您现在的位置是:首页 > 行业 > 金融 >
金融安全审计需要从何入手
2010-07-28 17:47:00作者:张辉来源:
摘要金融行业是现代服务业的重要组成部分,它通过沟通整个社会的经济活动而成为现代经济的核心。...
金融行业是现代服务业的重要组成部分,它通过沟通整个社会的经济活动而成为现代经济的核心。
近年来,随着金融信息化进程的不断推进,信息技术在金融业务中起着越来越重要的作用,越来越多的金融业务流程依赖信息技术。现代金融行业在组织结构、业务流程、业务开拓以及客户服务等方面,日益体现出以知识和信息为基础的特征。但随着信息系统在金融行业业务运营中的作用越来越重要,金融行业信息系统所面临的威胁和风险也越来越大,外部黑客或不法分子虎视眈眈,内部违规或犯罪事件正呈上升趋势。
据CSI计算机犯罪调查,在有预谋的信息犯罪中,80%以上是内部人员作案。要想根本解决内部人员违规或作案问题,进而完善信息科技内部控制体系,只有加强信息科技审计制度才是治本之法。
安全审计产品部署在金融行业的价值所在
据了解,目前缺乏有效的审计手段是信息科技监管所面临的最大问题,“服务在网内,监管在网外”,数据在信息系统内被每秒上千次的自动化处理,而审计时却只能靠人工进行检查,检查的范围、深度等都非常有限,这使得审计监管的力度和深度难以保证,也是很多违规或犯罪事件发生很长时间后才被发现重要原因之一。
因此,必须要通过部署安全审计产品,实时监测数据在信息系统内的操作,发现违规操作立即报警,并保存记录操作过程以备将来查询取证,实现“服务在网内,监管在网内”的目标,从而使得信息科技内控体系进一步完善。
除此之外,国家、金融监管机构在信息科技监管要求中也都明确提出要实现安全审计功能。国家等级保护相关标准中要求二级以上信息系统中的网络层面、主机层面和应用层面均要求进行安全审计,同时也明确要求了审计的范围、审计内容等。银监会19号文中也明确提出“控制所有生产系统的活动日志,以支持有效的审计、安全论证分析和预防欺诈”。国外信息安全方面的标准或最佳实践(如ISO13335、ISO27001、SP800)等也要求对用户行为、系统操作进行审计。
对于安全审计产品而言,其通过对IT系统中相关信息的收集、分析和报告,来判定现有IT安全控制的有效性,检查IT系统的误用和滥用行为,验证当前安全策略的合规性,获取犯罪和违规的证据。
那么,总体来说,部署安全审计系统能够带来什么样的价值呢?
1)满足合规性要求,顺利通过IT审计
目前,越来越多的单位面临一种或者几种合规性要求。比如,在美国上市的公司及其下属分子公司就面临SOX法案的合规性要求;而商业银行则面临Basel协议的合规性要求;政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。
安全审计系统有助于完善组织的IT内控与审计体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。
2)有效减少核心信息资产的破坏和泄漏
对单位的业务系统来说,真正重要的核心信息资产往往存放在少数几个关键系统上(如数据库服务器、应用服务器等),通过使用安全审计系统,能够加强对这些关键系统的审计,从而有效地减少对核心信息资产的破坏和泄漏。
3)追踪溯源,便于事后追查原因与界定责任
审计监控体系能够完整的诠释责任认定体系。通过稳定而成熟的审计技术,可以建立起一个行为不可抵赖、数据可靠,完整并且强有力的责任认定体系。
通过从不同层面对支付系统中各种设备的操作和管理行为,包括本地操作和远程操作的综合审计,可以很好的将上述行为记录下来,并且长时间保存,可以达到很好的达到审计监控目的,从而有效进行责任认定。
4)实现独立审计与三权分立,完善IT内控机制
从内控的角度来看,IT系统的使用权、管理权与监督权必须三权分立。在三权分立的基础上实施内控与审计,有效地控制操作风险(包括业务操作风险与运维操作风险等)。安全审计实现独立的审计与三权分立,完善IT内控机制。
透过不同功能安全审计产品聚焦金融需求
在总体了解安全审计产品的价值后,我们不难发现,安全审计的主要目的是对用户的行为进行分析、报警和记录,因此,可以按用户的IT行为对安全审计产品进行一下分类,如下四类所述:
上网行为审计:内部用户访问互联网的行为和内容进行审计。主要识别的是Http、SMTP、FTP等协议,同时对互联网的常用应用如QQ、MSN、BT等也需要识别。互联网审计一般是对内部员工的上网进行规范。
办公行为审计:内部用户打印、收发邮件、FTP下载等行为进行审计。
运维行为审计:运维人员对网络设备、主机系统、数据库中间件、应用系统等进行配置、变更、备份等操作进行审计。
业务操作审计:业务人员通过业务系统进行业务操作行为的审计。由于业务操作最终会体现在数据库中,所以通过数据库审计可有效反映业务操作行为。
在金融行业中,运维行为和业务操作行为如果出现违规不仅可能造成业务中断甚至造成资金丢失等严重金融事件,因此运维行为审计和业务操作行为审计是金融行业关注的重点。对此,目前市场上有运维审计产品、数据库审计产品、日志审计产品和安全综合审计产品。
运维审计产品主要是实现系统用户的集中管理和运维人员的运维操作控制及审计功能。产品采用逻辑串行部署方式,一般部署在运维区的交换机上,运维人员不能直接访问主机服务器,必须首先登录到运维审计产品后才能访问主机服务器进行运维操作。运维审计产品把运维人员的所有运维操作全部记录下来,并且根据事先制定的策略允许或禁止某些操作的执行,并且对于高危险操作实时进行报警。
数据库审计产品能够监视并记录对数据库服务器的各类操作行为,实时地、智能地解析对数据库服务器的各种操作,一般操作行为如数据库的登录,特定的操作如对数据库表的插入、删除、修改,执行特定的存贮过程等都能够被记录和分析,分析的内容要求可以精确到SQL操作语句一级,并记录这些操作的用户名、机器IP地址、操作时间等重要信息。
日志审计产品能够收集、分析和记录操作系统、网络设备、应用中间件等系统的日志数据。日志审计产品主要采用Syslog、SNMP Trap等方式采集系统日志,不需要在被采集设备上安装采集代理程序。日志审计产品将各系统的日志统一集中存储,可以有效保护审计日志的完整性,为日后的审计取证提供依据。
下表描述了目前市场上的审计产品能够审计的用户行为之间的关系:
用户行为
审计产品
|
上网行为
|
办公行为
|
运维行为
|
业务操作行为
|
日志审计
|
部分
|
部分
|
部分
|
可以(需业务系统接口)
|
运维审计
|
不能
|
不能
|
绝大部分支持Telnet、FTP、SSH、Sftp等协议运维行为
|
不能
|
数据库审计
|
不能
|
不能
|
支持对数据库运维审计
|
大部分
|
为了实现信息科技的全面安全审计而部署的日志审计、数据库审计和运维审计系统是不应该彼此割裂的,而能够统一为一个整体,将收集到IT资源日志、数据库访问操作日志、系统运维操作日志一起进行关联分析处理,进行统一管理、统一展现、统一分析、统一存储,实现组织安全审计工作的一体化。
综合安全审计系统的常见逻辑结构图1如下:
图1 综合安全审计系统的常见逻辑结构图
其中综合安全审计系统内部功能结构图如下图2所示:
图2 综合安全审计系统内部功能结构
如上图2所示,综合安全审计系统各功能模块的主要作用:
1)审计日志采集中心:收集日志审计设备、数据库审计设备和运维审计设备等产生的审计日志信息,在审计日志采集的过程中,实现审计日志的过滤、范式化等操作。
2)审计日志存储中心:接收审计日志采集中心的数据,进行分类入库保留原始的日志,同时,也会保存范式化数据以及关联分析数据,这些数据统一入库存储。
3)审计日志分析中心:对日志审计信息、数据审计信息、运维审计信息进行关联分析和数据挖掘,深入分析可能存在的违规行为。
4)综合显示中心:提供一个统一的操作管理界面,方便安全审计人员进行操作,该中心主要包括如下模块:
实时监控模块:实时显示符合审计策略的报警信息,主要起到事中或实时审计的作用。
查询检索模块:通过关键字进行组合查询,得到系统管理员所需要的结果。
综合报表模块。形成合规性报表、按照访问者、时间段、被审计对象、操作内容等生成报表。另外,报表系统提供方便的扩展接口,方便用户生成定制化报表。
事后取证:日志存储中心存储了最原始的审计日志信息,通过事件取证功能,可以获取相应的审计证据。
5)用户管理模块。根据独立审计的原则,集中日志审计系统采用三权分立的用户管理办法,管理员、操作员和审计员权限分离,同时,不同用户对系统的访问和使用采用基于角色的访问控制(RBAC)策略进行细粒度的控制。
6)系统自身安全模块。集中日志审计系统作为重要的系统,对可用性有较高的要求,系统安全模块来监控各个组件以及数据库的状态,一旦一场或空间达到定义的阈值就给出提示,系统管理人员进行相应的处理。
结束语
完善信息科技内控体系,必然要求实现安全审计的全面性和实时性,因此各安全审计系统整合后的综合安全审计是未来发展的必然。通过部署综合安全审计系统,可以建立起一个行为不可抵赖、数据可靠,完整并且强有力的责任认定体系,为完善金融行业内部控制体系提供强有力的保障。
(本文不涉密)
责任编辑: