联创SOX安全审计解决方案.pdf

《联创SOX安全审计解决方案.pdf》由会员分享，可在线阅读，更多相关《联创SOX安全审计解决方案.pdf（7页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、联创 SOX安全审计解决方案 我要关注此类文章 行业：行业通用 应用：其他 当前用户：暂空 编号：080603050 http:/ 2008-06-03 17:52:15 1.SOX背景 2001年底美国安然公司在一片哗然中轰然倒台，由此引发的 安然事件 至今令许多人记忆犹新。而同年 9 月份，安然公司的资产负债表上还赫然显示其总资产达 618亿美元，这又使得 安然事件 成为美国有史以来规模最大的公司破产案例。此后，公司丑闻不断，规模也 屡创新高，特别是次年 6 月的世界通信会计丑闻事件，更是雪上加霜，彻底打击了美国投资者对美国资本市场的信心。这一系列丑闻事件的爆发不仅招致包括安达信等五大会计

2、师事务所在投资者中的 诚信危机，更引发了世界各国对公司治理模式的新一轮思考。为改变这一局面，美国国会和政府立即公布了萨班斯法案（Sarbanes-Oxley Act，简称 SOX法案），其目的是加强公司责任，以保护公众公司投资者的利益免受公司高管及相关机构的侵害，正如法案的第一句话所说 遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。按照美国国会网站对 SOX法案的介绍，该法案从最初于 2002年 2 月 14 日提交给国会众议院金融服务委员会(Committee on Financial Services)，到 7 月 25 日国会参众两院的最终通过，先后有 6 个版本

3、。最后修订完稿的 SOX法案共分 11 章，第 1 至第 6章主要涉及对会计职业及公司行为的监管，第 8 至第 11 章主要是提高对公司高管及白领犯罪的刑事责任。因而，SOX法案的主要内容之一就是明确公司管理层责任、尤其是对股东所承担的受托责任，同时，加大对公司管理层及白领犯罪的刑事责任；另一个重点就是加强对会计职业的监管，提高财务报告的可靠性。其内在逻辑思路是：提高公众公司财务报告及信息披露的及时性与准确性，可以有效地保护公众公司投资者的利益；而强化公司高管的财务报告责任、提供外部审计的独立性等，将有助于提高公司财务报告及信息披露的质量。随着 SOX法案中各项具体条款开始实施的最终期限临近，

4、在公司治理模式的变革中对 IT 治理呼声也日益高涨。特别是 SOX法案要求的公司财务信息透明和对各项业务活动监控的加强，如何确保企业中各种信息，特别是财务信息的准确和安全成并最终减少伴随业务活动产生的各种经营风险成为 CIO考虑的首要问题。在 SOX法案的压力之下，最为显著的变化就是不仅关注企业反映各项业务活动效果的数据、报表,更逐渐重视对业务活动本身的监控，即这些信息的来源，首当其冲的就是企业内部的信息系统。SOX法案明确规定，外部审计人员必须检查和证实一个公司的内部财务控制的有效性，这其中就包括信息系统的可靠性。SOX法案强调企业的信息技术策略和企业内控活动（不论是人还是机器）的操作流程都

5、必须明白地定义并保存相关记录，而后才能实施。这样要求是为了让企业管理者了解内部状况，以便在 IT 审计时提供及时支持。虽然 SOX法案的出台是由于安然公司倒闭事件引起美国公众对股市的诚信危机而产生的，但它的出台却产生了意想不到的作用，这对中国的政府部门和立法者是否具有启示作用呢？中国的信息安全领域目前就缺乏这种强制性、规范性的法律文件，帮助企业克服采购中的障碍，也顺便刺激中国的 IT 整体应用的提高。事实上，国务院信息化办公室倡导的 谁主管、谁负责 的原则，基本上是这类管理条例的雏形，但需要进一步落实到法律条款中，并进行深化。同时，它的覆盖范围，也应该从几个关键行业扩充到其他大量的行业、企业组

6、织中来。与此同时，该法案中的 404号条款专门对公司内部控制提出了极为苛刻的要求。它要求公司重要的财务流程全部以文件的形式记录下来，并且公司的内部审计人员要定期测试，每年更新，然后还要独立的审计机构进行鉴定。这大大增加了企业的成本，以至于许多在美国上市的欧盟中小企业忍受不了如此严厉的监管而纷纷退市。2.企业安全审计偏离 SOX法案要求 随着各省业务支撑系统的迅速发展，企业内部各种数据库操作不断增加，网络规模也迅速扩大，针对数据库操作信息安全问题愈见突出，主要表现在核心数据被更改、数据的机密性、完整性、可用性得不到保证。原有的日志管理措施已不能满足 SOX法案对数据库审计的基本要求。主要表现在以

7、下方面：对 BOSS应用系统的所有重要操作，特别是对财务报表有关的操作没有全部留有系统日志。系统日志并没有由计费账务部门根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率或金额等），对于 BOSS系统日志应由安全管理员缺乏每月进行审核。对 BOSS系统数据库的直接访问修改由于数据库技术原因不能留有系统记录，因此安全管理员也不能每月对数据库层重要操作，特别是对财务报表有关的操作记录进行审核。3.联创安全审计系统 为了满足 SOX法案的要求，必须建立有效的信息系统内控机制，而建立信息系统内控的一个重要途径就是加强企业在审计方面的建设，这主要包括在当前企业内部 IT 环境下

8、，建立对主机，网络，应用系统的人员活动，设备状态等信息的细粒度审计机制。通过这一机制，企业管理者可以直观的查看 IT 环境中的相关历史数据，了解整个系统所发生的事件的各个侧面，包括人员的动作（做了什么），动作的时间（何时做的），牵涉到的主机网络和应用系统（对谁做的）等等。联创安全审计系统正是在 SOX法案这一大背景下研发的，它提供了对细粒度审计机制的强有利支持。它可以对 IT 环境中的来自主机，网络，及业务系统的事件进行收集，保存和高效的查询，也可以根据规则对事件进行匹配和策略处理，产生告警和用户通知，还可以对已记录的数据进行统计并生成报表。经由这些功能，该系统具有了对事件的归档，回溯和回放，

9、对问题的追踪和定位，及对审计和访问规则的解析处理等能力，从而形成了以审计事件为核心的一个比较完善的方案。SOX法案强调在特定业务如财务，特定流程如人员活动方面的审计能力，因此该方案在实现时在如下具体方面作了较多考虑：1.对应用系统层、操作系统层及数据库层的与财务报表相关的重要文件、目录的关键操作进行审计记录，这包括：安全审计系统支持对应用系统，操作主机的日志的收集。实现的方法考虑两种，一是在相关的应用系统和主机上安装代理，通过代理检查文件和目录，监控相关操作，另一种方法是通过 FTP等方式，将关键文件目录的内容或 HASH值等相关信息传递到服务器上，通过定期记录并比对，得到文件或目录的修改信息

10、，从而间接得到文件或目录的操作。2.对数据库的与财务相关的重要的操作进行审计记录，以便于查找误操作等相关安全问题，这包括：通过代理侦听等方式可以并行的得到相关的数据库操作信息，审计系统要完成的目标不仅是查找误操作，还有审计恶意的攻击等。3.日志进行集中存放和管理，所有与财务相关系统的日志必须至少保留一年。对日志进行审计的人员必须独立于该系统维护管理人员，具体为：对于集中存放，系统的架构设计就是集中存放于数据库中；对于保留一年，可以采用归档数据库或磁带备份的方式存放日志。对最后一个要求，目前系统设计上已经考虑到了审计角色和管理角色的差异，并将在具体设计中实现这种角色的分离。4.系统日志应由安全管

11、理员负责每月进行审核，确保与账务相关的操作均为合法及获授权的，这包括：建立审核的流程，可以加强审计系统中对告警流程的设计，对日志应作归类简化，审核，并记录审核结果。5.对应用系统层、操作系统层及数据库层对财务报表相关的日志审计结果进行分类、归档。并填写财务报表相关的日志审核报告，这包括：审计结果数据不仅需要规格化，同时也需要根据财务报表业务相关的知识进行分类，即在系统的业务层提供进一步的分类，以提高系统可用性和针对性。日志审核报告可以作为审核流程的一个结果，由安全管理员在审核日志后填写，并具有打印，导出，保存等功能。6.应用系统层、操作系统层及数据库层对财务报表相关的任何人都不得对原始日志和记

12、录进行更改、删除等操作，具体为：一是系统不能提供相关的功能；二是对原始日志和记录在数据库中的保存，应是加密的，至少是有较强的数据库权限控制的 联创安全审计系统的主要功能如下：数据库操作的收集保存：系统通过侦听方式，实时监测收集和保存原始的数据库操作数据包，并解析还原成数据库的登录，注销，插入，删除，更新，存储过程的执行等操作,。还原 SQL操作语句，并跟踪数据库访问过程中的所有细节，包括用户名、数据库操作类型、所访问的数据库表名、字段名、操作执行结果等;将安全等级较低的日志和高安全等级日志分别存放，提高系统性能。支持对多种主流数据库类型的强审计，包括 Oracle、SQL Server、Mys

13、ql。网络应用，主机事件收集保存 系统提供对 FTP，TELNET，HTTP等网络应用程序的支持，可收集保存相关应用的事件。同时系统也可以收集并保存通过交换机的网络类事件数据，以便于随后的处理。原始数据查询：系统提供强大的查询功能，根据不同条件查询原始日志数据和相关的返回结果。查询结果可以以 PDF，EXCEL等文件方式导出。对于数据库类事件，查询条件可以是时间，地址，数据库类型，用户名，操作类型，数据库名，表名，字段名等，用户可以按照自己的需要查找所关心的符合监控规则的数据库操作记录。对于主机类事件，系统可以根据操作类型，操作对象等不同条件进行查询。原始数据统计：提供对原始数据统计，包括按事

14、件类型，数据库类型，源和目的地址信息的统计以及返回结果的统计，并通过柱图，饼图，表格等形式将统计结果直观展现给用户。统计结果可以以 PDF，EXCEL等文件方式导出。系统还提供客户个性化报表定制机制。支持自动生成统计分析报表和自动生成安全分析报告。策略管理 系统提供细粒度的策略配置管理，策略分成访问控制策略或审计策略。用户可以根据自己的系统特点和具体数据来源，对如用户名、应用类别、操作名、数据库名、表名、字段名等关键字段进行设置，产生审计规则，用户也可以根据内部用户的不同性质，确定监控范围，对特定主机和特定网段进行监控，从而保证用户能够按照自己的需要实施操作审计或访问控制。事件回放功能：提供事

15、件回放功能，可以根据收集到的事件，根据不同的用户，主机等条件，按时间段回放事件，以方便管理员直观的查看数据库使用情况。数据库状态监控：定义要管理的数据库信息，通过定时和手动发送测试数据，返回数据库当前状态信息如是否可用，用户信息，剩余空间，表空间划分等，并具有记录和查询历史状态等功能。数据库登录监控：监控数据库用户的登录连接时间，定义合法时间窗口和合法登录次数，当发现登录不正常的情况时（登录次数过多，登录时间不对），发出告警。也可以记录并分析登录数据库系统的用户，通过分析并记录这些用户的操作，发现数据库的操作异常行为。数据库操作监控：定义数据库监控对象，包括系统本身带的及应用程序加的，当对该对

16、象操作或变更时，发出告警。定义的内容可以包括要监控的对象名，监控时间，操作类型，操作者等。数据库后门扫描：定时或手动检查数据库中的用户情况，用户权限分配情况，并跟审计系统中已经审核过的进行比较，以发现数据库后门，并生成告警。（该功能需要数据库权限配合。）数据库漏洞扫描：通过一些常用数据库攻击手段扫描内网数据库，检查其安全性，包括数据库本身的版本漏洞，数据库使用上的漏洞等，并生成告警。如 sa 空密码登录、扩展存储过程执行、登录尝试攻击、Oracle Internal密码等。（该功能需要数据库权限配合。）告警管理：管理告警生成的条件，告警查询，告警的递送方式，责任人和时间，并负责记录告警处理过程

17、。告警处理方式包括记录、报警和中断等措施。特别对于敏感数据的违规操作，该系统可以中止当前的网络连接，从而起到保护重要数据信息的作用。除了管理界面中的实时显示外，提供了报警声音，邮件，短信，SNMP Trap等多种报警方式，可以快速的将报警信息通知管理员。用户管理和权限管理：管理维护使用本系统的用户人员，能使用的相关权限，系统安全性：系统中提供多种安全机制，确保产品安全。对于通过 WEB控制台进行登录的用户，通过 SSL协议和数字证书进行用户认证和鉴别，确保访问合法。预定义系统管理员，安全审计员和操作员三种基本权限，以提高系统的安全性，权限可以扩展。系统日志记录：提供完善的系统日志，对于用户在控

18、制台中的各种行为进行记录，保障系统在出现问题时能够回溯跟踪。外部接口：系统设计之初就提供软件接口，包括事件外发和告警外发接口，第三方用户可以通过相关的规范，方便的嵌入到系统中，提高了系统的扩展性。该系统特点如下：无需代理：通过数据包旁路侦听的方式，避免在数据库，主机，网络设备所在的机器上安装代理程序，因此避免了对设备的配置操作和直接控制，保证了业务系统原有的安全性和整体架构，并且不会影响业务的性能和稳定。结合安全审计的国际国家标准设计系统：在 ISO 7498-2（信息安全技术框架）和 ISO/IEC 15408（通用评估标准）中，明确了审计作为一类重要的信息安全机制或者说功能的地位；在 IS

19、O/IEC 10181-7：1996（信息技术-开放系统互连-开放系统的安全框架）中规定了安全审计和告警的框架；在 ISO/IEC 10164-8：1993（信息技术-开放系统互连-系统管理）第 8 部分，说明了审计系统应有的功能，这个标准 1997年已经变成了国标 GB/T 17143.8。切实结合萨班斯审计：目前中国移动正在进行面对萨班斯法案的相关工作，其中的一项主要的工作就是提高企业的整体审计强度，包括财务，IT，业务交易等各个方面等，这项工作的意义将是深远的，同时也会对有类似要求的企业产生示范效应。安全审计系统完全可以配合中国移动等企业加强审计工作，满足对 IT 系统监督和审计的需求。

20、原始日志的细粒度审计：对于数据库，审计行为基于数据库和客户端间通讯的数据包，可解析到到单条SQL语句级；对于主机和网络类设备，可解析到单条操作级别。审计和扫描并行：紧密关注数据库的安全漏洞和后门，从根本上提高数据库安全性；B/S架构：采用 B/S架构，提供更方便和清晰的软件功能，方便用户使用；可支持多种主流数据库：支持 TDS协议、TNS协议、MYSQL数据库通信协议；从而支持对不同的数据库数据侦听，包括 ORACLE，SQL Server等；审计数据安全策略：通过数据库数据加密方式，对记录的原始信息进行加密，保证数据安全；对数据库状态监控和后门扫描等功能中涉及到的要审计数据库的用户名和用户密

21、码，采用只保存 HASH值的方法，最大程度减少系统本身使用不当带来的风险；权限分离：设计上采用权限分离原则，本系统的使用者在权限上分成，系统管理员，安全审计员，和操作员三种，三权分立以保证整个系统的安全性。可以结合其他审计系统完成更丰富的功能：如结合主机审计系统完成对用户行为的审计，也可以包括终端安装软件的审计；结合应用系统，完成收集应用系统日志，并分析和统计的审计。可以单独配置，也支持嵌入其它系统：提供软件接口，可以作为一个模块，存在于其它应用系统中，便于实际应用和产品发布。先进的软件架构：系统后台采用多层架构，方扩展和维护。各层间可根据服务器硬件情况，实施单一部署和分布式部署，方便用户部署和使用。使用友好：友好宜用的界面，易于上手使用。提供详细的帮助，极大地减轻了管理员的负担。实际上，信息技术在这整个审计实现过程中所扮演的角色只是一种工具。通过它，电信运营商可以实现对企业内部流程和监控机制更加高效的管理。电信运营商的信息化建设内容实际包括了偏重业务层面的支撑系统建设和偏重管理层面的MSS建设。对于这两者而言，组织架构和业务流程是否实现了科学的部署才是决定其最终应用效果的根本。