作者: 吕明
谈网络安全审计系统的细粒度审计报告
众所周知,给企业造成的严重攻击中 70%是来自于组织中的内部人员,只要攻击者发现了
业务系统的漏洞,往往业务系统网络就会被攻破。而随着攻击手段的演变,传统方式对于满足保
障业务系统的安全越来越力不从心。因此,针对业务系统的信息安全治理成为业务安全防护的
重点。
但是,决策部门如何寻找治理业务系统的决策依据呢?决策部门如何定夺治理业务系统
的先后顺序、重要紧急程度呢?决策部门如何寻找制定内部合规性的依据呢?显然,针对信息
系统的审计报告便承载着这些重要的职能,审计报告正是业务审计系统价值的具体体现,它起
到为制定决策提供重要依据的作用。
一、针对业务的审计系统为什么需要报告细粒度?
·
从用户需求角度看,需要报告细粒度
事实上,一项针对业务系统的审计产品的评价手段有很多,理论上讲,有从审计准确精 度入
手做评价的,也有从审计行为的广度入手做评价的,可是,无论以什么方式评价一款针 对业务系
统的审计产品,从审计行为的结果——报告来评价是比较科学的。比如,我们以银 行的业务为
例,银行的业务主要有银行传统业务、银行中间业务、电子银行业务三大类业务, 第一类业务,是
银行传统业务,主要包括了会计业务,即主要受理对公业务、面向工商客户、 以转帐业务为主(比
如各种票证)等;出纳业务,即包括了受理现金业务等;对私业务(储蓄) 业务、还有授信(信贷)
业务,即包括了工商客户和个人客户贷款的发放和收回逾期、呆帐、呆 滞帐务的处理和追溯
等。第二类,银行的中间业务包括了:代收,电信公司的各类费用;代 付企业的工资、基金购
买、银行承兑等业务;第三类,电子银行业务主要包括了:网上银行、电话银行等,他们都是银
行作为资金结算的中心,银行作为电子商务中资金流的一方,所有 的这些业务都有大量的后台
IT 信息支撑系统作为支撑。
再比如,能源行业其主要的业务系统包括:综合管理信息系统、办公自动化系统、电力
营销管理系统、生产监控管理信息系统、资产管理系统、电力地理信息系统、企业资源计划
管理系统等,同样,这些业务的IT 系统也十分复杂和重要。为此,用户必然存在着对上述
这些业务系统审计的需求,如果,一项针对业务的审计系统都能够对这些业务都有充分的理解,
并且,通过对这些业务的理解,都能以科学合理的方式呈现到审计行为的结果——报告当中来,
这样,我们才能相信,针对业务的审计系统是可以“值得信赖”的。因此,这样的报告才能达到
业务管理的目的,这个审计系统在这些纷繁复杂的业务系统才算发挥了审计的作用。
·
从技术角度看,需要报告细粒度
业务网络审计系统是基于应用层内容识别技术衍生出的一种强化IT 风险管理的应用模式
,它需要对应用层的协议、网络行为等信息进行解析、识别、判断、纪录、呈现,以达到监
控违规网络行为、降低 IT 操作风险的目的。显然,一个针对业务系统的审计必须承担鉴证、
保护和证明三个方面作用,从技术角度看,审计系统需要审计的信息量大,采集的数据 量多,
比如对基本网络应用协议审计,如 HTTP、POP3、SMTP、FTP、TELNET、NETBIOS、TDS、
TNS、DB2、INFORMIX 等进行详细的实时监控、审计,并可以对操作过程进行回放, 对各类
如Oracle、DB2、Sybase、Informix、MS SQL Server 等数据库操作也需要审计,同时, 还有一
些OA 操作的审计,在这些庞杂的信息量下,如果系统呈现的信息缺失、失真或错误, 往往会给用
户轻则带来决策失误,重则带来安全事件无法追究的窘境。由于报告成为了取证、 追查、建立制
度的重要依据,报告应该越细越好,因此,报告的细粒度已经成为业务网络审 计系统发展的
必然。
·
从审计的政策角度看,需要报告细粒度