本文通过一个真实案例,分析了网络审计扮演的银行保安、网络警察、经营分析师三个角色。
从一个真实的案例说开去:
31岁的程某是名牌大学毕业,经过多年打拼已是X公司资深软件研发工程师,聪明的头脑让他获得领导的赏识,可谓年轻有为,前途无量。程某对工作很是勤奋对电信公司网络了如指掌。在一次偶然的机会里,程某通过异地挑转方式,无意间访问到了充值卡的信息。程某看到这些充值卡后开始动起了歪脑筋。
程某告诉朋友赵某,这正是发财的一个机会。他们梦想自己过上优越的生活坐好车、住好房、数钱……为了让自己的计划顺利实施,赵某、程某做了分工,程某负责盗窃、赵某负责销售。程某偷偷潜入了运营商网络,进入电信充值中心数据库,充值中心数据库有很多过期的充值卡,程某破解出密钥,修改充值卡的时间和金额,把“已充值”状态改为“未充值”。这些卡将为他带来滚滚财富。
程某不曾料到,在他破解过程中,审计系统对数据库中充值卡信息表状态字段的赋值进行着严密的监控。审计系统发现修改行为,立即进行告警,及时发现该违规行为,并报告了审计结果。领导向公安机关报警。程某就在将600万的充值卡转化成了现金时,被擒获。
网络审计扮演的角色:
角色一:“银行保安”——守护运营商帐号和密码管理的执行
很多时候,运营商没有及时冻结或清理过期的第三方厂商管理员账号,另外,即使帐号没有过期,运营商也缺乏定期更改密码的管理机制。另外,对于用户具有超级权限的密码则更需要进行严格管理,所以,任意一种机制缺失,都会导致对业务信息系统数据遭到非授权访问和篡改,因此,审计系统就扮演了“银行保安”的角色,即时限制和控制非法用户或者帐号对核心业务的访问。
角色二:“网络警察”——对任何第三方的维护访问有效纪录
运营商一般会授予给第三方厂商做系统的维护,这些人往往拥有业务系统的较高权限,因此,审计系统就扮演了“网络警察”的角色,它制定相应的远程访问控制措施来规范代维人员操作行为,即“某个特定的服务(如FTP、Telnet、SQL、SNMP等)可以(或不可以)被某个代维人员怎样地访问”并且能有效纪录操作信息,同时可以设置“禁止Telnet跳转”策略,关闭通过内联网进入其它地运营商的大门,最后应建立关键操作日志定期审核制度。
角色三:“经营分析师”——对数据库管理访问和异常数据变更出具检查报告
审计系统还扮演了“经营分析师”的角色,运营商可以通过审计系统定期出具数据库管理访问的情况汇总,对特定数据的异常更改发现相关问题,同时,还可通过审计系统出具合规性的自查报告,减少管理员的手工作业工作量,大大提高效率。
案例启示:
此案例带给我们很多启示,在我们电信机构中IT业务系统应用的日益增多的当下,我们不仅需要强调内部控制管理体系,我们更加需要通过技术手段来解决技术问题。
事实上,要保证我们的业务系统安全,除了从内部控制的制度建设入手,规范了我们自己的行为同时,我们更需要对第三方维护厂商的行为进行规范和管理。我们采用一定的技术措施和手段来防护和保护我们的IT业务系统,特别是管理和规范第三方维护厂商提供的运维等服务可能带来的风险,通过对第三方维护厂商的可信管理,包括对密码的管理、访问控制措施的有效性、日常检查机制等方面的管理,可以大大避免我们IT业务系统可能存在的安全风险,可以大大降低我们IT业务系统的安全隐患和系统缺陷,因此,我们可以说,网络安全审计在“管理和规范第三方维护厂商的行为”方面有了用武之地,它成为防护业务系统的安全十分重要的手段。
