针对业务的安全审计急需“细粒度报告”

　　针对业务系统的信息安全治理日益成为业务安全防护的重点，这就需要网络安全审计报告的帮助。然而，什么样的审计报告才能真正满足这一需求呢？

　　目前，给企业造成的严重攻击中70%是来自于组织中的内部人员，只要攻击者发现了业务系统的漏洞，往往业务系统网络就会被攻破。而随着攻击手段的演变，传统方式对保障业务系统的安全越来越力不从心。因此，针对业务系统的信息安全治理成为业务安全防护的重点。

　　但是，决策部门如何寻找治理业务系统的决策依据呢？决策部门如何定夺治理业务系统的先后顺序、重要紧急程度呢？决策部门如何寻找制定内部合规性的依据呢？针对信息系统的审计报告就承载着这些重要的职能！审计报告正是业务审计系统价值的具体体现，它起到为制定决策提供重要依据的作用。

　　针对业务的审计需要报告的细粒度

　　从用户需求角度看，需要报告细粒度

　　事实上，一项针对业务系统的审计产品的评价手段有很多。理论上讲，有从审计精度入手做评价的，也有从审计行为的广度入手做评价的。但无论怎样，我们认为用审计行为的结果——报告来评价是比较科学的。以银行的业务为例，银行的业务主要有银行传统业务、银行中间业务、电子银行业务三大类业务。第一类业务是银行传统业务，主要包括会计业务，即主要受理对公业务、面向工商客户、以转账业务为主(比如各种票证)等; 出纳业务，包括受理现金业务等; 对私业务(储蓄) 业务以及授信(信贷)业务等，包括工商客户和个人客户贷款的发放和收回，逾期、呆账、呆滞账务的处理和追溯等。第二类是银行的中间业务，包括代收电信公司的各类费用; 代付企业的工资、基金购买、银行承兑等; 第三类是电子银行业务，主要包括网上银行、电话银行等。他们都是将银行作为资金结算的中心，作为电子商务中资金流的一方。所有的这些业务都有大量的后台IT信息系统作为支撑，需要有强有力的审计报告进行业务审计。

　　再比如，能源行业主要的业务系统包括: 综合管理信息系统、办公自动化系统、电力营销管理系统、生产监控管理信息系统、资产管理系统、电力地理信息系统、企业资源计划管理系统等。同样，这些业务的IT系统十分复杂和重要。为此，用户存在着对这些业务系统审计的需求。如果一项针对业务的审计系统能够对这些业务有充分的理解，并且通过对这些业务的理解，能以科学合理的方式呈现到审计行为的结果——报告当中来，我们才有理由相信，针对业务的审计系统是“值得信赖”的，这样的报告才能达到管理业务的目的，这个审计系统在纷繁复杂的业务系统才算发挥了审计的作用。

　　从技术角度看，需要报告细粒度

　　业务网络审计系统是基于应用层内容识别技术衍生出的一种强化IT风险管理的应用模式，它需要对应用层的协议、网络行为等信息进行解析、识别、判断、纪录和呈现，以达到监控违规网络行为、降低IT操作风险的目的。显然，一个针对业务系统的审计必须承担鉴证、保护和证明三个方面的作用。从技术角度看，审计系统需要审计的信息量大，采集的数据量多，比如对基本网络应用协议审计，如HTTP、POP3、SMTP、FTP、TELNET、NETBIOS、TDS、TNS、DB2、INFORMIX等进行详细的实时监控、审计，并可以对操作过程进行回放，对各类如Oracle、DB2、Sybase、Informix、MS SQL Server等数据库操作也需要审计; 同时，对一些OA操作进行审计。在这些庞杂的信息量下，如果系统呈现的信息缺失、失真或错误，往往会给用户轻则带来决策失误，重则带来安全事件无法追究的窘境。由于报告成为了取证、追查、建立制度的重要依据，报告应该越细越好。

　　从审计政策角度看，需要报告细粒度

　　随着中国国际化程度的日益提高，国内许多规范正在朝着国际化方向发展。以SOX法案为例，在美上市的中资企业如中国移动集团公司及其下属分公司等，就面临着该法案的合规性要求; 而商业银行同样也面临Basel协议的合规性要求; 政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求，等等。实际上，从2001年起，政府、电信业、金融业、大企业等都已经先后制定了相关的法律法规，比如: 国家《计算机信息系统安全保护等级划分准则》、《商业银行内部控制指引 》、《中国移动集团内控手册》、《中国电信股份公司内部控制手册》、《中国网通集团内部控制体系建设指导意见》、《银行业金融机构信息系统风险管理指引》、《商业银行合规风险管理指引、《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》、《深圳证券交易所上市公司内部控制指引 》、《上海证券交易所上市公司内部控制指引 》等。这些文件的出台，是IT合规性建设的必然发展趋势，让面向业务的审计系统也不得不向“合规性要求”方向发展，这些也促成了报告在审计系统中扮演着越来越重要的角色。

　　如何实现报告细粒度

　　好的网络安全审计系统应该可通过对被授权人员和系统的网络行为进行解析、记录、汇报，可帮助用户事前规划预防、事中实时监控、对违规行为响应、事后做合规报告、事故追踪回放，加强内外部网络行为监管、避免核心资产(数据库、服务器、网络设备等)损失、保障业务系统的正常运营。

　　此外，一套完善的审计报告查询、输出机制——数据分析模块必不可少，应该满足对审计日志查询、审计事件统计分析、审计报告输出等各种应用的不同使用要求。日志分析与审计报表组件能够对审计事件、会话日志、流量、用户操作日志、SOX报表等5类审计事件进行统计和查询，围绕审计策略设定审计输出报告，使得审计工作人员能迅速精确地获得自己所关注的审计事件信息，将管理人员从繁杂、枯燥的IT内审中解放出来，最大程度上降低IT内审工作的工作量。

　　以金融机构为例，在银行系统中经常需要对一个应用系统(如存贷系统)业务操作发生的事件进行后台数据调整。这时，为了保证调整过程可以被审计记录以及事后审核，就引发了部署审计系统和数据分析模块的需求。

　　比如，某建行信息中心在其业务系统核心交换机处部署了网络安全审计系统，一方面对通过核心交换机进入营业网的流量进行审计，重点监控内部网络管理人员对重要内网资源(主机、数据库、服务器)的Telnet与FTP操作; 另一方面对手工调账的行为进行记录和事后审核，从而有效地控制了IT相关的操作风险。

　　该银行选择了启明星辰的天 网络安全审计系统。通过采用其日志分析与审计报表组件，顺利达到了对海量的日志信息通过多种有效、快捷的手段精确定位用户的审计结果，实现了遵从“精确结果、完美呈现”的理念，有效减轻了管理人员的繁杂工作，降低了IT内审工作的工作量，从而达到对业务系统信息资源的全局把控和调度的效果