谈网络安全审计系统的细粒度审计报告
来源:IT专家网 更新时间:2008-07-13

作者: 吕明

众所周知,给企业造成的严重攻击中70%是来自于组织中的内部人员,只要攻击者发现了业务系统的漏洞,往往业务系统网络就会被攻破。而随着攻击手段的演变,传统方式对于满足保障业务系统的安全越来越力不从心。因此,针对业务系统的信息安全治理成为业务安全防护的重点。

  但是,决策部门如何寻找治理业务系统的决策依据呢?决策部门如何定夺治理业务系统的先后顺序、重要紧急程度呢?决策部门如何寻找制定内部合规性的依据呢?显然,针对信息系统的审计报告便承载着这些重要的职能,审计报告正是业务审计系统价值的具体体现,它起到为制定决策提供重要依据的作用。

  一、针对业务的审计系统为什么需要报告细粒度?

  · 从用户需求角度看,需要报告细粒度

  事实上,一项针对业务系统的审计产品的评价手段有很多,理论上讲,有从审计准确精度入手做评价的,也有从审计行为的广度入手做评价的,可是,无论以什么方式评价一款针对业务系统的审计产品,从审计行为的结果——报告来评价是比较科学的。比如,我们以银行的业务为例,银行的业务主要有银行传统业务、银行中间业务、电子银行业务三大类业务,第一类业务,是银行传统业务,主要包括了会计业务,即主要受理对公业务、面向工商客户、以转帐业务为主(比如各种票证)等;出纳业务,即包括了受理现金业务等;对私业务(储蓄) 业务、还有授信(信贷)业务,即包括了工商客户和个人客户贷款的发放和收回逾期、呆帐、呆滞帐务的处理和追溯等。第二类,银行的中间业务包括了:代收,电信公司的各类费用;代付企业的工资、基金购买、银行承兑等业务;第三类,电子银行业务主要包括了:网上银行、电话银行等,他们都是银行作为资金结算的中心,银行作为电子商务中资金流的一方,所有的这些业务都有大量的后台IT信息支撑系统作为支撑。

  再比如,能源行业其主要的业务系统包括:综合管理信息系统、办公自动化系统、电力营销管理系统、生产监控管理信息系统、资产管理系统、电力地理信息系统、企业资源计划管理系统等,同样,这些业务的IT系统也十分复杂和重要。为此,用户必然存在着对上述这些业务系统审计的需求,如果,一项针对业务的审计系统都能够对这些业务都有充分的理解,并且,通过对这些业务的理解,都能以科学合理的方式呈现到审计行为的结果——报告当中来,这样,我们才能相信,针对业务的审计系统是可以“值得信赖”的。因此,这样的报告才能达到业务管理的目的,这个审计系统在这些纷繁复杂的业务系统才算发挥了审计的作用。

  · 从技术角度看,需要报告细粒度

  业务网络审计系统是基于应用层内容识别技术衍生出的一种强化IT风险管理的应用模式,它需要对应用层的协议、网络行为等信息进行解析、识别、判断、纪录、呈现,以达到监控违规网络行为、降低IT操作风险的目的。显然,一个针对业务系统的审计必须承担鉴证、保护和证明三个方面作用,从技术角度看,审计系统需要审计的信息量大,采集的数据量多,比如对基本网络应用协议审计,如HTTP、POP3、SMTP、FTP、TELNET、NETBIOS、TDS、TNS、DB2、INFORMIX等进行详细的实时监控、审计,并可以对操作过程进行回放,对各类如Oracle、DB2、Sybase、Informix、MS SQL Server等数据库操作也需要审计,同时,还有一些OA操作的审计,在这些庞杂的信息量下,如果系统呈现的信息缺失、失真或错误,往往会给用户轻则带来决策失误,重则带来安全事件无法追究的窘境。由于报告成为了取证、追查、建立制度的重要依据,报告应该越细越好,因此,报告的细粒度已经成为业务网络审计系统发展的必然。

  · 从审计的政策角度看,需要报告细粒度

  随着中国国际化程度的日益提高,国内许多规范也正在顺应国际化的趋势上发展,以SOX法案为例,在美上市的中资企业如中国移动集团公司及其下属分子公司就面临着该法案的合规性要求,而商业银行同样也面临Basel协议的合规性要求,政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。实际上,从2001年起,政府、电信业、金融业、大企业等都已经先后制定了相关的法律法规,比如:国家《计算机信息系统安全保护等级划分准则》、《商业银行内部控制指引 》、《中国移动集团内控手册》、《中国电信股份公司内部控制手册》、《中国网通集团内部控制体系建设指导意见》、《银行业金融机构信息系统风险管理指引》、《商业银行合规风险管理指引、《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》、《深圳证券交易所上市公司内部控制指引 》、《上海证券交易所上市公司内部控制指引 》等,这些规范、文件的出台,是对IT合规建设的必然选择,不得不让面向业务的审计系统应该向这些法律法规的“合规性要求”方向发展,这些也促成了报告在审计系统中扮演的角色。

二、如何实现报告细粒度

  启明星辰天玥网络安全审计系统(CA系列)顺应趋势,从安全管理的角度出发,研发楚天玥网络安全审计系统(CA系列),它是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强内外部网络行为监管、避免核心资产(数据库、服务器、网络设备等)损失、保障业务系统的正常运营。

  · 天玥网络安全审计系统(CA系列)日志分析与报表组件

  天玥网络安全审计系统(CA系列)设计了一套完善的审计报告查询、输出机制——数据分析模块。系统共包含CS、BS两种架构的日志分析与审计报表组件,最大程度上满足从低端客户到高端客户对于审计日志查询、审计事件统计分析、审计报告输出等各种应用的不同使用要求。日志分析与审计报表组件能够对审计事件、会话日志、流量、用户操作日志、SOX报表等5类审计事件进行统计和查询,围绕审计策略设定审计输出报告,使得审计工作人员能迅速精确地获得自己所关注的审计事件信息。

  · 天玥网络安全审计系统(CA系列)在报表细粒度方面的优势

  天玥网络安全审计系统(CA系列)日志分析与审计报表组件遵从“精确结果、完美呈现”的理念,一方面将海量的日志信息通过多种有效、快捷的手段精确定位用户关注的审计结果,另一方面以美观、多样的呈现方式从各个角度直观展现业务系统的全局运行状况,为用户的IT内控治理提供多样化的分析数据,将管理人员从繁杂、枯燥的IT内审中解放出来,最大程度上降低IT内审工作的工作量,以满足组织机构内外部合规性要求,全面体现管理者对业务系统信息资源的全局把控和调度能力。日志分析与审计报表组件主要具备以下三方面功能优势:

  第一,提供20余种条件查询功能,支持用户自定义查询模版管理,不仅最大程度降低内审人员的工作量,提高了系统的易用性,更能精确定位所关注的审计信息;

  第二,在全面记录行为日志的基础上,汇集二维统计、三维统计、折线趋势、柱状统计等多种图表统计分析手段,全面呈现业务全局运行状况,支持对网络会话过程全面回放,精确定位业务故障(事故)原因;提供多种合规及SOX报告,支持用户自定义报告模版管理,不仅帮助用户满足相关法规和内控要求,更具备灵活的审计报告定制应用功能。

  第三,天玥网络安全审计产品,从网络安全角度出发,通过角色识别、细分授权、网络行为审计与回放、自定义的SOX报表等四大方面帮助用户企业完善IT内控,达到SOX的相关要求。在审计内容上不仅可以覆盖数十种协议,对各种数据库、UNIX、Linux、网络设备等业务主机综合审计。且对报表、响应、告警、审计策略、私有操作协议等方面也可实现灵活的自定义,并拥有面向各类用户,完整的平台化集中管理解决方案。

  三、应用案例介绍

  近年来,银行IT系统对银行业务的发展起到极大的推进作用。

  同时,随着银行业务对IT系统的依赖程度越来越高,IT风险对业务风险的影响也越来越大。例如:在银行系统中经常需要对一个应用系统(如存贷系统)业务操作发生的事件进行后台数据调整。这时,为了保证调整过程可以被审计记录以及事后审核,就引发了部署审计系统的需求和部署数据分析模块的需求。

  银行IT审计系统拓扑图

  该银行信息中心采购并在其业务系统核心交换机处部署了天玥网络安全审计系统,一方面对通过核心交换机进入营业网的流量进行审计,重点监控内部网络管理人员对重要内网资源(主机、数据库、服务器)的Telnet与FTP操作;另一方面对手工调帐的行为进行记录和事后审核,从而有效地控制了IT相关的操作风险。

  该银行最终通过天玥网络安全审计系统(CA系列)日志分析与审计报表组件,顺利达到了对海量的日志信息通过多种有效、快捷的手段精确定位用户的审计结果,实现了遵从“精确结果、完美呈现”的理念,有效减轻了管理人员的繁杂工作,降低了IT内审工作的工作量,从而达到对业务系统信息资源的全局把控和调度能力。