www涩-www黄网站-www黄色-www黄色com-国产免费拍拍视频在线观看网站-国产免费怕怕免费视频观看

淺談面向業務的信息安全審計系統

2013-10-21 11:10:53 eNet硅谷動力   點擊量: 評論 (0)
近些年來, IT系統發展很快,企業對IT系統的依賴程度也越來越高,就一個網絡信息系統而言,我們不僅需要考慮一些傳統的安全問題,比如防黑客、防病毒、防垃圾郵件、防后門、防蠕蟲等,但是,隨著信息化程度的提
近些年來, IT系統發展很快,企業對IT系統的依賴程度也越來越高,就一個網絡信息系統而言,我們不僅需要考慮一些傳統的安全問題,比如防黑客、防病毒、防垃圾郵件、防后門、防蠕蟲等,但是,隨著信息化程度的提高,各類業務系統也變得日益復雜,對業務系統的防護也變得越來越重要,非傳統領域的安全治理也變得越來越重要。根據最新的統計資料,給企業造成的嚴重攻擊中70%是來自于組織中的內部人員,因此,針對業務系統的信息安全治理成為一道難題,審計應運而生。 

  一、為什么需要面向業務的信息安全審計? 

  面向業務的信息安全審計系統,顧名思義,是對用戶業務的安全審計,與用戶的各項應用業務有密切的關系,是信息安全審計系統中重要的組成部分,它從用戶的業務安全角度出發,思考和分析用戶的網絡業務中所存在的脆弱點和風險。 

  我們不妨先看兩個鮮活的案例。不久前,中國青年報報道,上海一電腦高手,方某今年25歲,學的是計算機專業,曾是某超市分店資訊組組長。方某利用職務之便,設計非法軟件程序,進入超市業務系統,即超市收銀系統的數據庫,通過修改超市收銀系統的數據庫數據信息,每天將超市的銷售記錄的20%營業款自動刪除,并將收入轉存入自己的賬戶。從2004年6月至2005年8月期間,方某等人截留侵吞超市3家門店營業款共計397萬余元之多。 

  程某31歲,是X公司資深軟件研發工程師,從2005年2月,他由A地運營商系統進入B地運營商的業務系統——充值中心數據庫,獲得最高系統權限,根據“已充值”的充值卡顯示的18位密碼破解出對應的34位密鑰,然后把“已充值”狀態改為“未充值”,并修改其有效日期,激活了已經使用過的充值卡。他把面值300元的充值密碼以281.5到285元面值不等價格在網上售出,非法獲利380萬。 

  通過上述兩個案例,我們不難發現,內部人員,包括內部員工或者提供第三方IT支持的維護人員等,他們利用職務之便,違規操作導致的安全問題日益頻繁和突出,這些操作都與客戶的業務息息相關。雖然防火墻、防病毒、入侵檢測系統、防病毒、內網安全管理等常規的安全產品可以解決大部分傳統意義上的網絡安全問題,但是,對于這類與業務息息相關的操作行為、違規行為的安全問題,必須要有強力的手段來防范和阻止,這就是針對業務的信息安全審計系統能夠帶給我們的價值。 

  二、如何理解面向業務的信息安全審計? 

  信息安全審計與信息安全管理密切相關,信息安全審計的主要依據為信息安全管理相關的標準,例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。這些標準實際上是出于不同的角度提出的控制體系,基于這些控制體系可以有效地控制信息安全風險,從而達到信息安全審計的目的,提高信息系統的安全性。因此,面向業務的信息安全審計系統可以理解成是信息安全審計的一個重要的分支。 

  根據國外的經驗,如在美國的《薩班斯-奧克斯利法案(2002 Sarbanes-Oxley Act)》的第302條款和第404條款中,強調通過內部控制加強公司治理,包括加強與財務報表相關的IT系統內部控制,其中,IT系統內部控制就是面向具體的業務,它是緊密圍繞信息安全審計這一核心的。同時,2006年底生效的巴賽爾新資本協定(Basel II),要求全球銀行必須針對其市場、信用及營運等三種金融作業風險提供相應水準的資金準備,迫使各銀行必須做好風險控管(risk management),而這部“金融作業風險”的防范也正是需要業務信息安全審計為依托。這些國家和組織對信息安全審計的定位已經從概念階段向實現階段過渡了,他們走在了我們的前面。 

  可喜的是,我國政府行業、金融行業已相繼推出了數十部法律法規,如:國家《計算機信息系統安全保護等級劃分準則》、《商業銀行內部控制指引 》、《中國移動集團內控手冊》、《中國電信股份公司內部控制手冊》、《中國網通集團內部控制體系建設指導意見》、《銀行業金融機構信息系統風險管理指引》、《商業銀行合規風險管理指引》、《中國銀行業監督委員會辦公廳文件銀監辦通313號》、《保險公司內部審計指引(試行)》、《保險公司風險管理指引(試行)》、《深圳證券交易所上市公司內部控制指引 》、《上海證券交易所上市公司內部控制指引 》等,這些法律法規的出臺確立了面向業務的信息安全審計的必要性。 

  面向業務的信息安全審計,正在被越來越多的行業和機構所重視,它代表著由傳統信息安全向業務信息安全領域縱深發展的必然的趨勢要求。

大云網官方微信售電那點事兒

責任編輯:和碩涵

免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
?
主站蜘蛛池模板: 欧美h版成版在线观看 | 亚洲成人午夜影院 | 成人免费一区二区三区在线观看 | 午夜专区 | 在线观看免费黄视频 | 国产伦理久久精品久久久久 | 亚洲国产老鸭窝一区二区三区 | 欧美高清视频一区 | 国产伦精一区二区三区视频 | 欧美日韩精品一区二区在线线 | 国产精品分类视频分类一区 | 国产精品久久免费 | 久久国产精品高清一区二区三区 | 中国一级特黄剌激爽毛片 | 亚洲乱码一区二区三区国产精品 | 91精品国产91久久久久青草 | 免费一级真人毛片 | 91亚洲免费| 我要看三级毛片 | 久久99九九精品免费 | 八戒午夜精品视频在线观看 | 性色aⅴ在线观看swag | 香蕉视频一级片 | 成年人在线观看免费 | 丝袜精品 欧美 亚洲 自拍 | 曰韩三级 | 深夜福利视频在线看免费 | 日本一区二区三区在线 视频 | 免费日韩一级片 | 高清日本在线成人免费视频 | 日韩国产欧美在线观看一区二区 | 人碰人碰人成人免费视频 | 欧美一级欧美一级高清 | 性欧美高清极品xx | 国产亚洲精品一区二区在线观看 | 日韩一区二区不卡 | 国产黄色在线播放 | 一本伊大人香蕉高清在线观看 | 亚洲国产成人va在线观看网址 | 91一区二区在线观看精品 | 欧美色偷偷 |