淺議電子數(shù)據(jù)安全審計

　　一、對電子數(shù)據(jù)安全的基本認識

　　電子數(shù)據(jù)安全是建立在計算機網(wǎng)絡(luò)安全基礎(chǔ)上的一個子項安全系統(tǒng)，它既是計算機網(wǎng)絡(luò)安全概念的一部分，但又和計算機網(wǎng)絡(luò)安全緊密相連，從一定意義上講，計算機網(wǎng)絡(luò)安全其實質(zhì)即是電子數(shù)據(jù)安全。國際標準化組織（ISO）對計算機網(wǎng)絡(luò)安全的定義為：“計算機系統(tǒng)有保護計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞�！睔W洲幾個國家共同提出的“信息技術(shù)安全評級準則”，從保密性、完整性和可用性來衡量計算機安全。對電子數(shù)據(jù)安全的衡量也可借鑒這三個方面的內(nèi)容，保密性是指計算機系統(tǒng)能防止非法泄露電子數(shù)據(jù)；完整性是指計算機系統(tǒng)能防止非法修改和刪除電子數(shù)據(jù)；可用性是指計算機系統(tǒng)能防止非法獨占電子數(shù)據(jù)資源，當用戶需要使用計算機資源時能有資源可用。

　　二、電子數(shù)據(jù)安全的性質(zhì)

　　電子數(shù)據(jù)安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統(tǒng)對外部威脅的防范，而廣義的安全是計算機系統(tǒng)在保證電子數(shù)據(jù)不受破壞并在給定的時間和資源內(nèi)提供保證質(zhì)量和確定的服務(wù)。在電子數(shù)據(jù)運行在電子商務(wù)等以計算機系統(tǒng)作為一個組織業(yè)務(wù)目標實現(xiàn)的核心部分時，狹義安全固然重要，但需更多地考慮廣義的安全。在廣義安全中，安全問題涉及到更多的方面，安全問題的性質(zhì)更為復雜。

　�。ㄒ唬╇娮訑�(shù)據(jù)安全的多元性

　　在計算機網(wǎng)絡(luò)系統(tǒng)環(huán)境中，風險點和威脅點不是單一的，而存在多元性。這些威脅點包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關(guān)鍵設(shè)施、設(shè)備的安全和硬件資產(chǎn)存放地點的安全等內(nèi)容；邏輯安全涉及到訪問控制和電子數(shù)據(jù)完整性等方面；安全管理包括人員安全管理政策、組織安全管理政策等內(nèi)容。電子數(shù)據(jù)安全出現(xiàn)問題可能是其中一個方面出現(xiàn)了漏洞，也可能是其中兩個或是全部出現(xiàn)互相聯(lián)系的安全事故。

　�。ǘ�）電子數(shù)據(jù)安全的動態(tài)性

　　由于信息技術(shù)在不斷地更新，電子數(shù)據(jù)安全問題就具有動態(tài)性。因為在今天無關(guān)緊要的地方，在明天就可能成為安全系統(tǒng)的隱患；相反，在今天出現(xiàn)問題的地方，在將來就可能已經(jīng)解決。例如，線路劫持和竊聽的可能性會隨著加密層協(xié)議和密鑰技術(shù)的廣泛應(yīng)用大大降低，而客戶機端由于B0這樣的黑客程序存在，同樣出現(xiàn)了安全需要。安全問題的動態(tài)性導致不可能存在一勞永逸的解決方案。

　�。ㄈ�）電子數(shù)據(jù)安全的復雜性

　　安全的多元性使僅僅采用安全產(chǎn)品來防范難以奏效。例如不可能用一個防火墻將所有的安全問題擋在門外，因為黑客常常利用防火墻的隔離性，持續(xù)幾個月在防火墻外試探系統(tǒng)漏洞而未被發(fā)覺，并最終攻入系統(tǒng)。另外，攻擊者通常會從不同的方面和角度，例如對物理設(shè)施或協(xié)議、服務(wù)等邏輯方式對系統(tǒng)進行試探，可能繞過系統(tǒng)設(shè)置的某些安全措施，尋找到系統(tǒng)漏洞而攻入系統(tǒng)。它涉及到計算機和網(wǎng)絡(luò)的硬件、軟件知識，從最底層的計算機物理技術(shù)到程序設(shè)計內(nèi)核，可以說無其不包，無所不在，因為攻擊行為可能并不是單個人的，而是掌握不同技術(shù)的不同人群在各個方向上展開的行動。同樣道理，在防范這些問題時，也只有掌握了各種入侵技術(shù)和手段，才能有效的將各種侵犯拒之門外，這樣就決定了電子數(shù)據(jù)安全的復雜性。

　�。ㄋ模╇娮訑�(shù)據(jù)安全的安全悖論

　　目前，在電子數(shù)據(jù)安全的實施中，通常主要采用的是安全產(chǎn)品。例如防火墻、加密狗、密鑰等，一個很自然的問題會被提出：安全產(chǎn)品本身的安全性是如何保證的？這個問題可以遞歸地問下去，這便是安全的悖論。安全產(chǎn)品放置點往往是系統(tǒng)結(jié)構(gòu)的關(guān)鍵點，如果安全產(chǎn)品自身的安全性差，將會后患無窮。當然在實際中不可能無限層次地進行產(chǎn)品的安全保證，但一般至少需要兩層保證，即產(chǎn)品開發(fā)的安全保證和產(chǎn)品認證的安全保證。

　　（五）電子數(shù)據(jù)安全的適度性

　　由以上可以看出，電子數(shù)據(jù)不存在l00％的安全。首先由于安全的多元性和動態(tài)性，難以找到一個方法對安全問題實現(xiàn)百分之百的覆蓋；其次由于安全的復雜性，不可能在所有方面應(yīng)付來自各個方面的威脅；再次，即使找到這樣的方法，一般從資源和成本考慮也不可能接受。目前，業(yè)界普遍遵循的概念是所謂的“適度安全準則”，即根據(jù)具體情況提出適度的安全目標并加以實現(xiàn)。

　　三、電子數(shù)據(jù)安全審計

　　電子數(shù)據(jù)安全審計是對每個用戶在計算機系統(tǒng)上的操作做一個完整的記錄，以備用戶違反安全規(guī)則的事件發(fā)生后，有效地追查責任。電子數(shù)據(jù)安全審計過程的實現(xiàn)可分成三步：第一步，收集審計事件，產(chǎn)生審記記錄；第二步，根據(jù)記錄進行安全違反分析；第三步，采取處理措施。

　　電子數(shù)據(jù)安全審計工作是保障計算機信息安全的重要手段。凡是用戶在計算機系統(tǒng)上的活動、上機下機時間，與計算機信息系統(tǒng)內(nèi)敏感的數(shù)據(jù)、資源、文本等安全有關(guān)的事件，可隨時記錄在日志文件中，便于發(fā)現(xiàn)、調(diào)查、分析及事后追查責任，還可以為加強管理措施提供依據(jù)。

　�。ㄒ唬�審計技術(shù)

　　電子數(shù)據(jù)安全審計技術(shù)可分三種：了解系統(tǒng)，驗證處理和處理結(jié)果的驗證。

　　1.了解系統(tǒng)技術(shù)

　　審計人員通過查閱各種文件如程序表、控制流程等來審計。

　　2.驗證處理技術(shù)

　　這是保證事務(wù)能正確執(zhí)行，控制能在該系統(tǒng)中起作用。該技術(shù)一般分為實際測試和性能測試，實現(xiàn)方法主要有：

　�。�1）事務(wù)選擇

　　審計人員根據(jù)制訂的審計標準，可以選擇事務(wù)的樣板來仔細分析。樣板可以是隨機的，選擇軟件可以掃描一批輸入事務(wù)，也可以由操作系統(tǒng)的事務(wù)管理部件引用。

　�。�2）測試數(shù)據(jù)

　　這種技術(shù)是程序測試的擴展，審計人員通過系統(tǒng)動作準備處理的事務(wù)。通過某些獨立的方法，可以預見正確的結(jié)果，并與實際結(jié)果相比較。用此方法，審計人員必須通過程序檢驗被處理的測試數(shù)據(jù)。另外，還有綜合測試、事務(wù)標志、跟蹤和映射等方法。

　　（3）并行仿真

　　審計人員要通過一應(yīng)用程序來仿真操作系統(tǒng)的主要功能。當給出實際的和仿真的系統(tǒng)相同數(shù)據(jù)后，來比較它們的結(jié)果。仿真代價較高，借助特定的高級語音可使仿真類似于實際的應(yīng)用。

　�。�4）驗證處理結(jié)果技術(shù)

　　這種技術(shù)，審計人員把重點放在數(shù)據(jù)上，而不是對數(shù)據(jù)的處理上。這里主要考慮兩個問題：

　　一是如何選擇和選取數(shù)據(jù)。

　　將審計數(shù)據(jù)收集技術(shù)插入應(yīng)用程序?qū)徲嬆�塊（此模塊根據(jù)指定的標準收集數(shù)據(jù)，監(jiān)視意外事件）；擴展記錄技術(shù)為事務(wù)（包括面向應(yīng)用的工具）建立全部的審計跟蹤；借用于日志恢復的備份庫（如當審計跟蹤時，用兩個可比較的備份去檢驗賬目是否相同）；通過審計庫的記錄抽取設(shè)施（它允許結(jié)合屬性值隨機選擇文件記錄并放在工作文件中，以備以后分析），利用數(shù)據(jù)庫管理系統(tǒng)的查詢設(shè)施抽取用戶數(shù)據(jù)。

　　二是從數(shù)據(jù)中尋找什么？

　　一旦抽取數(shù)據(jù)后，審計人員可以檢查控制信息（含檢驗控制總數(shù)、故障總數(shù)和其他控制信息）；檢查語義完整性約束；檢查與無關(guān)源點的數(shù)據(jù)。

　�。ǘ�）審計范圍

　　在系統(tǒng)中，審計通常作為一個相對獨立的子系統(tǒng)來實現(xiàn)。審計范圍包括操作系統(tǒng)和各種應(yīng)用程序。

　　操作系統(tǒng)審計子系統(tǒng)的主要目標是檢測和判定對系統(tǒng)的滲透及識別誤操作。其基本功能為：審計對象（如用戶、文件操作、操作命令等）的選擇；審計文件的定義與自動轉(zhuǎn)換；文件系統(tǒng)完整性的定時檢測；審計信息的格式和輸出媒體；逐出系統(tǒng)、報警閥值的設(shè)置與選擇；審計日態(tài)記錄及其數(shù)據(jù)的安全保護等。

　　應(yīng)用程序?qū)徲嬜酉到y(tǒng)的重點是針對應(yīng)用程序的某些操作作為審計對象進行監(jiān)視和實時記錄并據(jù)記錄結(jié)果判斷此應(yīng)用程序是否被修改和安全控制，是否在發(fā)揮正確作用；判斷程序和數(shù)據(jù)是否完整；依靠使用者身份、口令驗證終端保護等辦法控制應(yīng)用程序的運行。

　�。ㄈ�）審計跟蹤

　　通常審計跟蹤與日志恢復可結(jié)合起來使用，但在概念上它們之間是有區(qū)別的。主要區(qū)別是日志恢復通常不記錄讀操作；但根據(jù)需要，日記恢復處理可以很容易地為審計跟蹤提供審計信息。如果將審計功能與告警功能結(jié)合起來，就可以在違反安全規(guī)則的事件發(fā)生時，或在威脅安全的重要操作進行時，及時向安檢員發(fā)出告警信息，以便迅速采取相應(yīng)對策，避免損失擴大。審計記錄應(yīng)包括以下信息：事件發(fā)生的時間和地點；引發(fā)事件的用戶；事件的類型；事件成功與否。

　　審計跟蹤的特點是：對被審計的系統(tǒng)是透明的；支持所有的應(yīng)用；允許構(gòu)造事件實際順序；可以有選擇地、動態(tài)地開始或停止記錄；記錄的事件一般應(yīng)包括以下內(nèi)容：被審訊的進程、時間、日期、數(shù)據(jù)庫的操作、事務(wù)類型、用戶名、終端號等；可以對單個事件的記錄進行指定。

　　按照訪問控制類型，審計跟蹤描述一個特定的執(zhí)行請求，然而，數(shù)據(jù)庫不限制審計跟蹤的請求。獨立的審計跟蹤更保密，因為審計人員可以限制時間，但代價比較昂貴。

　�。ㄋ模�審計的流程

　　電子數(shù)據(jù)安全審計工作的流程是：收集來自內(nèi)核和核外的事件，根據(jù)相應(yīng)的審計條件，判斷是否是審計事件。對審計事件的內(nèi)容按日志的模式記錄到審計日志中。當審計事件滿足報警閥的報警值時，則向?qū)徲嬋藛T發(fā)送報警信息并記錄其內(nèi)容。當事件在一定時間內(nèi)連續(xù)發(fā)生，滿足逐出系統(tǒng)閥值，則將引起該事件的用戶逐出系統(tǒng)并記錄其內(nèi)容。

　　常用的報警類型有：用于實時報告用戶試探進入系統(tǒng)的登錄失敗報警以及用于實時報告系統(tǒng)中病毒活動情況的病毒報警等。

　　審計人員可以查詢、檢查審計日志以形成審計報告。檢查的內(nèi)容包括：審計事件類型；事件安全級；引用事件的用戶；報警；指定時間內(nèi)的事件以及惡意用戶表等，上述內(nèi)容可結(jié)合使用。

　　審計有人工審計，計算機手動分析、處理審計記錄并與審計人員最后決策相結(jié)合的半自動審計，依靠專家系統(tǒng)作出判斷結(jié)果的自動化的智能審計等。為了支持審計工作，要求數(shù)據(jù)庫管理系統(tǒng)具有高可靠性和高完整性。數(shù)據(jù)庫管理系統(tǒng)要為審計的需要設(shè)置相應(yīng)的特性。