網路安全審計報告

A. 關於ciw中國認證的網路安全認證

CIW互聯網路安全培訓的重要性

隨著我國經濟的發展，越來越多的企業開始運用互聯網路為公司建立內部商業平台，網路的發展也越來越與國際接軌，因此網路的安全也越來越顯得重要。今後的企業發展和競爭力的提高越是依賴企業內部的信息化程度，網路的安全化程度就更顯得重要。據國家有關部門對2001年的統計了解，網路安全已成為當今IT行業首選職業，因為每個公司如果信息系統安全出問題，都會對公司的業務造成不可估量的損失。國家信息產業部，公安部也都提出了要求，國內企業的信息部門都要接受培訓才能上崗。這說明了網路安全已經提到議事日程上來了。

CIW認證體系簡介

CIW(Certified Internet Webmaster) 認證是國際上目前唯一針對互聯網專業人員的國際權威認證。根據全球兩大考試機構VUE和Prometric提供的資料表明，CIW 認證在美國已位居考試量第二位，僅次於Microsoft認證考試。CIW是一種基於互聯網專業技能的培訓認證，適合設計、開發、管理、安全防護、技術支持互聯網及企業網相關業務的人士。CIW培訓為您提供了學習、展示、證明您網路技術實力的良機，以使您的企業在網路商業環境中提高市場競爭能力。 CIW培訓著重於技術水平的提高和商業實踐的具體運用。CIW培訓認證進入中國後獲得快速發展根據權威調查顯示中國的webmaster從業人員迅速增長。我們相信CIW培訓將會隨著中國網路經濟的發展而蓬勃發展。CIW證書認證了您在互聯網技術方面的專家級地位，認定了您在一個互聯網工作團隊中必不可少的工作技能。

培訓目標及證書

參加 CIW培訓，我們特別注重您實際工作能力的提高。通過CIW培訓，您可以通過國際認證考試得到業界承認的CIW證書， CIW證書認證了您在互聯網技術方面的專家級地位，認定了您在一個互聯網工作團隊中必不可少的工作技能。

國際行業認可

CIW證書由以下三個國際性的互聯網專家協會認可並簽署：國際Webmaster協會(IWA)，互聯網專家協會（AIP）及位於歐洲的國際互聯網證書機構（ICII）。我們提供專業的CIW培訓，國際認證考試，保證您通過自己的努力順利獲得證書。 在國際IT業內，CIW培訓倍受推崇 Intel HP IBM已經將CIW課程融合到自己的內部培訓體系中，要求自己的員工必須通過CIW的部分課程考試。
CIW Security Professional是全面的介紹網路基本知識和實施安全策略的培訓項目，在通過CIW Foundations考試後，再通過CIW Security Professional認證考試您可以獲得CIW Security Professional證書，公正的反應您在網路安全方面的技能。

CIW Security Professional由三部分組成：

1. Network Security and Firewalls

01） 黑客活動應對篇 - 學會如何進行及時發現黑客非法活動，並作出及時的應對動作措施和報告，如何進行預先的防範活動。
02） 安全技術決策篇 - 為您介紹能夠幫助您阻止黑客活動的網路安全原理和技術。使學員了解如何建立一個能夠應對各種特別黑客攻擊的具有"個性化"的網路安全系統。該系統不僅符合國際網路安全原理，同時也符合您公司的商務需求。
03）安全用戶識別篇 - 幫助您學會針對網路訪問用戶的身份驗證過程，加密標准和實施，以確保正確的用戶身份驗證。您也將了解到黑客慣用的操作手法和對此防範的措施。
04）安全評估應用篇 - 為您提供相應的資源，使您可以繼續學習如何將安全評估方法應用到自己公司的網路安全實踐中。
05）安全政策決策篇 - 將幫助學員學習如何防止您的網路受到非法活動的入侵。首先幫助您了解網路安全原理，例如-如何在公司里建立有效的安全政策，並為您介紹您最有可能遇到的各種類型的黑客攻擊活動。

2. Operating System Security

1.0安全標准和技術推薦： 最新安全行業技術和標准推薦；提供一些有利於保護NT/UNIX/LINUX伺服器的各種配置方法。
2.0安全掃描： 學會安全掃描的方法，解決掃描後發現的問題；
3.0系統配置和再配置： 如何正確配置Windows NT UNIX/Linux伺服器，以免受黑客攻擊；學會如何再配置操作系 統，使之受到充分保護；
4.0深刻理解： 通過學習對整個NT/UNIX/Linux的安全架構有一個深刻的理解。

3. Security Auditing Attacks and Threat Analysis

1.0 如何進行安全審計？ 如何防止黑客攻進並控制您的網路？
2.0 安全審計的不同執行階段介紹：發現入侵和阻擊；
3.0 如何生成有效審計報告，幫助公司提高安全措施；
4.0 網路安全審計工具的介紹；
5.0 國際標准網路安全審計方法介紹；
6.0 評估網路威脅和風險；
7.0 為企業提供符合行業標準的安全解決方案。

B. 考CISP認證，需要哪些條件

CISP-Auditor認證注冊要求：

1、教育與工作經歷

博士研究生；碩士研究生以上，具有1年工作經歷；或本科畢業，具有2年工作經歷；或大專畢業，具有4年工作經歷。

2、專業工作經歷

至少具備2年從事信息安全或審計有關的工作經歷。

3、培訓資格

在申請注冊前，成功地完成了中國信息安全測評中心授權培訓機構組織的注冊信息安全審計師培訓課程，並取得培訓合格證書。

4、通過由中國信息安全測評中心舉行的注冊信息安全審計師考試。

信息安全審計師知識體系的八個知識類分別為：

信息安全保障：主要包括信息安全保障的框架、基本原理和實踐。

信息安全標准與法律法規：主要包括信息安全相關的標准、法律法規和道德規范。

信息安全技術：主要包括密碼學基礎與應用、網路安全、操作系統安全和應用安全等內容。

信息安全管理：主要包括信息安全管理基本概念、信息安全風險管理、信息安全管理體系建設及信息安全等級保護管理機制等內容。

信息安全工程：主要包括同信息安全相關的工程知識和實踐。

信息安全審計概述：主要包括審計的背景、審計的分類和對象、審計相關術語和定義、信息系統/信息安全審計的提出和發展、內容以及審計相關法律法規與准則等內容。

信息安全審計的組織與實施：主要包括信息安全審計方法、信息安全審計計劃、信息安全審計證據、信息安全審計工作底稿、信息安全審計報告、信息安全審計案例及練習活動（審計風險判斷、編制審計計劃、編制審計檢查表、判斷問題事項及安全風險等）等內容。

信息安全控制措施審計實務：主要包括信息安全管理控制審計實務、信息安全工程式控制制審計實務、信息安全技術控制審計實務以及信息安全審計上機實驗和信息安全審計工具測試案例介紹。

C. 網路安全審計的實施

為了確保審計實施的可用性和正確性，需要在保護和審查審計數據的同時，做好計劃分步實施。審計應該根據具體安全事件情況的需要進行定期審查或自動實時審查。系統管理員應該根據計算機安全管理的要求確定需要維護審計數據的內容、類型、范圍和時間等，其中包括系統內保存的和歸檔保存的數據。具體實施主要包括：保護審查審計數據及審計步驟。 1）保護審計數據
應當嚴格限制在線訪問審計日誌。除了系統管理員用於檢查訪問之外，其他任何人員都無權訪問審計日誌，更應嚴禁非法修改審計日誌以確保審計跟蹤數據的完整性。
審計數據保護的常用方法是使用數據簽名和只讀設備存儲數據。採用強訪問控制是保護審計跟蹤記錄免受非法訪問的有效舉措。黑客為掩人耳目清楚痕跡，常設法修改審計跟蹤記錄，因此，必須設法嚴格保護審計跟蹤文件。
審計跟蹤信息的保密性也應進行嚴格保護，利用強訪問控制和加密技術十分有效，審計跟蹤所記錄的用戶信息非常重要，通常包含用戶及交易記錄等機密信息。
2）審查審計數據
審計跟蹤的審查與分析可分為事後檢查、定期檢查和實時檢查3種。審查人員應清楚如何發現異常活動。通過用戶識別碼、終端識別碼、應用程序名、日期時間等參數來檢索審計跟蹤記錄並生成所需的審計報告，是簡化審計數據跟蹤檢查的有效方法。 審計是一個連續不斷改進提高的過程。審計的重點是評估企業現行的安全政策、策略、機制和系統監控情況。審計實施的主要步驟：
（1）確定安全審計。申請審計工作主要包括：審計原因、內容、范圍、重點、必要的升級與糾正、支持數據和審計所需人才物等，並上報審批。
（2）做好審計計劃。一個詳細完備的審計計劃是實施有效審計的關鍵。包括審計內容的詳細描述、關鍵時間、參與人員和獨立機構等。
（3）查閱審計歷史。審計中應查閱以前的審計記錄，有助於通過對比查找安全漏洞隱患和規程，更好地採取安全防範措施。同時保管好審計相關資源和規章制度等。
（4）實施安全風險評估。審計小組制定好審計計劃，著手開始審計核心即風險評估。
（5）劃定審計范疇。審計范圍劃定對審計的開展很關鍵，范圍之間要有一些聯系，如數據中心區域網，或是商業相關的一些財務報表等。審計范疇的劃定有利於集中注意力在資產、規程和政策方面的審計。
（6）確定審計重點和步驟。各類機構都應將主要精力放在審計的重點上。並確定具體的審計步驟和區域，避免審計的延緩或不完全，以免得出令人難以信服的結果。
（7）提出改進意見。安全審計最後應提出相應的提高安全防範的建議，便於實施。

D. 網路審計的模式特點

根據中國獨立審計准則20號《計算機信息系統環境下的審計》的規定，網路審計 的基本模式是：創建企業檔案，建立審計資料庫→不定期對企業的會計軟體、內部控制制度進行審查→接受委託，對被審計單位利用審計軟體進行網上綜合審計→得出審計結論，向委託人傳輸審計報告→建立審計檔案。 與傳統的審計相比較，網上審計呈現以下特點： 網路審計的范圍擴大。網路經濟活動是無疆界的，對某一個企業的審計可能涉及到國內外企業。另外在網路系統中能接觸到會計信息處理的人可能不僅僅是審計單位的少部分人員，能接觸會計信息處理的人有可能涉及整個網路用戶，出現數據錯誤就可能不是審計單位造成的，這樣就很難確定責任人，此時再把審計范圍局限在被審計單位是不合理的，因此審計范圍擴大了。
對象范圍增多
審計對象的范圍在擴大，網路系統的設計、實施等內容也出現在審計對象中。在網路系統中其資源共享的優勢使得審驗中各工作站都可能同時使用一個信息來源，由各自封閉的系統向整個系統敞開、互相影響、互為前提、彼此依賴，即對網路系統的依賴性極為提高。當被審單位會計人員過於放心網路系統，而網路系統不能正常發揮其職能時，手工或單機下的信息對象的真實、正確、合法等就無從談起。 加強對系統開發的審計監督。在系統開發的各個階段，審計人員要注意審查系統的可行性、安全性、可審性、可擴展性、經濟性以及程序控制的適用性。通過審計監督，為系統的高質量提供製度保障，同時為審計人員實施網上實時審計創造良好條件。
開展網上實時審計。審計機關和審計團體與企業的計算機系統聯網，並取得審計授權，就可以通過網路完成除實地盤點和現場觀察外的部分審計監督任務。如果在系統開發時嵌入審計程序軟體，計算機就可以實現實時跟蹤審計。
加強外部網及有關中介機構的審計監督。為了保證網路財務系統和審計系統中有關數據的真實性和安全性，各企業應要求審查網上的認證機構和加數字時間戳的機構的真實性、可靠性、權威性，並要求評價網際網路上各種加密技術、防火牆技術等網路安全措施的有效性。 將網路化財務、審計系統的安全納入法治化的軌道。改革開放以來，中國先後頒布《計算機系統安全規范》、《計算機病毒控制規定》等法律法規，並在《刑法》、《民法》、《民事訴訟法》等相關法律中，增加計算機信息安全方面的條款，從而為計算機信息系統的安全性提供了法律保障。不過，這些法律法規不涉及網路財務系統犯罪的領域，所以，需要制定專門的網路法，對網路系統、網路化審計系統的風險防範作出明文規定。
盡管電子商務與網路經營在我國還剛起步，但這是信息時代企業發展的方向。探索網路化條件下的審計，對促進審計跟上信息時代的步伐和促進中國電子商務和企業經營網路化的健康發展都具有積極意義。希望本文能拋磚引玉，引起大家對信息時代下的網路審計的關注。

E. 審計和統計有什麼區別,什麼是網路安全審計

會計學與審計學都是傳統專業，會計學與審計學相互聯系又互相區別。
第一，組織部門角度。每個單位或企業都有財務部門，都有出納會計，財務部門負責一個組織或企業單位賬務資金管理。而審計學一般來說，有國家審計、內部審計，社會審計，相應的有公務員審計單位，企業內部審計等，審計學是用於核對上市公司財政報表，審查會計憑證、會計賬簿、會計報表、審查有關文件、資料、檢查現金實務、有價證券等，審計單位的財務收支及有關經濟活動。 提到審計學，筆者最早知道有審計學是有一個小學同學的爸爸媽媽在審計局和地稅局上班。後來考大學的時候，有些同學報考審計專業，對審計學有大致了解。
第二，從學科特點角度比較。會計學專業一般會學到的課程主要有：會計學原理，中級財務會計、高級財務會計、成本會計、管理會計等。在大學里，會計學和審計學專業基礎課程基本上是一樣的，比如都有數學、英語、計算機基礎，微觀經濟學、宏觀經濟學、信息系統、統計學、初中高財務管理、成本會計等。區別是，審計學多了政府審計、內部審計、注冊會計師審計、審計學基礎幾門課程。
第三，從方法程序角度比較。會計學主要包括了記賬、算賬、報賬、用賬、查賬等內容，比如設置賬戶、填制憑證、登記賬簿、成本計算、會計報表等。審計學是方法是確定審計事項、收集審計證據、對照標准評價、提出審計報告、審計調與分析，抽樣法等。
第四，側重不同。兩個學科總體框架上基本相同，但各有側重，會計學側重記賬、登帳、會計憑證、會計報表。財務管理側重財務分析。審計學側重審計，但是必須有財務基礎知識。簡單的說，查賬只反映審計一個內容，審計不等於查賬，審計還包括比如實地考察、調查、分析、抽樣檢驗等。審計只能由專門審計機構或部門進行，審計是一門獨立的學科，不是會計的分支。
審計學離不開會計學基礎內容基本知識，而會計學又是審計學的基本內容之一，審計學與會計學與相同之處但又有所不同，相互聯系又有不同。

國際互聯網路安全審計（網路備案），是為了加強和規范互聯網安全技術防範工作，保障互聯網網路安全和信息安全，促進互聯網健康、有序發展，維護國家安全、社會秩序和公共利益。我國於2005年制定了《互聯網安全保護技術措施規定》，2006年3月1日起施行。

F. 淺談信息系統審計和傳統審計之間的區別和聯系

中大網校回答：

一、信息系統審計的定義

隨著全球信息化和審計理論的發展，信息系統審計逐漸引起人們的關注。但是到目前為止，國際上對信息系統審計還沒有固定、統一的定義。國際信息系統審計委員會(ISACA)定義為「信息系統審計是一個獲取並評價證據，以判斷計算機系統是否能夠保證資產的安全、數據的完整以及有效率利用組織的資源並有效果地實現組織目標地過程」，該協會的專家
Ron Weber
定義為「搜集並評價證據，以判斷一個計算機系統(信息系統)是否有效的做到保護資產、維護數據完整、完成組織目標，同時最經濟的使用資源」;1985年日本通產省情報處理開發協會信息系統審計委員會定義為「所謂信息系統審計是指由獨立於審計對象的信息系統審計師站在客觀的立場，對以計算機為核心的信息系統進行綜合的檢查、評價，向有關人員提出問題與勸告，追求系統的有效利用和故障排除，使系統更加健全」，11年後的1996年，該委員會對信息系統審計重新定義為「為了信息系統的安全、可靠與有效，由獨立於審計對象的信息系統審計師，以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價，向信息系統審計對象的最高領導層，提出問題與建議的一連串的活動」。所以信息系統審計所關注的內容不單純是對電子數據的處理，更不僅僅是財務信息，而是對企業整個信息系統的可靠性、安全性進行了解和評價，是一項通過審查與評價信息系統的規劃、開發、實施、運行和維護等一系列活動，以確定信息系統運行是否安全、可靠、有效，信息系統得出的數據是否可靠准確以及數據是否能有效的存儲的過程。

實施信息系統審計(ISA)的人員稱為信息系統審計師(IS
Auditor),我國國內稱為IT審計師。國際信息系統審計與控制協會(ISACA)是國際上唯一可授權信息系統審計師的權威機構，通過考試可獲得注冊信息系統審計師(CISA)證書，該證書被世界各國廣泛認可。

二、信息系統審計的內容和特點

國際信息系統審計協會(ISACA)規定了信息系統審計主要內容：1.信息系統審計程序。依據信息系統審計標准、准則和最佳實務等提供信息系統審計服務，以幫助組織確保其信息技術和運營系統得到保護並受控;2.
IT治理(信息技術治理)。確保組織擁有適當的結構、政策、工作職責、運營管理機制和監督實務，以達到公司治理中對IT
方面的要求;3.系統和基礎建設生命周期管理。系統的開發、采購、測試、實施(交付)、維護和(配置)使用，與基礎框架，確保實現組織的目標;4. IT
服務的交付與支持。IT 服務管理實務可確保提供所要求的等級、類別的服務，來滿足組織的目標;5.
信息資產的保護。通過適當的安全體系(如，安全政策、標准和控制)，保證信息資產的機密性、完整性和有效性;6.
災難恢復和業務連續性計劃。一旦連續的業務被(意外)中斷(或破環)，災難恢復計劃確保(災難)對業務影響最小化的同時，及時恢復(中斷的)IT 服務。

從信息系統審計的上述定義和內容，大致歸納出信息系統審計的幾個特徵：一是獨立性，為了確保信息系統審計的公正性與有效性，信息系統審計師必須以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價;二是綜合性，信息系統審計不僅包括審計信息系統運行的有形設施，還包括運行環境以及內部控制;三是管理特徵，信息系統審計通過對信息系統安全、可靠與有效性的評價，促使企業有效率的利用組織的資源並有效果地實現組織的目標。

三、信息系統審計與傳統審計之間的區別與聯系

信息系統審計是傳統審計的一部分，是以傳統審計理論為理論基礎的，兩者之間有緊密的聯系，也存在一定的區別。兩者的聯系是：信息系統審計繼承了傳統審計的基本理論與方法，與傳統的審計一樣。在立場上，要求信息系統審計師站在獨立的立場上，通過選擇特定的審計對象，採用詢問、檢查、分析、模擬、測試等方法獲得客觀的審計證據，來判斷其與既定標準的符合程度。在程序上，信息系統審計一般也要經過審計計劃、符合性測試與實質性測試、審計報告等主要階段來進行審計工作，實現審計目標;兩者的區別也比較明顯，主要表現在：首先，信息系統的審計對象不同於傳統審計的財務領域，而是信息系統，包括基礎設施，軟硬體管理，信息安全，網路管理合通信等;其次，信息系統審計提出了更多的審計法與審計程序，這都是傳統審計所不具備的，比如對某軟體進行審計時，要採用技術含量相當高的測試，對網路安全審計時要採用穿透性測試(模擬成黑客進行各種攻擊以驗證其安全性);第三，信息系統審計不光是事後審計，主要關注系統的運行現狀，在某種情況下，直接參與項目的開發或變更過程，以保證足夠的控製得以順利實施;最後，信息系統審計的咨詢價值顯得更高，信息化的風險很高，信息系統審計師可憑借其專門知識和實踐經驗，受託或主動服務於被審計單位的管理者或其業務人員，在企業信息化過程中，幫助企業建立健全內部控制制度，進行系統診斷，根據企業需求，確定信息化的目標和內容，選擇合適的信息系統。

四、盡快建立起符合我國實際的信息系統審計體系

我國在信息系統審計方面還沒有形成一整套體系。但是近年來，在借鑒國外有關信息系統審計經驗的基礎上，審計署在利用計算機信息系統開展審計工作中已經取得了一定的成果：(一)全面開展對電子數據的審計，包括會計電子數據和業務管理電子數據。採取的具體方法是：1.精確復核。運用計算機，對各種數據進行精確復核，既可以對全轄並表機構的會計報表與匯總報表進行全面復核，又可以從會計流水賬逐級核對至總賬，還可以將業務管理數據與會計報表數據進行復核;2.編制計算機程序進行輔助計算。可以編制計算機程序對有比例關系的項目進行計算，然後與實際記錄進行比較，找出產生差異的記錄;3.對一些異常會計記錄和交易進行篩選和查詢，為審計人員提供審計線索，主要是根據某一特徵進行篩選分析，從不同角度分析可疑問題線索。(二)對被審計單位的信息系統的可靠性和內部控制進行初步的評價。主要是：1.
主要調查信息系統的使用范圍，網路安全和數據的備份等情況，以保證信息系統財務數據的安全、完整;2.對信息系統的內部控制情況進行初步的調查和評價，重點是許可權管理、參數表的設置和修改控制等是否有效，信息系統的使用者和系統的開發者是否分離，被審計單位對交易錄入的原始數據是否實施相應的控制，信息系統的數據流和業務流程是否吻合;3.通過系統日誌等文件分析一些重大事件的原因，分析對整體信息系統的影響。但是我國在全面開展信息系統審計方面還處在探索階段，為了能夠為被審計單位提出更有價值的審計建議，更好地服務欲被審計單位，保證信息系統能有效地實現企業(單位)的目標，在我國也要盡快建立起符合我國實際的信息系統審計體系。

G. 網路安全審計的概念

計算機網路安全審計（Audit）是指按照一定的安全策略，利用記錄、系統活動和用戶活動等信息，檢查、審查和檢驗操作事件的環境及活動，從而發現系統漏洞、入侵行為或改善系統性能的過程。也是審查評估系統安全風險並採取相應措施的一個過程。在不至於混淆情況下，簡稱為安全審計，實際是記錄與審查用戶操作計算機及網路系統活動的過程，是提高系統安全性的重要舉措。系統活動包括操作系統活動和應用程序進程的活動。用戶活動包括用戶在操作系統和應用程序中的活動，如用戶所使用的資源、使用時間、執行的操作等。安全審計對系統記錄和行為進行獨立的審查和估計，其主要作用和目的包括5個方面：
（1）對可能存在的潛在攻擊者起到威懾和警示作用，核心是風險評估。
（2）測試系統的控制情況，及時進行調整，保證與安全策略和操作規程協調一致。
（3）對已出現的破壞事件，做出評估並提供有效的災難恢復和追究責任的依據。
（4）對系統控制、安全策略與規程中的變更進行評價和反饋，以便修訂決策和部署。
（5）協助系統管理員及時發現網路系統入侵或潛在的系統漏洞及隱患。 網路安全審計從審計級別上可分為3種類型：系統級審計、應用級審計和用戶級審計。
1）系統級審計
系統級審計主要針對系統的登入情況、用戶識別號、登入嘗試的日期和具體時間、退出的日期和時間、所使用的設備、登入後運行程序等事件信息進行審查。典型的系統級審計日誌還包括部分與安全無關的信息，如系統操作、費用記賬和網路性能。這類審計卻無法跟蹤和記錄應用事件，也無法提供足夠的細節信息。
2）應用級審計
應用級審計主要針對的是應用程序的活動信息，如打開和關閉數據文件，讀取、編輯、刪除記錄或欄位的等特定操作，以及列印報告等。
3）用戶級審計
用戶級審計主要是審計用戶的操作活動信息，如用戶直接啟動的所有命令，用戶所有的鑒別和認證操作，用戶所訪問的文件和資源等信息。

H. 淺談信息系統審計和傳統審計之間的區別和聯

信息系統審計是傳統審計的一部分，是以傳統審計理論為理論基礎的，兩者之間有緊密的聯系，也存在一定的區別。兩者的聯系是：信息系統審計繼承了傳統審計的基本理論與方法，與傳統的審計一樣。在立場上，要求信息系統審計師站在獨立的立場上，通過選擇特定的審計對象，採用詢問、檢查、分析、模擬、測試等方法獲得客觀的審計證據，來判斷其與既定標準的符合程度。在程序上，信息系統審計一般也要經過審計計劃、符合性測試與實質性測試、審計報告等主要階段來進行審計工作，實現審計目標；兩者的區別也比較明顯，主要表現在：首先，信息系統的審計對象不同於傳統審計的財務領域，而是信息系統，包括基礎設施，軟硬體管理，信息安全，網路管理合通信等；其次，信息系統審計提出了更多的審計法與審計程序，這都是傳統審計所不具備的，比如對某軟體進行審計時，要採用技術含量相當高的測試，對網路安全審計時要採用穿透性測試（模擬成黑客進行各種攻擊以驗證其安全性）；第三，信息系統審計不光是事後審計，主要關注系統的運行現狀，在某種情況下，直接參與項目的開發或變更過程，以保證足夠的控製得以順利實施；最後，信息系統審計的咨詢價值顯得更高，信息化的風險很高，信息系統審計師可憑借其專門知識和實踐經驗，受託或主動服務於被審計單位的管理者或其業務人員，在企業信息化過程中，幫助企業建立健全內部控制制度，進行系統診斷，根據企業需求，確定信息化的目標和內容，選擇合適的信息系統。

I. 請問計算機安全審計報告應該如何去寫，是否有範文可以參考。

一、引言

隨著網路的發展，網路信息的安全越來越引起世界各國的重視，防病毒產品、防火牆、入侵檢測、漏洞掃描等安全產品都得到了廣泛的應用，但是這些信息安全產品都是為了防禦外部的入侵和竊取。隨著對網路安全的認識和技術的發展，發現由於內部人員造成的泄密或入侵事件佔了很大的比例，所以防止內部的非法違規行為應該與抵禦外部的入侵同樣地受到重視，要做到這點就需要在網路中實現對網路資源的使用進行審計。

在當今的網路中各種審計系統已經有了初步的應用，例如：資料庫審計、應用程序審計以及網路信息審計等，但是，隨著網路規模的不斷擴大，功能相對單一的審計產品有一定的局限性，並且對審計信息的綜合分析和綜合管理能力遠遠不夠。功能完整、管理統一，跨地區、跨網段、集中管理才是綜合審計系統最終的發展目標。

本文對涉密信息系統中安全審計系統的概念、內容、實現原理、存在的問題、以及今後的發展方向做出了討論。

二、什麼是安全審計

國內通常對計算機信息安全的認識是要保證計算機信息系統中信息的機密性、完整性、可控性、可用性和不可否認性(抗抵賴)，簡稱「五性」。安全審計是這「五性」的重要保障之一，它對計算機信息系統中的所有網路資源(包括資料庫、主機、操作系統、安全設備等)進行安全審計，記錄所有發生的事件，提供給系統管理員作為系統維護以及安全防範的依據。安全審計如同銀行的監控系統，不論是什麼人進出銀行，都進行如實登記，並且每個人在銀行中的行動，乃至一個茶杯的挪動都被如實的記錄，一旦有突發事件可以快速的查閱進出記錄和行為記錄，確定問題所在，以便採取相應的處理措施。

近幾年，涉密系統規模不斷擴大，系統中使用的設備也逐漸增多，每種設備都帶有自己的審計模塊，另外還有專門針對某一種網路應用設計的審計系統，如：操作系統的審計、資料庫審計系統、網路安全審計系統、應用程序審計系統等，但是都無法做到對計算機信息系統全面的安全審計，另外審計數據格式不統一、審計分析規則無法統一定製也給系統的全面綜合審計造成了一定的困難。如果在當前的系統條件下希望全面掌握信息系統的運行情況，就需要對每種設備的審計模塊熟練操作，並且結合多種專用審計產品才能夠做到。

為了能夠方便地對整個計算機信息系統進行審計，就需要設計綜合的安全審計系統。它的目標是通過數據挖掘和數據倉庫等技術，實現在不同網路環境中對網路設備、終端、數據資源等進行監控和管理，在必要時通過多種途徑向管理員發出警告或自動採取排錯措施，並且能夠對歷史審計數據進行分析、處理和追蹤。主要作用有以下幾個方面：

1. 對潛在的攻擊者起到震懾和警告的作用;

2. 對於已經發生的系統破壞行為提供有效的追究證據;

3. 為系統管理員提供有價值的系統使用日誌，從而幫助系統管理員及時發現系統入侵行為或潛在的系統漏洞;

4. 為系統管理員提供系統的統計日誌，使系統管理員能夠發現系統性能上的不足或需要改進和加強的地方。

三、涉密信息系統安全審計包括的內容

《中華人民共和國計算機信息系統安全保護條例》中定義的計算機信息系統，是指由計算機及其相關的和配套的設備、設施(含網路)構成的，按照一定的應用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。涉密計算機信息系統(以下簡稱「涉密信息系統」)在《計算機信息系統保密管理暫行規定》中定義為：採集、存儲、處理、傳遞、輸出國家秘密信息的計算機信息系統。所以針對涉密信息系統的安全審計的內容就應該針對涉密信息系統的每一個方面，應該對計算機及其相關的和配套的設備、設施(含網路)，以及對信息的採集、加工、存儲、傳輸和檢索等方面進行審計。

具體來說，應該對一個涉密信息系統中的以下內容進行安全審計：

被審計資源安全審計內容

網路通信系統網路流量中典型協議分析、識別、判斷和記錄，Telnet、HTTP、Email、FTP、網上聊天、文件共享等的檢測，流量監測以及對異常流量的識別和報警、網路設備運行的監測等。

重要伺服器主機操作系統系統啟動、運行情況，管理員登錄、操作情況，系統配置更改(如注冊表、配置文件、用戶系統等)以及病毒或蠕蟲感染、資源消耗情況的審計，硬碟、CPU、內存、網路負載、進程、操作系統安全日誌、系統內部事件、對重要文件的訪問等。

重要伺服器主機應用平台軟體重要應用平台進程的運行、Web Server、Mail Server、Lotus、Exchange Server、中間件系統、健康狀況(響應時間等)等。

重要資料庫操作資料庫進程運轉情況、繞過應用軟體直接操作資料庫的違規訪問行為、對資料庫配置的更改、數據備份操作和其他維護管理操作、對重要數據的訪問和更改、數據完整性等的審計。

重要應用系統辦公自動化系統、公文流轉和操作、網頁完整性、相關業務系統(包括業務系統正常運轉情況、用戶開設/中止等重要操作、授權更改操作、數據提交/處理/訪問/發布操作、業務流程等內容)等。

重要網路區域的客戶機病毒感染情況、通過網路進行的文件共享操作、文件拷貝/列印操作、通過Modem擅自連接外網的情況、非業務異常軟體的安裝和運行等的審計

四、安全審計系統使用的關鍵技術

根據在涉密信息系統中要進行安全審計的內容，我們可以從技術上分為以下幾個模塊：

1.網路審計模塊：主要負責網路通信系統的審計;

2.操作系統審計模塊：主要負責對重要伺服器主機操作系統的審計;

3.資料庫審計模塊：主要負責對重要資料庫操作的審計;

4.主機審計模塊：主要負責對網路重要區域的客戶機進行審計;

5.應用審計模塊：主要負責重要伺服器主機的應用平台軟體，以及重要應用系統進行審計。

還需要配備一個資料庫系統，負責以上審計模塊生成的審計數據的存儲、檢索、數據分析等操作，另外，還需要設計一個統一管理平台模塊，負責接收各審計模塊發送的審計數據，存入資料庫，以及向審計模塊發布審計規則。如下圖所示：

安全審計系統中應解決如下的關鍵技術：

1.網路監聽：

是安全審計的基礎技術之一。它應用於網路審計模塊，安裝在網路通信系統的數據匯聚點，通過抓取網路數據包進行典型協議分析、識別、判斷和記錄，Telnet、HTTP、Email、FTP、網上聊天、文件共享等的檢測，流量監測以及對異常流量的識別和報警、網路設備運行的監測等，另外也可以進行資料庫網路操作的審計。

2.內核驅動技術：

是主機審計模塊、操作系統審計模塊的核心技術，它可以做到和操作系統的無縫連接，可以方便的對硬碟、CPU、內存、網路負載、進程、文件拷貝/列印操作、通過Modem擅自連接外網的情況、非業務異常軟體的安裝和運行等進行審計。

3.應用系統審計數據讀取技術：

大多數的多用戶操作系統(Windows、UNIX等)、正規的大型軟體(資料庫系統等)、多數安全設備(防火牆、防病毒軟體等)都有自己的審計功能，日誌通常用於檢查用戶的登錄、分析故障、進行收費管理、統計流量、檢查軟體運行情況和調試軟體，系統或設備的審計日誌通常可以用作二次開發的基礎，所以如何讀取多種系統和設備的審計日誌將是解決操作系統審計模塊、資料庫審計模塊、應用審計模塊的關鍵所在。

4.完善的審計數據分析技術：

審計數據的分析是一個安全審計系統成敗的關鍵，分析技術應該能夠根據安全策略對審計數據具備評判異常和違規的能力，分為實時分析和事後分析：

實時分析：提供或獲取審計數據的設備和軟體應該具備預分析能力，並能夠進行第一道篩選;

事後分析：統一管理平台模塊對記錄在資料庫中的審計記錄進行事後分析，包括統計分析和數據挖掘。

五、安全審計系統應該注意的問題

安全審計系統的設計應該注意以下幾個問題：

1.審計數據的安全：

在審計數據的獲取、傳輸、存儲過程中都應該注意安全問題，同樣要保證審計信息的「五性」。在審計數據獲取過程中應該防止審計數據的丟失，應該在獲取後盡快傳輸到統一管理平台模塊，經過濾後存入資料庫，如果沒有連接到管理平台模塊，則應該在本地進行存儲，待連接後再發送至管理平台模塊，並且應該採取措施防止審計功能被繞過;在傳輸過程中應該防止審計數據被截獲、篡改、丟失等，可以採用加密演算法以及數字簽名方式進行控制;在審計數據存儲時應注意資料庫的加密，防止資料庫溢出，當資料庫發生異常時，有相應的應急措施，而且應該在進行審計數據讀取時加入身份鑒別機制，防止非授權的訪問。

2.審計數據的獲取

首先要把握和控制好數據的來源，比如來自網路的數據截取;來自系統、網路、防火牆、中間件等系統的日誌;通過嵌入模塊主動收集的系統內部信息;通過網路主動訪問獲取的信息;來自應用系統或安全系統的審計數據等。有數據源的要積極獲取;沒有數據源的要設法生成數據。對收集的審計數據性質也要分清哪些是已經經過分析和判斷的數據，哪些是沒有分析的原始數據，要做出不同的處理。

另外，應該設計公開統一的日誌讀取API，使應用系統或安全設備開發時，就可以將審計日誌按照日誌讀取API的模式進行設計，方便日後的審計數據獲取。

3.管理平台分級控制

由於涉密信息系統的迅速發展，系統規模也在不斷擴大，所以在安全審計設計的初期就應該考慮分布式、跨網段，能夠進行分級控制的問題。也就是說一個涉密信息系統中可能存在多個統一管理平台，各自管理一部分審計模塊，管理平台之間是平行關系或上下級關系，平級之間不能互相管理，上級可以向下級發布審計規則，下級根據審計規則向上級匯報審計數據。這樣能夠根據網路規模及安全域的劃分靈活的進行擴充和改變，也有利於整個安全審計系統的管理，減輕網路的通信負擔。

4.易於升級維護

安全審計系統應該採用模塊設計，這樣有利於審計系統的升級和維護。

專家預測，安全審計系統在2003年是最熱門的信息安全技術之一。國內很多信息安全廠家都在進行相關技術的研究，有的已經推出了成型的產品，另一方面，相關的安全審計標准也在緊鑼密鼓的制定當中，看來一個安全審計的春天已經離我們越來越近了。

但是信息系統的安全從來都是一個相對的概念，只有相對的安全，而沒有絕對的安全。安全也是一個動態發展的過程，隨著網路技術的發展，安全審計還有很多值得關注的問題，如：

1. 網路帶寬由現在的100兆會增加到1G，安全審計如何對千兆網路進行審計就是值得關注的問題;

2. 當前還沒有一套為各信息安全廠商承認的安全審計介面標准，標準的制定與應用將會使安全審計跨上一個新的台階;

3. 現在的安全審計都建立在TCP/IP協議之上，如果有系統不採用此協議，那麼如何進行安全審計。

六、小結

安全審計作為一門新的信息安全技術，能夠對整個計算機信息系統進行監控，如實記錄系統內發生的任何事件，一個完善的安全審計系統可以根據一定的安全策略記錄和分析歷史操作事件及數據，有效的記錄攻擊事件的發生，提供有效改進系統性能和的安全性能的依據。本文從安全審計的概念、在涉密信息系統中需要審計的內容、安全審計的關鍵技術及安全審計系統應該注意的問題等幾個方面討論了安全審計在涉密信息系統中的應用。安全審計系統應該全面地對整個涉密信息系統中的網路、主機、應用程序、資料庫及安全設備等進行審計，同時支持分布式跨網段審計，集中統一管理，可對審計數據進行綜合的統計與分析，從而可以更有效的防禦外部的入侵和內部的非法違規操作，最終起到保護機密信息和資源的作用。