信息技术的日新月异和网络信息系统应用的发展,使得网络技术的应用层次正在从传统的、小型的业务系统逐渐向大型的、关键的业务系统扩展。
目前,政府、企事业单位用户的网络应用也逐渐增多。然而,信息安全作为一个动态的过程,在为自身业务提供高效的网络运营平台同时,日趋复杂的IT业务系统与不同背景业务用户的行为也给网络带来了潜在的威胁。
为什么需要安全审计
随着业务系统访问、网络应用行为日益频繁,我们可能经常会遇到如下情况:
一、内部系统维护人员对业务应用系统的越权访问、违规操作,损害业务系统的运行安全;
二、企业重要业务数据库,被员工或系统维护人员篡改牟利、外泄,给企业造成巨大的经济损失;
三、员工随意通过网络共享文件夹、文件上传下载、E-mail等方式,发送重要敏感信息、业务数据,导致信息外泄事件发生;
四、员工在论坛发表敏感信息、传播非法言论,造成恶劣社会影响;
五、等级保护要求。公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计;
六、萨班斯(SOX)法案要求。在美国上市公司必须遵循的“萨班斯(SOX)法案” 中要求对企业内部网络信息系统进行评估,其中涉及对业务系统操作、数据库访问等业务行为的审计。
根据调查数据显示,大多数企业虽然已经采用一定的网络安全手段(如防火墙、入侵检测、漏洞扫描等)和管理措施,但是上述安全事件发生后,却仍然无法进行及时告警响应、准确定位事件源头,由此给政府、企事业单位带来极大的困扰和严重的信息安全隐患。
如何对业务系统访问和网络行为进行有效的监控,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求,已经成为政府、企事业单位迫切需要解决的问题。
目前,随着日益增长的互联网安全风险,安全问题的复杂性日益加大。综合FBI和CSI对484家企业的调查及中国国家计算机网络应急协调中心CNCERT/CC的调查结果显示:大约76%的网络安全威胁来自于内部,其危害程度更是远远超过黑客攻击及病毒造成的损失,而这些威胁绝大部分与内部各种网络访问行为有关。
防火墙、入侵检测等传统网络安全手段,可实现对网络异常行为的管理和监测,如网络连接和访问的合法性进行控制、监测网络攻击事件等,但是不能监控网络内容和已经授权的正常内部网络访问行为,因此对正常网络访问行为导致的信息泄密事件、网络资源滥用行为(即时通讯、 BBS、在线视频、P2P下载、网络游戏等)无能为力,也难以实现针对内容、行为的监控管理及安全事件的追查取证。
因此,迫切需要一种安全手段对上述问题进行有效监控和管理。安全审计正是在这样的背景下产生。对于任何一个安全体系来说,审计追查手段必不可少。计算机信息安全可通过如下图1所示的信息安全体系结构模型来反映计算机信息系统安全需求和体系结构的共性,其构成要素是安全手段、系统单元及国际标准化组织(ISO)制定的开放系统互连参考模型(OSI)。在图1的安全手段中,审计是整个安全体系中不可缺少的重要组成部分。
图1 信息安全体系结构模型
同时,在TCSEC和CC等安全认证体系中,安全审计是评判一个系统是否真正安全的重要标准。根据代表性的安全模型P2DR理论,网络信息系统在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)、检测工具(如漏洞评估、入侵检测等系统)的同时,必须通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到“最安全”和“最低风险”的状态。
