本文介绍了安全审计的概念,强调其在保障信息系统安全中的重要作用。安全审计涉及目标、漏洞、措施和检查四要素,通过日志收集、分析来检测潜在威胁。文章探讨了审计与监控的关系、审计跟踪的重要性,并以中软内网安全监控和审计系统UEM为例,展示了审计系统的功能和工作模式。安全审计对于追责、预防系统破坏和提升安全管理效率具有关键价值。
文/陈尚义
一、什么是安全审计
安全审计,一般地,是指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并做出相应评价。按照这个说法,审计可以是来自内部的,也可以是来自外部的。
GB/T 20945-2007《信息安全技术——信息系统安全审计产品技术要求和评价方法》对“安全审计”的定义是:对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应的比较动作。安全审计产品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑,从而达到保障信息系统正常运行的目的。同时,信息系统安全审计产品对信息系统各组成要素进行事件采集,将采集数据进行自动综合和系统分析,能够提高信息系统安全管理的效率。
传统的商业与管理审计,与计算机安全审计的过程是完全相同的,但它们各自关注的问题有很大不同。计算机安全审计是通过一定的策略,利用记录和分析历史操作事件发现系统漏洞并改进系统的性能和安全。计算机安全审计需要达到的目的包括:对潜在的攻击者起到震慑和警告的作用;对于已经发生的系统破坏行为提供有效的追究责任的证据;为系统管理员提供有价值的系统使用日志,帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。
具体到内网安全管理,安全审计是对计算机终端及其应用进行量化检查与评估的技术和过程。内网审计是通过对计算机终端中相关信息的收集、分析和报告,来判定现有终端安全控制的有效性,检查计算机终端的误用、滥用和泄密行为,验证当前安全策略的合规性,获取犯罪和违规的证据。
二、安全审计四要素
一般认为,安全审计涉及四个基本要素:目标、漏洞、措施和检查。
目标是企业的安全控制要求;漏洞是指系统的薄弱环节;措施是为实现目标所制定的技术、配置方法及各种规章制度;检查是将各种措施与安全标准进行一致性比较,确定各项措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。
管理部门相继出台了各层面的管理要求,就是对安全审计提出的目标。如分级保护要求、等级保护要求、以及将出台的国内《企业内部控制基本规范》等;同时,跨国、合资企业在符合我国安全要求的同时,也受到本国安全标准的管理。
这些法规和要求成为审计系统的检查基线,使审计成为必要和可能。根据这些目标要求,企业要进行风险评估,找出漏洞所在,并针对这些风险和漏洞,采取必要的措施,如部署内网安全管理系统,对计算机端口、外部设备、网络接入、移动存储介质进行控制和管理,监控电子文件的操作等,收集使用日志,记录操作内容和操作行为,作为今后等级评估、保密检查和合规性检查的重要依据。
例如根据等级保护、分级保护要求,对这些日志数据进行统计分析,产生分级保护分析结果,形成用户操作场景,找出用户违规行为,通过合规性分析,加强企业在分级保护方面的管理力度,追究泄密责任。
“内网安全管理系统”是内网审计系统的基础。内网审计是在内网安全管理系统日志功能基础上的,对日志数据进行分析、报告与判断(与目标的符合度)的过程。
三、安全审计、安全监控与审计跟踪
• 审计和监控
安全审计和访问控制互为补充。安全审计对用户使用何种信息资源、使用时间,以及如何使用(执行何种操作)进行记录并检查。审计和监控的联合,能够再现原有的使用场景、发现操作时的问题,对于追查责任和恢复数据非常必要。
• 审计和审计跟踪
最低0.47元/天 解锁文章
2579
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
