關于面向業(yè)務的信息系統(tǒng)的安全審計的內(nèi)容

面向業(yè)務的信息系統(tǒng)的安全審計系統(tǒng)

近些年來，IT系統(tǒng) 發(fā)展 很快， 企業(yè) 對IT系統(tǒng)的依賴程度也越來越高，就一個 網(wǎng)絡 信息系統(tǒng)而言，我們不僅需要考慮一些傳統(tǒng)的安全 問題 ，比如防黑客、防病毒、防垃圾郵件、防后門、防蠕蟲等，但是，隨著信息化程度的提高，各類業(yè)務系統(tǒng)也變得日益復雜，對業(yè)務系統(tǒng)的防護也變得越來越重要，非傳統(tǒng)領域的安全治理也變得越來越重要。根據(jù)最新的統(tǒng)計資料，給企業(yè)造成的嚴重攻擊中70％是來自于組織中的內(nèi)部人員，因此，針對業(yè)務系統(tǒng)的信息安全治理成為一道難題，審計應運而生。

一、為什么需要面向業(yè)務的信息安全審計？

(資料圖片僅供參考)

面向業(yè)務的信息安全審計系統(tǒng)，顧名思義，是對用戶業(yè)務的安全審計，與用戶的各項 應用 業(yè)務有密切的關系，是信息安全審計系統(tǒng)中重要的組成部分，它從用戶的業(yè)務安全角度出發(fā)，思考和 分析 用戶的網(wǎng)絡業(yè)務中所存在的脆弱點和風險。

我們不妨先看兩個鮮活的案例。不久前， 中國 青年報報道，上海一電腦高手，方某今年25歲，學的是 計算 機專業(yè)，曾是某超市分店資訊組組長。方某利用職務之便，設計非法軟件程序，進入超市業(yè)務系統(tǒng)，即超市收銀系統(tǒng)的數(shù)據(jù)庫，通過修改超市收銀系統(tǒng)的數(shù)據(jù)庫數(shù)據(jù)信息，每天將超市的銷售記錄的20%營業(yè)款自動刪除，并將收入轉(zhuǎn)存入自己的賬戶。從2004年6月至2005年8月期間，方某等人截留侵吞超市3家門店營業(yè)款共計397萬余元之多。 通過上述兩個案例，我們不難發(fā)現(xiàn)，內(nèi)部人員，包括內(nèi)部員工或者提供第三方IT支持的維護人員等，他們利用職務之便，違規(guī)操作導致的安全問題日益頻繁和突出，這些操作都與客戶的業(yè)務息息相關。雖然防火墻、防病毒、入侵檢測系統(tǒng)、防病毒、內(nèi)網(wǎng)安全管理等常規(guī)的安全產(chǎn)品可以解決大部分傳統(tǒng)意義上的網(wǎng)絡安全問題，但是，對于這類與業(yè)務息息相關的操作行為、違規(guī)行為的安全問題，必須要有強力的手段來防范和阻止，這就是針對業(yè)務的信息安全審計系統(tǒng)能夠帶給我們的價值。

二、如何理解面向業(yè)務的信息安全審計？

根據(jù)國外的經(jīng)驗，如在美國的《薩班斯-奧克斯利法案（2002 Sarbanes-Oxley Act）》的第302條款和第404條款中，強調(diào)通過內(nèi)部控制加強公司治理，包括加強與財務報表相關的IT系統(tǒng)內(nèi)部控制，其中，IT系統(tǒng)內(nèi)部控制就是面向具體的業(yè)務，它是緊密圍繞信息安全審計這一核心的。同時，2006年底生效的巴賽爾新資本協(xié)定(Basel II)，要求全球銀行必須針對其市場、信用及營運等三種 金融 作業(yè)風險提供相應水準的資金準備，迫使各銀行必須做好風險控管(risk management)，而這部“金融作業(yè)風險”的防范也正是需要業(yè)務信息安全審計為依托。這些國家和組織對信息安全審計的定位已經(jīng)從概念階段向?qū)崿F(xiàn)階段過渡了，他們走在了我們的前面。

可喜的是，我國政府行業(yè)、金融行業(yè)已相繼推出了數(shù)十部 法律 法規(guī)，如：國家《計算機信息系統(tǒng)安全保護等級劃分準則》、《商業(yè)銀行內(nèi)部控制指引》、《中國移動集團內(nèi)控手冊》、《中國電信股份公司內(nèi)部控制手冊》、《中國網(wǎng)通集團內(nèi)部控制體系建設指導意見》、《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》、《商業(yè)銀行合規(guī)風險管理指引》、《中國銀行業(yè)監(jiān)督委員會辦公廳文件銀監(jiān)辦通313號》、《保險公司內(nèi)部審計指引（試行）》、《保險公司風險管理指引（試行）》、《深圳證券交易所上市公司內(nèi)部控制指引 》、《上海證券交易所上市公司內(nèi)部控制指引》等，這些法律法規(guī)的出臺確立了面向業(yè)務的信息安全審計的必要性。

面向業(yè)務的信息安全審計，正在被越來越多的行業(yè)和機構所重視，它代表著由傳統(tǒng)信息安全向業(yè)務信息安全領域縱深發(fā)展的必然的趨勢要求。#P#

三、如何實現(xiàn)面向業(yè)務的.信息安全審計？

啟明星辰網(wǎng)絡安全審計系統(tǒng)，從保障用戶的業(yè)務正常運行、保護用戶的業(yè)務資產(chǎn)、提高用戶業(yè)務資產(chǎn)安全性的角度出發(fā)，以“合規(guī)性管理、細粒度審計”為落腳點，全面地審計網(wǎng)絡行為，管理企業(yè)內(nèi)信息系統(tǒng)的合規(guī)性。它的核心作用是加強內(nèi)外部網(wǎng)絡行為監(jiān)管、避免核心資產(chǎn)損失、保障業(yè)務系統(tǒng)的正常運營。

1.從審計準確精度入手，做到三審

即“審用戶、審角色、審權限”。審用戶，是一個人的概念，主要包括使用審計信息系統(tǒng)本身的用戶，也包括網(wǎng)絡中各項業(yè)務需要訪問的用戶。對使用審計信息系統(tǒng)本身的用戶，采取了系統(tǒng)管理員、審計員、操作員等方式進行審計和管理。對于需要訪問業(yè)務資源的用戶，采取了身份認證系統(tǒng)，當認證用戶得到確認后，方可進行業(yè)務的操作。

審角色， 網(wǎng)絡 安全審計系統(tǒng)通過定義角色，根據(jù)業(yè)務用戶在業(yè)務流程中所扮演的角色進行分類，從而有效地定義可讀性更強的審計規(guī)則與策略。審計記錄不僅包括源IP、目的IP等原始信息，還包含用戶的角色或者身份信息，審計員將得到更有意義的審計結果。相關的用戶角色或者身份信息還可用于輔助界定事件責任。

審權限，主要包括用戶權限和操作權限，當每一個用戶被賦予角色后，角色就有執(zhí)行操作的可能，在執(zhí)行操作的過程中就需要有權限設立，從而達到規(guī)范角色行為的目的。系統(tǒng)從內(nèi)控的角度出發(fā)，對IT系統(tǒng)的使用權、管理權與監(jiān)督權做到三權分立和三權分管。審用戶、審角色、審權限三者有機結合，從而達到審計信息系統(tǒng)精確定位到人的目的。

2.從審計行為的深度入手，做到三看

即“看協(xié)議、看程度、看回放”。看協(xié)議，網(wǎng)絡安全審計系統(tǒng)通過對當前市場上主流網(wǎng)絡業(yè)務行為的 研究 ，主要把網(wǎng)絡業(yè)務行為分為三大類，即數(shù)據(jù)庫操作的行為、辦公OA操作的行為和系統(tǒng)網(wǎng)絡維護的操作行為。在審計這三大類的協(xié)議方面，天?系統(tǒng)有著全面的能力，包括但不限于：HTTP協(xié)議、TELNET協(xié)議、POP3協(xié)議、SMTP協(xié)議、FTP協(xié)議、NETBIOS協(xié)議、TDS協(xié)議、TNS協(xié)議等。

看程度，除了審計協(xié)議全面性外，系統(tǒng)的一個主要特點是對協(xié)議的 分析 深度較深，能夠針對很多重要系統(tǒng)提供精確到命令的審計與響應。比如，天?系統(tǒng)能夠?qū)徲嫷絋ELNET會話過程中執(zhí)行的命令和數(shù)據(jù)庫連接過程中執(zhí)行的SQL語句。

看回放，天?系統(tǒng)能夠完整地記錄網(wǎng)絡會話 內(nèi)容 ，比如TELNET、FTP、HTTP以及遠程數(shù)據(jù)庫訪問等，并且能夠根據(jù)各種協(xié)議的不同語義進行回放，從而真實地再現(xiàn)用戶操作過程，讓系統(tǒng)的用戶可以做到有據(jù)可查。

3.從用戶的易用性角度，做到三給：給證據(jù)、給分析、給報告

即“給證據(jù)、給分析、給報告”。給證據(jù)，天?系統(tǒng)能對不合規(guī)定的連接嘗試、不按規(guī)定設置防火墻策略、不按規(guī)定進行運維的操作、不按規(guī)定直接訪問后臺數(shù)據(jù)庫、使用未經(jīng)許可的軟件訪問重要系統(tǒng)、私自設立代理服務器/軟件路由器等不合規(guī)定的行為作出翔實的審計記錄，為下一步采取措施提供依據(jù)。

據(jù)分析，系統(tǒng)根據(jù)會從各種系統(tǒng)日志里面去分析是否有各類協(xié)議行為、操作結果留下來的“蛛絲馬跡”來判斷是否發(fā)生了針對業(yè)務的安全事件。同時，系統(tǒng)也分析審計記錄中各類人員的企圖，一步步地追查出違規(guī)者。

給報告，系統(tǒng)提供設計一套完善的審計報告輸出機制，審計報告多達上百種，并且還有符合SOX法案的專業(yè)報表。系統(tǒng)可以根據(jù)用戶的需求、重點關心的 問題 ，設定審計輸出報告，使得用戶能迅速地得到自己最關心的信息，讓審計報告更容易理解?？苫诟黝愐氐慕M合進行設置，包括但不限于：絕對時間范圍、相對時間范圍、客戶端IP、客戶端端口號、服務端IP、服務端端口、關鍵字、事件級別等條件。

當今信息安全領域，我們已經(jīng)不能簡單地認為，只要有防火墻、IDS、IPS、內(nèi)網(wǎng)管理等系統(tǒng)的上線就可以解決網(wǎng)絡安全問題，我們更不能簡單地認為，由于各類業(yè)務系統(tǒng) 應用 在安全防護下就不會有任何安全風險。事實上，正是面向業(yè)務的信息系統(tǒng)安全審計系統(tǒng)開啟了我們從傳統(tǒng)安全領域向業(yè)務安全領域思考的一扇窗戶，它把我們理解的信息安全思路引向了一個更加貼合業(yè)務應用、更加貼合業(yè)務管理的角度來看待信息安全。

因此，面向業(yè)務的信息系統(tǒng)安全審計系統(tǒng)，必定能在較長的一段時間里得到市場和用戶認同。同時，啟明星辰認為，無論信息系統(tǒng)安全審計的內(nèi)涵如何變化與 發(fā)展 ，面向業(yè)務的信息系統(tǒng)安全審計系統(tǒng)，一定能在未來信息安全領域扮演重要的角色。因為，面向業(yè)務的信息系統(tǒng)安全審計系統(tǒng)已經(jīng)不僅在創(chuàng)造網(wǎng)絡安全的價值，更加創(chuàng)造業(yè)務管理的價值。