三、如何实现面向业务的信息安全审计？

    启明星辰天玥网络安全审计系统，从保障用户的业务正常运行、保护用户的业务资产、提高用户业务资产安全性的角度出发，以“合规性管理、细粒度审计”为 落脚点，全面地审计网络行为，管理企业内信息系统的合规性。它的核心作用是加强内外部网络行为监管、避免核心资产损失、保障业务系统的正常运营。

    1. 从审计准确精度入手，做到三审
    即“审用户、审角色、审权限”。审用户，是一个人的概念，主要包括使用审计信息系统本身的用户，也包括网络中各项业务需要访问的用户。对使用审计信息系统本身的用户，采取了系统管理员、审计员、操作员等方式进行审计和管理。对于需要访问业务资源的用户，采取了身份认证系统，当认证用户得到确认后，方可进行业务的操作。

    审角色，天玥网络安全审计系统通过定义角色，根据业务用户在业务流程中所扮演的角色进行分类，从而有效地定义可读性更强的审计规则与策略。审计记录不仅包括源IP、目的IP等原始信息，还包含用户的角色或者身份信息，审计员将得到更有意义的审计结果。相关的用户角色或者身份信息还可用于辅助界定事件责任。

    审权限，主要包括用户权限和操作权限，当每一个用户被赋予角色后，角色就有执行操作的可能，在执行操作的过程中就需要有权限设立，从而达到规范角色行为的目的。系统从内控的角度出发，对IT系统的使用权、管理权与监督权做到三权分立和三权分管。

    审用户、审角色、审权限三者有机结合，从而达到审计信息系统精确定位到人的目的。

    2. 从审计行为的深度入手，做到三看
    即“看协议、看程度、看回放”。看协议，天玥网络安全审计系统通过对当前市场上主流网络业务行为的研究，主要把网络业务行为分为三大类，即数据库操作的行为、办公OA操作的行为和系统网络维护的操作行为。在审计这三大类的协议方面，天玥系统有着全面的能力，包括但不限于：HTTP协议、TELNET协议、POP3协议、SMTP协议、FTP协议、NETBIOS协议、TDS协议、TNS协议等。

    看程度，除了审计协议全面性外，天玥系统的一个主要特点是对协议的分析深度较深，能够针对很多重要系统提供精确到命令的审计与响应。比如，天玥系统能够审计到TELNET会话过程中执行的命令和数据库连接过程中执行的SQL语句。

    看回放，天玥系统能够完整地记录网络会话内容，比如TELNET、FTP、HTTP以及远程数据库访问等，并且能够根据各种协议的不同语义进行回放，从而真实地再现用户操作过程，让系统的用户可以做到有据可查。

    3. 从用户的易用性角度，做到三给：给证据、给分析、给报告
    即“给证据、给分析、给报告”。给证据，天玥系统能对不合规定的连接尝试、不按规定设置防火墙策略、不按规定进行运维的操作、不按规定直接访问后台数据库、使用未经许可的软件访问重要系统、私自设立代理服务器/软件路由器等不合规定的行为作出翔实的审计记录，为下一步采取措施提供依据。

    给分析，天玥系统根据会从各种系统日志里面去分析是否有各类协议行为、操作结果留下来的“蛛丝马迹”来判断是否发生了针对业务的安全事件。同时，系统也分析审计记录中各类人员的企图，一步步地追查出违规者。

    给报告，天玥系统提供设计一套完善的审计报告输出机制，审计报告多达上百种，并且还有符合SOX法案的专业报表。系统可以根据用户的需求、重点关心的问题，设定审计输出报告，使得用户能迅速地得到自己最关心的信息，让审计报告更容易理解。可基于各类要素的组合进行设置，包括但不限于：绝对时间范围、相对时间范围、客户端IP、客户端端口号、服务端IP、服务端端口、关键字、事件级别等条件。

    当今信息安全领域，我们已经不能简单地认为，只要有防火墙、IDS、IPS、内网管理等系统的上线就可以解决网络安全问题，我们更不能简单地认为，由于各类业务系统应用在安全防护下就不会有任何安全风险。事实上，正是面向业务的信息系统安全审计系统开启了我们从传统安全领域向业务安全领域思考的一扇窗户，它把我们理解的信息安全思路引向了一个更加贴合业务应用、更加贴合业务管理的角度来看待信息安全。

    因此，面向业务的信息系统安全审计系统，必定能在较长的一段时间里得到市场和用户认同。同时，启明星辰认为，无论信息系统安全审计的内涵如何变化与发展，面向业务的信息系统安全审计系统，一定能在未来信息安全领域扮演重要的角色。因为，面向业务的信息系统安全审计系统已经不仅在创造网络安全的价值，更加创造业务管理的价值。

    关于作者
    吕明，北京启明星辰信息技术有限公司高级产品拓展经理，广泛涉足信息安全领域中审计方面的相关研究，包括但不限于：客户端的安全、网络行为安全、内容过滤安全等领域。