金融行業需要什么樣的安全審計產品

2013-10-22 10:33:11 eNet硅谷動力　點擊量：評論 (0)

金融行業是現代服務業的重要組成部分，它通過溝通整個社會的經濟活動而成為現代經濟的核心?！　〗陙?，隨著金融信息化進程的不斷推進，信息技術在金融業務中起著越來越重要的作用，越來越多的金融業務流程

金融行業是現代服務業的重要組成部分，它通過溝通整個社會的經濟活動而成為現代經濟的核心。

　　近年來，隨著金融信息化進程的不斷推進，信息技術在金融業務中起著越來越重要的作用，越來越多的金融業務流程依賴信息技術?，F代金融行業在組織結構、業務流程、業務開拓以及客戶服務等方面，日益體現出以知識和信息為基礎的特征。但隨著信息系統在金融行業業務運營中的作用越來越重要，金融行業信息系統所面臨的威脅和風險也越來越大，外部黑客或不法分子虎視眈眈，內部違規或犯罪事件正呈上升趨勢。

　　據CSI計算機犯罪調查，在有預謀的信息犯罪中，80%以上是內部人員作案。要想根本解決內部人員違規或作案問題，進而完善信息科技內部控制體系，只有加強信息科技審計制度才是治本之法。

　　安全審計產品部署在金融行業的價值所在

　　據了解，目前缺乏有效的審計手段是信息科技監管所面臨的最大問題，“服務在網內，監管在網外”，數據在信息系統內被每秒上千次的自動化處理，而審計時卻只能靠人工進行檢查，檢查的范圍、深度等都非常有限，這使得審計監管的力度和深度難以保證，也是很多違規或犯罪事件發生很長時間后才被發現重要原因之一。

　　因此，必須要通過部署安全審計產品，實時監測數據在信息系統內的操作，發現違規操作立即報警，并保存記錄操作過程以備將來查詢取證，實現“服務在網內，監管在網內”的目標，從而使得信息科技內控體系進一步完善。

　　除此之外，國家、金融監管機構在信息科技監管要求中也都明確提出要實現安全審計功能。國家等級保護相關標準中要求二級以上信息系統中的網絡層面、主機層面和應用層面均要求進行安全審計，同時也明確要求了審計的范圍、審計內容等。銀監會19號文中也明確提出“控制所有生產系統的活動日志，以支持有效的審計、安全論證分析和預防欺詐”。國外信息安全方面的標準或最佳實踐（如ISO13335、ISO27001、SP800）等也要求對用戶行為、系統操作進行審計。

　　對于安全審計產品而言，其通過對IT系統中相關信息的收集、分析和報告，來判定現有IT安全控制的有效性，檢查IT系統的誤用和濫用行為，驗證當前安全策略的合規性，獲取犯罪和違規的證據。

　　那么，總體來說，部署安全審計系統能夠帶來什么樣的價值呢？

　　1）滿足合規性要求，順利通過IT審計

　　目前，越來越多的單位面臨一種或者幾種合規性要求。比如，在美國上市的公司及其下屬分子公司就面臨SOX法案的合規性要求；而商業銀行則面臨Basel協議的合規性要求；政府的行政事業單位或者國有企業則有遵循等級保護的合規性要求。

　　安全審計系統有助于完善組織的IT內控與審計體系，從而滿足各種合規性要求，并且使組織能夠順利通過IT審計。

　　2）有效減少核心信息資產的破壞和泄漏

　　對單位的業務系統來說，真正重要的核心信息資產往往存放在少數幾個關鍵系統上（如數據庫服務器、應用服務器等），通過使用安全審計系統，能夠加強對這些關鍵系統的審計，從而有效地減少對核心信息資產的破壞和泄漏。

　　3）追蹤溯源，便于事后追查原因與界定責任

　　審計監控體系能夠完整的詮釋責任認定體系。通過穩定而成熟的審計技術，可以建立起一個行為不可抵賴、數據可靠，完整并且強有力的責任認定體系。

　　通過從不同層面對支付系統中各種設備的操作和管理行為，包括本地操作和遠程操作的綜合審計，可以很好的將上述行為記錄下來，并且長時間保存，可以達到很好的達到審計監控目的，從而有效進行責任認定。

　　4）實現獨立審計與三權分立，完善IT內控機制

　　從內控的角度來看，IT系統的使用權、管理權與監督權必須三權分立。在三權分立的基礎上實施內控與審計，有效地控制操作風險（包括業務操作風險與運維操作風險等）。安全審計實現獨立的審計與三權分立，完善IT內控機制。

透過不同功能安全審計產品聚焦金融需求

　　在總體了解安全審計產品的價值后，我們不難發現，安全審計的主要目的是對用戶的行為進行分析、報警和記錄，因此，可以按用戶的IT行為對安全審計產品進行一下分類，如下四類所述：

上網行為審計：內部