至顶网›安全频道 ›启明星辰IT审计监控解决方案

启明星辰IT审计监控解决方案

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

作为信息化建设的先行者，金融行业可谓有很多建设经验，当然也会先行遇到一些问题，比如信息孤岛，这样的问题对IT审计带来很大麻烦，本文就将为您介绍安全专家启明星辰的解决方案。

作者：启明星辰来源：IT专家网 2008年11月12日

　　金融行业进行信息化建设的起步较早，但其传统的IT审计方式主要是利用系统的日志功能，将分散在各地、不同种类的系统设备日志分别进行管理，并且各系统单独存储，年复一年形成众多信息孤岛，导致日志信息分散、互不相通，且安全策略难以保持一致。

　　方案背景

　　随着全球信息技术的快速发展与金融行业IT信息化的不断深入，信息科技在金融系统中的应用越来越广，金融机构对信息系统的依赖程度也越来越大，与此同时，金融机构遭受内部攻击、违规操作以及信息泄露等安全威胁也在不断增加。根据美国FBI的相关调查，75%以上的信息安全案件，都是与内部人员有关。在国内的各种信息安全案件中，内部员工作案或者内外勾结作案也占了绝大多数。面对金融体系改革与WTO国际结轨的双重压力，金融机构抵御来自内部的攻击与违规操作风险的能力还有待提高，为此国家相关主管部门也在积极促进信息科技审计工作的推进，意在促进国内金融体系建立起信息安全技术保障机制，以防止金融系统风险的发生。2006年国务院国有资产监督管理委员会向各中央企业发布了《中央企业全面风险管理指引》，要求中央企业加强内控，降低企业风险，并在指引中对内控审计和IT技术建设风险管理信息系统均提出了明确的要求。同年，银监会对国内商业银行也提出了强化内部控制与审计的要求(银监会63号文和313号文)，要求不仅仅要加强安全建设，同时也要对IT系统的相关操作进行全面采集和审计。此外，萨班斯法案404条款的相关实施细则要求公众公司必须确保与财务相关的IT系统的安全性和可审计性，这对于在美上市的国内企业又提出了要求。这些政策的相继出台为国内金融机构实施信息安全IT综合审计工作提供了指导与要求。

　　需求分析

　　金融信息系统是技术密集、资金密集、大型复杂、网络化的人机系统。金融行业进行信息化建设起步较早，但传统的IT审计方式主要是利用系统的日志功能，将分散在各地、不同种类的系统设备日志分别进行管理，各系统单独存储，形成信息孤岛，导致日志信息分散，互不相通，安全策略难以保持一致。此外，目前常见的安全控制措施，如防火墙、入侵检测等，都是在网络或主机安全层面来进行防护，对于业务层的安全，很少涉及。随着攻击手段的不断发展，攻击行为及违规行为日益向纵深化、混合化方向发展，利用现有系统日志的方式已经不能满足对网络的操作行为、数据库访问与操作行为、客户端操作行为等进行很好的审计监控并进行事后回放取证。随着攻击与违规操作行为不断朝复杂化、隐蔽化、多样化方向发展，也需要对操作行为之间进行关联分析，因此需要一种能够进行综合数据采集、分析、审计与监控的技术手段，来实现对网络用户的日常行为进行监管。

　　方案描述

　　启明星辰信息技术有限公司从金融行业的实际安全需求出发，在全面体现GB17859-1999的等级化标准思想的基础上，充分吸收近年来安全领域出现的信息系统安全保障理论模型和技术框架(如IATF等)、信息安全管理标准ISO/IEC 17799：2000和ISO/IEC TR 13335系列标准，全面参考《银行业金融机构信息系统风险管理指引》、《商业银行内部控制指引》、《商业银行合规风险管理指引》、《中国银行业监督委员会办公厅文件银监办通313号》、《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》、《 2002 Sarbanes-Oxley Act (bilingual) 》、《 Auditing Standard No. 2》等相关指引、法规要求，结合启明星辰多年的攻击防护经验与实践，为银行及保险系统提供IT综合审计与监控解决方案。

　　整体架构

　　启明星辰金融行业IT综合审计与监控解决方案整体架构如下图所示：　　