目前，給企業造成的嚴重攻擊中70%是來自于組織中的內部人員，只要攻擊者發現了業務系統的漏洞，往往業務系統網絡就會被攻破。而隨著攻擊手段的演變，傳統方式對保障業務系統的安全越來越力不從心。因此，針對業務系統的信息安全治理成為業務安全防護的重點。

 

    但是，決策部門如何尋找治理業務系統的決策依據呢？決策部門如何定奪治理業務系統的先后順序、重要緊急程度呢？決策部門如何尋找制定內部合規性的依據呢？針對信息系統的審計報告就承載著這些重要的職能！審計報告正是業務審計系統價值的具體體現，它起到為制定決策提供重要依據的作用。

 

     從用戶需求角度看，需要報告細粒度

 

     事實上，一項針對業務系統的審計產品的評價手段有很多。理論上講，有從審計精度入手做評價的，也有從審計行為的廣度入手做評價的。但無論怎樣，我們認為用審計行為的結果——報告來評價是比較科學的。以銀行的業務為例，銀行的業務主要有銀行傳統業務、銀行中間業務、電子銀行業務三大類業務。第一類業務是銀行傳統業務，主要包括會計業務，即主要受理對公業務、面向工商客戶、以轉賬業務為主(比如各種票證)等; 出納業務，包括受理現金業務等; 對私業務(儲蓄) 業務以及授信(信貸)業務等，包括工商客戶和個人客戶貸款的發放和收回，逾期、呆賬、呆滯賬務的處理和追溯等。第二類是銀行的中間業務，包括代收電信公司的各類費用; 代付企業的工資、基金購買、銀行承兌等; 第三類是電子銀行業務，主要包括網上銀行、電話銀行等。他們都是將銀行作為資金結算的中心，作為電子商務中資金流的一方。所有的這些業務都有大量的后臺 IT信息系統作為支撐，需要有強有力的審計報告進行業務審計。

 

    再比如，能源行業主要的業務系統包括: 綜合管理信息系統、辦公自動化系統、電力營銷管理系統、生產監控管理信息系統、資產管理系統、電力地理信息系統、企業資源計劃管理系統等。同樣，這些業務的IT系統十分復雜和重要。為此，用戶存在著對這些業務系統審計的需求。如果一項針對業務的審計系統能夠對這些業務有充分的理解，并且通過對這些業務的理解，能以科學合理的方式呈現到審計行為的結果——報告當中來，我們才有理由相信，針對業務的審計系統是“值得信賴”的，這樣的報告才能達到管理業務的目的，這個審計系統在紛繁復雜的業務系統才算發揮了審計的作用。

 

   從技術角度看，需要報告細粒度

 

    業務網絡審計系統是基于應用層內容識別技術衍生出的一種強化IT風險管理的應用模式，它需要對應用層的協議、網絡行為等信息進行解析、識別、判斷、紀錄和呈現，以達到監控違規網絡行為、降低IT操作風險的目的。顯然，一個針對業務系統的審計必須承擔鑒證、保護和證明三個方面的作用。從技術角度看，審計系統需要審計的信息量大，采集的數據量多，比如對基本網絡應用協議審計，如HTTP、POP3、SMTP、FTP、TELNET、NETBIOS、 TDS、TNS、DB2、INFORMIX等進行詳細的實時監控、審計，并可以對操作過程進行回放，對各類如Oracle、DB2、 Sybase、Informix、MS SQL Server等數據庫操作也需要審計; 同時，對一些OA操作進行審計。在這些龐雜的信息量下，如果系統呈現的信息缺失、失真或錯誤，往往會給用戶輕則帶來決策失誤，重則帶來安全事件無法追究的窘境。由于報告成為了取證、追查、建立制度的重要依據，報告應該越細越好。

 

   從審計政策角度看，需要報告細粒度

 

    隨著中國國際化程度的日益提高，國內許多規范正在朝著國際化方向發展。以SOX法案為例，在美上市的中資企業如中國移動集團公司及其下屬分公司等，就面臨著該法案的合規性要求; 而商業銀行同樣也面臨Basel協議的合規性要求; 政府的行政事業單位或者國有企業則有遵循等級保護的合規性要求，等等。實際上，從2001年起，政府、電信業、金融業、大企業等都已經先后制定了相關的法律法規，比如: 國家《計算機信息系統安全保護等級劃分準則》、《商業銀行內部控制指引》、《中國移動集團內控手冊》、《中國電信股份公司內部控制手冊》、《中國網通集團內部控制體系建設指導意見》、《銀行業金融機構信息系統風險管理指引》、《商業銀行合規風險管理指引、《保險公司內部審計指引(試行)》、《保險公司風險管理指引(試行)》、《深圳證券交易所上市公司內部控制指引》、《上海證券交易所上市公司內部控制指引》等。這些文件的出臺，是IT合規性建設的必然發展趨勢，讓面向業務的審計系統也不得不向“合規性要求”方向發展，這些也促成了報告在審計系統中扮演著越來越重要的角色。

 

    如何實現報告細粒度

 

    好的網絡安全審計系統應該可通過對被授權人員和系統的網絡行為進行解析、記錄、匯報，可幫助用戶事前規劃預防、事中實時監控、對違規行為響應、事后做合規報告、事故追蹤回放，加強內外部網絡行為監管、避免核心資產(數據庫、服務器、網絡設備等)損失、保障業務系統的正常運營。

 

    此外，一套完善的審計報告查詢、輸出機制——數據分析模塊必不可少，應該滿足對審計日志查詢、審計事件統計分析、審計報告輸出等各種應用的不同使用要求。日志分析與審計報表組件能夠對審計事件、會話日志、流量、用戶操作日志、SOX報表等5類審計事件進行統計和查詢，圍繞審計策略設定審計輸出報告，使得審計工作人員能迅速精確地獲得自己所關注的審計事件信息，將管理人員從繁雜、枯燥的IT內審中解放出來，最大程度上降低IT內審工作的工作量。

 

    以金融機構為例，在銀行系統中經常需要對一個應用系統(如存貸系統)業務操作發生的事件進行后臺數據調整。這時，為了保證調整過程可以被審計記錄以及事后審核，就引發了部署審計系統和數據分析模塊的需求。

 

     比如，某建行信息中心在其業務系統核心交換機處部署了網絡安全審計系統，一方面對通過核心交換機進入營業網的流量進行審計，重點監控內部網絡管理人員對重要內網資源(主機、數據庫、服務器)的Telnet與FTP操作; 另一方面對手工調賬的行為進行記錄和事后審核，從而有效地控制了IT相關的操作風險。

 

    該銀行選擇了啟明星辰的天網絡安全審計系統。通過采用其日志分析與審計報表組件，順利達到了對海量的日志信息通過多種有效、快捷的手段精確定位用戶的審計結果，實現了遵從“精確結果、完美呈現”的理念，有效減輕了管理人員的繁雜工作，降低了IT內審工作的工作量，從而達到對業務系統信息資源的全局把控和調度的效果.