安全审计

   安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。

安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。

根据互联网安全顾问团主席Ira Winkler，安全审计、易损性评估以及渗透性测试是安全诊断的三种主要方式。这三个分别采用不同的方法，分别适于特定的目标。安全审计测量信息系统对于一系列标准的性能。而易损性评估涉及整个信息系统的综合考察以及搜索潜在的安全漏洞。渗透性测试是一种隐蔽的操作，安全专家进行大量的攻击来探查系统是否能够经受来自恶意黑客的同类攻击。在渗透性测试中，伪造的攻击可能可能包括社会工程等真正黑客可能尝试的任何攻击。这些方法各有其固有的能力，联合使用两个或者多个可能是最有效的。