如何落實MIS電腦稽核（上）

目前，不只金融單位，其它如電信、製造、零售服務業者及政府單位都被要求遵循資安相關法規。MIS維運從業人員，除了確保MIS維運正常之外，法規遵循也成為日常重要工作一環。

個人資料及公司機密文件外洩事件發生所造成企業商譽、競爭力的損失以及所衍伸之賠償責任對企業而言都是無比沉重的負擔，它也再一次彰顯妥善保護及落實MIS電腦稽核的重要性。

我們在電腦稽核時需藉助安全控管機制來落實系統之安全性，包括資料管理、使用者行為與存取權限，而在這三方面卻是需要各部門所有人員，包括開發人員、系統人員與稽核人員等相互配合才能建構出安全的控管機制以避免因資訊系統操作不當而造成危害卻仍不自知。本文提供如何藉助叡揚資訊所代理之工具落實下述幾個電腦稽核之重點。

資料管理

為了有效控管資料之安全性，應於營運環境上針對資料的修改做有效的控管。對於資料的修改，由於存取權限控管之要求，有時需以特殊權限使用者才能進行修改動作，然而針對資料之修改過程，包括何時（when）、修改哪個資料庫（where）、以及修改前後資料內容為何（before,After），更是需要成為安控稽核之控管流程中的一環。為了加強對營運環境資料修改的掌控，也讓修改資料之流程能納入稽核的控管中，叡揚提供了FILE-AID/IMS此工具來協助修改營運環境主機（mainframe）的IMS DB資料；在修改資料後，它能同時記錄並自動產生稽核報表，以供稽核與追蹤控管之使用，讓稽核能更加掌控主機上重要資料被修改之狀況。

使用者行為

能正常與正確的操作資訊系統是使用者每日的基本要求；但在不同使用者之操作上，需要對其操作之行為模式納入監控，確保萬一問題發生時，可快速且有效的找到問題點，降低系統所受之傷害，包括應用程式執行與特殊使用者（super user）操作之監控。對於應用程式之監控，確保應用系統存取資料之正常性並於發生錯誤交易時，能發現問題點並馬上找出解決方式是一大關鍵，特殊使用者之操作行為及存取動作也應該納入監控的範圍。主機上QA Hyperstation之解決方案可監督與發現異常的存取行為，進一步強化資安及落實稽核。<註一>

存取權限

在主機上使用RACF之存取權限控管機制，包括使用者帳號、使用者群組、存取權限等等，都建構在RACF上；為了有效使用RACF並確認其RACF之設定正確無誤，我們提供了IBM ZAudit，它能從主機端將RACF與SMF等Log收錄至PC端，讓稽核者能管控於PC端並產生稽核所需之報表，不再苦苦等候系統人員產出報表，也不再需要因報表格式不符而必須與系統人員重覆要求其修改報表格式。再者，由於所需稽核之資料於PC端呈現，稽核人員可以定義所需之報表，並找出其需要修正的問題點，並將其納入稽核系統之規劃與改善。

系統日誌檔（Log）稽核

系統日誌檔記載系統運作軌跡，可以掌握過去在此系統內發生那些事件；但各位也知道系統、AP日誌檔不僅相當多樣、內容複雜且資料量大，稽核者需要藉助工具才能有效掌握、分析系統日誌檔。

Tivoli Compliance InSight Manager（TCIM）能從不同的系統來源中擷取所需之稽核日誌檔，將資料正規化/標準化之後，再依據公司內部/外部安全政策與法規分析之；當檢測到有問題的行為活動時，自動引發適當的行動及告警（Alerts）、歸檔所收集之日誌，並且提供一個完整的儀表板（圖一）來檢視與產生報表。

TCIM使用特殊W7（who, what, on what, when, where, where from, where to）方法論收集、分析大量使用者與系統行為活動日誌，提供即時告警並且報告相關的情況：包括誰觸發了那些行為？發生哪些訊息？誰去引發了那些可能違反安全政策的活動？透過這些活動訊息，經過對照與比較來建立或調整公司的資安政策；而稽核人員也能完整實現稽核與防禦的第一層次以加速標準化並早日展現遵守政策的效益。

TCIM可和上述zAudit整合（如圖一）所示。

<註一>：對在Unix/Linux主機上使用者監控及稽核可考慮IBM Tivoli Access Manager for Operation System（AMOS）此工具。

如何落實MIS電腦稽核（下）之精采內容將刊登於下期論壇。