【IT168 专稿 kaduo/文】随着IT和互联网的发展，利用计算机犯罪和计算机系统失效的事件频频出现，使得IT审计也日益受到企业的重视。在近日举办的媒体交流会上，EMC信息安全事业部RSA中国区资深技术顾问冯崇彪先生接受了媒体采访，并对企业IT审计的需求和RSA的解决方案进行了深入的分析和介绍。

▲EMC信息安全事业部RSA中国区资深技术顾问冯崇彪先生

　　冯崇彪首先介绍到，企业IT审计有两个重点，一是日志审计，二是行为审计。客户的审计需求主要集中在主机、网络、应用、存储、安全、数据库这六大类的日志审计上。这些日志平时都存放在各自系统里，一旦出现安全问题，就需要一个设备一个设备的排查，然后在人工做关联。如何确保追踪这些关键信息，如何发现内部员工的越界行为，对于客户来说这些是非常重要的。

　　冯崇彪总结了企业在业务需求上对IT审计的要求主要有三个层次：第一是对于日志的管理，日志的保存有一定的时间限制，比如像证券业务数据要保存15年以上，有一些客户数据要保存几年，或者日志一般要保存三年或者五年以上，根据不同的规定，内控和外审的要求，对日志的保存有一个要求。

　　第二，保证安全运维，随着企业网络环境越来越复杂，如何确保系统的安全运维是非常重要。比如一个黑客冒充合法用户，登录到五台机器，每一台机器可能只留下一条日志，从单个机器上看不出来，但是如果关联起来看就是一个安全事件，有人冒充客户登陆这个系统。再比如说有人进入系统里，创建了一个超级用户，然后把一些相关数据删掉，或者查看了敏感日志，然后退出来把之前的日志和账号删掉，这实际上是安全事件，在原有系统日志上是看不到的，但是如果多个系统关联起来看，就可以及时的发现这个行为，可以尽快的把事件告警，让相关人员做出处理。

　　第三，满足企业内控和外部审计的要求，现在各个行业企业内部一般都有内控部门，内控部门会与他的系统有相应的内控要求。比如说，银行的等级保护，还有系统或网络运营的规范，这是内控的要求。外审要求比如像证券有证监会的要求，银行有银监会。

　　谈到RSA的解决方案，冯崇彪介绍到，RSA可以帮助企业快速的把现有网络设备的日志集中起来，并在日志基础上保证企业IT系统安全运维，简化合规审计。RSA提供多种合规的报表和多种关联规则，来帮助企业快速满足合规和内控的要求。

　　1、在日志处理上，RSA采用IPDB技术，而不是传统的关系性数据库。冯崇彪谈到，传统关系型数据库在数据量很大的时候，如果无法存储就会不稳定，很多数据会丢失，对于日志存储，需要考虑到数据是不是真实全部存储进来了，能不能真实反映全部情况。

　　2、日志分析方面，用户希望看到分门别类的各类事件，另一个方面，可以看到具体某一个事件的详情，可以从不同颜色可以看到问题的严重程度。

　　3、在监控和管理方面，用户希望从大的方面，从一个框架内去看大的框架是什么样。也可以看到具体告警细节是什么样，可以看到红色就是具体告警，发生的时候，这个就变成其他颜色，如果没有这种告警，它是普通的绿色。

　　4、在报告方面，用户希望能够分析管理。如果是大型企业，可能有总公司、省公司、地市这样多层级，然后到具体设备，具体细节，然后分级别、分对象查看报告。比如企业高管看到的数据和操作层员工看到的数据是不一样的，这也是用户关心的问题。

　　5、权限管理方面，用户希望不同角色进入系统看到的是不一样的。负责企业网络管理的人员跟负责系统的人员进入系统看到的是不一样的内容，具体操作的人员和领导看到的内容也是不一样的，这也是用户考虑的很重要的方面。

　　6、与外部系统集成扩展，包括告警的输送，比如可以短信及时通知相关人员，或者通过一些协议转到切入的地方，以及第三方工具集成、外部工单系统等等。