信息系统安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到“最安全”和“最低风险”的状态。
安全审计的目的在于:
对潜在的攻击者起到重大震慑和警告的作用。
测试系统的控制是否恰当,以便于进行调整,保证与既定安全策略和操作能够协调一致。
对于已经发生的系统破坏行为,作出损害评估并提供有效的灾难恢复依据和追究责任的证据。
对系统控制、安全策略与规程中特定的改变作出评价和反馈,便于修订决策和部署。
为系统管理员提供有价值的系统使用日志,帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。
安全审计有以下三种类型:
系统级审计:系统级审计主要针对系统的登人情况、用户识别号、登人尝试的日期和具体时间、退出的日期和时间、所使用的设备、登人后运行程序等事件信息进行审查。典型的系统级审计日志还包括部分与安全无关的信息,如系统操作、费用记账和网络性能。这类审计却无法跟踪和记录应用事件,也无法提供足够的细节信息。
应用级审计:应用级审计主要针对的是应用程序的活动信息,如打开和关闭数据文件,读取、编辑、 删除记录或字段的等特定操作,以及打印报告等。
用户级审计:用户级审计主要是审计用户的操作活动信息,如用户直接启动的所有命令,用户所有的鉴别和认证操作,用户所访问的文件和资源等信息。