金融行业需要什么样的安全审计产品(1)
51CTO.com 综合消息】金融行业是现代服务业的重要组成部分,它通过沟通整个社会的经济活动而成为现代经济的核心。
近年来,随着金融信息化进程的不断推进,信息技术在金融业务中起着越来越重要的作用,越来越多的金融业务流程依赖信息技术。现代金融行业在组织结构、业务流程、业务开拓以及客户服务等方面,日益体现出以知识和信息为基础的特征。但随着信息系统在金融行业业务运营中的作用越来越重要,金融行业信息系统所面临的威胁和风险也越来越大,外部黑客或不法分子虎视眈眈,内部违规或犯罪事件正呈上升趋势。
据CSI计算机犯罪调查,在有预谋的信息犯罪中,80%以上是内部人员作案。要想根本解决内部人员违规或作案问题,进而完善信息科技内部控制体系,只有加强信息科技审计制度才是治本之法。
安全审计产品部署在金融行业的价值所在
据了解,目前缺乏有效的审计手段是信息科技监管所面临的最大问题,“服务在网内,监管在网外”,数据在信息系统内被每秒上千次的自动化处理,而审计时却只能靠人工进行检查,检查的范围、深度等都非常有限,这使得审计监管的力度和深度难以保证,也是很多违规或犯罪事件发生很长时间后才被发现重要原因之一。
因此,必须要通过部署安全审计产品,实时监测数据在信息系统内的操作,发现违规操作立即报警,并保存记录操作过程以备将来查询取证,实现“服务在网内,监管在网内”的目标,从而使得信息科技内控体系进一步完善。
除此之外,国家、金融监管机构在信息科技监管要求中也都明确提出要实现安全审计功能。国家等级保护相关标准中要求二级以上信息系统中的网络层面、主机层面和应用层面均要求进行安全审计,同时也明确要求了审计的范围、审计内容等。银监会19号文中也明确提出“控制所有生产系统的活动日志,以支持有效的审计、安全论证分析和预防欺诈”。国外信息安全方面的标准或最佳实践如ISO13335、ISO27001、SP800)等也要求对用户行为、系统操作进行审计。
对于安全审计产品而言,其通过对IT系统中相关信息的收集、分析和报告,来判定现有IT安全控制的有效性,检查IT系统的误用和滥用行为,验证当前安全策略的合规性,获取犯罪和违规的证据。
那么,总体来说,部署安全审计系统能够带来什么样的价值呢?
1)满足合规性要求,顺利通过IT审计
目前,越来越多的单位面临一种或者几种合规性要求。比如,在美国上市的公司及其下属分子公司就面临SOX法案的合规性要求;而商业银行则面临Basel协议的合规性要求;政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。
安全审计系统有助于完善组织的IT内控与审计体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。
2)有效减少核心信息资产的破坏和泄漏
对单位的业务系统来说,真正重要的核心信息资产往往存放在少数几个关键系统上如数据库服务器、应用服务器等),通过使用安全审计系统,能够加强对这些关键系统的审计,从而有效地减少对核心信息资产的破坏和泄漏。
3)追踪溯源,便于事后追查原因与界定责任
审计监控体系能够完整的诠释责任认定体系。通过稳定而成熟的审计技术,可以建立起一个行为不可抵赖、数据可靠,完整并且强有力的责任认定体系。
通过从不同层面对支付系统中各种设备的操作和管理行为,包括本地操作和远程操作的综合审计,可以很好的将上述行为记录下来,并且长时间保存,可以达到很好的达到审计监控目的,从而有效进行责任认定。
4)实现独立审计与三权分立,完善IT内控机制
从内控的角度来看,IT系统的使用权、管理权与监督权必须三权分立。在三权分立的基础上实施内控与审计,有效地控制操作风险包括业务操作风险与运维操作风险等)。安全审计实现独立的审计与三权分立,完善IT内控机制。
透过不同功能安全审计产品聚焦金融需求
在总体了解安全审计产品的价值后,我们不难发现,安全审计的主要目的是对用户的行为进行分析、报警和记录,因此,可以按用户的IT行为对安全审计产品进行一下分类,如下四类所述:
◆上网行为审计:内部用户访问互联网的行为和内容进行审计。主要识别的是Http、SMTP、FTP等协议,同时对互联网的常用应用如QQ、MSN、BT等也需要识别。互联网审计一般是对内部员工的上网进行规范。
◆办公行为审计:内部用户打印、收发邮件、FTP下载等行为进行审计。
◆运维行为审计:运维人员对网络设备、主机系统、数据库中间件、应用系统等进行配置、变更、备份等操作进行审计。
◆业务操作审计:业务人员通过业务系统进行业务操作行为的审计。由于业务操作最终会体现在数据库中,所以通过数据库审计可有效反映业务操作行为。
在金融行业中,运维行为和业务操作行为如果出现违规不仅可能造成业务中断甚至造成资金丢失等严重金融事件,因此运维行为审计和业务操作行为审计是金融行业关注的重点。对此,目前市场上有运维审计产品、数据库审计产品、日志审计产品和安全综合审计产品。
运维审计产品主要是实现系统用户的集中管理和运维人员的运维操作控制及审计功能。产品采用逻辑串行部署方式,一般部署在运维区的交换机上,运维人员不能直接访问主机服务器,必须首先登录到运维审计产品后才能访问主机服务器进行运维操作。运维审计产品把运维人员的所有运维操作全部记录下来,并且根据事先制定的策略允许或禁止某些操作的执行,并且对于高危险操作实时进行报警。
数据库审计产品能够监视并记录对数据库服务器的各类操作行为,实时地、智能地解析对数据库服务器的各种操作,一般操作行为如数据库的登录,特定的操作如对数据库表的插入、删除、修改,执行特定的存贮过程等都能够被记录和分析,分析的内容要求可以精确到SQL操作语句一级,并记录这些操作的用户名、机器IP地址、操作时间等重要信息。
日志审计产品能够收集、分析和记录操作系统、网络设备、应用中间件等系统的日志数据。日志审计产品主要采用Syslog、SNMP Trap等方式采集系统日志,不需要在被采集设备上安装采集代理程序。日志审计产品将各系统的日志统一集中存储,可以有效保护审计日志的完整性,为日后的审计取证提供依据。
下表描述了目前市场上的审计产品能够审计的用户行为之间的关系:
