【51CTO.com 綜合消息】金融行業(yè)是現(xiàn)代服務業(yè)的重要組成部分，它通過溝通整個社會的經(jīng)濟活動而成為現(xiàn)代經(jīng)濟的核心。

近年來，隨著金融信息化進程的不斷推進，信息技術在金融業(yè)務中起著越來越重要的作用，越來越多的金融業(yè)務流程依賴信息技術。現(xiàn)代金融行業(yè)在組織結構、業(yè)務流程、業(yè)務開拓以及客戶服務等方面，日益體現(xiàn)出以知識和信息為基礎的特征。但隨著信息系統(tǒng)在金融行業(yè)業(yè)務運營中的作用越來越重要，金融行業(yè)信息系統(tǒng)所面臨的威脅和風險也越來越大，外部黑客或不法分子虎視眈眈，內(nèi)部違規(guī)或犯罪事件正呈上升趨勢。

據(jù)CSI計算機犯罪調(diào)查，在有預謀的信息犯罪中，80%以上是內(nèi)部人員作案。要想根本解決內(nèi)部人員違規(guī)或作案問題，進而完善信息科技內(nèi)部控制體系，只有加強信息科技審計制度才是治本之法。

安全審計產(chǎn)品部署在金融行業(yè)的價值所在

據(jù)了解，目前缺乏有效的審計手段是信息科技監(jiān)管所面臨的***問題，“服務在網(wǎng)內(nèi)，監(jiān)管在網(wǎng)外”，數(shù)據(jù)在信息系統(tǒng)內(nèi)被每秒上千次的自動化處理，而審計時卻只能靠人工進行檢查，檢查的范圍、深度等都非常有限，這使得審計監(jiān)管的力度和深度難以保證，也是很多違規(guī)或犯罪事件發(fā)生很長時間后才被發(fā)現(xiàn)重要原因之一。

因此，必須要通過部署安全審計產(chǎn)品，實時監(jiān)測數(shù)據(jù)在信息系統(tǒng)內(nèi)的操作，發(fā)現(xiàn)違規(guī)操作立即報警，并保存記錄操作過程以備將來查詢?nèi)∽C，實現(xiàn)“服務在網(wǎng)內(nèi)，監(jiān)管在網(wǎng)內(nèi)”的目標，從而使得信息科技內(nèi)控體系進一步完善。

除此之外，國家、金融監(jiān)管機構在信息科技監(jiān)管要求中也都明確提出要實現(xiàn)安全審計功能。國家等級保護相關標準中要求二級以上信息系統(tǒng)中的網(wǎng)絡層面、主機層面和應用層面均要求進行安全審計，同時也明確要求了審計的范圍、審計內(nèi)容等。銀監(jiān)會19號文中也明確提出“控制所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審計、安全論證分析和預防欺詐”。國外信息安全方面的標準或***實踐（如ISO13335、ISO27001、SP800）等也要求對用戶行為、系統(tǒng)操作進行審計。

對于安全審計產(chǎn)品而言，其通過對IT系統(tǒng)中相關信息的收集、分析和報告，來判定現(xiàn)有IT安全控制的有效性，檢查IT系統(tǒng)的誤用和濫用行為，驗證當前安全策略的合規(guī)性，獲取犯罪和違規(guī)的證據(jù)。

那么，總體來說，部署安全審計系統(tǒng)能夠帶來什么樣的價值呢？

1）滿足合規(guī)性要求，順利通過IT審計

目前，越來越多的單位面臨一種或者幾種合規(guī)性要求。比如，在美國上市的公司及其下屬分子公司就面臨SOX法案的合規(guī)性要求；而商業(yè)銀行則面臨Basel協(xié)議的合規(guī)性要求；政府的行政事業(yè)單位或者國有企業(yè)則有遵循等級保護的合規(guī)性要求。

安全審計系統(tǒng)有助于完善組織的IT內(nèi)控與審計體系，從而滿足各種合規(guī)性要求，并且使組織能夠順利通過IT審計。

2）有效減少核心信息資產(chǎn)的破壞和泄漏

對單位的業(yè)務系統(tǒng)來說，真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個關鍵系統(tǒng)上（如數(shù)據(jù)庫服務器、應用服務器等），通過使用安全審計系統(tǒng)，能夠加強對這些關鍵系統(tǒng)的審計，從而有效地減少對核心信息資產(chǎn)的破壞和泄漏。

3）追蹤溯源，便于事后追查原因與界定責任

審計監(jiān)控體系能夠完整的詮釋責任認定體系。通過穩(wěn)定而成熟的審計技術，可以建立起一個行為不可抵賴、數(shù)據(jù)可靠，完整并且強有力的責任認定體系。

通過從不同層面對支付系統(tǒng)中各種設備的操作和管理行為，包括本地操作和遠程操作的綜合審計，可以很好的將上述行為記錄下來，并且長時間保存，可以達到很好的達到審計監(jiān)控目的，從而有效進行責任認定。

4）實現(xiàn)獨立審計與三權分立，完善IT內(nèi)控機制

從內(nèi)控的角度來看，IT系統(tǒng)的使用權、管理權與監(jiān)督權必須三權分立。在三權分立的基礎上實施內(nèi)控與審計，有效地控制操作風險（包括業(yè)務操作風險與運維操作風險等）。安全審計實現(xiàn)獨立的審計與三權分立，完善IT內(nèi)控機制。

透過不同功能安全審計產(chǎn)品聚焦金融需求

在總體了解安全審計產(chǎn)品的價值后，我們不難發(fā)現(xiàn)，安全審計的主要目的是對用戶的行為進行分析、報警和記錄，因此，可以按用戶的IT行為對安全審計產(chǎn)品進行一下分類，如下四類所述： 

◆上網(wǎng)行為審計：內(nèi)部用戶訪問互聯(lián)網(wǎng)的行為和內(nèi)容進行審計。主要識別的是Http、SMTP、FTP等協(xié)議，同時對互聯(lián)網(wǎng)的常用應用如QQ、MSN、BT等也需要識別。互聯(lián)網(wǎng)審計一般是對內(nèi)部員工的上網(wǎng)進行規(guī)范。 

◆辦公行為審計：內(nèi)部用戶打印、收發(fā)郵件、FTP下載等行為進行審計。 

◆運維行為審計：運維人員對網(wǎng)絡設備、主機系統(tǒng)、數(shù)據(jù)庫中間件、應用系統(tǒng)等進行配置、變更、備份等操作進行審計。 

◆業(yè)務操作審計：業(yè)務人員通過業(yè)務系統(tǒng)進行業(yè)務操作行為的審計。由于業(yè)務操作最終會體現(xiàn)在數(shù)據(jù)庫中，所以通過數(shù)據(jù)庫審計可有效反映業(yè)務操作行為。

在金融行業(yè)中，運維行為和業(yè)務操作行為如果出現(xiàn)違規(guī)不僅可能造成業(yè)務中斷甚至造成資金丟失等嚴重金融事件，因此運維行為審計和業(yè)務操作行為審計是金融行業(yè)關注的重點。對此，目前市場上有運維審計產(chǎn)品、數(shù)據(jù)庫審計產(chǎn)品、日志審計產(chǎn)品和安全綜合審計產(chǎn)品。

運維審計產(chǎn)品主要是實現(xiàn)系統(tǒng)用戶的集中管理和運維人員的運維操作控制及審計功能。產(chǎn)品采用邏輯串行部署方式，一般部署在運維區(qū)的交換機上，運維人員不能直接訪問主機服務器，必須首先登錄到運維審計產(chǎn)品后才能訪問主機服務器進行運維操作。運維審計產(chǎn)品把運維人員的所有運維操作全部記錄下來，并且根據(jù)事先制定的策略允許或禁止某些操作的執(zhí)行，并且對于高危險操作實時進行報警。

數(shù)據(jù)庫審計產(chǎn)品能夠監(jiān)視并記錄對數(shù)據(jù)庫服務器的各類操作行為，實時地、智能地解析對數(shù)據(jù)庫服務器的各種操作，一般操作行為如數(shù)據(jù)庫的登錄，特定的操作如對數(shù)據(jù)庫表的插入、刪除、修改，執(zhí)行特定的存貯過程等都能夠被記錄和分析，分析的內(nèi)容要求可以精確到SQL操作語句一級，并記錄這些操作的用戶名、機器IP地址、操作時間等重要信息。

日志審計產(chǎn)品能夠收集、分析和記錄操作系統(tǒng)、網(wǎng)絡設備、應用中間件等系統(tǒng)的日志數(shù)據(jù)。日志審計產(chǎn)品主要采用Syslog、SNMP Trap等方式采集系統(tǒng)日志，不需要在被采集設備上安裝采集代理程序。日志審計產(chǎn)品將各系統(tǒng)的日志統(tǒng)一集中存儲，可以有效保護審計日志的完整性，為日后的審計取證提供依據(jù)。

下表描述了目前市場上的審計產(chǎn)品能夠?qū)徲嫷挠脩粜袨橹g的關系：

 #p#

給金融一個統(tǒng)一融合的安全審計方案

為了實現(xiàn)信息科技的全面安全審計而部署的日志審計、數(shù)據(jù)庫審計和運維審計系統(tǒng)是不應該彼此割裂的，而能夠統(tǒng)一為一個整體，將收集到IT資源日志、數(shù)據(jù)庫訪問操作日志、系統(tǒng)運維操作日志一起進行關聯(lián)分析處理，進行統(tǒng)一管理、統(tǒng)一展現(xiàn)、統(tǒng)一分析、統(tǒng)一存儲，實現(xiàn)組織安全審計工作的一體化。

綜合安全審計系統(tǒng)的常見邏輯結構圖1如下：  

圖1 綜合安全審計系統(tǒng)的常見邏輯結構圖

其中綜合安全審計系統(tǒng)內(nèi)部功能結構圖如下圖2所示：

圖2 綜合安全審計系統(tǒng)內(nèi)部功能結構

如上圖2所示，綜合安全審計系統(tǒng)各功能模塊的主要作用：

1) 審計日志采集中心：收集日志審計設備、數(shù)據(jù)庫審計設備和運維審計設備等產(chǎn)生的審計日志信息，在審計日志采集的過程中，實現(xiàn)審計日志的過濾、范式化等操作。

2) 審計日志存儲中心：接收審計日志采集中心的數(shù)據(jù)，進行分類入庫保留原始的日志，同時，也會保存范式化數(shù)據(jù)以及關聯(lián)分析數(shù)據(jù)，這些數(shù)據(jù)統(tǒng)一入庫存儲。

3) 審計日志分析中心：對日志審計信息、數(shù)據(jù)審計信息、運維審計信息進行關聯(lián)分析和數(shù)據(jù)挖掘，深入分析可能存在的違規(guī)行為。

4) 綜合顯示中心：提供一個統(tǒng)一的操作管理界面，方便安全審計人員進行操作，該中心主要包括如下模塊： 

◆實時監(jiān)控模塊：實時顯示符合審計策略的報警信息，主要起到事中或?qū)崟r審計的作用。 

◆查詢檢索模塊：通過關鍵字進行組合查詢，得到系統(tǒng)管理員所需要的結果。 

◆綜合報表模塊。形成合規(guī)性報表、按照訪問者、時間段、被審計對象、操作內(nèi)容等生成報表。另外，報表系統(tǒng)提供方便的擴展接口，方便用戶生成定制化報表。 

◆事后取證：日志存儲中心存儲了最原始的審計日志信息，通過事件取證功能，可以獲取相應的審計證據(jù)。

5) 用戶管理模塊。根據(jù)獨立審計的原則，集中日志審計系統(tǒng)采用三權分立的用戶管理辦法，管理員、操作員和審計員權限分離，同時，不同用戶對系統(tǒng)的訪問和使用采用基于角色的訪問控制（RBAC）策略進行細粒度的控制。

6) 系統(tǒng)自身安全模塊。集中日志審計系統(tǒng)作為重要的系統(tǒng)，對可用性有較高的要求，系統(tǒng)安全模塊來監(jiān)控各個組件以及數(shù)據(jù)庫的狀態(tài)，一旦一場或空間達到定義的閾值就給出提示，系統(tǒng)管理人員進行相應的處理。

結束語

完善信息科技內(nèi)控體系，必然要求實現(xiàn)安全審計的全面性和實時性，因此各安全審計系統(tǒng)整合后的綜合安全審計是未來發(fā)展的必然。通過部署綜合安全審計系統(tǒng)，可以建立起一個行為不可抵賴、數(shù)據(jù)可靠，完整并且強有力的責任認定體系，為完善金融行業(yè)內(nèi)部控制體系提供強有力的保障。