安全審計

   安全審計涉及四個(gè)基本要素:控制目标、安全漏洞、控制措施和(hé)控制測試。其中,控制目标是指企業根據具體的(de)計算(suàn)機應用(yòng),結合單位實際制定出的(de)安全控制要求。安全漏洞是指系統的(de)安全薄弱環節,容易被幹擾或破壞的(de)地方。控制措施是指企業爲實現其安全控制目标所制定的(de)安全控制技術、配置方法及各種規範制度。控制測試是将企業的(de)各種安全控制措施與預定的(de)安全标準進行一緻性比較,确定各項控制措施是否存在、是否得(de)到執行、對(duì)漏洞的(de)防範是否有效,評價企業安全措施的(de)可(kě)依賴程度。顯然,安全審計作爲一個(gè)專門的(de)審計項目,要求審計人(rén)員(yuán)必須具有較強的(de)專業技術知識與技能。

安全審計是審計的(de)一個(gè)組成部分(fēn)。由于計算(suàn)機網絡環境的(de)安全将不僅涉及國家安危,更涉及到企業的(de)經濟利益。因此,我們認爲必須迅速建立起國家、社會、企業三位一體的(de)安全審計體系。其中,國家安全審計機關應依據國家法律,特别是針對(duì)計算(suàn)機網絡本身的(de)各種安全技術要求,對(duì)廣域網上企業的(de)信息安全實施年審制。另外,應該發展社會中介機構,對(duì)計算(suàn)機網絡環境的(de)安全提供審計服務,它與會計師事務所、律師事務所一樣,是社會對(duì)企業的(de)計算(suàn)機網絡系統的(de)安全作出評價的(de)機構。當企業管理(lǐ)當局權衡網絡系統所帶來(lái)的(de)潛在損失時(shí),他(tā)們需要通(tōng)過中介機構對(duì)安全性作出檢查和(hé)評價。此外财政、财務審計也(yě)離不開網絡安全專家,他(tā)們對(duì)網絡的(de)安全控制作出評價,幫助注冊會計師對(duì)相應的(de)信息處理(lǐ)系統所披露信息的(de)真實性、可(kě)靠性作出正确判斷。

根據互聯網安全顧問團主席Ira Winkler，安全審計、易損性評估以及滲透性測試是安全診斷的(de)三種主要方式。這(zhè)三個(gè)分(fēn)别采用(yòng)不同的(de)方法，分(fēn)别适于特定的(de)目标。安全審計測量信息系統對(duì)于一系列标準的(de)性能。而易損性評估涉及整個(gè)信息系統的(de)綜合考察以及搜索潛在的(de)安全漏洞。滲透性測試是一種隐蔽的(de)操作，安全專家進行大(dà)量的(de)攻擊來(lái)探查系統是否能夠經受來(lái)自惡意黑(hēi)客的(de)同類攻擊。在滲透性測試中，僞造的(de)攻擊可(kě)能可(kě)能包括社會工程等真正黑(hēi)客可(kě)能嘗試的(de)任何攻擊。這(zhè)些方法各有其固有的(de)能力，聯合使用(yòng)兩個(gè)或者多(duō)個(gè)可(kě)能是最有效的(de)。