什麼是安全審計
安全審計產品是對網路或指定系統的使用狀態進行跟蹤記錄和綜合梳理的工具,主要分為用戶自主保護、系統審計保護兩種。網路安全審計能夠對網路進行動態實時監控,可通過尋找入侵和違規行為,記錄網路上發生的一切,為用戶提供取證手段。網路安全審計不但能夠監視和控制來自外部的入侵,還能夠監視來自內部人員的違規和破壞行動,如UniAccess的審計技術就是基於此之上,它是評判一個系統是否安全的重要尺度。
安全審計產品的分類
根據被審計的對象(主機、設備、網路、資料庫、業務、終端、用戶)劃分,安全審計可以分為:
1.主機審計:審計針對主機的各種操作和行為。
2.設備審計:對網路設備、安全設備等各種設備的操作和行為進行審計網路審計:對網路中各種訪問、操作的審計,例如telnet操作、FTP操作,等等。
3.資料庫審計:對資料庫行為和操作、甚至操作的內容進行審計業務審計:對業務操作、行為、內容的審計。
4.終端審計:對終端設備(PC、印表機)等的操作和行為進行審計,包括預配置審計。
5.用戶行為審計:對企業和組織的人進行審計,包括上網行為審計、運維操作審計有的審計產品針對上述一種對象進行審計,還有的產品綜合上述多種審計對象。
國外安全審計市場的發展現狀
IT治理、內控和風險管理的發展極大地促進了安全審計市場的發展。以美國為例,在SOX法案頒布之前,安全審計市場根本沒有納入Gartner、IDC的專項分析範疇,隨著針對上市公司內控和信息披露的SOX法案的實施,以及象專門針對醫療行業的旨在保護醫患隱私的HIPAA法案、針對聯邦政府機構的FISMA法案、針對金融機構支付卡行業的PCI-DSS規範等的執行,美國的安全審計市場出現了爆炸式的增長。
Gartner和IDC紛紛對其進行深入分析,並創造出了一個名為GRC(Governance,RiskManagement,andCompliance)的IT細分市場。與此同時,各路安全廠商都從自身技術特點出發,提出了各種類型的安全審計產品,介入該市場,力求分一杯羹。例如,國內的有LeagSoft廠家,國外有SIEM廠家、NBA廠家等。
國內安全審計市場現狀和需求分析
一方面,隨著安全防禦建設由防外為主逐步轉向以防內為主,內外兼顧,對於安全審計的需求會越來越多。另一方面,隨著國家、社會對信息保護的愈加重視,各個行業對審計要求愈加嚴格,可看出未來幾年對安全審計產品的需求會越來越多。
一些國際、國家、行業的內控、審計標準,都對某些行業或企業提出需要具備安全審計產品的要求,因此像《企業內部控制基本規範》此類的規範對於銷售安全審計產品是很有幫助的。
有人將《企業內部控制基本規範》稱作是中國版的SOX法案,可見對他的期待有多么高。雖然該規範還不能稱作是完整意義上的法案,而只是規範性檔案,但是他對於國內企業、尤其是大企業的公司治理、風險控制、IT內控,包括信息系統安全審計都起到了極大的推進作用。
實際上,不僅是《企業內部控制基本規範》,包括之前國家大力開展的等級化保護建設工作,以及證券、金融、保險等行業頒布的各項風險和內控指引、要求等,都在努力構建一個從嚴的企業管控外部環境。作為這種外部壓力的傳導,企業的IT內控和審計自然擺到了各大企業信息部門的桌面上。
可以肯定,未來企業用戶,尤其是大型企業用戶,會不斷加強IT內控,並催生對信息系統安全審計的技術、產品和相關解決方案的需求,並帶動國內安全審計市場的迅速增長。
國內不同的行業和客戶對審計的需求差別很大。
(1)對於一般的企業而言,比較大量的審計需求是對企業內部用戶上網行為的審計。
(2)對於政府部門和事業單位而言,由於他們的業務系統十分重要,承載了單位關鍵的套用和數據,因此,對業務系統的審計顯得十分重要。這類客戶需利用如UniBDP這類防泄露安全審計系統,審計內部用戶訪問業務系統的各種行為,防止針對核心業務系統和數據的違規訪問,防止信息泄漏。
(3)對於金融、電信類客戶而言,除了需要對業務系統進行審計之外,還需要針對運維人員的主機操作審計。由於這類客戶具有龐大的主機和伺服器機群,上面運行了各種各樣的核心套用。同時,這類客戶的系統運維人員數量多、崗位職責多,不僅有本單位正式職工,還有第三方駐場工程師和外包運維人員,管理較為複雜。因此,部署UniAccess此類終端安全審計系統,對這些運維人員進行審計,審計他們針對主機系統的各種訪問和操作行為就顯得十分重要。
(4)對於具有涉密性質的單位,以及安全要求等級高的部門,還會需要終端安全審計類產品,對單位職工的終端進行嚴格的安全審計。
對於政府、事業單位,以及金融電信行業,最典型的一類需求就是針對這些單位的資料庫系統進行審計。就在前不久,國家頒布實施了刑法第七修正案,其中第二百五十三條明確規定“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人。
情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金。竊取、收買或者以其他方法非法獲取上述信息,情節嚴重的,依照前款的規定處罰。單位犯前兩款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各相應條款的規定處罰”。
這也就意味著單位如果泄露或非法獲取公民個人信息,將被判處罰金,並追究直接負責的主管人員和其他直接責任人員的刑事責任。
