基于A(yíng)PP應(yīng)用的信息安全審計(jì)研究

張 強(qiáng)

（黑龍江省省直機(jī)關(guān)房屋物業(yè)管理中心，哈爾濱 150001）

近年來(lái)，隨著辦公業(yè)務(wù)對(duì)手機(jī)軟件相關(guān)信息系統(tǒng)的依賴(lài)越來(lái)越高，APP應(yīng)用軟件信息系統(tǒng)存在的風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的潛在影響也越來(lái)越大。解決針對(duì)業(yè)務(wù)信息內(nèi)容的篡改操作行為的監(jiān)控管理的問(wèn)題，必須要有一種有效的安全技術(shù)手段對(duì)內(nèi)部員工、運(yùn)行維護(hù)人員以及第三方人員的上網(wǎng)行為、內(nèi)網(wǎng)行為、操作行為等進(jìn)行有效的監(jiān)控和管理，并對(duì)其行為趨勢(shì)進(jìn)行分析和總結(jié)。

1 APP應(yīng)用信息安全審計(jì)定義

為了APP應(yīng)用信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師，以第三方的客觀(guān)立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo)，提出問(wèn)題與建議的一連串的活動(dòng)稱(chēng)為IT審計(jì)。IT審計(jì)就是信息系統(tǒng)審計(jì)，也稱(chēng)IT監(jiān)查。

2 APP應(yīng)用信息安全審計(jì)的實(shí)現(xiàn)

要實(shí)現(xiàn)APP應(yīng)用信息安全審計(jì)，保障計(jì)算機(jī)信息系統(tǒng)中信息的機(jī)密性、完整性、可控性、可用性和不可否認(rèn)性（抗抵賴(lài)），需要對(duì)計(jì)算機(jī)信息系統(tǒng)中的所有網(wǎng)絡(luò)資源（包括數(shù)據(jù)庫(kù)、主機(jī)、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）進(jìn)行安全審計(jì)，記錄所有發(fā)生的事件，提供給系統(tǒng)管理員作為系統(tǒng)維護(hù)以及安全防范的依據(jù)。

2.1 合規(guī)性審計(jì)

做到有效控制IT風(fēng)險(xiǎn)，尤其是操作風(fēng)險(xiǎn)，對(duì)業(yè)務(wù)的安全運(yùn)營(yíng)至關(guān)重要。因此，合規(guī)性審計(jì)成為被行業(yè)推崇的有效方法。安全合規(guī)性審計(jì)指在建設(shè)與運(yùn)行IT系統(tǒng)中的過(guò)程是否符合相關(guān)的法律、標(biāo)準(zhǔn)、規(guī)范、文件精神的要求一種檢測(cè)方法。這作為風(fēng)險(xiǎn)控制的主要內(nèi)容之一，是檢查安全策略落實(shí)情況的一種手段。

2.2 日志審計(jì)

基于日志的安全審計(jì)技術(shù)是通過(guò)SNMP、SYSLOG或者其他的日志接口從網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)器、用戶(hù)終端、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備中收集日志，對(duì)收集的日志進(jìn)行格式標(biāo)準(zhǔn)化、統(tǒng)一分析和報(bào)警，并形成多種格式和類(lèi)型的審計(jì)報(bào)表。

2.3 網(wǎng)絡(luò)行為審計(jì)

基于網(wǎng)絡(luò)技術(shù)的安全審計(jì)是通過(guò)旁路和串接的方式實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲，進(jìn)行協(xié)議分析和還原，可達(dá)到審計(jì)服務(wù)器、用戶(hù)終端、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)的安全漏洞，審計(jì)合法、非法或入侵操作，監(jiān)控上網(wǎng)行為和內(nèi)容，監(jiān)控用戶(hù)非工作行為等目的。網(wǎng)絡(luò)行為審計(jì)更偏重于網(wǎng)絡(luò)行為，具備部署簡(jiǎn)單等優(yōu)點(diǎn)。

2.4 主機(jī)審計(jì)

主機(jī)安全審計(jì)是通過(guò)在主機(jī)服務(wù)器、用戶(hù)終端、數(shù)據(jù)庫(kù)或其他審計(jì)對(duì)象中安裝客戶(hù)端的方式來(lái)進(jìn)行審計(jì)，可達(dá)到審計(jì)安全漏洞、審計(jì)合法和非法或入侵操作、監(jiān)控上網(wǎng)行為和內(nèi)容以及向外拷貝文件行為、監(jiān)控用戶(hù)非法行為等目的。主機(jī)審計(jì)包括主機(jī)的漏洞掃描產(chǎn)品、主機(jī)防火墻和主機(jī)IDS/IPS的安全審計(jì)功能、主機(jī)上網(wǎng)和上機(jī)行為監(jiān)控、終端管理等類(lèi)型的產(chǎn)品。

2.5 應(yīng)用系統(tǒng)審計(jì)

應(yīng)用系統(tǒng)安全審計(jì)是對(duì)用戶(hù)在業(yè)務(wù)應(yīng)用過(guò)程中的登錄、操作、退出的一切行為通過(guò)內(nèi)部截取和跟蹤等相關(guān)方式進(jìn)行監(jiān)控和詳細(xì)記錄，并對(duì)這些記錄按時(shí)間段、地址段、用戶(hù)、操作命令、操作內(nèi)容等分別進(jìn)行審計(jì)。

2.6 集中操作運(yùn)維審計(jì)

集中操作運(yùn)維審計(jì)側(cè)重于對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、數(shù)據(jù)庫(kù)的運(yùn)行維護(hù)過(guò)程中的風(fēng)險(xiǎn)審計(jì)。

運(yùn)維審計(jì)的方式不同于其他審計(jì)，尤其是維護(hù)人員為了安全的要求，開(kāi)始大量采用加密方式，如遠(yuǎn)程桌面協(xié)議（Remote Desktop Protocol，RDP）、SSL等，加密口令在連接建立的時(shí)候動(dòng)態(tài)生成，一般的針對(duì)網(wǎng)絡(luò)行為進(jìn)行審計(jì)的技術(shù)是無(wú)法實(shí)現(xiàn)的。

3 審計(jì)系統(tǒng)的實(shí)現(xiàn)

通過(guò)對(duì)6類(lèi)審計(jì)產(chǎn)品的綜合應(yīng)用，可以形成較完備的APP應(yīng)用信息系統(tǒng)安全審計(jì)應(yīng)用系統(tǒng)，對(duì)整個(gè)網(wǎng)絡(luò)與信息系統(tǒng)中的網(wǎng)絡(luò)、主機(jī)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)及安全設(shè)備等進(jìn)行安全審計(jì)，且可以支持分布式跨網(wǎng)審計(jì)，并進(jìn)行集中統(tǒng)一管理，達(dá)到對(duì)審計(jì)數(shù)據(jù)綜合的統(tǒng)計(jì)與分析，更有效地防御外部的入侵和內(nèi)部的非法違規(guī)操作，最終起到保護(hù)信息和資源的作用。

參考網(wǎng)絡(luò)與信息系統(tǒng)安全審計(jì)應(yīng)用模型，企業(yè)既可以采取單項(xiàng)逐一建設(shè)方式，也可以采用多項(xiàng)綜合建設(shè)方式建立內(nèi)部審計(jì)應(yīng)用系統(tǒng)。對(duì)于擁有分（子）公司且不在同一地區(qū)的企業(yè)，也可以通過(guò)城域網(wǎng)絡(luò)把多個(gè)分（子）公司統(tǒng)一起來(lái)，進(jìn)行集中建設(shè)，統(tǒng)一管理。

4 結(jié) 論

通過(guò)整合市面上多種不同類(lèi)型的審計(jì)產(chǎn)品，按照網(wǎng)絡(luò)與信息系統(tǒng)安全審計(jì)應(yīng)用模型，采用“統(tǒng)一規(guī)劃、分步實(shí)施”的方式，可以在企業(yè)內(nèi)部建立起嚴(yán)格監(jiān)控的網(wǎng)絡(luò)與信息系統(tǒng)安全審計(jì)應(yīng)用平臺(tái)，提升企業(yè)信息化日常運(yùn)維及操作的安全性。

［1］胡克瑾.IT審計(jì)［M］.北京:電子工業(yè)出版社,2002.

［2］徐正旦.審計(jì)研究前沿［M］.上海:上海財(cái)經(jīng)大學(xué)出版社,2011.

［3］李華君.財(cái)務(wù)軟件實(shí)用教程［M］.北京:機(jī)械工業(yè)出版社,2011.