原创《涉密信息系统安全审计》:这篇审计论文范文为免费优秀学术论文范文,可用于相关写作参考。
【 摘 要 】 涉密信息系统安全审计作为涉密信息系统安全保密管理的重要组成部分,正越来越受到重视.文章介绍了涉密信息系统安全审计存在的问题、改进的措施.
【 关键词 】 涉密信息系统;安全审计
【 Abstract 】 The classified information system security audit as an important part of information system security management,is attracting more and more attention.The paper introduces the problems existing in information system security audit and improvement measures.
【 Keywords 】 the classified information system;security audit
1 引言
近些年來涉密信息系统经过持续建设,已具备相当的抗外部攻击能力,但是与此同时,来自内部人员的泄密风险却与日俱增,加强涉密信息系统安全审计工作刻不容缓.本文主要介绍了涉密信息系统安全审计的概况、存在的问题、改进的措施.
2 涉密信息系统安全审计
国际通用的CC准则(ISO/IEC 15408:1999《信息技术安全性评估准则》)中对信息系统安全审计给出的定义:指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动,谁对这个活动负责.通俗来讲,信息系统安全审计就是信息网络中的“监控摄像头”,通过运用各种技术手段,全面监测信息系统中的各种会话和事件,记录分析各种网络可疑行为、违规操作、敏感信息,帮助定位安全事件源头和追查取证,防范和发现网络违规活动,为信息系统安全策略制定、风险内控提供有力的数据支撑.
涉密信息系统安全审计按审计主体可分为系统管理员审计、安全保密管理员审计、安全审计员审计等;按审计对象可分为网络设备审计、服务器审计、用户终端审计、安全保密产品审计、单机审计、应用系统审计、互联网审计、数据库审计等.
涉密信息系统安全审计的内容根据不同的审计对象关注点会不一样,比如安全保密产品审计中系统管理员对安全保密产品的运行状况进行审计;安全保密管理员对系统内的异常事件和安全事件进行审计;安全审计员对系统管理员和安全保密管理员操作是否合规进行审计.
3 涉密信息系统安全审计存在的问题
(1)缺乏统一标准,审计范围不明确.由于缺乏涉密信息系统审计的标准,导致在审计范围上不明确,不清楚哪些东西必须纳入安全审计.常见的审计范围主要涵盖网络设备、服务器、用户终端、安全保密产品、应用系统、互联网等,在数据库审计、单机审计等方面还有待加强.
(2)侧重于系统(设备)的审计,对系统管理人员的审计较难落地.目前的安全审计主要侧重于系统(设备)的审计,如网络设备、服务器、用户终端、安全保密产品、应用系统等.按照有关标准,涉密信息系统应当配备系统管理员、安全保密管理员、安全审计员,权限设置应当相互独立、相互制约,三员角色不得兼任,分别负责系统的运行、安全保密和安全审计工作.
系统管理员主要负责系统的日常运行工作;安全保密管理员主要负责系统的日常安全保密管理工作,包括用户*管理以及安全保密设备和系统所产生日志的审查分析;安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计跟踪分析和监督检查,以及时发现违规行为,并定期向系统安全保密管理机构汇报相关情况.
在很多的系统功能中,安全审计员仅能够看到一些简单的日志,比如系统管理员和安全保密管理员的登录/退出日志,并不能看到系统管理员和安全保密管理员做过什么具体操作,所以无法做到真正的审计.
(3)安全审计报告编制水平有待提高.涉密信息系统应当定期形成文档化的安全保密审计报告.安全保密审计报告的编制需要系统管理员、安全保密管理员、安全审计员以及其他相关人员共同来完成.由于安全保密审计报告没有统一的内容及格式等方面的要求,导致每个单位的安全审计报告水平参差不齐,有的审计范围偏少,有的只是描述情况,并没有对上期审计报告中问题的处理情况说明,有的缺少关联性分析,有的只有各个系统(设备)的审计,没有对整个涉密信息系统的总结性概括.
(4)安全审计人才比较缺乏.安全审计人员既要了解信息系统,也要具备审计方面的专业技能,属于复合型人才.目前大多数单位的安全审计人员一般多是之前担任过安全保密管理员的人员,审计方面的知识和技能相对较弱.
4 涉密信息系统安全审计改进措施
(1)根据形势不断拓展安全审计范围.在巩固现有审计范围的基础上不断拓展审计范围,有些审计内容不能通过系统日志的自动方式的,可以尝试先采取人工方式进行审计.
(2)探索从管理上加强对系统管理人员的审计.加强制度设计,对不能从技术手段上实现审计的,通过管理手段实现审计.积极关注技术新动向,适时采用堡垒机等技术手段实现对系统管理人员的审计,确保审计无死角.
(3)提高安全审计报告编制水平.不断拓展审计范围,报告描述问题,还要增加对问题的处理情况描述;多用数字说话,多用图表,尽量做到图文并茂.
(4)鼓励审计人员参加CISA考试等提升专业技能.鼓励审计人员参加CISA注册信息系统审计师考试及其他信息系统审计的各类培训、技术交流活动,提升信息系统安全审计技能.
5 结束语
针对涉密信息系统安全审计目前存在的问题,只要我们认真研究,不断改进,涉密信息系统安全审计一定会发挥更大的作用.
作者简介:
甘清云(1981-),男,汉族,江西吉安人,工程硕士,高级工程师;主要研究方向和关注领域:信息安全.
凡荣(1992-),男,土家族,重庆人,工学学士,助理工程师;主要研究方向和关注领域:信息安全.
审计论文参考资料:
结论:涉密信息系统安全审计为大学硕士与本科审计毕业论文开题报告范文和相关优秀学术职称论文参考文献资料下载,关于免费教你怎么写审计方面论文范文。
