电子数据安全审计

　　电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录，以备用户违反安全规则的事件发生后，有效地追查责任。

　　电子数据安全审计过程的实现可分成三步：第一步，收集审计事件，产生审记记录；第二步，根据记录进行安全违反分析；第三步，采取处理措施。

　　电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间，与计算机信息系统内敏感的数据、资源、文本等安全有关的事件，可随时记录在日志文件中，便于发现、调查、分析及事后追查责任，还可以为加强管理措施提供依据。

　　(一)审计技术

　　电子数据安全审计技术可分三种：了解系统，验证处理和处理结果的验证。

　　1.了解系统技术

　　审计人员通过查阅各种文件如程序表、控制流程等来审计。

　　2.验证处理技术

　　这是保证事务能正确执行，控制能在该系统中起作用。该技术一般分为实际测试和性能测试，实现方法主要有：

　　(1)事务选择

　　审计人员根据制订的审计标准，可以选择事务的样板来仔细分析。样板可以是随机的，选择软件可以扫描一批输入事务，也可以由操作系统的事务管理部件引用。

　　(2)测试数据

　　这种技术是程序测试的扩展，审计人员通过系统动作准备处理的事务。通过某些独立的方法，可以预见正确的结果，并与实际结果相比较。用此方法，审计人员必须通过程序检验被处理的测试数据。另外，还有综合测试、事务标志、跟踪和映射等方法。

　　(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后，来比较它们的结果。仿真代价较高，借助特定的高级语音可使仿真类似于实际的应用。

　　(4)验证处理结果技术

　　这种技术，审计人员把重点放在数据上，而不是对数据的处理上。这里主要考虑两个问题：

　　一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据，监视意外事件)；扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪；借用于日志恢复的备份库(如当审计跟踪时，用两个可比较的备份去检验账目是否相同)；通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中，以备以后分析)，利用数据库管理系统的查询设施抽取用户数据。

　　二是从数据中寻找什么?一旦抽取数据后，审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息)；检查语义完整性约束；检查与无关源点的数据。

　　(二)审计范围

　　在系统中，审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。

　　操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为：审计对象(如用户、文件操作、操作命令等)的选择；审计文件的定义与自动转换；文件系统完整性的定时检测；审计信息的格式和输出媒体；逐出系统、报警阀值的设置与选择；审计日态记录及其数据的安全保护等。

　　应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制，是否在发挥正确作用；判断程序和数据是否完整；依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。

　　(三)审计跟踪

　　通常审计跟踪与日志恢复可结合起来使用，但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作；但根据需要，日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来，就可以在违反安全规则的事件发生时，或在威胁安全的重要操作进行时，及时向安检员发出告警信息，以便迅速采取相应对策，避免损失扩大。审计记录应包括以下信息：事件发生的时间和地点；引发事件的用户；事件的类型；事件成功与否。

　　审计跟踪的特点是：对被审计的系统是透明的；支持所有的应用；允许构造事件实际顺序；可以有选择地、动态地开始或停止记录；记录的事件一般应包括以下内容：被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等；可以对单个事件的记录进行指定。

　　按照访问控制类型，审计跟踪描述一个特定的执行请求，然而，数据库不限制审计跟踪的请求。独立的审计跟踪更保密，因为审计人员可以限制时间，但代价比较昂贵。

　　(四)审计的流程

　　电子数据安全审计工作的流程是：收集来自内核和核外的事件，根据相应的审计条件，判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时，则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生，满足逐出系统阀值，则将引起该事件的用户逐出系统并记录其内容。

　　常用的报警类型有：用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。

　　审计人员可以查询、检查审计日志以形成审计报告。检查的内容包括：审计事件类型；事件安全级；引用事件的用户；报警；指定时间内的事件以及恶意用户表等，上述内容可结合使用。

　　审计有人工审计，计算机手动分析、处理审计记录并与审计人员最后决策相结合的半自动审计，依靠专家系统作出判断结果的自动化的智能审计等。为了支持审计工作，要求数据库管理系统具有高可靠性和高完整性。数据库管理系统要为审计的需要设置相应的特性。