安全審計(jì)
安全審計(jì)涉及四個(gè)基本要(yào)素:控制(zhì)目标、安 ®全漏洞、控制(zhì)措施和(hé)控制(zhìΩ♥)測試。其中,控制(zhì)目标是(shì)指企業(yè©≤)根據具體(tǐ)的(de)計(jì)算(suàn÷¶)機(jī)應用(yòng),結合單位實際§Ωα制(zhì)定出的(de)安全控制(zhì)要(yào)求。±↑α安全漏洞是(shì)指系統的(de)安全薄弱環節,容易被幹擾或©¥↑破壞的(de)地(dì)方。控制(zhì)措施是(shì)指企業®↔ ★(yè)為(wèi)實現(xiàn)其安全控制(zhì)目标所制(zhì÷ ₽γ)定的(de)安全控制(zhì)技(jì)術(shù)、配置方法及各種規§≥™範制(zhì)度。控制(zhì)測試是(shì)将企業(yè)的(de)各種π✘安全控制(zhì)措施與預定的(de)安全标準進行(xíng)一(λεyī)緻性比較,确定各項控制(zhì)措施是(shì)否存在、是(γ✔shì)否得(de)到(dào)執行(xíng)、對(duì)漏洞的(de≥≈)防範是(shì)否有(yǒu)效,評價企業(yè)安全措施的(≈ de)可(kě)依賴程度。顯然,安全審計(jì)作ε↕(zuò)為(wèi)一(yī)個(gè)專門(mén)的(deε↑)審計(jì)項目,要(yào)求審計(jì)人(rén)員(•yuán)必須具有(yǒu)較強的(de)專φβ業(yè)技(jì)術(shù)知(zhī)識與✔≠ 技(jì)能(néng)。
安全審計(jì)是(shì)審計(jì)的(de≤↕)一(yī)個(gè)組成部分(fēn)。由于計(j£π☆ì)算(suàn)機(jī)網絡環境的(de)安全将不(bù)僅涉< 及國(guó)家(jiā)安危,更涉及到(<§©©dào)企業(yè)的(de)經濟利益。因此,我們認為(wèi∑δ♥↕)必須迅速建立起國(guó)家(jiā)、社會(huì)、企業(yè) →γ三位一(yī)體(tǐ)的(de)安全審λ≠ε計(jì)體(tǐ)系。其中,國(guó) ♣π家(jiā)安全審計(jì)機(jī)關應依據國(guó)×"π家(jiā)法律,特别是(shì)針對(duì)計(jì)算>Ω(suàn)機(jī)網絡本身(shēn)的(de)•₽各種安全技(jì)術(shù)要(yào)求,對εα←∑(duì)廣域網上(shàng)企業(yè) •的(de)信息安全實施年(nián)審制(zhì)。另外(wài) β,應該發展社會(huì)中介機(jī)構,對(duì)計(jì)算(s♠πuàn)機(jī)網絡環境的(de)安全提供審計(jì)服務,它與會(hγ≤uì)計(jì)師(shī)事(shì)務所、★✘律師(shī)事(shì)務所一(yī)樣,是(s εhì)社會(huì)對(duì)企業(yè)的(de)λ₹≤計(jì)算(suàn)機(jī)網絡系統的(de)安全作(zuò)出評價的(γ↕σde)機(jī)構。當企業(yè)管理(lǐ)當局權衡網絡系統所帶 λ來(lái)的(de)潛在損失時(shí),他(tā)們需要(yào)通(tōλ₹☆ng)過中介機(jī)構對(duì)安全性作(zuò)出檢查和(hé)評價。>↔此外(wài)财政、财務審計(jì)也(yě)離(lí)不(bù)÷πβ開(kāi)網絡安全專家(jiā),他(tā)們對(☆₽λδduì)網絡的(de)安全控制(zhì)作(zuò× ™∞)出評價,幫助注冊會(huì)計(jì)師$"(shī)對(duì)相(xiàng)應的(de≤★$÷)信息處理(lǐ)系統所披露信息的(de)真實性、可(kě)靠性作(zuòΩΩ)出正确判斷。
根據互聯網安全顧問(wèn)團主席Ira Winkler,安全審計(j∏★≥∑ì)、易損性評估以及滲透性測試是(shì♥εΩ)安全診斷的(de)三種主要(yào)方式。這(zhè)ββ三個(gè)分(fēn)别采用(yòng)不(bù)π£同的(de)方法,分(fēn)别适于特定的(de)目标。安β→全審計(jì)測量信息系統對(duì)于一(yī)系列标♣✘₩準的(de)性能(néng)。而易損性評估涉及整個(gè)信息系統的(d↓∑☆™e)綜合考察以及搜索潛在的(de)安全漏洞。滲透性測試是(s✔€hì)一(yī)種隐蔽的(de)操作(zuò),安全專家(ji"ε€ā)進行(xíng)大(dà)量的(de)攻擊來(lá÷•←i)探查系統是(shì)否能(néng)夠經÷≈₹≈受來(lái)自(zì)惡意黑(hēi)™客的(de)同類攻擊。在滲透性測試中,僞造的(de)攻擊可(k←≥♦™ě)能(néng)可(kě)能(néng)包括社會☆ ∞(huì)工(gōng)程等真正黑(hēi)客可(kě)能 ₹₽¥(néng)嘗試的(de)任何攻擊。這(zhè)些(x""≠iē)方法各有(yǒu)其固有(yǒu)的(de)能(néng)力,α •'聯合使用(yòng)兩個(gè)或者多(duō)個(gè)可(≈©γkě)能(néng)是(shì)最有(y×ǒu)效的(de)。
