安全審計

信息安全審計主要是指對系統中與安全有關的活動的相關信息進行識別、記錄、存儲和分析。信息安全審計的記錄用於檢查網路上發生了哪些與安全有關的活動，誰（哪個用戶）對這個活動負責。

安全審計涉及四個基本要素:控制目標、安全漏洞、控制措施和控制測試。其中,控制目標是指企業根據具體的計算機套用,結合單位實際制定出的安全控制要求。安全漏洞是指系統的安全薄弱環節,容易被干擾或破壞的地方。控制措施是指企業為實現其安全控制目標所制定的安全控制技術、配置方法及各種規範制度。控制測試是將企業的各種安全控制措施與預定的安全標準進行一致性比較,確定各項控制措施是否存在、是否得到執行、對漏洞的防範是否有效,評價企業安全措施的可依賴程度。顯然,安全審計作為一個專門的審計項目,要求審計人員必須具有較強的專業技術知識與技能。

安全審計是審計的一個組成部分。由於計算機網路環境的安全將不僅涉及國家安危,更涉及到企業的經濟利益。因此,我們認為必須迅速建立起國家、社會、企業三位一體的安全審計體系。其中,國家安全審計機關應依據國家法律,特別是針對計算機網路本身的各種安全技術要求,對廣域網上企業的信息安全實施年審制。另外,應該發展社會中介機構,對計算機網路環境的安全提供審計服務,它與會計師事務所、律師事務所一樣,是社會對企業的計算機網路系統的安全作出評價的機構。當企業管理當局權衡網路系統所帶來的潛在損失時,他們需要通過中介機構對安全性作出檢查和評價。此外財政、財務審計也離不開網路安全專家,他們對網路的安全控制作出評價,幫助註冊會計師對相應的信息處理系統所披露信息的真實性、可靠性作出正確判斷。

根據網際網路安全顧問團主席Ira Winkler，安全審計、易損性評估以及滲透性測試是安全診斷的三種主要方式。這三個分別採用不同的方法，分別適於特定的目標。安全審計測量信息系統對於一系列標準的性能。而易損性評估涉及整個信息系統的綜合考察以及搜尋潛在的安全漏洞。滲透性測試是一種隱蔽的操作，安全專家進行大量的攻擊來探查系統是否能夠經受來自惡意黑客的同類攻擊。在滲透性測試中，偽造的攻擊可能可能包括社會工程等真正黑客可能嘗試的任何攻擊。這些方法各有其固有的能力，聯合使用兩個或者多個可能是最有效的。

安全審計跟蹤的功能是：幫助安全人員審計系統的可靠性和安全性;對妨礙系統運行的明顯企圖及時報告給安全控制台，及時採取措施。一般要在網路系統中建立安全保密檢測控制中心，負責對系統安全的監測、控制、處理和審計。所有的安全保密服務功能、網路中的所有層次都與審計跟蹤系統有關。

審計，英文稱之為“audit”。審計執行是以確定有效性和可靠性的信息，還提供了一個可內控的評估系統。審計的目標是在測試環境中進行評估工作，並表達人/組織/系統等的評估意見。由於實際情況的限制，審計要求只提供合理、無重大錯誤的保證報表，審計往往是通過統計抽樣。也可以這樣理解審計，審計(Audit)是指檢查、驗證目標的準確性和完整性，用以檢查和防止虛假數據和欺騙行為，以及是否符合既定的標準、標竿和其它審計原則。 各國各級政府、組織一般都設有專門獨立的審計部、審計委員會、審計署等機構。以往的審計概念主要用於財務系統。財務審計是用真實的和公正的財務報表來體現的。傳統的審計，主要是獲取金融體系和金融記錄的公司或企業的財務報表的相關信息。而隨著科技信息技術的發展，大部分的企業、機構和組織的財務系統都運行在信息系統上面，所以信息手段成為財務審計的一種技術的同時，財務審計也間接帶動了通用信息系統的審計。