目前，給企業(yè)造成的嚴(yán)重攻擊中70%是來自于組織中的內(nèi)部人員，只要攻擊者發(fā)現(xiàn)了業(yè)務(wù)系統(tǒng)的漏洞，往往業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)就會(huì)被攻破。而隨著攻擊手段的演變，傳統(tǒng)方式對(duì)保障業(yè)務(wù)系統(tǒng)的安全越來越力不從心。因此，針對(duì)業(yè)務(wù)系統(tǒng)的信息安全治理成為業(yè)務(wù)安全防護(hù)的重點(diǎn)。

 

    但是，決策部門如何尋找治理業(yè)務(wù)系統(tǒng)的決策依據(jù)呢？決策部門如何定奪治理業(yè)務(wù)系統(tǒng)的先后順序、重要緊急程度呢？決策部門如何尋找制定內(nèi)部合規(guī)性的依據(jù)呢？針對(duì)信息系統(tǒng)的審計(jì)報(bào)告就承載著這些重要的職能！審計(jì)報(bào)告正是業(yè)務(wù)審計(jì)系統(tǒng)價(jià)值的具體體現(xiàn)，它起到為制定決策提供重要依據(jù)的作用。

 

     從用戶需求角度看，需要報(bào)告細(xì)粒度

 

     事實(shí)上，一項(xiàng)針對(duì)業(yè)務(wù)系統(tǒng)的審計(jì)產(chǎn)品的評(píng)價(jià)手段有很多。理論上講，有從審計(jì)精度入手做評(píng)價(jià)的，也有從審計(jì)行為的廣度入手做評(píng)價(jià)的。但無論怎樣，我們認(rèn)為用審計(jì)行為的結(jié)果——報(bào)告來評(píng)價(jià)是比較科學(xué)的。以銀行的業(yè)務(wù)為例，銀行的業(yè)務(wù)主要有銀行傳統(tǒng)業(yè)務(wù)、銀行中間業(yè)務(wù)、電子銀行業(yè)務(wù)三大類業(yè)務(wù)。第一類業(yè)務(wù)是銀行傳統(tǒng)業(yè)務(wù)，主要包括會(huì)計(jì)業(yè)務(wù)，即主要受理對(duì)公業(yè)務(wù)、面向工商客戶、以轉(zhuǎn)賬業(yè)務(wù)為主(比如各種票證)等; 出納業(yè)務(wù)，包括受理現(xiàn)金業(yè)務(wù)等; 對(duì)私業(yè)務(wù)(儲(chǔ)蓄) 業(yè)務(wù)以及授信(信貸)業(yè)務(wù)等，包括工商客戶和個(gè)人客戶貸款的發(fā)放和收回，逾期、呆賬、呆滯賬務(wù)的處理和追溯等。第二類是銀行的中間業(yè)務(wù)，包括代收電信公司的各類費(fèi)用; 代付企業(yè)的工資、基金購(gòu)買、銀行承兌等; 第三類是電子銀行業(yè)務(wù)，主要包括網(wǎng)上銀行、電話銀行等。他們都是將銀行作為資金結(jié)算的中心，作為電子商務(wù)中資金流的一方。所有的這些業(yè)務(wù)都有大量的后臺(tái) IT信息系統(tǒng)作為支撐，需要有強(qiáng)有力的審計(jì)報(bào)告進(jìn)行業(yè)務(wù)審計(jì)。

 

    再比如，能源行業(yè)主要的業(yè)務(wù)系統(tǒng)包括: 綜合管理信息系統(tǒng)、辦公自動(dòng)化系統(tǒng)、電力營(yíng)銷管理系統(tǒng)、生產(chǎn)監(jiān)控管理信息系統(tǒng)、資產(chǎn)管理系統(tǒng)、電力地理信息系統(tǒng)、企業(yè)資源計(jì)劃管理系統(tǒng)等。同樣，這些業(yè)務(wù)的IT系統(tǒng)十分復(fù)雜和重要。為此，用戶存在著對(duì)這些業(yè)務(wù)系統(tǒng)審計(jì)的需求。如果一項(xiàng)針對(duì)業(yè)務(wù)的審計(jì)系統(tǒng)能夠?qū)@些業(yè)務(wù)有充分的理解，并且通過對(duì)這些業(yè)務(wù)的理解，能以科學(xué)合理的方式呈現(xiàn)到審計(jì)行為的結(jié)果——報(bào)告當(dāng)中來，我們才有理由相信，針對(duì)業(yè)務(wù)的審計(jì)系統(tǒng)是“值得信賴”的，這樣的報(bào)告才能達(dá)到管理業(yè)務(wù)的目的，這個(gè)審計(jì)系統(tǒng)在紛繁復(fù)雜的業(yè)務(wù)系統(tǒng)才算發(fā)揮了審計(jì)的作用。

 

   從技術(shù)角度看，需要報(bào)告細(xì)粒度

 

    業(yè)務(wù)網(wǎng)絡(luò)審計(jì)系統(tǒng)是基于應(yīng)用層內(nèi)容識(shí)別技術(shù)衍生出的一種強(qiáng)化IT風(fēng)險(xiǎn)管理的應(yīng)用模式，它需要對(duì)應(yīng)用層的協(xié)議、網(wǎng)絡(luò)行為等信息進(jìn)行解析、識(shí)別、判斷、紀(jì)錄和呈現(xiàn)，以達(dá)到監(jiān)控違規(guī)網(wǎng)絡(luò)行為、降低IT操作風(fēng)險(xiǎn)的目的。顯然，一個(gè)針對(duì)業(yè)務(wù)系統(tǒng)的審計(jì)必須承擔(dān)鑒證、保護(hù)和證明三個(gè)方面的作用。從技術(shù)角度看，審計(jì)系統(tǒng)需要審計(jì)的信息量大，采集的數(shù)據(jù)量多，比如對(duì)基本網(wǎng)絡(luò)應(yīng)用協(xié)議審計(jì)，如HTTP、POP3、SMTP、FTP、TELNET、NETBIOS、 TDS、TNS、DB2、INFORMIX等進(jìn)行詳細(xì)的實(shí)時(shí)監(jiān)控、審計(jì)，并可以對(duì)操作過程進(jìn)行回放，對(duì)各類如Oracle、DB2、 Sybase、Informix、MS SQL Server等數(shù)據(jù)庫(kù)操作也需要審計(jì); 同時(shí)，對(duì)一些OA操作進(jìn)行審計(jì)。在這些龐雜的信息量下，如果系統(tǒng)呈現(xiàn)的信息缺失、失真或錯(cuò)誤，往往會(huì)給用戶輕則帶來決策失誤，重則帶來安全事件無法追究的窘境。由于報(bào)告成為了取證、追查、建立制度的重要依據(jù)，報(bào)告應(yīng)該越細(xì)越好。

 

   從審計(jì)政策角度看，需要報(bào)告細(xì)粒度

 

    隨著中國(guó)國(guó)際化程度的日益提高，國(guó)內(nèi)許多規(guī)范正在朝著國(guó)際化方向發(fā)展。以SOX法案為例，在美上市的中資企業(yè)如中國(guó)移動(dòng)集團(tuán)公司及其下屬分公司等，就面臨著該法案的合規(guī)性要求; 而商業(yè)銀行同樣也面臨Basel協(xié)議的合規(guī)性要求; 政府的行政事業(yè)單位或者國(guó)有企業(yè)則有遵循等級(jí)保護(hù)的合規(guī)性要求，等等。實(shí)際上，從2001年起，政府、電信業(yè)、金融業(yè)、大企業(yè)等都已經(jīng)先后制定了相關(guān)的法律法規(guī)，比如: 國(guó)家《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、《商業(yè)銀行內(nèi)部控制指引》、《中國(guó)移動(dòng)集團(tuán)內(nèi)控手冊(cè)》、《中國(guó)電信股份公司內(nèi)部控制手冊(cè)》、《中國(guó)網(wǎng)通集團(tuán)內(nèi)部控制體系建設(shè)指導(dǎo)意見》、《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》、《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引、《保險(xiǎn)公司內(nèi)部審計(jì)指引(試行)》、《保險(xiǎn)公司風(fēng)險(xiǎn)管理指引(試行)》、《深圳證券交易所上市公司內(nèi)部控制指引》、《上海證券交易所上市公司內(nèi)部控制指引》等。這些文件的出臺(tái)，是IT合規(guī)性建設(shè)的必然發(fā)展趨勢(shì)，讓面向業(yè)務(wù)的審計(jì)系統(tǒng)也不得不向“合規(guī)性要求”方向發(fā)展，這些也促成了報(bào)告在審計(jì)系統(tǒng)中扮演著越來越重要的角色。

 

    如何實(shí)現(xiàn)報(bào)告細(xì)粒度

 

    好的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)應(yīng)該可通過對(duì)被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進(jìn)行解析、記錄、匯報(bào)，可幫助用戶事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)控、對(duì)違規(guī)行為響應(yīng)、事后做合規(guī)報(bào)告、事故追蹤回放，加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、避免核心資產(chǎn)(數(shù)據(jù)庫(kù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等)損失、保障業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)。

 

    此外，一套完善的審計(jì)報(bào)告查詢、輸出機(jī)制——數(shù)據(jù)分析模塊必不可少，應(yīng)該滿足對(duì)審計(jì)日志查詢、審計(jì)事件統(tǒng)計(jì)分析、審計(jì)報(bào)告輸出等各種應(yīng)用的不同使用要求。日志分析與審計(jì)報(bào)表組件能夠?qū)徲?jì)事件、會(huì)話日志、流量、用戶操作日志、SOX報(bào)表等5類審計(jì)事件進(jìn)行統(tǒng)計(jì)和查詢，圍繞審計(jì)策略設(shè)定審計(jì)輸出報(bào)告，使得審計(jì)工作人員能迅速精確地獲得自己所關(guān)注的審計(jì)事件信息，將管理人員從繁雜、枯燥的IT內(nèi)審中解放出來，最大程度上降低IT內(nèi)審工作的工作量。

 

    以金融機(jī)構(gòu)為例，在銀行系統(tǒng)中經(jīng)常需要對(duì)一個(gè)應(yīng)用系統(tǒng)(如存貸系統(tǒng))業(yè)務(wù)操作發(fā)生的事件進(jìn)行后臺(tái)數(shù)據(jù)調(diào)整。這時(shí)，為了保證調(diào)整過程可以被審計(jì)記錄以及事后審核，就引發(fā)了部署審計(jì)系統(tǒng)和數(shù)據(jù)分析模塊的需求。

 

     比如，某建行信息中心在其業(yè)務(wù)系統(tǒng)核心交換機(jī)處部署了網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，一方面對(duì)通過核心交換機(jī)進(jìn)入營(yíng)業(yè)網(wǎng)的流量進(jìn)行審計(jì)，重點(diǎn)監(jiān)控內(nèi)部網(wǎng)絡(luò)管理人員對(duì)重要內(nèi)網(wǎng)資源(主機(jī)、數(shù)據(jù)庫(kù)、服務(wù)器)的Telnet與FTP操作; 另一方面對(duì)手工調(diào)賬的行為進(jìn)行記錄和事后審核，從而有效地控制了IT相關(guān)的操作風(fēng)險(xiǎn)。

 

    該銀行選擇了啟明星辰的天網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。通過采用其日志分析與審計(jì)報(bào)表組件，順利達(dá)到了對(duì)海量的日志信息通過多種有效、快捷的手段精確定位用戶的審計(jì)結(jié)果，實(shí)現(xiàn)了遵從“精確結(jié)果、完美呈現(xiàn)”的理念，有效減輕了管理人員的繁雜工作，降低了IT內(nèi)審工作的工作量，從而達(dá)到對(duì)業(yè)務(wù)系統(tǒng)信息資源的全局把控和調(diào)度的效果.