近些年来,IT系统 发展 很快, 企业 对IT系统的依赖程度也越来越高,就一个 网络 信息系统而言,我们不仅需要考虑一些传统的安全 问题 ,比如防黑客、防病毒、防垃圾邮件、防后门、防蠕虫
等,但是,随着信息化程度的提高,各类业务系统也变得日益复杂,对业务系统的防护也变得越来越重要,非传统领域的安全治理也变得越来越重要。根据最新的统计资料,给企业造成的严重攻击中70%是来自于组织中的内部人员,因此,针对业务系统的信息安全治理成为一道难题,审计应运而生。
一、为什么需要面向业务的信息安全审计?
面向业务的信息安全审计系统,顾名思义,是对用户业务的安全审计,与用户的各项 应用 业务有密切的关系,是信息安全审计系统中重要的组成部分,它从用户的业务安全角度出发,思考和 分析 用户的网络业务中所存在的脆弱点和风险。
我们不妨先看两个鲜活的案例。不久前, 中国 青年报报道,上海一电脑高手,方某今年25岁,学的是 计算 机专业,曾是某超市分店资讯组组长。方某利用职务之便,设计非法软件程序,进入超市业务系统,即超市收银系统的数据库,通过修改超市收银系统的数据库数据信息,每天将超市的销售记录的20%营业款自动删除,并将收入转存入自己的账户。从2004年6月至2005年8月期间,方某等人截留侵吞超市3家门店营业款共计397万余元之多。 通过上述两个案例,我们不难发现,内部人员,包括内部员工或者提供第三方IT支持的维护人员等,他们利用职务之便,违规操作导致的安全问题日益频繁和突出,这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题,但是,对于这类与业务息息相关的操作行为、违规行为的安全问题,必须要有强力的手段来防范和阻止,这就是针对业务的信息安全审计系统能够带给我们的价值。
二、如何理解面向业务的信息安全审计? 根据国外的经验,如在美国的《萨班斯-奥克斯利法案(2002 Sarbanes-Oxley Act)》的第302条款和第404条款中,强调通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制,其中,IT系统内部控制就是面向具体的业务,它是紧密围绕信息安全审计这一核心的。同时,2006年底生效的巴赛尔新资本协定(Basel II),要求全球银行必须针对其市场、信用及营运等三种 金融 作业风险提供相应水准的资金准备,迫使各银行必须做好风险控管(risk management),而这部“金融作业风险”的防范也正是需要业务信息安全审计为依托。这些国家和组织对信息安全审计的定位已经从概念阶段向实现阶段过渡了,他们走在了我们的前面。
可喜的是,我国政府行业、金融行业已相继推出了数十部 法律 法规,如:国家《计算机信息系统安全保护等级划分准则》、《商业银行内部控制指引》、《中国移动集团内控手册》、《中国电信股份公司内部控制手册》、《中国网通集团内部控制体系建设指导意见》、《银行业金融机构信息系统风险管理指引》、《商业银行合规风险管理指引》、《中国银行业监督委员会办公厅文件银监办通313号》、《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》、《深圳证券交易所上市公司内部控制指引 》、《上海证券交易所上市公司内部控制指引》等,这些法律法规的出台确立了面向业务的信息安全审计的必要性。
面向业务的信息安全审计,正在被越来越多的行业和机构所重视,它代表着由传统信息安全向业务信息安全领域纵深发展的必然的趋势要求。#P#
三、如何实现面向业务的信息安全审计?
启明星辰网络安全审计系统,从保障用户的业务正常运行、保护用户的业务资产、提高用户业务资产安全性的角度出发,以“合规性管理、细粒度审计”为落脚点,全面地审计网络行为,管理企业内信息系统的合规性。它的核心作用是加强内外部网络行为监管、避免核心资产损失、保障业务系统的正常运营。
1.从审计准确精度入手,做到三审
即“审用户、审角色、审权限”。审用户,是一个人的概念,主要包括使用审计信息系统本身的用户,也包括网络中各项业务需要访问的用户。对使用审计信息系统本身的用户,采取了系统管理员、审计员、操作员等方式进行审计和管理。对于需要访问业务资源的用户,采取了身份认证系统,当认证用户得到确认后,方可进行业务的操作。
审角色, 网络 安全审计系统通过定义角色,根据业务用户在业务流程中所扮演的角色进行分类,从而有效地定义可读性更强的审计规则与策略。审计记录不仅包括源IP、目的IP等原始信息,还包含用户的角色或者身份信息,审计员将得到更有意义的审计结果。相关的用户角色或者身份信息还可用于辅助界定事件责任。
审权限,主要包括用户权限和操作权限,当每一个用户被赋予角色后,角色就有执行操作的可能,在执行操作的过程中就需要有权限设立,从而达到规范角色行为的目的。系统从内控的角度出发,对IT系统的使用权、管理权与监督权做到三权分立和三权分管。审用户、审角色、审权限三者有机结合,从而达到审计信息系统精确定位到人的目的。
2.从审计行为的深度入手,做到三看
即“看协议、看程度、看回放”。看协议,网络安全审计系统通过对当前市场上主流网络业务行为的 研究 ,主要把网络业务行为分为三大类,即数据库操作的行为、办公OA操作的行为和系统网络维护的操作行为。在审计这三大类的协议方面,天?系统有着全面的能力,包括但不限于:HTTP协议、TELNET协议、POP3协议、SMTP协议、FTP协议、NETBIOS协议、TDS协议、TNS协议等。
看程度,除了审计协议全面性外,系统的一个主要特点是对协议的 分析 深度较深,能够针对很多重要系统提供精确到命令的审计与响应。比如,天?系统能够审计到TELNET会话过程中执行的命令和数据库连接过程中执行的SQL语句。
看回放,天?系统能够完整地记录网络会话 内容 ,比如TELNET、FTP、HTTP以及远程数据库访问等,并且能够根据各种协议的不同语义进行回放,从而真实地再现用户操作过程,让系统的用户可以做到有据可查。
3.从用户的易用性角度,做到三给:给证据、给分析、给报告
即“给证据、给分析、给报告”。给证据,天?系统能对不合规定的连接尝试、不按规定设置防火墙策略、不按规定进行运维的操作、不按规定直接访问后台数据库、使用未经许可的软件访问重要系统、私自设立代理服务器/软件路由器等不合规定的行为作出翔实的审计记录,为下一步采取措施提供依据。
给分析,系统根据会从各种系统日志里面去分析是否有各类协议行为、操作结果留下来的“蛛丝马迹”来判断是否发生了针对业务的安全事件。同时,系统也分析审计记录中各类人员的企图,一步步地追查出违规者。
给报告,系统提供设计一套完善的审计报告输出机制,审计报告多达上百种,并且还有符合SOX法案的专业报表。系统可以根据用户的需求、重点关心的 问题 ,设定审计输出报告,使得用户能迅速地得到自己最关心的信息,让审计报告更容易理解。可基于各类要素的组合进行设置,包括但不限于:绝对时间范围、相对时间范围、客户端IP、客户端端口号、服务端IP、服务端端口、关键字、事件级别等条件。
当今信息安全领域,我们已经不能简单地认为,只要有防火墙、IDS、IPS、内网管理等系统的上线就可以解决网络安全问题,我们更不能简单地认为,由于各类业务系统 应用 在安全防护下就不会有任何安全风险。事实上,正是面向业务的信息系统安全审计系统开启了我们从传统安全领域向业务安全领域思考的一扇窗户,它把我们理解的信息安全思路引向了一个更加贴合业务应用、更加贴合业务管理的角度来看待信息安全。
因此,面向业务的信息系统安全审计系统,必定能在较长的一段时间里得到市场和用户认同。同时,启明星辰认为,无论信息系统安全审计的内涵如何变化与 发展 ,面向业务的信息系统安全审计系统,一定能在未来信息安全领域扮演重要的角色。因为,面向业务的信息系统安全审计系统已经不仅在创造网络安全的价值,更加创造业务管理的价值。
