一、网络安全现状
随着网络规模的不断扩充,企业内网中部署了越来越多的网络设备、服务器、主机、数据库和应用系统等,在为自身业务提供高效的网络运营平台同时,日趋复杂的IT业务系统与不同背景业务用户的行为也给网络带来了潜在的威胁。
国外的一项安全调查显示,超过85%的网络安全威胁来自于内部,其危害程度更是远远超过黑客攻击及病毒造成的损失,而这些威胁绝大部分是内部各种非法和违规的操作行为所造成的。内网应用中对各种资源(主机、数据库、服务器等)的滥用、误用、恶用行为,正在日益损害业务的正常运营。为了有效降低来自内部的安全威胁,内网需要构建操作行为合规性审计体系,以达到对操作风险有效控制的目的。
二、内网安全审计需求分析
最初,部署审计系统与产品的目的在于提供安全事件的事后取证机制,定位安全事件的责任人。这种功能单一的审计体系基本上能够满足普通的应用场合,但对于像金融、证券、运营商、大型企业等核心业务实时依赖于各种信息系统的用户而言,就作用不大。因为各种信息系统或数据系统中的违规操作行为,如果不能被及时发现与控制,就可能为企业和国家带来巨大的资产与名誉损失,甚至需要承担法律上的责任。这就对审计系统提出了实时监控的要求,而不仅满足在安全事故发生以后,对于违规操作行为责任人的查找和取证。未雨绸缪、防患于未然远比简单的亡羊补牢重要。
另外,从用户的安全审计需求趋势来看,内网合规性审计正越来越受到用户的重视与认可。合规性审计不仅意味着要符合相关的行业安全条款与标准(如金融行业的《巴塞尔新资本协定》、银监会颁发的《国有商业银行公司治理及相关监管指引》、在美国上市须遵循的《萨班斯法案》等等),还要能够灵活适应内网安全现状与业务信息系统特点。同时,内网安全审计必须与安全策略的制订与落实紧密结合在一起才有意义,简言之,安全审计要能够针对内网中的访问与操作行为制定相应的行为策略与约束条件,关注重要的内网操作行为风险。
三、体系设计思路
针对内网安全方面日益迫切的需求,全新概念的信息安全审计系统从合规性要求出发,结合行业实际运营特点,提供了如下体系设计思路。
1、集中管理的认证机制
对网络设备、主机、数据库等信息系统而言,只有明确了访问者的身份,才可决定提供何种相应的服务,才可能采用正确的安全策略实现访问控制、安全审计等安全功能。
一般的网络设备、主机系统、业务系统都提供了“Username+ Password”的身份认证机制,然而,这种身份认证机制的安全性越来越受到置疑和挑战,主要表现在以下两方面:首先是多数的Username+ Password认证机制采用明文的方式,或者采用通用协议编码的方式传递用户名和口令,攻击者可以通过监听并分析通信协议和编码来获取正确的用户名和口令。其次是口令通过人工记忆,难以实行口令质量和口令控制的安全策略。口令本身易被猜测以及频繁的更新口令都是潜在的风险。
审计系统在不修改原系统软件或硬件的基础上,引入了稳定可靠的身份认证机制,并以此实现恰当的集中管理和权限管理。该机制作为整个系统的重要组成部分,与访问控制及审计一起大大加强原系统的安全强度。
2、集中权限分配与管理
集中授权管理,是指集中对用户使用信息系统资源的权限进行合理分配,并在此基础上实现不同用户对系统不同部分资源的访问控制。具体来说,就是集中实现对各用户(主体)能够以什么样的方式(行为与操作)访问哪些资源(服务器、主机、数据库等)的管理。
集中授权管理包括两个阶段:第一个阶段是权限分配阶段,这个阶段通常是指在创建用户主、从账号时,给账号赋予相应的访问权限,包括能够以什么样的方式访问哪些系统、哪些资源。这个阶段是一个相对静态的授权过程。第二个阶段是访问授权阶段,这个阶段通常也称访问控制。这个阶段是在用户提出对具体资源的访问请求时,根据前一阶段的权限分配结果,决定用户是否有权按照所请求的方式,对所请求的资源进行访问。这个阶段是一个相对动态的控制过程。
3、高效灵活的策略化审计与响应机制
审计和响应功能可以简单地描述为:某个特定的网络资源或服务(如主机、服务器、数据库、FTP、Telnet等)可以(或不可以)被某个特定的用户怎样地访问,这需要审计系统具有很强的针对性和准确性,具体说来,针对具体的应用需求,如系统维护操作、数据库访问等操作,系统能够制定应用级别的审计响应策略,同时实现针对具体应用或业务系统的命令级别、访问逻辑级别的认证和审计。以此为基础,再辅以专业的安全咨询和服务,信息审计系统可以更及时、准确地反映系统的安全运行状况,并进行相应的控制。
四、合规性审计系统应具有的特色
在帮助用户实现内控、内审的要求时,合规性审计体系应表现出如下特色:
1. 从用户角色与行为的角度,对业务的访问行为进行合规性审计与监控;
2. 体系应充分贯彻平台化的思路,区别于基于日志收集的审计体系;
3. 细粒度的操作内容审计与精准的实时监控,降低内部行为风险;
4. 通过灵活恰当的权限分配与控制,有效降低系统风险;
5. 丰富且可定制的报表系统,提供详尽真实的审计信息作为安全策略实施依据。
五、结束语
在内网安全日益受到重视的今天,内部操作风险控制成为内网安全建设的重要内容。内网行为合规性审计系统是一种被实际证明有效的内网安全建设方案,它建立在对操作行为的合规性审计基础之上,能够发挥监管、控制及取证作用,从而有效地帮助用户控制IT相关的操作风险。