統(tǒng)計（分類、聚類）可擴(kuò)展的ETL，實現(xiàn)如數(shù)據(jù)清洗、轉(zhuǎn)換、導(dǎo)入和加載等。具備對異構(gòu)數(shù)據(jù)源的處理及關(guān)聯(lián)分析的能力FlinkOnYarn流式數(shù)據(jù)分析數(shù)據(jù)存儲提供統(tǒng)一的數(shù)據(jù)存儲，及冷熱數(shù)據(jù)管理?？蓴U(kuò)展的架構(gòu)，支持根據(jù)數(shù)據(jù)類型、容量等擴(kuò)展方式。具備數(shù)據(jù)一致性、完整性和可用性等管理特性。存儲多種數(shù)據(jù)類型，如文本、數(shù)值型和位圖等。具備時序數(shù)據(jù)的存儲能力。Influxdb、Elasticsearch、Redis監(jiān)控系統(tǒng)的告警信息需要進(jìn)行分級、統(tǒng)計、升級等管控措施。監(jiān)控系統(tǒng)的告警數(shù)據(jù)要具有對外提供數(shù)據(jù)服務(wù)的能力，并提供相關(guān)數(shù)據(jù)接口供其他系統(tǒng)查詢和處理。完整的監(jiān)控系統(tǒng)需要具備圖標(biāo)能力，對相關(guān)指標(biāo)有強(qiáng)化展示及在線查詢展示功能。監(jiān)控系統(tǒng)應(yīng)該具備智能分析功能，至少按照季度進(jìn)行監(jiān)控評估，對監(jiān)控對象的監(jiān)控日志、異常情況、準(zhǔn)確率、觸達(dá)率以及預(yù)案執(zhí)行情況等進(jìn)行評估并形成評估報告。監(jiān)控系統(tǒng)需要兼顧方便易用性，如對監(jiān)控對象支持批量操作、提供監(jiān)控服務(wù)的弱代碼自定義功能等。表3監(jiān)控服務(wù)及展示分類項目具體內(nèi)容參考案例a)提供告警指標(biāo)的靜態(tài)閾值、動態(tài)基線閾值、同比環(huán)比算法閾值管理能力。b)具有告警分級及簡單收斂功能，并提供定制化的觸發(fā)規(guī)則（定通過多渠道送達(dá)時提醒、交易日或節(jié)假日判斷等）。并提供觸點統(tǒng)計告警和管控c)提供告警的統(tǒng)計分析，如告警觸達(dá)率、告警準(zhǔn)確率等功能。d)具備告警明細(xì)的記錄存儲和告警統(tǒng)計數(shù)據(jù)導(dǎo)出的能力。警會進(jìn)行壓縮，e)針對標(biāo)準(zhǔn)告警信息，關(guān)聯(lián)提供標(biāo)準(zhǔn)運(yùn)維操作的提示性建議。并會關(guān)聯(lián)標(biāo)準(zhǔn)運(yùn)f)自動告警升級，能夠?qū)⒏婢ㄖ?、升級與組織架構(gòu)關(guān)聯(lián)。維操作。g)告警服務(wù)應(yīng)該具有高并發(fā)性，并具有可平行擴(kuò)展能力。a)提供面向應(yīng)用場景的數(shù)據(jù)服務(wù)化能力。b)具備常規(guī)數(shù)據(jù)處理的能力，包括但不限于最大值、平均值等。c)具備按條件導(dǎo)出數(shù)據(jù)接口的能力。提供標(biāo)準(zhǔn)的API數(shù)據(jù)服務(wù)賦能d)具備數(shù)據(jù)遷移的能力，如復(fù)制、同步或傳輸數(shù)據(jù)到其他存儲介質(zhì)。接口供其他服務(wù)消費(fèi)監(jiān)控、告警e)提供自定義數(shù)據(jù)查詢接口，和數(shù)據(jù)內(nèi)容的功能。數(shù)據(jù)。f)具備條件情況下提供告警關(guān)聯(lián)分析（如知識庫、系統(tǒng)變更信息）等故障輔助定位能力系統(tǒng)的集成能力能