《安全审计概述2.docVIP

安全审计概述 分类： 学术文章 2009-11-24 15:45 201人阅读 评论(0) 收藏 举报 ?文/陈尚义 ? 一、什么是安全审计 安全审计，一般地，是指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应评价。按照这个说法，审计可以是来自内部的，也可以是来自外部的。 GB/T 20945-2007《信息安全技术——信息系统安全审计产品技术要求和评价方法》对“安全审计”的定义是：对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应的比较动作。安全审计产品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑，从而达到保障信息系统正常运行的目的。同时，信息系统安全审计产品对信息系统各组成要素进行事件采集，将采集数据进行自动综合和系统分析，能够提高信息系统安全管理的效率。 传统的商业与管理审计，与计算机安全审计的过程是完全相同的，但它们各自关注的问题有很大不同。计算机安全审计是通过一定的策略，利用记录和分析历史操作事件发现系统漏洞并改进系统的性能和安全。计算机安全审计需要达到的目的包括：对潜在的攻击者起到震慑和警告的作用；对于已经发生的系统破坏行为提供有效的追究责任的证据；为系统管理员提供有价值的系统使用日志，帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。 具体到内网安全管理，安全审计是对计算机终端及其应用进行量化检查与评估的技术和过程。内网审计是通过对计算机终端中相关信息的收集、分析和报告，来判定现有终端安全控制的有效性，检查计算机终端的误用、滥用和泄密行为，验证当前安全策略的合规性，获取犯罪和违规的证据。 ? 二、安全审计四要素 一般认为，安全审计涉及四个基本要素：目标、漏洞、措施和检查。 目标是企业的安全控制要求；漏洞是指系统的薄弱环节；措施是为实现目标所制定的技术、配置方法及各种规章制度；检查是将各种措施与安全标准进行一致性比较，确定各项措施是否存在、是否得到执行、对漏洞的防范是否有效，评价企业安全措施的可依赖程度。 管理部门相继出台了各层面的管理要求，就是对安全审计提出的目标。如分级保护要求、等级保护要求、以及将出台的国内《企业内部控制基本规范》等；同时，跨国、合资企业在符合我国安全要求的同时，也受到本国安全标准的管理。 这些法规和要求成为审计系统的检查基线，使审计成为必要和可能。根据这些目标要求，企业要进行风险评估，找出漏洞所在，并针对这些风险和漏洞，采取必要的措施，如部署内网安全管理系统，对计算机端口、外部设备、网络接入、移动存储介质进行控制和管理，监控电子文件的操作等，收集使用日志，记录操作内容和操作行为，作为今后等级评估、保密检查和合规性检查的重要依据。 例如根据等级保护、分级保护要求，对这些日志数据进行统计分析，产生分级保护分析结果，形成用户操作场景，找出用户违规行为，通过合规性分析，加强企业在分级保护方面的管理力度，追究泄密责任。 “内网安全管理系统”是内网审计系统的基础。内网审计是在内网安全管理系统日志功能基础上的，对日志数据进行分析、报告与判断（与目标的符合度）的过程。 ? 三、安全审计、安全监控与审计跟踪 ???? 审计和监控 安全审计和访问控制互为补充。安全审计对用户使用何种信息资源、使用时间，以及如何使用（执行何种操作）进行记录并检查。审计和监控的联合，能够再现原有的使用场景、发现操作时的问题，对于追查责任和恢复数据非常必要。 ???? 审计和审计跟踪 审计跟踪，是按事件发生的时间顺序，记录每个事件的环境及活动，使之能够提供事件从始至终的整个变化轨迹，进一步提高了审计效果。审计跟踪记录的活动包括系统活动和用户活动，系统活动包括操作系统和应用程序进程的活动；用户活动包括用户在操作系统中和应用程序中的活动。 审计跟踪通过书面（或其它具有法律效力的）方式，提供责任人的活动证据，使之之具备记录系统活动、并跟踪到对这些活动应负责任的人员的能力。 通过借助适当的工具和规程，审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害，同时还能提供对数据恢复的帮助。 审计跟踪是高级的审计，它依赖于审计系统完整、连续的活动记录能力，和系统对复杂记录的深度挖掘和智能分析能力。 ? 四、安全审计系统 下面简单介绍一下安全审计系统的功能。 1．日志收集子系统 不同的系统可采用不同的机制记录日志。日志的记录可能由操作系统完成，也可以由应用系统或其他专用记录系统完成。一些系统调用Syslog或SNMP记录日志，而另一些系统采用自己定义的非标准协议来收集日志。 理想情况下，日志应该记录每一个可能