分析:企业应该如何把脉信息系统安全审计?

随着信息化水平的快速提高和信息安全建设的逐渐深入,如何建立信息安全审计制度,有效加强内部信息安全管理、信息系统安全风险控制,满足政策合规的要求,成为企事业单位面临的普遍问题。绿盟科技信息安全审计专家,以自身多年信息安全审计的经验和认知,讲解信息安全审计的标准、趋势及要点。信息系统安全审计正逐渐成为国内信息安全系统建设热点。

一、 信息系统审计定义与发展历史

信息系统审计(Information System Audit, ISA)是通过收集和分析审计证据,对信息系统是否能够保护资产的安全、数据的完整、运营效率等方面做出判断的过程。

信息系统审计是计算机技术与数据处理电算化发展的结果。数据处理电算化对信息系统审计产生了重大影响,计算机在数据处理中的运用形成了电子数据处理系统,它产生于20世纪50年代。因此,信息系统审计的概念产生可追溯到20世纪60年代。信息系统审计系统的发展历史可以分为三个阶段:

1960年-1970年,信息系统审计概念形成阶段

20世纪60年代,信息系统审计最早称为计算机审计,是随着计算机在财务会计领域的应用而产生。早期的计算机应用比较简单,计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务。1960年初,IBM出版了《Audit Encounters Electronic Data Processing》,该书首次提出了电子数据环境下的内部审计规则和组织方法。60年代中期,美国国防部海军审计局引进了通用审计软件包。1968年美国EDPAA协会(执业会计师协会)发表《电子数据处理系统与审计》,详细探讨了审计与电子数据处理系统的关系,并提出若干计算机辅助审计电子数据处理系统的方法。

1970年-1999年,信息系统审计成长阶段

70年代中期至80年代,美国、日本等先后成立计算机审计相关组织;国际开始兴起一系列信息安全管理标准的制定。1983年,日本通产省发布《系统审计标准》,开始培训信息系统审计人员。1984年美国EDPAA协会(执业会计师协会)发布一套EDP控制标准-《EDP控制目的》。

1996年,ISACA协会发布了COBIT(Control Objectives for Information and related Technology)标准,是国际上公认的安全与信息技术管理和控制的权威标准,也是国际通用的信息系统审计标准,已在100多个国家的重要组织和企业中应用。

1999年-至今,信息系统审计普及和行业应用阶段

2001年至今,美国安然事件及由此引发的一系列美国著名大公司在公司治理和财务管理力方面的问题,促使美国陆续出台了多个具有较强影响力的行业法案,如:2002年美国出台Sarbanes-Oxley法案(塞班斯—奥克斯利法案),其中第404条款要求企业在财务报告方面加强内控,企业的CEO和CFO必须对本企业的内控系统的有效性发表诚信声明。因此,IT信息系统同样需要加强控制以达到SOX法案的合规要求; 2005年针对IT信息系统的SOX合规审计成为全球CIO最关注的事。目前,西方发达国家的信息系统审计应用已较为普遍,并发展到了较高的水平。

二、 信息系统安全审计定义与发展

信息系统安全审计是信息系统审计全过程的组成部分,主要依据标准包括COBIT、CC、ITIL等信息安全管理标准。信息系统安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到“最安全”和“最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段,也是威慑、打击内部计算机犯罪的重要手段。

在国际通用的CC准则(即ISO/IEC15408-2:1999《信息技术安全性评估准则》)中对信息系统安全审计(ISSA,Information System Security Audit)给出了明确定义:信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责;主要功能包括:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等。

这是国际CC准则给出的一个比较抽象的概念,通俗来讲,信息安全审计就是信息网络中的“监控摄像头”,通过运用各种技术手段,洞察网络信息系统中的活动,全面监测信息系统中的各种会话和事件,记录分析各种网络可疑行为、违规操作、敏感信息,帮助定位安全事件源头和追查取证,防范和发现计算机网络犯罪活动,为信息系统安全策略制定、风险内控提供有力的数据支撑。

(一)国内信息系统安全审计发展历史

与国外相比,中国的信息系统安全审计起步较晚,相关信息安全审计技术、信息安全审计规范和信息安全审计制度等都有待进一步完善。绿盟科技的信息安全审计专家,根据多年经验总结,提出我国的信息系统安全审计发展可分为两个阶段:

1999年-2004年 信息系统安全审计导入期

1999年财政部颁布了《独立审计准则第20号-计算机信息系统环境下的审计》,部分内容借鉴了国外研究成果。这是国内第一次明确提出对计算信息系统审计的要求。

同年,国家质量技术监督局颁布《GB17859-1999 计算机信息系统安全保护等级划分准则》,该准则是建立计算机信息系统安全保护等级制度,实施安全保护等级管理的重要基础性标准,其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。”

2005年-2009年 信息系统安全审计的快速成长期

随着互联网在国内的迅速普及应用,推动国内信息系统安全审计进入快速发展阶段。国家相关部门、金融行业、能源行业、运营商均陆续推出多项针对信息系统风险管理政策法规,推动国内信息系统安全审计快速发展。

2005年12月,公安部颁布82号令《互联网安全保护技术措施规定》,其中明确要求“互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态、记录网络安全事件等安全审计功能,并应当具有至少保存六十天记录备份的功能。”

2006年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定并发布了《信息安全等级保护管理办法(试行)》,该办法明确要求信息系统运营使用单位在开展等级保护工作中要按照或者参照国家、行业技术标准进行系统定级、建设、整改、测评等工作。《信息系统安全等级保护基本要求》是信息安全等级保护标准体系中重要的基础性标准之一。该要求针对不同安全保护等级信息系统的基本安全审计能力均有明确要求,如:需要对用户行为、安全事件等进行记录,对形成的记录能够统计、分析、并生成报表。

2006年,国家保密局发布BMB17-2006号文件《涉密信息系统分级保护技术要求》,文件要求相关涉密单位信息系统,根据不同涉密级别,采取相关审计措施。如:

l 必须制定明确的系统安全审计策略;

2 确定的审计事件范围应对安全事件的事后追查提供足够的信息;

3 审计记录包括服务器、涉密重要用户终端、安全保密设备、用户、用户权限修改以及用户操作等。

2006年-2009年,安全审计被列入多个行业信息系统安全建设要求

随着政府、金融、电信、能源等行业信息化的发展,信息科技的作用已经从业务支持逐步走向与业务的融合,成为各行业稳健运营和发展的支柱,为加强信息系统风险管理,各行业陆续发布了行业性信息系统管理规范和要求。

2008年6月,财政部、证监会、银监会、保监会及审计署委联合发布了《企业内部控制基本规范》,该规范被称为中国的“SOX法案”,是我国在审计领域的重大改革举措,该规范将首先在上市企业中实行。如何把IT内控与企业内控管理统一起来,是《企业内部控制基本规范》的一个关键点,信息安全审计则将成为企业IT内控、安全风险管理的不可或缺的技术手段。该规范将促使国内企业加强IT内控建设,从而推动安全审计市场的发展,但其中非常关键的一点就是安全审计技术如何有效地与规范结合,满足企业合规审计要求。

2009年3月,银监会为加强商业银行信息科技风险管理,发布了《商业银行信息科技风险管理指引》,该指引中重点阐述了信息系统风险管理和内外部审计要求,特别是要求审计贯穿信息科技活动的整个过程之中。另外,在《国家电网SG186工程防护总体方案》、《中国移动集团内控手册》、《中国电信集团内控手册》等行业要求中也均明确要求采取信息系统风险内控和审计技术手段。

目前,随着信息安全建设的深入,安全审计已成为国内信息安全建设的重要技术手段。总体来看,由于信息系统发展水平和业务需求的不同,各行业对安全审计的具体关注点存在一定差异,但均是基于政策合规、自身安全建设要求,如:政府主要关注如何满足“信息系统安全等级保护”等政策要求的合规安全审计;电信运营商则基于自身信息系统风险内控需求进行安全审计建设。

(二)信息系统安全审计技术分析

目前,国内信息系统安全审计有下述几类主流审计技术:网络安全审计、数据库安全审计、业务运维安全审计和日志审计。

绿盟科技的信息安全审计专家,通过多年的信息安全项目,总结分析了国内几种主要的信息安全审计应用。

1. 网络安全审计

网络安全审计是目前国内应用最广泛的安全审计技术,主要应用于企事业单位的网络行为审计和内容的审计,已广泛应用于政府、电信运营商、能源、金融等行业。

网络安全审计系统大多通过旁路镜像或分光方式,采集网络数据进行分析、识别,实时动态监测网络行为、通信内容和网络流量,全面记录网络系统中的各种会话和事件,发现和捕获各种违规行为和内容,实现对网络安全事件的跟踪和事后追查取证。

技术特点 :

网络安全审计系统不会影响网络信息系统自身运行与性能;

对各种网络行为,如网站访问、邮件、远程终端访问、即时通讯、论坛、在线视频、P2P下载、网络游戏等,提供全面的行为监控,方便事后追查取证;

对网站访问、邮件、文件上传下载、论坛发帖、非加密运维操作等进行内容监测。

2. 数据库安全审计

随着信息系统业务不断发展,数据库系统应用范围越来越广,如企业的账务数据、贸易记录、工程数据等均需要利用大量的数据库资源。由于数据库的作用和影响越来越大,企业数据库信息安全面临严峻挑战,近年来不断发生的企业数据库的重要敏感数据的被窃取、篡改问题,已引起企业的高度重视,成为迫切需要解决的问题。

数据库安全审计系统主要通过旁路或分光方式,对网络数据的采集、分析、识别,实时监控记录数据库各种账户(如超级管理员、临时账户等)的数据库操作行为,发现各种非法、违规操作,降低数据库安全风险,帮助企业保护数据库资产安全。

技术特点:

数据库安全审计不会影响数据库系统自身运行与性能 ;

支持同时审计多种数据库及跨多种数据库平台操作,覆盖主流数据库类型,ORACLE、MS SQL SERVER、SYBASE、DB2等;

数据库安全审计可支持对多种SQL(Structured Query Language)语言的审计;包括DQL-数据查询语言(SELECT) 、DML—数据操纵语言(DELETE,UPDATE,INSERT) 、DDL—数据定义语言(CREATE,ALTER,DROP,DECLARE) 、DCL—数据控制语言(GRANT,REVOKE,COMMIT,ROLLBACK) ;

支持实时审计用户对数据库系统的操作,如:登录、注销、插入、删除、执行存储过程、用户自定义操作等,支持分析、提取SQL语句中绑定变量,并可完全监测还原SQL操作语句包括源IP地址、目的IP地址、访问时间、MAC地址、数据库用户名、客户端类型、数据库操作类型、数据库表名、字段名等。

3. 业务运维安全审计

目前,企事业单位日趋复杂的IT业务系统与不同背景业务运维用户的行为给信息系统安全带来较大风险,如:多个运维人员使用同一账号维护一台设备,导致权责不清;账号繁多,管理不便;帐号权限分配粒度粗,无法实现更细粒度的命令控制;缺少对加密、图形操作协议的审计手段,存在风险隐患,导致事后无法查找来源。

业务运维安全审计系统在逻辑上将运维操作终端用户和目标设备隔开,终端用户必须通过该审计系统才能访问目标设备,从而实现对运维操作的统一接入管理,对SSH、SFTP、RDP等加密、图形操作协议的内容审计,满足企业运维管理和风险内控需要,帮助企业定位安全事件源头和追查取证。

技术特点:

建立统一的运维管理平台,集中管理运维帐号和集中授权。

实现传统网络安全审计无法实现的对运维加密、图形操作协议的审计;如:SSH、RDP、 X-WINDOW、VNC 、SFTP等运维协议。

4. 日志审计

日志安全审计主要通过对网络设备、安全设备、应用系统、操作系统的集中日志采集、集中存储和关联分析,发现信息系统的安全事件,同时当遇到特殊安全事件和系统故障时,确保日志存在和不被篡改,帮助用户定位追查取证。

技术特点 :

可全面的集中采集各种网络设备、安全设备、操作系统、业务系统的日志信息;

针对收集的日志,通过集中存储、标准化、查询、分析, 可帮助发现潜在安全问题和事后追查取证,并输出合规报告。

三、 信息系统安全审计发展趋势

绿盟信息安全审计专家指出,随着国内企业信息系统风险内控制度日益完善,信息系统安全审计将呈现满足政策合规审计、企业内控管理和数据风险控制需求的特点。

政策合规审计

安全审计技术将更加紧密与“信息系统安全等级保护”、“企业信息内部控制基本规范”等政策要求相结合,依据CC、ITIL 、COBIT等标准,提供更符合企事业单位信息系统风险内控和政策合规管理要求的安全审计功能,如:业务运维安全审计、数据库安全审计等;同时需要输出细粒度的合规审计报告,如:符合信息系统安全等级保护要求的安全审计报告、企业信息系统风险内控审计报告等,帮助用户提升审计力度,降低人工审计工作量,有效控制信息安全风险。

基于账号的网络安全审计

网络安全审计技术将逐步与身份认证管理技术结合,实现基于账号的网络安全审计,相比传统的基于IP、MAC地址等用户身份的审计判定手段,将能够更加准确的定位到人,全面提升审计对象身份的可靠性。

专业的数据库安全审计

数据库已成为广大企业的数据核心资产,其重要性毋庸置疑,近年来在各行业中频繁发生企业数据库的重要敏感数据被篡改牟利、泄密事件,已经引起各方面的广泛高度重视。数据库安全审计技术作为数据库安全的重要监测手段,将越来越受到政府、金融、电信等用户重视。为了进一步提高数据库安全审计的完整性和准确性,须追根溯源,从源头抓起,需要安全厂商与数据库厂商加强技术合作,共同推动完善数据库安全审计技术。