專家觀點：淺談面向業務的信息安全審計系統

【賽迪網-IT技術報道】近些年來，IT系統發展很快，企業對IT系統的依賴程度也越來越高，就一個網絡信息系統而言，我們不僅需要考慮一些傳統的安全問題，比如防黑客、防病毒、防垃圾郵件、防後門、防蠕蟲等，但是，隨著信息化程度的提高，各類業務系統也變得日益複雜，對業務系統的防護也變得越來越重要，非傳統領域的安全治理也變得越來越重要。根據最新的統計資料，給企業造成的嚴重攻擊中70％是來自於組織中的內部人員，因此，針對業務系統的信息安全治理成為一道難題，審計應運而生。

一、為什麼需要面向業務的信息安全審計？

面向業務的信息安全審計系統，顧名思義，是對用戶業務的安全審計，與用戶的各項應用業務有密切的關係，是信息安全審計系統中重要的組成部分，它從用戶的業務安全角度出發，思考和分析用戶的網絡業務中所存在的脆弱點和風險。

我們不妨先看兩個鮮活的案例。不久前，中國青年報報道，上海一電腦高手，方某今年25歲，學的是計算機專業，曾是某超市分店資訊組組長。方某利用職務之便，設計非法軟體程序，進入超市業務系統，即超市收銀系統的資料庫，通過修改超市收銀系統的資料庫資料信息，每天將超市的銷售記錄的20%營業款自動刪除，並將收入轉存入自己的賬戶。從2004年6月至2005年8月期間，方某等人截留侵吞超市3家門店營業款共計397萬餘元之多。

程某31歲，是X公司資深軟體研發工程師，從2005年2月，他由A地運營商系統進入B地運營商的業務系統－－充值中心資料庫，獲得最高系統權限，根據「已充值」的充值卡顯示的18位密碼破解出對應的34位密鑰，然後把「已充值」狀態改為「未充值」，並修改其有效日期，激活了已經使用過的充值卡。他把面值300元的充值密碼以281.5到285元面值不等價格在網上售出，非法獲利380萬。

通過上述兩個案例，我們不難發現，內部人員，包括內部員工或者提供第三方IT支持的維護人員等，他們利用職務之便，違規操作導致的安全問題日益頻繁和突出，這些操作都與客戶的業務息息相關。雖然防火牆、防病毒、入侵檢測系統、防病毒、內網安全管理等常規的安全產品可以解決大部分傳統意義上的網絡安全問題，但是，對於這類與業務息息相關的操作行為、違規行為的安全問題，必須要有強力的手段來防範和阻止，這就是針對業務的信息安全審計系統能夠帶給我們的價值。

二、如何理解面向業務的信息安全審計？

信息安全審計與信息安全管理密切相關，信息安全審計的主要依據為信息安全管理相關的標準，例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。這些標準實際上是出於不同的角度提出的控制體系，基於這些控制體系可以有效地控制信息安全風險，從而達到信息安全審計的目的，提高信息系統的安全性。因此，面向業務的信息安全審計系統可以理解成是信息安全審計的一個重要的分支。

根據國外的經驗，如在美國的《薩班斯-奧克斯利法案（2002 Sarbanes-Oxley Act）》的第302條款和第404條款中，強調通過內部控制加強公司治理，包括加強與財務報表相關的IT系統內部控制，其中，IT系統內部控制就是面向具體的業務，它是緊密圍繞信息安全審計這一核心的。同時，2006年底生效的巴賽爾新資本協定(Basel II)，要求全球銀行必須針對其市場、信用及營運等三種金融作業風險提供相應水準的資金準備，迫使各銀行必須做好風險控管(risk management)，而這部「金融作業風險」的防範也正是需要業務信息安全審計為依托。這些國家和組織對信息安全審計的定位已經從概念階段向實現階段過渡了，他們走在了我們的前面。

可喜的是，我國政府行業、金融行業已相繼推出了數十部法律法規，如：國家《計算機信息系統安全保護等級劃分準則》、《商業銀行內部控制指引 》、《中國移動集團內控手冊》、《中國電信股份公司內部控制手冊》、《中國網通集團內部控制體系建設指導意見》、《銀行業金融機構信息系統風險管理指引》、《商業銀行合規風險管理指引》、《中國銀行業監督委員會辦公廳文件銀監辦通313號》、《保險公司內部審計指引（試行）》、《保險公司風險管理指引（試行）》、《深圳證券交易所上市公司內部控制指引 》、《上海證券交易所上市公司內部控制指引 》等，這些法律法規的出台確立了面向業務的信息安全審計的必要性。

面向業務的信息安全審計，正在被越來越多的行業和機構所重視，它代表著由傳統信息安全向業務信息安全領域縱深發展的必然的趨勢要求。

三、如何實現面向業務的信息安全審計？

啟明星辰天網絡安全審計系統，從保障用戶的業務正常運行、保護用戶的業務資產、提高用戶業務資產安全性的角度出發，以「合規性管理、細粒度審計」為 落腳點，全面地審計網絡行為，管理企業內信息系統的合規性。它的核心作用是加強內外部網絡行為監管、避免核心資產損失、保障業務系統的正常運營。

1.從審計準確精度入手，做到三審

即「審用戶、審角色、審權限」。審用戶，是一個人的概念，主要包括使用審計信息系統本身的用戶，也包括網絡中各項業務需要訪問的用戶。對使用審計信息系統本身的用戶，採取了系統管理員、審計員、操作員等方式進行審計和管理。對於需要訪問業務資源的用戶，採取了身份認證系統，當認證用戶得到確認後，方可進行業務的操作。

審角色，天網絡安全審計系統通過定義角色，根據業務用戶在業務流程中所扮演的角色進行分類，從而有效地定義可讀性更強的審計規則與策略。審計記錄不僅包括源IP、目的IP等原始信息，還包含用戶的角色或者身份信息，審計員將得到更有意義的審計結果。相關的用戶角色或者身份信息還可用於輔助界定事件責任。

審權限，主要包括用戶權限和操作權限，當每一個用戶被賦予角色後，角色就有執行操作的可能，在執行操作的過程中就需要有權限設立，從而達到規範角色行為的目的。系統從內控的角度出發，對IT系統的使用權、管理權與監督權做到三權分立和三權分管。

審用戶、審角色、審權限三者有機結合，從而達到審計信息系統精確定位到人的目的。

2.從審計行為的深度入手，做到三看

即「看協議、看程度、看回放」。看協議，天網絡安全審計系統通過對當前市場上主流網絡業務行為的研究，主要把網絡業務行為分為三大類，即資料庫操作的行為、辦公OA操作的行為和系統網絡維護的操作行為。在審計這三大類的協議方面，天系統有著全面的能力，包括但不限於：HTTP協議、TELNET協議、POP3協議、SMTP協議、FTP協議、NETBIOS協議、TDS協議、TNS協議等。

看程度，除了審計協議全面性外，天系統的一個主要特點是對協議的分析深度較深，能夠針對很多重要系統提供精確到命令的審計與響應。比如，天系統能夠審計到TELNET會話過程中執行的命令和資料庫連接過程中執行的SQL語句。

看回放，天系統能夠完整地記錄網絡會話內容，比如TELNET、FTP、HTTP以及遠程資料庫訪問等，並且能夠根據各種協議的不同語義進行回放，從而真實地再現用戶操作過程，讓系統的用戶可以做到有據可查。

3.從用戶的易用性角度，做到三給：給證據、給分析、給報告

即「給證據、給分析、給報告」。給證據，天系統能對不合規定的連接嘗試、不按規定設置防火牆策略、不按規定進行運維的操作、不按規定直接訪問後台資料庫、使用未經許可的軟體訪問重要系統、私自設立代理伺服器/軟體路由器等不合規定的行為作出翔實的審計記錄，為下一步採取措施提供依據。

給分析，天系統根據會從各種系統日誌裡面去分析是否有各類協議行為、操作結果留下來的「蛛絲馬跡」來判斷是否發生了針對業務的安全事件。同時，系統也分析審計記錄中各類人員的企圖，一步步地追查出違規者。

給報告，天系統提供設計一套完善的審計報告輸出機制，審計報告多達上百種，並且還有符合SOX法案的專業報表。系統可以根據用戶的需求、重點關心的問題，設定審計輸出報告，使得用戶能迅速地得到自己最關心的信息，讓審計報告更容易理解。可基於各類要素的組合進行設置，包括但不限於：絕對時間範圍、相對時間範圍、客戶端IP、客戶端端口號、服務端IP、服務端端口、關鍵字、事件級別等條件。

當今信息安全領域，我們已經不能簡單地認為，只要有防火牆、IDS、IPS、內網管理等系統的上線就可以解決網絡安全問題，我們更不能簡單地認為，由於各類業務系統應用在安全防護下就不會有任何安全風險。事實上，正是面向業務的信息系統安全審計系統開啟了我們從傳統安全領域向業務安全領域思考的一扇窗戶，它把我們理解的信息安全思路引向了一個更加貼合業務應用、更加貼合業務管理的角度來看待信息安全。

因此，面向業務的信息系統安全審計系統，必定能在較長的一段時間裡得到市場和用戶認同。同時，啟明星辰認為，無論信息系統安全審計的內涵如何變化與發展，面向業務的信息系統安全審計系統，一定能在未來信息安全領域扮演重要的角色。因為，面向業務的信息系統安全審計系統已經不僅在創造網絡安全的價值，更加創造業務管理的價值。

(