《安全审计解决方案》由会员分享,可在线阅读,更多相关《安全审计解决方案(10页珍藏版)》请在金锄头文库上搜索。
1、1.SOX 背景2001 年底美国安然公司在一片哗然中轰然倒台,由此引发的安然事件至 今令许多人记忆犹新。而同年 9 月份,安然公司的资产负债表上还赫然显示其总 资产达618 亿美元,这又使得安然事件成为美国有史以来规模最大的公司破产 案例。此后,公司丑闻不断,规模也屡创新高,特别是次年6 月的世界通信会 计丑闻事件,更是雪上加霜,彻底打击了美国投资者对美国资本市场的信心。这 一系列丑闻事件的爆发不仅招致包括安达信等五大会计师事务所在投资者中的 诚信危机,更引发了世界各国对公司治理模式的新一轮思考。为改变这一局面,美国国会和政府立即公布了萨班斯法案(Sarbanes-Oxley Act,简称S
2、OX法案),其目的是加强公司责任,以保护公众 公司投资者的利益免受公司高管及相关机构的侵害,正如法案的第一句话所说 遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。 按照美国国会网站对 SOX 法案的介绍,该法案从最初于 2002年 2月 14 日提交 给国会众议院金融服务委员会(Committee on Financial Services),到7月25 日国会参众两院的最终通过,先后有6个版本。最后修订完稿的SOX法案共分 11章,第1至第6章主要涉及对会计职业及公司行为的监管,第8至第11章主 要是提高对公司高管及白领犯罪的刑事责任。因而,SOX法案的主要内容之一就
3、是明确公司管理层责任、尤其是对股东所 承担的受托责任,同时,加大对公司管理层及白领犯罪的刑事责任;另一个重点 就是加强对会计职业的监管,提高财务报告的可靠性。其内在逻辑思路是:提高 公众公司财务报告及信息披露的及时性与准确性,可以有效地保护公众公司投资 者的利益;而强化公司高管的财务报告责任、提供外部审计的独立性等,将有助 于提高公司财务报告及信息披露的质量。随着SOX法案中各项具体条款开始实施的最终期限临近,在公司治理模式的 变革中对IT治理呼声也日益高涨。特别是SOX法案要求的公司财务信息透明和 对各项业务活动监控的加强,如何确保企业中各种信息,特别是财务信息的准确和安全成并最终减少伴随业
4、务活动产生的各种经营风险成为 CIO 考虑的首要问 题。在 SOX 法案的压力之下,最为显著的变化就是不仅关注企业反映各项业务活 动效果的数据、报表,更逐渐重视对业务活动本身的监控,即这些信息的来源, 首当其冲的就是企业内部的信息系统。SOX 法案明确规定,外部审计人员必须检查和证实一个公司的内部财务控制 的有效性,这其中就包括信息系统的可靠性。sox法案强调企业的信息技术策略 和企业内控活动(不论是人还是机器)的操作流程都必须明白地定义并保存相关 记录,而后才能实施。这样要求是为了让企业管理者了解内部状况,以便在 IT 审计时提供及时支持。虽然sox法案的出台是由于安然公司倒闭事件引起美国公
5、众对股市的诚信 危机而产生的,但它的出台却产生了意想不到的作用,这对中国的政府部门和立 法者是否具有启示作用呢?中国的信息安全领域目前就缺乏这种强制性、规范性 的法律文件,帮助企业克服采购中的障碍,也顺便刺激中国的 IT 整体应用的提 高。事实上,国务院信息化办公室倡导的谁主管、谁负责的原则,基本上是这 类管理条例的雏形,但需要进一步落实到法律条款中,并进行深化。同时,它的 覆盖范围,也应该从几个关键行业扩充到其他大量的行业、企业组织中来。与此同时,该法案中的404号条款专门对公司内部控制提出了极为苛刻的要 求。它要求公司重要的财务流程全部以文件的形式记录下来,并且公司的内部审 计人员要定期测
6、试,每年更新,然后还要独立的审计机构进行鉴定。这大大增加 了企业的成本,以至于许多在美国上市的欧盟中小企业忍受不了如此严厉的监管 而纷纷退市。2. 企业安全审计偏离SOX法案要求随着各省业务支撑系统的迅速发展,企业内部各种数据库操作不断增加,网 络规模也迅速扩大,针对数据库操作信息安全问题愈见突出,主要表现在核心数 据被更改、数据的机密性、完整性、可用性得不到保证。原有的日志管理措施已 不能满足sox法案对数据库审计的基本要求。主要表现在以下方面:对 BOSS 应用系统的所有重要操作,特别是对财务报表有关的操作没有全部 留有系统日志。系统日志并没有由计费账务部门根据风险和重要性的原则确定检查内
7、容(如 未授权操作、异常操作时点,异常发生频率或金额等), 对于BOSS系统日志应由安全管理员缺乏每月进行审核。对 Boss 系统数据库的直接访问修改由于数据库技术原因不能留有系统记录,因 此安全管理员也不能每月对数据库层重要操作,特别是对财务报表有关的操作记 录进行审核。3. 联创安全审计系统为了满足 SOx 法案的要求,必须建立有效的信息系统内控机制,而建立信息 系统内控的一个重要途径就是加强企业在审计方面的建设,这主要包括在当前企 业内部IT环境下,建立对主机,网络,应用系统的人员活动,设备状态等信息 的细粒度审计机制。通过这一机制,企业管理者可以直观的查看IT环境中的相 关历史数据,了
8、解整个系统所发生的事件的各个侧面,包括人员的动作(做了什 么),动作的时间(何时做的),牵涉到的主机网络和应用系统(对谁做的)等 等。联创安全审计系统正是在SOX法案这一大背景下研发的,它提供了对细粒度 审计机制的强有利支持。它可以对IT环境中的来自主机,网络,及业务系统的 事件进行收集,保存和高效的查询,也可以根据规则对事件进行匹配和策略处理, 产生告警和用户通知,还可以对已记录的数据进行统计并生成报表。经由这些功 能,该系统具有了对事件的归档,回溯和回放,对问题的追踪和定位,及对审计 和访问规则的解析处理等能力,从而形成了以审计事件为核心的一个比较完善的 方案。sox法案强调在特定业务如财
9、务,特定流程如人员活动方面的审计能力, 因此该方案在实现时在如下具体方面作了较多考虑:1. 对应用系统层、操作系统层及数据库层的与财务报表相关的重要文件、目录 的关键操作进行审计记录,这包括:安全审计系统支持对应用系统,操作主机的 日志的收集。实现的方法考虑两种,一是在相关的应用系统和主机上安装代理, 通过代理检查文件和目录,监控相关操作,另一种方法是通过 FTP 等方式,将关 键文件目录的内容或HASH值等相关信息传递到服务器上,通过定期记录并比对, 得到文件或目录的修改信息,从而间接得到文件或目录的操作。2. 对数据库的与财务相关的重要的操作进行审计记录,以便于查找误操作等相 关安全问题,
10、这包括:通过代理侦听等方式可以并行的得到相关的数据库操作信 息,审计系统要完成的目标不仅是查找误操作,还有审计恶意的攻击等。3. 日志进行集中存放和管理,所有与财务相关系统的日志必须至少保留一年。 对日志进行审计的人员必须独立于该系统维护管理人员,具体为:对于集中存放, 系统的架构设计就是集中存放于数据库中;对于保留一年,可以采用归档数据库 或磁带备份的方式存放日志。对最后一个要求,目前系统设计上已经考虑到了审 计角色和管理角色的差异,并将在具体设计中实现这种角色的分离。4. 系统日志应由安全管理员负责每月进行审核,确保与账务相关的操作均为合 法及获授权的,这包括:建立审核的流程,可以加强审计
11、系统中对告警流程的设 计,对日志应作归类简化,审核,并记录审核结果。5. 对应用系统层、操作系统层及数据库层对财务报表相关的日志审计结果进行 分类、归档。并填写财务报表相关的日志审核报告,这包括:审计结果数据不仅 需要规格化,同时也需要根据财务报表业务相关的知识进行分类,即在系统的业 务层提供进一步的分类,以提高系统可用性和针对性。日志审核报告可以作为审 核流程的一个结果,由安全管理员在审核日志后填写,并具有打印,导出,保存 等功能。6. 应用系统层、操作系统层及数据库层对财务报表相关的任何人都不得对原始 日志和记录进行更改、删除等操作,具体为:一是系统不能提供相关的功能;二 是对原始日志和记
12、录在数据库中的保存,应是加密的,至少是有较强的数据库权 限控制的联创安全审计系统的主要功能如下:数据库操作的收集保存:系统通过侦听方式,实时监测收集和保存原始的数据库操作数据包,并解析 还原成数据库的登录,注销,插入,删除,更新,存储过程的执行等操作,。还 原 SQL 操作语句,并跟踪数据库访问过程中的所有细节,包括用户名、数据库操 作类型、所访问的数据库表名、字段名、操作执行结果等;将安全等级较低的日 志和高安全等级日志分别存放,提高系统性能。支持对多种主流数据库类型的强 审计,包括 Oracle 、SQL Server、Mysql。网络应用,主机事件收集保存系统提供对FTP, TELNET
13、, HTTP等网络应用程序的支持,可收集保存相关应 用的事件。同时系统也可以收集并保存通过交换机的网络类事件数据,以便于随 后的处理。原始数据查询:系统提供强大的查询功能,根据不同条件查询原始日志数据和相关的返回结 果。查询结果可以以PDF, EXCEL等文件方式导出。对于数据库类事件,查询条 件可以是时间,地址,数据库类型,用户名,操作类型,数据库名,表名,字段 名等,用户可以按照自己的需要查找所关心的符合监控规则的数据库操作记录。 对于主机类事件,系统可以根据操作类型,操作对象等不同条件进行查询。原始数据统计:提供对原始数据统计,包括按事件类型,数据库类型,源和目的地址信息的 统计以及返回
14、结果的统计,并通过柱图,饼图,表格等形式将统计结果直观展现 给用户。统计结果可以以PDF, EXCEL等文件方式导出。系统还提供客户个性化 报表定制机制。支持自动生成统计分析报表和自动生成安全分析报告。策略管理系统提供细粒度的策略配置管理,策略分成访问控制策略或审计策略。用户 可以根据自己的系统特点和具体数据来源,对如用户名、应用类别、操作名、数 据库名、表名、字段名等关键字段进行设置,产生审计规则,用户也可以根据内 部用户的不同性质,确定监控范围,对特定主机和特定网段进行监控,从而保证 用户能够按照自己的需要实施操作审计或访问控制。事件回放功能:提供事件回放功能,可以根据收集到的事件,根据不
15、同的用户,主机等条件, 按时间段回放事件,以方便管理员直观的查看数据库使用情况。数据库状态监控:定义要管理的数据库信息,通过定时和手动发送测试数据,返回数据库当前 状态信息如是否可用,用户信息,剩余空间,表空间划分等,并具有记录和查询 历史状态等功能。数据库登录监控:监控数据库用户的登录连接时间,定义合法时间窗口和合法登录次数,当发 现登录不正常的情况时(登录次数过多,登录时间不对),发出告警。也可以记 录并分析登录数据库系统的用户,通过分析并记录这些用户的操作,发现数据库 的操作异常行为。数据库操作监控:定义数据库监控对象,包括系统本身带的及应用程序加的,当对该对象操作 或变更时,发出告警。
16、定义的内容可以包括要监控的对象名,监控时间,操作类 型,操作者等。数据库后门扫描:定时或手动检查数据库中的用户情况,用户权限分配情况,并跟审计系统中 已经审核过的进行比较,以发现数据库后门,并生成告警。(该功能需要数据库 权限配合。)数据库漏洞扫描:通过一些常用数据库攻击手段扫描内网数据库,检查其安全性,包括数据库 本身的版本漏洞,数据库使用上的漏洞等,并生成告警。如 sa 空密码登录、扩 展存储过程执行、登录尝试攻击、Oracle Internal密码等。(该功能需要数据 库权限配合。)告警管理:管理告警生成的条件,告警查询,告警的递送方式,责任人和时间,并负责 记录告警处理过程。告警处理方式包括记录、报警和中断等措施。特别对于敏感 数据的违规操作,该系统可以中止当前的网络连接,从而起到保护重要数据信息 的作用。除了管理界面中的实时显示外,提供了报警声音,邮
