信息技術的日新月異和網絡信息系統應用的發展，使得網絡技術的應用層次正在從傳統的、小型的業務系統逐漸向大型的、關鍵的業務系統擴展。

目前，政府、企事業單位用戶的網絡應用也逐漸增多。然而，信息安全作為一個動態的過程，在為自身業務提供高效的網絡運營平臺同時，日趨復雜的IT業務系統與不同背景業務用戶的行為也給網絡帶來了潛在的威脅。

為什么需要安全審計

隨著業務系統訪問、網絡應用行為日益頻繁，我們可能經常會遇到如下情況：

一、內部系統維護人員對業務應用系統的越權訪問、違規操作，損害業務系統的運行安全;

二、企業重要業務數據庫，被員工或系統維護人員篡改牟利、外泄，給企業造成巨大的經濟損失;

三、員工隨意通過網絡共享文件夾、文件上傳下載、E-mail等方式，發送重要敏感信息、業務數據，導致信息外泄事件發生;

四、員工在論壇發表敏感信息、傳播非法言論，造成惡劣社會影響;

五、等級保護要求。公安部國家電子政務等級保護、國家保密局BMB17-2006號文件中要求政府、涉密單位必須對與涉密敏感信息、業務系統相關的網絡行為進行安全審計;

六、薩班斯(SOX)法案要求。在美國上市公司必須遵循的“薩班斯(SOX)法案” 中要求對企業內部網絡信息系統進行評估，其中涉及對業務系統操作、數據庫訪問等業務行為的審計。

根據調查數據顯示，大多數企業雖然已經采用一定的網絡安全手段(如防火墻、入侵檢測、漏洞掃描等)和管理措施，但是上述安全事件發生后，卻仍然無法進行及時告警響應、準確定位事件源頭，由此給政府、企事業單位帶來極大的困擾和嚴重的信息安全隱患。

如何對業務系統訪問和網絡行為進行有效的監控，準確掌握網絡系統的安全狀態，及時發現違反安全策略的事件并實時告警、記錄，同時進行安全事件定位分析，事后追查取證，滿足合規性審計要求，已經成為政府、企事業單位迫切需要解決的問題。

目前，隨著日益增長的互聯網安全風險，安全問題的復雜性日益加大。綜合FBI和CSI對484家企業的調查及中國國家計算機網絡應急協調中心CNCERT/CC的調查結果顯示：大約76%的網絡安全威脅來自于內部，其危害程度更是遠遠超過黑客攻擊及病毒造成的損失，而這些威脅絕大部分與內部各種網絡訪問行為有關。

防火墻、入侵檢測等傳統網絡安全手段，可實現對網絡異常行為的管理和監測，如網絡連接和訪問的合法性進行控制、監測網絡攻擊事件等，但是不能監控網絡內容和已經授權的正常內部網絡訪問行為，因此對正常網絡訪問行為導致的信息泄密事件、網絡資源濫用行為(即時通訊、 BBS、在線視頻、P2P下載、網絡游戲等)無能為力，也難以實現針對內容、行為的監控管理及安全事件的追查取證。

因此，迫切需要一種安全手段對上述問題進行有效監控和管理。安全審計正是在這樣的背景下產生。對于任何一個安全體系來說，審計追查手段必不可少。計算機信息安全可通過如下圖1所示的信息安全體系結構模型來反映計算機信息系統安全需求和體系結構的共性，其構成要素是安全手段、系統單元及國際標準化組織(ISO)制定的開放系統互連參考模型(OSI)。在圖1的安全手段中，審計是整個安全體系中不可缺少的重要組成部分。

圖1 信息安全體系結構模型

同時，在TCSEC和CC等安全認證體系中，安全審計是評判一個系統是否真正安全的重要標準。根據代表性的安全模型P2DR理論，網絡信息系統在綜合運用防護工具(如防火墻、操作系統身份認證、加密等手段)、檢測工具(如漏洞評估、入侵檢測等系統)的同時，必須通過安全審計收集、分析、評估安全信息、掌握安全狀態，制定安全策略，確保整個安全體系的完備性、合理性和適用性，才能將系統調整到“最安全”和“最低風險”的狀態。