作者:永乐

   众所周知，对于银行这样一个重要的信息系统，包括网上旷工、蠕虫、操作不当等任何网上风险都可能对核心业务系统造成巨大影响，合规性审计是解决这个问题的有效方法。

    近年来，银行IT系统对银行业务的发展起到极大的推进作用。同时，随着银行业务对IT系统的依赖程度越来越高，IT风险对业务风险的影响也越来越大，而IT风险中70%以上属于操作风险，即由人工操作不当（无意或故意）引起的风险。因此，有效地控制IT风险，尤其是操作风险，对银行业务的安全运营至关重要。

    因此，合规性审计成为被行业推崇的有效方法。就信息安全审计而言，目前主要是合规性审计。信息安全合规性指银行在建设与运行IT系统中的行为需要符合相关的法律、标准、规范、文件精神的要求。
 
    目前以四大银行为代表的国有银行均已制订了成文的信息安全策略。信息安全策略的贯彻执行需要相应的检查手段，信息安全审计作为银行风险控制的主要内容之一，是检查安全策略落实情况的一种手段。

    银行信息安全审计需求

    我们可以从操作风险生命周期的角度分析信息安全审计在操作风险控制中发挥的作用。操作风险成为现实的事件（或者事故）一般经历三个阶段：隐患、诱发、已发生。

    导致存在操作风险隐患的原因有两点：一是信息安全策略本身存在漏洞；二是信息安全策略没有得到很好的贯彻执行，尤其是缺乏相应的技术保障措施。

    诱发操作风险的原因则多种多样。无论是人为的有意越权访问或者无意误操作，还是各种安全事件（病毒感染、蠕虫爆发、恶意程序植入等），都会把风险变成实实在在的损失。

    操作风险发生后表现为安全事件（事故），对事件（事故）的处理通常遵循如上图所示的流程。

    事件（事故）处理流程

    上述流程正好对应于操作风险的三个阶段，见下表。

    信息安全审计正好包含标识事件、分析事件、收集相关证据等活动，从而为策略调整和优化提供依据。它的范围至少应该包括：安全策略的一致性检查，人工操作的记录与分析（操作审计），程序行为的记录与分析（日志分析与审计）。

    一般来说，信息安全审计的主要依据为信息安全管理相关的标准。例如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而提高安全性。
 
    当前信息安全审计主要为合规性审计。对银行来说，这意味着要符合所有适用的法案、条约等。例如萨班斯-奥克斯利法案（SOX）与巴塞尔协议（Basel）都对风险控制有明确的要求。前者侧重操作风险控制，后者侧重业务风险（金融交易风险）控制。如前所述，由于银行业务对IT系统的依赖性越来越高，操作风险导致业务风险的案例屡见不鲜，因此有效地控制操作风险是业务风险控制的重要内容。
 
    银行信息安全审计实现

    信息安全审计的实现必须与信息安全策略的制订与落实紧密结合在一起，才能有效地控制风险。银行信息安全审计的实现需要考虑如下因素：

    1.制订信息安全策略所依据的标准（如ISO/IEC 17799）；

    2.IT系统中实际执行的访问控制策略（如交换机与路由器的ACL、防火墙的规则等）；
 
    3.在安全策略中规定但未落实到技术措施的安全策略（如口令更换周期、口令强度、不可共同账号、最小授权等）；
 
    4.安全事件（病毒感染、蠕虫传播、恶意程序植入等）对信息安全（机密性、完整性以及可用性）的破坏；
 
    5.盗版软件、企业机密信息在网络上的传播与滥用；

    6.安全策略中未明确规定但隐含的与法律要求一致的内容。
 
    因此，可以分析出银行信息安全审计可以考虑如下方法：

    1.行为记录：记录所有进入、离开特定物理区域、IT系统区域的信息以及在IT系统中进行的各种操作（业务访问、系统维护、策略配置等）；

    2.日志审计：采集、分析IT系统（操作系统、数据库、可管理的网络设备等）自身的日志；
 
    3.网络活动审计：采集网络数据包，通过协议解析还原网络活动并记录；
 
    4.对重点监控对象（如存放有机密文件的办公PC）进行细粒度的行为（击键、文件读写、拷贝等）记录与分析。

    显然，上述几种方法只能独立地满足不同的审计要求，尚不足以构成完整的IT审计体系。因此，需要采用合适的技术将各种不同的审计方法整合在一起，形成独立、完整的综合审计平台，从而建立一个行为不可抵赖，数据可靠、完整的IT审计体系。这些也正是信息安全企业的价值和义务所在。