本文目录导读:

CISP-AA(中国信息安全测评中心认证的注册信息安全专业人员-审计师方向)考试及实务中,记账控制框架是一个核心考点,它主要参考了COBIT(信息及相关技术控制目标)、ISO 27001 以及我国《网络安全法》中对日志和审计的要求。
虽然“CISP-AA记账控制框架”并非一个独立的国际标准名称(它更多是指将记账/日志控制审计嵌入到CISP-AA知识体系中的具体模型),但通常将其理解为信息系统审计中关于“日志与监控”控制目标的结构化描述。
以下是CISP-AA视角下的核心框架内容,总结为 “4大目标、3道防线、9个关键控制点”:
核心目标(4大记账控制目标)
在CISP-AA的审计框架中,记账(日志)控制必须满足:
- 完整性(Integrity):确保所有操作记录都被生成,且未被篡改或删除。
- 真实性(Authenticity):确保日志记录能够准确追溯到真实的用户、IP、设备和时间。
- 时效性(Timeliness):日志能够实时或准实时产生,并同步到集中存储系统。
- 可用性(Availability):当发生安全事件或故障时,日志系统本身不崩溃,且能快速检索。
逻辑框架(3道防线模型)
CISP-AA强调从“事前-事中-事后”构建记账控制体系:
-
第一道防线:事中记录(预防与识别)
- 准入控制:谁可以登录系统?(身份认证日志)
- 操作记录:用户做了什么?(命令、数据访问、权限变更日志)
- 异常行为感知:系统是否检测到暴力破解、越权访问?(安全设备日志)
-
第二道防线:事后追溯(检测与分析)
- 集中存储:日志是否集中到日志服务器或大数据平台?
- 不可篡改:日志是否使用了WORM(写一次读多次)存储或区块链存证?
- 时间同步:所有设备是否都进行了NTP(网络时间协议)对时?(关键:审计线索的时间连续性)
-
第三道防线:审计与合规(监督与改进)
- 定期复核:是否定期审计日志的完整性?
- 事件响应:当触发特定规则(如连续登录失败)时,是否自动告警并启动应急流程?
- 合规报告:是否满足《网络安全法》、《等保2.0》、行业监管(如金融、运营商)的留痕要求?
关键审计控制点(9个Checklist)
在CISP-AA的审计实务中,审计师通常针对以下9个方面进行打分或检查:
- 日志生成策略:
- 是否开启了关键系统(数据库、中间件、操作系统、网络设备)的审计功能?
- 是否包含:用户ID、源IP、目的IP、操作时间、操作类型(增删改查)、操作结果(成功/失败)?
- 日志存储与保护:
- 日志存储位置是否与生产系统物理或逻辑隔离?
- 日志文件是否设置了严格的访问权限(最小权限原则)?
- 日志文件是否有定期备份策略?
- 日志留存时间:
- 等保2.0要求:关键日志留存不少于6个月。
- 《网络安全法》:不少于6个月(部分行业如金融要求1-5年)。
- 审计师需检查实际系统配置是否满足法规。
- 时间同步(NTP):
- 所有设备是否指向同一个NTP服务器?
- 是否存在时间漂移导致审计线索中断?(时差过大可能使攻击时间线混乱)
- 日志完整性校验:
是否使用哈希校验、数字签名或区块链技术防止日志被后台篡改?(特别关注DBA/管理员能否悄无声息删日志)
- 日志全生命周期管理:
- 日志的创建 -> 传输(加密/压缩) -> 存储 -> 备份 -> 销毁 是否有标准流程?
- 异常事件告警机制:
- 是否配置了SIEM(安全信息与事件管理)或SOC(安全运营中心)?
- 对高危操作(如root登录、删除数据库表、修改防火墙策略)是否触发实时告警?
- 用户行为分析(UEBA):
是否利用机器学习识别偏离基线的行为?(如:一个普通员工突然在凌晨3点下载大量数据)
- 审计日志自身保护:
- 谁有权限查询、导出审计日志?(权限分离:系统管理员不应同时是日志审计员)
- 是否对审计人员的操作也进行了日志记录?
CISP-AA记账控制框架的典型应用场景
在CISP-AA的案例分析题或实务中,常用此框架来评估系统的合规性:
- 场景A:发现数据库系统没有开启详细SQL语句记录。
- 控制失效:完整性(无法知道具体改了什么数据)。
- 审计建议:开启审计日志,并同步到堡垒机的命令记录中。
- 场景B:发现所有服务器使用本地时间,且时间相差30分钟。
- 控制失效:时效性与真实性(无法建立准确的事件关联时序)。
- 审计建议:部署企业NTP服务器,并配置所有设备进行自动同步。
- 场景C:发现管理员可以直接通过SSH(安全外壳协议)登录日志服务器并
rm -rf日志文件。- 控制失效:可用性与不可篡改性。
- 审计建议:实施日志服务器访问控制、文件防删除(如chattr +i)、以及操作审计。
CISP-AA的记账控制框架本质上是一套“可验证的防御体系”,它不仅仅是“开了日志”那么简单,而是要求:
记录必须全、存着不能改、时间必须准、看了要告警、留够六个月、删了要追责。
希望这个结构化的框架能帮助你在CISP-AA的备考或实务中快速定位问题。