關於面向業務的信息系統的安全審計的內容

　面向業務的信息系統的安全審計系統

近些年來，IT系統發展很快，企業對IT系統的依賴程度也越來越高，就一個網絡信息系統而言，我們不僅需要考慮一些傳統的安全問題，比如防黑客、防病毒、防垃圾郵件、防後門、防蠕蟲等，但是，隨着信息化程度的提高，各類業務系統也變得日益複雜，對業務系統的防護也變得越來越重要，非傳統領域的安全治理也變得越來越重要。根據最新的統計資料，給企業造成的嚴重攻擊中70％是來自於組織中的內部人員，因此，針對業務系統的信息安全治理成為一道難題，審計應運而生。

一、為什麼需要面向業務的信息安全審計？

面向業務的信息安全審計系統，顧名思義，是對用户業務的安全審計，與用户的各項應用業務有密切的關係，是信息安全審計系統中重要的組成部分，它從用户的業務安全角度出發，思考和分析用户的網絡業務中所存在的脆弱點和風險。

我們不妨先看兩個鮮活的案例。不久前，中國青年報報道，上海一電腦高手，方某今年25歲，學的是計算機專業，曾是某超市分店資訊組組長。方某利用職務之便，設計非法軟件程序，進入超市業務系統，即超市收銀系統的數據庫，通過修改超市收銀系統的數據庫數據信息，每天將超市的銷售記錄的20%營業款自動刪除，並將收入轉存入自己的賬户。從2004年6月至2005年8月期間，方某等人截留侵吞超市3家門店營業款共計397萬餘元之多。通過上述兩個案例，我們不難發現，內部人員，包括內部員工或者提供第三方IT支持的維護人員等，他們利用職務之便，違規操作導致的安全問題日益頻繁和突出，這些操作都與客户的業務息息相關。雖然防火牆、防病毒、入侵檢測系統、防病毒、內網安全管理等常規的安全產品可以解決大部分傳統意義上的網絡安全問題，但是，對於這類與業務息息相關的操作行為、違規行為的安全問題，必須要有強力的手段來防範和阻止，這就是針對業務的信息安全審計系統能夠帶給我們的價值。

二、如何理解面向業務的信息安全審計？

根據國外的經驗，如在美國的《薩班斯-奧克斯利法案（2002 Sarbanes-Oxley Act）》的第302條款和第404條款中，強調通過內部控制加強公司治理，包括加強與財務報表相關的IT系統內部控制，其中，IT系統內部控制就是面向具體的業務，它是緊密圍繞信息安全審計這一核心的。同時，2006年底生效的巴賽爾新資本協定(Basel II)，要求全球銀行必須針對其市場、信用及營運等三種金融作業風險提供相應水準的資金準備，迫使各銀行必須做好風險控管(risk management)，而這部“金融作業風險”的防範也正是需要業務信息安全審計為依託。這些國家和組織對信息安全審計的定位已經從概念階段向實現階段過渡了，他們走在了我們的前面。

可喜的是，我國政府行業、金融行業已相繼推出了數十部法律法規，如：國家《計算機信息系統安全保護等級劃分準則》、《商業銀行內部控制指引》、《中國移動集團內控手冊》、《中國電信股份公司內部控制手冊》、《中國網通集團內部控制體系建設指導意見》、《銀行業金融機構信息系統風險管理指引》、《商業銀行合規風險管理指引》、《中國銀行業監督委員會辦公廳文件銀監辦通313號》、《保險公司內部審計指引（試行）》、《保險公司風險管理指引（試行）》、《深圳證券交易所上市公司內部控制指引》、《上海證券交易所上市公司內部控制指引》等，這些法律法規的出台確立了面向業務的信息安全審計的必要性。

面向業務的信息安全審計，正在被越來越多的行業和機構所重視，它代表着由傳統信息安全向業務信息安全領域縱深發展的必然的趨勢要求。#P#

三、如何實現面向業務的信息安全審計？

啟明星辰網絡安全審計系統，從保障用户的業務正常運行、保護用户的業務資產、提高用户業務資產安全性的'角度出發，以“合規性管理、細粒度審計”為落腳點，全面地審計網絡行為，管理企業內信息系統的合規性。它的核心作用是加強內外部網絡行為監管、避免核心資產損失、保障業務系統的正常運營。

1.從審計準確精度入手，做到三審

即“審用户、審角色、審權限”。審用户，是一個人的概念，主要包括使用審計信息系統本身的用户，也包括網絡中各項業務需要訪問的用户。對使用審計信息系統本身的用户，採取了系統管理員、審計員、操作員等方式進行審計和管理。對於需要訪問業務資源的用户，採取了身份認證系統，當認證用户得到確認後，方可進行業務的操作。

審角色，網絡安全審計系統通過定義角色，根據業務用户在業務流程中所扮演的角色進行分類，從而有效地定義可讀性更強的審計規則與策略。審計記錄不僅包括源IP、目的IP等原始信息，還包含用户的角色或者身份信息，審計員將得到更有意義的審計結果。相關的用户角色或者身份信息還可用於輔助界定事件責任。

審權限，主要包括用户權限和操作權限，當每一個用户被賦予角色後，角色就有執行操作的可能，在執行操作的過程中就需要有權限設立，從而達到規範角色行為的目的。系統從內控的角度出發，對IT系統的使用權、管理權與監督權做到三權分立和三權分管。審用户、審角色、審權限三者有機結合，從而達到審計信息系統精確定位到人的目的。

　2.從審計行為的深度入手，做到三看

即“看協議、看程度、看回放”。看協議，網絡安全審計系統通過對當前市場上主流網絡業務行為的研究，主要把網絡業務行為分為三大類，即數據庫操作的行為、辦公OA操作的行為和系統網絡維護的操作行為。在審計這三大類的協議方面，天?系統有着全面的能力，包括但不限於：HTTP協議、TELNET協議、POP3協議、SMTP協議、FTP協議、NETBIOS協議、TDS協議、TNS協議等。

看程度，除了審計協議全面性外，系統的一個主要特點是對協議的分析深度較深，能夠針對很多重要系統提供精確到命令的審計與響應。比如，天?系統能夠審計到TELNET會話過程中執行的命令和數據庫連接過程中執行的SQL語句。

看回放，天?系統能夠完整地記錄網絡會話內容，比如TELNET、FTP、HTTP以及遠程數據庫訪問等，並且能夠根據各種協議的不同語義進行回放，從而真實地再現用户操作過程，讓系統的用户可以做到有據可查。

3.從用户的易用性角度，做到三給：給證據、給分析、給報告

即“給證據、給分析、給報告”。給證據，天?系統能對不合規定的連接嘗試、不按規定設置防火牆策略、不按規定進行運維的操作、不按規定直接訪問後台數據庫、使用未經許可的軟件訪問重要系統、私自設立代理服務器/軟件路由器等不合規定的行為作出翔實的審計記錄，為下一步採取措施提供依據。

據分析，系統根據會從各種系統日誌裏面去分析是否有各類協議行為、操作結果留下來的“蛛絲馬跡”來判斷是否發生了針對業務的安全事件。同時，系統也分析審計記錄中各類人員的企圖，一步步地追查出違規者。

給報告，系統提供設計一套完善的審計報告輸出機制，審計報告多達上百種，並且還有符合SOX法案的專業報表。系統可以根據用户的需求、重點關心的問題，設定審計輸出報告，使得用户能迅速地得到自己最關心的信息，讓審計報告更容易理解。可基於各類要素的組合進行設置，包括但不限於：絕對時間範圍、相對時間範圍、客户端IP、客户端端口號、服務端IP、服務端端口、關鍵字、事件級別等條件。

當今信息安全領域，我們已經不能簡單地認為，只要有防火牆、IDS、IPS、內網管理等系統的上線就可以解決網絡安全問題，我們更不能簡單地認為，由於各類業務系統應用在安全防護下就不會有任何安全風險。事實上，正是面向業務的信息系統安全審計系統開啟了我們從傳統安全領域向業務安全領域思考的一扇窗户，它把我們理解的信息安全思路引向了一個更加貼合業務應用、更加貼合業務管理的角度來看待信息安全。

因此，面向業務的信息系統安全審計系統，必定能在較長的一段時間裏得到市場和用户認同。同時，啟明星辰認為，無論信息系統安全審計的內涵如何變化與發展，面向業務的信息系統安全審計系統，一定能在未來信息安全領域扮演重要的角色。因為，面向業務的信息系統安全審計系統已經不僅在創造網絡安全的價值，更加創造業務管理的價值。