安全审计技术范文
时间:2023-06-16 11:07:07
安全审计技术范文第1篇
模式。
关键词: 网络安全 数据库 审计技术
随着科技信息化技术的迅速发展,各类网络应用系统也融入日常工作生活中,网络作为各项网络应用的基础凸显出其重要性,网络安全管理是保障网络正常运行的重要工作,在网络安全管理中除了通过设备和配置实现安全防护,对于各种操作行为的安全审计不可忽视,合理运用网络安全审计技术相当于为网络开启“监视系统”,不仅能实现实时监控,对出现的高风险行为及时警示提醒,同时完成设定时间段内的操作行为存档以备分析取证,更重要的是系统中积累的历史数据通过统计和分析,能够为管理者提供真实准确的网络健康报告,为未来建设规划提供依据,在长航局网络建设中运用到网络安全审计技术。
网络安全审计技术概况
在国家出台的信息安全等级保护标准中对网络安全审计提出明确要求,包括对网络设备、安全设备、服务器、应用系统、数据库系统以及相关设备进行安全审计。网络安全审计技术主要可分为日志审计、网络审计和主机审计,通过启用硬件设备和软件系统的日志接口,获取系统广播的日志信息;对于核心网络设备,通过旁路模式开启数据镜像端口或直接串联在网络中,获取网络数据包进行解析;对于用户行为审计可通过安装客户端,直接获取用户行为信息。
在实际使用中,根据网络管理需要运用相应手段获取必要的审计信息,在长航局网络管理中对网络设备、安全设备、重要服务器、重要应用系统、重要数据库系统的安全审计是重点,未采取安装客户端方式获取用户行为信息。
网络安全审计技术实际运用
在长航局网络中网络安全审计主要包括:网络设备日志和操作过程记录、安全设备日志和操作过程记录、重要服务器日志、重要应用系统日志及操作痕迹、重要数据库系统日志及操作痕迹。
1、网络设备和安全设备安全审计
网络设备主要包括出口路由器、核心交换机、汇聚交换机和接入交换机,除部分接入交换机外,大部分网络设备属于可管理网络设备,进入网络设备配置模式,配置只读权限用户,启用SNMP功能,不同厂商设备略有不同。将需要管理的网络设备添加到网络中安全审计系统中,就可以获取到网络设备发送的SNMP数据包,安全审计系统会对收到的数据包按照事件等级进行分类,以便查询。
网络安全设备种类较多,如防火墙、入侵防护设备、防病毒网关、VPN设备、行为管理设备、流量控制设备等,根据各个厂商设备的设置,开启对应的SNMP功能,添加到网络中安全审计系统中操作和网络设备类似,需要注意的是串联在网络中的设备应设置允许SNMP数据包通过。安全设备通过安全策略和监控功能实现对网络安全保障,其监控信息实时更新,数据量较大,应根据需求确定需要记录的监控信息。
部分安全审计系统能够通过其登录管理网络设备和安全设备,并且记录下用户的操作痕迹,通过指派权限,设备管理员对对应设备的操作能够直观的展现出现,以便出现故障时分析查找问题。
2、服务器、应用系统及数据库安全审计
服务器由于硬件类别不同(如小型机、PC服务器、刀片服务器),安装的操作系统不同(如Windows、Linux),用途不同(如单机、集群、服务器虚拟化),开启SNMP功能方式有所不同,应根据具体情况进行操作。开启SNMP功能的服务器按照安全审计系统对于类别登记并纳入管理。
应用系统类别也比较多,基于不同平台、中间件定制开发的系统各不相同,应按照其提供的手册或通过开发人员沟通,开放日志接口,纳入安全审计系统管理。
数据库主要分为Orcale、MSSQL、DB2等几类,有统一规范的操作方法,按照对应数据库类别的操作方法,将其纳入安全审计系统,实现对数据库查询、读写、会话情况的记录和审计。
对服务器、应用系统、数据库的操作行为安全审计一般通过设置所在网络设备数据镜像接口方式实现。同样,部分安全审计系统能够通过远程登录方式去管理服务器及应用系统、数据库系统,记录下用户的操作痕迹,通过指派权限,设备管理员对对应被管理对象的操作能够直观的展现出现,以便出现故障时分析查找问题。
3、安全审计设备管理
按照网络结构特点,安全审计设备(系统)部署到合适的位置,数量有可能是一台或多台,超过一台时应根据其特点进行功能分工,接入方式以旁路为主。配置好网络后,登录管理安全审计设备,除添加各个被管理对象外,应对各类事件按照重要程度定义好级别或阀值,设置报警相关配置,定义好报表模板和报送方式,形成周期性报表以便保存和分析用。对于审计设备自身管理也应严格权限,按照管理需要分配不同类别管理权限,同时按照设备存储空间设置合理记录保存周期,或定期导出存储的记录。
网络安全审计参考模式
综合网络安全审计技术在实际中的运用方式方法,可以列出网络安全审计的使用参考模式,如图1所示。
对网络设备、安全设备、服务器、应用系统、数据库系统等相关对象可以通过开启日志功能管理。
通过获取网络数据包,可以深入记录分析更多行为操作。
对网络安全设备的分权限管理实现事件定级、分类、报警、形成统计分析报表。
图1
结束语
安全审计技术范文第2篇
关键词: 安全审计;网络审计;数据库审计;运维审计
中图分类号:TP393.08 文献标识码:A 文章编号:1671-7597(2012)0210106-01
随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享。即使部署了防火墙、防病毒、入侵检测系统等网络安全产品,制定了严格安全策略、了多项管理制度,各种网络安全事件任然有增无减,根据CERT的年度研究报告显示,高达50%以上的数据破坏是由内部人员造成的,内部人员对自己的信息系统非常熟悉,又位于防火墙的后端,对数据库系统的误操作或者蓄意的破坏会对企业造成恶劣的影响以及重大损失,无法定责,不方便管理。安全审计通过收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,将系统调整到“最安全”和“最低风险”的状态。
1 什么是安全审计系统
安全审计系统是在一个特定的企事业单位的网络环境下,为了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取,而运用各种技术手段实时监控网络环境中的网络行为、通信内容,以便集中收集、分析、报警、处理的一种技术手段。能够规范员工上网行为、提高工作效率、防止企业机密资料外泄,帮助管理者发现潜在的威胁,减少人为因素和管理缺失造成的关键业务停顿造成的损失。帮助您对IT安全事件进行有效监控、协调并迅速做出响应。对潜在的攻击者起到展慑和替告的作用,对于己经发生的系统破坏行为提供有效的追究证据。
2 安全审计系统功能
安全审计系统由审计主机以及探测器组成,采用旁路方式进行审计,不在网络中串联设备,不破坏网络结构,不影响正常业务的运行,也不会影响到网络性能,通过HTTPS方式对主机进行管理。系统主要由以下功能模块组成:
1)网络审计模块:防止非法内连和外连,负责网络通信系统的审计,在加强内外部网络信息控制监管的同时,为避免相关信息外泄及事后的追溯取证提供了有效的技术支撑。
2)操作系统审计模块:对重要服务器主机操作系统的审计,记录操作时间、IP地址、用户账号、服务器账号、操作指令、操作结果等信息。用户即可通过操作日志查看详细操作指令,也可通过录像回放查看详细的操作过程
3)数据库审计模块:对重要数据库操作的审计,对信息系统中各类数据库系统的用户访问行为进行实时采集、实时分析,用户登录、登出数据库,对数据表内容做插入、删除、修改等操作,记录内容可以精确回放SQL 操作语句。详细记录每次操作的发生时间、数据库类型、数据库名、表名、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。
4)主机审计模块:主要负责对网络重要区域的客户机进行审计, 包括对终端系统安装了哪些不安全软件的审计,并设置终端系统的权限等,在配合网络行为控制与审计策略的配置实施过程中起到基础性的作用。
5)应用审计模块:主要负责重要服务器主机的应用平台软件,以及重要应用系统进行审计。监测及采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,形成清晰的记录。
6)运维审计模块:主要负责监控系统管理员及第三方运维人员(代维/原厂工程师)系统操作时的审计,对于所有远程访问目标设备的会话连接,实现同步过程监视,运维人员在服务器上做的任何操作都会同步显示在审计人员的监控画面中,包括vi、smit以及图形化的RDP、VNC、X11等操作,管理员可以根据需要随时切断违规操作会话。记录访问者和被访问者的IP/MAC地址,访问时间等信息。
3 安全审计系统特点
安全审计系统实现功能模块,具有如下特点:
3.1 细粒度的操作内容审计(深度协议分析)
采用协议识别和智能关联技术,可对网站访问、邮件收发、远程终端访问、数据库访问、论坛发帖等关键信息进行监测、还原;从链路层到应用层对协议进行深度分析,根据内容自动识别各个连接的应用协议类型。保障审计的准确性。为管理机构进行事后追查、取证分析提供有力技术支撑。
3.2 全面的网络行为审计(精准的网络行为实时监控)
安全审计系统可对网络行为,如网站访问、邮件收发、数据库访问、远程终端访问、即时通讯、论坛、在线视频、P2P下载、网络游戏等,提供全面的行为监控,支持全面的行为审计、支持目前常见的各种网络应用,方便事后追查取证;在旁路部署模式下可实现较强的网络行为控制功能,包括对网页浏览、电子邮件服务器、即时通讯、P2P下载、流媒体、在线游戏等应用的控制。
3.3 日志规则库
自带基于日志内容分析的专家规则库,针对日志源数据进行实时等级划分,智能分析日志信息中所反映出的诸如设备故障、配置错误、系统警告、应用程序出错、传播违规违法信息、数据库敏感操作等信息,并能及时通过邮件或短信方式通知管理员。规则库能够定时自动升级,应对新增的安全风险。
3.4 综合流量分析
安全审计系统可对网络流量进行综合分析,为网络带宽资源的管理提供可靠策略支持;通过传统安全手段与安全审计技术相结合,在功能上互相协调、补充,构建一个立体的保障管理体系。
3.5 可靠的安全保障能力
自身的安全性高,不易遭受攻击,在操作系统级对系统各支撑引擎进行了修改和全面优化定制,全面防止攻击与劫持,提升系统整体性能的同时保障自身系统级安全。对关键审计数据的存储和传输进行加密防护,利用数据防篡改、防删除技术;严格访问权限、审计权限控制体系达到系统级安全防护,旁路部署保障对网络性能完全没有影响,保证网络无单点故障,优先保障用户网络级安全,是上网机构在内网和互联网过程中最可信赖的安全工具。
3.6 高效的事件定位能力
系统运行日志数据大致可分为两类:结构化数据和非结构化数据,结构化数据主要包括行为日志和报警日志等,而非结构化数据则主要包括内容审计数据。通过使用先进的全文检索引擎,实现高效的事件定位能力。
3.7 良好的扩展性设计,部署灵活
支持分级部署、集中管理,满足不同规模网络的使用和管理需求;对于单台设备无法处理的超大流量环境或含有分支机构的分布式环境,系统支持高扩展性的多台设备分布式部署方案,通过多台设备对超大的流量或各分支机构分而治之,又由统一的管理平台实现对整个网络的透明、统一的管理。
3.8 多种报表
全面详细的审计信息,丰富可定制的报表系统,系统根据历史审计日志数据进行统计可产生丰富详细和直观的报表,包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析、自定义报表等。能够从上网对象、时间、分类、目标等多个维度对网络活动进行查询分析,并以柱状图,饼图,曲线图,折线图等形式来体现排名、结构、趋势等上网概况,使管理者对所掌握的数据有清晰直观的认识。报表可以以EXCEL、PDF、WORD、HTML等形式导出保存,并支持自定义的周期性报表自动生成和订阅。日志可以按照要求保留90天以上,归档的日志可通过各种组合条件进行在线查询,也可以远程备份到异地进行离线查看。
综上所述,安全审计作为一门新的信息安全技术,能够对整个计算机信息系统进行监控,如实记录系统内发生的任何事件,可以有效掌握网络安全状态,预防敏感信息外泄,实现对内部网络信息的整体智能关联分析、评估、调查及安全事件的准确跟踪定位,为整体安全策略的制定提供权威可靠的支持,从而为信息安全提供了有力的保障。
参考文献:
[1]张世永,信息安全审计技术的发展和应用[J].电信科学,2003(12).
[2]韦成府、吴旭、张华,网络行为安全审计系统Web应用的设计与实现[J].现代图书情报技术,2009(02).
[3]章剑林、李班、丁勇,企业网站的安全风险和安全审计技术研究[J].浙江理工大学学报,2008(05).
[4]万国根、秦志光、刘锦德,网络内容安全分析及审计技术研究[J].计算机应用研究,2004(01).
安全审计技术范文第3篇
关键词:区块链技术;食品安全审计;信息化;框架构建
现阶段我国的食品安全依旧存在比较突出的隐患,食品安全风险的识别与防控具有复杂性、差异性等特点,食品安全治理仍存在比较大的难度。作为风险防控的重要手段,食品安全审计近几年得到快速发展,但在信息化技术水平、流程体系以及数据完备性等方面还存在较多问题,尤其是在数据获取的真实性和完整性上存在较大的难度。区块链具有去中心化、独立性、安全性与匿名性等特点,利用其智能合约、共识机制、非对称加密、分布式账本等技术,可有效保障审计数据的质量与可追溯[1],同时还有助于风险的及时捕捉、人力资源的节省以及审计效果的提升等。因此,分析探讨区块链技术在食品安全审计中的应用具有重要的现实意义。对于食品工业来说,审计与食品质量标准在食品安全的保障中起到的作用都是不可或缺的,例如:评估管理系统,获得某些食品安全和质量标准的认证,评估场所和产品的条件,确认法律合规性等等[2]。审计应用于食品安全治理,最早是在西方国家产生的,由此也逐渐衍生出一项新领域的审计———食品安全审计。国内学者将食品安全审计界定为:“一套集成本审核分析、质量管理机制考察和企业产品质量状况核算评价为一体的科学方法”[3]。该领域的研究在国内起步较晚,大致开始于在三鹿奶粉事件发生以后,并且集中在乳品行业,食品安全审计的具体实施也基本是由政府有关部门主持进行,且审计对象主要聚焦在大型企业[4]。目前,就我国已有的食品安全审计案例来看,还存在中小型企业审计不够到位、审计依据标准不够明确、审计数据不够安全可靠以及在专业审计人才与方法上存在欠缺等问题。因此,亟需新技术、新方法的引入和应用。近几年,随着区块链技术的发展,学者们开展了其在许多领域和场景应用的研究。区块链在审计领域的应用也得到了越来越多的重视,相关的研究如:基于区块链技术构建实施审计框架[5-6]、区块链技术在企业联网审计中的应用[7-8]、区块链技术在金融审计中的应用[9-11]以及区块链审计在政府治理中的应用等等[12-13]。在具体的审计模式探索中,毕秀玲等[14]提出要大力推进“审计智能+”的建设,在5G、区块链、大数据与人工智能等技术的支持下,提高审计信息化的水平。传统审计过程中所面临成本、效率、质量、安全性等问题恰恰可以通过区块链技术进行有效解决[15]。房巧玲等[16]便提出了基于双链架构的混合审计模式,即智能审计程序与人工审计程序相结合的模式。从目前已有的研究来看,还尚未见有关区块链技术在食品安全审计中应用的研究。基于此,文章首先根据区块链技术的工作原理与优势点,分三个层次构建起区块链技术在食品安全审计中应用的逻辑框架。其次结合传统审计工作,通过技术代入,进一步阐述区块链技术下的食品安全审计工作的大致流程。最后,充分考虑当前区块链技术在运用中所面临的各种问题,提出相关的建议以及未来发展的展望。
1区块链技术在食品安全审计中的应用逻辑
1.1区块链的工作原理
区块链是在一种基于分布式系统思想形成的网状结构,在这个网状结构中,信息存储上链主要有以下流程:当某个节点有新的数据信息录入,该节点将会把信息网络中的其他节点进行广播,其他节点在接收信息以后会对其内容的真实性、完整性以及可靠性进行检验,检验无误后该信息将被储存在一个区块中,经过随机Hash算法得出Hash值,该过程可以视为一种单向的加密手段,不仅可以将复杂无章的数据信息转换为固定长度的字符代码,而且其破解的困难程度也保证了数据的不可篡改性。此时,全网将基于共识机制对该区块内数据进行审查,审查通过以后该区块将被正式存入区块链的主链中,相应的数据也将被打上时间戳标记,更新复制保存到每个节点里[17],如图1所示。
1.2区块链技术在食品安全审计中应用的逻辑
区块链作为一项颠覆性技术,在各个领域加速应用。将区块链技术应用到审计领域,这种模式被称为区块链审计。而在区块链审计的定义上,徐超等[18]提出广义和狭义之分,广义上指在审计领域应用区块链技术,而狭义上则包含了区块链审计和审计区块链这两种方式,二者的审计对象不同,具有本质上的区别。在区块链审计过程中,审计人员基于信息系统对一般控制和应用控制进行测试,通过借助发挥区块链技术的优势性,对各类业务执行自动化审计和持续审计等行为[19],具体包括:对数据的真实性、时效性以及可靠性进行审计;对系统设置、共识机制以及智能合约等进行审计;对区块链技术所涉及的系统节点等安全性进行审计[20]。事实上,区块链可以分为三个层次:协议层、应用层和访问层,它们相互独立又不可分割,构成了区块链技术在食品安全审计领域的运用逻辑,如图2所示。协议层(又称基础层)是基于共识机制展开运行的,通过共识机制来保障每个节点的数据是真实一致可靠的。在利用分布式数据存储、加密算法、网络编程以及时间戳等技术的基础上,对食品供应链上所涉及到的各个环节、各个企业的各类信息进行收集与记录,如食品生产过程中的原料配比情况、添加剂的使用量情况,食品物流环节的负责方信息、车次时间以及冷链条件情况,食品交易过程中经销商情况以及流入消费者的时间地点等信息[21]。企业彼此间的信息验证以及共识算法记账使得审计需要的众多数据信息能够公开透明、不易篡改,也有助于扩大审计工作的覆盖面。对于应用层而言,智能合约的存在使得区块链在没有人工控制以及第三方干预的情况下,能够按照网络编程出的代码进行自主运行,有助于明确执行标准,大大提高了审计的效率以及数据的收集分类等重复性工作,在预先设置的程序代码中,一旦触发相应的条件和标准,将会作出各类分析行为,这样一来,审计人员通过区块链技术就可以对食品质量安全实现实时监控、及时预测和灵活预警[22]。就访问层来看,无论是通过个人计算机(personalcom-puter,PC)端还是移动终端,借助区块链技术的可编程性采用公钥与私钥授权的机制,能够实现数据的安全独立便捷获取。同时,时间戳技术有助于保障数据的安全性,使审计工作的的可靠性和便利性能够得到进一步优化。
1.3区块链技术在食品安全审计中应用的优势
对于食品行业来说,信任机制的构建对于品牌形象的树立是十分关键的,而品牌形象的优劣将直接影响企业的生存甚至是行业的兴衰。在这种情况下,通过审计去发现问题、解决问题,并实现信息的公开、透明、可追溯将有助于信任的构建。而区块链技术在审计中运用的优势,将有效推动信任机制的形成。首先,去中心化的优势使得在整个食品供应链上所有企业都可以分别作为一个节点,分布式数据储存技术的应用,使得众多企业在信息的记录和储存上互相监督、互相利用,具有更加安全、更加便捷、更加透明的优点。同时,每个审计项目由指定的审计组执行审计,每个审计组也相当于区块链的一个节点,若干个审计组节点组成分布式节点组织结构,相当于一个分布式账本。于是审计的范围变得更加广泛,所涉及的审计对象也更加的全面而具体,不需要非得围绕核心企业实施审计,解决了审计范围的局限性问题,有助于提高食品安全审计结果的质量。其次,交易可追溯性、数据透明性的优势使得信息在供应链上变得更加可靠、真实。在供应商的选择、企业内部控制执行的有效性等等方面具有督促作用。例如,就已有的食品安全审计案例呈现的结果来看,存在如下问题:企业不能持续保持生产条件、食品安全管理制度等落实不到位、企业自身的检验能力不足、生产信息记录的不完整甚至伪造记录以及不合格品和变质食品的及时处置问题等。在区块链技术的帮助下追溯系统将会不断完善[23],对于存在的这些问题也会更加具有约束和威慑作用。在现实中,已有具体的应用案例,如2017年7月沃尔玛、京东、国际商业机器(internationalbusinessmachines,IBM)公司和清华大学共同组成了区块链联盟,在产品的地产、批号、生产厂家、到期日期以及运输细节等各种详细信息的获取上,可以实现从天数到秒数的速度提升,这将极大地提升审计实施的效率。最后,可编程性则发挥了信息技术的优势,相比于传统审计中的人工操作,信息技术的应用将会使得审计的流程更加严谨、更加快捷。食品安全审计过程中,涉及到的质量标准、规范等十分复杂,对于不同品类食品的特殊性质、不同添加剂的使用规定等所涉及的知识更加多样和复杂[24],利用计算机编程技术,则可通过代码的编写,将有关审计标准、审计法规等进行定义,在区块链中实现数据信息的智能运行。在既定的规则和协议下,区块链可以实现数据的自动采集、传递与存储,高安全性、高透明性使得审计效率大大提升。德勤会计师事务所的Rubix平台就是通过将自动化技术和区块链技术相结合,在提升工作效率的同时,又能达到降低成本等作用[25]。同样,沃尔玛也将区块链技术应用于食品供应链管理之中,并取得了一定的理想成效[26]。
2区块链技术下食品安全审计的流程
区块链技术下的食品安全审计流程是在传统审计流程的基础上,通过融入区块链技术,对审计流程进行重塑,保证审计大环节不变,即审计准备阶段、审计实施阶段以及审计报告阶段,但细节更加优化、效率更高,如图3所示。
2.1审计准备
在审计准备阶段需要先对审计信息和数据等进行预处理,通过数据的采集、传输与存储,利用区块链中各个节点所达成的共识机制,实现数据的真实性、完整性与一致性。在这个过程中,通过对被审计食品行业的相关标准、企业会计准则的选取情况、企业的性质以及监管环境等的了解,对相关获取信息进行更新记录,并利用时间戳技术,相当于会计记账中的连续编号机制,对新产生的区块做上时间标记,充分保证了数据在一定时间内是可追溯的、可验证的以及完整的。
2.2审计实施
在审计实施阶段,面对食品供应链本身的环节的多样性与复杂性,区块链应用平台会及时向各个节点的企业、账项往来银行以及其他关联方进行信息的检查与考证,并将结果进行实时反馈。在对某一生产、加工业务或者交易进行审查以后,将问题点进行汇总与分析。在审计过程中,同时需要伴随着数据清洗、数据挖掘、可视化操作、实时处理、风险识别与评估以及重要性水平的确定等技术支撑,也需要借助传感器、物联网、射频识别以及CPS/GPS等审计工具[21],因此,这将对专业人才的技术水平有着较高的要求。
2.3审计报告
在传统审计流程的收尾阶段,需要对整个审计流程所记录的工作底稿以及证据信息进行整理与汇总,并出具最终的审计报告、发表审计意见。而在区块链技术的应用下,审计人员通过对数据信息的系统建模进行智能化自主分析,并且能够做到对审计结果的实时记录、对被审计企业进行随时随地的监控,还可以根据审计主体的不同以及审计要求的变化,随时出具定制化的审计报告,大大提高了审计结果的质量以及需求度的满足程度。
3区块链技术在食品安全审计应用中面临的问题
3.1技术问题
现阶段,无论是国家、社会还是具体的个人,对于审计的水平和质量要求越来越高。监督再到上市公司的财报结果公开,处处离不开审计的参与,审计也逐渐在越来越多的领域发挥作用,例如:领导干部经济责任审计、自然资源资产审计、信息科技审计以及本文所探讨的食品安全审计等领域。在食品安全上,任何小的风险都不容忽视,这对于审计的执行是一项不小的挑战,尽管区块链技术在效率和质量等方面对食品安全审计有着很大的帮助,但在海量的信息面前,区块链的复杂度也急速增加,无论是从硬件上还是软件上,对计算机的算法处理能力、存储能力以及硬件配置有着越来越严苛的要求。因此,进一步提高硬件的可靠性以及软件的适配性是技术层面需要持续努力的方向。
3.2安全问题
区块链技术尽管有着Hash值非对称加密算法、时间戳等技术的支持,但安全性问题依旧是区块链技术在发展中不容小视的关键问题。随着黑客技术的不断进化,以往的51%攻击成本已经不再具有很强的约束性,这对于审计工作是一项不小的潜在威胁。在区块链共识机制的基础上,很多企业将自己的关键性信息乃至核心机密都进行了上链操作,而黑客的行为将会对企业们造成重大损失甚至致命冲击。这就说明不存在一劳永逸的保障,各项技术需要在不断的挑战和威胁中,始终保持高度的预警态势,在面对不法分子的各种花样攻击时,能够做出迅速、有效的反应,这就需要相关信息技术人员不断提升其专业水平和素质。
3.3监管问题
事实上,尽管区块链技术中的分布式数据储存技术使得数据的记录、存储与读取更加便捷、安全,但其却弱化了国家对于交易情况的监督,对于现有的监管体系具有一定的冲击。区块链技术还在逐渐发展走向成熟,在食品安全审计领域的应用也将处于不断探索的阶段,有关监管的法律法规仍需进一步的完善与明确,如果真的出现监管漏洞,那必然影响该技术的健康、稳定与向好发展。因此,在技术不断进步的同时,国家相关部门的法律与监管体系也要完善跟进,二者相辅相成,为技术作用的充分发挥保驾护航。
4结语
综上可见,区块链技术的未来发展前景还是光明的,无论是在食品安全审计还是其他领域上的应用都将更加普遍。尽管区块链技术的发展充满了各种各样的可能性,既不能高估其在短期内带来的影响,同时也不能忽视其在长期带来的变革。让技术的优越性充分发挥,在众多产业发展中充当技术层的中坚力量,需要多方面共同助力推进。需要不断加强基础研究,提升创新的质量,发挥区块链在促进数据共享、优化业务流程、降低运营成本、提升协同效率以及建设可信体系等方面的作用,使区块链技术在数字经济时代下的社会发展中展示更多的功能。此次研究主要从理论逻辑上进行分析和框架构建,随着食品安全审计工作的现实普遍开展,未来的相关研究可以考虑结合更多实际案例进行更加深入的分析与探索。
安全审计技术范文第4篇
随着互联网的发展,网络逐渐成为完成业务工作不可或缺的手段,很多政府、银行、企业纷纷将核心业务基于网络来实现。然而,网络的不断普及带来了大量的安全问题。目前全球数据泄密事件53.7%的是由于人为疏忽造成,15.8%是由内部恶意窃密,23.3%是由于黑客等外部攻击行为造成,7.2%是由于意外造成的数据丢失。根据IDC数据显示,内部泄密事件从46%上升到了67%,而病毒入侵从20%,下降到5%。
2.信息安全审计定义及作用
2.1信息安全审计定义
信息安全审计是针对网络用户行为进行管理[1],综合运用网络数据包获取、协议分析、信息处理、不良流量阻断等技术实现对网络信息内容传播的有效监管。它能够帮助用户对网络进行动态实时监控,记录网络中发生的一切,寻找非法和违规行为,为用户提供事后取证手段。
2.2信息安全审计的作用
跟踪检测。以旁路、透明的方式实时对进出内部网络的电子邮件和传输信息等进行数据截取和还原,并可根据用户需求对通信内容进行审计,提供敏感关键词检索和标记功能,从而防止内部网络敏感信息的泄漏以及非法信息的传播。取证监控。还原系统的相关协议,完整记录各种信息的起始地址和使用者,识别谁访问了系统,访问时间,确定是否有网络攻击的情况,确定问题和攻击源,为调查取证提供第一手的资料。
3.其他安全产品安全审计方面的缺陷
防火墙只是内外部网络之间建立起隔离,控制外部对受保护网络的访问,通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。入侵检测对网络中的数据包进行监测,对一些有入侵嫌疑的包进行报警,准实时性较强,但采用的数据分析算法不能过于复杂,通常只是对单个数据包或者一小段时间内的数据包进行简单分析判断,误报率和漏报率较高。漏洞扫描、防病毒等设备主要发现网络、应用软件、操作系统的逻辑缺陷和错误,提早防范网络、系统被非法入侵、攻击;发现处理病毒。
4.信息安全审计系统的分类
主机审计:审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;统一安全策略,实现集中审计等。网络审计:应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;应能够根据记录数据进行分析,并生成审计报表;应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。数据库审计:审计对数据库的操作行为,如增、删、改等,发现各种非法、违规操作。业务审计:对业务系统的操作行为进行审计,如提交、修改业务数据等,满足管理部门运维管理和风险内控需要。日至审计:审计网络设备、安全设备、应用系统、操作系统的日志,发现安全事件,保存证据。
5.信息安全审计系统的设计
主流的信息安全审计系统分为探针引擎和管理应用平台两部分组成[2]。探针引擎的主要功能:监听网络数据,并将数据临时保存。将不同的数据流汇聚,形成一个应用链接;根据设定的规则,对采集的数据进行初步过滤,并对采集的数据进行协议分析,提取内容信息。如在Smtp,pop3协议中,提取邮件体和附件;将采集后的数据按规定格式存储和传输。根据需要,进行传输加密。管理应用平台是由web管理平台+控制中心+数据库组成的三层结构。WEB管理控制平台主要功能:业务逻辑展现,系统管理、日志管理、策略管理、报表管理、查询统计分析。控制中心主要功能:文件中心主要是用于系统报警原始文件存储、文件读取;统计中心主要是用于定期对系统关键词报警信息、行为日志数据、网络流量数据、系统操作行为进行分类统计;数据中心主要是实现数据库与探针引擎之间的桥梁,实现策略下发、探针引擎接入控制、数据转存功能。数据库主要功能:用于结构化数据的存储。
6.信息安全审计技术在工作中的基本应用
HTTP敏感信息检测:HTTP协议的网页浏览、网页发帖监测,记录中标网页的URL、浏览时间、源IP、目的IP、源端口、目的端口以及源、目的MAC地址,并还原、保存原始网页文件到本地磁盘。通过IP地址、域名、时间范围、协议类型等组合查询查看报警信息并输出报表,通过“查看文件”链接查看原始浏览网页文件内容,通过“查看详细”链接监测报警信息的数据来源、报警协议类型、文件存放路径等信息。邮件敏感信息检测:SMTP,POP3中的敏感信息监测,记录中标网页的信息摘要、关键词、接收用户、发送用户、IP地址,并还原、保存原始邮件到本地磁盘,系统默认收、发邮件端口分别为110、25。可以通过接收用户名、发送用户名、时间范围、IP地址查询条件检索邮件敏感信息并输出报表,通过“查看文件”链接打开查看原始邮件主题、正文内容,通过“查看详细”链接监测报警信息的数据来源、报警协议类型、文件存放路径等信息。IP流量监测:监测IP主机数据流向、流量大小,按总计流量从高到低排序,并可清零流量重新统计。数据库日志检测:监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作日志记录,并记录数据库服务器及操作用户的IP、登录用户名、MAC地址、操作时间等信息。
7.结语
如何保证网络行为、信息内容的合规性、合法性、健康性已成为网络安全研究领域中的热点问题。信息安全审计技术是对网络行为进行检测与防范,也是对信息系统建设的重要补充,将继续在信息安全中发挥重要的作用。
作者:张楠 单位:吉林省统计局数据管理中心
参考文献:
[1]胡品辉.安全审计技术在地方财政信息系统中的应用[D].广东工业大学.2008.
安全审计技术范文第5篇
关键词:安全审计;数据挖据;日志分析
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2011)35-0000-0c
Research of the Network Security Audit System Based on Data Mining
(Department of Information and Electronic, Hangzhou polytechnic, Hangzhou 311400, China)
Abstract: In this paper, network security audit was studied as a data analysis process, logs in the network environment is the important data source, some main data mining techniques was considered such as Preprocess, Association, Sequential, Classification, Clustering, a basic structure of network security audit system was proposed and the algorithms for audit data mining was discussed.
Key words: security audit; data mining; log analysis
随着信息化建设的飞速发展,金融机构、政府部门、公安国防等含有大量敏感数据的机构对信息系统的依赖性越来越高,除了采用身份认证和授权管理技术对非法用户和非法操作进行屏蔽外,对这些数据的合法操作同样有可能导致安全事故的发生,比如泄密、恶意删除、操作失误等。为此,基于操作日志的风险预警和责任认定体系的研究正成为信息安全领域的一个研究热点。据IDC统计,2007-2011年,国内风险管理解决方案市场以22.4%的复合增长率快速增长。
现有的责任认定主要通过安全审计来实现。安全审计除了能够监控来自网络内部和外部的用户活动,对与安全相关活动的信息进行识别、记录、存储和分析,并对突发事件进行报警和响应之外,还能通过对系统事件的记录,为事后处理提供重要依据,为网络犯罪行为及泄密行为提供取证基础。同时,通过对安全事件的不断收集与积累并且加以分析,能有选择性和针对性地对其中的对象进行审计跟踪,即事后分析及追查取证,以保证系统的安全。
在TCSEC和CC等安全认证体系中,网络安全审计的功能都被放在首要位置。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否真正安全的重要尺度,是一个安全的网络必须支持的功能特性[1]。
本文以安全审计领域中的数据挖掘应用为研究视角,以操作日志为数据对象,给出了基于多源日志数据挖据的网络安全审计系统的基本架构,并对研究过程中的几个关键技术点进行了分析。
1 系统架构
目前安全审计系统中普遍采用的特征检测的方法是由安全专家预先定义出一系列特征模式来识别异常操作。这种方法的问题是模式库得不到及时的更新,这样在安全审计的过程中系统不能自适应地识别出新型异常,使误报警和漏报警问题不断发生。此外,一方面随着网络应用的普及,网络数据流量急剧增加,另一方面有些审计记录本身包含了大量的无关信息,于是,数据过载与检测速度过慢的问题也不无出现。
数据挖掘本身是一项通用的知识发现技术,其目的是要从海量数据中提取出我们所感兴趣的数据信息(知识)。这恰好与当前网络安全审计的现实相吻合。目前,操作系统的日益复杂化和网络数据流量的急剧膨胀,导致了安全审计数据同样以惊人的速度递增。激增的数据背后隐藏着许多重要的信息,人们希望能够对其进行更高抽象层次的分析,以便更好地利用这些数据。将数据挖掘技术应用于对审计数据的分析可以从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息,抽象出有利于进行判断和比较的特征模型。根据这些特征间量模型和行为描述模型,可以由计算机利用相应的算法判断出当前网络行为的性质。
基于数据挖据的网络安全审计系统的基本架构如下图1所示。
图1 系统架构
系统由ETL、数据仓库、元数据引擎、OLAP引擎、专家知识库、数据挖掘模型、应用接口等部分组成。ETL系统将异构、分散的审计数据日志抽取并清洗后送入数据仓库;数据仓库根据不同的数据分析特点采用星型或雪花型模式存储多维数据模型;元数据引擎负责定制与维护规范的ETL规则定义、数据仓库模型定义及业务流程定义;OLAP引擎通过MDX(Multi Dimensional Expression,多维查询表达式)语句分析器响应用户查询操作,分析器接收客户端提交的MDX语句,并对该MDX语句进行语法和语义分析,然后按照预先定义的多维数据模型转换成相应的SQL(结构化查询语句)语句,最终从关系型数据库中获取有关的数据。如果需要获取的数据已经在缓存中,则直接从缓存中获取。专家知识库记录了典型案例和审计规则,根据知识库中的规则,责任分析模型应用数据挖掘相关算法对数据进行分析,当某用户的行为与知识库中定义的异常规则相一致时,通过应用接口层给出警报信息,当出现与知识库中的任何规则都不匹配的异常规则时,利用聚类和分类挖掘技术将这些知识添加到知识库中。这样可以通过不断修改知识库来发现未知攻击或已知攻击的变种。
2 关键技术分析
2.1 多源日志处理
在信息化建设过程中,由于各业务系统建设和实施数据管理系统的阶段性、技术性以及其它经济和人为因素等影响,操作系统、网络设备、安全设备的使用日益复杂化,这导致产生了大量异构、分散的安全审计数据,包括操作系统日志、安全设备日志、网络设备日志以及应用系统日志等,这给数据分析与决策支持带来了困难。解决方案是对异质异构日志数据格式进行转换,同时使用事件合并机制对系统间相似数据进行合并,并与各案例库和各日志库一起为责任认定系统提供数据服务,为责任认定提供依据。文献2对多源日志数据的采集、范化、分析、过滤、聚类、归并等过程进行了综述,并提出了相应的算法和实例。
2.2 审计数据仓库构建
数据仓库存储模型与传统的业务数据库系统有着本质的区别,数据库技术在存储模型建设方面强调数据模型的规范性和高效存储能力,而数据仓库技术在存储模型建设方面强调数据查询的方便性和快速响应能力。目前通常采用的数据仓库存储模型有:星型模型,雪花模型[3]。星型模型将一个事实表放在中间,周围是有数据相关的维表,事实表是星型模式的核心,数据量很大。维表是事实的附属表,数据量比较小,它提供了事实表中每一条记录的描述性信息。在星型模式中,每个维只用一个表来表示,每个维表包含一组属性,从而造成了一定程度的冗余。为了避免这些冗余数据占用过大的空间,可以用多个维表来表示一个层次复杂的维,从而把数据进一步分解到附加的表中。这种规范化了的星型模式称为雪花模式。虽然雪花模式减少了数据冗余,节省了存储空间,但由于执行查询时需要进行更多的连接操作,降低了浏览的性能。在审计数据仓库中,由于浏览操作的实时性和频繁性,星型模型更为适用。
2.3 数据挖据算法应用
在安全审计中,运用数据挖掘技术,可以利用统计、分类、聚类、关联、序列分析、群集分析等方法,对网络日志中大量的数据进行深层次分析和研究,揭示其本来的特征和内在的联系,使它们转化为网络安全检测所需要的更直接、更有用的信息。
1) 分类与预测算法:分类要解决的问题是为一个事件或对象归类。在使用上,既可以用来分析已有的数据,也可以用它来预测未来的数据。安全审计可以看作是一个分类问题:我们希望能把每一个审计记录分类到可能的类别中,正常或某种特定的入侵或操作异常。一般来讲,分类根据系统特征进行,关键就是选择正确的系统特征,大多数时候还需要根据经验和实验效果确定一个合理的阀值。
2) 关联分析:关联规则挖掘是指发现大量数据中项集之间有意义的相关联系。关联规则可以从海量的日志数据集中发现不同字段之间存在的关系,这些联系反映了用户的某些操作在一段时间内频繁出现的条件,清楚地反映了用户的行为模式。利用关联规则算法挖掘出合法用户的历史正常行为模式,将当前的行为模式与历史正常行为模式进行比较,从而可以分析出用户的潜在异常行为。文献4即根据网络审计日志实时更新的特点,提出了一种基于深度优先生成树的关联规则挖掘的改进算法FIDF,改变了候选项集的产生顺序,提高了审计日志数据关联规则挖掘的效率,确保了入侵检测系统的实时性和准确性。
3) 聚类技术:聚类就是将数据对象分组成多个类或者簇,划分的原则是在同一个类(簇)中的对象之间具有较高的相似度,而不同类(簇)中的对象差别较大。在网络安全审计中,聚类模式的常规做法是通过分析网络资源的受访问情况以及访问次序,来找到用户间相似的浏览模式,并进行安全性识别。文献5针对聚类应用在日志分析中存在的主要问题,从聚类算法的选择标准、改进方向、性能分析3个方面探讨了典型聚类算法k-means算法的研究成果。
3 结束语
本文将网络安全审计与责任分析视为一种数据分析的过程,以网络环境中大量的安全责任日志数据为分析对象,综合运用数据挖掘中的预处理、关联、序列、分类、聚类等技术,提出了网络安全审计系统的基本架构,重点对适用于审计数据挖据的相关算法进行了应用分析。
参考文献:
[1] 张旭东.内网安全审计系统及审计数据挖掘研究[D].浙江工业大学,2007.
[2] 刘成山,张秀君,刘怀亮.多源日志的数据挖掘方法研究[J].情报杂志, 2009(3):154-156.
[3] Inmon, W H.数据仓库[M].4版.北京:机械工业出版社,2006.
[4] 周丽,王小玲.基于网络审计日志关联规则挖掘的改进[J].计算机技术与发展, 2011(6):150-153.
安全审计技术范文第6篇
【关键词】网络安全 审计 态势预测
目前网络已经在各行业中被广泛地普及,人们对网络的依赖日益增加。然而网络攻击事件却也是愈发频繁。面对大量的病毒入侵,传统的防火墙、入侵检测等技术逐渐呈现出疲态,已满足不了现阶段的网络安全防御需求。
1 网络安全审计技术
1.1 网络安全审计系统的问题
1.1.1 日志格式无法兼容
不同厂商的系统产生的日志格式一般是无法兼容的,这就对集中网络安全事件进行分析,增加了难度。
1.1.2 日志数据管理困难
日志的数据会随着时间不断地增加,但日志容量有限,一旦超出容量,数据不能轻易地处理掉。
1.1.3 日志数据集中分析困难
如果攻击者针对多个网络进行攻击,由于日志不能兼容,就只能单个进行分析,这样不仅工作量大,而且很难发现攻击者的踪迹。
1.1.4 缺少数据分析和统计报表自动生成机制
日志数据每天都会有所增加,工作内容过多,管理者就只能一个个查看下去,所以数据分析和统计报表的自动生成机制是必要的,能够最大程度减少管理者的工作量。
1.2 网络安全审计系统的主要功能
1.2.1 采集日志数据类型多样化
如入侵检测日志、防火墙系统日志、操作系统日志、应用和服务系统日志等。
1.2.2 多种日志统一管理
便于将采集的各种复杂的日志格式转化为统一日志格式,实现多种日志信息的统一管理目标。
1.2.3 日志查询
可以支持大部分查询方式对网络的日志记录信息进行查询,并将信息以报表的形式显示。
1.2.4 入侵检测
利用多种相关规则对网络产生的日志和报警信息进行分析,能够有效地检测出较为隐蔽的安全事件。
1.2.5 集中管理
审计系统建立统一的集中管理平台,将日志数据库、日志、安全审计中心集中起来进行管理。
1.2.6 安全事件响应机制
根据事件类型,可以选择相应的报警响应方式。
1.2.7 实时监控网络动态
对有的特定设备可以实施监控到日志内容、网络行为等。
1.2.8 安全分析报告自动生成
通过分析数据库中的日志数据、网络安全性,自动输出分析报告。
2 网络安全态势预测技术
2.1 网络安全态势预测技术的作用
大数据时代互联网可以利用光纤、无线网络接入终端、服务器设备,实现信息化系统共享数据、传输的目的。但随着科技不断发展,网络面临的攻击力度和方式愈发强了,以致网络随时面临着病毒的侵入。然而网络安全事件发生动态不明,所以需要采用态势预测措施,其通过分析过去以及现在网络安全事件的走势,预测未来网络安全事件的走势,以此协助安全管理人员作出正确的判断。目前,态势预测技术属于网络安全防御手段中最有效的技术之一,其采用了先进的分析技术,能够随时对不确定的信息进行统计,建立科学、高效的网络安全态势预测趋势图,进而彰显安全态势预测的实用性。
2.2 网络安全态势预测技术的研究
态势预测技术的效果获得了国内外许多学者的认可,目前已经在很多领域中广泛的应用和研究,从而延伸出许多态势预测技术,其中最为关键的技术有自回归移动平均模型、神经网络预测模型。
2.2.1 自回归移动平均模型
自回归移动平均模型体现方式是非常常用的随机序列构建而成的模型,其建模过程包括序列检验、序列处理、模型识别、参数估计以及模型检验。识别序列中存在的相关性以及只通过数学模型详细记录序列的连续性是自回归移动平均模型的主要目标。在执行自回归移动平均模型中,序列检验主要针对数据的随机性和平稳性进行检测;序列处理通常采用差分运算法、函数变换方法、周期差分法等对序列进行处理;常用的参数估计方法有矩估计、最小二乘估计等;模型检验的目的是为了检验参数的序列类型,若是属于白噪声序列,则可以通过检验。自回归移动平均模型在应用过程中,需要存在态势序列满足平稳性假设的条件,但要完成这个条件极为困难,所以限制了该模型的使用范围。
2.2.2 神经网络预测模型
神经网络采用学习算法模仿正常的网络数据行为,能够利用模仿数据提取查询相关正常数据,并储存在网络数据库里,方便识别不正常的数据行为,所以神经网络预测模型是一种网络安全态势预测算法,且非常具有有效性。神经网络能够训练数据学习的自主性、自适应性,且能够区分正常数据以及掌握最流行的网络攻击行为特征,进而掌握正常的安全事件行为模式。完成训练后,神经网络可以对网络事件行为特征进行分析和识别,并记录行为特征的变化,从而检验出可能存在的异常行为。由此可见,神经网络可以在训练时通过调整神经网络参数权值实现分布式存储、并行处理和容错的能力,其还具有较强的适应能力和非常强的抗干扰能力。神经网络在网络安全审计系统应用过程中,存在一些问题,如样本数据获取困难、检验精度对神经网络训练次数的依赖性强等。
3 结语
态势预测技术作为新兴的网络安全防御技术,可以通过分析过去以及现在安全事件走势,进而预测未来一定时期网络安全事件的走势。而安全审计系统虽然存在一些需要考虑的问题,但其具有很好的兼容性,能与其他防御系统联合运用,以此配合态势预测技术,必定能够协助安全管理员解决问题,从而降低网络攻击次数。
参考文献
[1]薛丽敏,李忠,蓝湾湾.基于在线学习RBFNN的网络安全态势预测技术研究[J].信息网络安全,2016(04):23-30.
[2]郑士芹.大数据时代网络安全态势预测关键技术探讨[J].黑龙江科技信息,2015(32):204.
作者简介
黄瑜帅(1982-),男,广东省惠州市人。硕士研究生学历。现供职于惠州市公安局网络警察支队(惠州市电子数据检验鉴定中心)。
作者单位
安全审计技术范文第7篇
关键词 超大型数据库;性能优化;动态表分区
中图分类号TP392 文献标识码A 文章编号 1674-6708(2013)82-0222-02
0引言
基于内容的网络安全审计系统,为了进行事后统计分析和提供证据,需要将用户指定范围内所有采集到的数据信息存入数据库以及相对应的文件中。能够保存较长时间范围内的历史数据信息对于网络安全审计系统来说是非常重要的,通常情况下需要保存最近三个月的历史数据信息。
经过前期需求和数据测试分析,1G的电信网络中每天大约会增加6 000万个数据文件和数据记录,这样其存储的数据库规模非常大。数据库规模的不断变大,将会导致数据库系统性能的急剧下降,使得数据库维护的成本不断上升,甚至造成周期性的停机。
1表分区
表分区技术就是当数据库中的某个表变得特别大时,可以根据一定的条件或者规则,将一个大表划分为多个包含少量数据的分区,每个分区都是一个逻辑实体,是表的一个子集。通过将一个大表拆分成为多个更小的单个表,使得只访问一小部分数据的查询执行得更快。另外,对于这些小表可以更快地执行维护任务(如重建索引、数据备份或导入导出等)。
在超大型数据库中,通常不使用单个分区中的大数据集,而采用经过优化设计的本地分区和访问策略,能够使查询性能提高一倍以上,甚至几十倍。采用表分区技术的优点:
1)可以极大地缩短查询时间;
2)减少数据加载时间,改善数据库的可维护性;
3)解决从活动数据库中删除历史数据时出现的数据修剪问题。
2动态表分区
表分区按照实现的方式不同可以分为静态和动态两种。所谓静态表分区就是在数据库初始化的时候按照预定格式一次性生成所有分区。而动态表分区则是应用程序根据一定的规则动态创建所需分区,并对这些分区进行动态管理和维护。采用静态表分区技术的应用程序实现比较简单,但是可扩展性较差。采用动态表分区技术的应用程序实现要复杂一些,但是开发出来的应用程序可扩展性较好,能够根据不同的需求进行扩展。
静态表分区是目前超大型数据库系统解决方案中普遍采用的一种技术,到目前为止,还未见一种比较完善的基于动态分区的解决方案。另外,将基于动态分区的超大型数据库系统性能问题的解决方案应用到网络安全领域是一个需要特别研究的问题。
设计开发的网络安全审计系统产品定位于100M~1000M以上的高端网络用户(兼容中低端用户),其数据存储和处理规模非常巨大,为了使得产品具有更好的扩展性能,该系统采用动态表分区技术。
3多表查询
在采用分区视图技术实现多表联合查询之前必须动态创建一个包含多个成员表的分区视图。对于超大型数据库来说,动态创建几个表的分区索引视图需要大量的时间。另外,分区视图技术是通过使用联合查询运算符来实现的,很多个大数据量表的联合查询性能是比较低的,这将在下面的性能测试中进行说明。
采用临时表技术则没有多表联合查询的那些限制,实现也比较简单,性能比执行联合查询要好得多,但是产生的事务日志信息比较多。另外,采用临时表技术的时候还可以利用多表分页查询机制来控制每次数据查询时需要访问的数据范围以及返回的记录数,以提高数据查询的速度。对于性能要求比较高的超大型数据库应用程序来说,建议采用临时表技术来满足动态分区的数据库查询统计的性能要求。
4解决方案
本文采用一种如图2所示的解决方案,来解决基于动态表分区的网络安全审计系统超大型数据库的性能问题,并为开发人员提供独立于数据库设计的基于动态表分区的数据库通用访问接口。
此方案在普通数据库应用程序的基础上增加一个的基于动态表分区的访问接口的模块,并对该模块进行优化。
5结论
由于采取了动态表分区技术并对相关接口进行优化,使得网络安全审计系统的性能得到了很大提高。
在千兆环境压力测试中每秒能提交9000条左右的数据记录,各种数据库查询统计操作都能够得到快速响应,经相同环境下的压力测试其性能比同类产品都要响应迅速。
参考文献
[1]求是科技著.SQL Server 2000数据库管理与开发技术大全[M].北京:人民邮件出版社,2004
[2]张长富,孙兵,史炬,等.SQL Server 2000数据库编程[M].北京:北京希望电子出版社,2002.
安全审计技术范文第8篇
[关键词] 安全审计;审计手段;异构环境审计
0引言
随着社会信息化程度的加深,各大中型企事业单位逐渐形成了科学化、多样化的各类信息系统,往往一个企业的信息化系统就多达十余个,在这种复杂的多系统条件下,如何实现细粒度的精准安全审计已成为审计领域一个热点问题。
本文首先对目前信息化环境下的细粒度安全审计进行了概要描述,接下来详细分析了各种安全审计方法特点,最后对异构性多信息化系统环境下的有效审计手段进行分析总结。
1信息系统安全审计简介
1.1 信息系统安全审计定义
信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责;主要功能包括:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等[1]。
1.2 信息系统主要安全审计手段
对信息化系统环境下用户操作行为的安全审计可以通过以下几种典型手段实现:
(1)基础日志层面审计:对信息化系统的基础it支撑硬件环境内设备的自身日志进行分析的手段。
(2)网络层面审计:通过采集网络数据包后进行协议解析还原来分析信息系统网络活动的审计手段。
(3)业务层面审计:对信息化系统中业务操作行为日志进行记录审计的手段。
(4)敏感数据专项审计:针对信息化系统定义的具有高风险的企业敏感数据进行细粒度审计的手段。
2安全审计技术特点分析
2.1 概述
基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计是4种比较典型的对信息化系统的审计手段,本文将对各种审计手段的特点进行分析。
2.2安全审计手段特点分析
2.2.1基础层面日志审计
基础层面日志审计面向it支撑系统中的设备层面,是安全审计的基础手段之一,通过对设备自身运行日志、配置变更日志等底层设备日志的审计分析,可对目前设备的自身安全运行状态得出基础判断。
2.2.2网络层面审计
网络层面审计需利用网络抓包分析手段对网络中的数据流进行分析。在分析过程中,主要需重点关注访问源地址异常、访问协议异常、访问次数异常的数据流[2]。
2.2.3业务层面审计
业务层面审计需依赖于良好的业务梳理,形成业务合规操作定义。进行业务审计前,需对信息化系统中业务操作进行日志记录,结合合规操作定义进行比对审计。
2.2.4 敏感数据专项审计
信息化环境下保有的大量数据中存在着对企业来讲极为重要的数据,这些重要的、涉及企业较大利益的敏感数据在安全审计层面需要通过专项审计来满足审计需求。敏感数据审计通过定义需审计的具体数据内容、数据具体存放位置、数据可被访问的手段等具体内容,针对违反上述定义的情况对数据进行逐一的细粒度重点审计。
3安全审计手段整合技术
用基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计等手段虽然可对信息化系统进行安全审计,但复杂多信息化系统环境下大量的审计数据的获取、过滤、关联,必然耗费较大的人力且容易出现审计风险[3]。为避免上述问题,本文综合现有安全审计需求,提出如图1所示的安全审计手段整合架构。首先将各信息化系统的全量日志送入多日志采集平台,由平台统一将各类日志进行标准化处理、过滤后送往不同的二次分析模块(分为网络类与设备类及业务数据类两种),由分析模块根据自己的审计策略进行关联分析,最后将各自模块处理后的数据送入综合审计平台,由综合审计平台对各层面日志进行关联化的综合审计。
4结 论
多信息化系统环境下安全审计的精准实现,需要采用精准化的日志处理及多级关联审计策略,将日志处理为标准可读日志后按照信息化系统的审计需求,横向关联多层面日志、纵向关联多时间段日志,最终满足灵活多变的安全审计需求。
主要参考文献
[1]国际标准化组织. 信息技术安全性评估准则(iso/iec15408-2:1999)[s].1999.
[2]黄荣荣,舒继武,肖达,陈康.基于安全审计日志的网络文件系统数据完整性保护方法[j].计算机研究与发展,2009,46(z2).
安全审计技术范文第9篇
关键词:安全审计;监控系统;系统设计;系统应用;信息网络
中图分类号:TP39;F239文献标识码:A文章编号:1003-5168(2015)08-0006-3
随着计算机技术、信息技术不断推陈出新,各类威胁到网络信息安全的因素越来越多,虽然防火墙与外部检测技术等能够在某种程度上防止网络的外部入侵,保护数据信息不受侵犯[1]。但也会因入侵技术的更新和漏洞的长期存在而无法彻底保障网络处于安全状态。因此,在现有技术的基础上,通过引入安全审计系统对用户的网络行为加以记录,对网络安全隐患给出评判具有重要的现实意义。
1网络安全审计的必要性
1.1提高企业数据安全管理绩效
近年来,我国信息化程度不断加深,尤其新媒体技术和自媒体技术的出现,企业信息的网络化、无边界化趋势越来越明显,也使得网络信息安全问题不断突显。在这种情况下,无论是企业本身还是参与网络信息提供和维护的第三方,在端口和信息通道内都加强了对信息安全策略的部署,无论是信息的控制还是数据的授权,都在大量管理制度和规则下运行。即便如此,与网络信息安全相关的各类故障还是不断出现,甚至会给企业的网络运营和实际经营都造成了消极影响。但是,当我们对信息安全漏洞进行分析和查验时发现,一些严重的信息安全问题之所以会由于不合规、不合法而给利益相关者造成经济损失,其中一个重要原因便是一些内部“合法”用户的“非法”操作。这是因为,对于一般的网络信息或者数据,借助防火墙、防病毒软件、反入侵系统等都能够解决,在一定程度上能够保证信息安全。可是一旦内部人员在缺乏监管的情况下进行违规操作,就会使在信息外部建立起来的防线无能为力[2]。一项最新的调查显示,企业内部人员是对企业网络信息进行攻击最为严重也最难防范的。在这种情况下,亟须提高企业的内部审计能力,对内部用户的误用、滥用信息行为进行审计和监管,对那些可能或者已经造成各种安全事故的人员,在要求其协助网管人员找出原因外,还对其按照相关法律法规进行严肃处理,以杜绝此类事件再次发生。
1.2提高网络运维绩效
当前,在网络环境中构建统一的安全审计平台,提高网络运维绩效,是十分必要的。在这一平台之上,能够对重要设备系统的安全信息进行统一监管,以便能够在海量数据中挖掘出有价值的信息,使信息的获取和使用更加有效。可见,提高网络信息的可靠性和真实性,借助网络信息安全审计提供网络运维管理绩效,是网络化运营需要认真思考的问题[3]。实际上,信息的安全防御是信息安全审计的一种,都是要在信息生产的源头对其进行管理和监控,并对可能对信息安全造成威胁的因素加以防范。而即便在信息源头未能做到完全的安全防范,在事后也可以借助各种技术手段及时分析安全防御系统中可能存在的各类漏洞。甚至能够在安全防御的过程中,对非法操作行为和动作进行还原,使违法、违规用户的不当操作暴露出来,为认定其非法行为提供真实有效的客观证据。因此,对网络信息进行安全审计是一项复杂的系统工程,不但要规范网络、主机以及数据库的访问行为,还要对用户的使用习惯、信息内容形成和改变进行监控和审计,以便有效地完成对各类信息的监管,提高信息质量,为企事业单位的信息运用和网络运营提供安全保障。
1.3提高网络信息安全性
在网络空间中,有以下安全问题值得用户关注并予以重视:①通过访问控制机制强化对网络信息进行安全审计和信息监控是十分必要的,这种做法不但能提高网络信息的安全性,还能在访问控制的作用下,限制外来用户对关键资源的访问,以保证非法用户对信息或数据的入侵,同时也能对合法用户的行为进行规范,防止因操作不当而造成破坏[4]。需要注意的,访问控制系统不但界定了访问主体还界定了访问,其目的在于检测与防止系统中的非法访问。而借助对访问控制机制的管理和设计,能在很大程度上实现对网络信息的安全审计,使网络信息处在安全状态;②虽然网络是开放的,但网络数据却具有私有性,只有在被授权的情况下才能让非用户或者原始使用者访问,否则将被控制在不可见的范围。为了实现这一点,就需要进行网络安全管理,包括网络安全审计,通过信息加密,比如加密关键字或者授权机制、访问控制等。为了提高网络信息安全水平,还要维护与检查安全日志;③提高网络信息安全性,为社会组织的网络化行为提供安全保障,除了要对现实中传输的信息进行安全审查外,对网络中传输的信息也要进行安全审计,通过对网络操作行为的监控,评判信息的安全等级,有针对性地对网络加以控制。
2信息时代网络安全审计的关键技术与监控范畴
在网络信息安全审计的过程中,为了最大限度地提高审计效果,不但需要借助多种信息、网络和计算机技术,还应进一步界定网络审计的监控范围,使网络信息安全审计能够在更为广阔的领域得到应用。
2.1网络安全审计的关键技术
在前文的分析中可知,在当前网络环境中,网络信息安全的直接威胁主要来自网络内部,要建立切实有效的监督体制,对有破坏信息安全倾向的员工进行监督,以保障信息安全。为了实现这个目标,除了要在制度上加以制约外,还应借助以下网络安全审计技术:①基于的网络安全审计技术。借助该技术构建起来的信息安全系统以网络主机为载体,以分布式方式运行。这一技术虽然能够很好地防范信息安全威胁,但是由于监视器是这一信息系统的核心模块,需要高度保护,一旦出现故障,就会引发其他转发器都陷入被动境地,无法正常提交结果;②基于数据挖掘的网络安全审计技术。数据挖掘是近几年被广泛采用的信息安全技术,以此为基础建立起来的网络安全审计系统能够借助数据挖掘技术或者大数据技术,以大量日志行为为样本,对数据中体现出来的行为进行描述、判断与比较,特征模型,并最终对用户行为特征和行为结果进行界定;③基于神经网络的审计技术。神经网络是计算机应用领域中广泛采用的技术,该关键技术的使用能够改变网络单元状态,使连接权值处在动态之中,一旦加入一个连接或者移去一个连接,就能够向管理者指示出现了事件异常,需要果断采取行动保证信息安全。单纯使用该技术所产生的作用是十分有限的。一般情况下,要将多种技术配合使用,以便能对出现的异常情况做出解释,这对确认用户或者事故责任人是有明显帮助的;④借助专家系统构建的网络安全审计技术。该技术较于其他技术能够将信息系统的控制推理独立出来,使问题的解决能够借助输入的信息。为了评估这些事实,在运行审计系统之前,需要编写规则代码,而这也恰是能够有效防范网络信息安全威胁的有效手段。
2.2网络信息安全审计的监控范畴
2.2.1信息安全审计方法。经验表明,一些网络信息安全审计系统可以借助远程登录完成对服务器的管理和对应用系统、数据库系统的记录等,用户的操作行为和操作习惯会在服务器上留下痕迹。该类安全审计一般要按照以下步骤进行:采集对被审计单位的相关信息数据,以保证数据的全面性与完整性;对采集到的数据信息进行综合分析与处理,使之能够转换成对于审计工作对应的数据形式;借助计算机审计软件完成对审计数据的复核。按照业内的经验,在网络信息安全审计的设计过程中,需要将数据采集环节作为整个审计工作的前提与基础,是其中的核心环节,否则,将无法保证数据的完整性、全面性和准确性以及及时性,后面的审计工作也就无法正常开展。一般而言,借助互联网进行审计数据的采集主要有直接读取数据和记住数据库连接件读取两种方式,它们之间具有相似性。按照这两种方式完成数据采集,一旦其中一方数据的存储格式改变,就应及时对数据采集全部存储格式进行调整。这样就会导致数据采集效率和效果受到影响,降低信息安全审计的灵活性。因此,在实际操作中,要保证数据存储格式的一致性,防止审计低效。
2.2.2信息安全审计设备。在网络信息安全审计中,只要将需要管理的网络设备(比如出口路由器、核心交换机、汇聚交换机与接入交换机等)添加到相关安全审计系统之中,就能够获得发送过来的SNMP数据包。随后,信息安全审计系统就会对数据包依据事件的等级和重要性予以分类,以便在后续的查询和使用中更加方便。实际上,网络的信息安全设备种类繁多,具体操作方法也大同小异。只要按照不同厂商设备的设置步骤和原则,开启对应的SNMP功能之后,将相关设备添加到网络中安全审计系统之后,就能够进行相关操作。当然,在这一过程中,要对串联在网络中的设备予以重点关注,要保证甚至能够允许SNMP数据包通过。由此可以看出,借助安全设备实现对网络信息的监控和审计,能够为网络信息安全提供必要保障。当然,由于监控信息会不断更新,加之由于海量数据造成的压力,要依照实际需求确定监控信息可以被记录,以便能够缩小记录范围,为信息安全审计提供更有价值、更具针对性的数据。
2.2.3信息安全审计流程。通过指派权限,设备管理员能够更为直观和真实地了解对应设备的操作过程。如果在这一过程中出现了故障,可以对应地分析和查找问题,找到解决问题的途径。此外,网络信息系统的类别较多,以不同平台或者中间件定制开发的系统也不尽相同。在这种情况下,就需要以信息手册为蓝本,在与开发人员进行沟通之后,确定开放日志接口,并将其纳入到网络信息安全审计的范畴。
3网络信息安全审计监控系统的设计与应用
3.1网络信息安全审计系统的运行设计
当前,网络信息安全审计系统经常使用两个端口,其主要任务便是对联入局域网系统的核心部位交换机与服务器进行数据和信息交换。而为了更好地收集与存放信息安全审计数据,无论是系统日志还是安全审计系统的安全管控中心,都要设在同一服务器之上。这样一来,基于网络的信息安全审计系统就能够在搜集安全审计系统内部数据的同时,按照要求从相关子系统模块中获取数据,以保证各个系统内的信息实现共享,提高信息安全审计的效率。
3.2网络信息安全审计系统的实现
网络信息安全审计系统不但是一个能够帮助企业完成内部经济管理与效益控制的系统,社会组织还能借助网络安全监控体系,实现对网络操作对象的实时监控,保证网络操作中相关文件与数据的安全。这一审计系统的工作原理为:①借助网络文件监控能够实现消息的安全传递,借助标签维护可实现对安全标签的及时、正确处理;②借助多线程技术,构建网络信息安全监控系统的驱动程序消息控制模块,实现对驱动程序的全程监视,并保证信息接收与发送过程处在安全保护之中;③借助系统程序中的文件对用户进程中的相关文件操作予以过滤、监视和拦截,以保证网络数据访问处在全面审核与严格控制之中,使网络环境中文件的安全得到保障。
3.3网络信息安全审计系统的实际应用
通常而言,网络信息安全审计系统的实际应用需要在动态管理的状态下进行。只有这样,才能在投入使用之后,完全、精准地记录用户的网上操作行为,也能对数据库服务器的运行予以全面监控。比如,一旦企业员工通过“合法手段”对业务系统的安全性造成了威胁,那么这类“非法操作”等网络行为就会被记录和禁止。这是因为用户的相关行为能够映射到网络信息安全审计系统之中,管理者能够借此对用户信息和相关操作进行快速定位,在极短的时间内就能够查出事故责任人,为信息安全运行和非法行为的处置都提供极大便利。此外,基于先进技术建立起来的网络信息安全审计系统,还可以在全局层面上监视网络安全状况,对出现的任何问题都能够予以有效把控,对那些可能造成企业重大变故或者机密、核心信息的外泄行为,能够借助网络信息实时动态监控系统做出积极反应。
参考文献:
[1]付晓坤.网络安全审计技术的运用[J].中国水运,2013(9):50-51.
[2]张文颖.探讨网络安全中安全审计与监控系统的设计与实现[J].电脑知识与技术,2013(16):37-38.
[3]伍闽敏.建设企业计算机网络安全审计系统的必要性及其技术要求[J].信息安全与技术,2011(12):34-36.
[4]刘慧蓉.网络安全审计系统的应用研究[J].中国教育技术装备,2013(6):28-29.
安全审计技术范文第10篇
一、信息安全概况
随着信息技术的飞速发展,金融机构生产、使用和共享的信息呈现几何增长的态势,信息传递的方式和渠道急剧增加,在为金融机构带来收益和效率的同时,也使信息安全问题更加凸显。在全球范围内,信息安全事件频发,给银行和客户造成经济损失的同时,也带来了巨大的声誉损失。如何有效提升信息安全管理水平,成为银行关注的焦点。信息安全审计作为信息安全保障工作中的重要一环,能够促进信息安全控制措施的落实,规范信息安全管理,提高全员信息安全意识,从而有利于保持和持续改进银行信息安全能力和水平。
根据当前的信息安全管理体系国家标准GB/T22080-2008(等同采用ISO/IEC27001:2005),信息安全保障工作从整体看应包括四个阶段:一是规划和建设阶段(Plan,简称“P阶段”);二是实施和运行阶段(Do,简称“D阶段”);三是监视和评审阶段(Check,简称“C阶段”);四是保持和改进(Act,简称“A阶段”)。这四个阶段按顺序循环往复,从而使信息安全得到持续改进。这种方法也被称为“PDCA循环”,如图1所示。
经过近十几年的努力,金融行业信息安全保障工作已经普遍走过了“P阶段”和“D阶段”,金融行业的信息安全需求已基本明确,满足信息安全需求的基础设施也基本具备。经过大范围的规划建设,各金融机构已经建立了相对完备的信息安全软硬件环境,初步形成了信息安全保障体系。尽管如此,作为关系国计民生的重要基础产业,金融行业对信息安全有着更高的要求,也面临着更大的信息安全风险挑战。近年来,金融行业频繁发生的信息安全事件表明,金融行业信息安全保障工作还存在很多缺陷和不足。导致这一局面的因素很多,其中一个重要的原因就是大家普遍重视信息安全的建设和运行,而忽视了信息安全工作的检查和改进。从整体上看,金融行业信息安全保障工作已经走过“P阶段”和“D阶段”,尚未进入“C阶段”和“A阶段”,还没有形成完整的基于“PDCA”过程方法的持续改进机制。接下来金融行业信息安全工作的重心应该转向检查和改进。信息安全审计是“C阶段”的主要手段。它利用传统财务审计和审计工作的规范与严谨,结合信息和保密技术的工具与手段,对金融机构信息安全工作的成效和不足给出客观、确定的审计结论,并根据审计结果,对金融机构的信息安全保障工作提出改进措施、给出合理化建议。
为了对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等主要方面提出高标准、高要求,满足商业银行信息科技风险管理的需要,银监会2009年了《商业银行信息科技风险管理指引》,其中第六十五条规定:“商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。”
二、国内外信息安全审计现状
(一)国外信息安全审计发展与现状
在建立信息安全审计制度,开展信息安全审计研究方面,美国走在了世界前列。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEMAUDIT)概念。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(ISACA),总部设在美国芝加哥。自1978年以来,由ISACA发起的注册信息系统审计师(CISA)认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的被广泛认可的标准。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人。
1999年,美国国家审计署(GAO)《联邦信息系统控制审计手册》(第一版),为美国联邦政府实施信息安全审计提供基本准则和方法。2001年,GAO《联邦信息系统安全审计管理的计划指南》,用于为美国联邦政府实施信息安全审计提供具体指导;2009年,GAO《联邦信息系统控制审计手册》(第二版),该手册成为现阶段美国联邦政府实施信息安全审计的事实标准。
近年来,美国通过立法赋予信息安全审计新的意义,并对企业实施信息安全审计产生重大影响。2002年,美国安然公司和世通财务欺诈案爆发后,美国国会和政府紧急通过了《萨班斯——奥克斯利法案》(Sarbanes-OxleyAct,简称萨班斯法案)。萨班斯法案第302条款和第404条款明确要求“,通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制,而信息安全审计正是IT系统内部控制的核心。”2006年底生效的《巴塞尔新资本协议(》BaselII),要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备,迫使各银行必须做好风险控管,而这一“金融作业风险”的防范也正是需要业务信息安全审计为依托。
近一段时期,以美国、加拿大、澳大利亚为主的西方国家,针对不同的组织机构,以不同的信息安全审计方式,卓有成效地开展了包括信息系统计划与技术构架、信息安全保护与灾难恢复、软件系统开发、获得、实施及维护、商业流程评估及风险管理等方面的信息安全审计。
具体来说,针对各类企业的信息安全审计,采取了以内部审计为主,从关注安全向关注业务目标过渡,一般控制审计与应用控制审计相结合的方式;针对政府机构的信息安全审计,强调外部审计与政府内部审计结合,融入绩效预算管理体系,关注系统最终效果。
在亚洲,日本的信息安全审计始于20世纪80年代。1983年,通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍。近几年,东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。
(二)我国信息安全审计发展与现状
近年来,我国的信息安全审计日益受到重视,审计署以及一些大型国有银行也相继开展了信息安全方面的审计工作。信息系统审计规范的研究和制定方面,我国已建成了一套比较成熟规范的法规、准则体系,但在信息系统及信息安全审计方面,虽有《内部审计具体准则第28号——信息系统审计》(中国内部审计协会2008年)以及审计署对信息系统审计相关法规、准则的规划及研究,但尚未形成系统的法规、准则和技术标准体系。
三、金融行业信息安全审计组织与实施
金融行业的信息安全审计(InformationSecurityAudit),是指金融机构为了掌握其信息安全保障工作的有效性,根据事先确定的审计依据,在规定的审计范围内,通过文件审核、记录检查、技术测试、现场访谈等活动,获得审计证据,并对其进行客观的评价,以确定被审计对象满足审计依据的程度所进行的系统的、独立的并形成文件的过程。金融机构可以单独实施信息安全审计,也可以将信息安全审计作为其他相关工作的一部分内容联合实施。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。审计的工作流程和内容大致包括六个方面的活动(如图2所示)。
1.确定审计目的和范围。金融机构实施信息安全审计,首先要明确审计目的,确定审计范围。审计目的是信息安全审计工作的出发点。审计目的可以从满足监管部门的要求、满足信息安全国际国内标准的要求、满足机构自身信息安全工作要求等合规性方面考虑。明确了审计目的,然后要确定审计范围。审计范围是影响审计工作量的一个重要因素。确定审计范围,可以从组织机构考虑,如仅对个别部门实施审计,或者在组织全部范围实施审计;也可以从业务和系统角度考虑,如仅对核心系统实施审计,或者仅对信贷业务实施审计等。
2.明确审计依据。审计依据就像一把“尺子”,审计人员用它来衡量信息安全工作的“长短”。审计目的不同,审计依据就可能不同,如表1中所示。
3.组建审计组。审计组是具体实施信息安全审计工作的基本组织单位,应由审计组长和审计员组成。管理良好的审计组是信息安全审计工作顺利实施并达成审计目的的保障。审计组长应由金融机构内部审计部门的管理者任命。负责编制审计方案和审计计划,选择审计员,管理审计小组,与被审计对象沟通等。审计组长应具备较强的项目管理能力,熟悉被审计对象的业务和系统,了解被审计对象面临的信息安全风险和常用的风险控制措施。审计员应选择责任心强、公正、独立、熟悉业务的人员担任,避免审计员与被审计对象存在利害关系,以免影响审计结果的公正性。正式实施信息安全审计前,应对审计组成员进行培训。
4.实施现场审计。审计准备工作就绪后,则可以实施现场审计。现场审计是一项复杂的系统工程,具有较强的不确定性。因此,现场审计应根据事先编制的审计方案和审计计划执行,审计过程中还要做好变更控制。现场审计往往由首次会议开始,至末次会议结束。在首次会议上,审计组长应向被审计单位阐明此次审计的目的、范围、依据和审计计划,并提出需要被审计单位配合的事项。末次会议上,审计组长向被审计单位说明审计发现,报告审计初步结果,并与被审计单位就初步审计结果达成一致。现场审计方法通常包括:现场访谈、审阅文件、查看记录、系统检查和测试等。在系统检查和测试过程中,可能需要相关的审计工具,如系统漏洞扫描器、数据库安全审计系统、桌面终端配置检查工具、网络安全检查工具、恶意软件扫描器等。现场审计过程中,应做好文档化工作。对所发现的审计证据应进行详细记录,并与被审计单位人员进行现场确认。现场审计应注意方式方法,就意见不一致的问题先做好记录,避免现场与被审计单位人员发生争执。
5.报告审计发现。审计发现是审计依据和现场收集的审计证据对比后的结果。就信息安全的某个方面,审计发现可能是正面的,即符合了审计依据的要求;也可能是负面的,即被审计对象尚未满足审计依据要求。审计组长应在末次会议上与被审计单位初步沟通审计发现,并达成一致。然后正式准备审计报告,以书面形式将审计发现报告给被审计单位,或者此次信息安全审计的委托方。