金融行業(yè)需要什么樣的安全審計(jì)產(chǎn)品
金融行業(yè)是現(xiàn)代服務(wù)業(yè)的重要組成部分,它通過(guò)溝通整個(gè)社會(huì)的經(jīng)濟(jì)活動(dòng)而成為現(xiàn)代經(jīng)濟(jì)的核心。 近年來(lái),隨著金融信息化進(jìn)程的不斷推進(jìn),信息技術(shù)在金融業(yè)務(wù)中起著越來(lái)越重要的作用,越來(lái)越多的金融業(yè)務(wù)流程
金融行業(yè)是現(xiàn)代服務(wù)業(yè)的重要組成部分,它通過(guò)溝通整個(gè)社會(huì)的經(jīng)濟(jì)活動(dòng)而成為現(xiàn)代經(jīng)濟(jì)的核心。
近年來(lái),隨著金融信息化進(jìn)程的不斷推進(jìn),信息技術(shù)在金融業(yè)務(wù)中起著越來(lái)越重要的作用,越來(lái)越多的金融業(yè)務(wù)流程依賴信息技術(shù)。現(xiàn)代金融行業(yè)在組織結(jié)構(gòu)、業(yè)務(wù)流程、業(yè)務(wù)開(kāi)拓以及客戶服務(wù)等方面,日益體現(xiàn)出以知識(shí)和信息為基礎(chǔ)的特征。但隨著信息系統(tǒng)在金融行業(yè)業(yè)務(wù)運(yùn)營(yíng)中的作用越來(lái)越重要,金融行業(yè)信息系統(tǒng)所面臨的威脅和風(fēng)險(xiǎn)也越來(lái)越大,外部黑客或不法分子虎視眈眈,內(nèi)部違規(guī)或犯罪事件正呈上升趨勢(shì)。
據(jù)CSI計(jì)算機(jī)犯罪調(diào)查,在有預(yù)謀的信息犯罪中,80%以上是內(nèi)部人員作案。要想根本解決內(nèi)部人員違規(guī)或作案問(wèn)題,進(jìn)而完善信息科技內(nèi)部控制體系,只有加強(qiáng)信息科技審計(jì)制度才是治本之法。
安全審計(jì)產(chǎn)品部署在金融行業(yè)的價(jià)值所在
據(jù)了解,目前缺乏有效的審計(jì)手段是信息科技監(jiān)管所面臨的最大問(wèn)題,“服務(wù)在網(wǎng)內(nèi),監(jiān)管在網(wǎng)外”,數(shù)據(jù)在信息系統(tǒng)內(nèi)被每秒上千次的自動(dòng)化處理,而審計(jì)時(shí)卻只能靠人工進(jìn)行檢查,檢查的范圍、深度等都非常有限,這使得審計(jì)監(jiān)管的力度和深度難以保證,也是很多違規(guī)或犯罪事件發(fā)生很長(zhǎng)時(shí)間后才被發(fā)現(xiàn)重要原因之一。
因此,必須要通過(guò)部署安全審計(jì)產(chǎn)品,實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)在信息系統(tǒng)內(nèi)的操作,發(fā)現(xiàn)違規(guī)操作立即報(bào)警,并保存記錄操作過(guò)程以備將來(lái)查詢?nèi)∽C,實(shí)現(xiàn)“服務(wù)在網(wǎng)內(nèi),監(jiān)管在網(wǎng)內(nèi)”的目標(biāo),從而使得信息科技內(nèi)控體系進(jìn)一步完善。
除此之外,國(guó)家、金融監(jiān)管機(jī)構(gòu)在信息科技監(jiān)管要求中也都明確提出要實(shí)現(xiàn)安全審計(jì)功能。國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)中要求二級(jí)以上信息系統(tǒng)中的網(wǎng)絡(luò)層面、主機(jī)層面和應(yīng)用層面均要求進(jìn)行安全審計(jì),同時(shí)也明確要求了審計(jì)的范圍、審計(jì)內(nèi)容等。銀監(jiān)會(huì)19號(hào)文中也明確提出“控制所有生產(chǎn)系統(tǒng)的活動(dòng)日志,以支持有效的審計(jì)、安全論證分析和預(yù)防欺詐”。國(guó)外信息安全方面的標(biāo)準(zhǔn)或最佳實(shí)踐(如ISO13335、ISO27001、SP800)等也要求對(duì)用戶行為、系統(tǒng)操作進(jìn)行審計(jì)。
對(duì)于安全審計(jì)產(chǎn)品而言,其通過(guò)對(duì)IT系統(tǒng)中相關(guān)信息的收集、分析和報(bào)告,來(lái)判定現(xiàn)有IT安全控制的有效性,檢查IT系統(tǒng)的誤用和濫用行為,驗(yàn)證當(dāng)前安全策略的合規(guī)性,獲取犯罪和違規(guī)的證據(jù)。
那么,總體來(lái)說(shuō),部署安全審計(jì)系統(tǒng)能夠帶來(lái)什么樣的價(jià)值呢?
1)滿足合規(guī)性要求,順利通過(guò)IT審計(jì)
目前,越來(lái)越多的單位面臨一種或者幾種合規(guī)性要求。比如,在美國(guó)上市的公司及其下屬分子公司就面臨SOX法案的合規(guī)性要求;而商業(yè)銀行則面臨Basel協(xié)議的合規(guī)性要求;政府的行政事業(yè)單位或者國(guó)有企業(yè)則有遵循等級(jí)保護(hù)的合規(guī)性要求。
安全審計(jì)系統(tǒng)有助于完善組織的IT內(nèi)控與審計(jì)體系,從而滿足各種合規(guī)性要求,并且使組織能夠順利通過(guò)IT審計(jì)。
2)有效減少核心信息資產(chǎn)的破壞和泄漏
對(duì)單位的業(yè)務(wù)系統(tǒng)來(lái)說(shuō),真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個(gè)關(guān)鍵系統(tǒng)上(如數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器等),通過(guò)使用安全審計(jì)系統(tǒng),能夠加強(qiáng)對(duì)這些關(guān)鍵系統(tǒng)的審計(jì),從而有效地減少對(duì)核心信息資產(chǎn)的破壞和泄漏。
3)追蹤溯源,便于事后追查原因與界定責(zé)任
審計(jì)監(jiān)控體系能夠完整的詮釋責(zé)任認(rèn)定體系。通過(guò)穩(wěn)定而成熟的審計(jì)技術(shù),可以建立起一個(gè)行為不可抵賴、數(shù)據(jù)可靠,完整并且強(qiáng)有力的責(zé)任認(rèn)定體系。
通過(guò)從不同層面對(duì)支付系統(tǒng)中各種設(shè)備的操作和管理行為,包括本地操作和遠(yuǎn)程操作的綜合審計(jì),可以很好的將上述行為記錄下來(lái),并且長(zhǎng)時(shí)間保存,可以達(dá)到很好的達(dá)到審計(jì)監(jiān)控目的,從而有效進(jìn)行責(zé)任認(rèn)定。
4)實(shí)現(xiàn)獨(dú)立審計(jì)與三權(quán)分立,完善IT內(nèi)控機(jī)制
從內(nèi)控的角度來(lái)看,IT系統(tǒng)的使用權(quán)、管理權(quán)與監(jiān)督權(quán)必須三權(quán)分立。在三權(quán)分立的基礎(chǔ)上實(shí)施內(nèi)控與審計(jì),有效地控制操作風(fēng)險(xiǎn)(包括業(yè)務(wù)操作風(fēng)險(xiǎn)與運(yùn)維操作風(fēng)險(xiǎn)等)。安全審計(jì)實(shí)現(xiàn)獨(dú)立的審計(jì)與三權(quán)分立,完善IT內(nèi)控機(jī)制。
透過(guò)不同功能安全審計(jì)產(chǎn)品聚焦金融需求
在總體了解安全審計(jì)產(chǎn)品的價(jià)值后,我們不難發(fā)現(xiàn),安全審計(jì)的主要目的是對(duì)用戶的行為進(jìn)行分析、報(bào)警和記錄,因此,可以按用戶的IT行為對(duì)安全審計(jì)產(chǎn)品進(jìn)行一下分類,如下四類所述:
上網(wǎng)行為審計(jì):內(nèi)部
近年來(lái),隨著金融信息化進(jìn)程的不斷推進(jìn),信息技術(shù)在金融業(yè)務(wù)中起著越來(lái)越重要的作用,越來(lái)越多的金融業(yè)務(wù)流程依賴信息技術(shù)。現(xiàn)代金融行業(yè)在組織結(jié)構(gòu)、業(yè)務(wù)流程、業(yè)務(wù)開(kāi)拓以及客戶服務(wù)等方面,日益體現(xiàn)出以知識(shí)和信息為基礎(chǔ)的特征。但隨著信息系統(tǒng)在金融行業(yè)業(yè)務(wù)運(yùn)營(yíng)中的作用越來(lái)越重要,金融行業(yè)信息系統(tǒng)所面臨的威脅和風(fēng)險(xiǎn)也越來(lái)越大,外部黑客或不法分子虎視眈眈,內(nèi)部違規(guī)或犯罪事件正呈上升趨勢(shì)。
據(jù)CSI計(jì)算機(jī)犯罪調(diào)查,在有預(yù)謀的信息犯罪中,80%以上是內(nèi)部人員作案。要想根本解決內(nèi)部人員違規(guī)或作案問(wèn)題,進(jìn)而完善信息科技內(nèi)部控制體系,只有加強(qiáng)信息科技審計(jì)制度才是治本之法。
安全審計(jì)產(chǎn)品部署在金融行業(yè)的價(jià)值所在
據(jù)了解,目前缺乏有效的審計(jì)手段是信息科技監(jiān)管所面臨的最大問(wèn)題,“服務(wù)在網(wǎng)內(nèi),監(jiān)管在網(wǎng)外”,數(shù)據(jù)在信息系統(tǒng)內(nèi)被每秒上千次的自動(dòng)化處理,而審計(jì)時(shí)卻只能靠人工進(jìn)行檢查,檢查的范圍、深度等都非常有限,這使得審計(jì)監(jiān)管的力度和深度難以保證,也是很多違規(guī)或犯罪事件發(fā)生很長(zhǎng)時(shí)間后才被發(fā)現(xiàn)重要原因之一。
因此,必須要通過(guò)部署安全審計(jì)產(chǎn)品,實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)在信息系統(tǒng)內(nèi)的操作,發(fā)現(xiàn)違規(guī)操作立即報(bào)警,并保存記錄操作過(guò)程以備將來(lái)查詢?nèi)∽C,實(shí)現(xiàn)“服務(wù)在網(wǎng)內(nèi),監(jiān)管在網(wǎng)內(nèi)”的目標(biāo),從而使得信息科技內(nèi)控體系進(jìn)一步完善。
除此之外,國(guó)家、金融監(jiān)管機(jī)構(gòu)在信息科技監(jiān)管要求中也都明確提出要實(shí)現(xiàn)安全審計(jì)功能。國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)中要求二級(jí)以上信息系統(tǒng)中的網(wǎng)絡(luò)層面、主機(jī)層面和應(yīng)用層面均要求進(jìn)行安全審計(jì),同時(shí)也明確要求了審計(jì)的范圍、審計(jì)內(nèi)容等。銀監(jiān)會(huì)19號(hào)文中也明確提出“控制所有生產(chǎn)系統(tǒng)的活動(dòng)日志,以支持有效的審計(jì)、安全論證分析和預(yù)防欺詐”。國(guó)外信息安全方面的標(biāo)準(zhǔn)或最佳實(shí)踐(如ISO13335、ISO27001、SP800)等也要求對(duì)用戶行為、系統(tǒng)操作進(jìn)行審計(jì)。
對(duì)于安全審計(jì)產(chǎn)品而言,其通過(guò)對(duì)IT系統(tǒng)中相關(guān)信息的收集、分析和報(bào)告,來(lái)判定現(xiàn)有IT安全控制的有效性,檢查IT系統(tǒng)的誤用和濫用行為,驗(yàn)證當(dāng)前安全策略的合規(guī)性,獲取犯罪和違規(guī)的證據(jù)。
那么,總體來(lái)說(shuō),部署安全審計(jì)系統(tǒng)能夠帶來(lái)什么樣的價(jià)值呢?
1)滿足合規(guī)性要求,順利通過(guò)IT審計(jì)
目前,越來(lái)越多的單位面臨一種或者幾種合規(guī)性要求。比如,在美國(guó)上市的公司及其下屬分子公司就面臨SOX法案的合規(guī)性要求;而商業(yè)銀行則面臨Basel協(xié)議的合規(guī)性要求;政府的行政事業(yè)單位或者國(guó)有企業(yè)則有遵循等級(jí)保護(hù)的合規(guī)性要求。
安全審計(jì)系統(tǒng)有助于完善組織的IT內(nèi)控與審計(jì)體系,從而滿足各種合規(guī)性要求,并且使組織能夠順利通過(guò)IT審計(jì)。
2)有效減少核心信息資產(chǎn)的破壞和泄漏
對(duì)單位的業(yè)務(wù)系統(tǒng)來(lái)說(shuō),真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個(gè)關(guān)鍵系統(tǒng)上(如數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器等),通過(guò)使用安全審計(jì)系統(tǒng),能夠加強(qiáng)對(duì)這些關(guān)鍵系統(tǒng)的審計(jì),從而有效地減少對(duì)核心信息資產(chǎn)的破壞和泄漏。
3)追蹤溯源,便于事后追查原因與界定責(zé)任
審計(jì)監(jiān)控體系能夠完整的詮釋責(zé)任認(rèn)定體系。通過(guò)穩(wěn)定而成熟的審計(jì)技術(shù),可以建立起一個(gè)行為不可抵賴、數(shù)據(jù)可靠,完整并且強(qiáng)有力的責(zé)任認(rèn)定體系。
通過(guò)從不同層面對(duì)支付系統(tǒng)中各種設(shè)備的操作和管理行為,包括本地操作和遠(yuǎn)程操作的綜合審計(jì),可以很好的將上述行為記錄下來(lái),并且長(zhǎng)時(shí)間保存,可以達(dá)到很好的達(dá)到審計(jì)監(jiān)控目的,從而有效進(jìn)行責(zé)任認(rèn)定。
4)實(shí)現(xiàn)獨(dú)立審計(jì)與三權(quán)分立,完善IT內(nèi)控機(jī)制
從內(nèi)控的角度來(lái)看,IT系統(tǒng)的使用權(quán)、管理權(quán)與監(jiān)督權(quán)必須三權(quán)分立。在三權(quán)分立的基礎(chǔ)上實(shí)施內(nèi)控與審計(jì),有效地控制操作風(fēng)險(xiǎn)(包括業(yè)務(wù)操作風(fēng)險(xiǎn)與運(yùn)維操作風(fēng)險(xiǎn)等)。安全審計(jì)實(shí)現(xiàn)獨(dú)立的審計(jì)與三權(quán)分立,完善IT內(nèi)控機(jī)制。
透過(guò)不同功能安全審計(jì)產(chǎn)品聚焦金融需求
在總體了解安全審計(jì)產(chǎn)品的價(jià)值后,我們不難發(fā)現(xiàn),安全審計(jì)的主要目的是對(duì)用戶的行為進(jìn)行分析、報(bào)警和記錄,因此,可以按用戶的IT行為對(duì)安全審計(jì)產(chǎn)品進(jìn)行一下分類,如下四類所述:
上網(wǎng)行為審計(jì):內(nèi)部

責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
- 相關(guān)閱讀
- 安全信息
- 安全技術(shù)
- 系統(tǒng)安全
- 信息安全案例
- 等級(jí)保護(hù)
- 安防軟件
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
繞過(guò)安卓SSL驗(yàn)證證書(shū)的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》