四招实现银行信息安全审计

来源：网络

        众所周知，对于银行这样一个重要的信息系统，包括网上旷工、蠕虫、操作不当等任何网上风险都可能对核心业务系统造成巨大影响，合规性审计是解决这个问题的有效方法。
　　近年来，银行IT系统对银行业务的发展起到极大的推进作用。同时，随着银行业务对IT系统的依赖程度越来越高，IT风险对业务风险的影响也越来越大，而IT风险中70%以上属于操作风险，即由人工操作不当(无意或故意)引起的风险。因此，有效地控制IT风险，尤其是操作风险，对银行业务的安全运营至关重要。
　    因此，合规性审计成为被行业推崇的有效方法。就信息安全审计而言，目前主要是合规性审计。信息安全合规性指银行在建设与运行IT系统中的行为需要符合相关的法律、标准、规范、文件精神的要求。
　　目前以四大银行为代表的国有银行均已制订了成文的信息安全策略。信息安全策略的贯彻执行需要相应的检查手段，信息安全审计作为银行风险控制的主要内容之一，是检查安全策略落实情况的一种手段。

　　银行信息安全审计需求
　　我们可以从操作风险生命周期的角度分析信息安全审计在操作风险控制中发挥的作用。操作风险成为现实的事件(或者事故)一般经历三个阶段：隐患、诱发、已发生。
　　导致存在操作风险隐患的原因有两点：一是信息安全策略本身存在漏洞;二是信息安全策略没有得到很好的贯彻执行，尤其是缺乏相应的技术保障措施。
　　诱发操作风险的原因则多种多样。无论是人为的有意越权访问或者无意误操作，还是各种安全事件(病毒感染、蠕虫爆发、恶意程序植入等)，都会把风险变成实实在在的损失。
　　操作风险发生后表现为安全事件(事故)，对事件(事故)的处理通常遵循如上图所示的流程。

　　事件(事故)处理流程
　　上述流程正好对应于操作风险的三个阶段，见右表。
　　信息安全审计正好包含标识事件、分析事件、收集相关证据等活动，从而为策略调整和优化提供依据。它的范围至少应该包括：安全策略的一致性检查，人工操作的记录与分析(操作审计)，程序行为的记录与分析(日志分析与审计)。
　　一般来说，信息安全审计的主要依据为信息安全管理相关的标准。例如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而提高安全性。
　　当前信息安全审计主要为合规性审计。对银行来说，这意味着要符合所有适用的法案、条约等。例如萨班斯-奥克斯利法案(SOX)与巴塞尔协议(Basel)都对风险控制有明确的要求。前者侧重操作风险控制，后者侧重业务风险(金融交易风险)控制。如前所述，由于银行业务对IT系统的依赖性越来越高，操作风险导致业务风险的案例屡见不鲜，因此有效地控制操作风险是业务风险控制的重要内容。

　　银行信息安全审计实现
　　信息安全审计的实现必须与信息安全策略的制订与落实紧密结合在一起，才能有效地控制风险。银行信息安全审计的实现需要考虑如下因素：
　　1.制订信息安全策略所依据的标准(如ISO/IEC 17799);
　　2.IT系统中实际执行的访问控制策略(如交换机与路由器的ACL、防火墙的规则等);
　　3.在安全策略中规定但未落实到技术措施的安全策略(如口令更换周期、口令强度、不可共同账号、最小授权等);
　　4.安全事件(病毒感染、蠕虫传播、恶意程序植入等)对信息安全(机密性、完整性以及可用性)的破坏;
　　5.盗版软件、企业机密信息在网络上的传播与滥用;
　　6.安全策略中未明确规定但隐含的与法律要求一致的内容。

　　因此，可以分析出银行信息安全审计可以考虑如下方法：
　　1.行为记录：记录所有进入、离开特定物理区域、IT系统区域的信息以及在IT系统中进行的各种操作(业务访问、系统维护、策略配置等);
　　2.日志审计：采集、分析IT系统(操作系统、数据库、可管理的网络设备等)自身的日志;
　　3.网络活动审计：采集网络数据包，通过协议解析还原网络活动并记录;
　　4.对重点监控对象(如存放有机密文件的办公PC)进行细粒度的行为(击键、文件读写、拷贝等)记录与分析。
　　显然，上述几种方法只能独立地满足不同的审计要求，尚不足以构成完整的IT审计体系。因此，需要采用合适的技术将各种不同的审计方法整合在一起，形成独立、完整的综合审计平台，从而建立一个行为不可抵赖，数据可靠、完整的IT审计体系。这些也正是信息安全企业的价值和义务所在。

　　Apache Tomcat 远程信息泄露漏洞
　　受影响系统：Apache Group Tomcat 6.0.0-6.0.13，Apache Group Tomcat 5.5.0-5.5.24，Apache Group Tomcat 4.1.0-4.1.36，Apache Group Tomcat 3.3-3.3.2。
　　不受影响系统： Apache Group Tomcat 6.0.14。
　　描述：BUGTRAQ ID: 25316， CVE(CAN) ID: CVE-2007-3385，CVE-2007-3382。Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。Apache Tomcat处理用户请求数据时存在输入验证漏洞，远程攻击者可能利用此漏洞获取会话相关的敏感信息。 Apache Tomcat没有正确的处理Cookie值中的“"”字符序列，且错误地将Cookie值中的单引号处理为分隔符。在某些情况下，这可能导致泄露敏感信息，如会话ID。
　　厂商补丁：目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
　　[  /tomcat/tomcat-6/v6.0.14/bin/apache-tomcat-6.0.14.tar.gz]tomcat/tomcat-6/v6.0.14/bin/apache-tomcat-6.0.14.tar.gz[/url] (来源：赛迪网)

　　动态
　　● 金山再夺世界两大反病毒  金山毒霸通过了英国西海岸实验室国际反病毒Checkmark在Vista系统下的三项 ，包括Checkmark查毒、Checkmark杀毒、反木马三项认证。
　　● 苹果第二次升级iPhone软件 苹果公司近日升级了其iPhone软件，将当前的版本升级到1.0.2版本。苹果仅说明新版本修补了一些漏洞，而没有明确表示修补了什么漏洞。
　　● “X卧底”病毒易感染高端智能手机 近日，一种叫“X卧底”的病毒入侵无线互联网，被它感染的手机会在不知不觉的时候变成别人跟踪你的“窃听器”。
　　● 上半年80%网络威胁来自木马 奇虎360安全中心发布的《互联网不安全报告》中披露，2007年上半年奇虎截获病毒、恶意软件及木马程序共计168135个，其中80%是木马。
　　● 企业应保留应对老蠕虫的对策 IBM安全战略经理Gunter Ollmann说，在2003年1月出现此著名的老蠕虫病毒“Slammer”仍然具有很大的威胁，劝告企业在撤销老的保护措施时要三思而后行。
　　● “大猩猩”病毒威胁近百种网络安全软件 江民反病毒中心近日监测到一款“大猩猩”病毒，它发作后会尝试关闭上百种杀毒软件和安全工具，被它感染的EXE类型可执行文件图标会变成张开大嘴的猩猩图案并占用大量CPU资源，导致中毒电脑系统瘫痪。
　　● 中网发布S3个人安全软件 中网公司于8月28日正式发布新款面向大众安全普遍服务的主动防御个人安全软件产品System Security and Safety(S3)。该产品不仅能让电脑免受互联网恶意攻击，也能控制用户由于自身的原因如上网习惯等因素导致的不安全(Safety)。
　　● SafeNet为美政府提供硬盘加密解决方案 SafeNet近日宣布，该公司已经成为美国政府硬盘加密产品的主力供应商，为联邦政府部署了25万个ProtectDrive硬盘加密产品。
　　● Juniper推VoIP安全解决方案 Juniper网络公司日前宣布推出一种新的解决方案，使有线多系统运营商(MSO)能够保护基于IP的语音服务(VoIP)和基于SIP的服务，从而免受网络安全攻击。

四招实现银行信息安全审计

来源：网络

        众所周知，对于银行这样一个重要的信息系统，包括网上旷工、蠕虫、操作不当等任何网上风险都可能对核心业务系统造成巨大影响，合规性审计是解决这个问题的有效方法。
　　近年来，银行IT系统对银行业务的发展起到极大的推进作用。同时，随着银行业务对IT系统的依赖程度越来越高，IT风险对业务风险的影响也越来越大，而IT风险中70%以上属于操作风险，即由人工操作不当(无意或故意)引起的风险。因此，有效地控制IT风险，尤其是操作风险，对银行业务的安全运营至关重要。
　    因此，合规性审计成为被行业推崇的有效方法。就信息安全审计而言，目前主要是合规性审计。信息安全合规性指银行在建设与运行IT系统中的行为需要符合相关的法律、标准、规范、文件精神的要求。
　　目前以四大银行为代表的国有银行均已制订了成文的信息安全策略。信息安全策略的贯彻执行需要相应的检查手段，信息安全审计作为银行风险控制的主要内容之一，是检查安全策略落实情况的一种手段。

　　银行信息安全审计需求
　　我们可以从操作风险生命周期的角度分析信息安全审计在操作风险控制中发挥的作用。操作风险成为现实的事件(或者事故)一般经历三个阶段：隐患、诱发、已发生。
　　导致存在操作风险隐患的原因有两点：一是信息安全策略本身存在漏洞;二是信息安全策略没有得到很好的贯彻执行，尤其是缺乏相应的技术保障措施。
　　诱发操作风险的原因则多种多样。无论是人为的有意越权访问或者无意误操作，还是各种安全事件(病毒感染、蠕虫爆发、恶意程序植入等)，都会把风险变成实实在在的损失。
　　操作风险发生后表现为安全事件(事故)，对事件(事故)的处理通常遵循如上图所示的流程。

　　事件(事故)处理流程
　　上述流程正好对应于操作风险的三个阶段，见右表。
　　信息安全审计正好包含标识事件、分析事件、收集相关证据等活动，从而为策略调整和优化提供依据。它的范围至少应该包括：安全策略的一致性检查，人工操作的记录与分析(操作审计)，程序行为的记录与分析(日志分析与审计)。
　　一般来说，信息安全审计的主要依据为信息安全管理相关的标准。例如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而提高安全性。
　　当前信息安全审计主要为合规性审计。对银行来说，这意味着要符合所有适用的法案、条约等。例如萨班斯-奥克斯利法案(SOX)与巴塞尔协议(Basel)都对风险控制有明确的要求。前者侧重操作风险控制，后者侧重业务风险(金融交易风险)控制。如前所述，由于银行业务对IT系统的依赖性越来越高，操作风险导致业务风险的案例屡见不鲜，因此有效地控制操作风险是业务风险控制的重要内容。

　　银行信息安全审计实现
　　信息安全审计的实现必须与信息安全策略的制订与落实紧密结合在一起，才能有效地控制风险。银行信息安全审计的实现需要考虑如下因素：
　　1.制订信息安全策略所依据的标准(如ISO/IEC 17799);
　　2.IT系统中实际执行的访问控制策略(如交换机与路由器的ACL、防火墙的规则等);
　　3.在安全策略中规定但未落实到技术措施的安全策略(如口令更换周期、口令强度、不可共同账号、最小授权等);
　　4.安全事件(病毒感染、蠕虫传播、恶意程序植入等)对信息安全(机密性、完整性以及可用性)的破坏;
　　5.盗版软件、企业机密信息在网络上的传播与滥用;
　　6.安全策略中未明确规定但隐含的与法律要求一致的内容。

　　因此，可以分析出银行信息安全审计可以考虑如下方法：
　　1.行为记录：记录所有进入、离开特定物理区域、IT系统区域的信息以及在IT系统中进行的各种操作(业务访问、系统维护、策略配置等);
　　2.日志审计：采集、分析IT系统(操作系统、数据库、可管理的网络设备等)自身的日志;
　　3.网络活动审计：采集网络数据包，通过协议解析还原网络活动并记录;
　　4.对重点监控对象(如存放有机密文件的办公PC)进行细粒度的行为(击键、文件读写、拷贝等)记录与分析。
　　显然，上述几种方法只能独立地满足不同的审计要求，尚不足以构成完整的IT审计体系。因此，需要采用合适的技术将各种不同的审计方法整合在一起，形成独立、完整的综合审计平台，从而建立一个行为不可抵赖，数据可靠、完整的IT审计体系。这些也正是信息安全企业的价值和义务所在。

　　Apache Tomcat 远程信息泄露漏洞
　　受影响系统：Apache Group Tomcat 6.0.0-6.0.13，Apache Group Tomcat 5.5.0-5.5.24，Apache Group Tomcat 4.1.0-4.1.36，Apache Group Tomcat 3.3-3.3.2。
　　不受影响系统： Apache Group Tomcat 6.0.14。
　　描述：BUGTRAQ ID: 25316， CVE(CAN) ID: CVE-2007-3385，CVE-2007-3382。Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。Apache Tomcat处理用户请求数据时存在输入验证漏洞，远程攻击者可能利用此漏洞获取会话相关的敏感信息。 Apache Tomcat没有正确的处理Cookie值中的“"”字符序列，且错误地将Cookie值中的单引号处理为分隔符。在某些情况下，这可能导致泄露敏感信息，如会话ID。
　　厂商补丁：目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
　　[  /tomcat/tomcat-6/v6.0.14/bin/apache-tomcat-6.0.14.tar.gz][color=#0066cc]tomcat/tomcat-6/v6.0.14/bin/apache-tomcat-6.0.14.tar.gz[/color][/url] (来源：赛迪网)

　　动态
　　● 金山再夺世界两大反病毒  金山毒霸通过了英国西海岸实验室国际反病毒Checkmark在Vista系统下的三项 ，包括Checkmark查毒、Checkmark杀毒、反木马三项认证。
　　● 苹果第二次升级iPhone软件 苹果公司近日升级了其iPhone软件，将当前的版本升级到1.0.2版本。苹果仅说明新版本修补了一些漏洞，而没有明确表示修补了什么漏洞。
　　● “X卧底”病毒易感染高端智能手机 近日，一种叫“X卧底”的病毒入侵无线互联网，被它感染的手机会在不知不觉的时候变成别人跟踪你的“窃听器”。
　　● 上半年80%网络威胁来自木马 奇虎360安全中心发布的《互联网不安全报告》中披露，2007年上半年奇虎截获病毒、恶意软件及木马程序共计168135个，其中80%是木马。
　　● 企业应保留应对老蠕虫的对策 IBM安全战略经理Gunter Ollmann说，在2003年1月出现此著名的老蠕虫病毒“Slammer”仍然具有很大的威胁，劝告企业在撤销老的保护措施时要三思而后行。
　　● “大猩猩”病毒威胁近百种网络安全软件 江民反病毒中心近日监测到一款“大猩猩”病毒，它发作后会尝试关闭上百种杀毒软件和安全工具，被它感染的EXE类型可执行文件图标会变成张开大嘴的猩猩图案并占用大量CPU资源，导致中毒电脑系统瘫痪。
　　● 中网发布S3个人安全软件 中网公司于8月28日正式发布新款面向大众安全普遍服务的主动防御个人安全软件产品System Security and Safety(S3)。该产品不仅能让电脑免受互联网恶意攻击，也能控制用户由于自身的原因如上网习惯等因素导致的不安全(Safety)。
　　● SafeNet为美政府提供硬盘加密解决方案 SafeNet近日宣布，该公司已经成为美国政府硬盘加密产品的主力供应商，为联邦政府部署了25万个ProtectDrive硬盘加密产品。
　　● Juniper推VoIP安全解决方案 Juniper网络公司日前宣布推出一种新的解决方案，使有线多系统运营商(MSO)能够保护基于IP的语音服务(VoIP)和基于SIP的服务，从而免受网络安全攻击。

四招实现银行信息安全审计

来源：网络

        众所周知，对于银行这样一个重要的信息系统，包括网上旷工、蠕虫、操作不当等任何网上风险都可能对核心业务系统造成巨大影响，合规性审计是解决这个问题的有效方法。
　　近年来，银行IT系统对银行业务的发展起到极大的推进作用。同时，随着银行业务对IT系统的依赖程度越来越高，IT风险对业务风险的影响也越来越大，而IT风险中70%以上属于操作风险，即由人工操作不当(无意或故意)引起的风险。因此，有效地控制IT风险，尤其是操作风险，对银行业务的安全运营至关重要。
　    因此，合规性审计成为被行业推崇的有效方法。就信息安全审计而言，目前主要是合规性审计。信息安全合规性指银行在建设与运行IT系统中的行为需要符合相关的法律、标准、规范、文件精神的要求。
　　目前以四大银行为代表的国有银行均已制订了成文的信息安全策略。信息安全策略的贯彻执行需要相应的检查手段，信息安全审计作为银行风险控制的主要内容之一，是检查安全策略落实情况的一种手段。

　　银行信息安全审计需求
　　我们可以从操作风险生命周期的角度分析信息安全审计在操作风险控制中发挥的作用。操作风险成为现实的事件(或者事故)一般经历三个阶段：隐患、诱发、已发生。
　　导致存在操作风险隐患的原因有两点：一是信息安全策略本身存在漏洞;二是信息安全策略没有得到很好的贯彻执行，尤其是缺乏相应的技术保障措施。
　　诱发操作风险的原因则多种多样。无论是人为的有意越权访问或者无意误操作，还是各种安全事件(病毒感染、蠕虫爆发、恶意程序植入等)，都会把风险变成实实在在的损失。
　　操作风险发生后表现为安全事件(事故)，对事件(事故)的处理通常遵循如上图所示的流程。

　　事件(事故)处理流程
　　上述流程正好对应于操作风险的三个阶段，见右表。
　　信息安全审计正好包含标识事件、分析事件、收集相关证据等活动，从而为策略调整和优化提供依据。它的范围至少应该包括：安全策略的一致性检查，人工操作的记录与分析(操作审计)，程序行为的记录与分析(日志分析与审计)。
　　一般来说，信息安全审计的主要依据为信息安全管理相关的标准。例如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而提高安全性。
　　当前信息安全审计主要为合规性审计。对银行来说，这意味着要符合所有适用的法案、条约等。例如萨班斯-奥克斯利法案(SOX)与巴塞尔协议(Basel)都对风险控制有明确的要求。前者侧重操作风险控制，后者侧重业务风险(金融交易风险)控制。如前所述，由于银行业务对IT系统的依赖性越来越高，操作风险导致业务风险的案例屡见不鲜，因此有效地控制操作风险是业务风险控制的重要内容。

　　银行信息安全审计实现
　　信息安全审计的实现必须与信息安全策略的制订与落实紧密结合在一起，才能有效地控制风险。银行信息安全审计的实现需要考虑如下因素：
　　1.制订信息安全策略所依据的标准(如ISO/IEC 17799);
　　2.IT系统中实际执行的访问控制策略(如交换机与路由器的ACL、防火墙的规则等);
　　3.在安全策略中规定但未落实到技术措施的安全策略(如口令更换周期、口令强度、不可共同账号、最小授权等);
　　4.安全事件(病毒感染、蠕虫传播、恶意程序植入等)对信息安全(机密性、完整性以及可用性)的破坏;
　　5.盗版软件、企业机密信息在网络上的传播与滥用;
　　6.安全策略中未明确规定但隐含的与法律要求一致的内容。

　　因此，可以分析出银行信息安全审计可以考虑如下方法：
　　1.行为记录：记录所有进入、离开特定物理区域、IT系统区域的信息以及在IT系统中进行的各种操作(业务访问、系统维护、策略配置等);
　　2.日志审计：采集、分析IT系统(操作系统、数据库、可管理的网络设备等)自身的日志;
　　3.网络活动审计：采集网络数据包，通过协议解析还原网络活动并记录;
　　4.对重点监控对象(如存放有机密文件的办公PC)进行细粒度的行为(击键、文件读写、拷贝等)记录与分析。
　　显然，上述几种方法只能独立地满足不同的审计要求，尚不足以构成完整的IT审计体系。因此，需要采用合适的技术将各种不同的审计方法整合在一起，形成独立、完整的综合审计平台，从而建立一个行为不可抵赖，数据可靠、完整的IT审计体系。这些也正是信息安全企业的价值和义务所在。

　　Apache Tomcat 远程信息泄露漏洞
　　受影响系统：Apache Group Tomcat 6.0.0-6.0.13，Apache Group Tomcat 5.5.0-5.5.24，Apache Group Tomcat 4.1.0-4.1.36，Apache Group Tomcat 3.3-3.3.2。
　　不受影响系统： Apache Group Tomcat 6.0.14。
　　描述：BUGTRAQ ID: 25316， CVE(CAN) ID: CVE-2007-3385，CVE-2007-3382。Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。Apache Tomcat处理用户请求数据时存在输入验证漏洞，远程攻击者可能利用此漏洞获取会话相关的敏感信息。 Apache Tomcat没有正确的处理Cookie值中的“"”字符序列，且错误地将Cookie值中的单引号处理为分隔符。在某些情况下，这可能导致泄露敏感信息，如会话ID。
　　厂商补丁：目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
　　[  /tomcat/tomcat-6/v6.0.14/bin/apache-tomcat-6.0.14.tar.gz][color=#0066cc]tomcat/tomcat-6/v6.0.14/bin/apache-tomcat-6.0.14.tar.gz[/color][/url] (来源：赛迪网)

　　动态
　　● 金山再夺世界两大反病毒  金山毒霸通过了英国西海岸实验室国际反病毒Checkmark在Vista系统下的三项 ，包括Checkmark查毒、Checkmark杀毒、反木马三项认证。
　　● 苹果第二次升级iPhone软件 苹果公司近日升级了其iPhone软件，将当前的版本升级到1.0.2版本。苹果仅说明新版本修补了一些漏洞，而没有明确表示修补了什么漏洞。
　　● “X卧底”病毒易感染高端智能手机 近日，一种叫“X卧底”的病毒入侵无线互联网，被它感染的手机会在不知不觉的时候变成别人跟踪你的“窃听器”。
　　● 上半年80%网络威胁来自木马 奇虎360安全中心发布的《互联网不安全报告》中披露，2007年上半年奇虎截获病毒、恶意软件及木马程序共计168135个，其中80%是木马。
　　● 企业应保留应对老蠕虫的对策 IBM安全战略经理Gunter Ollmann说，在2003年1月出现此著名的老蠕虫病毒“Slammer”仍然具有很大的威胁，劝告企业在撤销老的保护措施时要三思而后行。
　　● “大猩猩”病毒威胁近百种网络安全软件 江民反病毒中心近日监测到一款“大猩猩”病毒，它发作后会尝试关闭上百种杀毒软件和安全工具，被它感染的EXE类型可执行文件图标会变成张开大嘴的猩猩图案并占用大量CPU资源，导致中毒电脑系统瘫痪。
　　● 中网发布S3个人安全软件 中网公司于8月28日正式发布新款面向大众安全普遍服务的主动防御个人安全软件产品System Security and Safety(S3)。该产品不仅能让电脑免受互联网恶意攻击，也能控制用户由于自身的原因如上网习惯等因素导致的不安全(Safety)。
　　● SafeNet为美政府提供硬盘加密解决方案 SafeNet近日宣布，该公司已经成为美国政府硬盘加密产品的主力供应商，为联邦政府部署了25万个ProtectDrive硬盘加密产品。
　　● Juniper推VoIP安全解决方案 Juniper网络公司日前宣布推出一种新的解决方案，使有线多系统运营商(MSO)能够保护基于IP的语音服务(VoIP)和基于SIP的服务，从而免受网络安全攻击。

四招实现银行信息安全审计

来源：网络

        众所周知，对于银行这样一个重要的信息系统，包括网上旷工、蠕虫、操作不当等任何网上风险都可能对核心业务系统造成巨大影响，合规性审计是解决这个问题的有效方法。
　　近年来，银行IT系统对银行业务的发展起到极大的推进作用。同时，随着银行业务对IT系统的依赖程度越来越高，IT风险对业务风险的影响也越来越大，而IT风险中70%以上属于操作风险，即由人工操作不当(无意或故意)引起的风险。因此，有效地控制IT风险，尤其是操作风险，对银行业务的安全运营至关重要。
　    因此，合规性审计成为被行业推崇的有效方法。就信息安全审计而言，目前主要是合规性审计。信息安全合规性指银行在建设与运行IT系统中的行为需要符合相关的法律、标准、规范、文件精神的要求。
　　目前以四大银行为代表的国有银行均已制订了成文的信息安全策略。信息安全策略的贯彻执行需要相应的检查手段，信息安全审计作为银行风险控制的主要内容之一，是检查安全策略落实情况的一种手段。

　　银行信息安全审计需求
　　我们可以从操作风险生命周期的角度分析信息安全审计在操作风险控制中发挥的作用。操作风险成为现实的事件(或者事故)一般经历三个阶段：隐患、诱发、已发生。
　　导致存在操作风险隐患的原因有两点：一是信息安全策略本身存在漏洞;二是信息安全策略没有得到很好的贯彻执行，尤其是缺乏相应的技术保障措施。
　　诱发操作风险的原因则多种多样。无论是人为的有意越权访问或者无意误操作，还是各种安全事件(病毒感染、蠕虫爆发、恶意程序植入等)，都会把风险变成实实在在的损失。
　　操作风险发生后表现为安全事件(事故)，对事件(事故)的处理通常遵循如上图所示的流程。

　　事件(事故)处理流程
　　上述流程正好对应于操作风险的三个阶段，见右表。
　　信息安全审计正好包含标识事件、分析事件、收集相关证据等活动，从而为策略调整和优化提供依据。它的范围至少应该包括：安全策略的一致性检查，人工操作的记录与分析(操作审计)，程序行为的记录与分析(日志分析与审计)。
　　一般来说，信息安全审计的主要依据为信息安全管理相关的标准。例如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而提高安全性。
　　当前信息安全审计主要为合规性审计。对银行来说，这意味着要符合所有适用的法案、条约等。例如萨班斯-奥克斯利法案(SOX)与巴塞尔协议(Basel)都对风险控制有明确的要求。前者侧重操作风险控制，后者侧重业务风险(金融交易风险)控制。如前所述，由于银行业务对IT系统的依赖性越来越高，操作风险导致业务风险的案例屡见不鲜，因此有效地控制操作风险是业务风险控制的重要内容。

　　银行信息安全审计实现
　　信息安全审计的实现必须与信息安全策略的制订与落实紧密结合在一起，才能有效地控制风险。银行信息安全审计的实现需要考虑如下因素：
　　1.制订信息安全策略所依据的标准(如ISO/IEC 17799);
　　2.IT系统中实际执行的访问控制策略(如交换机与路由器的ACL、防火墙的规则等);
　　3.在安全策略中规定但未落实到技术措施的安全策略(如口令更换周期、口令强度、不可共同账号、最小授权等);
　　4.安全事件(病毒感染、蠕虫传播、恶意程序植入等)对信息安全(机密性、完整性以及可用性)的破坏;
　　5.盗版软件、企业机密信息在网络上的传播与滥用;
　　6.安全策略中未明确规定但隐含的与法律要求一致的内容。

　　因此，可以分析出银行信息安全审计可以考虑如下方法：
　　1.行为记录：记录所有进入、离开特定物理区域、IT系统区域的信息以及在IT系统中进行的各种操作(业务访问、系统维护、策略配置等);
　　2.日志审计：采集、分析IT系统(操作系统、数据库、可管理的网络设备等)自身的日志;
　　3.网络活动审计：采集网络数据包，通过协议解析还原网络活动并记录;
　　4.对重点监控对象(如存放有机密文件的办公PC)进行细粒度的行为(击键、文件读写、拷贝等)记录与分析。
　　显然，上述几种方法只能独立地满足不同的审计要求，尚不足以构成完整的IT审计体系。因此，需要采用合适的技术将各种不同的审计方法整合在一起，形成独立、完整的综合审计平台，从而建立一个行为不可抵赖，数据可靠、完整的IT审计体系。这些也正是信息安全企业的价值和义务所在。

　　Apache Tomcat 远程信息泄露漏洞
　　受影响系统：Apache Group Tomcat 6.0.0-6.0.13，Apache Group Tomcat 5.5.0-5.5.24，Apache Group Tomcat 4.1.0-4.1.36，Apache Group Tomcat 3.3-3.3.2。
　　不受影响系统： Apache Group Tomcat 6.0.14。
　　描述：BUGTRAQ ID: 25316， CVE(CAN) ID: CVE-2007-3385，CVE-2007-3382。Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。Apache Tomcat处理用户请求数据时存在输入验证漏洞，远程攻击者可能利用此漏洞获取会话相关的敏感信息。 Apache Tomcat没有正确的处理Cookie值中的“"”字符序列，且错误地将Cookie值中的单引号处理为分隔符。在某些情况下，这可能导致泄露敏感信息，如会话ID。
　　厂商补丁：目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
　　[  /tomcat/tomcat-6/v6.0.14/bin/apache-tomcat-6.0.14.tar.gz][color=#0066cc]tomcat/tomcat-6/v6.0.14/bin/apache-tomcat-6.0.14.tar.gz[/color][/url] (来源：赛迪网)

　　动态
　　● 金山再夺世界两大反病毒  金山毒霸通过了英国西海岸实验室国际反病毒Checkmark在Vista系统下的三项 ，包括Checkmark查毒、Checkmark杀毒、反木马三项认证。
　　● 苹果第二次升级iPhone软件 苹果公司近日升级了其iPhone软件，将当前的版本升级到1.0.2版本。苹果仅说明新版本修补了一些漏洞，而没有明确表示修补了什么漏洞。
　　● “X卧底”病毒易感染高端智能手机 近日，一种叫“X卧底”的病毒入侵无线互联网，被它感染的手机会在不知不觉的时候变成别人跟踪你的“窃听器”。
　　● 上半年80%网络威胁来自木马 奇虎360安全中心发布的《互联网不安全报告》中披露，2007年上半年奇虎截获病毒、恶意软件及木马程序共计168135个，其中80%是木马。
　　● 企业应保留应对老蠕虫的对策 IBM安全战略经理Gunter Ollmann说，在2003年1月出现此著名的老蠕虫病毒“Slammer”仍然具有很大的威胁，劝告企业在撤销老的保护措施时要三思而后行。
　　● “大猩猩”病毒威胁近百种网络安全软件 江民反病毒中心近日监测到一款“大猩猩”病毒，它发作后会尝试关闭上百种杀毒软件和安全工具，被它感染的EXE类型可执行文件图标会变成张开大嘴的猩猩图案并占用大量CPU资源，导致中毒电脑系统瘫痪。
　　● 中网发布S3个人安全软件 中网公司于8月28日正式发布新款面向大众安全普遍服务的主动防御个人安全软件产品System Security and Safety(S3)。该产品不仅能让电脑免受互联网恶意攻击，也能控制用户由于自身的原因如上网习惯等因素导致的不安全(Safety)。
　　● SafeNet为美政府提供硬盘加密解决方案 SafeNet近日宣布，该公司已经成为美国政府硬盘加密产品的主力供应商，为联邦政府部署了25万个ProtectDrive硬盘加密产品。
　　● Juniper推VoIP安全解决方案 Juniper网络公司日前宣布推出一种新的解决方案，使有线多系统运营商(MSO)能够保护基于IP的语音服务(VoIP)和基于SIP的服务，从而免受网络安全攻击。

四招实现银行信息安全审计

来源：网络

        众所周知，对于银行这样一个重要的信息系统，包括网上旷工、蠕虫、操作不当等任何网上风险都可能对核心业务系统造成巨大影响，合规性审计是解决这个问题的有效方法。
　　近年来，银行IT系统对银行业务的发展起到极大的推进作用。同时，随着银行业务对IT系统的依赖程度越来越高，IT风险对业务风险的影响也越来越大，而IT风险中70%以上属于操作风险，即由人工操作不当(无意或故意)引起的风险。因此，有效地控制IT风险，尤其是操作风险，对银行业务的安全运营至关重要。
　    因此，合规性审计成为被行业推崇的有效方法。就信息安全审计而言，目前主要是合规性审计。信息安全合规性指银行在建设与运行IT系统中的行为需要符合相关的法律、标准、规范、文件精神的要求。
　　目前以四大银行为代表的国有银行均已制订了成文的信息安全策略。信息安全策略的贯彻执行需要相应的检查手段，信息安全审计作为银行风险控制的主要内容之一，是检查安全策略落实情况的一种手段。

　　银行信息安全审计需求
　　我们可以从操作风险生命周期的角度分析信息安全审计在操作风险控制中发挥的作用。操作风险成为现实的事件(或者事故)一般经历三个阶段：隐患、诱发、已发生。
　　导致存在操作风险隐患的原因有两点：一是信息安全策略本身存在漏洞;二是信息安全策略没有得到很好的贯彻执行，尤其是缺乏相应的技术保障措施。
　　诱发操作风险的原因则多种多样。无论是人为的有意越权访问或者无意误操作，还是各种安全事件(病毒感染、蠕虫爆发、恶意程序植入等)，都会把风险变成实实在在的损失。
　　操作风险发生后表现为安全事件(事故)，对事件(事故)的处理通常遵循如上图所示的流程。

　　事件(事故)处理流程
　　上述流程正好对应于操作风险的三个阶段，见右表。
　　信息安全审计正好包含标识事件、分析事件、收集相关证据等活动，从而为策略调整和优化提供依据。它的范围至少应该包括：安全策略的一致性检查，人工操作的记录与分析(操作审计)，程序行为的记录与分析(日志分析与审计)。
　　一般来说，信息安全审计的主要依据为信息安全管理相关的标准。例如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而提高安全性。
　　当前信息安全审计主要为合规性审计。对银行来说，这意味着要符合所有适用的法案、条约等。例如萨班斯-奥克斯利法案(SOX)与巴塞尔协议(Basel)都对风险控制有明确的要求。前者侧重操作风险控制，后者侧重业务风险(金融交易风险)控制。如前所述，由于银行业务对IT系统的依赖性越来越高，操作风险导致业务风险的案例屡见不鲜，因此有效地控制操作风险是业务风险控制的重要内容。

　　银行信息安全审计实现
　　信息安全审计的实现必须与信息安全策略的制订与落实紧密结合在一起，才能有效地控制风险。银行信息安全审计的实现需要考虑如下因素：
　　1.制订信息安全策略所依据的标准(如ISO/IEC 17799);
　　2.IT系统中实际执行的访问控制策略(如交换机与路由器的ACL、防火墙的规则等);
　　3.在安全策略中规定但未落实到技术措施的安全策略(如口令更换周期、口令强度、不可共同账号、最小授权等);
　　4.安全事件(病毒感染、蠕虫传播、恶意程序植入等)对信息安全(机密性、完整性以及可用性)的破坏;
　　5.盗版软件、企业机密信息在网络上的传播与滥用;
　　6.安全策略中未明确规定但隐含的与法律要求一致的内容。

　　因此，可以分析出银行信息安全审计可以考虑如下方法：
　　1.行为记录：记录所有进入、离开特定物理区域、IT系统区域的信息以及在IT系统中进行的各种操作(业务访问、系统维护、策略配置等);
　　2.日志审计：采集、分析IT系统(操作系统、数据库、可管理的网络设备等)自身的日志;
　　3.网络活动审计：采集网络数据包，通过协议解析还原网络活动并记录;
　　4.对重点监控对象(如存放有机密文件的办公PC)进行细粒度的行为(击键、文件读写、拷贝等)记录与分析。
　　显然，上述几种方法只能独立地满足不同的审计要求，尚不足以构成完整的IT审计体系。因此，需要采用合适的技术将各种不同的审计方法整合在一起，形成独立、完整的综合审计平台，从而建立一个行为不可抵赖，数据可靠、完整的IT审计体系。这些也正是信息安全企业的价值和义务所在。

　　Apache Tomcat 远程信息泄露漏洞
　　受影响系统：Apache Group Tomcat 6.0.0-6.0.13，Apache Group Tomcat 5.5.0-5.5.24，Apache Group Tomcat 4.1.0-4.1.36，Apache Group Tomcat 3.3-3.3.2。
　　不受影响系统： Apache Group Tomcat 6.0.14。
　　描述：BUGTRAQ ID: 25316， CVE(CAN) ID: CVE-2007-3385，CVE-2007-3382。Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。Apache Tomcat处理用户请求数据时存在输入验证漏洞，远程攻击者可能利用此漏洞获取会话相关的敏感信息。 Apache Tomcat没有正确的处理Cookie值中的“"”字符序列，且错误地将Cookie值中的单引号处理为分隔符。在某些情况下，这可能导致泄露敏感信息，如会话ID。
　　厂商补丁：目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
　　[  /tomcat/tomcat-6/v6.0.14/bin/apache-tomcat-6.0.14.tar.gz][color=#0066cc]tomcat/tomcat-6/v6.0.14/bin/apache-tomcat-6.0.14.tar.gz[/color][/url] (来源：赛迪网)

　　动态
　　● 金山再夺世界两大反病毒  金山毒霸通过了英国西海岸实验室国际反病毒Checkmark在Vista系统下的三项 ，包括Checkmark查毒、Checkmark杀毒、反木马三项认证。
　　● 苹果第二次升级iPhone软件 苹果公司近日升级了其iPhone软件，将当前的版本升级到1.0.2版本。苹果仅说明新版本修补了一些漏洞，而没有明确表示修补了什么漏洞。
　　● “X卧底”病毒易感染高端智能手机 近日，一种叫“X卧底”的病毒入侵无线互联网，被它感染的手机会在不知不觉的时候变成别人跟踪你的“窃听器”。
　　● 上半年80%网络威胁来自木马 奇虎360安全中心发布的《互联网不安全报告》中披露，2007年上半年奇虎截获病毒、恶意软件及木马程序共计168135个，其中80%是木马。
　　● 企业应保留应对老蠕虫的对策 IBM安全战略经理Gunter Ollmann说，在2003年1月出现此著名的老蠕虫病毒“Slammer”仍然具有很大的威胁，劝告企业在撤销老的保护措施时要三思而后行。
　　● “大猩猩”病毒威胁近百种网络安全软件 江民反病毒中心近日监测到一款“大猩猩”病毒，它发作后会尝试关闭上百种杀毒软件和安全工具，被它感染的EXE类型可执行文件图标会变成张开大嘴的猩猩图案并占用大量CPU资源，导致中毒电脑系统瘫痪。
　　● 中网发布S3个人安全软件 中网公司于8月28日正式发布新款面向大众安全普遍服务的主动防御个人安全软件产品System Security and Safety(S3)。该产品不仅能让电脑免受互联网恶意攻击，也能控制用户由于自身的原因如上网习惯等因素导致的不安全(Safety)。
　　● SafeNet为美政府提供硬盘加密解决方案 SafeNet近日宣布，该公司已经成为美国政府硬盘加密产品的主力供应商，为联邦政府部署了25万个ProtectDrive硬盘加密产品。
　　● Juniper推VoIP安全解决方案 Juniper网络公司日前宣布推出一种新的解决方案，使有线多系统运营商(MSO)能够保护基于IP的语音服务(VoIP)和基于SIP的服务，从而免受网络安全攻击。