简体中文  |  English
等保专题
等级保护“安全审计”应用实现

   发布时间:2013-07-30 19:29:21 

近几年,随着我国金融行业数据大集中处理模式的日臻完善,银行业务系统对于IT系统的依赖越来越高,IT风险对于业务安全性的影响也越来越大。进入2013年,媒体已披露多起银行业务系统宕机造成的安全事故,轻则降低了银行的服务水平,重则造成大范围、长时间业务停滞,外界一片哗然的背后,银行的声誉及信用受到了严重冲击。为此,我国银监会提出了明确的监管思路——“管法人、管风险、管内控、提高透明度”,陆续实施的一系列政策和措施,要求各商业银行落实内外部IT风险评审机制,实施部署更高效、安全、可控的IT风险管理与审计体系已迫在眉睫。
  新趋势、新业务模式面前,银行的IT系统比以往更加庞大、复杂,从物理分布来看,涉及多机构、多层级的IT基础架构;从技术维度考虑,离散的数据在各种业务系统、网络及数据库系统的交互作用下,变得更加结构化,更易于查询调度,任何环节存在缺陷,都有可能成为威胁整个银行核心业务系统的安全短板。因此,为确保整个庞大的IT系统安全稳定运行,除构建责任明确的IT运维团队外,还需要能够对整个IT系统的风险点做大实施监控、及时响应、完整审计,及时准确的发现非授权用户对数据的使用、授权用户对数据的不恰当修改、以及数据库的异常情况等。
  无规矩不成方圆,为最大限度规避因人工操作不当(有意或无意)引起的风险事故,落实IT风险管理规范,我国政府颁发的《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》中对安全审计也做出了明确的要求:
  • 审计范围应覆盖到服务器的每个数据库用户;
  • 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要安全相关事件;
  • 审计记录应包括事件的日期、时间、类型、主体标识(账号)、客体标识(数据库表级、数据库字段级)和结果等;
  • 应能根据记录数据进行分析,并生成审计报表;
  • 应保护审计进程,避免受到未预期的中断;
  • 应保护审计记录,避免受到未预期的删除、修改或覆盖等。
  相对应的在《GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求》中对数据库安全审计也进一步做了阐述,要求包括:
  • 建立独立的安全审计系统;
  • 定义与数据库安全相关的审计事件;
  • 设置专门的安全审计员;
  • 设置专门用于存储数据库系统审计数据的安全审计库;
  • 提供适用于数据库系统的安全审计设置、分析和查阅的工具。
  由此可见,国家主管机构对于IT风险管理,尤其是数据库系统的安全审计要求是有着深刻的认识的。根据等级保护评级标准,我国商业银行的核心业务系统要严格匹配等级保护制度要求,部署安全审计需求既是政策要求,也是规避风险构建IT风险管理体系的重要组成部分。在实际运行中,超过70%的IT风险是由于操作风险造成的,愈复杂的IT环境,风险存在的概率越大,通过部署安全审计系统可以帮助IT管理者有效规避以下风险:
  • 特权用户的访问风险
  特权用户对数据库结构的修改;
  特权用户账号的恶意使用。
  • 业务用户的访问风险
  超出正常业务需求的使用;
  非正常时间的访问;
  使用业务系统账号直接访问数据库的行为。
  • 开发者的访问风险
  对正在运行的业务系统的访问。
  • IT运维人员的访问风险
  未经批准的改变数据库配置的行为;
  未经批准的补丁行为。
  从安全审计系统部署拓扑来讲,业务审计型安全审计系统需要部署在安全管理区域,通过对核心区域网络数据流量的采集,实现了对数据库访问与操作的全面监测审计。提供对系统管理员账户在内的所有帐户登录、访问和各种操作,可以清晰地知道何人、何时、何地进入数据库系统在做什么,是授权的/非授权的,访问和操作是否合规。
  

                                                                图:安全审计系统部署拓扑
  部署安全审计系统的客户,不仅组织机构内的核心业务系统形成了完整的业务审计解决方案,进一步完善了自身IT内控体系的同时,大大简化了IT风险管理的复杂度,确保企业关键业务系统可顺利通过相关主管部门的等保评估、检查工作。
  1. 满足合规性要求,顺利通过IT审计
  目前,越来越多的组织机构面临一种或者几种合规性要求。比如,上市公司需要遵守的SOX法案的合规性要求,商业银行则面临Basel协议的合规性要求;政府的行政事业单位或者国有企业则有遵循等级保护、分级保护的合规性要求。数据库审计系统为用户核心系统提供了独立的审计解决方案,有助于完善组织的IT内控体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。
  2. 有效减少核心信息资产的破坏和泄露
  对关键业务系统来说,核心信息资产往往存放在少数几个关键系统上(如数据库服务器、应用服务器等),通过使用数据库安全审计产品,能够加强对这些关键系统的审计,从而有效地减少对核心信息资产的破坏和数据泄露。
  3. 追踪溯源,便于事后追查原因与界定责任
  负责运维的部门通常拥有数据库管理系统的最高权限(掌握DBA账号的口令),因而也承担着很高的风险(误操作或者是个别人员的恶意破坏)。审计系统能够帮助企业进行事后追查原因与界定责任。
  4. 直观掌握业务系统运行的安全状况
  业务系统的正常运行需要一个安全、稳定的网络环境。对管理部门来说,网络环境的安全状况事关重大。审计系统提供业务流量监控与审计事件统计分析功能,能够直观地反映网络环境的安全状况。
  5. 实现独立审计,完善IT内控机制
  从内控的角度来看,IT系统的使用权、管理权与监督权必须三权分立。审计系统实现独立审计,帮助监督人员获得有效的技术手段,从而完善企业IT内控机制。
  通过对业界观察,网神公司推出的基于业务审计需求的安全审计系统SecFox-NBA,可以完全满足政府、金融等行业客户等级保护的各项技术要求,并且从信息安全管理体系的角度出发,实现了一套完整的用户身份识别与操作行为强相关的风险管理机制,包括业界领先的数据库审计、应用安全监测等功能,同时在界面设计、功能布局、查询性能、设备维护等也得到显著提升。

                                                         SecFox-NBA安全审计系统(业务审计型)
   “三分安全,七分管理”,随着我国移动互联、智慧城市、大数据、云计算应用等新技术、新应用和新模式的相继出现,无论金融机构,还是企业、政府机关都将对信息安全提出更高的要求,新时期的帷幕已经拉开,我们更应该合理、合规的管理使用关键业务系统,用最合理的成本,构筑企业理想的风险管理体系。

关于我们 | 法律声明 | 隐私条款 | 联系我们 | 网站地图
网神信息技术(北京)股份有限公司 版权所有 Copyright Legendsec Technology Co.Ltd all rights reserved