给金融一个统一融合的安全审计方案
为了实现信息科技的全面安全审计而部署的日志审计、数据库审计和运维审计系统是不应该彼此割裂的,而能够统一为一个整体,将收集到IT资源日志、数据库访问操作日志、系统运维操作日志一起进行关联分析处理,进行统一管理、统一展现、统一分析、统一存储,实现组织安全审计工作的一体化。
综合安全审计系统的常见逻辑结构图1如下:
图1 综合安全审计系统的常见逻辑结构图
其中综合安全审计系统内部功能结构图如下图2所示:
图2 综合安全审计系统内部功能结构
如上图2所示,综合安全审计系统各功能模块的主要作用:
1) 审计日志采集中心:收集日志审计设备、数据库审计设备和运维审计设备等产生的审计日志信息,在审计日志采集的过程中,实现审计日志的过滤、范式化等操作。
2) 审计日志存储中心:接收审计日志采集中心的数据,进行分类入库保留原始的日志,同时,也会保存范式化数据以及关联分析数据,这些数据统一入库存储。
3) 审计日志分析中心:对日志审计信息、数据审计信息、运维审计信息进行关联分析和数据挖掘,深入分析可能存在的违规行为。
4) 综合显示中心:提供一个统一的操作管理界面,方便安全审计人员进行操作,该中心主要包括如下模块:
◆实时监控模块:实时显示符合审计策略的报警信息,主要起到事中或实时审计的作用。
◆查询检索模块:通过关键字进行组合查询,得到系统管理员所需要的结果。
◆综合报表模块。形成合规性报表、按照访问者、时间段、被审计对象、操作内容等生成报表。另外,报表系统提供方便的扩展接口,方便用户生成定制化报表。
◆事后取证:日志存储中心存储了最原始的审计日志信息,通过事件取证功能,可以获取相应的审计证据。
5) 用户管理模块。根据独立审计的原则,集中日志审计系统采用三权分立的用户管理办法,管理员、操作员和审计员权限分离,同时,不同用户对系统的访问和使用采用基于角色的访问控制RBAC)策略进行细粒度的控制。
6) 系统自身安全模块。集中日志审计系统作为重要的系统,对可用性有较高的要求,系统安全模块来监控各个组件以及数据库的状态,一旦一场或空间达到定义的阈值就给出提示,系统管理人员进行相应的处理。
结束语
完善信息科技内控体系,必然要求实现安全审计的全面性和实时性,因此各安全审计系统整合后的综合安全审计是未来发展的必然。通过部署综合安全审计系统,可以建立起一个行为不可抵赖、数据可靠,完整并且强有力的责任认定体系,为完善金融行业内部控制体系提供强有力的保障。