www.e4938.cn-老师你下面太紧了拔不出来,99re8这里有精品热视频免费,国产第一视频一区二区三区,青青草国产成人久久

<button id="60qo0"></button>

<strike id="60qo0"></strike>
<del id="60qo0"></del>
<fieldset id="60qo0"><menu id="60qo0"></menu></fieldset>
  • 面向業(yè)務(wù)的信息安全審計(jì)系統(tǒng)

    2014-11-08 21:57:08 大云網(wǎng)  點(diǎn)擊量: 評論 (0)
     近些年來, IT系統(tǒng)發(fā)展很快,企業(yè)對IT系統(tǒng)的依賴程度也越來越高,就一個(gè)網(wǎng)絡(luò)信息系統(tǒng)而言,我們不僅需要考慮一些傳統(tǒng)的安全問題,比如防黑客、防病毒、防垃圾郵件、防后門、防蠕蟲等,但是,隨著信息化程度的
     近些年來, IT系統(tǒng)發(fā)展很快,企業(yè)對IT系統(tǒng)的依賴程度也越來越高,就一個(gè)網(wǎng)絡(luò)信息系統(tǒng)而言,我們不僅需要考慮一些傳統(tǒng)的安全問題,比如防黑客、防病毒、防垃圾郵件、防后門、防蠕蟲等,但是,隨著信息化程度的提高,各類業(yè)務(wù)系統(tǒng)也變得日益復(fù)雜,對業(yè)務(wù)系統(tǒng)的防護(hù)也變得越來越重要,非傳統(tǒng)領(lǐng)域的安全治理也變得越來越重要。根據(jù)最新的統(tǒng)計(jì)資料,給企業(yè)造成的嚴(yán)重攻擊中70%是來自于組織中的內(nèi)部人員,因此,針對業(yè)務(wù)系統(tǒng)的信息安全治理成為一道難題,審計(jì)應(yīng)運(yùn)而生。
      一、為什么需要面向業(yè)務(wù)的信息安全審計(jì)?
      面向業(yè)務(wù)的信息安全審計(jì)系統(tǒng),顧名思義,是對用戶業(yè)務(wù)的安全審計(jì),與用戶的各項(xiàng)應(yīng)用業(yè)務(wù)有密切的關(guān)系,是信息安全審計(jì)系統(tǒng)中重要的組成部分,它從用戶的業(yè)務(wù)安全角度出發(fā),思考和分析用戶的網(wǎng)絡(luò)業(yè)務(wù)中所存在的脆弱點(diǎn)和風(fēng)險(xiǎn)。
      我們不妨先看兩個(gè)鮮活的案例。不久前,中國青年報(bào)報(bào)道,上海一電腦高手,方某今年25歲,學(xué)的是計(jì)算機(jī)專業(yè),曾是某超市分店資訊組組長。方某利用職務(wù)之便,設(shè)計(jì)非法軟件程序,進(jìn)入超市業(yè)務(wù)系統(tǒng),即超市收銀系統(tǒng)的數(shù)據(jù)庫,通過修改超市收銀系統(tǒng)的數(shù)據(jù)庫數(shù)據(jù)信息,每天將超市的銷售記錄的20%營業(yè)款自動(dòng)刪除,并將收入轉(zhuǎn)存入自己的賬戶。從2004年6月至2005年8月期間,方某等人截留侵吞超市3家門店?duì)I業(yè)款共計(jì)397萬余元之多。
      程某31歲,是X公司資深軟件研發(fā)工程師,從2005年2月,他由A地運(yùn)營商系統(tǒng)進(jìn)入B地運(yùn)營商的業(yè)務(wù)系統(tǒng)——充值中心數(shù)據(jù)庫,獲得最高系統(tǒng)權(quán)限,根據(jù)“已充值”的充值卡顯示的18位密碼破解出對應(yīng)的34位密鑰,然后把“已充值”狀態(tài)改為“未充值”,并修改其有效日期,激活了已經(jīng)使用過的充值卡。他把面值300元的充值密碼以281.5到285元面值不等價(jià)格在網(wǎng)上售出,非法獲利380萬。
      通過上述兩個(gè)案例,我們不難發(fā)現(xiàn),內(nèi)部人員,包括內(nèi)部員工或者提供第三方IT支持的維護(hù)人員等,他們利用職務(wù)之便,違規(guī)操作導(dǎo)致的安全問題日益頻繁和突出,這些操作都與客戶的業(yè)務(wù)息息相關(guān)。雖然防火墻、防病毒、入侵檢測系統(tǒng)、防病毒、內(nèi)網(wǎng)安全管理等常規(guī)的安全產(chǎn)品可以解決大部分傳統(tǒng)意義上的網(wǎng)絡(luò)安全問題,但是,對于這類與業(yè)務(wù)息息相關(guān)的操作行為、違規(guī)行為的安全問題,必須要有強(qiáng)力的手段來防范和阻止,這就是針對業(yè)務(wù)的信息安全審計(jì)系統(tǒng)能夠帶給我們的價(jià)值。
      二、如何理解面向業(yè)務(wù)的信息安全審計(jì)?
      信息安全審計(jì)與信息安全管理密切相關(guān),信息安全審計(jì)的主要依據(jù)為信息安全管理相關(guān)的標(biāo)準(zhǔn),例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。這些標(biāo)準(zhǔn)實(shí)際上是出于不同的角度提出的控制體系,基于這些控制體系可以有效地控制信息安全風(fēng)險(xiǎn),從而達(dá)到信息安全審計(jì)的目的,提高信息系統(tǒng)的安全性。因此,面向業(yè)務(wù)的信息安全審計(jì)系統(tǒng)可以理解成是信息安全審計(jì)的一個(gè)重要的分支。
      根據(jù)國外的經(jīng)驗(yàn),如在美國的《薩班斯-奧克斯利法案(2002 Sarbanes-Oxley Act)》的第302條款和第404條款中,強(qiáng)調(diào)通過內(nèi)部控制加強(qiáng)公司治理,包括加強(qiáng)與財(cái)務(wù)報(bào)表相關(guān)的IT系統(tǒng)內(nèi)部控制,其中,IT系統(tǒng)內(nèi)部控制就是面向具體的業(yè)務(wù),它是緊密圍繞信息安全審計(jì)這一核心的。同時(shí),2006年底生效的巴賽爾新資本協(xié)定(Basel II),要求全球銀行必須針對其市場、信用及營運(yùn)等三種金融作業(yè)風(fēng)險(xiǎn)提供相應(yīng)水準(zhǔn)的資金準(zhǔn)備,迫使各銀行必須做好風(fēng)險(xiǎn)控管(risk management),而這部“金融作業(yè)風(fēng)險(xiǎn)”的防范也正是需要業(yè)務(wù)信息安全審計(jì)為依托。這些國家和組織對信息安全審計(jì)的定位已經(jīng)從概念階段向?qū)崿F(xiàn)階段過渡了,他們走在了我們的前面。
      可喜的是,我國政府行業(yè)、金融行業(yè)已相繼推出了數(shù)十部法律法規(guī),如:國家《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》、《商業(yè)銀行內(nèi)部控制指引 》、《中國移動(dòng)集團(tuán)內(nèi)控手冊》、《中國電信股份公司內(nèi)部控制手冊》、《中國網(wǎng)通集團(tuán)內(nèi)部控制體系建設(shè)指導(dǎo)意見》、《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》、《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引》、《中國銀行業(yè)監(jiān)督委員會(huì)辦公廳文件銀監(jiān)辦通313號》、《保險(xiǎn)公司內(nèi)部審計(jì)指引(試行)》、《保險(xiǎn)公司風(fēng)險(xiǎn)管理指引(試行)》、《深圳證券交易所上市公司內(nèi)部控制指引 》、《上海證券交易所上市公司內(nèi)部控制指引 》等,這些法律法規(guī)的出臺確立了面向業(yè)務(wù)的信息安全審計(jì)的必要性。
      面向業(yè)務(wù)的信息安全審計(jì),正在被越來越多的行業(yè)和機(jī)構(gòu)所重視,它代表著由傳統(tǒng)信息安全向業(yè)務(wù)信息安全領(lǐng)域縱深發(fā)展的必然的趨勢要求。
      三、如何實(shí)現(xiàn)面向業(yè)務(wù)的信息安全審計(jì)?
      啟明星辰天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng),從保障用戶的業(yè)務(wù)正常運(yùn)行、保護(hù)用戶的業(yè)務(wù)資產(chǎn)、提高用戶業(yè)務(wù)資產(chǎn)安全性的角度出發(fā),以“合規(guī)性管理、細(xì)粒度審計(jì)”為 落腳點(diǎn),全面地審計(jì)網(wǎng)絡(luò)行為,管理企業(yè)內(nèi)信息系統(tǒng)的合規(guī)性。它的核心作用是加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、避免核心資產(chǎn)損失、保障業(yè)務(wù)系統(tǒng)的正常運(yùn)營。
      1. 從審計(jì)準(zhǔn)確精度入手,做到三審
      即“審用戶、審角色、審權(quán)限”。審用戶,是一個(gè)人的概念,主要包括使用審計(jì)信息系統(tǒng)本身的用戶,也包括網(wǎng)絡(luò)中各項(xiàng)業(yè)務(wù)需要訪問的用戶。對使用審計(jì)信息系統(tǒng)本身的用戶,采取了系統(tǒng)管理員、審計(jì)員、操作員等方式進(jìn)行審計(jì)和管理。對于需要訪問業(yè)務(wù)資源的用戶,采取了身份認(rèn)證系統(tǒng),當(dāng)認(rèn)證用戶得到確認(rèn)后,方可進(jìn)行業(yè)務(wù)的操作。
      審角色,天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)通過定義角色,根據(jù)業(yè)務(wù)用戶在業(yè)務(wù)流程中所扮演的角色進(jìn)行分類,從而有效地定義可讀性更強(qiáng)的審計(jì)規(guī)則與策略。審計(jì)記錄不僅包括源IP、目的IP等原始信息,還包含用戶的角色或者身份信息,審計(jì)員將得到更有意義的審計(jì)結(jié)果。相關(guān)的用戶角色或者身份信息還可用于輔助界定事件責(zé)任。
      審權(quán)限,主要包括用戶權(quán)限和操作權(quán)限,當(dāng)每一個(gè)用戶被賦予角色后,角色就有執(zhí)行操作的可能,在執(zhí)行操作的過程中就需要有權(quán)限設(shè)立,從而達(dá)到規(guī)范角色行為的目的。系統(tǒng)從內(nèi)控的角度出發(fā),對IT系統(tǒng)的使用權(quán)、管理權(quán)與監(jiān)督權(quán)做到三權(quán)分立和三權(quán)分管。
      審用戶、審角色、審權(quán)限三者有機(jī)結(jié)合,從而達(dá)到審計(jì)信息系統(tǒng)精確定位到人的目的。
      2. 從審計(jì)行為的深度入手,做到三看
      即“看協(xié)議、看程度、看回放”。看協(xié)議,天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)通過對當(dāng)前市場上主流網(wǎng)絡(luò)業(yè)務(wù)行為的研究,主要把網(wǎng)絡(luò)業(yè)務(wù)行為分為三大類,即數(shù)據(jù)庫操作的行為、辦公OA操作的行為和系統(tǒng)網(wǎng)絡(luò)維護(hù)的操作行為。在審計(jì)這三大類的協(xié)議方面,天玥系統(tǒng)有著全面的能力,包括但不限于:HTTP協(xié)議、TELNET協(xié)議、POP3協(xié)議、SMTP協(xié)議、FTP協(xié)議、NETBIOS協(xié)議、TDS協(xié)議、TNS協(xié)議等。
      看程度,除了審計(jì)協(xié)議全面性外,天玥系統(tǒng)的一個(gè)主要特點(diǎn)是對協(xié)議的分析深度較深,能夠針對很多重要系統(tǒng)提供精確到命令的審計(jì)與響應(yīng)。比如,天玥系統(tǒng)能夠?qū)徲?jì)到TELNET會(huì)話過程中執(zhí)行的命令和數(shù)據(jù)庫連接過程中執(zhí)行的SQL語句。
      看回放,天玥系統(tǒng)能夠完整地記錄網(wǎng)絡(luò)會(huì)話內(nèi)容,比如TELNET、FTP、HTTP以及遠(yuǎn)程數(shù)據(jù)庫訪問等,并且能夠根據(jù)各種協(xié)議的不同語義進(jìn)行回放,從而真實(shí)地再現(xiàn)用戶操作過程,讓系統(tǒng)的用戶可以做到有據(jù)可查。
      3. 從用戶的易用性角度,做到三給:給證據(jù)、給分析、給報(bào)告
      即“給證據(jù)、給分析、給報(bào)告”。給證據(jù),天玥系統(tǒng)能對不合規(guī)定的連接嘗試、不按規(guī)定設(shè)置防火墻策略、不按規(guī)定進(jìn)行運(yùn)維的操作、不按規(guī)定直接訪問后臺數(shù)據(jù)庫、使用未經(jīng)許可的軟件訪問重要系統(tǒng)、私自設(shè)立代理服務(wù)器/軟件路由器等不合規(guī)定的行為作出翔實(shí)的審計(jì)記錄,為下一步采取措施提供依據(jù)。
      給分析,天玥系統(tǒng)根據(jù)會(huì)從各種系統(tǒng)日志里面去分析是否有各類協(xié)議行為、操作結(jié)果留下來的“蛛絲馬跡”來判斷是否發(fā)生了針對業(yè)務(wù)的安全事件。同時(shí),系統(tǒng)也分析審計(jì)記錄中各類人員的企圖,一步步地追查出違規(guī)者。
      給報(bào)告,天玥系統(tǒng)提供設(shè)計(jì)一套完善的審計(jì)報(bào)告輸出機(jī)制,審計(jì)報(bào)告多達(dá)上百種,并且還有符合SOX法案的專業(yè)報(bào)表。系統(tǒng)可以根據(jù)用戶的需求、重點(diǎn)關(guān)心的問題,設(shè)定審計(jì)輸出報(bào)告,使得用戶能迅速地得到自己最關(guān)心的信息,讓審計(jì)報(bào)告更容易理解。可基于各類要素的組合進(jìn)行設(shè)置,包括但不限于:絕對時(shí)間范圍、相對時(shí)間范圍、客戶端IP、客戶端端口號、服務(wù)端IP、服務(wù)端端口、關(guān)鍵字、事件級別等條件。
      當(dāng)今信息安全領(lǐng)域,我們已經(jīng)不能簡單地認(rèn)為,只要有防火墻、IDS、IPS、內(nèi)網(wǎng)管理等系統(tǒng)的上線就可以解決網(wǎng)絡(luò)安全問題,我們更不能簡單地認(rèn)為,由于各類業(yè)務(wù)系統(tǒng)應(yīng)用在安全防護(hù)下就不會(huì)有任何安全風(fēng)險(xiǎn)。事實(shí)上,正是面向業(yè)務(wù)的信息系統(tǒng)安全審計(jì)系統(tǒng)開啟了我們從傳統(tǒng)安全領(lǐng)域向業(yè)務(wù)安全領(lǐng)域思考的一扇窗戶,它把我們理解的信息安全思路引向了一個(gè)更加貼合業(yè)務(wù)應(yīng)用、更加貼合業(yè)務(wù)管理的角度來看待信息安全。
      因此,面向業(yè)務(wù)的信息系統(tǒng)安全審計(jì)系統(tǒng),必定能在較長的一段時(shí)間里得到市場和用戶認(rèn)同。同時(shí),啟明星辰認(rèn)為,無論信息系統(tǒng)安全審計(jì)的內(nèi)涵如何變化與發(fā)展,面向業(yè)務(wù)的信息系統(tǒng)安全審計(jì)系統(tǒng),一定能在未來信息安全領(lǐng)域扮演重要的角色。因?yàn)椋嫦驑I(yè)務(wù)的信息系統(tǒng)安全審計(jì)系統(tǒng)已經(jīng)不僅在創(chuàng)造網(wǎng)絡(luò)安全的價(jià)值,更加創(chuàng)造業(yè)務(wù)管理的價(jià)值。
    大云網(wǎng)官方微信售電那點(diǎn)事兒
    免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實(shí)相關(guān)內(nèi)容。
    我要收藏
    個(gè)贊
    ?
    一级中文字幕免费乱码专区| 国精产品一品二品国精破解| 日本精品a在线观看欧美日韩国产码高清| 亚洲精品NV久久久久久久久久| 国精产品一线二线三线网站| 久久亚洲精品视频| 国产精品久久久久久久9999| 久久伊人国产精品| 纯爱无遮挡h肉动漫在线播放| 99久久精品免费看|