張 強

（黑龍江省省直機關(guān)房屋物業(yè)管理中心，哈爾濱 150001）

近年來，隨著辦公業(yè)務(wù)對手機軟件相關(guān)信息系統(tǒng)的依賴越來越高，APP應(yīng)用軟件信息系統(tǒng)存在的風(fēng)險對業(yè)務(wù)的潛在影響也越來越大。解決針對業(yè)務(wù)信息內(nèi)容的篡改操作行為的監(jiān)控管理的問題，必須要有一種有效的安全技術(shù)手段對內(nèi)部員工、運行維護人員以及第三方人員的上網(wǎng)行為、內(nèi)網(wǎng)行為、操作行為等進行有效的監(jiān)控和管理，并對其行為趨勢進行分析和總結(jié)。

1 APP應(yīng)用信息安全審計定義

為了APP應(yīng)用信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的IT審計師，以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向IT審計對象的最高領(lǐng)導(dǎo)，提出問題與建議的一連串的活動稱為IT審計。IT審計就是信息系統(tǒng)審計，也稱IT監(jiān)查。

2 APP應(yīng)用信息安全審計的實現(xiàn)

要實現(xiàn)APP應(yīng)用信息安全審計，保障計算機信息系統(tǒng)中信息的機密性、完整性、可控性、可用性和不可否認(rèn)性（抗抵賴），需要對計算機信息系統(tǒng)中的所有網(wǎng)絡(luò)資源（包括數(shù)據(jù)庫、主機、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）進行安全審計，記錄所有發(fā)生的事件，提供給系統(tǒng)管理員作為系統(tǒng)維護以及安全防范的依據(jù)。

2.1 合規(guī)性審計

做到有效控制IT風(fēng)險，尤其是操作風(fēng)險，對業(yè)務(wù)的安全運營至關(guān)重要。因此，合規(guī)性審計成為被行業(yè)推崇的有效方法。安全合規(guī)性審計指在建設(shè)與運行IT系統(tǒng)中的過程是否符合相關(guān)的法律、標(biāo)準(zhǔn)、規(guī)范、文件精神的要求一種檢測方法。這作為風(fēng)險控制的主要內(nèi)容之一，是檢查安全策略落實情況的一種手段。

2.2 日志審計

基于日志的安全審計技術(shù)是通過SNMP、SYSLOG或者其他的日志接口從網(wǎng)絡(luò)設(shè)備、主機服務(wù)器、用戶終端、數(shù)據(jù)庫、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備中收集日志，對收集的日志進行格式標(biāo)準(zhǔn)化、統(tǒng)一分析和報警，并形成多種格式和類型的審計報表。

2.3 網(wǎng)絡(luò)行為審計

基于網(wǎng)絡(luò)技術(shù)的安全審計是通過旁路和串接的方式實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲，進行協(xié)議分析和還原，可達(dá)到審計服務(wù)器、用戶終端、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的安全漏洞，審計合法、非法或入侵操作，監(jiān)控上網(wǎng)行為和內(nèi)容，監(jiān)控用戶非工作行為等目的。網(wǎng)絡(luò)行為審計更偏重于網(wǎng)絡(luò)行為，具備部署簡單等優(yōu)點。

2.4 主機審計

主機安全審計是通過在主機服務(wù)器、用戶終端、數(shù)據(jù)庫或其他審計對象中安裝客戶端的方式來進行審計，可達(dá)到審計安全漏洞、審計合法和非法或入侵操作、監(jiān)控上網(wǎng)行為和內(nèi)容以及向外拷貝文件行為、監(jiān)控用戶非法行為等目的。主機審計包括主機的漏洞掃描產(chǎn)品、主機防火墻和主機IDS/IPS的安全審計功能、主機上網(wǎng)和上機行為監(jiān)控、終端管理等類型的產(chǎn)品。

2.5 應(yīng)用系統(tǒng)審計

應(yīng)用系統(tǒng)安全審計是對用戶在業(yè)務(wù)應(yīng)用過程中的登錄、操作、退出的一切行為通過內(nèi)部截取和跟蹤等相關(guān)方式進行監(jiān)控和詳細(xì)記錄，并對這些記錄按時間段、地址段、用戶、操作命令、操作內(nèi)容等分別進行審計。

2.6 集中操作運維審計

集中操作運維審計側(cè)重于對網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、數(shù)據(jù)庫的運行維護過程中的風(fēng)險審計。

運維審計的方式不同于其他審計，尤其是維護人員為了安全的要求，開始大量采用加密方式，如遠(yuǎn)程桌面協(xié)議（Remote Desktop Protocol，RDP）、SSL等，加密口令在連接建立的時候動態(tài)生成，一般的針對網(wǎng)絡(luò)行為進行審計的技術(shù)是無法實現(xiàn)的。

3 審計系統(tǒng)的實現(xiàn)

通過對6類審計產(chǎn)品的綜合應(yīng)用，可以形成較完備的APP應(yīng)用信息系統(tǒng)安全審計應(yīng)用系統(tǒng)，對整個網(wǎng)絡(luò)與信息系統(tǒng)中的網(wǎng)絡(luò)、主機、應(yīng)用系統(tǒng)、數(shù)據(jù)庫及安全設(shè)備等進行安全審計，且可以支持分布式跨網(wǎng)審計，并進行集中統(tǒng)一管理，達(dá)到對審計數(shù)據(jù)綜合的統(tǒng)計與分析，更有效地防御外部的入侵和內(nèi)部的非法違規(guī)操作，最終起到保護信息和資源的作用。

參考網(wǎng)絡(luò)與信息系統(tǒng)安全審計應(yīng)用模型，企業(yè)既可以采取單項逐一建設(shè)方式，也可以采用多項綜合建設(shè)方式建立內(nèi)部審計應(yīng)用系統(tǒng)。對于擁有分（子）公司且不在同一地區(qū)的企業(yè)，也可以通過城域網(wǎng)絡(luò)把多個分（子）公司統(tǒng)一起來，進行集中建設(shè)，統(tǒng)一管理。

4 結(jié) 論

通過整合市面上多種不同類型的審計產(chǎn)品，按照網(wǎng)絡(luò)與信息系統(tǒng)安全審計應(yīng)用模型，采用“統(tǒng)一規(guī)劃、分步實施”的方式，可以在企業(yè)內(nèi)部建立起嚴(yán)格監(jiān)控的網(wǎng)絡(luò)與信息系統(tǒng)安全審計應(yīng)用平臺，提升企業(yè)信息化日常運維及操作的安全性。

［1］胡克瑾.IT審計［M］.北京:電子工業(yè)出版社,2002.

［2］徐正旦.審計研究前沿［M］.上海:上海財經(jīng)大學(xué)出版社,2011.

［3］李華君.財務(wù)軟件實用教程［M］.北京:機械工業(yè)出版社,2011.