二、 信息系统安全审计定义与发展
信息系统安全审计是信息系统审计全过程的组成部分,主要依据标准包括COBIT、CC、ITIL等信息安全管理标准。信息系统安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到"最安全"和"最低风险"的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段,也是威慑、打击内部计算机犯罪的重要手段。
在国际通用的CC准则(即ISO/IEC15408-2:1999《信息技术安全性评估准则》)中对信息系统安全审计(ISSA,Information System Security Audit)给出了明确定义:信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责;主要功能包括:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等。
这是国际CC准则给出的一个比较抽象的概念,通俗来讲,信息安全审计就是信息网络中的"监控摄像头",通过运用各种技术手段,洞察网络信息系统中的活动,全面监测信息系统中的各种会话和事件,记录分析各种网络可疑行为、违规操作、敏感信息,帮助定位安全事件源头和追查取证,防范和发现计算机网络犯罪活动,为信息系统安全策略制定、风险内控提供有力的数据支撑。
(一)国内信息系统安全审计发展历史
与国外相比,中国的信息系统安全审计起步较晚,相关信息安全审计技术、信息安全审计规范和信息安全审计制度等都有待进一步完善。绿盟科技的信息安全审计专家,根据多年经验总结,提出我国的信息系统安全审计发展可分为两个阶段:
图 1.1 信息安全审计在中国的发展
1999年-2004年 信息系统安全审计导入期
1999年财政部颁布了《独立审计准则第20号-计算机信息系统环境下的审计》,部分内容借鉴了国外研究成果。这是国内第一次明确提出对计算信息系统审计的要求。
同年,国家质量技术监督局颁布《GB17859-1999 计算机信息系统安全保护等级划分准则》,该准则是建立计算机信息系统安全保护等级制度,实施安全保护等级管理的重要基础性标准,其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
2005年-2009年 信息系统安全审计的快速成长期
随着互联网在国内的迅速普及应用,推动国内信息系统安全审计进入快速发展阶段。国家相关部门、金融行业、能源行业、运营商均陆续推出多项针对信息系统风险管理政策法规,推动国内信息系统安全审计快速发展。
2005年12月,公安部颁布82号令《互联网安全保护技术措施规定》,其中明确要求"互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态、记录网络安全事件等安全审计功能,并应当具有至少保存六十天记录备份的功能。
2006年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定并发布了《信息安全等级保护管理办法(试行)》,该办法明确要求信息系统运营使用单位在开展等级保护工作中要按照或者参照国家、行业技术标准进行系统定级、建设、整改、测评等工作。《信息系统安全等级保护基本要求》是信息安全等级保护标准体系中重要的基础性标准之一。该要求针对不同安全保护等级信息系统的基本安全审计能力均有明确要求,如:需要对用户行为、安全事件等进行记录,对形成的记录能够统计、分析、并生成报表。
