金融行業(yè)是現(xiàn)代服務(wù)業(yè)的重要組成部分，它通過溝通整個(gè)社會(huì)的經(jīng)濟(jì)活動(dòng)而成為現(xiàn)代經(jīng)濟(jì)的核心。

近年來，隨著金融信息化進(jìn)程的不斷推進(jìn)，信息技術(shù)在金融業(yè)務(wù)中起著越來越重要的作用，越來越多的金融業(yè)務(wù)流程依賴信息技術(shù)。現(xiàn)代金融行業(yè)在組織結(jié)構(gòu)、業(yè)務(wù)流程、業(yè)務(wù)開拓以及客戶服務(wù)等方面，日益體現(xiàn)出以知識(shí)和信息為基礎(chǔ)的特征。但隨著信息系統(tǒng)在金融行業(yè)業(yè)務(wù)運(yùn)營中的作用越來越重要，金融行業(yè)信息系統(tǒng)所面臨的威脅和風(fēng)險(xiǎn)也越來越大，外部黑客或不法分子虎視眈眈，內(nèi)部違規(guī)或犯罪事件正呈上升趨勢(shì)。

據(jù)CSI計(jì)算機(jī)犯罪調(diào)查，在有預(yù)謀的信息犯罪中，80%以上是內(nèi)部人員作案。要想根本解決內(nèi)部人員違規(guī)或作案問題，進(jìn)而完善信息科技內(nèi)部控制體系，只有加強(qiáng)信息科技審計(jì)制度才是治本之法。

安全審計(jì)產(chǎn)品部署在金融行業(yè)的價(jià)值所在

據(jù)了解，目前缺乏有效的審計(jì)手段是信息科技監(jiān)管所面臨的***問題，“服務(wù)在網(wǎng)內(nèi)，監(jiān)管在網(wǎng)外”，數(shù)據(jù)在信息系統(tǒng)內(nèi)被每秒上千次的自動(dòng)化處理，而審計(jì)時(shí)卻只能靠人工進(jìn)行檢查，檢查的范圍、深度等都非常有限，這使得審計(jì)監(jiān)管的力度和深度難以保證，也是很多違規(guī)或犯罪事件發(fā)生很長時(shí)間后才被發(fā)現(xiàn)重要原因之一。

因此，必須要通過部署安全審計(jì)產(chǎn)品，實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)在信息系統(tǒng)內(nèi)的操作，發(fā)現(xiàn)違規(guī)操作立即報(bào)警，并保存記錄操作過程以備將來查詢?nèi)∽C，實(shí)現(xiàn)“服務(wù)在網(wǎng)內(nèi)，監(jiān)管在網(wǎng)內(nèi)”的目標(biāo)，從而使得信息科技內(nèi)控體系進(jìn)一步完善。

除此之外，國家、金融監(jiān)管機(jī)構(gòu)在信息科技監(jiān)管要求中也都明確提出要實(shí)現(xiàn)安全審計(jì)功能。國家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)中要求二級(jí)以上信息系統(tǒng)中的網(wǎng)絡(luò)層面、主機(jī)層面和應(yīng)用層面均要求進(jìn)行安全審計(jì)，同時(shí)也明確要求了審計(jì)的范圍、審計(jì)內(nèi)容等。銀監(jiān)會(huì)19號(hào)文中也明確提出“控制所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審計(jì)、安全論證分析和預(yù)防欺詐”。國外信息安全方面的標(biāo)準(zhǔn)或***實(shí)踐（如ISO13335、ISO27001、SP800）等也要求對(duì)用戶行為、系統(tǒng)操作進(jìn)行審計(jì)。

對(duì)于安全審計(jì)產(chǎn)品而言，其通過對(duì)IT系統(tǒng)中相關(guān)信息的收集、分析和報(bào)告，來判定現(xiàn)有IT安全控制的有效性，檢查IT系統(tǒng)的誤用和濫用行為，驗(yàn)證當(dāng)前安全策略的合規(guī)性，獲取犯罪和違規(guī)的證據(jù)。

那么，總體來說，部署安全審計(jì)系統(tǒng)能夠帶來什么樣的價(jià)值呢？

（1）滿足合規(guī)性要求，順利通過IT審計(jì)

目前，越來越多的單位面臨一種或者幾種合規(guī)性要求。比如，在美國上市的公司及其下屬分子公司就面臨SOX法案的合規(guī)性要求；而商業(yè)銀行則面臨Basel協(xié)議的合規(guī)性要求；政府的行政事業(yè)單位或者國有企業(yè)則有遵循等級(jí)保護(hù)的合規(guī)性要求。

安全審計(jì)系統(tǒng)有助于完善組織的IT內(nèi)控與審計(jì)體系，從而滿足各種合規(guī)性要求，并且使組織能夠順利通過IT審計(jì)。

（2）有效減少核心信息資產(chǎn)的破壞和泄漏

對(duì)單位的業(yè)務(wù)系統(tǒng)來說，真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個(gè)關(guān)鍵系統(tǒng)上（如數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等），通過使用安全審計(jì)系統(tǒng)，能夠加強(qiáng)對(duì)這些關(guān)鍵系統(tǒng)的審計(jì)，從而有效地減少對(duì)核心信息資產(chǎn)的破壞和泄漏。

（3）追蹤溯源，便于事后追查原因與界定責(zé)任

審計(jì)監(jiān)控體系能夠完整的詮釋責(zé)任認(rèn)定體系。通過穩(wěn)定而成熟的審計(jì)技術(shù)，可以建立起一個(gè)行為不可抵賴、數(shù)據(jù)可靠，完整并且強(qiáng)有力的責(zé)任認(rèn)定體系。

通過從不同層面對(duì)支付系統(tǒng)中各種設(shè)備的操作和管理行為，包括本地操作和遠(yuǎn)程操作的綜合審計(jì)，可以很好的將上述行為記錄下來，并且長時(shí)間保存，可以達(dá)到很好的達(dá)到審計(jì)監(jiān)控目的，從而有效進(jìn)行責(zé)任認(rèn)定。

（4）實(shí)現(xiàn)獨(dú)立審計(jì)與三權(quán)分立，完善IT內(nèi)控機(jī)制

從內(nèi)控的角度來看，IT系統(tǒng)的使用權(quán)、管理權(quán)與監(jiān)督權(quán)必須三權(quán)分立。在三權(quán)分立的基礎(chǔ)上實(shí)施內(nèi)控與審計(jì)，有效地控制操作風(fēng)險(xiǎn)（包括業(yè)務(wù)操作風(fēng)險(xiǎn)與運(yùn)維操作風(fēng)險(xiǎn)等）。安全審計(jì)實(shí)現(xiàn)獨(dú)立的審計(jì)與三權(quán)分立，完善IT內(nèi)控機(jī)制。

透過不同功能安全審計(jì)產(chǎn)品聚焦金融需求

在總體了解安全審計(jì)產(chǎn)品的價(jià)值后，我們不難發(fā)現(xiàn)，安全審計(jì)的主要目的是對(duì)用戶的行為進(jìn)行分析、報(bào)警和記錄，因此，可以按用戶的IT行為對(duì)安全審計(jì)產(chǎn)品進(jìn)行一下分類，如下四類所述：

◆上網(wǎng)行為審計(jì)：內(nèi)部用戶訪問互聯(lián)網(wǎng)的行為和內(nèi)容進(jìn)行審計(jì)。主要識(shí)別的是Http、SMTP、FTP等協(xié)議，同時(shí)對(duì)互聯(lián)網(wǎng)的常用應(yīng)用如QQ、MSN、BT等也需要識(shí)別。互聯(lián)網(wǎng)審計(jì)一般是對(duì)內(nèi)部員工的上網(wǎng)進(jìn)行規(guī)范。

◆辦公行為審計(jì)：內(nèi)部用戶打印、收發(fā)郵件、FTP下載等行為進(jìn)行審計(jì)。

◆運(yùn)維行為審計(jì)：運(yùn)維人員對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫中間件、應(yīng)用系統(tǒng)等進(jìn)行配置、變更、備份等操作進(jìn)行審計(jì)。

◆業(yè)務(wù)操作審計(jì)：業(yè)務(wù)人員通過業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)操作行為的審計(jì)。由于業(yè)務(wù)操作最終會(huì)體現(xiàn)在數(shù)據(jù)庫中，所以通過數(shù)據(jù)庫審計(jì)可有效反映業(yè)務(wù)操作行為。
　　
在金融行業(yè)中，運(yùn)維行為和業(yè)務(wù)操作行為如果出現(xiàn)違規(guī)不僅可能造成業(yè)務(wù)中斷甚至造成資金丟失等嚴(yán)重金融事件，因此運(yùn)維行為審計(jì)和業(yè)務(wù)操作行為審計(jì)是金融行業(yè)關(guān)注的重點(diǎn)。對(duì)此，目前市場(chǎng)上有運(yùn)維審計(jì)產(chǎn)品、數(shù)據(jù)庫審計(jì)產(chǎn)品、日志審計(jì)產(chǎn)品和安全綜合審計(jì)產(chǎn)品。

運(yùn)維審計(jì)產(chǎn)品主要是實(shí)現(xiàn)系統(tǒng)用戶的集中管理和運(yùn)維人員的運(yùn)維操作控制及審計(jì)功能。產(chǎn)品采用邏輯串行部署方式，一般部署在運(yùn)維區(qū)的交換機(jī)上，運(yùn)維人員不能直接訪問主機(jī)服務(wù)器，必須首先登錄到運(yùn)維審計(jì)產(chǎn)品后才能訪問主機(jī)服務(wù)器進(jìn)行運(yùn)維操作。運(yùn)維審計(jì)產(chǎn)品把運(yùn)維人員的所有運(yùn)維操作全部記錄下來，并且根據(jù)事先制定的策略允許或禁止某些操作的執(zhí)行，并且對(duì)于高危險(xiǎn)操作實(shí)時(shí)進(jìn)行報(bào)警。

數(shù)據(jù)庫審計(jì)產(chǎn)品能夠監(jiān)視并記錄對(duì)數(shù)據(jù)庫服務(wù)器的各類操作行為，實(shí)時(shí)地、智能地解析對(duì)數(shù)據(jù)庫服務(wù)器的各種操作，一般操作行為如數(shù)據(jù)庫的登錄，特定的操作如對(duì)數(shù)據(jù)庫表的插入、刪除、修改，執(zhí)行特定的存貯過程等都能夠被記錄和分析，分析的內(nèi)容要求可以精確到SQL操作語句一級(jí)，并記錄這些操作的用戶名、機(jī)器IP地址、操作時(shí)間等重要信息。

日志審計(jì)產(chǎn)品能夠收集、分析和記錄操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用中間件等系統(tǒng)的日志數(shù)據(jù)。日志審計(jì)產(chǎn)品主要采用Syslog、SNMP Trap等方式采集系統(tǒng)日志，不需要在被采集設(shè)備上安裝采集代理程序。日志審計(jì)產(chǎn)品將各系統(tǒng)的日志統(tǒng)一集中存儲(chǔ)，可以有效保護(hù)審計(jì)日志的完整性，為日后的審計(jì)取證提供依據(jù)。

下表描述了目前市場(chǎng)上的審計(jì)產(chǎn)品能夠?qū)徲?jì)的用戶行為之間的關(guān)系：

給金融一個(gè)統(tǒng)一融合的安全審計(jì)方案

為了實(shí)現(xiàn)信息科技的全面安全審計(jì)而部署的日志審計(jì)、數(shù)據(jù)庫審計(jì)和運(yùn)維審計(jì)系統(tǒng)是不應(yīng)該彼此割裂的，而能夠統(tǒng)一為一個(gè)整體，將收集到IT資源日志、數(shù)據(jù)庫訪問操作日志、系統(tǒng)運(yùn)維操作日志一起進(jìn)行關(guān)聯(lián)分析處理，進(jìn)行統(tǒng)一管理、統(tǒng)一展現(xiàn)、統(tǒng)一分析、統(tǒng)一存儲(chǔ)，實(shí)現(xiàn)組織安全審計(jì)工作的一體化。

綜合安全審計(jì)系統(tǒng)的常見邏輯結(jié)構(gòu)圖1如下：

圖1 綜合安全審計(jì)系統(tǒng)的常見邏輯結(jié)構(gòu)圖

其中綜合安全審計(jì)系統(tǒng)內(nèi)部功能結(jié)構(gòu)圖如下圖2所示：

圖2 綜合安全審計(jì)系統(tǒng)內(nèi)部功能結(jié)構(gòu)

如上圖2所示，綜合安全審計(jì)系統(tǒng)各功能模塊的主要作用：

（1）審計(jì)日志采集中心：收集日志審計(jì)設(shè)備、數(shù)據(jù)庫審計(jì)設(shè)備和運(yùn)維審計(jì)設(shè)備等產(chǎn)生的審計(jì)日志信息，在審計(jì)日志采集的過程中，實(shí)現(xiàn)審計(jì)日志的過濾、范式化等操作。

（2）審計(jì)日志存儲(chǔ)中心：接收審計(jì)日志采集中心的數(shù)據(jù)，進(jìn)行分類入庫保留原始的日志，同時(shí)，也會(huì)保存范式化數(shù)據(jù)以及關(guān)聯(lián)分析數(shù)據(jù)，這些數(shù)據(jù)統(tǒng)一入庫存儲(chǔ)。

（3）審計(jì)日志分析中心：對(duì)日志審計(jì)信息、數(shù)據(jù)審計(jì)信息、運(yùn)維審計(jì)信息進(jìn)行關(guān)聯(lián)分析和數(shù)據(jù)挖掘，深入分析可能存在的違規(guī)行為。

（4）綜合顯示中心：提供一個(gè)統(tǒng)一的操作管理界面，方便安全審計(jì)人員進(jìn)行操作，該中心主要包括如下模塊：

◆實(shí)時(shí)監(jiān)控模塊：實(shí)時(shí)顯示符合審計(jì)策略的報(bào)警信息，主要起到事中或?qū)崟r(shí)審計(jì)的作用。

◆查詢檢索模塊：通過關(guān)鍵字進(jìn)行組合查詢，得到系統(tǒng)管理員所需要的結(jié)果。

◆綜合報(bào)表模塊。形成合規(guī)性報(bào)表、按照訪問者、時(shí)間段、被審計(jì)對(duì)象、操作內(nèi)容等生成報(bào)表。另外，報(bào)表系統(tǒng)提供方便的擴(kuò)展接口，方便用戶生成定制化報(bào)表。

◆事后取證：日志存儲(chǔ)中心存儲(chǔ)了最原始的審計(jì)日志信息，通過事件取證功能，可以獲取相應(yīng)的審計(jì)證據(jù)。 　　

（5）用戶管理模塊。根據(jù)獨(dú)立審計(jì)的原則，集中日志審計(jì)系統(tǒng)采用三權(quán)分立的用戶管理辦法，管理員、操作員和審計(jì)員權(quán)限分離，同時(shí)，不同用戶對(duì)系統(tǒng)的訪問和使用采用基于角色的訪問控制（RBAC）策略進(jìn)行細(xì)粒度的控制。

（6）系統(tǒng)自身安全模塊。集中日志審計(jì)系統(tǒng)作為重要的系統(tǒng)，對(duì)可用性有較高的要求，系統(tǒng)安全模塊來監(jiān)控各個(gè)組件以及數(shù)據(jù)庫的狀態(tài)，一旦一場(chǎng)或空間達(dá)到定義的閾值就給出提示，系統(tǒng)管理人員進(jìn)行相應(yīng)的處理。

結(jié)束語

完善信息科技內(nèi)控體系，必然要求實(shí)現(xiàn)安全審計(jì)的全面性和實(shí)時(shí)性，因此各安全審計(jì)系統(tǒng)整合后的綜合安全審計(jì)是未來發(fā)展的必然。通過部署綜合安全審計(jì)系統(tǒng)，可以建立起一個(gè)行為不可抵賴、數(shù)據(jù)可靠，完整并且強(qiáng)有力的責(zé)任認(rèn)定體系，為完善金融行業(yè)內(nèi)部控制體系提供強(qiáng)有力的保障。  

【編輯推薦】

1. 金融行業(yè)需要什么樣的安全審計(jì)產(chǎn)品
2. 淺談信息安全審計(jì)概念的由來