目前，給企業(yè)造成的嚴重攻擊中70%是來自于組織中的內(nèi)部人員，只要攻擊者發(fā)現(xiàn)了業(yè)務系統(tǒng)的漏洞，往往業(yè)務系統(tǒng)網(wǎng)絡就會被攻破。而隨著攻擊手段的演變，傳統(tǒng)方式對保障業(yè)務系統(tǒng)的安全越來越力不從心。因此，針對業(yè)務系統(tǒng)的信息安全治理成為業(yè)務安全防護的重點。

 

    但是，決策部門如何尋找治理業(yè)務系統(tǒng)的決策依據(jù)呢？決策部門如何定奪治理業(yè)務系統(tǒng)的先后順序、重要緊急程度呢？決策部門如何尋找制定內(nèi)部合規(guī)性的依據(jù)呢？針對信息系統(tǒng)的審計報告就承載著這些重要的職能！審計報告正是業(yè)務審計系統(tǒng)價值的具體體現(xiàn)，它起到為制定決策提供重要依據(jù)的作用。

 

     從用戶需求角度看，需要報告細粒度

 

     事實上，一項針對業(yè)務系統(tǒng)的審計產(chǎn)品的評價手段有很多。理論上講，有從審計精度入手做評價的，也有從審計行為的廣度入手做評價的。但無論怎樣，我們認為用審計行為的結果——報告來評價是比較科學的。以銀行的業(yè)務為例，銀行的業(yè)務主要有銀行傳統(tǒng)業(yè)務、銀行中間業(yè)務、電子銀行業(yè)務三大類業(yè)務。第一類業(yè)務是銀行傳統(tǒng)業(yè)務，主要包括會計業(yè)務，即主要受理對公業(yè)務、面向工商客戶、以轉(zhuǎn)賬業(yè)務為主(比如各種票證)等; 出納業(yè)務，包括受理現(xiàn)金業(yè)務等; 對私業(yè)務(儲蓄) 業(yè)務以及授信(信貸)業(yè)務等，包括工商客戶和個人客戶貸款的發(fā)放和收回，逾期、呆賬、呆滯賬務的處理和追溯等。第二類是銀行的中間業(yè)務，包括代收電信公司的各類費用; 代付企業(yè)的工資、基金購買、銀行承兌等; 第三類是電子銀行業(yè)務，主要包括網(wǎng)上銀行、電話銀行等。他們都是將銀行作為資金結算的中心，作為電子商務中資金流的一方。所有的這些業(yè)務都有大量的后臺 IT信息系統(tǒng)作為支撐，需要有強有力的審計報告進行業(yè)務審計。

 

    再比如，能源行業(yè)主要的業(yè)務系統(tǒng)包括: 綜合管理信息系統(tǒng)、辦公自動化系統(tǒng)、電力營銷管理系統(tǒng)、生產(chǎn)監(jiān)控管理信息系統(tǒng)、資產(chǎn)管理系統(tǒng)、電力地理信息系統(tǒng)、企業(yè)資源計劃管理系統(tǒng)等。同樣，這些業(yè)務的IT系統(tǒng)十分復雜和重要。為此，用戶存在著對這些業(yè)務系統(tǒng)審計的需求。如果一項針對業(yè)務的審計系統(tǒng)能夠?qū)@些業(yè)務有充分的理解，并且通過對這些業(yè)務的理解，能以科學合理的方式呈現(xiàn)到審計行為的結果——報告當中來，我們才有理由相信，針對業(yè)務的審計系統(tǒng)是“值得信賴”的，這樣的報告才能達到管理業(yè)務的目的，這個審計系統(tǒng)在紛繁復雜的業(yè)務系統(tǒng)才算發(fā)揮了審計的作用。

 

   從技術角度看，需要報告細粒度

 

    業(yè)務網(wǎng)絡審計系統(tǒng)是基于應用層內(nèi)容識別技術衍生出的一種強化IT風險管理的應用模式，它需要對應用層的協(xié)議、網(wǎng)絡行為等信息進行解析、識別、判斷、紀錄和呈現(xiàn)，以達到監(jiān)控違規(guī)網(wǎng)絡行為、降低IT操作風險的目的。顯然，一個針對業(yè)務系統(tǒng)的審計必須承擔鑒證、保護和證明三個方面的作用。從技術角度看，審計系統(tǒng)需要審計的信息量大，采集的數(shù)據(jù)量多，比如對基本網(wǎng)絡應用協(xié)議審計，如HTTP、POP3、SMTP、FTP、TELNET、NETBIOS、 TDS、TNS、DB2、INFORMIX等進行詳細的實時監(jiān)控、審計，并可以對操作過程進行回放，對各類如Oracle、DB2、 Sybase、Informix、MS SQL Server等數(shù)據(jù)庫操作也需要審計; 同時，對一些OA操作進行審計。在這些龐雜的信息量下，如果系統(tǒng)呈現(xiàn)的信息缺失、失真或錯誤，往往會給用戶輕則帶來決策失誤，重則帶來安全事件無法追究的窘境。由于報告成為了取證、追查、建立制度的重要依據(jù)，報告應該越細越好。

 

   從審計政策角度看，需要報告細粒度

 

    隨著中國國際化程度的日益提高，國內(nèi)許多規(guī)范正在朝著國際化方向發(fā)展。以SOX法案為例，在美上市的中資企業(yè)如中國移動集團公司及其下屬分公司等，就面臨著該法案的合規(guī)性要求; 而商業(yè)銀行同樣也面臨Basel協(xié)議的合規(guī)性要求; 政府的行政事業(yè)單位或者國有企業(yè)則有遵循等級保護的合規(guī)性要求，等等。實際上，從2001年起，政府、電信業(yè)、金融業(yè)、大企業(yè)等都已經(jīng)先后制定了相關的法律法規(guī)，比如: 國家《計算機信息系統(tǒng)安全保護等級劃分準則》、《商業(yè)銀行內(nèi)部控制指引》、《中國移動集團內(nèi)控手冊》、《中國電信股份公司內(nèi)部控制手冊》、《中國網(wǎng)通集團內(nèi)部控制體系建設指導意見》、《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》、《商業(yè)銀行合規(guī)風險管理指引、《保險公司內(nèi)部審計指引(試行)》、《保險公司風險管理指引(試行)》、《深圳證券交易所上市公司內(nèi)部控制指引》、《上海證券交易所上市公司內(nèi)部控制指引》等。這些文件的出臺，是IT合規(guī)性建設的必然發(fā)展趨勢，讓面向業(yè)務的審計系統(tǒng)也不得不向“合規(guī)性要求”方向發(fā)展，這些也促成了報告在審計系統(tǒng)中扮演著越來越重要的角色。

 

    如何實現(xiàn)報告細粒度

 

    好的網(wǎng)絡安全審計系統(tǒng)應該可通過對被授權人員和系統(tǒng)的網(wǎng)絡行為進行解析、記錄、匯報，可幫助用戶事前規(guī)劃預防、事中實時監(jiān)控、對違規(guī)行為響應、事后做合規(guī)報告、事故追蹤回放，加強內(nèi)外部網(wǎng)絡行為監(jiān)管、避免核心資產(chǎn)(數(shù)據(jù)庫、服務器、網(wǎng)絡設備等)損失、保障業(yè)務系統(tǒng)的正常運營。

 

    此外，一套完善的審計報告查詢、輸出機制——數(shù)據(jù)分析模塊必不可少，應該滿足對審計日志查詢、審計事件統(tǒng)計分析、審計報告輸出等各種應用的不同使用要求。日志分析與審計報表組件能夠?qū)徲嬍录?、會話日志、流量、用戶操作日志、SOX報表等5類審計事件進行統(tǒng)計和查詢，圍繞審計策略設定審計輸出報告，使得審計工作人員能迅速精確地獲得自己所關注的審計事件信息，將管理人員從繁雜、枯燥的IT內(nèi)審中解放出來，最大程度上降低IT內(nèi)審工作的工作量。

 

    以金融機構為例，在銀行系統(tǒng)中經(jīng)常需要對一個應用系統(tǒng)(如存貸系統(tǒng))業(yè)務操作發(fā)生的事件進行后臺數(shù)據(jù)調(diào)整。這時，為了保證調(diào)整過程可以被審計記錄以及事后審核，就引發(fā)了部署審計系統(tǒng)和數(shù)據(jù)分析模塊的需求。

 

     比如，某建行信息中心在其業(yè)務系統(tǒng)核心交換機處部署了網(wǎng)絡安全審計系統(tǒng)，一方面對通過核心交換機進入營業(yè)網(wǎng)的流量進行審計，重點監(jiān)控內(nèi)部網(wǎng)絡管理人員對重要內(nèi)網(wǎng)資源(主機、數(shù)據(jù)庫、服務器)的Telnet與FTP操作; 另一方面對手工調(diào)賬的行為進行記錄和事后審核，從而有效地控制了IT相關的操作風險。

 

    該銀行選擇了啟明星辰的天網(wǎng)絡安全審計系統(tǒng)。通過采用其日志分析與審計報表組件，順利達到了對海量的日志信息通過多種有效、快捷的手段精確定位用戶的審計結果，實現(xiàn)了遵從“精確結果、完美呈現(xiàn)”的理念，有效減輕了管理人員的繁雜工作，降低了IT內(nèi)審工作的工作量，從而達到對業(yè)務系統(tǒng)信息資源的全局把控和調(diào)度的效果.