作者在這篇信息安全論文整合市面上多種不同類型的審計產品，按照網絡與信息系統安全審計應用模型，采用“統一規劃、分步實施”的方式，就可以在企業內部建立起嚴格監控的網絡與信息系統安全審計應用平臺，提升企業信息化日常運維及操作的安全性。

　　《信息安全與通信保密》雜志是經國家新聞出版署批準出版的我國第一家全面介紹信息安全與通信保密的大型綜合指導性技術月刊，面向國內外公開發行。本刊努力宣傳黨和國家的相關政策，積極引導產業方向，開辟技術理論園地，提供權威行業咨詢，融權威性、指導性、新聞性、技術性、文獻性和可讀性于一體。面向黨政機關、科技界、產業界、工商界、金融界、學術界、以及各級領導干部、信息科技管理工作者、專業技術人員、企業決策者、市場營銷人員、大專院校學生、IT界人士及廣大愛好和關心信息安全與通信保密行業的人士為讀者對象。

　　摘 要：近年來，隨著移動互聯業務的快速發展和智能手機的普及，APP應用的數量也與日俱增，人們能夠十分容易地享受到各種應用帶來的便利，但是這在另一方面催生了手機病毒和惡意軟件的增長，為了保證人們的移動生活安全無憂，APP應用軟件信息安全審計相關行業應運而生。本文對開發手機應用APP軟件需要信息安全審計技術按照不同的審計角度和實現技術進行分類，并在不同的實現方式間進行比較。最后提出一種實現全面審計系統的方式，為實際使用中綜合應用不同產品實現企業內部信息安全審計提供了一種實用的方法。

　　關鍵詞：信息安全審計;審計應用;審計實現 ;APP

　　1.引言

　　隨著近年來辦公業務對手機軟件相關信息系統的依賴越來越高，APP應用軟件信息系統存在的風險對業務的潛在影響也越來越大。即使采用了防火墻、防病毒、入侵檢測系統、內網安全管理等常規的網絡安全手段和管理控制措施，但要解決內部員工通過FTP、Web瀏覽發布、郵件、即時通信、BBS、在線視頻、 P2P下載、網絡游戲等造成的信息泄露以及網絡資源濫用;解決運行維護人員或提供第三方IT支持的維護人員等進行的違規操作而導致的信息安全事件;解決針對業務信息內容的篡改操作行為的監控管理的問題，必須要有一種有效的安全技術手段對內部員工、運行維護人員以及第三方人員的上網行為、內網行為、操作行為等進行有效的監控和管理，并對其行為趨勢進行分析和總結。

　　2.APP應用信息安全審計定義

　　為了APP應用信息系統的安全、可靠與有效，由獨立于審計對象的IT審計師，以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價，向IT審計對象的最高領導，提出問題與建議的一連串的活動稱為IT審計。IT審計就是信息系統審計，也稱IT監查。

　　3.APP應用信息安全審計的實現

　　要實現APP應用信息安全審計，保障計算機信息系統中信息的機密性、完整性、可控性、可用性和不可否認性(抗抵賴)，需要對計算機信息系統中的所有網絡資源(包括數據庫、主機、操作系統、網絡設備、安全設備等)進行安全審計，記錄所有發生的事件，提供給系統管理員作為系統維護以及安全防范的依據。

　　——————————————

　　作者簡介：張強(1967—)，男，漢族，黑龍江哈爾濱人，講師，研究方向為IT審計。

　　3.1合規性審計

　　做到有效控制IT風險，尤其是操作風險，對業務的安全運營至關重要。因此，合規性審計成為被行業推崇的有效方法。安全合規性審計指在建設與運行IT系統中的過程是否符合相關的法律、標準、規范、文件精神的要求一種檢測方法。這作為風險控制的主要內容之一，是檢查安全策略落實情況的一種手段。

　　3.2日志審計

　　基于日志的安全審計技術是通過SNMP、SYSLOG或者其他的日志接口從網絡設備、主機服務器、用戶終端、數據庫、應用系統和網絡安全設備中收集日志，對收集的日志進行格式標準化、統一分析和報警，并形成多種格式和類型的審計報表。

　　3.3網絡行為審計

　　基于網絡技術的安全審計是通過旁路和串接的方式實現對網絡數據包的捕獲，繼而進行協議分析和還原，可達到審計服務器、用戶終端、數據庫、應用系統的安全漏洞、合法、非法或入侵操作，監控上網行為和內容，監控用戶非工作行為等目的。網絡行為審計更偏重于網絡行為，具備部署簡單等優點。

　　3.4主機審計

　　主機安全審計是通過在主機服務器、用戶終端、數據庫或其他審計對象中安裝客戶端的方式來進行審計，可達到審計安全漏洞、審計合法和非法或入侵操作、監控上網行為和內容以及向外拷貝文件行為、監控用戶非法行為等目的。主機審計包括了主機的漏洞掃描產品、主機防火墻和主機IDS/IPS的安全審計功能、主機上網和上機行為監控、終端管理等類型的產品。

　　3.5應用系統審計

　　應用系統安全審計是對用戶在業務應用過程中的登錄、操作、退出的一切行為通過內部截取和跟蹤等相關方式進行監控和詳細記錄，并對這些記錄進行按時間段、地址段、用戶、操作命令、操作內容等分別進行審計。

　　3.6集中操作運維審計

　　集中操作運維審計側重于對網絡設備、服務器、安全設備、數據庫的運行維護過程中的風險審計。

　　運維審計的方式不同于其他審計，尤其是維護人員為了安全的要求，開始大量采用加密方式，如RDP(RDP：RemoteDesktopProtocol遠程桌面協議)、SSL等，加密口令在連接建立的時候動態生成，一般的針對網絡行為進行審計的技術是無法實現的，可分為以下兩種方式。

　　4.審計系統的實現

　　通過對六類審計產品的綜合應用，可以形成較完備的APP應用信息系統安全審計應用系統，對整個網絡與信息系統中的網絡、主機、應用系統、數據庫及安全設備等進行安全審計，且可以支持分布式跨網審計，及進行集中統一管理，從而達到對審計數據綜合的統計與分析，更有效地防御外部的入侵和內部的非法違規操作，最終起到保護信息和資源的作用。可供實施的系統模型。網絡與信息系統安全審計應用模型參考應用模型，企業既可以采取單項逐一建設，也可以采用多項綜合建設方式建立內部審計應用系統。對于擁有分子公司且不在同一地區的企業，也可以通過城域網絡把多個分子公司統一起來，進行集中建設，統一展現。