2008-07-27 22:36 | 只看楼主
树型| 收藏| 1

浅谈面向业务的信息安全审计系统

  近些年来, IT系统发展很快,企业对IT系统的依赖程度也越来越高,就一个网络信息系统而言,我们不仅需要考虑一些传统的安全问题,比如防黑客、防病毒、防垃圾邮件、防后门、防蠕虫等,但是,随着信息化程度的提高,各类业务系统也变得日益复杂,对业务系统的防护也变得越来越重要,非传统领域的安全治理也变得越来越重要。根据最新的统计资料,给企业造成的严重攻击中70%是来自于组织中的内部人员,因此,针对业务系统的信息安全治理成为一道难题,审计应运而生。一、为什么需要面向业务的信息安全审计?
    面向业务的信息安全审计系统,顾名思义,是对用户业务的安全审计,与用户的各项应用业务有密切的关系,是信息安全审计系统中重要的组成部分,它从用户的业务安全角度出发,思考和分析用户的网络业务中所存在的脆弱点和风险。
    我们不妨先看两个鲜活的案例。不久前,中国青年报报道,上海一电脑高手,方某今年25岁,学的是计算机专业,曾是某超市分店资讯组组长。方某利用职务之便,设计非法软件程序,进入超市业务系统,即超市收银系统的数据库,通过修改超市收银系统的数据库数据信息,每天将超市的销售记录的20%营业款自动删除,并将收入转存入自己的账户。从2004年6月至2005年8月期间,方某等人截留侵吞超市3家门店营业款共计397万余元之多。
    程某31岁,是X公司资深软件研发工程师,从2005年2月,他由A地运营商系统进入B地运营商的业务系统——充值中心数据库,获得最高系统权限,根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥,然后把“已充值”状态改为“未充值”,并修改其有效日期,激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出,非法获利380万。
    通过上述两个案例,我们不难发现,内部人员,包括内部员工或者提供第三方IT支持的维护人员等,他们利用职务之便,违规操作导致的安全问题日益频繁和突出,这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题,但是,对于这类与业务息息相关的操作行为、违规行为的安全问题,必须要有强力的手段来防范和阻止,这就是针对业务的信息安全审计系统能够带给我们的价值。
二、如何理解面向业务的信息安全审计?
    信息安全审计与信息安全管理密切相关,信息安全审计的主要依据为信息安全管理相关的标准,例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系,基于这些控制体系可以有效地控制信息安全风险,从而达到信息安全审计的目的,提高信息系统的安全性。因此,面向业务的信息安全审计系统可以理解成是信息安全审计的一个重要的分支。
    根据国外的经验,如在美国的《萨班斯-奥克斯利法案(2002 Sarbanes-Oxley Act)》的第302条款和第404条款中,强调通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制,其中,IT系统内部控制就是面向具体的业务,它是紧密围绕信息安全审计这一核心的。同时,2006年底生效的巴赛尔新资本协定(Basel II),要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备,迫使各银行必须做好风险控管(risk management),而这部“金融作业风险”的防范也正是需要业务信息安全审计为依托。这些国家和组织对信息安全审计的定位已经从概念阶段向实现阶段过渡了,他们走在了我们的前面。
可喜的是,我国政府行业、金融行业已相继推出了数十部法律法规,如:国家《计算机信息系统安全保护等级划分准则》、《商业银行内部控制指引 》、《中国移动集团内控手册》、《中国电信股份公司内部控制手册》、《中国网通集团内部控制体系建设指导意见》、《银行业金融机构信息系统风险管理指引》、《商业银行合规风险管理指引》、《中国银行业监督委员会办公厅文件银监办通313号》、《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》、《深圳证券交易所上市公司内部控制指引 》、《上海证券交易所上市公司内部控制指引 》等,这些法律法规的出台确立了面向业务的信息安全审计的必要性。    面向业务的信息安全审计,正在被越来越多的行业和机构所重视,它代表着由传统信息安全向业务信息安全领域纵深发展的必然的趋势要求。