金融行業是現代服務業的重要組成部分,它通過溝通整個社會的經濟活動而成為現代經濟的核心。<?XML:NAMESPACE PREFIX = O />
近年來,隨著金融信息化進程的不斷推進,信息技術在金融業務中起著越來越重要的作用,越來越多的金融業務流程依賴信息技術。現代金融行業在組織結構、業務流程、業務開拓以及客戶服務等方面,日益體現出以知識和信息為基礎的特征。但隨著信息系統在金融行業業務運營中的作用越來越重要,金融行業信息系統所面臨的威脅和風險也越來越大,外部黑客或不法分子虎視眈眈,內部違規或犯罪事件正呈上升趨勢。
據CSI計算機犯罪調查,在有預謀的信息犯罪中,80%以上是內部人員作案。要想根本解決內部人員違規或作案問題,進而完善信息科技內部控制體系,只有加強信息科技審計制度才是治本之法。
安全審計產品部署在金融行業的價值所在
據了解,目前缺乏有效的審計手段是信息科技監管所面臨的最大問題,“服務在網內,監管在網外”,數據在信息系統內被每秒上千次的自動化處理,而審計時卻只能靠人工進行檢查,檢查的范圍、深度等都非常有限,這使得審計監管的力度和深度難以保證,也是很多違規或犯罪事件發生很長時間后才被發現重要原因之一。
因此,必須要通過部署安全審計產品,實時監測數據在信息系統內的操作,發現違規操作立即報警,并保存記錄操作過程以備將來查詢取證,實現“服務在網內,監管在網內”的目標,從而使得信息科技內控體系進一步完善。
除此之外,國家、金融監管機構在信息科技監管要求中也都明確提出要實現安全審計功能。國家等級保護相關標準中要求二級以上信息系統中的網絡層面、主機層面和應用層面均要求進行安全審計,同時也明確要求了審計的范圍、審計內容等。銀監會19號文中也明確提出“控制所有生產系統的活動日志,以支持有效的審計、安全論證分析和預防欺詐”。國外信息安全方面的標準或最佳實踐(如ISO13335、ISO27001、SP800)等也要求對用戶行為、系統操作進行審計。
對于安全審計產品而言,其通過對IT系統中相關信息的收集、分析和報告,來判定現有IT安全控制的有效性,檢查IT系統的誤用和濫用行為,驗證當前安全策略的合規性,獲取犯罪和違規的證據。
那么,總體來說,部署安全審計系統能夠帶來什么樣的價值呢?
1)滿足合規性要求,順利通過IT審計
目前,越來越多的單位面臨一種或者幾種合規性要求。比如,在美國上市的公司及其下屬分子公司就面臨SOX法案的合規性要求;而商業銀行則面臨Basel協議的合規性要求;政府的行政事業單位或者國有企業則有遵循等級保護的合規性要求。
安全審計系統有助于完善組織的IT內控與審計體系,從而滿足各種合規性要求,并且使組織能夠順利通過IT審計。
2)有效減少核心信息資產的破壞和泄漏
對單位的業務系統來說,真正重要的核心信息資產往往存放在少數幾個關鍵系統上(如數據庫服務器、應用服務器等),通過使用安全審計系統,能夠加強對這些關鍵系統的審計,從而有效地減少對核心信息資產的破壞和泄漏。
3)追蹤溯源,便于事后追查原因與界定責任
審計監控體系能夠完整的詮釋責任認定體系。通過穩定而成熟的審計技術,可以建立起一個行為不可抵賴、數據可靠,完整并且強有力的責任認定體系。
通過從不同層面對支付系統中各種設備的操作和管理行為,包括本地操作和遠程操作的綜合審計,可以很好的將上述行為記錄下來,并且長時間保存,可以達到很好的達到審計監控目的,從而有效進行責任認定。
4)實現獨立審計與三權分立,完善IT內控機制
從內控的角度來看,IT系統的使用權、管理權與監督權必須三權分立。在三權分立的基礎上實施內控與審計,有效地控制操作風險(包括業務操作風險與運維操作風險等)。安全審計實現獨立的審計與三權分立,完善IT內控機制。
透過不同功能安全審計產品聚焦金融需求
在總體了解安全審計產品的價值后,我們不難發現,安全審計的主要目的是對用戶的行為進行分析、報警和記錄,因此,可以按用戶的IT行為對安全審計產品進行一下分類,如下四類所述:
--上網行為審計:內部用戶訪問互聯網的行為和內容進行審計。主要識別的是Http、SMTP、FTP等協議,同時對互聯網的常用應用如QQ、MSN、BT等也需要識別。互聯網審計一般是對內部員工的上網進行規范。
--辦公行為審計:內部用戶打印、收發郵件、FTP下載等行為進行審計。
--運維行為審計:運維人員對網絡設備、主機系統、數據庫中間件、應用系統等進行配置、變更、備份等操作進行審計。
--業務操作審計:業務人員通過業務系統進行業務操作行為的審計。由于業務操作最終會體現在數據庫中,所以通過數據庫審計可有效反映業務操作行為。
在金融行業中,運維行為和業務操作行為如果出現違規不僅可能造成業務中斷甚至造成資金丟失等嚴重金融事件,因此運維行為審計和業務操作行為審計是金融行業關注的重點。對此,目前市場上有運維審計產品、數據庫審計產品、日志審計產品和安全綜合審計產品。
運維審計產品主要是實現系統用戶的集中管理和運維人員的運維操作控制及審計功能。產品采用邏輯串行部署方式,一般部署在運維區的交換機上,運維人員不能直接訪問主機服務器,必須首先登錄到運維審計產品后才能訪問主機服務器進行運維操作。運維審計產品把運維人員的所有運維操作全部記錄下來,并且根據事先制定的策略允許或禁止某些操作的執行,并且對于高危險操作實時進行報警。
數據庫審計產品能夠監視并記錄對數據庫服務器的各類操作行為,實時地、智能地解析對數據庫服務器的各種操作,一般操作行為如數據庫的登錄,特定的操作如對數據庫表的插入、刪除、修改,執行特定的存貯過程等都能夠被記錄和分析,分析的內容要求可以精確到SQL操作語句一級,并記錄這些操作的用戶名、機器IP地址、操作時間等重要信息。
日志審計產品能夠收集、分析和記錄操作系統、網絡設備、應用中間件等系統的日志數據。日志審計產品主要采用Syslog、SNMP Trap等方式采集系統日志,不需要在被采集設備上安裝采集代理程序。日志審計產品將各系統的日志統一集中存儲,可以有效保護審計日志的完整性,為日后的審計取證提供依據。
下表描述了目前市場上的審計產品能夠審計的用戶行為之間的關系:
給金融一個統一融合的安全審計方案
為了實現信息科技的全面安全審計而部署的日志審計、數據庫審計和運維審計系統是不應該彼此割裂的,而能夠統一為一個整體,將收集到IT資源日志、數據庫訪問操作日志、系統運維操作日志一起進行關聯分析處理,進行統一管理、統一展現、統一分析、統一存儲,實現組織安全審計工作的一體化。
綜合安全審計系統的常見邏輯結構圖1如下:
圖1 綜合安全審計系統的常見邏輯結構圖
其中綜合安全審計系統內部功能結構圖如下圖2所示:
圖2 綜合安全審計系統內部功能結構
如上圖2所示,綜合安全審計系統各功能模塊的主要作用:
1) 審計日志采集中心:收集日志審計設備、數據庫審計設備和運維審計設備等產生的審計日志信息,在審計日志采集的過程中,實現審計日志的過濾、范式化等操作。
2) 審計日志存儲中心:接收審計日志采集中心的數據,進行分類入庫保留原始的日志,同時,也會保存范式化數據以及關聯分析數據,這些數據統一入庫存儲。
3) 審計日志分析中心:對日志審計信息、數據審計信息、運維審計信息進行關聯分析和數據挖掘,深入分析可能存在的違規行為。
4) 綜合顯示中心:提供一個統一的操作管理界面,方便安全審計人員進行操作,該中心主要包括如下模塊:
--實時監控模塊:實時顯示符合審計策略的報警信息,主要起到事中或實時審計的作用。
--查詢檢索模塊:通過關鍵字進行組合查詢,得到系統管理員所需要的結果。
--綜合報表模塊。形成合規性報表、按照訪問者、時間段、被審計對象、操作內容等生成報表。另外,報表系統提供方便的擴展接口,方便用戶生成定制化報表。
--事后取證:日志存儲中心存儲了最原始的審計日志信息,通過事件取證功能,可以獲取相應的審計證據。
5) 用戶管理模塊。根據獨立審計的原則,集中日志審計系統采用三權分立的用戶管理辦法,管理員、操作員和審計員權限分離,同時,不同用戶對系統的訪問和使用采用基于角色的訪問控制(RBAC)策略進行細粒度的控制。
6) 系統自身安全模塊。集中日志審計系統作為重要的系統,對可用性有較高的要求,系統安全模塊來監控各個組件以及數據庫的狀態,一旦一場或空間達到定義的閾值就給出提示,系統管理人員進行相應的處理。
結束語
完善信息科技內控體系,必然要求實現安全審計的全面性和實時性,因此各安全審計系統整合后的綜合安全審計是未來發展的必然。通過部署綜合安全審計系統,可以建立起一個行為不可抵賴、數據可靠,完整并且強有力的責任認定體系,為完善金融行業內部控制體系提供強有力的保障。
