安全審計概念

信息安全審計主要是指對系統(tǒng)中與安全有關(guān)的活動的相關(guān)信息進(jìn)行識別、記錄、存儲和分析。信息安全審計的記錄用于檢查網(wǎng)絡(luò)上發(fā)生了哪些與安全有關(guān)的活動，誰（哪個用戶）對這個活動負(fù)責(zé)。

安全審計涉及四個基本要素:控制目標(biāo)、安全漏洞、控制措施和控制測試。其中,控制目標(biāo)是指企業(yè)根據(jù)具體的計算機應(yīng)用,結(jié)合單位實際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易被干擾或破壞的地方?？刂拼胧┦侵钙髽I(yè)為實現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)、配置方法及各種規(guī)范制度。控制測試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較,確定各項控制措施是否存在、是否得到執(zhí)行、對漏洞的防范是否有效,評價企業(yè)安全措施的可依賴程度。顯然,安全審計作為一個專門的審計項目,要求審計人員必須具有較強的專業(yè)技術(shù)知識與技能。

安全審計是審計的一個組成部分。由于計算機網(wǎng)絡(luò)環(huán)境的安全將不僅涉及國家安危,更涉及到企業(yè)的經(jīng)濟利益。因此,我們認(rèn)為必須迅速建立起國家、社會、企業(yè)三位一體的安全審計體系。其中,國家安全審計機關(guān)應(yīng)依據(jù)國家法律,特別是針對計算機網(wǎng)絡(luò)本身的各種安全技術(shù)要求,對廣域網(wǎng)上企業(yè)的信息安全實施年審制。另外,應(yīng)該發(fā)展社會中介機構(gòu),對計算機網(wǎng)絡(luò)環(huán)境的安全提供審計服務(wù),它與會計師事務(wù)所、律師事務(wù)所一樣,是社會對企業(yè)的計算機網(wǎng)絡(luò)系統(tǒng)的安全作出評價的機構(gòu)。當(dāng)企業(yè)管理當(dāng)局權(quán)衡網(wǎng)絡(luò)系統(tǒng)所帶來的潛在損失時,他們需要通過中介機構(gòu)對安全性作出檢查和評價。此外財政、財務(wù)審計也離不開網(wǎng)絡(luò)安全專家,他們對網(wǎng)絡(luò)的安全控制作出評價,幫助注冊會計師對相應(yīng)的信息處理系統(tǒng)所披露信息的真實性、可靠性作出正確判斷。

根據(jù)互聯(lián)網(wǎng)安全顧問團主席Ira Winkler，安全審計、易損性評估以及滲透性測試是安全診斷的三種主要方式。這三個分別采用不同的方法，分別適于特定的目標(biāo)。安全審計測量信息系統(tǒng)對于一系列標(biāo)準(zhǔn)的性能。而易損性評估涉及整個信息系統(tǒng)的綜合考察以及搜索潛在的安全漏洞。滲透性測試是一種隱蔽的操作，安全專家進(jìn)行大量的攻擊來探查系統(tǒng)是否能夠經(jīng)受來自惡意黑客的同類攻擊。在滲透性測試中，偽造的攻擊可能可能包括社會工程等真正黑客可能嘗試的任何攻擊。這些方法各有其固有的能力，聯(lián)合使用兩個或者多個可能是最有效的。

安全審計跟蹤的功能是：幫助安全人員審計系統(tǒng)的可靠性和安全性;對妨礙系統(tǒng)運行的明顯企圖及時報告給安全控制臺，及時采取措施。一般要在網(wǎng)絡(luò)系統(tǒng)中建立安全保密檢測控制中心，負(fù)責(zé)對系統(tǒng)安全的監(jiān)測、控制、處理和審計。所有的安全保密服務(wù)功能、網(wǎng)絡(luò)中的所有層次都與審計跟蹤系統(tǒng)有關(guān)。

審計，英文稱之為“audit”。審計執(zhí)行是以確定有效性和可靠性的信息，還提供了一個可內(nèi)控的評估系統(tǒng)。審計的目標(biāo)是在測試環(huán)境中進(jìn)行評估工作，并表達(dá)人/組織/系統(tǒng)等的評估意見。由于實際情況的限制，審計要求只提供合理、無重大錯誤的保證報表，審計往往是通過統(tǒng)計抽樣。也可以這樣理解審計，審計(Audit)是指檢查、驗證目標(biāo)的準(zhǔn)確性和完整性，用以檢查和防止虛假數(shù)據(jù)和欺騙行為，以及是否符合既定的標(biāo)準(zhǔn)、標(biāo)竿和其它審計原則。 各國各級政府、組織一般都設(shè)有專門獨立的審計部、審計委員會、審計署等機構(gòu)。以往的審計概念主要用于財務(wù)系統(tǒng)。財務(wù)審計是用真實的和公正的財務(wù)報表來體現(xiàn)的。傳統(tǒng)的審計，主要是獲取金融體系和金融記錄的公司或企業(yè)的財務(wù)報表的相關(guān)信息。而隨著科技信息技術(shù)的發(fā)展，大部分的企業(yè)、機構(gòu)和組織的財務(wù)系統(tǒng)都運行在信息系統(tǒng)上面，所以信息手段成為財務(wù)審計的一種技術(shù)的同時，財務(wù)審計也間接帶動了通用信息系統(tǒng)的審計。

審計跟蹤的概念及意義

審計跟蹤（Audit Trail）指按事件順序檢查、審查、檢驗其運行環(huán)境及相關(guān)事件活動的過程。審計跟蹤主要用于實現(xiàn)重現(xiàn)事件、評估損失、檢測系統(tǒng)產(chǎn)生的問題區(qū)域、提供有效的應(yīng)急災(zāi)難恢復(fù)、防止系統(tǒng)故障或使用不當(dāng)?shù)确矫妗?

審計跟蹤作為一種安全機制，主要審計目標(biāo)是：

（1）審計系統(tǒng)記錄有利于迅速發(fā)現(xiàn)系統(tǒng)問題，及時處理事故，保障系統(tǒng)運行。

（2）可發(fā)現(xiàn)試圖繞過保護(hù)機制的入侵行為或其他操作。

（3）能夠發(fā)現(xiàn)用戶的訪問權(quán)限轉(zhuǎn)移行為。

（4）制止用戶企圖繞過系統(tǒng)保護(hù)機制的操作事件。

審計跟蹤是提高系統(tǒng)安全性的重要工具。安全審計跟蹤的意義在于：

（1）利用系統(tǒng)的保護(hù)機制和策略，及時發(fā)現(xiàn)并解決系統(tǒng)問題，審計客戶行為。在電子商務(wù)中，利用審計跟蹤記錄客戶活動。包括登入、購物、付賬、送貨和售后服務(wù)等。可用于可能產(chǎn)生的商業(yè)糾紛。還用于公司財務(wù)審計、貸款和稅務(wù)監(jiān)查等。

（2）審計信息可以確定事件和攻擊源，用于檢查計算機犯罪。有時黑客會在其ISP的活動日志或聊天室日志中留下蛛絲馬跡，對黑客具有強大的威懾作用。

（3）通過對安全事件的不斷收集、積累和分析，有選擇性地對其中的某些站點或用戶進(jìn)行審計跟蹤，以提供發(fā)現(xiàn)可能產(chǎn)生破壞性行為的有力證據(jù)。

（4）既能識別訪問系統(tǒng)的來源，又能指出系統(tǒng)狀態(tài)轉(zhuǎn)移過程。

審計跟蹤的主要問題

安全審計跟蹤主要重點考慮以下兩個方面問題：

（1）選擇記錄信息。審計記錄必須包括網(wǎng)絡(luò)系統(tǒng)中所有用戶、進(jìn)程和實體獲得某一級別的安全等級的操作信息，包括用戶注冊、用戶注銷、超級用戶的訪問、各種票據(jù)的產(chǎn)生、其他訪問狀態(tài)的改變等信息，特別應(yīng)當(dāng)注意公共服務(wù)器上的匿名或來賓賬號的活動情況或其他可疑信息。實際上，收集的信息由站點和訪問類型不同而有所差異。通常收集的信息為：用戶名、主機名、權(quán)限的變更信息、時間戳、被訪問的對象和資源等。具體收集信息的種類和數(shù)量經(jīng)常還受限于系統(tǒng)的存儲空間等。

（2）確定審計跟蹤信息所采用的語法和語義定義。主要確定被記錄安全事件的類別（如違反安全要求的各種操作），并確定所收集的安全審計跟蹤具體信息內(nèi)容。以確保安全審計的實效，更好地發(fā)揮安全審計跟蹤的重要作用。審計是系統(tǒng)安全策略的一個重要組成部分，它貫穿整個系統(tǒng)運行過程中，覆蓋不同的安全機制，為其他安全策略的改進(jìn)和完善提供了必要的信息。對安全審計的深入研究，為安全策略的完善和發(fā)展奠定重要基礎(chǔ)和依據(jù)。

為了確保審計實施的可用性和正確性，需要在保護(hù)和審查審計數(shù)據(jù)的同時，做好計劃分步實施。審計應(yīng)該根據(jù)具體安全事件情況的需要進(jìn)行定期審查或自動實時審查。

系統(tǒng)管理員應(yīng)該根據(jù)計算機安全管理的要求確定需要維護(hù)審計數(shù)據(jù)的內(nèi)容、類型、范圍和時間等，其中包括系統(tǒng)內(nèi)保存的和歸檔保存的數(shù)據(jù)。具體實施主要包括：保護(hù)審查審計數(shù)據(jù)及審計步驟。

保護(hù)審查審計數(shù)據(jù)

1）保護(hù)審計數(shù)據(jù)

應(yīng)當(dāng)嚴(yán)格限制在線訪問審計日志。除了系統(tǒng)管理員用于檢查訪問之外，其他任何人員都無權(quán)訪問審計日志，更應(yīng)嚴(yán)禁非法修改審計日志以確保審計跟蹤數(shù)據(jù)的完整性。

審計數(shù)據(jù)保護(hù)的常用方法是使用數(shù)據(jù)簽名和只讀設(shè)備存儲數(shù)據(jù)。采用強訪問控制是保護(hù)審計跟蹤記錄免受非法訪問的有效舉措。黑客為掩人耳目清楚痕跡，常設(shè)法修改審計跟蹤記錄，因此，必須設(shè)法嚴(yán)格保護(hù)審計跟蹤文件。

審計跟蹤信息的保密性也應(yīng)進(jìn)行嚴(yán)格保護(hù)，利用強訪問控制和加密技術(shù)十分有效，審計跟蹤所記錄的用戶信息非常重要，通常包含用戶及交易記錄等機密信息。

2）審查審計數(shù)據(jù)

審計跟蹤的審查與分析可分為事后檢查、定期檢查和實時檢查3種。審查人員應(yīng)清楚如何發(fā)現(xiàn)異?；顒印Ｍㄟ^用戶識別碼、終端識別碼、應(yīng)用程序名、日期時間等參數(shù)來檢索審計跟蹤記錄并生成所需的審計報告，是簡化審計數(shù)據(jù)跟蹤檢查的有效方法。

安全審計實施主要步驟

審計是一個連續(xù)不斷改進(jìn)提高的過程。審計的重點是評估企業(yè)現(xiàn)行的安全政策、策略、機制和系統(tǒng)監(jiān)控情況。審計實施的主要步驟：

（1）確定安全審計。申請審計工作主要包括：審計原因、內(nèi)容、范圍、重點、必要的升級與糾正、支持?jǐn)?shù)據(jù)和審計所需人才物等，并上報審批。

（2）做好審計計劃。一個詳細(xì)完備的審計計劃是實施有效審計的關(guān)鍵。包括審計內(nèi)容的詳細(xì)描述、關(guān)鍵時間、參與人員和獨立機構(gòu)等。

（3）查閱審計歷史。審計中應(yīng)查閱以前的審計記錄，有助于通過對比查找安全漏洞隱患和規(guī)程，更好地采取安全防范措施。同時保管好審計相關(guān)資源和規(guī)章制度等。

（4）實施安全風(fēng)險評估。審計小組制定好審計計劃，著手開始審計核心即風(fēng)險評估。

（5）劃定審計范疇。審計范圍劃定對審計的開展很關(guān)鍵，范圍之間要有一些聯(lián)系，如數(shù)據(jù)中心局域網(wǎng)，或是商業(yè)相關(guān)的一些財務(wù)報表等。審計范疇的劃定有利于集中注意力在資產(chǎn)、規(guī)程和政策方面的審計。

（6）確定審計重點和步驟。各類機構(gòu)都應(yīng)將主要精力放在審計的重點上。并確定具體的審計步驟和區(qū)域，避免審計的延緩或不完全，以免得出令人難以信服的結(jié)果。

（7）提出改進(jìn)意見。安全審計最后應(yīng)提出相應(yīng)的提高安全防范的建議，便于實施。

信息安全審計師給組織帶來的價值：

1) 信息安全相應(yīng)崗位人員持證上崗，滿足了政策部門的合規(guī)性要求；

2) 專業(yè)人員的職業(yè)能力提高了組織信息安全保障水平；

3) 為組織實施信息安全崗位績效考核提供了標(biāo)準(zhǔn)和依據(jù)；

4) 專業(yè)人才隊伍的培養(yǎng)和監(jiān)理，提高了組織的核心競爭力。

信息安全審計師給個人帶來的價值：

1) 國家注冊資格給您帶來更多職業(yè)選擇機會；

2) 權(quán)威認(rèn)證證明您從事信息安全審計和信息系統(tǒng)審計工作的執(zhí)業(yè)能力；

3) 權(quán)威認(rèn)證提升您職業(yè)選擇中的競爭力；

4) 國家注冊資格給您帶來更多晉升機會。