人們常常談論如何通過IT技術手段來滿足企業業務需求，而反過來IT技術層面上可能的漏洞或隱患，會對業務造成巨大的損失。為此可以看到眾多企業紛紛從IT技術應用中尋求企業級安全審計解決方案，而其必要性和重要性更是不言而喻。這篇文章以現代商業銀行的應用為例，討論安全審計解決方案。

銀行的隱患

下面我們圍繞假定的某銀行T為背景展開討論，T銀行是一家典型的商業銀行，擁有自己的核心系統，運行在大型企業級服務器上（IBM z系列大型主機），支持全國范圍內的對公和對私的核心業務，這些業務包括傳統的活期、定期存款業務，貸款業務，支票業務，轉賬業務，外匯業務等等。

另外，T銀行還開通了各項中間業務和電子銀行業務（支持電話、手機、網上銀行業務等），以及其他的對公對私業務達近百種。獨立于核心系統之外，T銀行擁有一套信用卡應用系統，完成信用卡相關業務交易。此外，它還有卡交換系統，基金交易系統，國債系統等，這些系統目前相對獨立于核心系統，運行在其他硬件平臺的Unix服務器上，部分前端服務使用Windows操作系統。

目前，T銀行準備上市，這意味著它將面臨越來越多的合規審查。審計公司派駐到T銀行的審計人員，要求獲得有效的完整審計數據，而這些審計人員沒有大型計算機操作的技術背景，而且出于安全，T銀行也不會允許未授權人的操作。這樣看來，外審人員只能請T銀行的系統管理員來幫助完成審計報告。

但另一個棘手的問題是，和所有商業銀行一樣，大量的真實客戶資料在T銀行的系統環境中，在進行所有系統操作之前要確保操作人員的操作不會影響到系統的安全，不會接觸到任何敏感的數據信息。此外，技術人員不了解審計業務，難以確認審計人員的需求。而T銀行要上市，就一定要出據優良的審計報告，這樣就成了一個矛盾。

T銀行的系統面臨新的跟蹤、分析和及時報告各種審計情況的挑戰，避免出現任何可能的違規局面。除了外部審計，T銀行決定增設獨立于其他部門的內部安全審計部門，因為T銀行明白任何違規操作和不利的審計報告將意味著嚴重的商業損失，甚至是災難性的失敗。

系統架構與安全審計

接下來我們看看有哪些可能的系統訪問接口將成為重點看護的對象。為了分析的方便起見，我們把T銀行系統訪問接口進行簡單分類——企業內部訪問接口和企業外部訪問接口。企業內部接口是銀行內部操作人員訪問系統時使用的，根據不同工作內容、角色分工和權限管理，T銀行系統管理和安全部門給不同內部操作人員分配不同的權限，例如柜臺操作人員，系統管理員，數據庫管理員，安全審計人員被分配了對系統資源訪問的不同權限。企業外部接口包括那些T銀行的用戶可以接入銀行系統的所有訪問入口，例如從互聯網上通過Web方式查詢自己的賬戶、進行轉賬操作、網上購物、在商家的POS機上劃卡消費、通過電話或手機查詢和消費、在AMT機上的操作等等。可見當今銀行的業務種類繁多，門戶也越來越多，各種可能的訪問路徑和操作都是審計人員監控的對象。

目前，T銀行最大的數據源是核心業務系統，這部分的數據資源放在System z平臺的DB2上，外部審計公司也要求T銀行在主機環境上開展審計工作，從而實現對安全審計的整合。

T銀行決定具體分析自己的審計需求，制定并實施安全審計解決方案，下面我們來具體分析如何通過在DB2 for z上部署相應的審計工具等來滿足其審計需求。

目前T銀行的系統基本情況為：對私業務和對公業務分別部署在兩個Parallel Sysplex （PLEXA，PLEXB）上。T銀行希望在對私和對公兩個系統上都部署相應的審計工具，支持從多個數據源（同時從多個DB2 Number）方便地收集審計數據，在DB2子系統內有選擇地審查對數據庫表的插入、更新、刪除和讀操作。

另外T銀行的內部審計人員沒有System z平臺操作的技術，所以要求提供簡單方便的用戶圖形化界面，通過縮短手工審計流程而節約大量審計時間和工作量；新的審計解決方案能夠簡化一般性的審計任務，例如能夠方便地確定某用戶在某個特定時間段對哪些數據對象進行了哪些操作，提供詳細的審計證據，不合法的操作也包括及時監控針對系統或數據庫對象的未授權訪問等。

此外，安全審計人員需要靈活地對審計信息進行過濾，生成有特殊審計目的的多種報告，而更好的解決方案應該提供擴展性支持，也就是支持將審計規則方便地應用在其他系統環境中，從而支持開放式的整合的審計需求。