安全审计

概念

信息安全审计主要是指对系统中与安全有关的活动的相关信息进行识别、记录、存储和分析。信息安全审计的记录用于检查网路上发生了哪些与安全有关的活动，谁（哪个用户）对这个活动负责。

包含内容

安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机套用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规範制度。控制测试是将企业的各种安全控制措施与预定的安全标準进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防範是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。 安全审计是审计的一个组成部分。由于计算机网路环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网路本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网路环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网路系统的安全作出评价的机构。当企业管理当局权衡网路系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网路安全专家,他们对网路的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。 根据网际网路安全顾问团主席Ira Winkler，安全审计、易损性评估以及渗透性测试是安全诊断的三种主要方式。这三个分别採用不同的方法，分别适于特定的目标。安全审计测量信息系统对于一系列标準的性能。而易损性评估涉及整个信息系统的综合考察以及搜寻潜在的安全漏洞。渗透性测试是一种隐蔽的操作，安全专家进行大量的攻击来探查系统是否能够经受来自恶意黑客的同类攻击。在渗透性测试中，伪造的攻击可能可能包括社会工程等真正黑客可能尝试的任何攻击。这些方法各有其固有的能力，联合使用两个或者多个可能是最有效的。

功能

安全审计跟蹤的功能是：帮助安全人员审计系统的可靠性和安全性;对妨碍系统运行的明显企图及时报告给安全控制台，及时採取措施。一般要在网路系统中建立安全保密检测控制中心，负责对系统安全的监测、控制、处理和审计。所有的安全保密服务功能、网路中的所有层次都与审计跟蹤系统有关。

历史发展

审计，英文称之为“audit”。审计执行是以确定有效性和可靠性的信息，还提供了一个可内控的评估系统。审计的目标是在测试环境中进行评估工作，并表达人/组织/系统等的评估意见。由于实际情况的限制，审计要求只提供合理、无重大错误的保证报表，审计往往是通过统计抽样。也可以这样理解审计，审计(Audit)是指检查、验证目标的準确性和完整性，用以检查和防止虚假数据和欺骗行为，以及是否符合既定的标準、标竿和其它审计原则。 各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。以往的审计概念主要用于财务系统。财务审计是用真实的和公正的财务报表来体现的。传统的审计，主要是获取金融体系和金融记录的公司或企业的财务报表的相关信息。而随着科技信息技术的发展，大部分的企业、机构和组织的财务系统都运行在信息系统上面，所以信息手段成为财务审计的一种技术的同时，财务审计也间接带动了通用信息系统的审计。