電子數據安全審計

出自 MBA智库百科(https://wiki.mbalib.com/)

　　電子數據安全審計是對每個用戶在電腦系統上的操作做一個完整的記錄，以備用戶違反安全規則的事件發生後，有效地追查責任。

　　電子數據安全審計過程的實現可分成三步：第一步，收集審計事件，產生審記記錄；第二步，根據記錄進行安全違反分析；第三步，採取處理措施。

　　電子數據安全審計工作是保障電腦信息安全的重要手段。凡是用戶在電腦系統上的活動、上機下機時間，與電腦信息系統內敏感的數據、資源、文本等安全有關的事件，可隨時記錄在日誌文件中，便於發現、調查、分析及事後追查責任，還可以為加強管理措施提供依據。

　　(一)審計技術

　　電子數據安全審計技術可分三種：瞭解系統，驗證處理和處理結果的驗證。

　　1.瞭解系統技術

　　審計人員通過查閱各種文件如程式表、控制流程等來審計。

　　2.驗證處理技術

　　這是保證事務能正確執行，控制能在該系統中起作用。該技術一般分為實際測試和性能測試，實現方法主要有：

　　(1)事務選擇

　　審計人員根據制訂的審計標準，可以選擇事務的樣板來仔細分析。樣板可以是隨機的，選擇軟體可以掃描一批輸入事務，也可以由操作系統的事務管理部件引用。

　　(2)測試數據

　　這種技術是程式測試的擴展，審計人員通過系統動作准備處理的事務。通過某些獨立的方法，可以預見正確的結果，並與實際結果相比較。用此方法，審計人員必須通過程式檢驗被處理的測試數據。另外，還有綜合測試、事務標誌、跟蹤和映射等方法。

　　(3)並行模擬。審計人員要通過一應用程式來模擬操作系統的主要功能。當給出實際的和模擬的系統相同數據後，來比較它們的結果。模擬代價較高，藉助特定的高級語音可使模擬類似於實際的應用。

　　(4)驗證處理結果技術

　　這種技術，審計人員把重點放在數據上，而不是對數據的處理上。這裡主要考慮兩個問題：

　　一是如何選擇和選取數據。將審計數據收集技術插入應用程式審計模塊(此模塊根據指定的標準收集數據，監視意外事件)；擴展記錄技術為事務(包括面嚮應用的工具)建立全部的審計跟蹤；借用於日誌恢復的備份庫(如當審計跟蹤時，用兩個可比較的備份去檢驗賬目是否相同)；通過審計庫的記錄抽取設施(它允許結合屬性值隨機選擇文件記錄並放在工作文件中，以備以後分析)，利用資料庫管理系統的查詢設施抽取用戶數據。

　　二是從數據中尋找什麼?一旦抽取數據後，審計人員可以檢查控制信息(含檢驗控制總數、故障總數和其他控制信息)；檢查語義完整性約束；檢查與無關源點的數據。

　　(二)審計範圍

　　在系統中，審計通常作為一個相對獨立的子系統來實現。審計範圍包括操作系統和各種應用程式。

　　操作系統審計子系統的主要目標是檢測和判定對系統的滲透及識別誤操作。其基本功能為：審計對象(如用戶、文件操作、操作命令等)的選擇；審計文件的定義與自動轉換；文件系統完整性的定時檢測；審計信息的格式和輸出媒體；逐出系統、報警閥值的設置與選擇；審計日態記錄及其數據的安全保護等。

　　應用程式審計子系統的重點是針對應用程式的某些操作作為審計對象進行監視和實時記錄並據記錄結果判斷此應用程式是否被修改和安全控制，是否在發揮正確作用；判斷程式和數據是否完整；依靠使用者身份、口令驗證終端保護等辦法控制應用程式的運行。

　　(三)審計跟蹤

　　通常審計跟蹤與日誌恢復可結合起來使用，但在概念上它們之間是有區別的。主要區別是日誌恢復通常不記錄讀操作；但根據需要，日記恢復處理可以很容易地為審計跟蹤提供審計信息。如果將審計功能與告警功能結合起來，就可以在違反安全規則的事件發生時，或在威脅安全的重要操作進行時，及時向安檢員發出告警信息，以便迅速採取相應對策，避免損失擴大。審計記錄應包括以下信息：事件發生的時間和地點；引發事件的用戶；事件的類型；事件成功與否。

　　審計跟蹤的特點是：對被審計的系統是透明的；支持所有的應用；允許構造事件實際順序；可以有選擇地、動態地開始或停止記錄；記錄的事件一般應包括以下內容：被審訊的進程、時間、日期、資料庫的操作、事務類型、用戶名、終端號等；可以對單個事件的記錄進行指定。

　　按照訪問控制類型，審計跟蹤描述一個特定的執行請求，然而，資料庫不限制審計跟蹤的請求。獨立的審計跟蹤更保密，因為審計人員可以限制時間，但代價比較昂貴。

　　(四)審計的流程

　　電子數據安全審計工作的流程是：收集來自內核和核外的事件，根據相應的審計條件，判斷是否是審計事件。對審計事件的內容按日誌的模式記錄到審計日誌中。當審計事件滿足報警閥的報警值時，則向審計人員發送報警信息並記錄其內容。當事件在一定時間內連續發生，滿足逐出系統閥值，則將引起該事件的用戶逐出系統並記錄其內容。

　　常用的報警類型有：用於實時報告用戶試探進入系統的登錄失敗報警以及用於實時報告系統中病毒活動情況的病毒報警等。

　　審計人員可以查詢、檢查審計日誌以形成審計報告。檢查的內容包括：審計事件類型；事件安全級；引用事件的用戶；報警；指定時間內的事件以及惡意用戶表等，上述內容可結合使用。

　　審計有人工審計，電腦手動分析、處理審計記錄並與審計人員最後決策相結合的半自動審計，依靠專家系統作出判斷結果的自動化的智能審計等。為了支持審計工作，要求資料庫管理系統具有高可靠性和高完整性。資料庫管理系統要為審計的需要設置相應的特性。