面向业务的信息系统的安全审计的内容 篇一
随着信息技术的不断发展和应用,信息系统已经成为几乎所有企业和组织的核心基础设施。然而,随之而来的是信息系统安全风险的增加。为了确保信息系统的安全性和可靠性,越来越多的企业和组织开始进行信息系统的安全审计。本文将探讨面向业务的信息系统的安全审计的内容。
首先,面向业务的信息系统的安全审计需要明确审计目标。审计目标应该与企业或组织的业务相关,并应该与信息系统的安全风险有关。审计目标可以包括确保信息系统的机密性、完整性和可用性,检测和防止潜在的安全漏洞,以及评估信息系统的合规性等。审计目标的明确可以帮助审计人员确定审计的重点和范围。
其次,面向业务的信息系统的安全审计需要进行风险评估。风险评估是确定信息系统安全风险的重要步骤。审计人员需要对信息系统的各个方面进行综合评估,包括物理安全、网络安全、访问控制、数据保护等。通过风险评估,审计人员可以识别出潜在的安全风险,并确定相应的安全控制措施。
第三,面向业务的信息系统的安全审计需要对安全控制措施进行评估。安全控制措施是为了保护信息系统安全而采取的措施,包括技术控制、管理控制和物理控制等。审计人员需要评估这些控制措施的有效性和适用性。评估的方法可以包括检查文档和记录、进行实地检查和测试,以及采用模拟攻击等。通过评估安全控制措施,审计人员可以确定控制措施的缺陷和改进的方向。
最后,面向业务的信息系统的安全审计需要进行结果分析和报告。审计人员需要对审计的结果进行分析,包括发现的安全风险、控制措施的缺陷和改进的建议等。然后,他们需要撰写审计报告,向企业或组织的管理层提供审计结果。审计报告应该清晰明了地描述审计的目的、范围、方法和结果,以及建议的改进措施。报告的目的是帮助管理层了解信息系统的安全状况,并采取相应的措施来加强信息系统的安全性。
综上所述,面向业务的信息系统的安全审计需要明确审计目标,进行风险评估,评估安全控制措施,并进行结果分析和报告。通过进行安全审计,企业和组织可以及时发现和解决信息系统安全问题,确保信息系统的安全性和可靠性。同时,安全审计还可以提供对信息系统的合规性和性能的评估,帮助企业和组织提高信息系统的管理水平和竞争力。
面向业务的信息系统的安全审计的内容 篇二
信息系统安全审计是确保信息系统安全的重要手段之一。面向业务的信息系统的安全审计需要考虑到业务的特点和需求,以确保信息系统的安全性和可靠性。本文将讨论面向业务的信息系统的安全审计的内容。
首先,面向业务的信息系统的安全审计需要考虑到业务流程的安全性。企业或组织的业务流程是信息系统的核心,因此需要确保业务流程的安全性。审计人员需要了解企业或组织的业务流程,并评估业务流程的安全风险。他们需要确定业务流程中的关键控制点,并评估这些控制点的有效性和适用性。通过对业务流程的安全审计,可以及时发现业务流程中的安全问题,并采取相应的措施来加强业务流程的安全性。
其次,面向业务的信息系统的安全审计需要考虑到业务数据的安全性。业务数据是企业或组织的核心资产之一,因此需要确保业务数据的安全性。审计人员需要评估业务数据的保护措施,包括数据加密、备份和恢复等。他们需要检查业务数据的存储和传输过程中是否存在安全漏洞,并评估这些安全漏洞的风险。通过对业务数据的安全审计,可以及时发现业务数据的安全问题,并采取相应的措施来保护业务数据的安全性。
第三,面向业务的信息系统的安全审计需要考虑到业务关键系统的安全性。企业或组织的业务关键系统是信息系统的核心组成部分,因此需要确保业务关键系统的安全性。审计人员需要评估业务关键系统的安全控制措施,包括访问控制、日志管理和漏洞修补等。他们需要检查业务关键系统的配置和管理是否符合安全要求,并评估这些安全问题的风险。通过对业务关键系统的安全审计,可以及时发现业务关键系统的安全问题,并采取相应的措施来加强业务关键系统的安全性。
最后,面向业务的信息系统的安全审计需要考虑到业务的合规性。企业或组织需要遵守各种法律法规和规范要求,以确保业务的合规性。审计人员需要评估企业或组织的合规性管理制度和流程,并检查是否存在合规性问题。他们需要评估合规性问题的风险,并提出相应的改进建议。通过对业务的合规性审计,可以及时发现并解决合规性问题,确保业务的合规性。
综上所述,面向业务的信息系统的安全审计需要考虑到业务流程的安全性、业务数据的安全性、业务关键系统的安全性和业务的合规性。通过进行面向业务的信息系统的安全审计,可以及时发现和解决信息系统安全问题,确保信息系统的安全性和可靠性。同时,安全审计还可以提供对业务流程和业务数据的保护、业务关键系统的管理和业务的合规性的评估,帮助企业和组织提高业务管理水平和竞争力。
面向业务的信息系统的安全审计的内容 篇三
关于面向业务的信息系统的安全审计的内容
面向业务的信息系统的安全审计系统
近些年来,IT系统 发展 很快, 企业 对IT系统的依赖程度也越来越高,就一个 网络 信息系统而言,我们不仅需要考虑一些传统的安全 问题 ,比如防黑客、防病毒、防垃圾邮件、防后门、防蠕虫等,但是,随着信息化程度的提高,各类业务系统也变得日益复杂,对业务系统的防护也变得越来越重要,非传统领域的安全治理也变得越来越重要。根据最新的统计资料,给企业造成的严重攻击中70%是来自于组织中的内部人员,因此,针对业务系统的信息安全治理成为一道难题,审计应运而生。
一、为什么需要面向业务的信息安全审计?
面向业务的信息安全审计系统,顾名思义,是对用户业务的安全审计,与用户的各项 应用 业务有密切的关系,是信息安全审计系统中重要的组成部分,它从用户的业务安全角度出发,思考和 分析 用户的网络业务中所存在的脆弱点和风险。
我们不妨先看两个鲜活的案例。不久前, 中国 青年报报道,上海一电脑高手,方某今年25岁,学的是 计算 机专业,曾是某超市分店资讯组组长。方某利用职务之便,设计非法软件程序,进入超市业务系统,即超市收银系统的数据库,通过修改超市收银系统的数据库数据信息,每天将超市的销售记录的20%营业款自动删除,并将收入转存入自己的账户。从2004年6月至2005年8月期间,方某等人截留侵吞超市3家门店营业款共计397万余元之多。 通过上述两个案例,我们不难发现,内部人员,包括内部员工或者提供第三方IT支持的维护人员等,他们利用职务之便,违规操作导致的安全问题日益频繁和突出,这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题,但是,对于这类与业务息息相关的操作行为、违规行为的安全问题,必须要有强力的手段来防范和阻止,这就是针对业务的信息安全审计系统能够带给我们的价值。
二、如何理解面向业务的信息安全审计?
根据国外的经验,如在美国的《萨班斯-奥克斯利法案(2002 Sarbanes-Oxley Act)》的第302条款和第404条款中,强调通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制,其中,IT系统内部控制就是面向具体的业务,它是紧密围绕信息安全审计这一核心的。同时,2006年底生效的巴赛尔新资本协定(Basel II),要求全球银行必须针对其市场、信用及营运等三种 金融 作业风险提供相应水准的资金准备,迫使各银行必须做好风险控管(risk management),而这部“金融作业风险”的防范也正是需要业务信息安全审计为依托。这些国家和组织对信息安全审计的定位已经从概念阶段向实现阶段过渡了,他们走在了我们的前面。
可喜的是,我国政府行业、金融行业已相继推出了数十部 法律 法规,如:国家《计算机信息系统安全保护等级划分准则》、《商业银行内部控制指引》、《中国移动集团内控手册》、《中国电信股份公司内部控制手册》、《中国网通集团内部控制体系建设指导意见》、《银行业金融机构信息系统风险管理指引》、《商业银行合规风险管理指引》、《中国银行业监督委员会办公厅文件银监办通313号》、《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》、《深圳证券交易所上市公司内部控制指引 》、《上海证券交易所上市公司内部控制指引》等,这些法律法规的出台确立了面向业务的信息安全审计的必要性。
面向业务的信息安全审计,正在被越来越多的行业和机构所重视,它代表着由传统信息安全向业务信息安全领域纵深发展的必然的趋势要求。#P#
三、如何实现面向业务的.信息安全审计?
启明星辰网络安全审计系统,从保障用户的业务正常运行、保护用户的业务资产、提高用户业务资产安全性的角度出发,以“合规性管理、细粒度审计”为落脚点,全面地审计网络行为,管理企业内信息系统的合规性。它的核心作用是加强内外部网络行为监管、避免核心资产损失、保障业务系统的正常运营。
1.从审计准确精度入手,做到三审
即“审用户、审角色、审权限”。审用户,是一个人的概念,主要包括使用审计信息系统本身的用户,也包括网络中各项业务需要访问的用户。对使用审计信息系统本身的用户,采取了系统管理员、审计员、操作员等方式进行审计和管理。对于需要访问业务资源的用户,采取了身份认证系统,当认证用户得到确认后,方可进行业务的操作。
审角色, 网络 安全审计系统通过定义角色,根据业务用户在业务流程中所扮演的角色进行分类,从而有效地定义可读性更强的审计规则与策略。审计记录不仅包括源IP、目的IP等原始信息,还包含用户的角色或者身份信息,审计员将得到更有意义的审计结果。相关的用户角色或者身份信息还可用于辅助界定事件责任。
审权限,主要包括用户权限和操作权限,当每一个用户被赋予角色后,角色就有执行操作的可能,在执行操作的过程中就需要有权限设立,从而达到规范角色行为的目的。系统从内控的角度出发,对IT系统的使用权、管理权与监督权做到三权分立和三权分管。审用户、审角色、审权限三者有机结合,从而达到审计信息系统精确定位到人的目的。
2.从审计行为的深度入手,做到三看
即“看协议、看程度、看回放”。看协议,网络安全审计系统通过对当前市场上主流网络业务行为的 研究 ,主要把网络业务行为分为三大类,即数据库操作的行为、办公OA操作的行为和系统网络维护的操作行为。在审计这三大类的协议方面,天?系统有着全面的能力,包括但不限于:HTTP协议、TELNET协议、POP3协议、SMTP协议、FTP协议、NETBIOS协议、TDS协议、TNS协议等。
看程度,除了审计协议全面性外,系统的一个主要特点是对协议的 分析 深度较深,能够针对很多重要系统提供精确到命令的审计与响应。比如,天?系统能够审计到TELNET会话过程中执行的命令和数据库连接过程中执行的SQL语句。
看回放,天?系统能够完整地记录网络会话 内容 ,比如TELNET、FTP、HTTP以及远程数据库访问等,并且能够根据各种协议的不同语义进行回放,从而真实地再现用户操作过程,让系统的用户可以做到有据可查。
3.从用户的易用性角度,做到三给:给证据、给分析、给报告
即“给证据、给分析、给报告”。给证据,天?系统能对不合规定的连接尝试、不按规定设置防火墙策略、不按规定进行运维的操作、不按规定直接访问后台数据库、使用未经许可的软件访问重要系统、私自设立代理服务器/软件路由器等不合规定的行为作出翔实的审计记录,为下一步采取措施提供依据。
据分析,系统根据会从各种系统日志里面去分析是否有各类协议行为、操作结果留下来的“蛛丝马迹”来判断是否发生了针对业务的安全事件。同时,系统也分析审计记录中各类人员的企图,一步步地追查出违规者。
给报告,系统提供设计一套完善的审计报告输出机制,审计报告多达上百种,并且还有符合SOX法案的专业报表。系统可以根据用户的需求、重点关心的 问题 ,设定审计输出报告,使得用户能迅速地得到自己最关心的信息,让审计报告更容易理解。可基于各类要素的组合进行设置,包括但不限于:绝对时间范围、相对时间范围、客户端IP、客户端端口号、服务端IP、服务端端口、关键字、事件级别等条件。
当今信息安全领域,我们已经不能简单地认为,只要有防火墙、IDS、IPS、内网管理等系统的上线就可以解决网络安全问题,我们更不能简单地认为,由于各类业务系统 应用 在安全防护下就不
会有任何安全风险。事实上,正是面向业务的信息系统安全审计系统开启了我们从传统安全领域向业务安全领域思考的一扇窗户,它把我们理解的信息安全思路引向了一个更加贴合业务应用、更加贴合业务管理的角度来看待信息安全。因此,面向业务的信息系统安全审计系统,必定能在较长的一段时间里得到市场和用户认同。同时,启明星辰认为,无论信息系统安全审计的内涵如何变化与 发展 ,面向业务的信息系统安全审计系统,一定能在未来信息安全领域扮演重要的角色。因为,面向业务的信息系统安全审计系统已经不仅在创造网络安全的价值,更加创造业务管理的价值。