10.3.3 安全审计的实施
对于信息系统的安全审计,一般由企业根据自身实际情况制定安全审计策略,定期进行日志审计。由于日志数量较大,人工审计效率较低,现在广泛采用安全审计平台,按照企业自定义规则自动收集审计日志,集中存放和管理,并定期由审计人员生成安全审计报告。
在企业实施安全审计或者自定义安全审计规则时,应重点关注以下方面:
1.审查系统日志文件
审查系统日志是安全审计的第一步。首先查看日志文件的保护策略,确保日志文件未被任意修改,保证日志的真实性和有效性。系统日志文件一般会记录系统异常或可疑事件,通过甄别分析,可以掌握系统被攻击破坏的日期、时间、发起者、类型等相关痕迹,迅速定位安全事件,分析攻击路径。
2.审查用户权限分配
审查系统的用户权限主要是审查用户的权限分配是否合理,是否存在不必要的超级管理员或权限过大用户,通过审查用户权限可以降低入侵发生概率。很多入侵事件都是因为用户权限过大导致,因此有必要保证超级管理员的唯一性,对普通用户进行权限控制,不可进行普通用户权限的随意提升。
3.审查用户必要性
审查系统用户及应用用户是否合理,是否建立合理的审查机制,对用户的使用者是否有相应规定限制其恶意使用。对于用户的审查不仅仅包含应用层的审查,也包括管理层审查。从管理制度上审查用户的合理性,是对用户审查的一个重要方面。用户的建立应以越少越好为原则,尽量减少不必要的用户,严禁用户登录信息随意泄露,保持数据的机密性。
4.审查系统版本的更新情况
审查系统版本的更新情况是安全审计的一个重要方面,因为系统版本的更新情况直接决定了系统漏洞的数量。更新版本后的系统不仅能够抵御更多外来攻击,更重要的是可以为审计系统的其他部分提供有效的审查依据。
5.审查系统传输加密策略
系统与外界通信时极易遭到入侵者入侵,因此审查系统传输加密策略是十分必要的。经过加密的传输数据流不易被攻击、安全性高,且即使数据流被攻击也不会对系统安全造成影响,可将泄密风险降低到最小[68]。