摘要：本文介紹了信息系統(tǒng)安全審計（Information System Security Audit, ISSA）的定義、發(fā)展歷史和趨勢，并闡述了信息系統(tǒng)安全審計的主要應(yīng)用領(lǐng)域、技術(shù)手段和發(fā)展趨勢。

　　隨著信息化水平的快速提高和信息安全建設(shè)的逐漸深入，如何建立信息安全審計制度，有效加強內(nèi)部信息安全管理、信息系統(tǒng)安全風(fēng)險控制，滿足政策合規(guī)的要求，成為企事業(yè)單位面臨的普遍問題。綠盟科技信息安全審計專家，以自身多年信息安全審計的經(jīng)驗和認知，講解信息安全審計的標準、趨勢及要點。信息系統(tǒng)安全審計正逐漸成為國內(nèi)信息安全系統(tǒng)建設(shè)熱點。

一、 信息系統(tǒng)審計定義與發(fā)展歷史

　　信息系統(tǒng)審計(Information System Audit, ISA)是通過收集和分析審計證據(jù)，對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、數(shù)據(jù)的完整、運營效率等方面做出判斷的過程。 

　　信息系統(tǒng)審計是計算機技術(shù)與數(shù)據(jù)處理電算化發(fā)展的結(jié)果。數(shù)據(jù)處理電算化對信息系統(tǒng)審計產(chǎn)生了重大影響，計算機在數(shù)據(jù)處理中的運用形成了電子數(shù)據(jù)處理系統(tǒng)，它產(chǎn)生于20世紀50年代。因此，信息系統(tǒng)審計的概念產(chǎn)生可追溯到20世紀60年代。信息系統(tǒng)審計系統(tǒng)的發(fā)展歷史可以分為三個階段：

圖1  信息系統(tǒng)審計發(fā)展歷史

 

　　1960年-1970年，信息系統(tǒng)審計概念形成階段

　　20世紀60年代，信息系統(tǒng)審計最早稱為計算機審計，是隨著計算機在財務(wù)會計領(lǐng)域的應(yīng)用而產(chǎn)生。早期的計算機應(yīng)用比較簡單，計算機審計業(yè)務(wù)主要關(guān)注對被審計單位電子數(shù)據(jù)的取得、分析、計算等數(shù)據(jù)處理業(yè)務(wù)。1960年初，IBM出版了《Audit Encounters Electronic Data Processing》，該書首次提出了電子數(shù)據(jù)環(huán)境下的內(nèi)部審計規(guī)則和組織方法。60年代中期，美國國防部海軍審計局引進了通用審計軟件包。1968年美國EDPAA協(xié)會（執(zhí)業(yè)會計師協(xié)會）發(fā)表《電子數(shù)據(jù)處理系統(tǒng)與審計》，詳細探討了審計與電子數(shù)據(jù)處理系統(tǒng)的關(guān)系，并提出若干計算機輔助審計電子數(shù)據(jù)處理系統(tǒng)的方法。

　　1970年-1999年，信息系統(tǒng)審計成長階段

70年代中期至80年代，美國、日本等先后成立計算機審計相關(guān)組織；國際開始興起一系列信息安全管理標準的制定。1983年，日本通產(chǎn)省發(fā)布《系統(tǒng)審計標準》，開始培訓(xùn)信息系統(tǒng)審計人員。1984年美國EDPAA協(xié)會（執(zhí)業(yè)會計師協(xié)會）發(fā)布一套EDP控制標準-《EDP控制目的》。   

  1996年，ISACA協(xié)會發(fā)布了COBIT（Control Objectives for Information and related Technology）標準，是國際上公認的安全與信息技術(shù)管理和控制的權(quán)威標準，也是國際通用的信息系統(tǒng)審計標準，已在100多個國家的重要組織和企業(yè)中應(yīng)用。

1999年-至今，信息系統(tǒng)審計普及和行業(yè)應(yīng)用階段

2001年至今，美國安然事件及由此引發(fā)的一系列美國著名大公司在公司治理和財務(wù)管理力方面的問題，促使美國陸續(xù)出臺了多個具有較強影響力的行業(yè)法案，如：2002年美國出臺Sarbanes-Oxley法案（塞班斯—奧克斯利法案)，其中第404條款要求企業(yè)在財務(wù)報告方面加強內(nèi)控，企業(yè)的CEO和CFO必須對本企業(yè)的內(nèi)控系統(tǒng)的有效性發(fā)表誠信聲明。因此，IT信息系統(tǒng)同樣需要加強控制以達到SOX法案的合規(guī)要求； 2005年針對IT信息系統(tǒng)的SOX合規(guī)審計成為全球CIO最關(guān)注的事。目前，西方發(fā)達國家的信息系統(tǒng)審計應(yīng)用已較為普遍，并發(fā)展到了較高的水平。

二、 信息系統(tǒng)安全審計定義與發(fā)展

信息系統(tǒng)安全審計是信息系統(tǒng)審計全過程的組成部分，主要依據(jù)標準包括COBIT、CC、ITIL等信息安全管理標準。信息系統(tǒng)安全審計是評判一個信息系統(tǒng)是否真正安全的重要標準之一。通過安全審計收集、分析、評估安全信息、掌握安全狀態(tài)，制定安全策略，確保整個安全體系的完備性、合理性和適用性，才能將系統(tǒng)調(diào)整到“最安全”和“最低風(fēng)險”的狀態(tài)。安全審計已成為企業(yè)內(nèi)控、信息系統(tǒng)安全風(fēng)險控制等不可或缺的關(guān)鍵手段，也是威懾、打擊內(nèi)部計算機犯罪的重要手段。

在國際通用的CC準則（即ISO/IEC15408-2:1999《信息技術(shù)安全性評估準則》）中對信息系統(tǒng)安全審計（ISSA，Information System Security Audit）給出了明確定義：信息系統(tǒng)安全審計主要指對與安全有關(guān)的活動的相關(guān)信息進行識別、記錄、存儲和分析；審計記錄的結(jié)果用于檢查網(wǎng)絡(luò)上發(fā)生了哪些與安全有關(guān)的活動，誰（哪個用戶）對這個活動負責(zé)；主要功能包括：安全審計自動響應(yīng)、安全審計數(shù)據(jù)生成、安全審計分析、安全審計瀏覽、安全審計事件選擇、安全審計事件存儲等。

這是國際CC準則給出的一個比較抽象的概念，通俗來講，信息安全審計就是信息網(wǎng)絡(luò)中的“監(jiān)控攝像頭”，通過運用各種技術(shù)手段，洞察網(wǎng)絡(luò)信息系統(tǒng)中的活動，全面監(jiān)測信息系統(tǒng)中的各種會話和事件，記錄分析各種網(wǎng)絡(luò)可疑行為、違規(guī)操作、敏感信息，幫助定位安全事件源頭和追查取證，防范和發(fā)現(xiàn)計算機網(wǎng)絡(luò)犯罪活動，為信息系統(tǒng)安全策略制定、風(fēng)險內(nèi)控提供有力的數(shù)據(jù)支撐。 

（一）國內(nèi)信息系統(tǒng)安全審計發(fā)展歷史

與國外相比，中國的信息系統(tǒng)安全審計起步較晚，相關(guān)信息安全審計技術(shù)、信息安全審計規(guī)范和信息安全審計制度等都有待進一步完善。綠盟科技的信息安全審計專家，根據(jù)多年經(jīng)驗總結(jié)，提出我國的信息系統(tǒng)安全審計發(fā)展可分為兩個階段：

圖 一.1 信息安全審計在中國的發(fā)展

1999年-2004年 信息系統(tǒng)安全審計導(dǎo)入期

1999年財政部頒布了《獨立審計準則第20號-計算機信息系統(tǒng)環(huán)境下的審計》，部分內(nèi)容借鑒了國外研究成果。這是國內(nèi)第一次明確提出對計算信息系統(tǒng)審計的要求。

同年,國家質(zhì)量技術(shù)監(jiān)督局頒布《GB17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則》,該準則是建立計算機信息系統(tǒng)安全保護等級制度，實施安全保護等級管理的重要基礎(chǔ)性標準，其中明確要求計算機信息系統(tǒng)創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄，并能阻止非授權(quán)的用戶對它訪問或破壞。”

2005年-2009年 信息系統(tǒng)安全審計的快速成長期

隨著互聯(lián)網(wǎng)在國內(nèi)的迅速普及應(yīng)用，推動國內(nèi)信息系統(tǒng)安全審計進入快速發(fā)展階段。國家相關(guān)部門、金融行業(yè)、能源行業(yè)、運營商均陸續(xù)推出多項針對信息系統(tǒng)風(fēng)險管理政策法規(guī)，推動國內(nèi)信息系統(tǒng)安全審計快速發(fā)展。

2005年12月，公安部頒布82號令《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》,其中明確要求“互聯(lián)網(wǎng)服務(wù)提供者和連接到互聯(lián)網(wǎng)上的企事業(yè)單位必須記錄、跟蹤網(wǎng)絡(luò)運行狀態(tài)、記錄網(wǎng)絡(luò)安全事件等安全審計功能，并應(yīng)當具有至少保存六十天記錄備份的功能。” 

2006年，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合制定并發(fā)布了《信息安全等級保護管理辦法（試行）》，該辦法明確要求信息系統(tǒng)運營使用單位在開展等級保護工作中要按照或者參照國家、行業(yè)技術(shù)標準進行系統(tǒng)定級、建設(shè)、整改、測評等工作�！缎畔⑾到y(tǒng)安全等級保護基本要求》是信息安全等級保護標準體系中重要的基礎(chǔ)性標準之一。該要求針對不同安全保護等級信息系統(tǒng)的基本安全審計能力均有明確要求，如：需要對用戶行為、安全事件等進行記錄，對形成的記錄能夠統(tǒng)計、分析、并生成報表。

2006年，國家保密局發(fā)布BMB17-2006號文件《涉密信息系統(tǒng)分級保護技術(shù)要求》，文件要求相關(guān)涉密單位信息系統(tǒng)，根據(jù)不同涉密級別，采取相關(guān)審計措施。如：

l 必須制定明確的系統(tǒng)安全審計策略；

l 確定的審計事件范圍應(yīng)對安全事件的事后追查提供足夠的信息；

l 審計記錄包括服務(wù)器、涉密重要用戶終端、安全保密設(shè)備、用戶、用戶權(quán)限修改以及用戶操作等。 

2006年-2009年，安全審計被列入多個行業(yè)信息系統(tǒng)安全建設(shè)要求

隨著政府、金融、電信、能源等行業(yè)信息化的發(fā)展，信息科技的作用已經(jīng)從業(yè)務(wù)支持逐步走向與業(yè)務(wù)的融合，成為各行業(yè)穩(wěn)健運營和發(fā)展的支柱，為加強信息系統(tǒng)風(fēng)險管理，各行業(yè)陸續(xù)發(fā)布了行業(yè)性信息系統(tǒng)管理規(guī)范和要求。

2008年6月，財政部、證監(jiān)會、銀監(jiān)會、保監(jiān)會及審計署委聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，該規(guī)范被稱為中國的“SOX法案”，是我國在審計領(lǐng)域的重大改革舉措，該規(guī)范將首先在上市企業(yè)中實行。如何把IT內(nèi)控與企業(yè)內(nèi)控管理統(tǒng)一起來，是《企業(yè)內(nèi)部控制基本規(guī)范》的一個關(guān)鍵點，信息安全審計則將成為企業(yè)IT內(nèi)控、安全風(fēng)險管理的不可或缺的技術(shù)手段。該規(guī)范將促使國內(nèi)企業(yè)加強IT內(nèi)控建設(shè)，從而推動安全審計市場的發(fā)展，但其中非常關(guān)鍵的一點就是安全審計技術(shù)如何有效地與規(guī)范結(jié)合，滿足企業(yè)合規(guī)審計要求。

2009年3月，銀監(jiān)會為加強商業(yè)銀行信息科技風(fēng)險管理，發(fā)布了《商業(yè)銀行信息科技風(fēng)險管理指引》，該指引中重點闡述了信息系統(tǒng)風(fēng)險管理和內(nèi)外部審計要求，特別是要求審計貫穿信息科技活動的整個過程之中。另外，在《國家電網(wǎng)SG186工程防護總體方案》、《中國移動集團內(nèi)控手冊》、《中國電信集團內(nèi)控手冊》等行業(yè)要求中也均明確要求采取信息系統(tǒng)風(fēng)險內(nèi)控和審計技術(shù)手段。

目前，隨著信息安全建設(shè)的深入，安全審計已成為國內(nèi)信息安全建設(shè)的重要技術(shù)手段�？傮w來看，由于信息系統(tǒng)發(fā)展水平和業(yè)務(wù)需求的不同，各行業(yè)對安全審計的具體關(guān)注點存在一定差異，但均是基于政策合規(guī)、自身安全建設(shè)要求，如：政府主要關(guān)注如何滿足“信息系統(tǒng)安全等級保護”等政策要求的合規(guī)安全審計；電信運營商則基于自身信息系統(tǒng)風(fēng)險內(nèi)控需求進行安全審計建設(shè)。

（二）信息系統(tǒng)安全審計技術(shù)分析

目前，國內(nèi)信息系統(tǒng)安全審計有下述幾類主流審計技術(shù)：網(wǎng)絡(luò)安全審計、數(shù)據(jù)庫安全審計、業(yè)務(wù)運維安全審計和日志審計。

　　下表列出了信息系統(tǒng)中的主要審計對象與安全審計技術(shù)的對應(yīng)關(guān)系：

　　綠盟科技的信息安全審計專家，通過多年的信息安全項目，總結(jié)分析了國內(nèi)幾種主要的信息安全審計應(yīng)用。

　　1. 網(wǎng)絡(luò)安全審計

　　網(wǎng)絡(luò)安全審計是目前國內(nèi)應(yīng)用最廣泛的安全審計技術(shù)，主要應(yīng)用于企事業(yè)單位的網(wǎng)絡(luò)行為審計和內(nèi)容的審計，已廣泛應(yīng)用于政府、電信運營商、能源、金融等行業(yè)。

　　網(wǎng)絡(luò)安全審計系統(tǒng)大多通過旁路鏡像或分光方式，采集網(wǎng)絡(luò)數(shù)據(jù)進行分析、識別，實時動態(tài)監(jiān)測網(wǎng)絡(luò)行為、通信內(nèi)容和網(wǎng)絡(luò)流量，全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會話和事件,發(fā)現(xiàn)和捕獲各種違規(guī)行為和內(nèi)容，實現(xiàn)對網(wǎng)絡(luò)安全事件的跟蹤和事后追查取證。

　　技術(shù)特點 ：

　　Ø 網(wǎng)絡(luò)安全審計系統(tǒng)不會影響網(wǎng)絡(luò)信息系統(tǒng)自身運行與性能 ；

　　Ø 對各種網(wǎng)絡(luò)行為，如網(wǎng)站訪問、郵件、遠程終端訪問、即時通訊、論壇、在線視頻、P2P下載、網(wǎng)絡(luò)游戲等，提供全面的行為監(jiān)控，方便事后追查取證；

　　Ø 對網(wǎng)站訪問、郵件、文件上傳下載、論壇發(fā)帖、非加密運維操作等進行內(nèi)容監(jiān)測。

　　2. 數(shù)據(jù)庫安全審計

　　隨著信息系統(tǒng)業(yè)務(wù)不斷發(fā)展，數(shù)據(jù)庫系統(tǒng)應(yīng)用范圍越來越廣，如企業(yè)的賬務(wù)數(shù)據(jù)、貿(mào)易記錄、工程數(shù)據(jù)等均需要利用大量的數(shù)據(jù)庫資源。由于數(shù)據(jù)庫的作用和影響越來越大，企業(yè)數(shù)據(jù)庫信息安全面臨嚴峻挑戰(zhàn)，近年來不斷發(fā)生的企業(yè)數(shù)據(jù)庫的重要敏感數(shù)據(jù)的被竊取、篡改問題，已引起企業(yè)的高度重視，成為迫切需要解決的問題。

　　數(shù)據(jù)庫安全審計系統(tǒng)主要通過旁路或分光方式，對網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別，實時監(jiān)控記錄數(shù)據(jù)庫各種賬戶（如超級管理員、臨時賬戶等）的數(shù)據(jù)庫操作行為，發(fā)現(xiàn)各種非法、違規(guī)操作，降低數(shù)據(jù)庫安全風(fēng)險，幫助企業(yè)保護數(shù)據(jù)庫資產(chǎn)安全。

　　技術(shù)特點：

　　Ø 數(shù)據(jù)庫安全審計不會影響數(shù)據(jù)庫系統(tǒng)自身運行與性能 ；

　　Ø 支持同時審計多種數(shù)據(jù)庫及跨多種數(shù)據(jù)庫平臺操作,覆蓋主流數(shù)據(jù)庫類型，ORACLE、MS SQL SERVER、SYBASE、DB2等； 

　　Ø 數(shù)據(jù)庫安全審計可支持對多種SQL(Structured Query Language)語言的審計；包括DQL-數(shù)據(jù)查詢語言(SELECT) 、DML—數(shù)據(jù)操縱語言(DELETE，UPDATE，INSERT) 、DDL—數(shù)據(jù)定義語言(CREATE，ALTER，DROP，DECLARE) 、DCL—數(shù)據(jù)控制語言(GRANT，REVOKE，COMMIT，ROLLBACK) ；

　　Ø 支持實時審計用戶對數(shù)據(jù)庫系統(tǒng)的操作，如：登錄、注銷、插入、刪除、執(zhí)行存儲過程、用戶自定義操作等，支持分析、提取SQL語句中綁定變量，并可完全監(jiān)測還原SQL操作語句包括源IP地址、目的IP地址、訪問時間、MAC地址、數(shù)據(jù)庫用戶名、客戶端類型、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫表名、字段名等。 

　　3. 業(yè)務(wù)運維安全審計

目前，企事業(yè)單位日趨復(fù)雜的ＩＴ業(yè)務(wù)系統(tǒng)與不同背景業(yè)務(wù)運維用戶的行為給信息系統(tǒng)安全帶來較大風(fēng)險，如：多個運維人員使用同一賬號維護一臺設(shè)備，導(dǎo)致權(quán)責(zé)不清；賬號繁多，管理不便；帳號權(quán)限分配粒度粗，無法實現(xiàn)更細粒度的命令控制；缺少對加密、圖形操作協(xié)議的審計手段，存在風(fēng)險隱患，導(dǎo)致事后無法查找來源。

業(yè)務(wù)運維安全審計系統(tǒng)在邏輯上將運維操作終端用戶和目標設(shè)備隔開，終端用戶必須通過該審計系統(tǒng)才能訪問目標設(shè)備，從而實現(xiàn)對運維操作的統(tǒng)一接入管理，對SSH、SFTP、RDP等加密、圖形操作協(xié)議的內(nèi)容審計，滿足企業(yè)運維管理和風(fēng)險內(nèi)控需要，幫助企業(yè)定位安全事件源頭和追查取證。

　　技術(shù)特點：

　　Ø 建立統(tǒng)一的運維管理平臺，集中管理運維帳號和集中授權(quán)。

　　Ø 實現(xiàn)傳統(tǒng)網(wǎng)絡(luò)安全審計無法實現(xiàn)的對運維加密、圖形操作協(xié)議的審計；如：SSH、RDP、 X-WINDOW、VNC 、SFTP等運維協(xié)議。

　　4. 日志審計

　　日志安全審計主要通過對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)的集中日志采集、集中存儲和關(guān)聯(lián)分析，發(fā)現(xiàn)信息系統(tǒng)的安全事件，同時當遇到特殊安全事件和系統(tǒng)故障時，確保日志存在和不被篡改，幫助用戶定位追查取證。

　　技術(shù)特點 ：

　　Ø 可全面的集中采集各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、業(yè)務(wù)系統(tǒng)的日志信息 ；

　　Ø 針對收集的日志，通過集中存儲、標準化、查詢、分析, 可幫助發(fā)現(xiàn)潛在安全問題和事后追查取證，并輸出合規(guī)報告。

三、 信息系統(tǒng)安全審計發(fā)展趨勢

綠盟信息安全審計專家指出，隨著國內(nèi)企業(yè)信息系統(tǒng)風(fēng)險內(nèi)控制度日益完善，信息系統(tǒng)安全審計將呈現(xiàn)滿足政策合規(guī)審計、企業(yè)內(nèi)控管理和數(shù)據(jù)風(fēng)險控制需求的特點。

　　Ø 政策合規(guī)審計

　　安全審計技術(shù)將更加緊密與“信息系統(tǒng)安全等級保護”、“企業(yè)信息內(nèi)部控制基本規(guī)范”等政策要求相結(jié)合，依據(jù)CC、ITIL 、COBIT等標準，提供更符合企事業(yè)單位信息系統(tǒng)風(fēng)險內(nèi)控和政策合規(guī)管理要求的安全審計功能，如：業(yè)務(wù)運維安全審計、數(shù)據(jù)庫安全審計等；同時需要輸出細粒度的合規(guī)審計報告，如：符合信息系統(tǒng)安全等級保護要求的安全審計報告、企業(yè)信息系統(tǒng)風(fēng)險內(nèi)控審計報告等，幫助用戶提升審計力度，降低人工審計工作量，有效控制信息安全風(fēng)險。 

Ø 基于賬號的網(wǎng)絡(luò)安全審計

　　網(wǎng)絡(luò)安全審計技術(shù)將逐步與身份認證管理技術(shù)結(jié)合，實現(xiàn)基于賬號的網(wǎng)絡(luò)安全審計，相比傳統(tǒng)的基于IP、MAC地址等用戶身份的審計判定手段，將能夠更加準確的定位到人，全面提升審計對象身份的可靠性。

Ø 專業(yè)的數(shù)據(jù)庫安全審計

　　數(shù)據(jù)庫已成為廣大企業(yè)的數(shù)據(jù)核心資產(chǎn)，其重要性毋庸置疑，近年來在各行業(yè)中頻繁發(fā)生企業(yè)數(shù)據(jù)庫的重要敏感數(shù)據(jù)被篡改牟利、泄密事件，已經(jīng)引起各方面的廣泛高度重視。數(shù)據(jù)庫安全審計技術(shù)作為數(shù)據(jù)庫安全的重要監(jiān)測手段，將越來越受到政府、金融、電信等用戶重視。為了進一步提高數(shù)據(jù)庫安全審計的完整性和準確性，須追根溯源，從源頭抓起，需要安全廠商與數(shù)據(jù)庫廠商加強技術(shù)合作，共同推動完善數(shù)據(jù)庫安全審計技術(shù)。

標簽： 安全 服務(wù)器 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)安全 互聯(lián)網(wǎng)服務(wù) 機 金融 權(quán)限 數(shù)據(jù) 數(shù)據(jù)庫 數(shù)據(jù)庫安全 通信 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全事件 西 信息安全 信息化 信息技術(shù) 選擇

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。