2006年,国家保密局发布BMB17-2006号文件《涉密信息系统分级保护技术要求》,文件要求相关涉密单位信息系统,根据不同涉密级别,采取相关审计措施。如:
必须制定明确的系统安全审计策略;
确定的审计事件范围应对安全事件的事后追查提供足够的信息;
审计记录包括服务器、涉密重要用户终端、安全保密设备、用户、用户权限修改以及用户操作等。
2006年-2009年,安全审计被列入多个行业信息系统安全建设要求
随着政府、金融、电信、能源等行业信息化的发展,信息科技的作用已经从业务支持逐步走向与业务的融合,成为各行业稳健运营和发展的支柱,为加强信息系统风险管理,各行业陆续发布了行业性信息系统管理规范和要求。
2008年6月,财政部、证监会、银监会、保监会及审计署委联合发布了《企业内部控制基本规范》,该规范被称为中国的"SOX法案",是我国在审计领域的重大改革举措,该规范将首先在上市企业中实行。如何把IT内控与企业内控管理统一起来,是《企业内部控制基本规范》的一个关键点,信息安全审计则将成为企业IT内控、安全风险管理的不可或缺的技术手段。该规范将促使国内企业加强IT内控建设,从而推动安全审计市场的发展,但其中非常关键的一点就是安全审计技术如何有效地与规范结合,满足企业合规审计要求。
2009年3月,银监会为加强商业银行信息科技风险管理,发布了《商业银行信息科技风险管理指引》,该指引中重点阐述了信息系统风险管理和内外部审计要求,特别是要求审计贯穿信息科技活动的整个过程之中。另外,在《国家电网SG186工程防护总体方案》、《中国移动集团内控手册》、《中国电信集团内控手册》等行业要求中也均明确要求采取信息系统风险内控和审计技术手段。
目前,随着信息安全建设的深入,安全审计已成为国内信息安全建设的重要技术手段。总体来看,由于信息系统发展水平和业务需求的不同,各行业对安全审计的具体关注点存在一定差异,但均是基于政策合规、自身安全建设要求,如:政府主要关注如何满足"信息系统安全等级保护"等政策要求的合规安全审计;电信运营商则基于自身信息系统风险内控需求进行安全审计建设。
(二)信息系统安全审计技术分析
目前,国内信息系统安全审计有下述几类主流审计技术:网络安全审计、数据库安全审计、业务运维安全审计和日志审计。
下表列出了信息系统中的主要审计对象与安全审计技术的对应关系:
绿盟科技的信息安全审计专家,通过多年的信息安全项目,总结分析了国内几种主要的信息安全审计应用。
网络安全审计
网络安全审计是目前国内应用最广泛的安全审计技术,主要应用于企事业单位的网络行为审计和内容的审计,已广泛应用于政府、电信运营商、能源、金融等行业。
网络安全审计系统大多通过旁路镜像或分光方式,采集网络数据进行分析、识别,实时动态监测网络行为、通信内容和网络流量,全面记录网络系统中的各种会话和事件,发现和捕获各种违规行为和内容,实现对网络安全事件的跟踪和事后追查取证。
