审计亟需回归业务

安全问题已经成为企业信息化过程中，最为重要的环节。

防火墙、UTM、防病毒软件、防后门、防蠕虫各种安全技术和产品层出不穷，但是他们只能防范外部安全问题，对于企业组织中内部人员所造成的严重攻击，这些是无能为力的，此时，网络安全审计系统的作用就显得尤为重要。

通过使用网络安全审计系统，可以将管理人员从繁杂、枯燥的IT内审中解放出来，最大程度上降低IT内审工作的工作量、以满足组织机构内外部合规性要求、全面体现管理者对业务系统信息资源的全局把控和调度能力。

决策部门在系统的帮助下可以寻找到治理业务系统的决策依据，并且定夺治理业务系统的先后顺序，以及重要紧急程度等等一系列审计工作。

为什么需要面向业务的信息安全审计?

面向业务的信息安全审计系统，顾名思义，是对用户业务的安全审计，与用户的各项应用业务有密切的关系，是信息安全审计系统中重要的组成部分，它从用户的业务安全角度出发，思考和分析用户的网络业务中存在的脆弱和风险。

我们不妨先看两个鲜活的案例。不久前，中国青年报报道，上海一电脑高手，方某今年25岁，学的是计算机专业，曾是某超市分店资讯组组长。方某利用职务之便，设计非法软件程序，进入超市业务系统，即超市收银系统的数据库，通过修改超市收银系统的数据库数据信息，每天将超市的销售记录的20％营业款自动删除，并将收入转存入自己的账户。从2004年6月至2005年8月期间，方某等人截留侵吞超市3家门店营业款共计397万余元之多。

程某31岁，是X公司资深软件研发工程师，从2005年2月，他由A地运营商系统进入B地运营商的业务系统――充值中心数据库，获得最高系统权限，根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥，然后把“已充值”状态改为“未充值”，并修改其有效日期，激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出，非法获利380万。

通过上述两个案例，我们不难发现，内部人员，包括内部员工或者提供第三方IT支持的维护人员等，他们利用职务之便，违规操作导致的安全问题日益频繁和突出，这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题，但是，对于这类与业务息息相关的操作行为、违规行为的安全问题，必须要有强力的手段来防范和阻止，这就是针对业务的信息安全审计系统所能够带给我们的价值。

用户需求

事实上，一项针对业务系统的审计产品的评价手段有很多，理论上讲，有从审计准确精确度人手做评价的，也有从审计行为的广度入手做评价的，可是，无论以什么方式评价一款针对业务系统的审计产品，从审计行为的结果一 报告来评价是比较科学的。比如，我们以银行的业务为例，银行的业务主页有银行传统业务、银行中间业务、电子银行业务三大类业务，第一类业务，是银行传统业务，主要包括了会计业务，即主要受理对公业务、面向工商客户、以转账业务为主等；出纳业务，即包括了受理现金业务等；对私业务、还有授信业务，即包括了工商客户和个人客户贷款的发放和收回逾期、呆账、呆滞账务的处理和追溯等。第二类，银行的中间业务包括了：代收、电信公司的各类费用；代付企业的工资、基金购买、银行承兑等业务；第三类，电子银行业务主要包括了：网上银行、电话银行等，他们都是银行作为电子商务中资金流的一方，所有的这些业务都有大量的后台IT信息支撑系统作为支撑。

技术视野

业务网络审计系统是基于应用层内容十本技术衍生出的一种强化IT风险管理的应用模式，它需要对应用层的协议、网络行为等信息进行解析、识别、判断、记录、呈现，以达到监控违规网络行为、降低IT操作风险的目的。

显然，一个针对业务系统的审计必须承担鉴证、保护和证明三方面的作用，从技术角度看，审计系统需要审计的信息量人，采集的数据量多，比如对基本网络应用协议审计进行详细的实时监控、审计，并可以对操作过程进行回放，对各类操作系统也需要审计，同时，还有一些OA操作的审计，在这些庞杂的信息量下，如果系统呈现的信息缺失、失真或错误，往往会给用户轻则带来决策失误，重则带来安全事件无法追究的窘境。由于报告成为了取证、追查、建立制度的重要依据，报告应该越细越好，因此，报告的细粒度就成为业务网络审计系统发展的必然。

政策推动

随着中国国际化程度的日益提高，国内许多规范也正在顺应国际化的趋势上发展，以SOX法案为例，在美上市的中资企业如中国移动集团公司以及下属分公司就面临着该法案的合规性要求，而商业银行同样也面临Basel协议的合规性要求，政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。

从2001年起，政府、电信业、金融业、大企业等都已经先后制定了相关的法律法规，这些规范、文件的出台，是对IT合规建设的必然选择，不得不让面向业务的审计系统应该向这些法律法规的“合规性要求”方向发展，这些也促成了报告在审计系统中扮演的角色。

面向业务的信息安全审计，正在被越来越多的行业和机构所重视，它代表着由传统信息安全向业务信息安全领域纵深发展的必然的趋势。

当今信息安全领域，我们已经不能简单地认为，只要有防火墙、IDS、IPS、内网管理等系统的上线就可以解决网络安全问题，我们更不能简单地认为，由于各类业务系统应用在安全防护下就不会有任何安全风险。事实上，正是面向业务的信息系统安全审计系统开启了我们从传统安全领域向业务安全领域思考的一扇窗户，它把我们理解的信息安全思路引向了一个更加贴合业务应用、更加贴合业务管理的角度来看待信息安全。

启明星辰产品管理中心产品经理吕明表示，天网络安全审计系统就是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。

因此，面向业务的信息系统安全审计系统，必定能在较长的一段时间里得到市场和用户认同。同时，启明星辰认为，无论信息系统安全审计的内涵如何变化与发展，面向业务的信息系统安全审计系统，一定能在未来信息安全领域扮演重要的角色。因为，面向业务的信息系统安全审计系统已经不仅在创造网络安全的价值，更加创造业务管理的价值。