审计系统帮助记录发生在重要信息系统中各种各样的会话和事件,包括网络中的、主机操作系统中,也包括应用系统中的。
这些审计信息反映了信息系统运行的基本轨迹。一方面,它可以帮助管理层和审计者审核信息系统的运行是否符合法律法规的要求和组织的安全策略;另一方面,这些宝贵的审计信息在信息系统出现故障和安全事故时,就像航空器“黑盒子”一样,帮助调查者深入挖掘事件背后的情报,重建事件过程,直至完整的分析定位事件的本源 ,并部署进一步的措施来避免损失的再次发生。

风险管理和内控等是现代企业不遗余力地投入资源进行建设的目标,而完备的、健全的、有效的审计系统就是通往这一目标的重要途径和手段。所以,可靠、可信的审计系统是当前几乎所有安全标准和规范的核心内容之一。

安全等级保护

国家颁布的安全等级保护技术要求,在确立为第二级(指导保护级)以及以上级的信息系统中必须建立并保存下面的各种访问日志:
网络(网络安全审计8.1.2.4)
主机(安全审计8.1.3.3)
应用(安全审计8.1.4.3)

普遍接受的安全管理业界标准ISO27001: 2005

条款A15.1.3明确要求必须保护组织的运行记录,
条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行,符合安全策略和标准的要求。

萨班斯(Sarbanes Oxley)法案

美国公众上市公司需要遵循的萨班斯(Sarbanes Oxley)法案,其合规性要求建立严肃的、完备的企业内控体系,而信息系统的安全审计又是内控体系的重中之重。

支付卡行业安全标准 PCI-DSS

Payment Card Industry Data Security Standard (PCI-DSS) has been widely adopted as the high priority for enterprise IT organizations to comply. Tons of money and resources have been spent into the compliance projects.  However, low efficiency of investment, particularly on access and audit areas, becomes the new pain on the journey.

The below is the PCI-DSS Requirement 10.2:

10.2 Implement automated audit trails for all system components to reconstruct the following events:
10.2.1 All individual accesses to cardholder data
10.2.2 All actions taken by any individual with root or administrative privileges
10.2.3 Access to all audit trails
10.2.4 Invalid logical access attempts
10.2 5 Use of identification and authentication mechanisms
10.2.6 Initialization of the audit logs
10.2.7 Creation and deletion of system-level objects

Because of the distributed characteristic of cardholder data and audit trails, it’s challenging to make sure all the access have been recorded and can be reconstruct/replay when needed later. Session Auditor is an ideal centralrecord and replay base to meet the above requirements.