安全審計服務(wù)規(guī)范精選(五篇)

發(fā)布時間：2023-10-08 10:04:14

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇安全審計服務(wù)規(guī)范，期待它們能激發(fā)您的靈感。

安全審計服務(wù)規(guī)范

篇1

電子業(yè)務(wù)系統(tǒng)安全審計體系的研究與建設(shè)

結(jié)合山東局綜合管理體系建設(shè)要求，首先，對各業(yè)務(wù)系統(tǒng)從管理者和使用者兩個層面明確職責(zé)，規(guī)定相應(yīng)的口令管理制度、授權(quán)管理制度、系統(tǒng)操作規(guī)程（作業(yè)指導(dǎo)書）等業(yè)務(wù)系統(tǒng)運行規(guī)章制度及有關(guān)記錄表格。二是，針對各業(yè)務(wù)系統(tǒng)制定安全審計規(guī)范，利用內(nèi)部審計及外部審計來評估業(yè)務(wù)系統(tǒng)安全漏洞，規(guī)劃審計策略，明確審計目標(biāo)，確定日常安全審計及集中安全審計任務(wù)和手段，并對審計結(jié)果進(jìn)行評估分析，制定糾正措施。三是，結(jié)合山東局績效考核管理辦法，將安全審計結(jié)果納入績效考核，已達(dá)到從制度上約束行為的目的。各電子業(yè)務(wù)系統(tǒng)的開發(fā)應(yīng)按照我們制定的安全審計規(guī)范要求建立安全審計模塊，每個用戶登錄系統(tǒng)、進(jìn)入應(yīng)用，一直到使用各個應(yīng)用模塊都可以進(jìn)行訪問日志記錄，安全審計模塊可以調(diào)用日志SDK的API，根據(jù)應(yīng)用規(guī)則來記錄各種日志。日志可以是分為安全日志、系統(tǒng)日志、數(shù)據(jù)變更日志等等可以由系統(tǒng)安全管理人員隨時調(diào)閱，以達(dá)到安全審計的目的。針對業(yè)務(wù)系統(tǒng)具體環(huán)節(jié)分析風(fēng)險點，根據(jù)制定的安全控制規(guī)范，應(yīng)用于各電子業(yè)務(wù)系統(tǒng)，開發(fā)安全審計系統(tǒng)，進(jìn)行風(fēng)險布控、監(jiān)控設(shè)定、自動預(yù)警與自動核查，對業(yè)務(wù)系統(tǒng)全過程監(jiān)控。由于目前業(yè)務(wù)系統(tǒng)數(shù)量眾多，數(shù)據(jù)處理不同，進(jìn)行安全審計系統(tǒng)開發(fā)時需針對各業(yè)務(wù)系統(tǒng)進(jìn)行分析歸納，特別是CIQ2000綜合業(yè)務(wù)管理系統(tǒng)作為檢驗檢疫電子業(yè)務(wù)的主干系統(tǒng)，數(shù)據(jù)處理過程的質(zhì)量決定著業(yè)務(wù)工作的質(zhì)量，我們首先從CIQ2000業(yè)務(wù)管理系統(tǒng)入手試點，對CIQ2000綜合業(yè)務(wù)管理系統(tǒng)實施全過程監(jiān)控，監(jiān)控賬戶的合法性、權(quán)限的合理性、登錄及操作行為的可追溯性、數(shù)據(jù)修改的安全性等，對用戶行為實施有效監(jiān)督、約束，規(guī)范行為，保證工作質(zhì)量。對CIQ2000綜合業(yè)務(wù)系統(tǒng)進(jìn)行安全審計主要分以下幾方面:1）用戶操作行為日志審查常規(guī)監(jiān)測及時收集和分析CIQ2000系統(tǒng)本身提供的系統(tǒng)登錄、業(yè)務(wù)操作、流程控制、權(quán)限等信息，通過設(shè)定邏輯嚴(yán)密、科學(xué)合理的審計規(guī)則，根據(jù)用戶登錄時間、狀態(tài)和業(yè)務(wù)操作記錄等數(shù)據(jù)，發(fā)現(xiàn)異常登錄和非法操作，在系統(tǒng)界面進(jìn)行展示，并形成報表。特殊監(jiān)測根據(jù)業(yè)務(wù)和系統(tǒng)管理需要，對特殊時間段、特殊業(yè)務(wù)操作進(jìn)行特殊監(jiān)測，通過觸發(fā)器收集關(guān)鍵業(yè)務(wù)對象、關(guān)鍵數(shù)據(jù)的變更情況，記錄操作人的登錄信息和操作信息。如對關(guān)鍵業(yè)務(wù)數(shù)據(jù)的操作及修改過程（如計收費數(shù)據(jù)的修改、不合格結(jié)果登記修改為合格結(jié)果登記、未經(jīng)檢務(wù)操作擅自添加證書、攔截數(shù)據(jù)人工干預(yù)放行等）進(jìn)行過程記錄。2）用戶密碼審查根據(jù)制訂的密碼審計規(guī)則，自動檢查指定機構(gòu)下的用戶及密碼，查找密碼為空或者密碼設(shè)置不符合安全規(guī)范的用戶，在系統(tǒng)界面展示并可形成報表。3）重復(fù)用戶檢查根據(jù)同一用戶在統(tǒng)一機構(gòu)下不得同時擁有兩個可以同時使用的用戶賬號原則，自動檢查指定機構(gòu)下的用戶，檢查是否在同一機構(gòu)具有同時在崗的重名用戶。4）用戶權(quán)限檢查自動檢查指定機構(gòu)下的用戶及使用權(quán)限，查找具有分配全業(yè)務(wù)流程的用戶，也可查找具有指定權(quán)限的用戶。5）安全事件警告根據(jù)對業(yè)務(wù)系統(tǒng)各關(guān)鍵環(huán)節(jié)和關(guān)鍵對象數(shù)據(jù)的采集和分析，對可能存在信息安全隱患的環(huán)節(jié)給予相應(yīng)級別的告警。告警方式包括：界面查看、短信預(yù)警、郵件預(yù)警。6）系統(tǒng)服務(wù)用戶管理選項設(shè)置安全審計告警策略安全事件確認(rèn)審計對象配置助手對于以上審計內(nèi)容，通過布控，可以實現(xiàn)實時監(jiān)控，發(fā)現(xiàn)違規(guī)操作及時報警，也可以進(jìn)行統(tǒng)計查詢、數(shù)據(jù)分析，防患于未然。通過安全審計系統(tǒng)的運行，特別是對CIQ2000綜合業(yè)務(wù)管理系統(tǒng)的安全審計，發(fā)現(xiàn)高風(fēng)險監(jiān)控點，進(jìn)一步對體系進(jìn)行驗證完善，通過兩方面的互補，保證業(yè)務(wù)系統(tǒng)的安全合規(guī)運行。通過以上步驟，制定我局電子業(yè)務(wù)系統(tǒng)安全審計規(guī)范并正式下發(fā)執(zhí)行，建立檢驗檢疫電子業(yè)務(wù)系統(tǒng)安全審計體系。并通過CIQ2000綜合業(yè)務(wù)安全審計系統(tǒng)應(yīng)用實例進(jìn)行驗證優(yōu)化，并以此成功案例進(jìn)行推廣、全面開展對山東局電子業(yè)務(wù)安全審計系統(tǒng)的建設(shè)與發(fā)展。

電子業(yè)務(wù)系統(tǒng)安全審計體系研究技術(shù)方面

電子業(yè)務(wù)安全審計系統(tǒng)建設(shè)技術(shù)方面1）使用統(tǒng)一開發(fā)平臺的UIP-SDP框架開發(fā)。該框架提供輕量級的框架，框架遵照MVC的通用設(shè)計模式；采用面向服務(wù)體系結(jié)構(gòu)(SOA)及組件化的設(shè)計思想，便于系統(tǒng)的復(fù)用和集成；包含大量公共的、實用性的組件和控件，并且提供了一般業(yè)務(wù)系統(tǒng)底層的最基本模塊，可以輕松集成到業(yè)務(wù)系統(tǒng)之中。2）框架提供了通用的前后臺校驗機制、統(tǒng)一的分頁處理、基于AJAX的局部刷新功能、多文件上載的功能、基于數(shù)字證書的認(rèn)證方式、靈活、實用的規(guī)則引擎、基于配置的任務(wù)調(diào)度功能、基于配置的事務(wù)處理、統(tǒng)一的日志管理、方便快捷的單元測試、子模塊基于XML的單獨配置3）系統(tǒng)由數(shù)據(jù)采集層、事件管理層、運行管理層構(gòu)成。山東檢驗檢疫電子業(yè)務(wù)系統(tǒng)安全審計體系（圖略）。電子業(yè)務(wù)安全審計系統(tǒng)建設(shè)技術(shù)規(guī)范方面采用標(biāo)準(zhǔn)的Linux、Unix操作系統(tǒng)建立基礎(chǔ)平臺采用統(tǒng)一的Oracle數(shù)據(jù)庫建立數(shù)據(jù)中心平臺采用先進(jìn)的軟件工程設(shè)計方法，滿足系統(tǒng)的先進(jìn)性、可靠性、可伸縮性、可擴(kuò)展性復(fù)雜的商業(yè)規(guī)則的實現(xiàn)集中由應(yīng)用服務(wù)器實現(xiàn)，可隨業(yè)務(wù)量增長而輕松擴(kuò)展采用流行的B/S架構(gòu)，實現(xiàn)零客戶端采用先進(jìn)AJAX、WebService技術(shù)采用XML技術(shù)，規(guī)范信息交換格式和數(shù)據(jù)交換流程采用統(tǒng)一的消息中間件實現(xiàn)數(shù)據(jù)交換可以采用CA認(rèn)證及SSL128位加密技術(shù)，確保通訊的安全性4結(jié)論通過建設(shè)安全審計體系建設(shè)，可以從制度上規(guī)范行為；審計系統(tǒng)的開發(fā)運行可以利用技術(shù)手段實現(xiàn)業(yè)務(wù)監(jiān)控、工作質(zhì)量稽查及用戶行為審計，自動查找違規(guī)現(xiàn)象，及時通知相關(guān)單位整改，以查促管，防患于未然；審計的結(jié)果反過來促進(jìn)制度的建設(shè)，最終保證檢驗檢疫業(yè)務(wù)的正常運轉(zhuǎn)。

作者：田建榮宋琳琳陳鵬王宏志郭曙超單位：山東出入境檢驗檢疫局

篇2

據(jù)電子政務(wù)的有關(guān)安全調(diào)查統(tǒng)計:11%的安全問題導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)破壞，14%的安全問題導(dǎo)致數(shù)據(jù)失密。從惡意攻擊的特點來看，美國FBI統(tǒng)計的結(jié)果是65%的攻擊來自網(wǎng)絡(luò)系統(tǒng)內(nèi)部。

安全設(shè)計本身的不完備性也往往構(gòu)成網(wǎng)絡(luò)新的安全風(fēng)險。新的風(fēng)險點、新的漏洞被發(fā)現(xiàn)、新的攻擊技術(shù)手段被利用等管理安全問題會隨時出現(xiàn)。所以，安全管理要求考慮網(wǎng)絡(luò)系統(tǒng)的安全配置、正常運行、安全操作、應(yīng)急響應(yīng)等一系列問題，而解決這些問題的一個關(guān)鍵技術(shù)就是對電子政務(wù)系統(tǒng)的安全審計。

電子政務(wù)的安全管理可以通過安全評估、安全政策、安全標(biāo)準(zhǔn)、安全審計等四個環(huán)節(jié)來加以規(guī)范并進(jìn)而實現(xiàn)有效的管理。目前，安全審計已經(jīng)成為電子政務(wù)系統(tǒng)中的重要環(huán)節(jié)。早在2002年，安全審計已被正式定為電子政務(wù)建設(shè)十大標(biāo)準(zhǔn)之一。

雖然很多的國際規(guī)范以及國內(nèi)對重要網(wǎng)絡(luò)的安全規(guī)定中都將安全審計放在重要的位置，然而大部分的用戶和專家對安全審計這個概念的理解不統(tǒng)一，都認(rèn)為是“日志記錄”的功能。如果僅僅是日志功能就滿足安全審計的需求，那么目前絕大部分的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)管系統(tǒng)都有不同程度的日志功能，大多數(shù)的網(wǎng)絡(luò)系統(tǒng)都滿足了安全審計的需求。但是實際上這些日志根本不能保障系統(tǒng)的安全，而且也無法滿足事后的偵察和取證應(yīng)用。安全審計并非日志功能的簡單改進(jìn)也并非等同入侵檢測。

那么，電子政務(wù)的安全審計如何實施呢，現(xiàn)在的安全工程可要求從四個方面來把握。

首先，要把握和控制好數(shù)據(jù)的來源，比如來自網(wǎng)絡(luò)數(shù)據(jù)截獲;來自系統(tǒng)、網(wǎng)絡(luò)、防火墻、中間件等系統(tǒng)的日志;嵌入模塊，主動收集系統(tǒng)內(nèi)部事件;通過網(wǎng)絡(luò)主動訪問，獲取信息;來自應(yīng)用系統(tǒng)、安全系統(tǒng)等。有數(shù)據(jù)源的要積極獲取，無數(shù)據(jù)源的要設(shè)法生成數(shù)據(jù)。對收集數(shù)據(jù)的性質(zhì)也要分已經(jīng)經(jīng)過分析和判斷的數(shù)據(jù)和未分析的原始數(shù)據(jù)不同處理。另外，內(nèi)部數(shù)據(jù)要通過轉(zhuǎn)換形成統(tǒng)一的表示規(guī)范。

其次，分析機制需要具備評判異常、違規(guī)的依據(jù)，與安全策略相關(guān)。分為實時分析和事后分析。實時分析:提供或獲取數(shù)據(jù)的設(shè)備/軟件具備預(yù)分析能力，并能夠進(jìn)行第一道篩選。事后分析:維護(hù)審計數(shù)據(jù)的機構(gòu)對審計記錄的事后分析，包括統(tǒng)計分析和數(shù)據(jù)挖掘。

篇3

根據(jù)相關(guān)統(tǒng)計機構(gòu)提供的數(shù)據(jù)，目前有60%以上的網(wǎng)絡(luò)人侵和破壞是來自網(wǎng)絡(luò)內(nèi)部的，因為網(wǎng)絡(luò)內(nèi)部的人員對于自己的網(wǎng)絡(luò)更加熟悉，而且有一定的授權(quán)，掌握一定的密碼，又位于防火墻的后端，進(jìn)行入侵或破壞更加得心應(yīng)手。一個內(nèi)部人員不必掌握很多黑客技術(shù)就能夠?qū)ο到y(tǒng)造成重大的損失。因此信息安全審計的功能越發(fā)受到重視。

對于一個信息系統(tǒng)而言，信息安全審計究竟要實現(xiàn)怎樣的功能,要實現(xiàn)到怎樣的程度，目前大多數(shù)的單位并未真正理解,不少單位對于信息安全審計的認(rèn)識還停留在日志記錄的層次。一些信息安全測評認(rèn)證標(biāo)準(zhǔn)可以為我們提供一定的借鑒。

1998年，國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)發(fā)表了《信息技術(shù)安全性評估通用準(zhǔn)則2.0版》(IS0/IEC15408),簡稱CC準(zhǔn)則或CC標(biāo)準(zhǔn)。CC準(zhǔn)則是信息技術(shù)安全性通用評估準(zhǔn)則,用來評估信息系統(tǒng)或者信息產(chǎn)品的安全性。在CC準(zhǔn)則中，對網(wǎng)絡(luò)安全審計定義了一套完整的功能，如:安全審計自動響應(yīng)、安全審計事件生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。

TCSEC(TrustedComputerSystemEvaluationCriteria)準(zhǔn)則俗稱橙皮書，是美國國防部的一個準(zhǔn)則,用于評估自動信息數(shù)據(jù)處理系統(tǒng)產(chǎn)品的安全措施的有效性。它定義了一些基本的安全需求，如:policy、accountability、assurance等。accountability提出了“安全審計”的基本要求，包括：審計信息必須被有選擇地保留和保護(hù)，與安全有關(guān)的活動能夠被追溯到負(fù)責(zé)方，系統(tǒng)應(yīng)能夠選擇記錄與安全有關(guān)的信息，以便將審計的開銷降到最小，并可以進(jìn)行有效的分析。

計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則中，定義了五個級別:第一級:用戶自主保護(hù)級;第二級:系統(tǒng)審計保護(hù)級;第三級：安全標(biāo)記保護(hù)級;第四級:結(jié)構(gòu)化保護(hù)級;第五級:訪問驗證保護(hù)級。從第二個級別開始就需要基本的審計功能，越高的級別對于審計的要求也越高。第二級別的審計要求就包括:計算機信息系統(tǒng)可信計算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計跟蹤記錄，并能阻止非授權(quán)的用戶對它訪問或破壞。

具體來說，計算機信息系統(tǒng)可信計算基應(yīng)能記錄下述事件：使用身份鑒別機制;將客體引人用戶地址空間(例如:打開文件、程序初始化);刪除客體;由操作員、系統(tǒng)管理員或系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)安全有關(guān)的事件。對于每一事件，其審計記錄包括:事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件，審計記錄包含請求的來源(例如：終端標(biāo)識符);對于客體引人用戶地址空間的事件及客體刪除事件,審計記錄包含客體名。對不能由計算機信息系統(tǒng)可信計算基獨立分辨的審計事件,審計機制提供審計記錄接口，可由授權(quán)主體調(diào)用。

從上面可以看出，很多的國際規(guī)范以及國內(nèi)的安全規(guī)定中都將安全審計放在重要的位置，而安全審計并不像許多用戶所理解的只是“日志記錄”的功能。目前絕大部分的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)管系統(tǒng)都有不同程度的日志記錄功能，但是實際上這些日志并不能保障系統(tǒng)的安全，也無法滿足事件的偵察和取證應(yīng)用。各類測評認(rèn)證標(biāo)準(zhǔn)為我們實現(xiàn)完整的信息安全審計提供了指導(dǎo)，但是如何建設(shè)審計系統(tǒng)則需要在這些原則的指導(dǎo)下，具體問題具體分析,根據(jù)系統(tǒng)狀況、自身安全需求以及當(dāng)前技術(shù)的支持程度來定制審計系統(tǒng)。

2重要領(lǐng)域信息系統(tǒng)面臨的安全挑戰(zhàn)

隨著信息技術(shù)的迅速發(fā)展，許多單位和部門對信息系統(tǒng)的依賴性日益嚴(yán)重,尤其是一些重要領(lǐng)域(如電子政務(wù)、金融、證券等)的信息系統(tǒng)，一旦出現(xiàn)問題將帶來巨大的損失。重要領(lǐng)域的信息系統(tǒng)將面臨來自外部或內(nèi)部的各種攻擊,包括基于偵聽、截獲、竊取、破譯、業(yè)務(wù)流量分析、電磁信息提取等技術(shù)的被動攻擊和基于修改、偽造、破壞、冒充、病毒擴(kuò)散等技術(shù)的主動攻擊。

信息系統(tǒng)面臨的安全威脅來自多個方面。首先，目前大部分信息系統(tǒng)選用的系統(tǒng)本身存在著安全隱患，如網(wǎng)絡(luò)硬件設(shè)備(服務(wù)器、網(wǎng)絡(luò)設(shè)備等)和操作平臺(操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、通用軟件系統(tǒng)等)存在弱點和漏洞。應(yīng)用軟件系統(tǒng)的脆弱性、應(yīng)用系統(tǒng)的BUG、代碼錯誤、不安全代碼的執(zhí)行模式、不安全設(shè)計、網(wǎng)絡(luò)的脆弱性、網(wǎng)絡(luò)協(xié)議的開放性(TCP/IP協(xié)議棧)、系統(tǒng)的相互依賴性都會導(dǎo)致網(wǎng)絡(luò)的安全風(fēng)險。此外，安全設(shè)計本身的不完備性、網(wǎng)絡(luò)安全管理人員對系統(tǒng)漏洞的置若罔聞都會使攻擊行為得以成功。因此，信息系統(tǒng)的安全方案中要綜合考慮網(wǎng)絡(luò)系統(tǒng)的安全配置、正常運行、安全操作、應(yīng)急響應(yīng)、安全審計等問題。

3重要領(lǐng)域信息系統(tǒng)中的信息安全審計需求

在重要領(lǐng)域信息系統(tǒng)的眾多安全問題中，內(nèi)部的安全違規(guī)問題尤其值得重視。內(nèi)部人員違規(guī)一般有兩種形式:一種是內(nèi)部人員的違規(guī)操作，造成的后果是影響系統(tǒng)的安全;另一種是有目的地竊取資源。

最近幾年網(wǎng)絡(luò)安全領(lǐng)域主要強調(diào)的是如何防范外部人侵，如怎么建網(wǎng)關(guān)、建防火墻、實現(xiàn)內(nèi)外網(wǎng)的物理隔離等，但是堡壘最容易從內(nèi)部攻破，信息最容易從內(nèi)部丟失。解決內(nèi)部人員違規(guī)的一個重要手段是對重要領(lǐng)域信息系統(tǒng)實行高強度的安全審計。所謂的強審計不是簡單的“日志記錄“,而是增強的、全方位、多層次、分布式的安全審計,覆蓋網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、各類應(yīng)用系統(tǒng)(如\^1)、￡-11^1、]\(^￡3^(;11&1^、081^)等,對各種未授權(quán)或非法的活動實時報警、阻斷等。

安全強審計與一般的安全審計相比在以下幾個方面得到增強:信息收集能力;信息分析能力;適應(yīng)性;防繞過特性;信息保護(hù)特性;審計深度和針對性;規(guī)范化、標(biāo)準(zhǔn)化和開放性。

在重要領(lǐng)域信息系統(tǒng)中，信息安全審計的重點如下：

(1)網(wǎng)絡(luò)通信系統(tǒng)

重要領(lǐng)域信息系統(tǒng)的普遍特點是網(wǎng)絡(luò)流量一般不是很高，但是網(wǎng)上傳輸?shù)目赡苁菣C密或敏感的信息，因此除了需要具備一般企業(yè)內(nèi)部網(wǎng)所需要的人侵檢測功能之外，還需要具備以下審計功能，以發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)上的違規(guī)行為:對網(wǎng)絡(luò)流量中典型協(xié)議分析、識別、判斷和記錄;對了61賊、1111?、￡-11^1、1^?、網(wǎng)上聊天、文件共享操作的還原和記錄;對網(wǎng)絡(luò)流量進(jìn)行監(jiān)測以及對異常流量的識別和報警;對網(wǎng)絡(luò)設(shè)備運行進(jìn)行持續(xù)的監(jiān)測。

⑵重要服務(wù)器

重要領(lǐng)域信息系統(tǒng)中，重要服務(wù)器是信息的集中點,需要對其進(jìn)行增強的審計，以保護(hù)信息資源，對以下事件的審計是最基礎(chǔ)的安全審計功能:服務(wù)器系統(tǒng)啟動、運行情況;管理員登錄、操作情況;系統(tǒng)配置更改(如注冊表、配置文件、用戶系統(tǒng)等);病毒或蠕蟲感染情況;資源消耗情況;硬盤、CPU、內(nèi)存、網(wǎng)絡(luò)負(fù)載、進(jìn)程等;操作系統(tǒng)安全日志;系統(tǒng)內(nèi)部事件;對重要文件的訪問。

(3)應(yīng)用平臺

僅僅對服務(wù)器系統(tǒng)層次的審計還是不夠的，因為目前大量重要領(lǐng)域信息系統(tǒng)的應(yīng)用平臺在權(quán)限控制方面還有一定的缺陷，因此存在通過應(yīng)用平臺進(jìn)行違規(guī)操作的可能性，例如:直接操作數(shù)據(jù)庫的行為。因此，應(yīng)用平臺層次的安全審計也是必須的，審計內(nèi)容包括:重要應(yīng)用平臺進(jìn)程的運行;Web服務(wù)器、Mail服務(wù)器、Lotus、Exchange服務(wù)器、中間件系統(tǒng);各個平臺的健康狀況;重要數(shù)據(jù)庫的操作;數(shù)據(jù)庫的進(jìn)程;繞過應(yīng)用軟件直接操作數(shù)據(jù)庫的違規(guī)訪問行為;數(shù)據(jù)庫配置的更改操作;數(shù)據(jù)備份操作和其他維護(hù)管理操作;對重要數(shù)據(jù)的訪問和更改操作。

(4)重要應(yīng)用系統(tǒng)

由于不少重要領(lǐng)域信息系統(tǒng)中已經(jīng)建立了一系列的應(yīng)用業(yè)務(wù)系統(tǒng)，因此對于一般的操作人員來說，業(yè)務(wù)系統(tǒng)是最主要的人機界面，對于有高安全需求的重要領(lǐng)域信息系統(tǒng)來說，還需要加強應(yīng)用系統(tǒng)層次的審計。如對于電子政務(wù)系統(tǒng)，針對以下應(yīng)用系統(tǒng)的審計是最基本的:辦公自動化系統(tǒng)、公文流轉(zhuǎn)和操作、網(wǎng)站系統(tǒng)、相關(guān)政務(wù)業(yè)務(wù)系統(tǒng)。

⑶重要網(wǎng)絡(luò)區(qū)域的客戶機

在一般的信息系統(tǒng)中，對客戶機的審計通常不是必要的。但是對于一些安全級別較高的信息系統(tǒng)的重要網(wǎng)絡(luò)區(qū)域，針對客戶機的審計還是必要的，主要審計以下內(nèi)容:病毒感染情況;通過網(wǎng)絡(luò)進(jìn)行的文件共享操作;文件拷貝、打印操作;通過Modem擅自連接外網(wǎng)的情況;非業(yè)務(wù)異常軟件的安裝和運行。

重要領(lǐng)域信息系統(tǒng)中的安全審計系統(tǒng)建設(shè)的要點

在重要領(lǐng)域信息系統(tǒng)中，一個較為全面的審計系統(tǒng)需要關(guān)注以下幾點：

(1)數(shù)據(jù)的來源

審計系統(tǒng)如何獲取所需的數(shù)據(jù)通常是最關(guān)鍵的，數(shù)據(jù)一般來源于以下幾種方式:來自網(wǎng)絡(luò)數(shù)據(jù)截獲，如各類網(wǎng)絡(luò)監(jiān)聽型的人侵檢測和審計系統(tǒng);來自系統(tǒng)、網(wǎng)絡(luò)、防火墻、中間件等系統(tǒng)的日志(通常通過文件、syslog、SNMP、OPSE等機制獲取日志);通過嵌入模塊，主動收集系統(tǒng)內(nèi)部事件;通過網(wǎng)絡(luò)主動訪問，獲取信息(如掃描,HTTP訪問等);來自應(yīng)用系統(tǒng)、安全系統(tǒng)的審計接口。

在重要領(lǐng)域信息系統(tǒng)中的安全審計系統(tǒng)的建設(shè)中，尤其需要考慮強制獲取數(shù)據(jù)的機制，即:有數(shù)據(jù)源的，通過審計系統(tǒng)來獲取;無數(shù)據(jù)源的，要設(shè)法生成數(shù)據(jù)，進(jìn)行審計。這也是強審計和一般的日志收集系統(tǒng)的區(qū)別之一。目前，各類wrapper技術(shù)是強制生成審計數(shù)據(jù)源的有效手段之一。

另外，在數(shù)據(jù)源方面，還需要關(guān)注所收集數(shù)據(jù)的性質(zhì)，有些數(shù)據(jù)是已經(jīng)經(jīng)過分析和判斷的數(shù)據(jù)，有些數(shù)據(jù)是未分析的原始數(shù)據(jù),不同的數(shù)據(jù)要采用不同的處理機制。此外在很多系統(tǒng)中可能需要根據(jù)實際情況定制數(shù)據(jù)轉(zhuǎn)化的功能。

(2)審計系統(tǒng)的分析機制

審計系統(tǒng)需具備評判異常、違規(guī)的能力，一個沒有分析機制的審計系統(tǒng)雖然理論上可以獲取和記錄所有的信息，但實際上在需要多層次審計的環(huán)境中是不能發(fā)揮作用的。審計系統(tǒng)的分析機制通常包括:實時分析，提供或獲取數(shù)據(jù)的設(shè)備/軟件應(yīng)具備預(yù)分析能力，并能夠進(jìn)行第一道篩選;事后分析，維護(hù)審計數(shù)據(jù)的機構(gòu)對審計記錄的事后分析,事后分析通常包括統(tǒng)計分析和數(shù)據(jù)挖掘兩種技術(shù)。對于重要領(lǐng)域的信息系統(tǒng)來說,兩方面的分析機制都是需要的，一般情況下審計系統(tǒng)都應(yīng)具備實時分析能力，如果條件允許,也應(yīng)具備事后分析的能力。

⑶與原有系統(tǒng)的關(guān)系

通常一般企業(yè)構(gòu)建安全審計系統(tǒng)時，僅僅采用一些入侵檢測系統(tǒng)就滿足需求了，與原有系統(tǒng)關(guān)系不大。但是在重要領(lǐng)域信息系統(tǒng)中，需要實現(xiàn)多層次多角度的安全強審計，因此審計系統(tǒng)必然和原有的系統(tǒng)有一定的關(guān)系。通常，審計系統(tǒng)與原有系統(tǒng)的關(guān)系包括：完全透明型，原有系統(tǒng)根本察覺不到審計系統(tǒng)的存在;松散嵌入型，基本上不改變原有系統(tǒng);緊密嵌人型，需要原有系統(tǒng)的平臺層和部分應(yīng)用做出較大改變;一體化設(shè)計，系統(tǒng)設(shè)計之初就考慮審計功能，所有模塊都有與審計系統(tǒng)的接口。

如何在實現(xiàn)審計的同時確保原有系統(tǒng)的正常運轉(zhuǎn)是審計系統(tǒng)構(gòu)建的關(guān)鍵，要盡量做到最小修改和影響系統(tǒng)性能最小。

(4)如何保證審計功能不被繞過

有了安全審計的措施，必然會有各類繞過審計系統(tǒng)的手段。而在重要領(lǐng)域的信息系統(tǒng)中，審計系統(tǒng)如果被輕易繞過將導(dǎo)致嚴(yán)重的后果。所以在建設(shè)審計系統(tǒng)時，需要充分考慮審計系統(tǒng)的防繞特性。通常可以采用以下手段增強審計系統(tǒng)的防繞性:通過技術(shù)手段保證的強制審計，如網(wǎng)絡(luò)監(jiān)聽和wrapper機制;通過不同審計數(shù)據(jù)的相互印證,發(fā)現(xiàn)繞過審計系統(tǒng)的行為;通過對審計記錄的一致性檢查，發(fā)現(xiàn)繞過審計系統(tǒng)的行為;采用相應(yīng)的管理手段，從多角度保證審計措施的有力貫徹。

(5)對審計數(shù)據(jù)的有效利用

如果光建立一個審計系統(tǒng)，而缺乏對審計數(shù)據(jù)的深度利用將無法發(fā)揮審計系統(tǒng)的作用。可以考慮以下的措施:根據(jù)需求，進(jìn)行二次開發(fā)，對審計數(shù)據(jù)進(jìn)行深人的再分析，可以充分利用成熟的分析系統(tǒng)，實現(xiàn)關(guān)聯(lián)分析、異常點分析、宏觀決策支持等高層審計功能;對審計系統(tǒng)中安全事件建立相應(yīng)的處理流程，并加強對事件處理的審計與評估;根據(jù)審計數(shù)據(jù)，對不同的安全部件建立有效的響應(yīng)與聯(lián)動措施;針對審計記錄，有目的地進(jìn)行應(yīng)急處理以及預(yù)案和演習(xí);建立相應(yīng)的管理機制，實現(xiàn)技術(shù)和管理的有機結(jié)合。

篇4

論文摘要：本文強調(diào)審計工作的安全、高效和信息化，從審計工作的現(xiàn)狀、發(fā)展瓶頸到信息化審計的制度健全、引入主機系統(tǒng)安全審計、業(yè)務(wù)系統(tǒng)安全審計等相關(guān)管理辦法、新技術(shù)或新理念和待解決的問題等方面，論述構(gòu)建安全高效的審計信息化安全保障體系的措施。

審計是客觀評價個人，組織、制度、程序、項目或產(chǎn)品。審計執(zhí)行是以確定有效性和可靠性的信息，還提供了一個可內(nèi)控的評估系統(tǒng)。審計的目標(biāo)是表達(dá)人、組織、系統(tǒng)等的評估意見，審計人員在測試環(huán)境中進(jìn)行評估工作。審計必須出示合理并基本無誤的報表，通常是利用統(tǒng)計抽樣來完成。審計也是用來考察和防止虛假數(shù)據(jù)及欺騙行為，檢查、考證目標(biāo)的完整性、準(zhǔn)確性，以及檢查目標(biāo)是否符合既定的標(biāo)準(zhǔn)、尺度和其它審計準(zhǔn)則。實現(xiàn)審計的信息化，有利于管理層迅速準(zhǔn)確的做出決定，對于政企業(yè)發(fā)展、社會經(jīng)濟(jì)的進(jìn)步都具有重要作用。目前，我國的審計工作尚存在性質(zhì)認(rèn)定模糊、工作范圍過于狹窄等問題，有待進(jìn)一步加強和改進(jìn)。

審計的基礎(chǔ)工作是內(nèi)部審計，內(nèi)審是審計監(jiān)督體系中不可或缺的重要組成部分，是全面經(jīng)濟(jì)管理必不可少的手段，是加強任何機構(gòu)內(nèi)部管理的必要，推動經(jīng)濟(jì)管理向科學(xué)化方向發(fā)展的重要環(huán)節(jié)也是審計。因此說審計部門是其他監(jiān)督部門不能代替的，促進(jìn)黨風(fēng)廉政建設(shè)、加強對黨政領(lǐng)導(dǎo)干部及管理人員的監(jiān)督都可以通過審計來完成。審計應(yīng)用與高新技術(shù)機構(gòu)中，在防范風(fēng)險中發(fā)揮著重要作用，也有助于領(lǐng)導(dǎo)層做出正確決策。

一、審計工作的現(xiàn)狀及存在的問題

隨著我國經(jīng)濟(jì)迅猛發(fā)展，審計監(jiān)督力度不斷增強，審計范圍也不斷擴(kuò)大。當(dāng)前，審計方式已由財政財務(wù)審計向效益審計發(fā)展，由賬項基礎(chǔ)審計向制度基礎(chǔ)審計、風(fēng)險基礎(chǔ)審計發(fā)展，由事后審計向事中、事前審計發(fā)展。審計管理上建立審計質(zhì)量控制體系，要求審計機關(guān)把審計管理工作前移，把質(zhì)量控制體系貫穿與審計工作中。在此趨勢下，傳統(tǒng)的審計方法暴露出其效率低、審計范圍小等劣勢，使得完成審計任務(wù)，達(dá)到審計目標(biāo)越發(fā)缺乏及時性。

(一)內(nèi)部審計性質(zhì)認(rèn)定較為模糊。內(nèi)部審計是市場經(jīng)濟(jì)條件下，基于加強經(jīng)營管理的內(nèi)在需要，也是內(nèi)部審計賴以存在的客觀基礎(chǔ)。但是，現(xiàn)代內(nèi)部審計的產(chǎn)生卻是一個行政命令產(chǎn)物，強調(diào)外向。這種審計模式使人們對內(nèi)部審計在性質(zhì)認(rèn)定上產(chǎn)生模糊，阻礙了內(nèi)部審計的發(fā)展。內(nèi)部審計很難融入經(jīng)營管理中，審計工作很難正常開展，很難履行監(jiān)督評價職能和開展保證咨詢活動，因此就不能充分發(fā)揮其應(yīng)有的內(nèi)向的作用。

(二)內(nèi)部審計工作范圍過于狹窄。內(nèi)部審計的目的在于為組織增加價值并提高組織的運作效率，其職能是監(jiān)督和服務(wù)。但是，我國內(nèi)部審計工作的重心局限在財務(wù)收支的真實性及合規(guī)性審計。長久以來內(nèi)部審計突出了監(jiān)督職能，而忽視了服務(wù)職能。內(nèi)部審計認(rèn)識水平、思想觀念的束縛以及管理體制等諸多因素，影響和阻礙著內(nèi)審作用的有效發(fā)揮。原因有會計人員知識水平、業(yè)務(wù)素質(zhì)不高，也有不重視法律、法規(guī)的因素，還有監(jiān)管不力、查處不嚴(yán)的原因。目前內(nèi)部審計尚處在查錯階段，停留在調(diào)賬、糾正錯誤上，還不能多角度、深層次分析問題，沒有較國際先進(jìn)的審計理念，我國內(nèi)部審計的作用尚待開發(fā)。審計人員的計算機知識匱乏，不適應(yīng)電算化、信息化的迅速發(fā)展。目前多數(shù)審計人員硬件知識掌握不熟練，軟件知識了解也不足，因此不能有效地評估信息系統(tǒng)的安全性、效益性。由于計算機審計軟件開發(fā)標(biāo)準(zhǔn)不同，功能也不完整，因此全面推廣計算機輔助審計就有一定難度，導(dǎo)致審計人員的知識和審計手段滯后于信息化的發(fā)展。

二、信息化審計體系的健全

當(dāng)前國家審計信息化發(fā)展的趨勢是建立審計信息資源的標(biāo)準(zhǔn)化、共享化、公開化，逐步達(dá)到向現(xiàn)代審計方式的轉(zhuǎn)變。這一趨勢是隨著當(dāng)前科學(xué)發(fā)展、和諧社會的推進(jìn)，國家確立的公共財政建設(shè)、公共服務(wù)的實施、公共產(chǎn)品的提供應(yīng)運而生的，三個“公共”的主旨是：國家財政資金的使用更注重民生；使用重點更注重服務(wù)；使用效益更注重民意。

信息安全審計是任何機構(gòu)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險控制等不可或缺的關(guān)鍵手段。收集并評估證據(jù)以決定一個計算機系統(tǒng)是否有效地做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成目標(biāo)，同時能更經(jīng)濟(jì)的使用資源。信息安全審計與信息安全管理密切相關(guān)，信息安全審計的主要依據(jù)是出于不同的角度提出的控制體系的信息安全管理相關(guān)的標(biāo)準(zhǔn)。這些控制體系下的信息化審計可以有效地控制信息安全，從而達(dá)到安全審計的目的，提高信息系統(tǒng)的安全性。由此，國際組織也制定了相關(guān)文件規(guī)范填補信息系統(tǒng)審計方面的某些空白。例如《信息安全管理業(yè)務(wù)規(guī)范》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國際標(biāo)準(zhǔn)。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務(wù)院辦公廳關(guān)利用計算機信息系統(tǒng)開展審計工作有關(guān)的通知》等文件，基本規(guī)范了內(nèi)部審計機制，健全了內(nèi)部審計機構(gòu)；強調(diào)機構(gòu)應(yīng)加強內(nèi)審工作，機構(gòu)內(nèi)部要形成有權(quán)就有責(zé)、用權(quán)受監(jiān)督的最佳氛圍；審計委員會直接對領(lǐng)導(dǎo)班子負(fù)責(zé)，其成員需具有相應(yīng)的獨立性，委員會成員具良好的職業(yè)操守和能力，內(nèi)審人員應(yīng)當(dāng)具備內(nèi)審人員從業(yè)資格，其工作范圍不應(yīng)受到人為限制。內(nèi)部審計機構(gòu)對審計過程中發(fā)現(xiàn)的重大問題，視具體情況，可以直接向?qū)徲嬑瘑T會或者領(lǐng)導(dǎo)層報告。轉(zhuǎn)貼于　三、主機系統(tǒng)安全審計

信息技術(shù)審計，或信息系統(tǒng)審計，是一個信息技術(shù)基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。

以技術(shù)劃分，信息化安全審計主要分為主機審計、網(wǎng)絡(luò)審計、應(yīng)用審計、數(shù)據(jù)庫審計，綜合審計。簡單的說獲取、記錄被審計主機的狀態(tài)信息和敏感操作就是主機審計，主機審計可以從已有的系統(tǒng)審計記錄中提取相關(guān)信息，并以審計規(guī)則為標(biāo)準(zhǔn)來分析判斷被審計主機是否存在違規(guī)行為。總之，為了在最大限度保障安全的基礎(chǔ)上找到最佳途徑使得業(yè)務(wù)正常工作的一切行為及手段，而對計算機信息系統(tǒng)的薄弱環(huán)節(jié)進(jìn)行檢測、評估及分析，都可稱作安全審計。

主機安全審計系統(tǒng)中事件產(chǎn)生器、分析器和響應(yīng)單元已經(jīng)分別以智能審計主機、系統(tǒng)中心、管理與報警處置控制臺來替代。實現(xiàn)主機安全系統(tǒng)的審計包括系統(tǒng)安全審計、主機應(yīng)用安全審計及用戶行為審計。智能審計替代主機安裝在網(wǎng)絡(luò)計算機用戶上，并按照設(shè)計思路監(jiān)視用戶操作行為，同時智能分析事件安全。從面向防護(hù)的對象可將主機安全審計系統(tǒng)分為系統(tǒng)安全審計、主機應(yīng)用安全審計、用戶行為審計、移動數(shù)據(jù)防護(hù)審計等方面。

四、待解決的若干問題

計算機與信息系統(tǒng)廣泛使用，如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系，也就是建立安全策略體系、安全管理體系和安全技術(shù)體系。

保護(hù)網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì)，對操作系統(tǒng)、數(shù)據(jù)庫及服務(wù)系統(tǒng)進(jìn)行漏洞修補和安全加固，對服務(wù)器建立嚴(yán)格審核。在安全管理上完善人員管理、資產(chǎn)管理、站點維護(hù)管理、災(zāi)難管理、應(yīng)急響應(yīng)、安全服務(wù)、人才管理，形成一套比較完備的信息系統(tǒng)安全管理保障體系。

防火墻是保證網(wǎng)絡(luò)安全的重要屏障，也是降低網(wǎng)絡(luò)安全風(fēng)險的重要因素。VPN可以通過一個公用網(wǎng)絡(luò)建立一個臨時的、安壘的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。借助專業(yè)的防DDos系統(tǒng)，可以有效的阻止惡意攻擊。信息系統(tǒng)的安全需求是全方位的、系統(tǒng)的、整體的，需要從技術(shù)、管理等方面進(jìn)行全面的安全設(shè)計和建設(shè)，有效提高信息系統(tǒng)的防護(hù)、檢側(cè)、響應(yīng)、恢復(fù)能力，以抵御不斷出現(xiàn)的安全威脅與風(fēng)險，保證系統(tǒng)長期穩(wěn)定可靠的運行。嚴(yán)格的安全管理制度，明確的安全職責(zé)劃分，合理的人員角色定義，都可以在很大程度上減少網(wǎng)絡(luò)的安全隱患。

從戰(zhàn)略高度充分認(rèn)識信息安全的重要性和緊迫性。健全安全管理組織體系，明確安全管理的相關(guān)組織、機構(gòu)和職責(zé)，建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責(zé)任機制。為了確保突發(fā)重大安全事件時，能得到及時的響應(yīng)和支援，信息系統(tǒng)必須建立和逐步完善應(yīng)急響應(yīng)支援體系，確保整個信息系統(tǒng)的安全穩(wěn)定運行。

參考文獻(xiàn)：

[1]宋新月，內(nèi)部審計在經(jīng)濟(jì)管理中的重要作用淺析[J]，知識經(jīng)濟(jì)，2009