网络安全 频道

2010技术回顾:安全审计全保障企业信息

  从某种意义上来说,安全的问题重在管理,合规问题在2010年继续成为一个重要的安全问题,特别是支付卡行业数据安全标准(PCI)。全球风险咨询企业Kroll近日公布的2010~2011年度《全球欺诈年度报告》显示,在过去的12个月中,企业因欺诈而损失的金额从每十亿销售额的损失140万美元上升到170万美元,上升了20个百分点,网络盗窃首次超过现实盗窃。

  审计起源于财务系统,用来审核企业经营行为是否合法,审计从财务入手,也就是审核帐务,从你的帐本中发现你经营中的问题。财务中有一个做帐的原则,就是借与贷总是要平衡的,在众多的帐目之间,保持平衡本身就是件不容易的事情,所以审计人员往往都是财务中的高手。

  金融行业是现代服务业的重要组成部分,它通过沟通整个社会的经济活动而成为现代经济的核心。

  近年来,随着金融信息化进程的不断推进,信息技术在金融业务中起着越来越重要的作用,越来越多的金融业务流程依赖信息技术。现代金融行业在组织结构、业务流程、业务开拓以及客户服务等方面,日益体现出以知识和信息为基础的特征。但随着信息系统在金融行业业务运营中的作用越来越重要,金融行业信息系统所面临的威胁和风险也越来越大,外部黑客或不法分子虎视眈眈,内部违规或犯罪事件正呈上升趋势。

  据CSI计算机犯罪调查,在有预谋的信息犯罪中,80%以上是内部人员作案。要想根本解决内部人员违规或作案问题,进而完善信息科技内部控制体系,只有加强信息科技审计制度才是治本之法。

  安全审计产品部署在金融行业的价值所在

  据了解,目前缺乏有效的审计手段是信息科技监管所面临的最大问题,“服务在网内,监管在网外”,数据在信息系统内被每秒上千次的自动化处理,而审计时却只能靠人工进行检查,检查的范围、深度等都非常有限,这使得审计监管的力度和深度难以保证,也是很多违规或犯罪事件发生很长时间后才被发现重要原因之一。

  因此,必须要通过部署安全审计产品,实时监测数据在信息系统内的操作,发现违规操作立即报警,并保存记录操作过程以备将来查询取证,实现“服务在网内,监管在网内”的目标,从而使得信息科技内控体系进一步完善。

  除此之外,国家、金融监管机构在信息科技监管要求中也都明确提出要实现安全审计功能。国家等级保护相关标准中要求二级以上信息系统中的网络层面、主机层面和应用层面均要求进行安全审计,同时也明确要求了审计的范围、审计内容等。银监会19号文中也明确提出“控制所有生产系统的活动日志,以支持有效的审计、安全论证分析和预防欺诈”。国外信息安全方面的标准或非常好的实践(如ISO13335、ISO27001、SP800)等也要求对用户行为、系统操作进行审计。

  对于安全审计产品而言,其通过对IT系统中相关信息的收集、分析和报告,来判定现有IT安全控制的有效性,检查IT系统的误用和滥用行为,验证当前安全策略的合规性,获取犯罪和违规的证据。

  那么,总体来说,部署安全审计系统能够带来什么样的价值呢?

  1)满足合规性要求,顺利通过IT审计

  目前,越来越多的单位面临一种或者几种合规性要求。比如,在美国上市的公司及其下属分子公司就面临SOX法案的合规性要求;而商业银行则面临Basel协议的合规性要求;政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。

  安全审计系统有助于完善组织的IT内控与审计体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。

  2)有效减少核心信息资产的破坏和泄漏

  对单位的业务系统来说,真正重要的核心信息资产往往存放在少数几个关键系统上(如数据库服务器、应用服务器等),通过使用安全审计系统,能够加强对这些关键系统的审计,从而有效地减少对核心信息资产的破坏和泄漏。

  3)追踪溯源,便于事后追查原因与界定责任

  审计监控体系能够完整的诠释责任认定体系。通过稳定而成熟的审计技术,可以建立起一个行为不可抵赖、数据可靠,完整并且强有力的责任认定体系。

  通过从不同层面对支付系统中各种设备的操作和管理行为,包括本地操作和远程操作的综合审计,可以很好的将上述行为记录下来,并且长时间保存,可以达到很好的达到审计监控目的,从而有效进行责任认定。

  4)实现独立审计与三权分立,完善IT内控机制

  从内控的角度来看,IT系统的使用权、管理权与监督权必须三权分立。在三权分立的基础上实施内控与审计,有效地控制操作风险(包括业务操作风险与运维操作风险等)。安全审计实现独立的审计与三权分立,完善IT内控机制。

0
相关文章