目前，給企業(yè)造成的嚴重攻擊中70%是來自于組織中的內(nèi)部人員，只要攻擊者發(fā)現(xiàn)了業(yè)務(wù)系統(tǒng)的漏洞，往往業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)就會被攻破。而隨著攻擊手段的演變，傳統(tǒng)方式對保障業(yè)務(wù)系統(tǒng)的安全越來越力不從心。因此，針對業(yè)務(wù)系統(tǒng)的信息安全治理成為業(yè)務(wù)安全防護的重點。

 

    但是，決策部門如何尋找治理業(yè)務(wù)系統(tǒng)的決策依據(jù)呢？決策部門如何定奪治理業(yè)務(wù)系統(tǒng)的先后順序、重要緊急程度呢？決策部門如何尋找制定內(nèi)部合規(guī)性的依據(jù)呢？針對信息系統(tǒng)的審計報告就承載著這些重要的職能！審計報告正是業(yè)務(wù)審計系統(tǒng)價值的具體體現(xiàn)，它起到為制定決策提供重要依據(jù)的作用。

 

     從用戶需求角度看，需要報告細粒度

 

     事實上，一項針對業(yè)務(wù)系統(tǒng)的審計產(chǎn)品的評價手段有很多。理論上講，有從審計精度入手做評價的，也有從審計行為的廣度入手做評價的。但無論怎樣，我們認為用審計行為的結(jié)果——報告來評價是比較科學(xué)的。以銀行的業(yè)務(wù)為例，銀行的業(yè)務(wù)主要有銀行傳統(tǒng)業(yè)務(wù)、銀行中間業(yè)務(wù)、電子銀行業(yè)務(wù)三大類業(yè)務(wù)。第一類業(yè)務(wù)是銀行傳統(tǒng)業(yè)務(wù)，主要包括會計業(yè)務(wù)，即主要受理對公業(yè)務(wù)、面向工商客戶、以轉(zhuǎn)賬業(yè)務(wù)為主(比如各種票證)等; 出納業(yè)務(wù)，包括受理現(xiàn)金業(yè)務(wù)等; 對私業(yè)務(wù)(儲蓄) 業(yè)務(wù)以及授信(信貸)業(yè)務(wù)等，包括工商客戶和個人客戶貸款的發(fā)放和收回，逾期、呆賬、呆滯賬務(wù)的處理和追溯等。第二類是銀行的中間業(yè)務(wù)，包括代收電信公司的各類費用; 代付企業(yè)的工資、基金購買、銀行承兌等; 第三類是電子銀行業(yè)務(wù)，主要包括網(wǎng)上銀行、電話銀行等。他們都是將銀行作為資金結(jié)算的中心，作為電子商務(wù)中資金流的一方。所有的這些業(yè)務(wù)都有大量的后臺 IT信息系統(tǒng)作為支撐，需要有強有力的審計報告進行業(yè)務(wù)審計。

 

    再比如，能源行業(yè)主要的業(yè)務(wù)系統(tǒng)包括: 綜合管理信息系統(tǒng)、辦公自動化系統(tǒng)、電力營銷管理系統(tǒng)、生產(chǎn)監(jiān)控管理信息系統(tǒng)、資產(chǎn)管理系統(tǒng)、電力地理信息系統(tǒng)、企業(yè)資源計劃管理系統(tǒng)等。同樣，這些業(yè)務(wù)的IT系統(tǒng)十分復(fù)雜和重要。為此，用戶存在著對這些業(yè)務(wù)系統(tǒng)審計的需求。如果一項針對業(yè)務(wù)的審計系統(tǒng)能夠?qū)@些業(yè)務(wù)有充分的理解，并且通過對這些業(yè)務(wù)的理解，能以科學(xué)合理的方式呈現(xiàn)到審計行為的結(jié)果——報告當中來，我們才有理由相信，針對業(yè)務(wù)的審計系統(tǒng)是“值得信賴”的，這樣的報告才能達到管理業(yè)務(wù)的目的，這個審計系統(tǒng)在紛繁復(fù)雜的業(yè)務(wù)系統(tǒng)才算發(fā)揮了審計的作用。

 

   從技術(shù)角度看，需要報告細粒度

 

    業(yè)務(wù)網(wǎng)絡(luò)審計系統(tǒng)是基于應(yīng)用層內(nèi)容識別技術(shù)衍生出的一種強化IT風(fēng)險管理的應(yīng)用模式，它需要對應(yīng)用層的協(xié)議、網(wǎng)絡(luò)行為等信息進行解析、識別、判斷、紀錄和呈現(xiàn)，以達到監(jiān)控違規(guī)網(wǎng)絡(luò)行為、降低IT操作風(fēng)險的目的。顯然，一個針對業(yè)務(wù)系統(tǒng)的審計必須承擔鑒證、保護和證明三個方面的作用。從技術(shù)角度看，審計系統(tǒng)需要審計的信息量大，采集的數(shù)據(jù)量多，比如對基本網(wǎng)絡(luò)應(yīng)用協(xié)議審計，如HTTP、POP3、SMTP、FTP、TELNET、NETBIOS、 TDS、TNS、DB2、INFORMIX等進行詳細的實時監(jiān)控、審計，并可以對操作過程進行回放，對各類如Oracle、DB2、 Sybase、Informix、MS SQL Server等數(shù)據(jù)庫操作也需要審計; 同時，對一些OA操作進行審計。在這些龐雜的信息量下，如果系統(tǒng)呈現(xiàn)的信息缺失、失真或錯誤，往往會給用戶輕則帶來決策失誤，重則帶來安全事件無法追究的窘境。由于報告成為了取證、追查、建立制度的重要依據(jù)，報告應(yīng)該越細越好。

 

   從審計政策角度看，需要報告細粒度

 

    隨著中國國際化程度的日益提高，國內(nèi)許多規(guī)范正在朝著國際化方向發(fā)展。以SOX法案為例，在美上市的中資企業(yè)如中國移動集團公司及其下屬分公司等，就面臨著該法案的合規(guī)性要求; 而商業(yè)銀行同樣也面臨Basel協(xié)議的合規(guī)性要求; 政府的行政事業(yè)單位或者國有企業(yè)則有遵循等級保護的合規(guī)性要求，等等。實際上，從2001年起，政府、電信業(yè)、金融業(yè)、大企業(yè)等都已經(jīng)先后制定了相關(guān)的法律法規(guī)，比如: 國家《計算機信息系統(tǒng)安全保護等級劃分準則》、《商業(yè)銀行內(nèi)部控制指引》、《中國移動集團內(nèi)控手冊》、《中國電信股份公司內(nèi)部控制手冊》、《中國網(wǎng)通集團內(nèi)部控制體系建設(shè)指導(dǎo)意見》、《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》、《商業(yè)銀行合規(guī)風(fēng)險管理指引、《保險公司內(nèi)部審計指引(試行)》、《保險公司風(fēng)險管理指引(試行)》、《深圳證券交易所上市公司內(nèi)部控制指引》、《上海證券交易所上市公司內(nèi)部控制指引》等。這些文件的出臺，是IT合規(guī)性建設(shè)的必然發(fā)展趨勢，讓面向業(yè)務(wù)的審計系統(tǒng)也不得不向“合規(guī)性要求”方向發(fā)展，這些也促成了報告在審計系統(tǒng)中扮演著越來越重要的角色。

 

    如何實現(xiàn)報告細粒度

 

    好的網(wǎng)絡(luò)安全審計系統(tǒng)應(yīng)該可通過對被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進行解析、記錄、匯報，可幫助用戶事前規(guī)劃預(yù)防、事中實時監(jiān)控、對違規(guī)行為響應(yīng)、事后做合規(guī)報告、事故追蹤回放，加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、避免核心資產(chǎn)(數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備等)損失、保障業(yè)務(wù)系統(tǒng)的正常運營。

 

    此外，一套完善的審計報告查詢、輸出機制——數(shù)據(jù)分析模塊必不可少，應(yīng)該滿足對審計日志查詢、審計事件統(tǒng)計分析、審計報告輸出等各種應(yīng)用的不同使用要求。日志分析與審計報表組件能夠?qū)徲嬍录捜罩尽⒘髁俊⒂脩舨僮魅罩尽OX報表等5類審計事件進行統(tǒng)計和查詢，圍繞審計策略設(shè)定審計輸出報告，使得審計工作人員能迅速精確地獲得自己所關(guān)注的審計事件信息，將管理人員從繁雜、枯燥的IT內(nèi)審中解放出來，最大程度上降低IT內(nèi)審工作的工作量。

 

    以金融機構(gòu)為例，在銀行系統(tǒng)中經(jīng)常需要對一個應(yīng)用系統(tǒng)(如存貸系統(tǒng))業(yè)務(wù)操作發(fā)生的事件進行后臺數(shù)據(jù)調(diào)整。這時，為了保證調(diào)整過程可以被審計記錄以及事后審核，就引發(fā)了部署審計系統(tǒng)和數(shù)據(jù)分析模塊的需求。

 

     比如，某建行信息中心在其業(yè)務(wù)系統(tǒng)核心交換機處部署了網(wǎng)絡(luò)安全審計系統(tǒng)，一方面對通過核心交換機進入營業(yè)網(wǎng)的流量進行審計，重點監(jiān)控內(nèi)部網(wǎng)絡(luò)管理人員對重要內(nèi)網(wǎng)資源(主機、數(shù)據(jù)庫、服務(wù)器)的Telnet與FTP操作; 另一方面對手工調(diào)賬的行為進行記錄和事后審核，從而有效地控制了IT相關(guān)的操作風(fēng)險。

 

    該銀行選擇了啟明星辰的天網(wǎng)絡(luò)安全審計系統(tǒng)。通過采用其日志分析與審計報表組件，順利達到了對海量的日志信息通過多種有效、快捷的手段精確定位用戶的審計結(jié)果，實現(xiàn)了遵從“精確結(jié)果、完美呈現(xiàn)”的理念，有效減輕了管理人員的繁雜工作，降低了IT內(nèi)審工作的工作量，從而達到對業(yè)務(wù)系統(tǒng)信息資源的全局把控和調(diào)度的效果.