运营业商业务安全涉及很多，业务体系本身的逻辑和支撑的系统，覆盖这么多范围，覆盖这么多方面，业务安全抓手在哪儿？怎么去做？每个点都可以对应到具体执行的一个点。其实业务安全所关注的无非就是这五个方面：

一、人，客户也好，操作业务的人也好，自己的员工也好，第三方员工也好。

二、架构

三、业务本身的流程

四、IT设备

五、数据。我们的关注点可以更集中一下。

在座的如果来自于甲方的话可能都会遇到这样的问题，我们的数据被窃取，无从防范，第三方人员会从数据库里面倒出一些信息，我们自己的员工无从控制，内部人员泄露商业机密无从监管。

业务安全主要工作是外防内控，业务安全很复杂，但是我们不难很难找出宝贝，业务安全宝贝就是业务过程中流动转动和存储的数据。大家想一下我们的业务非常复杂，我们怎么去梳理这条线，举个例子，我们前段时间在一个运营商做了一个资金业务安全审计和评估模型。把这个作为抓手，它的产生，数据生命周期的过程就是传统到存储，到传输使用最后到归档。这条线理清楚，这条线上面所有的IT设备、所有的管理制度，所有的业务逻辑这三个方面理清楚，都有一个清晰的可呈现的一个东西。我们再从这个层面做一些审计，就可以事半功倍。

我们的数据生命周期以及业务安全评价可以从生命周期作为一个突破口，从管理上、从技术上和逻辑上这三个层面做一些分析。

我们公司总结业务安全防护的体系模型：这个模型有工具，也有服务综合模型。这个模型又很复杂，我们总结了一些经验和案例之后发现，我们的事后审计环节非常重要。很多人会有这样的疑问，事后审计，就是事情案件已经发生了，那么审计作用在于哪里？意义在哪里？我也和客户讲过这样的一个思想，大家生活中都开车，我们的马路上或许没有交警但是也不敢闯红绿灯，不敢违章停车，为什么？电子警察事后取证就是一个事后审计的很好的事例。就是事中违规了事后能百分之百抓取源头的话，那么审计威力就体现出来了，审计这层作用就从事后慢慢转到事中、事前了。我们虽然从审计作为突破口，但是已经达到了一个非常非常好的效果，都很规范化的操作，对业务安全有一个非常好的提升。

我们审计是怎么去做的？有四个层面的工作。第一我们会利用一些工具和平台审计本身是一个服务，但是离不开一个工具，很多事情是人和服务加在一起做的，不能完全脱离。第二个层面我们利用一些收集一些信息，这是相当于做菜的原材料。第三个是日志和信息收集，这是比较重要的相当于“高级菜谱”，这也是我们公司近三年以来做了很多运营商审计服务案例里面总结出来的东西。第四个是我们利用审计系统，利用这些规则时出发的一些报表，从这当中发现一些问题。

5W1H审计分析模型：我们会从谁在什么时候在哪儿做了什么事情，怎么做的？为什么要做这样的事情？这样的一个模型。

重点审计哪些方面：审计内容必定和你的业务安全相关，运营商业务审计重点主要应该在四个方面：

第一个是帐号和授权行为的分析。不管前台的应用也好，后台的DBA也好，你们可以进行操作的基础是你有帐号。对帐号本身的授权管理是非常非常重要的。我们在某地一个运营商里面已经准备做这样的一个事情，他们的帐号审批会走一个流程，包括新来的员工，包括转岗以后在相应系统上帐号的调整，经过领导审批最后在系统上归档，最后增加帐号。我们怎么去验证帐号新增是非法的还是合法的呢？比如审计中发现某个数据库上新增了这样一个帐号，这个帐号怎么判断非法还是合法？我们现在有一个思路，就是和这些所谓的工单系统进行一个关联对比和审计，我们已经在做这样的工作了。经过审批的帐号比如默认为一天之内会开这个帐号，然而数据库审计里抓到了确实一天之内新建了一模一样的帐号，那么他就是合法的。类似于这样的做法还可以扩展到变更或者割接，最后由审计系统对比它的命令和操作是否合当时的设计一致。