淺談面向業(yè)務(wù)的信息安全審計系統(tǒng)

2013-10-21 11:10:53 eNet硅谷動力　點擊量：評論 (0)

近些年來， IT系統(tǒng)發(fā)展很快，企業(yè)對IT系統(tǒng)的依賴程度也越來越高，就一個網(wǎng)絡(luò)信息系統(tǒng)而言，我們不僅需要考慮一些傳統(tǒng)的安全問題，比如防黑客、防病毒、防垃圾郵件、防后門、防蠕蟲等，但是，隨著信息化程度的提

三、如何實現(xiàn)面向業(yè)務(wù)的信息安全審計？

　　啟明星辰天玥網(wǎng)絡(luò)安全審計系統(tǒng)，從保障用戶的業(yè)務(wù)正常運行、保護用戶的業(yè)務(wù)資產(chǎn)、提高用戶業(yè)務(wù)資產(chǎn)安全性的角度出發(fā)，以“合規(guī)性管理、細粒度審計”為落腳點，全面地審計網(wǎng)絡(luò)行為，管理企業(yè)內(nèi)信息系統(tǒng)的合規(guī)性。它的核心作用是加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、避免核心資產(chǎn)損失、保障業(yè)務(wù)系統(tǒng)的正常運營。

　　1.從審計準確精度入手，做到三審

　　即“審用戶、審角色、審權(quán)限”。審用戶，是一個人的概念，主要包括使用審計信息系統(tǒng)本身的用戶，也包括網(wǎng)絡(luò)中各項業(yè)務(wù)需要訪問的用戶。對使用審計信息系統(tǒng)本身的用戶，采取了系統(tǒng)管理員、審計員、操作員等方式進行審計和管理。對于需要訪問業(yè)務(wù)資源的用戶，采取了身份認證系統(tǒng)，當認證用戶得到確認后，方可進行業(yè)務(wù)的操作。

　　審角色，天玥網(wǎng)絡(luò)安全審計系統(tǒng)通過定義角色，根據(jù)業(yè)務(wù)用戶在業(yè)務(wù)流程中所扮演的角色進行分類，從而有效地定義可讀性更強的審計規(guī)則與策略。審計記錄不僅包括源IP、目的IP等原始信息，還包含用戶的角色或者身份信息，審計員將得到更有意義的審計結(jié)果。相關(guān)的用戶角色或者身份信息還可用于輔助界定事件責任。

　　審權(quán)限，主要包括用戶權(quán)限和操作權(quán)限，當每一個用戶被賦予角色后，角色就有執(zhí)行操作的可能，在執(zhí)行操作的過程中就需要有權(quán)限設(shè)立，從而達到規(guī)范角色行為的目的。系統(tǒng)從內(nèi)控的角度出發(fā)，對IT系統(tǒng)的使用權(quán)、管理權(quán)與監(jiān)督權(quán)做到三權(quán)分立和三權(quán)分管。

　　審用戶、審角色、審權(quán)限三者有機結(jié)合，從而達到審計信息系統(tǒng)精確定位到人的目的。

　　2.從審計行為的深度入手，做到三看

　　即“看協(xié)議、看程度、看回放”。看協(xié)議，天玥網(wǎng)絡(luò)安全審計系統(tǒng)通過對當前市場上主流網(wǎng)絡(luò)業(yè)務(wù)行為的研究，主要把網(wǎng)絡(luò)業(yè)務(wù)行為分為三大類，即數(shù)據(jù)庫操作的行為、辦公OA操作的行為和系統(tǒng)網(wǎng)絡(luò)維護的操作行為。在審計這三大類的協(xié)議方面，天玥系統(tǒng)有著全面的能力，包括但不限于：HTTP協(xié)議、TELNET協(xié)議、POP3協(xié)議、SMTP協(xié)議、FTP協(xié)議、NETBIOS協(xié)議、TDS協(xié)議、TNS協(xié)議等。

　　看程度，除了審計協(xié)議全面性外，天玥系統(tǒng)的一個主要特點是對協(xié)議的分析深度較深，能夠針對很多重要系統(tǒng)提供精確到命令的審計與響應(yīng)。比如，天玥系統(tǒng)能夠?qū)徲嫷絋ELNET會話過程中執(zhí)行的命令和數(shù)據(jù)庫連接過程中執(zhí)行的SQL語句。

　　看回放，天玥系統(tǒng)能夠完整地記錄網(wǎng)絡(luò)會話內(nèi)容，比如TELNET、FTP、HTTP以及遠程數(shù)據(jù)庫訪問等，并且能夠根據(jù)各種協(xié)議的不同語義進行回放，從而真實地再現(xiàn)用戶操作過程，讓系統(tǒng)的用戶可以做到有據(jù)可查。

　　3.從用戶的易用性角度，做到三給：給證據(jù)、給分析、給報告

　　即“給證據(jù)、給分析、給報告”。給證據(jù)，天玥系統(tǒng)能對不合規(guī)定的連接嘗試、不按規(guī)定設(shè)置防火墻策略、不按規(guī)定進行運維的操作、不按規(guī)定直接訪問后臺數(shù)據(jù)庫、使用未經(jīng)許可的軟件訪問重要系統(tǒng)、私自設(shè)立代理服務(wù)器/軟件路由器等不合規(guī)定的行為作出翔實的審計記錄，為下一步采取措施提供依據(jù)。

　　給分析，天玥系統(tǒng)根據(jù)會從各種系統(tǒng)日志里面去分析是否有各類協(xié)議行為、操作結(jié)果留下來的“蛛絲馬跡”來判斷是否發(fā)生了針對業(yè)務(wù)的安全事件。同時，系統(tǒng)也分析審計記錄中各類人員的企圖，一步步地追查出違規(guī)者。

　　給報告，天玥系統(tǒng)提供設(shè)計一套完善的審計報告輸出機制，審計報告多達上百種，并且還有符合SOX法案的專業(yè)報表。系統(tǒng)可以根據(jù)用戶的需求、重點關(guān)心的問題，設(shè)定審計輸出報告，使得用戶能迅速地得到自己最關(guān)心的信息，讓審計報告更容易理解?？苫诟黝愐氐慕M合進行設(shè)置，包括但不限于：絕對時間范圍、相對時間范圍、客戶端IP、客戶端端口號、服務(wù)端IP、服務(wù)端端口、關(guān)鍵字、事件級別等條件。

　　當今信息安全領(lǐng)域，我們已經(jīng)不能簡單地認為，只要有防火墻、IDS、IPS、內(nèi)網(wǎng)管理等系統(tǒng)的上線就可以解決網(wǎng)絡(luò)安全問題，我們更不能簡單地認為，由于各類業(yè)務(wù)系統(tǒng)應(yīng)用在安全防護下就不會有任何安全風險。事實上，正是面向業(yè)務(wù)的信息系統(tǒng)安全審計系統(tǒng)開啟了我們從傳統(tǒng)安全領(lǐng)域向業(yè)務(wù)安全領(lǐng)域思考的一扇窗戶，它把我們理解的信息安全思路引向了一個更加貼合業(yè)務(wù)應(yīng)用、更加貼合業(yè)務(wù)管理的角度來看待信息安全。

　　因此，面向業(yè)務(wù)的信息系統(tǒng)安全審計系統(tǒng)，必定能在較長的一段時間里得到市場和用戶認同。同時，啟明星辰認為，無論信息系統(tǒng)安全審計的內(nèi)涵如何變化與發(fā)展，面向業(yè)務(wù)的信息系統(tǒng)安全審計系統(tǒng)，一定能在未來信息安全領(lǐng)域扮演重要的角色。因為，面向業(yè)務(wù)的信息系統(tǒng)安全審計系統(tǒng)已經(jīng)不僅在創(chuàng)造網(wǎng)絡(luò)安全的價值，更加創(chuàng)造業(yè)務(wù)管理的價值。