网络安全审计初探

    随着计算机网络技术的高速发展和普及，信息化已成为人类社会发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络容易受黑客、怪客、恶意软件和其他不轨行为的攻击，所以网上信息的安全和保密就成为一个至关重要的问题。如何为网络环境下的信息系统营造一个安全的环境，抵抗来自系统内外的各种干扰和威胁，就给现代审计工作提出了新的挑战。

一、网络安全审计概述

    (一)网络安全审计
    网络安全审计是一个新概念，它是指由专业审计人员根据有关的法律法规，接受财产所有者的委托或管理当局的授权，运用专业的审计软件，对被审计单位计算机网络系统的管理和防护、监控、恢复以及可能带来的经营风险等进行系统的、独立的检查验证，并作出相应评价的过程。
    在网络系统中，各业务部门执行的只是子系统中的一部分功能，任何一个工作站所提供的信息都是日常经济活动中不可缺少的组成部分，同时网络系统的支持还需要一些软硬件的配备。因此，要对整个计算机网络系统的安全性作出正确的评价，审计的范围必须扩大到服务器、工作站、传输介质、计算机网络软硬件的操作系统和控制程序。

    (二)网络安全审计的程序
    网络安全审计与传统审计一样，其审计程序包括审计准备阶段、实施阶段和报告阶段。安全审计准备阶段主要是了解审计对象的具体情况、安全控制目标、系统一般控制和应用控制情况，并对安全审计工作制定出具体的工作计划。在这一阶段，审计人员应重点确定审计对象的安全要求、可能的漏洞以及减少漏洞的各种控制措施。首先要了解企业网络的基本情况。例如:应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Intemet的联接方式、是否建立了虚拟专用网(VPN) 。其次要了解企业的安全控制目标。安全控制目标一般包括以下四个方面:第一，建立安全政策和程序，明确信息系统有关各部门的职责，保证安全政策与程序的有效执行;第二，保证系统的运转正常，数据的可靠完整;第三，保障数据的有效备份与系统的恢复能力;第四，对系统资源使用的授权和限制。当然，安全控制目标会因企业的经营性质、规模的大小以及管理当局的要求而有所差异。
    最后要了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划，了解所有有关的控制对上述控制目标的实现情况，系统还存在哪些潜在的漏洞。安全审计实施阶段是安全审计的核心，主要任务是借助各种计算机辅助审计技术，如通用审计软件、专用审计软件等对企业数据通讯、硬件系统、软件系统、数据资源的各项安全控制措施进行测试，以明确企业是否为系统安全采取了有效的控制措施，这些措施是否发挥着作用，以确定被审计单位安全控制系统的有效程度。
    1、数据通讯的控制测试
    数据通讯控制的总目标是数据通道的安全与完整。具体说，能发现和纠正设备的失灵，避免数据丢失或失真，能防止和发现来自Intemet及内部的非法存取操作。为了达到上述控制目标，审计人员应执行以下控制测试:(1)抽取一组数据进行传输，检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录，证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进人请求，测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序，确认口令文件是否加密、密钥存放地点是否安全。(5)发送一个测试信息测试加密过程，检查信息通道上在各个不同点上信息的内容。(6)检查防火墙是否控制有效。例如，防火墙是否具有拒绝任何不准确的申请者的过滤能力。
    2、硬件系统的控制测试
    硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
    3、软件系统的控制测试
    软件系统包括系统软件和应用软件，其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为，保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买，审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施，是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。
    4、数据资源的控制测试
    数据控制目标包括两方面:一是数据备份;二是个人应当经授权限制性地存取所需的数据，未经授权的个人不能存取数据。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能，以及在日常工作中是否真正实施了这些功能。根据系统的授权表，检查存取控制的有效性。安全审计报告阶段是在完成全部外勤工作以后，在分析、整理审计证据的基础上，对被审计单位的安全控制系统作出评价，并提出安全建议。网络系统安全的评价，可以按系统的完善程度、漏洞的大小和存在问题的性质分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的防病毒措施)和系统的盲目开放性(如有意和无意用户经常能闯人系统，对系统数据进行查阅或删改)。不安全是指系统尚存在一些常见的问题和漏洞，如系统缺乏监控机制和数据检测手段等。基本安全是指达到企业制定的各个安全控制目标，可能发生的大漏晌仅限于不可预见性或技术极限性等，其他小问题发生时不会影响系统运行，也不会造成大的损失，并且具有随时发现问题并纠正的能力。