随着全球信息技术的快速发展与金融行业IT信息化的不断深入,信息科技在金融系统中的应用越来越广,金融机构对信息系统的依赖程度也越来越大,与此同时,金融机构遭受内部攻击、违规操作以及信息泄露等安全威胁也在不断增加。根据美国FBI的相关调查,75%以上的信息安全案件,都是与内部人员有关。在国内的各种信息安全案件中,内部员工作案或者内外勾结作案也占了绝大多数。面对金融体系改革与WTO国际结轨的双重压力,金融机构抵御来自内部的攻击与违规操作风险的能力还有待提高,为此国家相关主管部门也在积极促进信息科技审计工作的推进,意在促进国内金融体系建立起信息安全技术保障机制,以防止金融系统风险的发生。2006年国务院国有资产监督管理委员会向各中央企业发布了《中央企业全面风险管理指引》,要求中央企业加强内控,降低企业风险,并在指引中对内控审计和IT技术建设风险管理信息系统均提出了明确的要求。同年,银监会对国内商业银行也提出了强化内部控制与审计的要求(银监会63号文和313号文),要求不仅仅要加强安全建设,同时也要对IT系统的相关操作进行全面采集和审计。此外,萨班斯法案404条款的相关实施细则要求公众公司必须确保与财务相关的IT系统的安全性和可审计性,这对于在美上市的国内企业又提出了要求。这些政策的相继出台为国内金融机构实施信息安全IT综合审计工作提供了指导与要求。
需求分析
金融信息系统是技术密集、资金密集、大型复杂、网络化的人机系统。金融行业进行信息化建设起步较早,但传统的IT审计方式主要是利用系统的日志功能,将分散在各地、不同种类的系统设备日志分别进行管理,各系统单独存储,形成信息孤岛,导致日志信息分散,互不相通,安全策略难以保持一致。此外,目前常见的安全控制措施,如防火墙、入侵检测等,都是在网络或主机安全层面来进行防护,对于业务层的安全,很少涉及。随着攻击手段的不断发展,攻击行为及违规行为日益向纵深化、混合化方向发展,利用现有系统日志的方式已经不能满足对网络的操作行为、数据库访问与操作行为、客户端操作行为等进行很好的审计监控并进行事后回放取证。随着攻击与违规操作行为不断朝复杂化、隐蔽化、多样化方向发展,也需要对操作行为之间进行关联分析,因此需要一种能够进行综合数据采集、分析、审计与监控的技术手段,来实现对网络用户的日常行为进行监管。
方案描述
启明星辰信息技术有限公司从金融行业的实际安全需求出发,在全面体现GB17859-1999的等级化标准思想的基础上,充分吸收近年来安全领域出现的信息系统安全保障理论模型和技术框架(如IATF等)、信息安全管理标准ISO/IEC 17799:2000和ISO/IEC TR 13335系列标准,全面参考《银行业金融机构信息系统风险管理指引》、《商业银行内部控制指引》、《商业银行合规风险管理指引》、《中国银行业监督委员会办公厅文件银监办通313号》、《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》、《 2002 Sarbanes-Oxley Act (bilingual) 》、《 Auditing Standard No. 2》等相关指引、法规要求,结合启明星辰多年的攻击防护经验与实践,为银行及保险系统提供IT综合审计与监控解决方案。
整体架构
启明星辰金融行业IT综合审计与监控解决方案整体架构如下图所示:
用户价值
启明星辰金融行业IT综合审计与监控解决方案的用户价值主要体现如下图所示:
IT综合审计与监控解决方案通过事前、事中、事后的合规业务过程,对网络行为进行审计与监控,以促进内网的和谐,最终达到内网的安全与业务高效。
方案的特点与优势
技术先进性与可靠性
采用的技术具有前瞻性,能够满足同类信息系统跨平台的移植和推广要求。同时,遵循国家有关计算机信息系统安全标准和规定。
可维护性及易用性强
从具体的应用角度出发,满足业务和管理的需要,符合金融行业业务模式。一方面,安全系统本身易于集中管理、可维护的,另一方面,安全系统对其管理对象的管理是方便的、简单的,同时,安全措施的采用不会影响原有系统的正常运行。
具有良好的可扩展性
平台的设计已考虑到网络系统及各种安全技术的发展状况和趋势,确保平台在设计、实施、运行、管理、维护等各个阶段既能够满足现在已部署的安全产品的集中管理,也能够满足未来将要部署的各类安全产品的集中管理并进行扩展。此外,系统平台设计采取成熟的技术和模块化设计,可根据实际需要对应用模块进行裁减。
互联、互通、互操作性好
设计平台既要实现平台自身各个子系统互联、互通、互操作性,又要通过监控平台和采集引擎的方式与所管理的各个系统(网络安全设备、主机、网络设备)有机地通过该平台实现互联、互通、互操作。
应用部署拓扑