一、前言

应用系统是我们在日常生活中经常会使用到的，我们购买火车票经常使用的12306系统；到医院看病前需要先挂号，医院都有挂号系统；在公司与同事交流发送文件，都会使用公司专门的OA系统等等，其实我们手机上安装的各种APP都是应用系统的一种，应用系统方便了我们的生活、工作和学习，使我们身边的事变得高效，越来越多的人已经离不开各种应用系统的帮助，也正因为如此，人们对应用系统安全方面的问题也越来越重视，今天我们来讲一讲应用系统测评中关于安全审计方面的要求。

应用程序

二、测评项

和之前我们讲到的操作系统、数据库里边关于安全审计的要求一样，应用系统对于身份鉴别方面的要求也是一样的，我们还是按照惯例列出各项测评项。

a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

d)应对审计进程进行保护，防止未经授权的中断。

三、测评项a

a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

我们在进行主机测评时，由于主机使用的操作系统大多数都是Windows或者Linux系统，这两个系统都拥有比较全面的审计功能，只要查看相关配置就可以了，具体步骤可以查看我之前的有关Windows和Linux系统有关安全审计的内容。

至于应用系统，类型就不像主机操作系统这么固定，需要具体系统具体分析，有的应用系统比较正规，拥有比较完善的操作日志，用户什么时间在系统中做了什么操作，都记录的十分清楚，差一点只记录了用户登录和退出的信息，这也算是部分符合了，但是也不免会存在那些没有安全审计功能的应用系统，这时候也不要急着给判零分，有的会在系统业务流程中记录着，有的则采用第三方审计软件来实现审计功能，这个一定要问清楚。

安全审计

如果真的是什么审计措施也没有，就可以判定零分，刚才我为什么说不要着急判零分，是因为这一项是可以判定为高风险项的，至于高风险项，我之前已经讲过了，有兴趣的可以查看我之前的文章。

四、测评项b

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

这一项没有什么好解释的了，只要看一下日志文件记录的内容有没有此项所要求的内容就好了，有一点需要注意的是，应用的日志文件有的是存储在本地服务器中的，有的是存储在数据库中的，只要根据具体情况查看相应文件就可以了，一般我么直接打开会提示没有无法打开，一般都会在应用系统或者数据库中查看。

日志内容

五、测评项c

c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

这一项，第一要看日志文件是以什么形式保存的，如果是以系统文件的方式，就要看系统用户对这些日志文件有没有操作权限，如果是以数据库文件的形式保存的，那就要看数据库用户对这些文件的操作权限了，一般都是只有审计用户才可以对日志文件进行查看，任何用户都不具备删除的权限，当然也会有一些超级管理员用户可以删除。

日志记录保护

至于备份，也要看日志文件是以什么方式保存的，从而查看系统或者数据库的备份方式，最简单的方法就是使用一款备份软件。另外日志文件需要保存一定的时间，一般都是六个月，查看应用系统最早的日志文件距现在是否超过六个月，当然也要结合应用系统使用时间是否超过六个月。

六、测评项d

d)应对审计进程进行保护，防止未经授权的中断。

一般来说审计功能只要应用系统开启，也会跟着启动，且不会设置关闭按钮，除非应用系统也关闭，如果应用系统没有设置关闭功能，那就是符合要求的，但是也有一些系统存在关闭审计的功能，这就需要查看哪些用户拥有这个功能的权限了，一般也只有超级管理员用户拥有。

意外中断

以上就是一项一项教你测等保2.0——应用安全审计的所有内容，希望对大家有所帮助，欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。