安全審計

安全審計涉及四個基本要素:控制目標、安全漏洞、控制措施和控制測試。其中,控制目標是指企業(yè)根據(jù)具體的計算機應用,結(jié)合單位實際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易被干擾或破壞的地方?？刂拼胧┦侵钙髽I(yè)為實現(xiàn)其安全控制目標所制定的安全控制技術(shù)、配置方法及各種規(guī)范制度。控制測試是將企業(yè)的各種安全控制措施與預定的安全標準進行一致性比較,確定各項控制措施是否存在、是否得到執(zhí)行、對漏洞的防范是否有效,評價企業(yè)安全措施的可依賴程度。顯然,安全審計作為一個專門的審計項目,要求審計人員必須具有較強的專業(yè)技術(shù)知識與技能。

安全審計是審計的一個組成部分。由于計算機網(wǎng)絡環(huán)境的安全將不僅涉及國家安危,更涉及到企業(yè)的經(jīng)濟利益。因此,我們認為必須迅速建立起國家、社會、企業(yè)三位一體的安全審計體系。其中,國家安全審計機關(guān)應依據(jù)國家法律,特別是針對計算機網(wǎng)絡本身的各種安全技術(shù)要求,對廣域網(wǎng)上企業(yè)的信息安全實施年審制。另外,應該發(fā)展社會中介機構(gòu),對計算機網(wǎng)絡環(huán)境的安全提供審計服務,它與會計師事務所、律師事務所一樣,是社會對企業(yè)的計算機網(wǎng)絡系統(tǒng)的安全作出評價的機構(gòu)。當企業(yè)管理當局權(quán)衡網(wǎng)絡系統(tǒng)所帶來的潛在損失時,他們需要通過中介機構(gòu)對安全性作出檢查和評價。此外財政、財務審計也離不開網(wǎng)絡安全專家,他們對網(wǎng)絡的安全控制作出評價,幫助注冊會計師對相應的信息處理系統(tǒng)所披露信息的真實性、可靠性作出正確判斷。

根據(jù)互聯(lián)網(wǎng)安全顧問團主席Ira Winkler，安全審計、易損性評估以及滲透性測試是安全診斷的三種主要方式。這三個分別采用不同的方法，分別適于特定的目標。安全審計測量信息系統(tǒng)對于一系列標準的性能。而易損性評估涉及整個信息系統(tǒng)的綜合考察以及搜索潛在的安全漏洞。滲透性測試是一種隱蔽的操作，安全專家進行大量的攻擊來探查系統(tǒng)是否能夠經(jīng)受來自惡意黑客的同類攻擊。在滲透性測試中，偽造的攻擊可能可能包括社會工程等真正黑客可能嘗試的任何攻擊。這些方法各有其固有的能力，聯(lián)合使用兩個或者多個可能是最有效的。

審計，英文稱之為“audit”。審計執(zhí)行是以確定有效性和可靠性的信息，還提供了一個可內(nèi)控的評估系統(tǒng)。審計的目標是在測試環(huán)境中進行評估工作，并表達人/組織/系統(tǒng)等的評估意見。由于實際情況的限制，審計要求只提供合理、無重大錯誤的保證報表，審計往往是通過統(tǒng)計抽樣。也可以這樣理解審計，審計(Audit)是指檢查、驗證目標的準確性和完整性，用以檢查和防止虛假數(shù)據(jù)和欺騙行為，以及是否符合既定的標準、標竿和其它審計原則。 各國各級政府、組織一般都設(shè)有專門獨立的審計部、審計委員會、審計署等機構(gòu)。以往的審計概念主要用于財務系統(tǒng)。財務審計是用真實的和公正的財務報表來體現(xiàn)的。傳統(tǒng)的審計，主要是獲取金融體系和金融記錄的公司或企業(yè)的財務報表的相關(guān)信息。而隨著科技信息技術(shù)的發(fā)展，大部分的企業(yè)、機構(gòu)和組織的財務系統(tǒng)都運行在信息系統(tǒng)上面，所以信息手段成為財務審計的一種技術(shù)的同時，財務審計也間接帶動了通用信息系統(tǒng)的審計。

信息安全審計主要是指對系統(tǒng)中與安全有關(guān)的活動的相關(guān)信息進行識別、記錄、存儲和分析。信息安全審計的記錄用于檢查網(wǎng)絡上發(fā)生了哪些與安全有關(guān)的活動，誰（哪個用戶）對這個活動負責。

安全審計跟蹤的功能是：幫助安全人員審計系統(tǒng)的可靠性和安全性;對妨礙系統(tǒng)運行的明顯企圖及時報告給安全控制臺，及時采取措施。一般要在網(wǎng)絡系統(tǒng)中建立安全保密檢測控制中心，負責對系統(tǒng)安全的監(jiān)測、控制、處理和審計。所有的安全保密服務功能、網(wǎng)絡中的所有層次都與審計跟蹤系統(tǒng)有關(guān)。

審計跟蹤的概念及意義

審計跟蹤（Audit Trail）指按事件順序檢查、審查、檢驗其運行環(huán)境及相關(guān)事件活動的過程。審計跟蹤主要用于實現(xiàn)重現(xiàn)事件、評估損失、檢測系統(tǒng)產(chǎn)生的問題區(qū)域、提供有效的應急災難恢復、防止系統(tǒng)故障或使用不當?shù)确矫妗?

審計跟蹤作為一種安全機制，主要審計目標是：

（1）審計系統(tǒng)記錄有利于迅速發(fā)現(xiàn)系統(tǒng)問題，及時處理事故，保障系統(tǒng)運行。

（2）可發(fā)現(xiàn)試圖繞過保護機制的入侵行為或其他操作。

（3）能夠發(fā)現(xiàn)用戶的訪問權(quán)限轉(zhuǎn)移行為。

（4）制止用戶企圖繞過系統(tǒng)保護機制的操作事件。

審計跟蹤是提高系統(tǒng)安全性的重要工具。安全審計跟蹤的意義在于：

（1）利用系統(tǒng)的保護機制和策略，及時發(fā)現(xiàn)并解決系統(tǒng)問題，審計客戶行為。在電子商務中，利用審計跟蹤記錄客戶活動。包括登入、購物、付賬、送貨和售后服務等?？捎糜诳赡墚a(chǎn)生的商業(yè)糾紛。還用于公司財務審計、貸款和稅務監(jiān)查等。

（2）審計信息可以確定事件和攻擊源，用于檢查計算機犯罪。有時黑客會在其ISP的活動日志或聊天室日志中留下蛛絲馬跡，對黑客具有強大的威懾作用。

（3）通過對安全事件的不斷收集、積累和分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，以提供發(fā)現(xiàn)可能產(chǎn)生破壞性行為的有力證據(jù)。

（4）既能識別訪問系統(tǒng)的來源，又能指出系統(tǒng)狀態(tài)轉(zhuǎn)移過程。

審計跟蹤的主要問題

安全審計跟蹤主要重點考慮以下兩個方面問題：

（1）選擇記錄信息。審計記錄必須包括網(wǎng)絡系統(tǒng)中所有用戶、進程和實體獲得某一級別的安全等級的操作信息，包括用戶注冊、用戶注銷、超級用戶的訪問、各種票據(jù)的產(chǎn)生、其他訪問狀態(tài)的改變等信息，特別應當注意公共服務器上的匿名或來賓賬號的活動情況或其他可疑信息。實際上，收集的信息由站點和訪問類型不同而有所差異。通常收集的信息為：用戶名、主機名、權(quán)限的變更信息、時間戳、被訪問的對象和資源等。具體收集信息的種類和數(shù)量經(jīng)常還受限于系統(tǒng)的存儲空間等。

（2）確定審計跟蹤信息所采用的語法和語義定義。主要確定被記錄安全事件的類別（如違反安全要求的各種操作），并確定所收集的安全審計跟蹤具體信息內(nèi)容。以確保安全審計的實效，更好地發(fā)揮安全審計跟蹤的重要作用。審計是系統(tǒng)安全策略的一個重要組成部分，它貫穿整個系統(tǒng)運行過程中，覆蓋不同的安全機制，為其他安全策略的改進和完善提供了必要的信息。對安全審計的深入研究，為安全策略的完善和發(fā)展奠定重要基礎(chǔ)和依據(jù)。

為了確保審計實施的可用性和正確性，需要在保護和審查審計數(shù)據(jù)的同時，做好計劃分步實施。審計應該根據(jù)具體安全事件情況的需要進行定期審查或自動實時審查。

系統(tǒng)管理員應該根據(jù)計算機安全管理的要求確定需要維護審計數(shù)據(jù)的內(nèi)容、類型、范圍和時間等，其中包括系統(tǒng)內(nèi)保存的和歸檔保存的數(shù)據(jù)。具體實施主要包括：保護審查審計數(shù)據(jù)及審計步驟。

保護審查審計數(shù)據(jù)

1）保護審計數(shù)據(jù)

應當嚴格限制在線訪問審計日志。除了系統(tǒng)管理員用于檢查訪問之外，其他任何人員都無權(quán)訪問審計日志，更應嚴禁非法修改審計日志以確保審計跟蹤數(shù)據(jù)的完整性。

審計數(shù)據(jù)保護的常用方法是使用數(shù)據(jù)簽名和只讀設(shè)備存儲數(shù)據(jù)。采用強訪問控制是保護審計跟蹤記錄免受非法訪問的有效舉措。黑客為掩人耳目清楚痕跡，常設(shè)法修改審計跟蹤記錄，因此，必須設(shè)法嚴格保護審計跟蹤文件。

審計跟蹤信息的保密性也應進行嚴格保護，利用強訪問控制和加密技術(shù)十分有效，審計跟蹤所記錄的用戶信息非常重要，通常包含用戶及交易記錄等機密信息。

2）審查審計數(shù)據(jù)

審計跟蹤的審查與分析可分為事后檢查、定期檢查和實時檢查3種。審查人員應清楚如何發(fā)現(xiàn)異?；顒?。通過用戶識別碼、終端識別碼、應用程序名、日期時間等參數(shù)來檢索審計跟蹤記錄并生成所需的審計報告，是簡化審計數(shù)據(jù)跟蹤檢查的有效方法。

安全審計實施主要步驟

審計是一個連續(xù)不斷改進提高的過程。審計的重點是評估企業(yè)現(xiàn)行的安全政策、策略、機制和系統(tǒng)監(jiān)控情況。審計實施的主要步驟：

（1）確定安全審計。申請審計工作主要包括：審計原因、內(nèi)容、范圍、重點、必要的升級與糾正、支持數(shù)據(jù)和審計所需人才物等，并上報審批。

（2）做好審計計劃。一個詳細完備的審計計劃是實施有效審計的關(guān)鍵。包括審計內(nèi)容的詳細描述、關(guān)鍵時間、參與人員和獨立機構(gòu)等。

（3）查閱審計歷史。審計中應查閱以前的審計記錄，有助于通過對比查找安全漏洞隱患和規(guī)程，更好地采取安全防范措施。同時保管好審計相關(guān)資源和規(guī)章制度等。

（4）實施安全風險評估。審計小組制定好審計計劃，著手開始審計核心即風險評估。

（5）劃定審計范疇。審計范圍劃定對審計的開展很關(guān)鍵，范圍之間要有一些聯(lián)系，如數(shù)據(jù)中心局域網(wǎng)，或是商業(yè)相關(guān)的一些財務報表等。審計范疇的劃定有利于集中注意力在資產(chǎn)、規(guī)程和政策方面的審計。

（6）確定審計重點和步驟。各類機構(gòu)都應將主要精力放在審計的重點上。并確定具體的審計步驟和區(qū)域，避免審計的延緩或不完全，以免得出令人難以信服的結(jié)果。

（7）提出改進意見。安全審計最后應提出相應的提高安全防范的建議，便于實施。

信息安全審計師給組織帶來的價值：

1) 信息安全相應崗位人員持證上崗，滿足了政策部門的合規(guī)性要求；

2) 專業(yè)人員的職業(yè)能力提高了組織信息安全保障水平；

3) 為組織實施信息安全崗位績效考核提供了標準和依據(jù)；

4) 專業(yè)人才隊伍的培養(yǎng)和監(jiān)理，提高了組織的核心競爭力。

信息安全審計師給個人帶來的價值：

1) 國家注冊資格給您帶來更多職業(yè)選擇機會；

2) 權(quán)威認證證明您從事信息安全審計和信息系統(tǒng)審計工作的執(zhí)業(yè)能力；

3) 權(quán)威認證提升您職業(yè)選擇中的競爭力；

4) 國家注冊資格給您帶來更多晉升機會。