信息系統(tǒng)安全審計(jì)

信息系統(tǒng)平安審計(jì)信息系統(tǒng)平安概述平安審計(jì)平安管理控制審計(jì)平安技術(shù)控制審計(jì)某市醫(yī)院管理信息系統(tǒng)審計(jì)案例主要內(nèi)容信息資產(chǎn)與人力資源、財(cái)務(wù)資產(chǎn)和實(shí)物資產(chǎn)一樣，都是組織的重要商業(yè)資產(chǎn)。隨著組織對(duì)信息系統(tǒng)的依賴性越來越強(qiáng)，信息平安問題也變得日益嚴(yán)峻。據(jù)統(tǒng)計(jì)，信息平安問題大約60%以上是由管理方面原因造成的，信息平安是一個(gè)同時(shí)涉及平安技術(shù)與管理的綜合難題。1.信息系統(tǒng)平安概述計(jì)算機(jī)平安：雖然計(jì)算機(jī)早在40年代中期就已面世，但20多年后才提出計(jì)算機(jī)在使用中存在計(jì)算機(jī)平安問題，此時(shí)的計(jì)算機(jī)平安主要是指實(shí)體平安及傳輸加密問題。計(jì)算機(jī)系統(tǒng)平安：七十年代末至八十年代，因各類計(jì)算機(jī)軟硬件系統(tǒng)的開展而提出計(jì)算機(jī)系統(tǒng)平安。此時(shí)不僅指實(shí)體〔物理〕平安，也包括軟件與信息內(nèi)容的平安。網(wǎng)絡(luò)平安：在八十年代后期，尤其是九十年代因特網(wǎng)的開展，網(wǎng)絡(luò)成了計(jì)算機(jī)應(yīng)用的重要形式。網(wǎng)絡(luò)平安一詞被廣泛采用，用以強(qiáng)調(diào)在整個(gè)網(wǎng)絡(luò)環(huán)境的平安，不僅包括網(wǎng)絡(luò)技術(shù)手段，還包括網(wǎng)絡(luò)平安管理等方面。信息保障：其內(nèi)涵包括平安保護(hù)、監(jiān)控、反響、恢復(fù)，即強(qiáng)調(diào)計(jì)算機(jī)系統(tǒng)〔包括網(wǎng)絡(luò)〕平安的系統(tǒng)狀況，動(dòng)態(tài)管理過程。信息系統(tǒng)平安概念的開展我國的?中華人民共和國計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例?中指出：計(jì)算機(jī)信息系統(tǒng)平安保護(hù)是指：保障計(jì)算機(jī)及相關(guān)配套設(shè)施〔含網(wǎng)絡(luò)〕平安，運(yùn)行環(huán)境平安，信息平安，計(jì)算機(jī)功能正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的平安運(yùn)行。信息系統(tǒng)平安有五個(gè)根本屬性，分別是可用性、可靠性、完整性、保密性和不可抵賴性?？捎眯浴睞vailability〕得到授權(quán)的實(shí)體在需要時(shí)可訪問資源和效勞?？捎眯允侵笩o論何時(shí)，只要用戶需要，信息系統(tǒng)必須是可用的，也就是說信息系統(tǒng)不能拒絕效勞。攻擊者通常采用占用資源的手段阻礙授權(quán)者的工作，可以使用訪問控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，保證網(wǎng)絡(luò)系統(tǒng)的可用性。增強(qiáng)可用性還包括如何有效地防止因各種災(zāi)害〔戰(zhàn)爭(zhēng)、地震等〕造成的系統(tǒng)失效。可靠性〔Reliability〕可靠性是指系統(tǒng)在規(guī)定條件下和規(guī)定時(shí)間內(nèi)、完成規(guī)定功能的概率。目前，系統(tǒng)可靠性研究根本上偏重于硬件可靠性方面。研制高可靠性元器件設(shè)備，采取合理的冗余備份措施仍是最根本的可靠性對(duì)策，然而，有許多故障和事故，那么與軟件可靠性、人員可靠性和環(huán)境可靠性有關(guān)。完整性〔Integrity〕信息不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞的特性。即信息的內(nèi)容不能為未授權(quán)的第三方修改。信息在存儲(chǔ)或傳輸時(shí)不被修改、破壞，不出現(xiàn)信息包的喪失、亂序等。保密性〔Confidentiality〕保密性是指確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。即信息的內(nèi)容不會(huì)被未授權(quán)的第三方所知。不可抵賴性〔Non-Repudiation〕不可抵賴性是面向通信雙方〔人、實(shí)體或進(jìn)程〕信息真實(shí)同一的平安要求，它包括收、發(fā)雙方均不可抵賴。一是源發(fā)證明，使發(fā)送者謊稱未發(fā)送過這些信息或者否認(rèn)它的內(nèi)容的企圖不能得逞；二是交付證明，使接收者謊稱未接收過這些信息或者否認(rèn)它的內(nèi)容的企圖不能得逞?？偠灾?，信息系統(tǒng)平安是有關(guān)人、計(jì)算機(jī)網(wǎng)絡(luò)、物理環(huán)境的技術(shù)平安和管理平安的總和。其中，人包括各類用戶、支持人員，以及技術(shù)管理和行政管理人員；計(jì)算機(jī)網(wǎng)絡(luò)那么指以計(jì)算機(jī)、網(wǎng)絡(luò)互聯(lián)設(shè)備、傳輸介質(zhì)、信息內(nèi)容及其操作系統(tǒng)、通信協(xié)議和應(yīng)用程序所構(gòu)成完整體系；物理環(huán)境那么是系統(tǒng)穩(wěn)定和可靠運(yùn)行所需要的保障體系，包括建筑物、機(jī)房、動(dòng)力保障等。信息系統(tǒng)平安審計(jì)是對(duì)被審計(jì)單位的信息系統(tǒng)平安控制體系進(jìn)行全面審查與評(píng)價(jià)，確認(rèn)其是否健全有效，從而確保信息系統(tǒng)平安運(yùn)行。其目標(biāo)在于審查平安控制體系設(shè)計(jì)的有效性，以及平安控制措施執(zhí)行的有效性，最終得出審計(jì)結(jié)論。2.信息系統(tǒng)平安審計(jì)信息系統(tǒng)平安審計(jì)分成兩大內(nèi)容域：平安管理控制審計(jì)、平安技術(shù)控制審計(jì)。平安管理控制審計(jì)主要內(nèi)容包括：平安機(jī)構(gòu)審計(jì)、平安制度審計(jì)和人力資源平安審計(jì)。平安技術(shù)控制審計(jì)主要內(nèi)容包括：物理環(huán)境平安審計(jì)、網(wǎng)絡(luò)平安審計(jì)、操作系統(tǒng)平安審計(jì)和數(shù)據(jù)庫平安審計(jì)。安全審計(jì)兩大內(nèi)容域?qū)徲?jì)事項(xiàng)子類關(guān)鍵控制點(diǎn)安全管理控制審計(jì)安全機(jī)構(gòu)安全管理組織機(jī)構(gòu)（領(lǐng)導(dǎo)小組、部門與崗位）安全職責(zé)認(rèn)知度安全制度信息安全管理制度信息安全風(fēng)險(xiǎn)評(píng)估政策信息安全事件處理響應(yīng)人力資源安全安全意識(shí)與教育計(jì)劃人員（錄用、離職、考核）安全管理安全技術(shù)控制審計(jì)物理環(huán)境安全機(jī)房環(huán)境安全（防火、水、溫濕度等）物理安全（安全位置、物理訪問）網(wǎng)絡(luò)安全網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)訪問（各設(shè)備的賬戶口令授權(quán)）網(wǎng)絡(luò)數(shù)據(jù)傳輸安全網(wǎng)絡(luò)入侵與病毒防范安全網(wǎng)絡(luò)安全日志操作系統(tǒng)安全用戶標(biāo)識(shí)與鑒別（賬戶、口令）操作系統(tǒng)授權(quán)認(rèn)證（存取控制）操作系統(tǒng)日志操作系統(tǒng)服務(wù)安全（補(bǔ)丁、防病毒、文件共享等）數(shù)據(jù)庫安全用戶標(biāo)識(shí)與鑒別（賬戶、口令）數(shù)據(jù)庫授權(quán)認(rèn)證（存取控制）數(shù)據(jù)庫日志數(shù)據(jù)庫服務(wù)安全（補(bǔ)丁、監(jiān)聽器訪問、超時(shí)退出等）圖1信息系統(tǒng)平安審計(jì)----內(nèi)容域平安管理控制審計(jì)有三個(gè)方面的審計(jì)子項(xiàng)：平安機(jī)構(gòu)審計(jì)平安制度審計(jì)人力資源平安審計(jì)2.1平安管理控制審計(jì)常見的信息平安管理機(jī)構(gòu)包括：信息平安領(lǐng)導(dǎo)小組〔信息平安工作小組、應(yīng)急小組〕，信息平安部門或崗位〔如信息平安部、信息平安委員會(huì)、CIO、平安管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等〕。2.1.1信息平安機(jī)構(gòu)審計(jì)平安機(jī)構(gòu)審計(jì)的主要關(guān)注點(diǎn)如下：是否成立指導(dǎo)和管理信息平安工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；是否制定文件明確平安管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求是否設(shè)立信息平安管理工作的職能部門，設(shè)立平安主管、平安管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；是否設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、平安管理員等崗位，并定義各個(gè)工作崗位的職責(zé)。平安機(jī)構(gòu)審計(jì)可遵循如下程序：〔1〕查閱被審計(jì)單位信息平安工作領(lǐng)導(dǎo)小組的成立文件。審查是否有正式信息平安工作領(lǐng)導(dǎo)小組，是否由管理層正式委派，各責(zé)任主體的平安職責(zé)是否清晰明確。〔2〕查閱被審計(jì)單位各層級(jí)信息平安管理工作職能部門和崗位職責(zé)文件。審查平安部門和崗位職責(zé)范圍是否清晰明確；是否明確配備專職的平安管理員；審查關(guān)鍵崗位是否配有備份角色?！?〕查閱被審計(jì)單位信息平安工作的執(zhí)行記錄文件。審查是否有日常平安管理工作執(zhí)行情況的工作記錄；是否切實(shí)開展了職責(zé)范圍內(nèi)的工作。〔4〕訪談某些內(nèi)部員工以及外包IT人員，檢查其對(duì)崗位信息平安職責(zé)認(rèn)識(shí)。組織的信息平安制度是一個(gè)由信息平安方針、信息平安管理制度、信息系統(tǒng)管理操作規(guī)程共同構(gòu)成的制度體系。平安制度審計(jì)主要有三個(gè)方面的內(nèi)容：平安管理制度體系審計(jì)、平安風(fēng)險(xiǎn)評(píng)估政策審計(jì)和平安事件管理制度審計(jì)。這三個(gè)方面具體的審計(jì)關(guān)注點(diǎn)如下：2.1.2信息平安制度審計(jì)平安管理制度是否制定信息平安工作的總體方針，說明機(jī)構(gòu)平安工作的總體目標(biāo)、范圍、原那么和平安框架等；信息平安方針是否由管理層批準(zhǔn)，并發(fā)布傳達(dá)給內(nèi)部員工和外包人員；是否建立網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層各級(jí)管理制度，對(duì)防火墻、數(shù)據(jù)庫、效勞器、病毒防范、密碼平安配置、日志記錄、升級(jí)補(bǔ)丁等作出標(biāo)準(zhǔn)；是否建立終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作規(guī)程，實(shí)現(xiàn)標(biāo)準(zhǔn)化操作。平安風(fēng)險(xiǎn)管理政策是否制定切實(shí)可行的風(fēng)險(xiǎn)評(píng)估方案和方案；是否建立信息資產(chǎn)清單與分類；是否周期性對(duì)信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，相關(guān)記錄應(yīng)文件存檔；是否根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果及時(shí)整改。平安事件管理制度是否制定平安事件管理制度，明確平安事件類型，規(guī)定平安事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；是否制定平安事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程、響應(yīng)和處置的范圍和程度，以及處理方法等；是否在平安事件報(bào)告和響應(yīng)處理過程中，分析和鑒定事件產(chǎn)生的原因、收集證據(jù)、記錄處理過程、總結(jié)經(jīng)驗(yàn)教訓(xùn)、制定防止再次發(fā)生的補(bǔ)救措施，并妥善保存該過程中形成的所有文件和記錄。平安制度審計(jì)可遵循如下程序：審查平安策略、標(biāo)準(zhǔn)、規(guī)程和指南的使用，并確認(rèn)有關(guān)文檔是否已發(fā)放給相關(guān)員工。檢查被審計(jì)單位的實(shí)體平安、軟件平安、數(shù)據(jù)平安、通信網(wǎng)絡(luò)平安、系統(tǒng)入侵檢測(cè)和病毒防范管理制度，確認(rèn)其是否健全。查閱信息資產(chǎn)清單文件與風(fēng)險(xiǎn)評(píng)估記錄，審查平安風(fēng)險(xiǎn)管理執(zhí)行的有效性。審查平安應(yīng)急小組職責(zé)文件和事件響應(yīng)流程，評(píng)價(jià)平安事件處理與響應(yīng)措施的有效性。組織內(nèi)部員工、外包人員或客戶成心或無意造成的欺詐、設(shè)備或信息竊取，誤用是影響信息系統(tǒng)平安的最大威脅。人力資源的平安意識(shí)與相關(guān)控制措施，對(duì)于組織的信息系統(tǒng)平安是重要意義。人力資源平安審計(jì)主要有兩個(gè)方面的內(nèi)容：平安意識(shí)教育培訓(xùn)方案審計(jì)和人員平安管理政策審計(jì)。這兩個(gè)方面具體的審計(jì)關(guān)注點(diǎn)如下：2.1.3人力資源平安審計(jì)人員平安意識(shí)教育培訓(xùn)方案是否對(duì)各類人員進(jìn)行平安意識(shí)教育、崗位技能培訓(xùn)和相關(guān)平安技術(shù)培訓(xùn)；是否對(duì)平安責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，并對(duì)違反違背平安策略和規(guī)定的人員進(jìn)行懲戒；是否認(rèn)期對(duì)平安教育和培訓(xùn)進(jìn)行書面規(guī)定、針對(duì)不同崗位制定不同培訓(xùn)方案，并就信息平安根底知識(shí)、崗位操作規(guī)程等內(nèi)容進(jìn)行培訓(xùn)；是否對(duì)平安教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。人員平安管理政策人員錄用是否指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用；是否嚴(yán)格標(biāo)準(zhǔn)人員錄用過程、對(duì)被錄用人員的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，并對(duì)其所具有的技術(shù)技能進(jìn)行考核；是否與新錄用人員簽署保密協(xié)議；是否從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位平安協(xié)議。人員使用對(duì)于因工作需要，接觸被審計(jì)單位商業(yè)秘密或國家秘密的人員，是否進(jìn)行恰當(dāng)?shù)木窘逃＝M織中的人員授權(quán)使用信息系統(tǒng)或權(quán)限變更，是否履行審批手續(xù)。是否建立合理的薪酬體系，確保人員穩(wěn)定。對(duì)于違反信息平安規(guī)章制度的人員，是否給予必要的處理。人員離崗是否制定有關(guān)管理標(biāo)準(zhǔn)，嚴(yán)格標(biāo)準(zhǔn)人員離崗過程，及時(shí)終止離崗員工的所有訪問權(quán)限，并取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；是否辦理嚴(yán)格的調(diào)離手續(xù)，并承諾調(diào)離后的保密義務(wù)前方可離職。人員考核是否認(rèn)期對(duì)各崗位人員進(jìn)行平安技能及平安認(rèn)知的考核；是否建立保密制度；是否認(rèn)期或不定期的對(duì)保密制度執(zhí)行情況進(jìn)行檢查或考核，并對(duì)考核結(jié)果進(jìn)行記錄并保存。查閱崗位平安協(xié)議。審查崗位平安責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容的完整性。訪談人力資源部門，了解在人員錄用時(shí)有哪些條件要求；了解對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)的審查情況，必要時(shí)應(yīng)抽查背景調(diào)查證明材料；了解對(duì)技術(shù)人員的技能考核情況；了解與被錄用人員保密協(xié)議簽署情況。查閱人員錄用時(shí)的技能考核文檔或記錄，審查考核內(nèi)容和考核結(jié)果等方面內(nèi)容記錄的完整性。訪談人力資源部門，詢問被審計(jì)單位制定了哪些措施來保證信息平安崗位人員穩(wěn)定，必要時(shí)應(yīng)查看相應(yīng)制度文檔。人力資源平安的審計(jì)程序查閱被審計(jì)單位信息平安的獎(jiǎng)懲規(guī)定，特別是對(duì)違反信息平安規(guī)定的懲戒措施；審查信息平安獎(jiǎng)懲規(guī)定文件的健全性，并注意結(jié)合違規(guī)懲戒記錄抽查結(jié)果，判斷獎(jiǎng)懲措施的執(zhí)行情況。訪談人力資源部門，了解對(duì)即將離崗人員的平安控制措施。例如，是否及時(shí)終止離崗人員的所有訪問權(quán)限，取回各種證件及軟硬件設(shè)備等；調(diào)離手續(xù)包括哪些，是否要求關(guān)鍵崗位人員調(diào)離須承諾相關(guān)保密義務(wù)前方可離開，并注意抽查調(diào)離人員在保密承諾的簽字情況。查閱人員離崗的管理文檔，審查是否規(guī)定了人員調(diào)離手續(xù)和離崗要求等；是否具有對(duì)離崗人員的平安處理記錄，如交還身份證件、設(shè)備等的登記記錄；是否具有按照離職程序辦理調(diào)離手續(xù)的記錄。查閱審查和考核文檔和記錄，審查是否有人負(fù)責(zé)定期對(duì)各個(gè)崗位人員進(jìn)行平安技能及平安知識(shí)的考核；是否有對(duì)關(guān)鍵崗位人員特殊的平安考核內(nèi)容；查看記錄日期與考核周期是否一致。平安技術(shù)控制審計(jì)有四個(gè)方面的審計(jì)事項(xiàng)子類：物理環(huán)境平安審計(jì)、網(wǎng)絡(luò)平安審計(jì)、操作系統(tǒng)平安審計(jì)和數(shù)據(jù)庫平安審計(jì)。2.2平安技術(shù)控制審計(jì)物理訪問的暴露風(fēng)險(xiǎn)來自自然環(huán)境，或人為災(zāi)害導(dǎo)致的非授權(quán)訪問或不可用風(fēng)險(xiǎn)，有可能引起組織的財(cái)務(wù)損失，導(dǎo)致法律訴訟。環(huán)境風(fēng)險(xiǎn)可能來源自然災(zāi)害，如閃電、地震、暴雨、洪水等；還可能來自電力故障，設(shè)置故障、溫濕度、靜電等，尤以電力故障、水害水災(zāi)的影響最大。常見的物理環(huán)境平安控制措施有很多，比方門鎖、電子門鎖、生物特征鎖、身份識(shí)別卡、水災(zāi)探測(cè)器、滅火器、不間斷電源UPS和備份電力系統(tǒng)等等。2.2.1物理環(huán)境平安審計(jì)物理環(huán)境平安審計(jì)的主要關(guān)注點(diǎn)如下：是否指定部門負(fù)責(zé)機(jī)房平安，并配備機(jī)房平安管理人員對(duì)機(jī)房的出入、效勞器的開關(guān)機(jī)等工作進(jìn)行管理；是否建立機(jī)房平安管理制度，對(duì)機(jī)房物理訪問、物品帶進(jìn)帶出機(jī)房和機(jī)房環(huán)境平安等方面的管理作出規(guī)定；是否對(duì)機(jī)房和辦公環(huán)境實(shí)行統(tǒng)一的平安管理策略，對(duì)出入人員進(jìn)行相應(yīng)級(jí)別的授權(quán)，并對(duì)進(jìn)入重要平安區(qū)域的活動(dòng)行為實(shí)時(shí)監(jiān)視和記錄是否指定專門的部門或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理檢查分析機(jī)房設(shè)計(jì)及根底設(shè)置配置是否符合相關(guān)標(biāo)準(zhǔn)，并能滿足實(shí)際業(yè)務(wù)需求。計(jì)算機(jī)網(wǎng)絡(luò)通俗地講就是由多臺(tái)計(jì)算機(jī)〔或其他計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備〕通過傳輸介質(zhì)和軟件物理〔或邏輯〕連接在一起組成的?？偟膩碚f計(jì)算機(jī)網(wǎng)絡(luò)的組成根本上包括：計(jì)算機(jī)、網(wǎng)絡(luò)操作系統(tǒng)、傳輸介質(zhì)〔可以是有形的，也可以是無形的，如無線網(wǎng)絡(luò)的傳輸介質(zhì)就是看不見的電磁波〕以及相應(yīng)的應(yīng)用軟件四局部。ISO指出計(jì)算機(jī)網(wǎng)絡(luò)平安是：“保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件，軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠性地正常運(yùn)行，網(wǎng)絡(luò)效勞正常有序。〞2.2.2網(wǎng)絡(luò)平安審計(jì)計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)可能源于人為的因素、自然的因素或偶發(fā)的因素。人為因素是對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)平安威脅最大的因素，比方，一些不法之徒利用計(jì)算機(jī)網(wǎng)絡(luò)存在的漏洞，非法獲取重要數(shù)據(jù)、篡改系統(tǒng)數(shù)據(jù)、破壞硬件設(shè)備、編制計(jì)算機(jī)病毒，或者潛入計(jì)算機(jī)房，盜用計(jì)算機(jī)系統(tǒng)資源等等。常見的計(jì)算機(jī)網(wǎng)絡(luò)平安控制技術(shù)有：實(shí)時(shí)掃描技術(shù)、實(shí)時(shí)監(jiān)測(cè)技術(shù)、防火墻平安體系、入侵檢測(cè)系統(tǒng)、病毒防范系統(tǒng)等等網(wǎng)絡(luò)平安審計(jì)的主要關(guān)注點(diǎn)如下：是否指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；是否認(rèn)期對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份；是否認(rèn)期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)平安漏洞進(jìn)行及時(shí)修補(bǔ)；是否保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)。操作系統(tǒng)〔OperatingSystem，簡(jiǎn)稱OS〕是管理電腦硬件與軟件資源的程序，同時(shí)也是計(jì)算機(jī)系統(tǒng)的內(nèi)核與基石。操作系統(tǒng)是一個(gè)龐大的管理控制程序，一般包括5個(gè)方面的管理功能：進(jìn)程與處理機(jī)管理、作業(yè)管理、存儲(chǔ)管理、設(shè)備管理、文件管理。常見的操作系統(tǒng)類型有：Windows、UNIX、Linux、MacOSX、AIXSolaris〔Sun公司〕、HPUX〔惠普公司〕和AIX〔IBM公司〕等等。2.2.3操作系統(tǒng)平安審計(jì)操作系統(tǒng)平安審計(jì)的主要關(guān)注點(diǎn)如下：是否建立確認(rèn)登錄操作系統(tǒng)的用戶真實(shí)身份的認(rèn)證授權(quán)機(jī)制〔認(rèn)證功能的具體實(shí)現(xiàn)方式包括靜態(tài)口令、動(dòng)態(tài)口令、指紋等生物鑒別技術(shù)等；授權(quán)功能賦予系統(tǒng)賬號(hào)的操作權(quán)限，并限制用戶進(jìn)行超越其賬號(hào)權(quán)限的操作〕；是否建立平安日志定期備份與分析機(jī)制；是否建立操作系統(tǒng)的IP協(xié)議平安配置標(biāo)準(zhǔn)；是否建立操作系統(tǒng)效勞〔如補(bǔ)丁升級(jí)、文件系統(tǒng)管理、病毒防范等〕平安配置標(biāo)準(zhǔn)。數(shù)據(jù)庫系統(tǒng)〔DatabaseSystems〕，是由數(shù)據(jù)庫及其管理軟件組成的系統(tǒng)。目前典型數(shù)據(jù)庫系統(tǒng)有：Oracle、DB2、SQLServer、Syabase、MySQL、ACCESS等等。數(shù)據(jù)庫系統(tǒng)一般由4個(gè)局部組成：數(shù)據(jù)庫〔Database〕，即存儲(chǔ)在磁帶、磁盤、光盤或其他外存介質(zhì)上，按一定結(jié)構(gòu)組織在一起的相關(guān)數(shù)據(jù)的集合。數(shù)據(jù)庫管理系統(tǒng)〔DBMS〕。它是一組能完成描述、管理、維護(hù)數(shù)據(jù)庫的程序系統(tǒng)。它按照一種公用的和可控制的方法完成插入新數(shù)據(jù)、修改和檢索原有數(shù)據(jù)的操作。數(shù)據(jù)庫管理員〔DBA〕。數(shù)據(jù)庫用戶〔User〕及相關(guān)應(yīng)用程序。2.2.4數(shù)據(jù)庫平安審計(jì)根據(jù)國家標(biāo)準(zhǔn)?信息平安技術(shù)數(shù)據(jù)庫管理系統(tǒng)平安技術(shù)要求?的定義，數(shù)據(jù)庫平安就是保證數(shù)據(jù)庫信息的保密性、完整性、一致性和可用性。保密性指保護(hù)數(shù)據(jù)庫中的數(shù)據(jù)不被泄露和未授權(quán)的獲取。完整性指保護(hù)數(shù)據(jù)庫中的數(shù)據(jù)不被破壞和刪除。一致性指確保數(shù)據(jù)庫中數(shù)據(jù)滿足實(shí)體完整性、參照完整性和用戶定義完整性要求?？捎眯灾复_保數(shù)據(jù)庫的