如何有效提升企业安全审计应用水平_安全频道_51CTO.COM


		51CTO首页 > 安全频道 > 信息安全审计专区

【导读】如何加强企业对互联网的使用进行规范，提高企业互联网使用效率？同时避免互联网使用对企业产生的不良影响？实行内部网络的安全审计不失为一种好的解决方法，审计不仅能及早发现问题，而且又可以提供事后追踪的依据。51CTO特别策划本专题，目的是帮助企业用户正确认识并了解安全审计、掌握安全审计产品，使企业用户在面对安全隐患时不在迷茫。

	安全审计概述安全审计分类安全审计实施原则安全审计实施流程安全审计需求提交观点碰撞解决方案相关产品

	信息安全审计调查

您认为下列哪些安全隐患最为严重？

数据库操作访问没有任何记录

不知道谁在泄露公司机密信息

无法确认哪个管理员更改过网络设备

各种系统日志一大堆，无从分析

对于外来攻击总是无法判断来源

以上都不严重，最严重的是不知道安全隐患在哪

中国信息系统审计师联盟在京召开研讨会

为了促进IT风险管理和审计得到快速发展，2009年3月26日，中国信息系统审计师联盟在北京举办了一次研讨会。

	安全审计综合概述	更多>>

· 51CTO安全专家讲解：如何正确理解信息安全审计 · 51CTO安全专家讲解：浅谈信息安全审计概念的由来 · 网络安全审计系统的价值体现

	如何有效地实施安全审计	更多>>

· 企业安全审计要点：审计人员应关注哪些问题 · 企业实施安全审计的关键流程 · 企业安全审计系统五大技术要点及所遵循的W7原则

	观点碰撞	更多>>

· 启明星辰：随着企业业务应用的复杂化，面向业务的信息安全审计系统必定是大势所趋。 · 绿盟科技：无论业务如何变化，以人为核心的主动行为安全审计才是实现信息安全的解决之道。

	为什么会有安全审计专题

或许对很多朋友来说，安全审计只是个名词而已，并不清楚它的具体内容和作用；许多企业想要对自己的信息系统实施安全审计，管理层和技术人员也不知道如何开始，而同时受限于国内企业的信息化水平，企业也很难找到成体系的安全审计知识。
因此，为了给广大企业及有兴趣的朋友提供一个较为完整的安全审计相关的参考资源，提升企业的安全审计应用水平，51CTO特别推出了安全审计专题，并将由浅入深的向读者介绍安全审计相关的各方面内容，以及如何实施有效的安全审计。
51CTO希望通过本专题，为读者提供一个关于如何创建并有效实施安全审计的清晰指引。

	安全审计综合概述

	返回顶部↑

什么是安全审计？


51CTO安全专家翟胜军：如何正确理解安全审计
审计的目的是为了在过去的记录中寻找“攻击”的证据，不仅能重现“攻击”的过程，而且这些“证据”是不可以被后来修改的。>>>专家博客
51CTO安全专家叶子：信息安全审计的由来
2002年美国安然公司和世通的财务欺诈案爆发后，美国紧急出台了萨班斯法案（SOX），赋予了“审计”新的意义。至此，“信息安全审计”成为企业内控、信息系统治理、安全风险控制不可或缺的关键手段。>>>专家专栏
企业实施安全审计的价值体现	安全审计系统启示录
安全审计在帮助企业更加经济有效地保护企业软硬件安全方面也与很大的作用，此外，还有助于企业更好地发挥安全技术和设备在实际应用中的表现。
我国审计法规：《企业内部控制规范》
由财政部、证监会、审计署、银监会、保监会联合发布了我国第一部《企业内部控制基本规范》，意味着中国审计领域的又一重大改革举措。

	安全审计的分类

	管理性安全审计
	基于管理角度出发，可将安全审计可以分为两个方向，一是企业内部控制审计，二是第三方管理审计。两者虽然形式不同，但实施审计的手段及目的却如出一辙。
	· 企业内控安全审计：浅谈面向业务的信息安全审计系统 · 企业内控安全审计：详细讲解企业局域网信息安全审计 · 第三方管理安全审计：内容审计前途看好

	外部法律法规遵从性安全审计
	基于法规遵从角度，可以把安全审计分为萨班斯遵从审计和行业法规遵从审计。这两者的区别在于立足点不同而已，SOX立足于美国上市公司，而行业法规则更多的立足于本国国情。
	· 行业法规：《企业内部控制基本规范》的出台，意味着中国审计领域有了新的起点。 · 行业法规：计算机信息系统安全审计保护级划分准则 >>>信息安全等级保护专题 · SOX遵从：萨班斯法案与信息安全审计从萨班斯（SOX）法案谈面向业务保障的安全服务体系

	技术性安全审计
	基于技术角度出发，目前安全审计的分类比较杂乱，总结起来无非是两类，一是网络安全审计、二是数据安全审计。二者的最大区别在于审计对象不同，网络审计更多的面向的是人或系统，而数据审计更多的面向的是业务。
	· 网络安全审计系统的出现及实现方法网络安全审计产品检验规范 · 数据安全审计是当前一大看点数据库审计成燃眉之急数据库安全审计产品检验规范

	如何有效地实施安全审计

	返回顶部↑

企业实施安全审计的原则

安全审计不是一个短期的静止的过程，而是一个连续不断需要提高的过程。在实施审计之前有几步是很关键的……

1、定义审计的物质范畴
2、划定审计的步骤范围
3、研究历史

4、制定恰当的审计计划
5、实施安全风险评估
6、记录审计结果并提出修改意见

	怎样确定和提交信息安全审计需求

	针对业务的安全审计需“细粒度报告”
	针对业务系统的信息安全治理日益成为业务安全防护的重点，这就需要网络安全审计报告的帮助。然而，什么样的审计报告才能真正满足这一需求呢？>>

	企业安全审计系统五大技术要点及所遵循的W7原则
	目前针对子系统级别的审计方案较多，而如何将众多的子系统集中为统一的审计视图，为业务提供更全面的审计报告才是企业真正的需求。>>

	企业安全审计要点：审计人员应关注哪些问题
	一旦审计结束，审计人员应该马上向公司的管理人员简要的汇报发现的情况，如果有紧急情况的话，应该立即采取相应的补救措施。那么审计人员需要重点关注的哪些问题呢？>>


	· 高可控网络安全审计系统评估和测试方法 · 电信运营商如何遵从萨班斯（SOX）法案 · 银行信息安全审计与操作风险控制 · 运用Solaris的系统安全特性进行企业审计 · 电子政务系统如何进行全面安全审计 · Oracle许可证制度与审计的恶梦 · DBA需要知道的Oracle 10g的审计内容 · Informix数据库的安全审计 · 如何配置天融信NGFW4000防火墙日志审计策略

	观点碰撞

	返回顶部↑

信息安全审计将向体系化、控制化、智能化的趋势发展

启明星辰认为：面向业务的信息安全审计系统，必定能得到市场和用户认同

安全审计未来重点将体现在网络应用层与数据库之间的关联，将围绕数据库对审计产品进行更专业化细致的划分。在技术上，应更关注深层监测，精确数据使审计结论更为准确可靠，迅速寻找到目标。【评】

绿盟认为：主动行为安全审计才是实现信息安全的解决之道

人+制度+解决方案的模式是解决安全问题永恒不变的定律，在此基础上，对不同IT系统采取主动审计，这样才可以起到安全审计的最佳效果。【评】

51CTO认为：信息安全审计必将向体系化、控制化、智能化的趋势发展

网络安全审计作为一个新兴的概念和发展方向，已经表现出强大的生命力，围绕着该概念产生了许多新产品和解决方案，谁能在这些产品中独领风骚，谁就能跟上这一轮网络安全的发展潮流。【评】

	审计解决方案展示

	返回顶部↑

· 审计与保障并行监管与追溯并重 · 人性化的策略管理模式促进企业人员管理有序进行 · 启明星辰天玥网络安全审计在广东移动的应用 · 任子行实时审计保障企业网络管理有序进行	· H3C信息安全审计助高校实现校园网带宽精细化管理 · H3C网络行为审计监管解决方案助网管了解用户行为 · 运营商数据库防御与审计解决方案 · LanGate内网审计系统成功应用案例

	相关产品白皮书

	返回顶部↑

	讨论区			点击查看全部评论


	验证码：		匿名

责任编辑：赵毅

联系电话：010-68476606

京ICP证060544号