科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道保驾IT应用 护航业务安全

保驾IT应用 护航业务安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文为启明星辰信息技术有限公司吕明先生发表的网络安全审计系统系列文章之一。

作者:吕明 来源:51CTO.com 2008年10月24日

关键字: 业务安全 安全策略

  • 评论
  • 分享微博
  • 分享邮件

  近些年来, IT系统发展很快,企业对IT系统的依赖程度也越来越高,就一个网络信息系统而言,我们不仅需要考虑一些传统的安全问题,比如防黑客、防病毒、防垃圾邮件、防后门、防蠕虫等,但是,随着信息化程度的提高,各类业务系统也变得日益复杂,对业务系统的防护也变得越来越重要,非传统领域的安全治理也变得越来越重要。根据最新的统计资料,给企业造成的严重攻击中70%是来自于组织中的内部人员,因此,针对业务系统的信息安全治理成为一道难题,审计应运而生。

  为什么需要面向业务的信息安全审计系统?

  面向业务的信息安全审计系统顾名思义,它是对用户业务的安全审计,与用户的各项应用业务有密切的关系,是信息安全审计系统中重要的组成部分,它从用户的业务安全角度出发,思考和分析用户的网络业务中所存在的脆弱点和风险。

  我们不乏从两个鲜活的案例中,可以看到面向业务的信息安全审计的重要性。不久前,中国青年报报道,上海一电脑高手,方某今年25岁,学的是计算机专业,曾是某超市分店资讯组组长。方某利用职务之便,设计非法软件程序,进入超市业务系统,即超市收银系统的数据库,通过修改超市收银系统的数据库数据信息,每天将超市的销售记录的20%营业款自动删除,并将收入转存入自己的账户。从2004年6月至2005年8月期间,方某等人截留侵吞超市3家门店营业款共计397万余元之多。

  程某31岁,是X公司资深软件研发工程师,从2005年2月,他由A地运营商系统进入B地运营商的业务系统——充值中心数据库,获得最高系统权限,根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥,然后把“已充值”状态改为“未充值”,并修改其有效日期,激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出,非法获利380万。

  上述两个案例我们不难发现,这些内部人员,包括了内部员工或者提供第三方IT支持的维护人员等各类人员,他们利用职务之便,违规操作导致的安全问题日益频繁和突出起来,这些操作都与客户的业务息息相关。虽然,防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题,但是,对于这类与业务息息相关的操作行为、违规行为的安全问题,我们就必须要有强力的手段来防范和阻止,这就是针对业务的信息安全审计系统能够带给我们的价值。

  如何理解面向业务的信息安全审计?

  关于面向业务的信息安全审计系统,我们应该从信息安全审计系统的理解上入手。事实上,信息安全审计与信息安全管理密切相关,信息安全审计的主要依据为信息安全管理相关的标准,例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系,基于这些控制体系可以有效地控制信息安全风险,从而达到信息安全审计的目的,提高信息系统的安全性。因此,面向业务的信息安全审计系统可以理解成是信息安全审计的一个重要的分支。

  根据国外的经验,比如:在美国的《萨班斯-奥克斯利法案(2002 Sarbanes-Oxley Act)》的第302条款和第404条款中,强调通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制,其中,IT系统内部控制就是面向具体的业务,它是紧密地围绕着信息安全审计为核心的。同时,2006年底生效的巴赛尔新资本协定(Basel II),要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备,迫使各银行必须做好风险控管(risk management),而这部“金融作业风险”的防范也正是需要业务信息安全审计为依托。这些国家和组织对信息安全审计的定位已经从概念阶段迈向了实现阶段过渡了,他们走在了我们的前面。

  可喜的是,我国政府行业、金融行业相继推出了数十部法律法规,诸如:国家《计算机信息系统安全保护等级划分准则》、《商业银行内部控制指引 》、《中国移动集团内控手册》、《中国电信股份公司内部控制手册》、《中国网通集团内部控制体系建设指导意见》、《银行业金融机构信息系统风险管理指引》、《商业银行合规风险管理指引》、《中国银行业监督委员会办公厅文件银监办通313号》、《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》、《深圳证券交易所上市公司内部控制指引 》、《上海证券交易所上市公司内部控制指引 》等,这些法律法规的出台从而确立了面向业务的信息安全审计的必要性。

  因此,我们认为,面向业务的信息安全审计,已经被越来越多的行业和机构所重视,并且,它扮演着由传统信息安全向业务信息安全领域纵深发展的必然的趋势要求。

  面向业务的信息安全审计我们是如何做的?

  我们面对越来越多的面向业务的信息安全审计的需求推出了天玥网络安全审计系统,它是从

  一个保障用户的业务正常运行、保护用户的业务资产、提高用户的业务资产的安全性的角度出发,以“合规性管理、细粒度审计”为 落脚点,全面地审计网络行为,管理企业内信息系统的合规性。它的核心作用是加强内外部网络行为监管、避免核心资产损失、保障业务系统的正常运营。

  从审计准确精度入手,做到三审:审用户、审角色、审权限

  审用户,是一个人的概念,主要包括了审计对使用审计信息系统本身的用户,也包括了对网络中提供各项业务需要访问的用户。对使用审计信息系统本身的用户,采取了系统管理员、审计员、操作员等方式进行审计和管理。对于需要访问业务资源的用户,采取了身份认证系统,这些用户都需要确定其用户是谁,天玥网络安全审计系统通过其特有的一套身份认证系统,对用户进行认证,当认证用户得到确认后,方可进行业务的操作。

  审角色,天玥网络安全审计系统通过定义角色,根据业务用户在业务流程中所扮演的角色进行分类,从而有效地定义可读性更强的审计规则与策略。审计记录不仅包括源IP、目的IP等原始信息,还包含用户的角色或者身份信息,审计员将得到更有意义的审计结果。相关的用户角色或者身份信息还可用于辅助界定事件责任。

  审权限,主要包括了用户权限和操作权限,当每一个用户被赋予角色后,角色就有执行操作的可能,在执行操作的过程中就需要有权限设立,从而达到规范角色行为的目的。系统从内控的角度出发,对IT系统的使用权、管理权与监督权做到了三权分立,三权分管的办法。

  审用户、审角色、审权限三者有机地结合,从而可以达到审计信息系统精确定位到人的目的。

  从审计行为的深度入手,做到三看:看协议、看程度、看回放

看协议,天玥网络安全审计系统通过对当前市场上主流网络业务行为的研究,主要把网络业务行为分为三大类,即数据库操作的行为、办公OA操作的行为、和系统网络维护的操作行为三类,因此,系统在审计这三大类的协议方面,有着比较全面的能力,能够审计绝大多数协议,包括但不限于:HTTP协议、TELNET协议、POP3协议、SMTP协议、FTP协议、NETBIOS协议、TDS协议、TNS协议等等。

看程度,除了审计协议全面性外,天玥系统的一个主要特点是对协议的分析深度较深,天玥系统能够针对很多重要系统提供精确到命令的审计与响应。比如,天玥系统能够审计到TELNET会话过程中执行的命令和数据库连接过程中执行的SQL语句。

看回放,天玥系统能够完整地记录网络会话内容,比如TELNET、FTP、HTTP以及远程数据库访问等,并且能够根据各种协议的不同语义进行回放,从而真实地再现用户操作过程,让系统的用户可以做到有据可查。

从用户的易用性角度,做到三给:给证据、给分析、给报告

给证据,天玥系统根据不合规定的连接尝试,不按规定设置防火墙策略,不按规定进行运维的操作,不按规定直接访问后台数据库,使用未经许可的软件访问重要系统,私自设立代理服务器/软件路由器等不合规定的行为作出翔实的审计记录,这些纪录作为有力的证据,为下一步采取措施提供依据。

给分析,天玥系统根据会从各种系统日志里面去分析是否有各类协议行为、操作结果留下来的“蛛丝马迹”来判断是否发生了针对业务的安全事件。同时,系统也分析审计记录中,各类人员的企图,一步步地追查出违规者。

给报告,天玥系统提供设计一套完善的审计报告输出机制。审计报告多达上百种,并且还有符合SOX法案的专业报表。系统可以根据用户的需求、重点关心的问题,设定审计输出报告,使得用户能迅速地得到自己最关心的信息,让审计报告更容易理解。并可基于各类要素的组合进行设置,包括但不限于:绝对时间范围、相对时间范围、客户端IP、客户端端口号、服务端IP、服务端端口、关键字、事件级别等条件。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章