运维安全审计系统.doc

White Paper
运维安全审计系统技术白皮书
HAC (Host Audit Control)
------IT运维风险内控解决方案
2009年9月
目录
1 IT审计要求 1
2 解决之道 2
HAC简介 2
应用环境 2
认证资质 3
3 产品介绍 4
系统功能 4
完整的身份管理和认证 4
灵活、细粒度的授权 4
后台资源自动登陆 4
实时监控 5
违规操作实时告警与阻断 5
完整记录网络会话过程 5
详尽的会话审计与回放 6
完备的审计报表功能 6
各类应用运维操作审计功能 6
可结合ITSM(IT服务管理) 7
其他功能 7
系统部署 7
系统特点 9
支持Unix和Windows平台下运维操作审计 9
更严格的审计管理 9
分权管理机制 9
部署灵活、操作方便 9
完善的系统安全设计 9
与网络审计类产品比较 10
4 技术指标 11
型号说明 11
HAC1000接口配置 11
HAC 1000 兼容性 11
5 典型案例 12
现状描述 12
部署方案 13
方案特点 13
6 服务支持 14
IT审计要求
针对安然、世通等财务欺诈事件,2002年出台的《公众公司会计改革和投资者保护法案》(Sarbanes-Oxley Act)对组织治理、财务会计、监管审计制定了新的准则,并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。SOA促使COSO《内部控制-综合框架》及其他框架(如:加拿大的CoCo、英国的Cadbury报告、IIA的SAC、ISACA的COBIT)作为内部控制的标准已获广泛认同。通过促进组织建立完善的内部控制与全面风险管理体系,为有效的组织治理奠定了良好的基础。与此同时,国内相关职能部门亦在指导行业内部控制与风险管理方面进行了有益的探索。如:内部控制审计准则的制定,商业银行、证券公司、保险公司、上市公司、中央企业等内部控制指引、合规风险管理或全面风险管理指引的颁布,都对行业完善内部控制与健全风险管理体系起到了极大的推动作用。
行业监管与合规性遵循要求引导对审计定位与功效的重新审视。审计作为一种独立、客观的活动,通过系统化和规范化的方法,评价和监控组织的风险管理、控制和治理过程的效果,其目的在于为组织增加价值和提高组织的运作效率,帮助组织实现其目标。
信息系统作为组织实现其经营目标的重要设施,其风险管理与安全控制需要得到有力保障。由于信息系统的脆弱性、技术的复杂性、操作的人为因素,在设计以预防、减少或消除潜在的风险或风险暴露的安全控制时,还应考虑运维管理与操作监控机制以预防、发现错误或违规事件,对IT风险进行事前防范、事中控制、事后监督和纠正的组合控制。IT审计作为预防性控制的有效补充,并检查、监控控制的适当性与充分性,在信息科技风险管理中发挥极重要作用。
对IT系统进行操作记录,是控制内部风险的一个重要手段,但大型机构的IT系统构成复杂,操作人员众多,如何有效地执行记录工作,是长期困扰各组织信息科技和风险稽核部门的一个重大课题。
解决之道
对任何组织而言,采用基于计算机的审计技术或记录工具(CAATs, Computer Assisted Audit Techniques/Tools)无疑是实现监管信息化、提升工作绩效的重要途径。但首先需要解决的问题是:组织需要关心哪些类型的审计信息?哪些信息或行为对组织尤为关键?目前通用的审计工具大多从网络层面或服务器日志层面获取较为庞杂的信息,往往会导致关键的管理信息或敏感操作湮没于日常业务数据中,或无法追溯操作行为轨迹、了解操作行为意图,可能影响审计的有效性或效率。
公司因应市场对IT运维审计的需求,集其多年信息安全领域运维管理与安全服务的经验,结合行业最佳实践与合规性要求,率先推出基于硬件平台的“运维安全审计系统(HAC)”,针对于核心资产的运维操作,再现关键行为轨迹,探索操作意图,集全局实时监控与敏感过程回放等功能特点,有效解决了信息化监管中的一个核心问题。
HAC简介
“运维安全审计系统(HAC)”目标是为组织IT系统核心服务器的运维操作提供强有力的监控、记录手段,使其切实满足内控管理中的合规性要求。
HAC可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作记