【IT专家网独家】众所周知,给企业造成的严重攻击中70%是来自于组织中的内部人员,只要攻击者发现了业务系统的漏洞,往往业务系统网络就会被攻破。而随着攻击手段的演变,传统方式对于满足保障业务系统的安全越来越力不从心。因此,针对业务系统的信息安全治理成为业务安全防护的重点。
但是,决策部门如何寻找治理业务系统的决策依据呢?决策部门如何定夺治理业务系统的先后顺序、重要紧急程度呢?决策部门如何寻找制定内部合规性的依据呢?显然,针对信息系统的审计报告便承载着这些重要的职能,审计报告正是业务审计系统价值的具体体现,它起到为制定决策提供重要依据的作用。
一、针对业务的审计系统为什么需要报告细粒度?
· 从用户需求角度看,需要报告细粒度
事实上,一项针对业务系统的审计产品的评价手段有很多,理论上讲,有从审计准确精度入手做评价的,也有从审计行为的广度入手做评价的,可是,无论以什么方式评价一款针对业务系统的审计产品,从审计行为的结果——报告来评价是比较科学的。比如,我们以银行的业务为例,银行的业务主要有银行传统业务、银行中间业务、电子银行业务三大类业务,第一类业务,是银行传统业务,主要包括了会计业务,即主要受理对公业务、面向工商客户、以转帐业务为主(比如各种票证)等;出纳业务,即包括了受理现金业务等;对私业务(储蓄) 业务、还有授信(信贷)业务,即包括了工商客户和个人客户贷款的发放和收回逾期、呆帐、呆滞帐务的处理和追溯等。第二类,银行的中间业务包括了:代收,电信公司的各类费用;代付企业的工资、基金购买、银行承兑等业务;第三类,电子银行业务主要包括了:网上银行、电话银行等,他们都是银行作为资金结算的中心,银行作为电子商务中资金流的一方,所有的这些业务都有大量的后台IT信息支撑系统作为支撑。
再比如,能源行业其主要的业务系统包括:综合管理信息系统、办公自动化系统、电力营销管理系统、生产监控管理信息系统、资产管理系统、电力地理信息系统、企业资源计划管理系统等,同样,这些业务的IT系统也十分复杂和重要。为此,用户必然存在着对上述这些业务系统审计的需求,如果,一项针对业务的审计系统都能够对这些业务都有充分的理解,并且,通过对这些业务的理解,都能以科学合理的方式呈现到审计行为的结果——报告当中来,这样,我们才能相信,针对业务的审计系统是可以“值得信赖”的。因此,这样的报告才能达到业务管理的目的,这个审计系统在这些纷繁复杂的业务系统才算发挥了审计的作用。
· 从技术角度看,需要报告细粒度
业务网络审计系统是基于应用层内容识别技术衍生出的一种强化IT风险管理的应用模式,它需要对应用层的协议、网络行为等信息进行解析、识别、判断、纪录、呈现,以达到监控违规网络行为、降低IT操作风险的目的。显然,一个针对业务系统的审计必须承担鉴证、保护和证明三个方面作用,从技术角度看,审计系统需要审计的信息量大,采集的数据量多,比如对基本网络应用协议审计,如HTTP、POP3、SMTP、FTP、TELNET、NETBIOS、TDS、TNS、DB2、INFORMIX等进行详细的实时监控、审计,并可以对操作过程进行回放,对各类如Oracle、DB2、Sybase、Informix、MS SQL Server等数据库操作也需要审计,同时,还有一些OA操作的审计,在这些庞杂的信息量下,如果系统呈现的信息缺失、失真或错误,往往会给用户轻则带来决策失误,重则带来安全事件无法追究的窘境。由于报告成为了取证、追查、建立制度的重要依据,报告应该越细越好,因此,报告的细粒度已经成为业务网络审计系统发展的必然。
· 从审计的政策角度看,需要报告细粒度
随着中国国际化程度的日益提高,国内许多规范也正在顺应国际化的趋势上发展,以SOX法案为例,在美上市的中资企业如中国移动集团公司及其下属分子公司就面临着该法案的合规性要求,而商业银行同样也面临Basel协议的合规性要求,政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。实际上,从2001年起,政府、电信业、金融业、大企业等都已经先后制定了相关的法律法规,比如:国家《计算机信息系统安全保护等级划分准则》、《商业银行内部控制指引 》、《中国移动集团内控手册》、《中国电信股份公司内部控制手册》、《中国网通集团内部控制体系建设指导意见》、《银行业金融机构信息系统风险管理指引》、《商业银行合规风险管理指引、《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》、《深圳证券交易所上市公司内部控制指引 》、《上海证券交易所上市公司内部控制指引 》等,这些规范、文件的出台,是对IT合规建设的必然选择,不得不让面向业务的审计系统应该向这些法律法规的“合规性要求”方向发展,这些也促成了报告在审计系统中扮演的角色。
