淺談面向業(yè)務(wù)的信息安全審計(jì)系統(tǒng)
近些年來, IT系統(tǒng)發(fā)展很快,企業(yè)對(duì)IT系統(tǒng)的依賴程度也越來越高,就一個(gè)網(wǎng)絡(luò)信息系統(tǒng)而言,我們不僅需要考慮一些傳統(tǒng)的安全問題,比如防黑客、防病毒、防垃圾郵件、防后門、防蠕蟲等,但是,隨著信息化程度的提
近些年來, IT系統(tǒng)發(fā)展很快,企業(yè)對(duì)IT系統(tǒng)的依賴程度也越來越高,就一個(gè)網(wǎng)絡(luò)信息系統(tǒng)而言,我們不僅需要考慮一些傳統(tǒng)的安全問題,比如防黑客、防病毒、防垃圾郵件、防后門、防蠕蟲等,但是,隨著信息化程度的提高,各類業(yè)務(wù)系統(tǒng)也變得日益復(fù)雜,對(duì)業(yè)務(wù)系統(tǒng)的防護(hù)也變得越來越重要,非傳統(tǒng)領(lǐng)域的安全治理也變得越來越重要。根據(jù)最新的統(tǒng)計(jì)資料,給企業(yè)造成的嚴(yán)重攻擊中70%是來自于組織中的內(nèi)部人員,因此,針對(duì)業(yè)務(wù)系統(tǒng)的信息安全治理成為一道難題,審計(jì)應(yīng)運(yùn)而生。
一、為什么需要面向業(yè)務(wù)的信息安全審計(jì)?
面向業(yè)務(wù)的信息安全審計(jì)系統(tǒng),顧名思義,是對(duì)用戶業(yè)務(wù)的安全審計(jì),與用戶的各項(xiàng)應(yīng)用業(yè)務(wù)有密切的關(guān)系,是信息安全審計(jì)系統(tǒng)中重要的組成部分,它從用戶的業(yè)務(wù)安全角度出發(fā),思考和分析用戶的網(wǎng)絡(luò)業(yè)務(wù)中所存在的脆弱點(diǎn)和風(fēng)險(xiǎn)。
我們不妨先看兩個(gè)鮮活的案例。不久前,中國青年報(bào)報(bào)道,上海一電腦高手,方某今年25歲,學(xué)的是計(jì)算機(jī)專業(yè),曾是某超市分店資訊組組長。方某利用職務(wù)之便,設(shè)計(jì)非法軟件程序,進(jìn)入超市業(yè)務(wù)系統(tǒng),即超市收銀系統(tǒng)的數(shù)據(jù)庫,通過修改超市收銀系統(tǒng)的數(shù)據(jù)庫數(shù)據(jù)信息,每天將超市的銷售記錄的20%營業(yè)款自動(dòng)刪除,并將收入轉(zhuǎn)存入自己的賬戶。從2004年6月至2005年8月期間,方某等人截留侵吞超市3家門店?duì)I業(yè)款共計(jì)397萬余元之多。
程某31歲,是X公司資深軟件研發(fā)工程師,從2005年2月,他由A地運(yùn)營商系統(tǒng)進(jìn)入B地運(yùn)營商的業(yè)務(wù)系統(tǒng)——充值中心數(shù)據(jù)庫,獲得最高系統(tǒng)權(quán)限,根據(jù)“已充值”的充值卡顯示的18位密碼破解出對(duì)應(yīng)的34位密鑰,然后把“已充值”狀態(tài)改為“未充值”,并修改其有效日期,激活了已經(jīng)使用過的充值卡。他把面值300元的充值密碼以281.5到285元面值不等價(jià)格在網(wǎng)上售出,非法獲利380萬。
通過上述兩個(gè)案例,我們不難發(fā)現(xiàn),內(nèi)部人員,包括內(nèi)部員工或者提供第三方IT支持的維護(hù)人員等,他們利用職務(wù)之便,違規(guī)操作導(dǎo)致的安全問題日益頻繁和突出,這些操作都與客戶的業(yè)務(wù)息息相關(guān)。雖然防火墻、防病毒、入侵檢測(cè)系統(tǒng)、防病毒、內(nèi)網(wǎng)安全管理等常規(guī)的安全產(chǎn)品可以解決大部分傳統(tǒng)意義上的網(wǎng)絡(luò)安全問題,但是,對(duì)于這類與業(yè)務(wù)息息相關(guān)的操作行為、違規(guī)行為的安全問題,必須要有強(qiáng)力的手段來防范和阻止,這就是針對(duì)業(yè)務(wù)的信息安全審計(jì)系統(tǒng)能夠帶給我們的價(jià)值。
二、如何理解面向業(yè)務(wù)的信息安全審計(jì)?
信息安全審計(jì)與信息安全管理密切相關(guān),信息安全審計(jì)的主要依據(jù)為信息安全管理相關(guān)的標(biāo)準(zhǔn),例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。這些標(biāo)準(zhǔn)實(shí)際上是出于不同的角度提出的控制體系,基于這些控制體系可以有效地控制信息安全風(fēng)險(xiǎn),從而達(dá)到信息安全審計(jì)的目的,提高信息系統(tǒng)的安全性。因此,面向業(yè)務(wù)的信息安全審計(jì)系統(tǒng)可以理解成是信息安全審計(jì)的一個(gè)重要的分支。
根據(jù)國外的經(jīng)驗(yàn),如在美國的《薩班斯-奧克斯利法案(2002 Sarbanes-Oxley Act)》的第302條款和第404條款中,強(qiáng)調(diào)通過內(nèi)部控制加強(qiáng)公司治理,包括加強(qiáng)與財(cái)務(wù)報(bào)表相關(guān)的IT系統(tǒng)內(nèi)部控制,其中,IT系統(tǒng)內(nèi)部控制就是面向具體的業(yè)務(wù),它是緊密圍繞信息安全審計(jì)這一核心的。同時(shí),2006年底生效的巴賽爾新資本協(xié)定(Basel II),要求全球銀行必須針對(duì)其市場(chǎng)、信用及營運(yùn)等三種金融作業(yè)風(fēng)險(xiǎn)提供相應(yīng)水準(zhǔn)的資金準(zhǔn)備,迫使各銀行必須做好風(fēng)險(xiǎn)控管(risk management),而這部“金融作業(yè)風(fēng)險(xiǎn)”的防范也正是需要業(yè)務(wù)信息安全審計(jì)為依托。這些國家和組織對(duì)信息安全審計(jì)的定位已經(jīng)從概念階段向?qū)崿F(xiàn)階段過渡了,他們走在了我們的前面。
可喜的是,我國政府行業(yè)、金融行業(yè)已相繼推出了數(shù)十部法律法規(guī),如:國家《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、《商業(yè)銀行內(nèi)部控制指引 》、《中國移動(dòng)集團(tuán)內(nèi)控手冊(cè)》、《中國電信股份公司內(nèi)部控制手冊(cè)》、《中國網(wǎng)通集團(tuán)內(nèi)部控制體系建設(shè)指導(dǎo)意見》、《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》、《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引》、《中國銀行業(yè)監(jiān)督委員會(huì)辦公廳文件銀監(jiān)辦通313號(hào)》、《保險(xiǎn)公司內(nèi)部審計(jì)指引(試行)》、《保險(xiǎn)公司風(fēng)險(xiǎn)管理指引(試行)》、《深圳證券交易所上市公司內(nèi)部控制指引 》、《上海證券交易所上市公司內(nèi)部控制指引 》等,這些法律法規(guī)的出臺(tái)確立了面向業(yè)務(wù)的信息安全審計(jì)的必要性。
面向業(yè)務(wù)的信息安全審計(jì),正在被越來越多的行業(yè)和機(jī)構(gòu)所重視,它代表著由傳統(tǒng)信息安全向業(yè)務(wù)信息安全領(lǐng)域縱深發(fā)展的必然的趨勢(shì)要求。
一、為什么需要面向業(yè)務(wù)的信息安全審計(jì)?
面向業(yè)務(wù)的信息安全審計(jì)系統(tǒng),顧名思義,是對(duì)用戶業(yè)務(wù)的安全審計(jì),與用戶的各項(xiàng)應(yīng)用業(yè)務(wù)有密切的關(guān)系,是信息安全審計(jì)系統(tǒng)中重要的組成部分,它從用戶的業(yè)務(wù)安全角度出發(fā),思考和分析用戶的網(wǎng)絡(luò)業(yè)務(wù)中所存在的脆弱點(diǎn)和風(fēng)險(xiǎn)。
我們不妨先看兩個(gè)鮮活的案例。不久前,中國青年報(bào)報(bào)道,上海一電腦高手,方某今年25歲,學(xué)的是計(jì)算機(jī)專業(yè),曾是某超市分店資訊組組長。方某利用職務(wù)之便,設(shè)計(jì)非法軟件程序,進(jìn)入超市業(yè)務(wù)系統(tǒng),即超市收銀系統(tǒng)的數(shù)據(jù)庫,通過修改超市收銀系統(tǒng)的數(shù)據(jù)庫數(shù)據(jù)信息,每天將超市的銷售記錄的20%營業(yè)款自動(dòng)刪除,并將收入轉(zhuǎn)存入自己的賬戶。從2004年6月至2005年8月期間,方某等人截留侵吞超市3家門店?duì)I業(yè)款共計(jì)397萬余元之多。
程某31歲,是X公司資深軟件研發(fā)工程師,從2005年2月,他由A地運(yùn)營商系統(tǒng)進(jìn)入B地運(yùn)營商的業(yè)務(wù)系統(tǒng)——充值中心數(shù)據(jù)庫,獲得最高系統(tǒng)權(quán)限,根據(jù)“已充值”的充值卡顯示的18位密碼破解出對(duì)應(yīng)的34位密鑰,然后把“已充值”狀態(tài)改為“未充值”,并修改其有效日期,激活了已經(jīng)使用過的充值卡。他把面值300元的充值密碼以281.5到285元面值不等價(jià)格在網(wǎng)上售出,非法獲利380萬。
通過上述兩個(gè)案例,我們不難發(fā)現(xiàn),內(nèi)部人員,包括內(nèi)部員工或者提供第三方IT支持的維護(hù)人員等,他們利用職務(wù)之便,違規(guī)操作導(dǎo)致的安全問題日益頻繁和突出,這些操作都與客戶的業(yè)務(wù)息息相關(guān)。雖然防火墻、防病毒、入侵檢測(cè)系統(tǒng)、防病毒、內(nèi)網(wǎng)安全管理等常規(guī)的安全產(chǎn)品可以解決大部分傳統(tǒng)意義上的網(wǎng)絡(luò)安全問題,但是,對(duì)于這類與業(yè)務(wù)息息相關(guān)的操作行為、違規(guī)行為的安全問題,必須要有強(qiáng)力的手段來防范和阻止,這就是針對(duì)業(yè)務(wù)的信息安全審計(jì)系統(tǒng)能夠帶給我們的價(jià)值。
二、如何理解面向業(yè)務(wù)的信息安全審計(jì)?
信息安全審計(jì)與信息安全管理密切相關(guān),信息安全審計(jì)的主要依據(jù)為信息安全管理相關(guān)的標(biāo)準(zhǔn),例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。這些標(biāo)準(zhǔn)實(shí)際上是出于不同的角度提出的控制體系,基于這些控制體系可以有效地控制信息安全風(fēng)險(xiǎn),從而達(dá)到信息安全審計(jì)的目的,提高信息系統(tǒng)的安全性。因此,面向業(yè)務(wù)的信息安全審計(jì)系統(tǒng)可以理解成是信息安全審計(jì)的一個(gè)重要的分支。
根據(jù)國外的經(jīng)驗(yàn),如在美國的《薩班斯-奧克斯利法案(2002 Sarbanes-Oxley Act)》的第302條款和第404條款中,強(qiáng)調(diào)通過內(nèi)部控制加強(qiáng)公司治理,包括加強(qiáng)與財(cái)務(wù)報(bào)表相關(guān)的IT系統(tǒng)內(nèi)部控制,其中,IT系統(tǒng)內(nèi)部控制就是面向具體的業(yè)務(wù),它是緊密圍繞信息安全審計(jì)這一核心的。同時(shí),2006年底生效的巴賽爾新資本協(xié)定(Basel II),要求全球銀行必須針對(duì)其市場(chǎng)、信用及營運(yùn)等三種金融作業(yè)風(fēng)險(xiǎn)提供相應(yīng)水準(zhǔn)的資金準(zhǔn)備,迫使各銀行必須做好風(fēng)險(xiǎn)控管(risk management),而這部“金融作業(yè)風(fēng)險(xiǎn)”的防范也正是需要業(yè)務(wù)信息安全審計(jì)為依托。這些國家和組織對(duì)信息安全審計(jì)的定位已經(jīng)從概念階段向?qū)崿F(xiàn)階段過渡了,他們走在了我們的前面。
可喜的是,我國政府行業(yè)、金融行業(yè)已相繼推出了數(shù)十部法律法規(guī),如:國家《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、《商業(yè)銀行內(nèi)部控制指引 》、《中國移動(dòng)集團(tuán)內(nèi)控手冊(cè)》、《中國電信股份公司內(nèi)部控制手冊(cè)》、《中國網(wǎng)通集團(tuán)內(nèi)部控制體系建設(shè)指導(dǎo)意見》、《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》、《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引》、《中國銀行業(yè)監(jiān)督委員會(huì)辦公廳文件銀監(jiān)辦通313號(hào)》、《保險(xiǎn)公司內(nèi)部審計(jì)指引(試行)》、《保險(xiǎn)公司風(fēng)險(xiǎn)管理指引(試行)》、《深圳證券交易所上市公司內(nèi)部控制指引 》、《上海證券交易所上市公司內(nèi)部控制指引 》等,這些法律法規(guī)的出臺(tái)確立了面向業(yè)務(wù)的信息安全審計(jì)的必要性。
面向業(yè)務(wù)的信息安全審計(jì),正在被越來越多的行業(yè)和機(jī)構(gòu)所重視,它代表著由傳統(tǒng)信息安全向業(yè)務(wù)信息安全領(lǐng)域縱深發(fā)展的必然的趨勢(shì)要求。

責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
- 相關(guān)閱讀
- 安全信息
- 安全技術(shù)
- 系統(tǒng)安全
- 信息安全案例
- 等級(jí)保護(hù)
- 安防軟件
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》