北京 2012-10-30(中國商業電訊)--近年來,各企業和政府機關的安全建設如火如荼的進行,與此同時,卻屢屢發生信息泄露或篡改事件,
包括網站用戶信息泄露、電信用戶資料泄露、社保信息篡改、網游賬號信息篡改等等,導致用戶和企業均遭受重大損失。
部署網絡安全審計系統正當其時
種種跡象表明,外部人員接觸核心數據的概率較小,常用的攻擊方式早就被層層布局的防火墻、IPS等設備擋在網絡之外,有機會接觸企業業務的內部人員或者第三方維護人員,往往有意或無意的成為罪魁禍首。針對這種情況,業務網絡內部針對關鍵服務器和關鍵數據的訪問行為就成了關注焦點,如何對這類訪問行為進行網絡安全審計,實施有效控制和監測,成為各網絡安管部門需要解決的重要問題。
一般情況下,針對關鍵服務器的訪問有兩種類型:一類是業務訪問,也就是業務用戶對業務系統的訪問。這類訪問頻率高,交換數據量大,但是,業務用戶的訪問行為模式都被業務系統提前規范好,異常操作發生的概率小。對于此類訪問的監管要求主要集中在事中審計和事后溯源上,且監管行為對業務系統的連續性和性能不能有太大影響。另外一類是運維操作,也就是運維人員針對服務器、網絡設備等資源的維護和管理操作,這類操作的頻率相對不高,但人為干預度高,誤操作或者越權操作對后臺資源的傷害非常大。對于此類操作的監管要求集中在事前授權和事中控制上,且監管行為對運維操作的少量影響也可被接受。
對于服務器訪問,啟明星辰推薦部署天玥網絡安全審計系統,作為業務網的內控審計解決方案。針對業務訪問,在用戶訪問入口處,旁路部署以數據庫審計為核心的審計系統,通過解析鏡像數據來審計關鍵行為,此種部署方式既不影響業務系統的正常運行,又能最大程度的對業務訪問進行審計,達到了事后溯源的目的。針對運維操作,在運維區域出口,部署運維審計系統或者堡壘機,在身份認證的基礎上,進行嚴格的權限控制和操作審計。通過這種互補式的部署方案,實現審計與控制的完美結合,也保證了對企業核心數據訪問的全面監控。
業務網內控審計解決方案部署示意圖
實現客戶價值
天玥業務網內控審計解決方案核心價值體現在:完善業務系統的安全防范體系,滿足組織機構內外部合規性要求,全面體現管理者對業務系統信息資源的全局把控和調度能力。
滿足合規性要求,順利通過IT審計
目前,越來越多的單位面臨一種或者幾種合規性要求。比如,在美上市的中國移動集團公司及其下屬分子公司就面臨SOX法案的合規性要求;而商業銀行則面臨Basel協議的合規性要求;政府的行政事業單位或者國有企業則要遵循等級保護的合規性要求。
天玥業務網內控審計解決方案提供了一種獨立的審計方案,有助于完善組織的IT內控與審計體系,從而滿足各種合規性要求,并且使組織能夠順利通過IT審計。
有效減少核心信息資產的破壞和泄露
對單位的業務系統來說,真正重要的核心信息資產往往存放在少數幾個關鍵系統和關鍵服務器上,通過天玥業務網內控審計解決方案,能夠加強對這些關鍵系統的訪問控制與審計,從而有效地減少核心信息資產的破壞和泄露。
有效控制運維操作風險,便于事后追查原因與界定責任
一個單位里負責運維的部門通常擁有目標系統或者網絡設備的最高權限,因而也承擔著很高的風險(誤操作或者是個別人員的惡意破壞)。天玥業務網內控審計解決方案提供基于角色的訪問控制與審計,不但能夠有效地控制運維操作風險,還能夠有效地區分不同維護人員的身份,便于事后追查原因與界定責任。
有效控制業務運行風險,直觀掌握業務系統運行的安全狀況
業務系統的正常運行需要一個安全、穩定的網絡環境。天玥業務網內控審計解決方案提供審計事件及會話的統計分析功能,能夠直觀地反映網絡環境的安全狀況。
實現獨立審計與三權分立,完善IT內控機制
從內控的角度來看,IT系統的使用權、管理權與監督權必須三權分立。天玥業務網內控審計解決方案實現獨立的審計與三權分立,在三權分立的基礎上實施內控與審計,有效地控制操作風險(包括業務操作風險與運維操作風險),完善IT內控機制。
一體化、低成本、可操作的4A解決方案
部分行業正在建設4A系統,雖然在業內已經頒布各種4A規范與標準,但建設4A系統并非易事。要遵循規范,循序漸進,而且實施周期長,實施成本巨大。鑒于4A全面建設的困難性,可考慮從離散的點鋪開,然后連成面。天玥業務網內控審計解決方案即是這樣一種低成本、易實施的一體化4A解決方案,涵蓋了賬號管理、身份認證、訪問授權以及操作審計等幾方面的基本功能。