简体中文  |  English
等保专题
解析大数据时代的合规审计

   发布时间:2013-10-31 13:51:03 

近年来,随着移动互联网、物联网、云计算等新型技术的快速发展,及视频监控、智能终端、应用商店等的快速普及,全球数据量出现爆炸式增长,毫无疑问数据已渗透到每一个行业和业务职能领域,并扮演着重要的生产因素。与此同时,对于海量数据的挖掘与应用,已经预示着电子数据为代表的信息资源大集中模式逐渐成为信息化建设和管理的趋势,对于信息安全而言,这种趋势已经在海量信息与审计时间的矛盾碰撞中显现尤为激烈,如何更有效的管理数据,如何让海量的离散日志信息转化为信息系统安全管理的利器是今天IT管理迫切的需求。

无容置疑,大数据时代的到来,让越来越多的政府、企业等机构开始意识到数据正在成为组织最重要的资产,数据分析能力正在成为组织的核心竞争力。奥巴马政府更曾宣布投资2亿美元拉动大数据相关产业发展,数据已被定义为“未来的新石油”。然而,大数据时代又一次让企业面临更加复杂的安全威胁,愈加复杂的信息系统基础环境,让IT管理者除了要阻断来自企业外部层出不穷的入侵行为,还要规范围堵企业内部的风险与漏洞。为应对新的风险与挑战,日新月异的防毒墙、防火墙、入侵检测系统、漏洞扫描系统、UTM等软硬件安全解决方案被IT管理武装到企业内外部环境,然而这些安全系统的防御效果却差强人意,究其原因主要因为这些解决方案在实际应用中多成孤岛防御,仅阻断某方面的安全威胁,难以形成连锁反应,效果自然难以保证。

此外,大数据时代的到来,也让国家和各个行业机构愈发重视,无论是美国萨班斯SOX法案,还是国内针对电子政务、央企、银行、证券、基金、保险、上市公司的信息系统风险保障和内控的指引、条例和文件,纷纷要求企业对安全审计做好充分的准备。然而传统的安全运维手段,是将各个离散安全设备的日志信息分门别类的归纳分析,这种做法只会让IT管理将大量的时间精力和有限的IT资源消耗在对海量且割裂的日志数据分析中,不仅无法提升IT管理者的工作效率,更无法发现真正潜在的风险,管理效果自然差强人意。

借鉴《信息系统安全等级化保护基本要求》、《企业内部控制规范基本规范》以及商业银行及证券机构的行业规范,我们对于安全审计,尤其是日志审计总结如下要点:
        ♦《企业内部控制基本规范》的第四十一条要求“企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制,保证信息系统安全稳定运行。”
       ♦《商业银行内部控制指引》的第一百二十六条要求“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要”。
       ♦《银行业信息科技风险管理指引》第二十一条明确要求商业银行信息科技部门要“定期向信息科技管理委员会提交本银行信息安全评估报告”,“信息安全策略的制定应涉及合规性管理领域”。第二十七条指出“银行业应制定相关策略和流程,管理所有生产系统的日志,以支持有效的审核、安全取证分析和预防欺诈。”
       ♦《证券公司内部控制指引》第一百一十七条要求“证券公司应保证信息系统日志的完备性,确保所有重大修改被完整地记录,确保开启审计留痕功能。证券公司信息系统日志应至少保存15年”。
       ♦《信息系统等级化保护基本要求》的技术要求中,从第二级开始,针对网络安全、主机安全、应用安全都有明确的安全审计控制点。在管理要求中,“安全事件处置”控制点从第二级开始要求对日志和告警事件进行存储;从第三级开始提出了“监控管理与安全管理中心”的控制点要求。

为了更有效的发现并控制风险,作为IT管理者需要给予ISO27001的信息安全管理体系重新思考定制如何利用海量的数据构建真正有效的风险审计大数据平台。为此,构建安全风险审计的大数据平台,首先需要切身了解各行业规范及国家政策法规的关键点。

综上所述,大数据时代的企业迫切需要一个全面的、面向企业和组织IT资源(信息系统保护环境)的、集中的安全审计平台及其系统,这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志,并进行存储、监控、审计、分析、报警、响应和报告。

然而,今天企业的现状是,已部署的各种设备、应用及数据库日志虽然产生了大量宝贵的日志信息(如使用者的访问日志、用户操作行为日志、系统日志、安全威胁日志、甚至于各种诈骗行为日志、恶意攻击日志、感染病毒日志),但由于这些日志数据是动态的、非结构非标准化的,这些关键数据不是被忽视就是被低估,大多数的组织和企业对于这么大量的数据根本不知如何处理,更不知道如何去应用它们。例如今天谈之色变的APT攻击,如果尽是对某一个特征做阻断扫描几乎无法发现其行为,然而如果可以对多个异常行为进行组网分析,便可以清晰的发现一条隐蔽的渗透路径。

为此,构建安全风险审计的大数据平台,首先需要采购高可扩展性且通用的数据引擎,具有处理大规模半结构化、非结构化或非标准化的设备、系统、应用和数据库日志的能力,能够实时的收集上述各种日志,并对这些日志进行归一化,解析出各个日志中各个字段的含义,以便用户更易读懂每条日志,并对这些日志构建索引,通过强大的系统关联分析规则引擎对这些不同设备和不同类型日志之间的深度关联分析,及时发现网络环境中的攻击行为或者是高风险事件,在索引文件的支持下实现了审计日志的快速查询,最后通过日志审计报表,满足了用户对这个法律法规、内控以及SOX等的合规性要求。

其次,需要通过多种方式全面采集网络中各种设备、应用、系统和数据库的日志信息,确保用户能够收集并审计所有必需的日志信息,避免出现审计漏洞。除支持通用的Syslog、SNMP Trap、NetFlow、ODBC/JDBC、OPSEC LEA协议外,还需要对内部私有TCP/ UDP等网络协议进行日志采集。

再其次,所有的日志信息应该由统一的日志采集器将离散的日志数据做关联后再一次性发送给审计中心,这就要求审计系统能够将异构的日志变成系统可识别的统一的日志,屏蔽了不同厂商以及不同类型的产品之间的日志差异,使得日志关联分析成为可能。

此外,大数据时代的风险审计还需要能够对攻击者的行为进行逻辑上的关联,黑客的攻击和内部的违规操作往往是分为若干步骤的,每个步骤都会在不同的设备和系统上留下蛛丝马迹,单看某个设备的日志可能无法发现问题,但是将所有这些信息合到一起,就可能发现其中的隐患,而这正是关联分析的目的所在。

最后,构建风险审计的大数据平台,还应该具备海量日志实时接收存储、快速查询以及合规报表的综合能力,这有利于IT管理者快速集成各种合规性关键控制点需求,为客户提供合规性审计报表报告,减低合规性成本。

目前,国内如网神已经在风险审计的大数据平台建设方面取得显著突破。网神SecFox-LAS日志审计系统采用了高可扩展性且通用的数据引擎,具有处理大规模半结构化、非结构化或非标准化的设备、系统、应用和数据库日志的能力,SecFox-LAS能实时的收集上述各种日志,并对这些日志进行归一化,解析出各个日志中各个字段的含义,以便用户更易读懂每条日志,并对这些日志构建索引,通过强大的系统关联分析规则引擎对这些不同设备和不同类型日志之间的深度关联分析,及时发现网络环境中的攻击行为或者是高风险事件,在索引文件的支持下实现了审计日志的快速查询,最后通过日志审计报表,满足了用户对这个法律法规、内控以及SOX等的合规性要求。
未来随着大数据的获取、分析与关联、存储与处理方法与技术的飞速发展,可以预见企业对于数据的管理与风险控制将更变得更加高效智能。大数据时代已经来临,社会对数据透明化与数据共享的需求日益强烈,伴随国家等级保护工作的不断推进,以及各个行业内控要求的不断深化,数据在审计中的重要性将日益凸显,大数据的审计势在必行,大有可为。

关于我们 | 法律声明 | 隐私条款 | 联系我们 | 网站地图
网神信息技术(北京)股份有限公司 版权所有 Copyright Legendsec Technology Co.Ltd all rights reserved