安全審計(jì)

安全審計(jì)涉及四個基本要素:控制目標(biāo)、安全漏洞、控制措施和控制測試。其中,控制目標(biāo)是指企業(yè)根據(jù)具體的計(jì)算機(jī)應(yīng)用,結(jié)合單位實(shí)際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易被干擾或破壞的地方?？刂拼胧┦侵钙髽I(yè)為實(shí)現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)、配置方法及各種規(guī)范制度。控制測試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較,確定各項(xiàng)控制措施是否存在、是否得到執(zhí)行、對漏洞的防范是否有效,評價企業(yè)安全措施的可依賴程度。顯然,安全審計(jì)作為一個專門的審計(jì)項(xiàng)目,要求審計(jì)人員必須具有較強(qiáng)的專業(yè)技術(shù)知識與技能。

安全審計(jì)是審計(jì)的一個組成部分。由于計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全將不僅涉及國家安危,更涉及到企業(yè)的經(jīng)濟(jì)利益。因此,我們認(rèn)為必須迅速建立起國家、社會、企業(yè)三位一體的安全審計(jì)體系。其中,國家安全審計(jì)機(jī)關(guān)應(yīng)依據(jù)國家法律,特別是針對計(jì)算機(jī)網(wǎng)絡(luò)本身的各種安全技術(shù)要求,對廣域網(wǎng)上企業(yè)的信息安全實(shí)施年審制。另外,應(yīng)該發(fā)展社會中介機(jī)構(gòu),對計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全提供審計(jì)服務(wù),它與會計(jì)師事務(wù)所、律師事務(wù)所一樣,是社會對企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全作出評價的機(jī)構(gòu)。當(dāng)企業(yè)管理當(dāng)局權(quán)衡網(wǎng)絡(luò)系統(tǒng)所帶來的潛在損失時,他們需要通過中介機(jī)構(gòu)對安全性作出檢查和評價。此外財(cái)政、財(cái)務(wù)審計(jì)也離不開網(wǎng)絡(luò)安全專家,他們對網(wǎng)絡(luò)的安全控制作出評價,幫助注冊會計(jì)師對相應(yīng)的信息處理系統(tǒng)所披露信息的真實(shí)性、可靠性作出正確判斷。

根據(jù)互聯(lián)網(wǎng)安全顧問團(tuán)主席Ira Winkler，安全審計(jì)、易損性評估以及滲透性測試是安全診斷的三種主要方式。這三個分別采用不同的方法，分別適于特定的目標(biāo)。安全審計(jì)測量信息系統(tǒng)對于一系列標(biāo)準(zhǔn)的性能。而易損性評估涉及整個信息系統(tǒng)的綜合考察以及搜索潛在的安全漏洞。滲透性測試是一種隱蔽的操作，安全專家進(jìn)行大量的攻擊來探查系統(tǒng)是否能夠經(jīng)受來自惡意黑客的同類攻擊。在滲透性測試中，偽造的攻擊可能可能包括社會工程等真正黑客可能嘗試的任何攻擊。這些方法各有其固有的能力，聯(lián)合使用兩個或者多個可能是最有效的。

審計(jì)，英文稱之為“audit”。審計(jì)執(zhí)行是以確定有效性和可靠性的信息，還提供了一個可內(nèi)控的評估系統(tǒng)。審計(jì)的目標(biāo)是在測試環(huán)境中進(jìn)行評估工作，并表達(dá)人/組織/系統(tǒng)等的評估意見。由于實(shí)際情況的限制，審計(jì)要求只提供合理、無重大錯誤的保證報(bào)表，審計(jì)往往是通過統(tǒng)計(jì)抽樣。也可以這樣理解審計(jì)，審計(jì)(Audit)是指檢查、驗(yàn)證目標(biāo)的準(zhǔn)確性和完整性，用以檢查和防止虛假數(shù)據(jù)和欺騙行為，以及是否符合既定的標(biāo)準(zhǔn)、標(biāo)竿和其它審計(jì)原則。 各國各級政府、組織一般都設(shè)有專門獨(dú)立的審計(jì)部、審計(jì)委員會、審計(jì)署等機(jī)構(gòu)。以往的審計(jì)概念主要用于財(cái)務(wù)系統(tǒng)。財(cái)務(wù)審計(jì)是用真實(shí)的和公正的財(cái)務(wù)報(bào)表來體現(xiàn)的。傳統(tǒng)的審計(jì)，主要是獲取金融體系和金融記錄的公司或企業(yè)的財(cái)務(wù)報(bào)表的相關(guān)信息。而隨著科技信息技術(shù)的發(fā)展，大部分的企業(yè)、機(jī)構(gòu)和組織的財(cái)務(wù)系統(tǒng)都運(yùn)行在信息系統(tǒng)上面，所以信息手段成為財(cái)務(wù)審計(jì)的一種技術(shù)的同時，財(cái)務(wù)審計(jì)也間接帶動了通用信息系統(tǒng)的審計(jì)。

信息安全審計(jì)主要是指對系統(tǒng)中與安全有關(guān)的活動的相關(guān)信息進(jìn)行識別、記錄、存儲和分析。信息安全審計(jì)的記錄用于檢查網(wǎng)絡(luò)上發(fā)生了哪些與安全有關(guān)的活動，誰（哪個用戶）對這個活動負(fù)責(zé)。

安全審計(jì)跟蹤的功能是：幫助安全人員審計(jì)系統(tǒng)的可靠性和安全性;對妨礙系統(tǒng)運(yùn)行的明顯企圖及時報(bào)告給安全控制臺，及時采取措施。一般要在網(wǎng)絡(luò)系統(tǒng)中建立安全保密檢測控制中心，負(fù)責(zé)對系統(tǒng)安全的監(jiān)測、控制、處理和審計(jì)。所有的安全保密服務(wù)功能、網(wǎng)絡(luò)中的所有層次都與審計(jì)跟蹤系統(tǒng)有關(guān)。

審計(jì)跟蹤的概念及意義

審計(jì)跟蹤（Audit Trail）指按事件順序檢查、審查、檢驗(yàn)其運(yùn)行環(huán)境及相關(guān)事件活動的過程。審計(jì)跟蹤主要用于實(shí)現(xiàn)重現(xiàn)事件、評估損失、檢測系統(tǒng)產(chǎn)生的問題區(qū)域、提供有效的應(yīng)急災(zāi)難恢復(fù)、防止系統(tǒng)故障或使用不當(dāng)?shù)确矫妗?

審計(jì)跟蹤作為一種安全機(jī)制，主要審計(jì)目標(biāo)是：

（1）審計(jì)系統(tǒng)記錄有利于迅速發(fā)現(xiàn)系統(tǒng)問題，及時處理事故，保障系統(tǒng)運(yùn)行。

（2）可發(fā)現(xiàn)試圖繞過保護(hù)機(jī)制的入侵行為或其他操作。

（3）能夠發(fā)現(xiàn)用戶的訪問權(quán)限轉(zhuǎn)移行為。

（4）制止用戶企圖繞過系統(tǒng)保護(hù)機(jī)制的操作事件。

審計(jì)跟蹤是提高系統(tǒng)安全性的重要工具。安全審計(jì)跟蹤的意義在于：

（1）利用系統(tǒng)的保護(hù)機(jī)制和策略，及時發(fā)現(xiàn)并解決系統(tǒng)問題，審計(jì)客戶行為。在電子商務(wù)中，利用審計(jì)跟蹤記錄客戶活動。包括登入、購物、付賬、送貨和售后服務(wù)等?？捎糜诳赡墚a(chǎn)生的商業(yè)糾紛。還用于公司財(cái)務(wù)審計(jì)、貸款和稅務(wù)監(jiān)查等。

（2）審計(jì)信息可以確定事件和攻擊源，用于檢查計(jì)算機(jī)犯罪。有時黑客會在其ISP的活動日志或聊天室日志中留下蛛絲馬跡，對黑客具有強(qiáng)大的威懾作用。

（3）通過對安全事件的不斷收集、積累和分析，有選擇性地對其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，以提供發(fā)現(xiàn)可能產(chǎn)生破壞性行為的有力證據(jù)。

（4）既能識別訪問系統(tǒng)的來源，又能指出系統(tǒng)狀態(tài)轉(zhuǎn)移過程。

審計(jì)跟蹤的主要問題

安全審計(jì)跟蹤主要重點(diǎn)考慮以下兩個方面問題：

（1）選擇記錄信息。審計(jì)記錄必須包括網(wǎng)絡(luò)系統(tǒng)中所有用戶、進(jìn)程和實(shí)體獲得某一級別的安全等級的操作信息，包括用戶注冊、用戶注銷、超級用戶的訪問、各種票據(jù)的產(chǎn)生、其他訪問狀態(tài)的改變等信息，特別應(yīng)當(dāng)注意公共服務(wù)器上的匿名或來賓賬號的活動情況或其他可疑信息。實(shí)際上，收集的信息由站點(diǎn)和訪問類型不同而有所差異。通常收集的信息為：用戶名、主機(jī)名、權(quán)限的變更信息、時間戳、被訪問的對象和資源等。具體收集信息的種類和數(shù)量經(jīng)常還受限于系統(tǒng)的存儲空間等。

（2）確定審計(jì)跟蹤信息所采用的語法和語義定義。主要確定被記錄安全事件的類別（如違反安全要求的各種操作），并確定所收集的安全審計(jì)跟蹤具體信息內(nèi)容。以確保安全審計(jì)的實(shí)效，更好地發(fā)揮安全審計(jì)跟蹤的重要作用。審計(jì)是系統(tǒng)安全策略的一個重要組成部分，它貫穿整個系統(tǒng)運(yùn)行過程中，覆蓋不同的安全機(jī)制，為其他安全策略的改進(jìn)和完善提供了必要的信息。對安全審計(jì)的深入研究，為安全策略的完善和發(fā)展奠定重要基礎(chǔ)和依據(jù)。

為了確保審計(jì)實(shí)施的可用性和正確性，需要在保護(hù)和審查審計(jì)數(shù)據(jù)的同時，做好計(jì)劃分步實(shí)施。審計(jì)應(yīng)該根據(jù)具體安全事件情況的需要進(jìn)行定期審查或自動實(shí)時審查。

系統(tǒng)管理員應(yīng)該根據(jù)計(jì)算機(jī)安全管理的要求確定需要維護(hù)審計(jì)數(shù)據(jù)的內(nèi)容、類型、范圍和時間等，其中包括系統(tǒng)內(nèi)保存的和歸檔保存的數(shù)據(jù)。具體實(shí)施主要包括：保護(hù)審查審計(jì)數(shù)據(jù)及審計(jì)步驟。

保護(hù)審查審計(jì)數(shù)據(jù)

1）保護(hù)審計(jì)數(shù)據(jù)

應(yīng)當(dāng)嚴(yán)格限制在線訪問審計(jì)日志。除了系統(tǒng)管理員用于檢查訪問之外，其他任何人員都無權(quán)訪問審計(jì)日志，更應(yīng)嚴(yán)禁非法修改審計(jì)日志以確保審計(jì)跟蹤數(shù)據(jù)的完整性。

審計(jì)數(shù)據(jù)保護(hù)的常用方法是使用數(shù)據(jù)簽名和只讀設(shè)備存儲數(shù)據(jù)。采用強(qiáng)訪問控制是保護(hù)審計(jì)跟蹤記錄免受非法訪問的有效舉措。黑客為掩人耳目清楚痕跡，常設(shè)法修改審計(jì)跟蹤記錄，因此，必須設(shè)法嚴(yán)格保護(hù)審計(jì)跟蹤文件。

審計(jì)跟蹤信息的保密性也應(yīng)進(jìn)行嚴(yán)格保護(hù)，利用強(qiáng)訪問控制和加密技術(shù)十分有效，審計(jì)跟蹤所記錄的用戶信息非常重要，通常包含用戶及交易記錄等機(jī)密信息。

2）審查審計(jì)數(shù)據(jù)

審計(jì)跟蹤的審查與分析可分為事后檢查、定期檢查和實(shí)時檢查3種。審查人員應(yīng)清楚如何發(fā)現(xiàn)異?；顒?。通過用戶識別碼、終端識別碼、應(yīng)用程序名、日期時間等參數(shù)來檢索審計(jì)跟蹤記錄并生成所需的審計(jì)報(bào)告，是簡化審計(jì)數(shù)據(jù)跟蹤檢查的有效方法。

安全審計(jì)實(shí)施主要步驟

審計(jì)是一個連續(xù)不斷改進(jìn)提高的過程。審計(jì)的重點(diǎn)是評估企業(yè)現(xiàn)行的安全政策、策略、機(jī)制和系統(tǒng)監(jiān)控情況。審計(jì)實(shí)施的主要步驟：

（1）確定安全審計(jì)。申請審計(jì)工作主要包括：審計(jì)原因、內(nèi)容、范圍、重點(diǎn)、必要的升級與糾正、支持?jǐn)?shù)據(jù)和審計(jì)所需人才物等，并上報(bào)審批。

（2）做好審計(jì)計(jì)劃。一個詳細(xì)完備的審計(jì)計(jì)劃是實(shí)施有效審計(jì)的關(guān)鍵。包括審計(jì)內(nèi)容的詳細(xì)描述、關(guān)鍵時間、參與人員和獨(dú)立機(jī)構(gòu)等。

（3）查閱審計(jì)歷史。審計(jì)中應(yīng)查閱以前的審計(jì)記錄，有助于通過對比查找安全漏洞隱患和規(guī)程，更好地采取安全防范措施。同時保管好審計(jì)相關(guān)資源和規(guī)章制度等。

（4）實(shí)施安全風(fēng)險(xiǎn)評估。審計(jì)小組制定好審計(jì)計(jì)劃，著手開始審計(jì)核心即風(fēng)險(xiǎn)評估。

（5）劃定審計(jì)范疇。審計(jì)范圍劃定對審計(jì)的開展很關(guān)鍵，范圍之間要有一些聯(lián)系，如數(shù)據(jù)中心局域網(wǎng)，或是商業(yè)相關(guān)的一些財(cái)務(wù)報(bào)表等。審計(jì)范疇的劃定有利于集中注意力在資產(chǎn)、規(guī)程和政策方面的審計(jì)。

（6）確定審計(jì)重點(diǎn)和步驟。各類機(jī)構(gòu)都應(yīng)將主要精力放在審計(jì)的重點(diǎn)上。并確定具體的審計(jì)步驟和區(qū)域，避免審計(jì)的延緩或不完全，以免得出令人難以信服的結(jié)果。

（7）提出改進(jìn)意見。安全審計(jì)最后應(yīng)提出相應(yīng)的提高安全防范的建議，便于實(shí)施。

信息安全審計(jì)師給組織帶來的價值：

1) 信息安全相應(yīng)崗位人員持證上崗，滿足了政策部門的合規(guī)性要求；

2) 專業(yè)人員的職業(yè)能力提高了組織信息安全保障水平；

3) 為組織實(shí)施信息安全崗位績效考核提供了標(biāo)準(zhǔn)和依據(jù)；

4) 專業(yè)人才隊(duì)伍的培養(yǎng)和監(jiān)理，提高了組織的核心競爭力。

信息安全審計(jì)師給個人帶來的價值：

1) 國家注冊資格給您帶來更多職業(yè)選擇機(jī)會；

2) 權(quán)威認(rèn)證證明您從事信息安全審計(jì)和信息系統(tǒng)審計(jì)工作的執(zhí)業(yè)能力；

3) 權(quán)威認(rèn)證提升您職業(yè)選擇中的競爭力；

4) 國家注冊資格給您帶來更多晉升機(jī)會。