随着信息化水平的快速提高和信息安全建设的逐渐深入，如何建立信息安全审计制度，有效加强内部信息安全管理、信息系统安全风险控制，满足政策合规的要求，成为企事业单位面临的普遍问题。绿盟科技信息安全审计专家，以自身多年信息安全审计的经验和认知，讲解信息安全审计的标准、趋势及要点。信息系统安全审计正逐渐成为国内信息安全系统建设热点。

　　一、信息系统审计定义与发展历史

    信息系统审计（Information System Audit，ISA）是通过收集和分析审计证据，对信息系统是否能够保护资产的安全、数据的完整、运营效率等方面做出判断的过程。
    信息系统审计是计算机技术与数据处理电算化发展的结果。数据处理电算化对信息系统审计产生了重大影响，计算机在数据处理中的运用形成了电子数据处理系统，它产生于20世纪50年代。因此，信息系统审计的概念产生可追溯到20世纪60年代。信息系统审计系统的发展历史可以分为三个阶段：
 
　　1960年—1970年，信息系统审计概念形成阶段

    20世纪60年代，信息系统审计最早称为计算机审计，是随着计算机在财务会计领域的应用而产生。早期的计算机应用比较简单，计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务。1960年初，IBM出版了《Audit Encounters Electronic Data Processing》，该书首次提出了电子数据环境下的内部审计规则和组织方法。60年代中期，美国国防部海军审计局引进了通用审计软件包。1968年美国EDPAA协会（执业会计师协会）发表《电子数据处理系统与审计》，详细探讨了审计与电子数据处理系统的关系，并提出若干计算机辅助审计电子数据处理系统的方法。

　　1970年—1999年，信息系统审计成长阶段

　　70年代中期至80年代，美国、日本等先后成立计算机审计相关组织；国际开始兴起一系列信息安全管理标准的制定。1983年，日本通产省发布《系统审计标准》，开始培训信息系统审计人员。1984年美国EDPAA协会（执业会计师协会）发布一套EDP控制标准—《EDP控制目的》。 
 
　　1996年，ISACA协会发布了COBIT（Control Objectives for Information and related Technology）标准，是国际上公认的安全与信息技术管理和控制的权威标准，也是国际通用的信息系统审计标准，已在100多个国家的重要组织和企业中应用。

　　1999年—至今，信息系统审计普及和行业应用阶段

　　2001年至今，美国安然事件及由此引发的一系列美国著名大公司在公司治理和财务管理力方面的问题，促使美国陆续出台了多个具有较强影响力的行业法案，如：2002年美国出台Sarbanes-Oxley法案（塞班斯—奥克斯利法案），其中第404条款要求企业在财务报告方面加强内控，企业的CEO和CFO必须对本企业的内控系统的有效性发表诚信声明。因此，IT信息系统同样需要加强控制以达到SOX法案的合规要求； 2005年针对IT信息系统的SOX合规审计成为全球CIO最关注的事。目前，西方发达国家的信息系统审计应用已较为普遍，并发展到了较高的水平。

　　二、信息系统安全审计定义与发展

　　信息系统安全审计是信息系统审计全过程的组成部分，主要依据标准包括COBIT、CC、ITIL等信息安全管理标准。信息系统安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段，也是威慑、打击内部计算机犯罪的重要手段。

　　在国际通用的CC准则（即ISO/IEC15408-2:1999《信息技术安全性评估准则》）中对信息系统安全审计（ISSA，Information System Security Audit）给出了明确定义：信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析；审计记录的结果用于检查网络上发生了哪些与安全有关的活动，谁（哪个用户）对这个活动负责；主要功能包括：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等。

　　这是国际CC准则给出的一个比较抽象的概念，通俗来讲，信息安全审计就是信息网络中的“监控摄像头”，通过运用各种技术手段，洞察网络信息系统中的活动，全面监测信息系统中的各种会话和事件，记录分析各种网络可疑行为、违规操作、敏感信息，帮助定位安全事件源头和追查取证，防范和发现计算机网络犯罪活动，为信息系统安全策略制定、风险内控提供有力的数据支撑。

　　信息系统安全审计技术分析

　　目前，国内信息系统安全审计有下述几类主流审计技术：网络安全审计、数据库安全审计、业务运维安全审计和日志审计。
 
　　下表列出了信息系统中的主要审计对象与安全审计技术的对应关系：

　　绿盟科技的信息安全审计专家，通过多年的信息安全项目，总结分析了国内几种主要的信息安全审计应用。

　　1.网络安全审计

　　网络安全审计是目前国内应用最广泛的安全审计技术，主要应用于企事业单位的网络行为审计和内容的审计，已广泛应用于政府、电信运营商、能源、金融等行业。
网络安全审计系统大多通过旁路镜像或分光方式，采集网络数据进行分析、识别，实时动态监测网络行为、通信内容和网络流量，全面记录网络系统中的各种会话和事件,发现和捕获各种违规行为和内容，实现对网络安全事件的跟踪和事后追查取证。

　　2.数据库安全审计

　　随着信息系统业务不断发展，数据库系统应用范围越来越广，如企业的账务数据、贸易记录、工程数据等均需要利用大量的数据库资源。由于数据库的作用和影响越来越大，企业数据库信息安全面临严峻挑战，近年来不断发生的企业数据库的重要敏感数据的被窃取、篡改问题，已引起企业的高度重视，成为迫切需要解决的问题。

　　数据库安全审计系统主要通过旁路或分光方式，对网络数据的采集、分析、识别，实时监控记录数据库各种账户（如超级管理员、临时账户等）的数据库操作行为，发现各种非法、违规操作，降低数据库安全风险，帮助企业保护数据库资产安全。

　　3.业务运维安全审计

　　目前，企事业单位日趋复杂的ＩＴ业务系统与不同背景业务运维用户的行为给信息系统安全带来较大风险，如：多个运维人员使用同一账号维护一台设备，导致权责不清；账号繁多，管理不便；帐号权限分配粒度粗，无法实现更细粒度的命令控制；缺少对加密、图形操作协议的审计手段，存在风险隐患，导致事后无法查找来源。

　　业务运维安全审计系统在逻辑上将运维操作终端用户和目标设备隔开，终端用户必须通过该审计系统才能访问目标设备，从而实现对运维操作的统一接入管理，对SSH、SFTP、RDP等加密、图形操作协议的内容审计，满足企业运维管理和风险内控需要，帮助企业定位安全事件源头和追查取证。

　　4.日志审计

　　日志安全审计主要通过对网络设备、安全设备、应用系统、操作系统的集中日志采集、集中存储和关联分析，发现信息系统的安全事件，同时当遇到特殊安全事件和系统故障时，确保日志存在和不被篡改，帮助用户定位追查取证。

　　三、信息系统安全审计发展趋势

　　绿盟信息安全审计专家指出，随着国内企业信息系统风险内控制度日益完善，信息系统安全审计将呈现满足政策合规审计、企业内控管理和数据风险控制需求的特点。

　　政策合规审计

　　安全审计技术将更加紧密与“信息系统安全等级保护”、“企业信息内部控制基本规范”等政策要求相结合，依据CC、ITIL 、COBIT等标准，提供更符合企事业单位信息系统风险内控和政策合规管理要求的安全审计功能，如：业务运维安全审计、数据库安全审计等；同时需要输出细粒度的合规审计报告，如：符合信息系统安全等级保护要求的安全审计报告、企业信息系统风险内控审计报告等，帮助用户提升审计力度，降低人工审计工作量，有效控制信息安全风险。

　　基于账号的网络安全审计

　　网络安全审计技术将逐步与身份认证管理技术结合，实现基于账号的网络安全审计，相比传统的基于IP、MAC地址等用户身份的审计判定手段，将能够更加准确的定位到人，全面提升审计对象身份的可靠性。

　　专业的数据库安全审计

　　数据库已成为广大企业的数据核心资产，其重要性毋庸置疑，近年来在各行业中频繁发生企业数据库的重要敏感数据被篡改牟利、泄密事件，已经引起各方面的广泛高度重视。数据库安全审计技术作为数据库安全的重要监测手段，将越来越受到政府、金融、电信等用户重视。为了进一步提高数据库安全审计的完整性和准确性，须追根溯源，从源头抓起，需要安全厂商与数据库厂商加强技术合作，共同推动完善数据库安全审计技术。