网络安全审计让内部监管变得简单

部署网络安全审计系统正当其时

种种迹象表明,外部人员接触核心数据的概率较小,常用的攻击方式早就被层层布局的防火墙、IPS等设备挡在网络之外,有机会接触企业业务的内部人员或者第三方维护人员,往往有意或无意的成为罪魁祸首。针对这种情况,业务网络内部针对关键服务器和关键数据的访问行为就成了关注焦点,如何对这类访问行为进行网络安全审计,实施有效控制和监测,成为各网络安管部门需要解决的重要问题。

一般情况下,针对关键服务器的访问有两种类型:一类是业务访问,也就是业务用户对业务系统的访问。这类访问频率高,交换数据量大,但是,业务用户的访问行为模式都被业务系统提前规范好,异常操作发生的概率小。对于此类访问的监管要求主要集中在事中审计和事后溯源上,且监管行为对业务系统的连续性和性能不能有太大影响。另外一类是运维操作,也就是运维人员针对服务器、网络设备等资源的维护和管理操作,这类操作的频率相对不高,但人为干预度高,误操作或者越权操作对后台资源的伤害非常大。对于此类操作的监管要求集中在事前授权和事中控制上,且监管行为对运维操作的少量影响也可被接受。

对于服务器访问,启明星辰推荐部署天玥网络安全审计系统,作为业务网的内控审计解决方案。针对业务访问,在用户访问入口处,旁路部署以数据库审计为核心的审计系统,通过解析镜像数据来审计关键行为,此种部署方式既不影响业务系统的正常运行,又能最大程度的对业务访问进行审计,达到了事后溯源的目的。针对运维操作,在运维区域出口,部署运维审计系统或者堡垒机,在身份认证的基础上,进行严格的权限控制和操作审计。通过这种互补式的部署方案,实现审计与控制的完美结合,也保证了对企业核心数据访问的全面监控。

业务网内控审计解决方案部署示意图

实现客户价值

天玥业务网内控审计解决方案核心价值体现在:完善业务系统的安全防范体系,满足组织机构内外部合规性要求,全面体现管理者对业务系统信息资源的全局把控和调度能力。

? 满足合规性要求,顺利通过IT审计

目前,越来越多的单位面临一种或者几种合规性要求。比如,在美上市的中国移动集团公司及其下属分子公司就面临SOX法案的合规性要求;而商业银行则面临Basel协议的合规性要求;政府的行政事业单位或者国有企业则要遵循等级保护的合规性要求。

天玥业务网内控审计解决方案提供了一种独立的审计方案,有助于完善组织的IT内控与审计体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。

? 有效减少核心信息资产的破坏和泄露

对单位的业务系统来说,真正重要的核心信息资产往往存放在少数几个关键系统和关键服务器上,通过天玥业务网内控审计解决方案,能够加强对这些关键系统的访问控制与审计,从而有效地减少核心信息资产的破坏和泄露。

? 有效控制运维操作风险,便于事后追查原因与界定责任

一个单位里负责运维的部门通常拥有目标系统或者网络设备的最高权限,因而也承担着很高的风险(误操作或者是个别人员的恶意破坏)。天玥业务网内控审计解决方案提供基于角色的访问控制与审计,不但能够有效地控制运维操作风险,还能够有效地区分不同维护人员的身份,便于事后追查原因与界定责任。

? 有效控制业务运行风险,直观掌握业务系统运行的安全状况

业务系统的正常运行需要一个安全、稳定的网络环境。天玥业务网内控审计解决方案提供审计事件及会话的统计分析功能,能够直观地反映网络环境的安全状况。

? 实现独立审计与三权分立,完善IT内控机制

从内控的角度来看,IT系统的使用权、管理权与监督权必须三权分立。天玥业务网内控审计解决方案实现独立的审计与三权分立,在三权分立的基础上实施内控与审计,有效地控制操作风险(包括业务操作风险与运维操作风险),完善IT内控机制。

? 一体化、低成本、可操作的4A解决方案

部分行业正在建设4A系统,虽然在业内已经颁布各种4A规范与标准,但建设4A系统并非易事。要遵循规范,循序渐进,而且实施周期长,实施成本巨大。鉴于4A全面建设的困难性,可考虑从离散的点铺开,然后连成面。天玥业务网内控审计解决方案即是这样一种低成本、易实施的一体化4A解决方案,涵盖了账号管理、身份认证、访问授权以及操作审计等几方面的基本功能。