定义
信息系统安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到“最安全”和“最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段,也是威慑、打击内部计算机犯罪的重要手段。
在国际通用的CC准则(即ISO/IEC15408-2:1999《信息技术安全性评估准则》)中对信息系统安全审计(ISSA,Information System Security Audit)给出了明确定义:信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责;主要功能包括:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等。
近年来,国内外IT管理水平不断提升,IT法规趋向完善,无论是政府还是企业单位、上市公司,对于IT法规遵从的要求都越来越高,IT法规遵从的重点之一就是如何处理来自内部的IT运维管理风险的日益增加,规避内部IT操作风险。IT治理、内控和风险管理的发展极大地促进了信息安全运维审计的发展。
以美国为例,在SOX法案颁布之前,信息安全运维审计市场根本没有纳入Gartner、IDC的专项分析范畴,随着针对上市公司内控和信息披露的SOX法案的实施,对组织治理、财务会计、监管审计制定了新的准则,以及像专门针对医疗行业的旨在保护医患隐私的HIPAA法案、针对联邦政府机构的FISMA法案、针对金融机构支付卡行业的PCI-DSS规范等的执行,美国的信息安全运维审计市场出现了爆炸式的增长。
信息安全审核制度一、
严格审核系统所发布消息:
1、根据法律法规要求,必须监视本系统的信息,对本系统的信息实行24小时审核巡查, 防止有人通过本系统发布有害信息。如发现传输有害信息,应当立即停止传输,防 止信息扩散,保存有关记录,并向公安机关网监部门报告;同时应配合公安机关追 查有害信息的来源,协助做好取证工作。
2、建立关键词库,实施信息建立关键词数据库:系统内部设计有需要过滤的词组的数据库,数据库的关键词语包括以上的所有内容,同时还要根据政府和移动的要求及时更新数据库。过滤内容如下:煽动抗拒、破坏宪法和法律、行政法规实施的;煽动颠覆国家政权、推翻社会主义制度的;煽动分裂国家、破坏国家统一的;煽动民族仇恨、民族歧视,破坏民族团结的;捏造或者歪曲事实,散布谣言,扰乱社会秩序的;宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的;公然侮辱他人或者捏造事实诽谤他人的,或者进行其他恶意攻击的;损害国家机关信誉的;其他违反宪法和法律行政法规的;关键词过滤程序:建立关键词语的过滤程序,每一条下行的信息首先进行内容的过滤,在过滤完成以后,再发送出去。对于每一条上行的信息也要进行信息过滤,发现存在关键词语的内容,及时记入特殊数据库,及时和上级部门配合进行内容的定时检查。设立专门负责人:负责人会定期查看特殊数据库中的短信内容,并进行统计分析,发现问题及时上报有关部门。并对短信内容进行存档保留,已备查看。
信息安全审计的主要内容有哪些?
信息系统审计(又称IT审计)是为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导层,提出问题与建议的一连串的活动。IT审计所关注的内容不单纯是对数据的处理,更不仅仅是财务信息,而是对组织整个信息系统的可靠性、安全性进行了解和评价,是一项通过审查与评价信息系统的规划、分析、设计、实现、运行和维护等一系列活动,以确定信息系统运行是否安全、可靠、有效,信息系统得出的数据是否可靠、准确,以及数据是否能有效存储的过程。
IT审计的任务在于站在客观公正的角度上,收集审计信息,生成审计报告,通过审计报告促成信息系统生命周期活动和成果物的改善。实施IT审计能够强化IT投资效果,提高信息系统的安全性,能够客观评价信息系统及信息系统开发,从社会经济和企业、国家信息化投资、安全等方面都具有极大的意义。
信息安全标准是有关信息安全状况的标准,在TCSEC中,美国国防部按信息的等级和应用采用的响应措施,将计算机安全从高到低分为:A、B、C、D四类八个级别。
中国的信息安全标准
我国的信息安全标准由以下系列:
GB/T 15843.x --y(x表示部分系数,y表示年份)
GB 15851--1995
GB 15852--1995
标准众多,格式基本差不多,更多可访问国家互联网中心网站
信息安全审计目的,顾名思义,为保障信息安全而诞生的审计形式,通过对信息系统风险进行事前防范、事中控制、事后审计,来达到保障系统无漏洞、信息无泄露的目标。
信息安全审计的具体内容包括:
(1)信息安全审计的重点应是根据系统提供的运行统计日志,及时发现系统运行的异常,排除非法访问、数据库以及数据平台被入侵的潜在风险,以保障硬件、软件和数据存储的安全性。
(2)信息安全审计运用计算机辅助审计工具对数据进行测试和检查,为信息系统管理员定期提供有价值的系统使用日志,以帮助管理员尽可能早地发现系统漏洞。
(3)通过审计跟踪,建立适配的责任追究机制,对内网人员以及外部入侵者的恶意行为进行警告和追责。
