网络安全审计需细粒度报告 2018年新审计报告模板
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全审计需细粒度报告 2018年新审计报告模板
针对业务系统的信息安全治理日益成为业务安全防护的重点,这就需要网络安全审计报告的帮助。然而,什么样的审计报告才能真正满足这一需求呢?目前,给企业造成的严重攻击中70%是于组织中的内部人员,只要攻击者发现了业务系统的漏洞,往往业务系统网络就会被攻破。而随着攻击手段的演变,传统方式对保障业务系统的安全越来越力不从心。因此,针对业务系统的信息安全治理成为业务安全防护的重点。
但是,决策部门如何寻找治理业务系统的决策依据呢?决策部门如何定夺治理业务系统的先后顺序、重要紧急程度呢?决策部门如何寻找制定内部合规性的依据呢?针对信息系统的审计报告就承载着这些重要的职能!审计报告正是业务审计系统价值的具体体现,它起到为制定决策提供重要依据的作用。
针对业务的审计需要报告的细粒度
从用户需求角度看,需要报告细粒,度事实上,一项针对业务系统的审计产品的评价手段有很多。理论上讲,有从审计精度入手做评价的,也有从审计行为的广度入手做评价的。但无论怎样,我们认为用审计行为的结果――报告来评价是比较科学的。以银行的业务为例,银行的业务主要有银行传统业务、银行中间业务、电子银行业务三大类业务。第一类业务是银行传统业务,主要包括会计业务,即主要受理对公业务、面向工商客户、以转账业务为主(比如各种票证)等; 出纳业务,包括受理现金业务等; 对私业务(储蓄) 业务以及授信(信贷)业务等,包括工商客户和个人客户贷款的发放和收回,逾期、呆账、呆滞账务的处理和追溯等。第二类是银行的中间业务,包括代收电信公司的各类费用; 代付企业的工资、基金购买、银行承兑等; 第三类是电子银行业务,主要包括网上银行、电话银行等。他们都是将银行作为资金结算的中心,作为电子商务中资金流的一方。所有的这些业务都有大量的后台IT信息系统作为支撑,需要有强有力的审计报告进行业务审计。
再比如,能源行业主要的业务系统包括: 综合管理信息系统、办公自动化系统、电力营销管理系统、生产监控管理信息系统、资产管理系统、电力地理信息系统、企业资源计划管理系统等。同样,这些业务的IT系统十分复杂和重要。为此,用户存在着对这些业务系统审计的需求。如果一项针对业务的审计系统能够对这些业务有充分的理解,并且通过对这些业务的理解,能以科学合理的方式呈现到审
计行为的结果――报告当中来,我们才有理由相信,针对业务的审计系统是“值得信赖”的,这样的报告才能达到管理业务的目的,这个审计系统在纷繁复杂的业务系统才算发挥了审计的作用。
从技术角度看,需要报告细粒度
业务网络审计系统是基于应用层内容识别技术衍生出的一种强化IT风险管理的应用模式,它需要对应用层的协议、网络行为等信息进行解析、识别、判断、纪录和呈现,以达到监控违规网络行为、降低IT操作风险的目的。显然,一个针对业务系统的审计必须承担鉴证、保护和证明三个方面的作用。从技术角度看,审计系统需要审计的信息量大,采集的数据量多,比如对基本网络应用协议审计,如、POP3、SMTP、FTP、TELNET、NETBIOS、TDS、TNS、DB2、INFORMIX等进行详细的实时监控、审计,并可以对操作过程进行回放,对各类如Oracle、DB2、Sybase、Informix、MS SQL Server等数据库操作也需要审计; 同时,对一些OA操作进行审计。在这些庞杂的信息量下,如果系统呈现的信息缺失、失真或错误,往往会给用户轻则带来决策失误,重则带来安全事件无法追究的窘境。由于报告成为了取证、追查、建立制度的重要依据,报告应该越细越好。
从审计政策角度看,需要报告细粒度
随着中国国际化程度的日益提高,国内许多规范正在朝着国际化方向发展。以SOX法案为例,在美上市的中资企业如中国移动集团公司及其下属分公司等,就面临着该法案的合规性要求; 而商业银行同样也面临Basel协议的合规性要求; 政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求,等等。实际上,从xx年起,政府、电信业、金融业、大企业等都已经先后制定了相关的法律法规,比如: 国家《计算机信息系统安全保护等级划分准则》、《商业银行内部控制指引》、《中国移动集团内控手册》、《中国电信股份公司内部控制手册》、《 __集团内部控制体系建设指导意见》、《银行业金融机构信息系统风险管理指引》、《商业银行合规风险管理指引、《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》、《深圳证券交易所上市公司内部控制指引》、《上海证券交易所上市公司内部控制指引》等。这些文件的出台,是IT合规性建设的必然发展趋势,让面向业务的审计系统也不得不向“合规性要求”方向发展,这些也促成了报告在审计系统中扮演着越来越重要的角色。
如何实现
报告细粒度
好的网络安全审计系统应该可通过对被授权人员和系统的网络
行为进行解析、记录、汇报,可帮助用户事前规划预防、事中实时监控、对违规行为响应、事后做合规报告、事故追踪回放,加强内外部网络行为监管、避免核心资产(数据库、服务器、网络设备等)损失、保障业务系统的正常运营。
此外,一套完善的审计报告查询、输出机制――数据分析模块
必不可少,应该满足对审计日志查询、审计事件统计分析、审计报告输出等各种应用的不同使用要求。日志分析与审计报表组件能够对审计事件、会话日志、流量、用户操作日志、SOX报表等5类审计事件进行统计和查询,围绕审计策略设定审计输出报告,使得审计工作人员能迅速精确地获得自己所关注的审计事件信息,将管理人员从繁杂、枯燥的IT内审中解放出来,最大程度上降低IT内审工作的工作量。
以金融机构为例,在银行系统中经常需要对一个应用系统(如
存贷系统)业务操作发生的事件进行后台数据调整。这时,为了保证调整过程可以被审计记录以及事后审核,就引发了部署审计系统和数据分析模块的需求。
比如,某建行信息中心在其业务系统核心交换机处部署了网络
安全审计系统,一方面对通过核心交换机进入营业网的流量进行审计,重点监控内部网络管理人员对重要内网资源(主机、数据库、服务器)的Tel与FTP操作; 另一方面对手工调账的行为进行记录和事后审核,从而有效地控制了IT相关的操作风险。
该银行选择了启明星辰的天网络安全审计系统。通过采用其日
志分析与审计报表组件,顺利达到了对海量的日志信息通过多种有效、快捷的手段精确定位用户的审计结果,实现了遵从“精确结果、完美呈现”的理念,有效减轻了管理人员的繁杂工作,降低了IT内审工
作的工作量,从而达到对业务系统信息资源的全局把控和调度的效果。
内容仅供参考