安全计算环境-（六）应用系统-3

应用系统

 

控制点

3.

安全审计

对应用系统进行安全审计的目的是保持对应用系统和数据库系统的运行情况及用户行为的跟踪，以便事后进行追踪和分析。应用安全审计主要涉及用户登录情况、管理用户的操作行为、关键的业务操作行为、系统功能执行情况、系统资源使用情况等。

a)

安全要求：应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。

要求解读：应用系统必须对其所有用户的重要操作（例如用户登录和重要业务操作等）进行审计，并对系统异常等事件进行审计。

检查方法

1.核查是否提供并启用了安全审计功能。

2.核查审计范围是否覆盖每个用户。

3.核查并测试是否对重要的用户行为和重要安全事件进行了审计。

期望结果

1.应用系统提供并启用了安全审计功能。

2.安全审计范围覆盖系统中的每个用户。

3.应用系统对重要的用户行为和重要安全事件提供了审计。

b)

安全要求：审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

要求解读：审计记录至少包括事件日期、时间、发起者信息（例如用户名、IP地址等）、类型、描述、结果（是否成功等）。

检查方法

核查审计记录的内容，例如数据库的具体字段、日志信息。

期望结果

审计记录包括事件日期、时间、发起者信息（例如用户名、IP地址等）、类型、描述、结果（是否成功等）。

c)

安全要求：应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。

要求解读：应用系统应对审计记录进行保护，定期做好数据备份。另外，应用系统应防止非授权删除、修改或覆盖审计记录的情况发生。

检查方法

1.核查审计记录的保护措施和备份策略。

2.核查应用系统的功能权限，了解应用系统是否具备对审计记录的删除、修改或覆盖等功能。如果应用系统具备对审计记录的删除、修改或覆盖等功能，则核查应用系统是否对日志记录删除、修改和覆盖的时间进行了限制。

期望结果

1.审计记录存储于数据库中且定期进行数据备份。

2.应用系统不提供审计记录的删除、修改或覆盖功能。如果提供了相关功能，则已限定不可删除、修改或覆盖半年之内产生的审计记录。

d)

安全要求：应对审计进程进行保护，防止未经授权的中断。

要求解读：应用系统应对审计进程或功能进行保护。如果处理审计的事务是一个单独的进程，那么应用系统应对审计进程进行保护，不允许非授权用户中断该进程。如果审计是一个独立的功能，那么应用系统应防止非授权用户关闭审计功能。

检查方法

对应用系统进行测试。如果审计模块是一个单独的进程，则尝试非授权中断审计进程，查看是否成功（应为否）；如果审计模块是一个独立的功能，则尝试非授权关闭审计功能，查看是否成功（应为否）。

期望结果

未经授权，不能中断审计进程或关闭审计功能。