面向業(yè)務的信息系統(tǒng)的安全審計系統(tǒng)

申請免費試用、咨詢電話：400-8352-114

近些年來，IT系統(tǒng)發(fā)展很快，企業(yè)對IT系統(tǒng)的依賴程度也越來越高，就一個網絡信息系統(tǒng)而言，我們不僅需要考慮一些傳統(tǒng)的安全問題，比如防黑客、防病毒、防垃圾郵件、防后門、防蠕蟲等，但是，隨著信息化程度的提高，各類業(yè)務系統(tǒng)也變得日益復雜，對業(yè)務系統(tǒng)的防護也變得越來越重要，非傳統(tǒng)領域的安全治理也變得越來越重要。根據(jù)最新的統(tǒng)計資料，給企業(yè)造成的嚴重攻擊中70％是來自于組織中的內部人員，因此，針對業(yè)務系統(tǒng)的信息安全治理成為一道難題，審計應運而生。

一、為什么需要面向業(yè)務的信息安全審計？

面向業(yè)務的信息安全審計系統(tǒng)，顧名思義，是對用戶業(yè)務的安全審計，與用戶的各項應用業(yè)務有密切的關系，是信息安全審計系統(tǒng)中重要的組成部分，它從用戶的業(yè)務安全角度出發(fā)，思考和分析用戶的網絡業(yè)務中所存在的脆弱點和風險。

我們不妨先看兩個鮮活的案例。不久前，中國青年報報道，上海一電腦高手，方某今年25歲，學的是計算機專業(yè)，曾是某超市分店資訊組組長。方某利用職務之便，設計非法軟件程序，進入超市業(yè)務系統(tǒng)，即超市收銀系統(tǒng)的數(shù)據(jù)庫，通過修改超市收銀系統(tǒng)的數(shù)據(jù)庫數(shù)據(jù)信息，每天將超市的銷售記錄的20%營業(yè)款自動刪除，并將收入轉存入自己的賬戶。從2004年6月至2005年8月期間，方某等人截留侵吞超市3家門店營業(yè)款共計397萬余元之多。

程某31歲，是X公司資深軟件研發(fā)工程師，從2005年2月，他由A地運營商系統(tǒng)進入B地運營商的業(yè)務系統(tǒng)--充值中心數(shù)據(jù)庫，獲得最高系統(tǒng)權限，根據(jù) “已充值”的充值卡顯示的18位密碼破解出對應的34位密鑰，然后把“已充值”狀態(tài)改為“未充值”，并修改其有效日期，激活了已經使用過的充值卡。他把面值300元的充值密碼以281.5到285元面值不等價格在網上售出，非法獲利380萬。

通過上述兩個案例，我們不難發(fā)現(xiàn)，內部人員，包括內部員工或者提供第三方IT支持的維護人員等，他們利用職務之便，違規(guī)操作導致的安全問題日益頻繁和突出，這些操作都與客戶的業(yè)務息息相關。雖然防火墻、防病毒、入侵檢測系統(tǒng)、防病毒、內網安全管理等常規(guī)的安全產品可以解決大部分傳統(tǒng)意義上的網絡安全問題，但是，對于這類與業(yè)務息息相關的操作行為、違規(guī)行為的安全問題，必須要有強力的手段來防范和阻止，這就是針對業(yè)務的信息安全審計系統(tǒng)能夠帶給我們的價值。

二、如何理解面向業(yè)務的信息安全審計？

信息安全審計與信息安全管理密切相關，信息安全審計的主要依據(jù)為信息安全管理相關的標準，例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。這些標準實際上是出于不同的角度提出的控制體系，基于這些控制體系可以有效地控制信息安全風險，從而達到信息安全審計的目的，提高信息系統(tǒng)的安全性。因此，面向業(yè)務的信息安全審計系統(tǒng)可以理解成是信息安全審計的一個重要的分支。

根據(jù)國外的經驗，如在美國的《薩班斯-奧克斯利法案（2002 Sarbanes-Oxley Act）》的第302條款和第404條款中，強調通過內部控制加強公司治理，包括加強與財務報表相關的IT系統(tǒng)內部控制，其中，IT系統(tǒng)內部控制就是面向具體的業(yè)務，它是緊密圍繞信息安全審計這一核心的。同時，2006年底生效的巴賽爾新資本協(xié)定(Basel II)，要求全球銀行必須針對其市場、信用及營運等三種金融作業(yè)風險提供相應水準的資金準備，迫使各銀行必須做好風險控管(risk management)，而這部“金融作業(yè)風險”的防范也正是需要業(yè)務信息安全審計為依托。這些國家和組織對信息安全審計的定位已經從概念階段向實現(xiàn)階段過渡了，他們走在了我們的前面。

可喜的是，我國政府行業(yè)、金融行業(yè)已相繼推出了數(shù)十部法律法規(guī)，如：國家《計算機信息系統(tǒng)安全保護等級劃分準則》、《商業(yè)銀行內部控制指引》、《中國移動集團內控手冊》、《中國電信股份公司內部控制手冊》、《中國網通集團內部控制體系建設指導意見》、《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》、《商業(yè)銀行合規(guī)風險管理指引》、《中國銀行業(yè)監(jiān)督委員會辦公廳文件銀監(jiān)辦通313號》、《保險公司內部審計指引（試行）》、《保險公司風險管理指引（試行）》、《深圳證券交易所上市公司內部控制指引 》、《上海證券交易所上市公司內部控制指引》等，這些法律法規(guī)的出臺確立了面向業(yè)務的信息安全審計的必要性。

面向業(yè)務的信息安全審計，正在被越來越多的行業(yè)和機構所重視，它代表著由傳統(tǒng)信息安全向業(yè)務信息安全領域縱深發(fā)展的必然的趨勢要求。#P#

三、如何實現(xiàn)面向業(yè)務的信息安全審計？

啟明星辰網絡安全審計系統(tǒng)，從保障用戶的業(yè)務正常運行、保護用戶的業(yè)務資產、提高用戶業(yè)務資產安全性的角度出發(fā)，以“合規(guī)性管理、細粒度審計”為落腳點，全面地審計網絡行為，管理企業(yè)內信息系統(tǒng)的合規(guī)性。它的核心作用是加強內外部網絡行為監(jiān)管、避免核心資產損失、保障業(yè)務系統(tǒng)的正常運營。