通过合规审计实现企业内部控制安全

对于企业内部安全来说，最重要一点就是对内部数据的安全管控。也就是能够有效地对企业内部数据进行监控、管理，知道是哪些人对哪些数据进行了怎样的操作，并从中发现安全威胁和隐患。日前，笔者专访了RSA中国区资深技术顾问冯崇彪先生，与其就法规遵从、企业内控等业界趋势话题进行了交流。

冯崇彪先生具有近20年的IT领域高级技术及管理经验。熟悉企业安全整体解决方案，精通以信息为核心的RSA安全整体解决方案。

安全审计保护企业内部数据

企业内部网络，要核心保护的就是企业内部数据的安全。保护数据安全的方法有许多，这里主要从审计的角度来谈下如何保护数据安全。合规审计需要满足内部、外部两方面的安全要求，也就是要满足企业内控的需求，以及外部审计的要求。具体而言，包括信息的安全保护以及IT审计。IT审计主要是基于整个数据的审计，重点在于日志审计和行为审计。通过对日志及行为的审计，能够知道用户都做过什么事情，并可以回溯。

现在各个行业都有安全审计的需求，审计日志涉及主机、网络、应用、存储、安全、数据库六大类日志。在许多情况下，这些日志都存放在各自的系统里，难于管理。对于用户而言，他们希望能够对这些日志进行有效的统一管理、保证安全运维并满足内控和外部审计的要求。

企业内部网络环境复杂，确保安全运维十分重要。当有恶意入侵者冒充合法用户登录时，无论他进行任何操作都会在相应日志里留下记录。如果能将各个系统里恶意入侵者的日志记录按照时间线顺序关联起来，就可以进行分析判断，及时发现其是否有恶意行为。一旦发现其进行了非法操作，就可以定性为安全事件，发出警报，交由相关人员予以处理。这样就防止了企业内部数据遭受进一步的破坏。

比如某些证券相关企业，其审计工作主要是对投资者的登录、交易、转账活动进行监控和限制，如发现行为异常则予以记录，并可以进行回溯，查找到底是谁做的事情，这样就能做相应取证工作了。

对于电信运营商，安全审计也极为重要，通过将企业防火墙日志与话单系统的关联，可以迅速发现哪些人通过移动设备做了非法事情。

RSA中国区资深技术顾问冯崇彪告诉我们，RSA enVision解决方案所提供的技术手段，能够帮助客户快速把现有网络里的设备日志集中起来，并在此基础上保障安全运维，简化合规审计。enVision提供了多种多样的合规报表及关联规则，可以帮助用户快速满足合规要求与内控要求。安全运维则帮助用户发觉安全隐患、发现安全事件，并及时发出警报。enVision还能将实时安全威胁事件转换成可执行的数据，即在发现安全威胁快速告警后，创建闭环的事件处理流程，优化用户网络的运行。

冯崇彪特别提到，RSA enVision解决方案是非侵入式的可扩展予以部署？。也就是说，enVision无需理会任何网络协议，不需要在用户系统安装任何软件，仅需要用户配置日志保存位置在enVision系统即可。而且，enVision在硬件上是可扩展的，系统自身的安全问题无需额外考虑。

为了形象说明，冯崇彪还举出几个典型例子：

1、恶意攻击者冒充管理员，创建、删除账号，修改企业数据库里的数据。在enVision的严密审查之下，通过对关联日志的分析，能够很快发现这一异常，发出告警，创建闭环，快速解决。

2、企业内部数据安全管理方面，RSA enVision解决方案通过关联多设备日志，能快速发现来自企业内部及外部的威胁源头。

3、企业VPN登录方面，通过enVision分析用户登录日志及操作日志，可以发现其中的异常，发布安全警告。

另外，RSA enVision解决方案还可以帮助客户做风险监控和合规报告。

持续建设的法规遵从

对于安全审计目前的需求，国内与国外并不相同。国外方面，由于萨班斯、巴塞尔等法规的严厉要求，使得国外企业更注重合规审计。而国内还没有类似的强制性法规，这就使得国内用户更注重于安全运维。

而且，安全威胁一直处于变化发展过程中，现如今恶意入侵者更是形成了地下产业链。新互联网时代的到来，使得网络威胁呈现爆发式增长，安全威胁压力愈发凸显，国内相关机构逐步加强监管，企业安全审计的重心不再仅仅局限于安全运维，合规审计的重要性也逐渐显露出来。

由此可见，法规遵从是一个过程，需要逐步进行建设。

相对的安全性需要整体建设

“安全永远是相对的”，冯崇彪认为，虽然安全技术在不断进步，新的安全产品也在不断推出，但恶意攻击者总会跑到安全防护的前面，一旦防御体系显露薄弱环节，恶意攻击者就会趁虚而入。企业要想保护其数据安全，就需要整体的安全考虑，除了基础安全防护外，需要建设更高层面的安全防御体系，比如安全信息事件管理、DLP（数据丢失防护）、基于风险的认证、交易监控等等。在IT治理方面需要完整的IT治理工具，需要网络监控系统防范APT类攻击。可以说，企业数据安全防护需要从原先点的防护，向面的安全防御转变。