定義
信息系統(tǒng)安全審計(jì)是評(píng)判一個(gè)信息系統(tǒng)是否真正安全的重要標(biāo)準(zhǔn)之一。通過安全審計(jì)收集�����、分析��、評(píng)估安全信息、掌握安全狀態(tài)�����,制定安全策略���,確保整個(gè)安全體系的完備性�、合理性和適用性�,才能將系統(tǒng)調(diào)整到“最安全”和“最低風(fēng)險(xiǎn)”的狀態(tài)。安全審計(jì)已成為企業(yè)內(nèi)控����、信息系統(tǒng)安全風(fēng)險(xiǎn)控制等不可或缺的關(guān)鍵手段,也是威懾���、打擊內(nèi)部計(jì)算機(jī)犯罪的重要手段�����。
在國際通用的CC準(zhǔn)則(即ISO/IEC15408-2:1999《信息技術(shù)安全性評(píng)估準(zhǔn)則》)中對(duì)信息系統(tǒng)安全審計(jì)(ISSA��,Information System Security Audit)給出了明確定義:信息系統(tǒng)安全審計(jì)主要指對(duì)與安全有關(guān)的活動(dòng)的相關(guān)信息進(jìn)行識(shí)別���、記錄�����、存儲(chǔ)和分析��;審計(jì)記錄的結(jié)果用于檢查網(wǎng)絡(luò)上發(fā)生了哪些與安全有關(guān)的活動(dòng)����,誰(哪個(gè)用戶)對(duì)這個(gè)活動(dòng)負(fù)責(zé)����;主要功能包括:安全審計(jì)自動(dòng)響應(yīng)、安全審計(jì)數(shù)據(jù)生成����、安全審計(jì)分析�、安全審計(jì)瀏覽、安全審計(jì)事件選擇�����、安全審計(jì)事件存儲(chǔ)等�。
近年來,國內(nèi)外IT管理水平不斷提升�,IT法規(guī)趨向完善����,無論是政府還是企業(yè)單位���、上市公司��,對(duì)于IT法規(guī)遵從的要求都越來越高��,IT法規(guī)遵從的重點(diǎn)之一就是如何處理來自內(nèi)部的IT運(yùn)維管理風(fēng)險(xiǎn)的日益增加�����,規(guī)避內(nèi)部IT操作風(fēng)險(xiǎn)�����。IT治理����、內(nèi)控和風(fēng)險(xiǎn)管理的發(fā)展極大地促進(jìn)了信息安全運(yùn)維審計(jì)的發(fā)展��。
以美國為例�,在SOX法案頒布之前,信息安全運(yùn)維審計(jì)市場(chǎng)根本沒有納入Gartner、IDC的專項(xiàng)分析范疇�����,隨著針對(duì)上市公司內(nèi)控和信息披露的SOX法案的實(shí)施��,對(duì)組織治理���、財(cái)務(wù)會(huì)計(jì)�����、監(jiān)管審計(jì)制定了新的準(zhǔn)則�����,以及像專門針對(duì)醫(yī)療行業(yè)的旨在保護(hù)醫(yī)患隱私的HIPAA法案���、針對(duì)聯(lián)邦政府機(jī)構(gòu)的FISMA法案、針對(duì)金融機(jī)構(gòu)支付卡行業(yè)的PCI-DSS規(guī)范等的執(zhí)行��,美國的信息安全運(yùn)維審計(jì)市場(chǎng)出現(xiàn)了爆炸式的增長(zhǎng)��。
信息安全審核制度一�����、
嚴(yán)格審核系統(tǒng)所發(fā)布消息:
1�、根據(jù)法律法規(guī)要求,必須監(jiān)視本系統(tǒng)的信息��,對(duì)本系統(tǒng)的信息實(shí)行24小時(shí)審核巡查��, 防止有人通過本系統(tǒng)發(fā)布有害信息����。如發(fā)現(xiàn)傳輸有害信息,應(yīng)當(dāng)立即停止傳輸��,防 止信息擴(kuò)散��,保存有關(guān)記錄�,并向公安機(jī)關(guān)網(wǎng)監(jiān)部門報(bào)告;同時(shí)應(yīng)配合公安機(jī)關(guān)追 查有害信息的來源���,協(xié)助做好取證工作�����。
2�、建立關(guān)鍵詞庫����,實(shí)施信息建立關(guān)鍵詞數(shù)據(jù)庫:系統(tǒng)內(nèi)部設(shè)計(jì)有需要過濾的詞組的數(shù)據(jù)庫,數(shù)據(jù)庫的關(guān)鍵詞語包括以上的所有內(nèi)容����,同時(shí)還要根據(jù)政府和移動(dòng)的要求及時(shí)更新數(shù)據(jù)庫。過濾內(nèi)容如下:煽動(dòng)抗拒����、破壞憲法和法律、行政法規(guī)實(shí)施的�;煽動(dòng)顛覆國家政權(quán)、推翻社會(huì)主義制度的�;煽動(dòng)分裂國家�����、破壞國家統(tǒng)一的���;煽動(dòng)民族仇恨、民族歧視�,破壞民族團(tuán)結(jié)的;捏造或者歪曲事實(shí)����,散布謠言,擾亂社會(huì)秩序的��;宣揚(yáng)封建迷信�、淫穢、色情�、賭博、暴力���、兇殺�����、恐怖���、教唆犯罪的�����;公然侮辱他人或者捏造事實(shí)誹謗他人的,或者進(jìn)行其他惡意攻擊的�;損害國家機(jī)關(guān)信譽(yù)的;其他違反憲法和法律行政法規(guī)的�����;關(guān)鍵詞過濾程序:建立關(guān)鍵詞語的過濾程序�,每一條下行的信息首先進(jìn)行內(nèi)容的過濾,在過濾完成以后���,再發(fā)送出去�。對(duì)于每一條上行的信息也要進(jìn)行信息過濾�,發(fā)現(xiàn)存在關(guān)鍵詞語的內(nèi)容,及時(shí)記入特殊數(shù)據(jù)庫�,及時(shí)和上級(jí)部門配合進(jìn)行內(nèi)容的定時(shí)檢查。設(shè)立專門負(fù)責(zé)人:負(fù)責(zé)人會(huì)定期查看特殊數(shù)據(jù)庫中的短信內(nèi)容�����,并進(jìn)行統(tǒng)計(jì)分析,發(fā)現(xiàn)問題及時(shí)上報(bào)有關(guān)部門���。并對(duì)短信內(nèi)容進(jìn)行存檔保留�,已備查看��。
信息安全審計(jì)的主要內(nèi)容有哪些���?
信息系統(tǒng)審計(jì)(又稱IT審計(jì))是為了信息系統(tǒng)的安全��、可靠與有效�����,由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師���,以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià),向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo)層��,提出問題與建議的一連串的活動(dòng)���。IT審計(jì)所關(guān)注的內(nèi)容不單純是對(duì)數(shù)據(jù)的處理�����,更不僅僅是財(cái)務(wù)信息�����,而是對(duì)組織整個(gè)信息系統(tǒng)的可靠性���、安全性進(jìn)行了解和評(píng)價(jià)�����,是一項(xiàng)通過審查與評(píng)價(jià)信息系統(tǒng)的規(guī)劃、分析�����、設(shè)計(jì)��、實(shí)現(xiàn)��、運(yùn)行和維護(hù)等一系列活動(dòng)��,以確定信息系統(tǒng)運(yùn)行是否安全�、可靠、有效,信息系統(tǒng)得出的數(shù)據(jù)是否可靠����、準(zhǔn)確,以及數(shù)據(jù)是否能有效存儲(chǔ)的過程�����。
IT審計(jì)的任務(wù)在于站在客觀公正的角度上����,收集審計(jì)信息,生成審計(jì)報(bào)告����,通過審計(jì)報(bào)告促成信息系統(tǒng)生命周期活動(dòng)和成果物的改善。實(shí)施IT審計(jì)能夠強(qiáng)化IT投資效果�,提高信息系統(tǒng)的安全性,能夠客觀評(píng)價(jià)信息系統(tǒng)及信息系統(tǒng)開發(fā)�,從社會(huì)經(jīng)濟(jì)和企業(yè)、國家信息化投資�、安全等方面都具有極大的意義。
信息安全標(biāo)準(zhǔn)是有關(guān)信息安全狀況的標(biāo)準(zhǔn)���,在TCSEC中���,美國國防部按信息的等級(jí)和應(yīng)用采用的響應(yīng)措施�,將計(jì)算機(jī)安全從高到低分為:A��、B���、C���、D四類八個(gè)級(jí)別。
中國的信息安全標(biāo)準(zhǔn)
我國的信息安全標(biāo)準(zhǔn)由以下系列:
GB/T 15843.x --y(x表示部分系數(shù)�,y表示年份)
GB 15851--1995
GB 15852--1995
標(biāo)準(zhǔn)眾多,格式基本差不多���,更多可訪問國家互聯(lián)網(wǎng)中心網(wǎng)站
信息安全審計(jì)目的����,顧名思義,為保障信息安全而誕生的審計(jì)形式���,通過對(duì)信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行事前防范�����、事中控制�、事后審計(jì),來達(dá)到保障系統(tǒng)無漏洞�����、信息無泄露的目標(biāo)����。
信息安全審計(jì)的具體內(nèi)容包括:
(1)信息安全審計(jì)的重點(diǎn)應(yīng)是根據(jù)系統(tǒng)提供的運(yùn)行統(tǒng)計(jì)日志,及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行的異常����,排除非法訪問、數(shù)據(jù)庫以及數(shù)據(jù)平臺(tái)被入侵的潛在風(fēng)險(xiǎn)���,以保障硬件�����、軟件和數(shù)據(jù)存儲(chǔ)的安全性。
(2)信息安全審計(jì)運(yùn)用計(jì)算機(jī)輔助審計(jì)工具對(duì)數(shù)據(jù)進(jìn)行測(cè)試和檢查���,為信息系統(tǒng)管理員定期提供有價(jià)值的系統(tǒng)使用日志�����,以幫助管理員盡可能早地發(fā)現(xiàn)系統(tǒng)漏洞���。
(3)通過審計(jì)跟蹤���,建立適配的責(zé)任追究機(jī)制,對(duì)內(nèi)網(wǎng)人員以及外部入侵者的惡意行為進(jìn)行警告和追責(zé)�����。
