1. 應(yīng)用程序日志 包含由應(yīng)用程序或系統(tǒng)程序記錄的**,主要記錄程序運(yùn)行方面的**,例如數(shù)據(jù)庫程序可以在應(yīng)用程序日志中記錄文件錯(cuò)誤,程序開發(fā)人員可以自行決定監(jiān)視哪些**。
如果某個(gè)應(yīng)用程序出現(xiàn)崩潰情況,那么我們可以從程序**日志中找到相應(yīng)的記錄,也許會(huì)有助于你解決問題。2. 安全性日志 記錄了諸如有效和無效的登錄嘗試等**,以及與資源使用相關(guān)的**,例如創(chuàng)建、打開或刪除文件或其他對(duì)象,系統(tǒng)管理員可以指定在安全性日志中記錄什么**。默認(rèn)設(shè)置下,安全性日志是關(guān)閉的,管理員可以使用組策略來啟動(dòng)安全性日志,或者在注冊(cè)表中設(shè)置審核策略,以便當(dāng)安全性日志滿后使系統(tǒng)停止響應(yīng)。
靈蹤安全在審計(jì)報(bào)告中通常根據(jù)風(fēng)險(xiǎn)的危險(xiǎn)程度和需要解決的緊急程度將風(fēng)險(xiǎn)分為四級(jí),分別為:致命風(fēng)險(xiǎn)、高危風(fēng)險(xiǎn)、中度風(fēng)險(xiǎn)和低風(fēng)險(xiǎn)。
致命風(fēng)險(xiǎn)是所有風(fēng)險(xiǎn)中等級(jí)最高的、最危險(xiǎn)的,它需要項(xiàng)目方即刻解決,不能拖延。
高危風(fēng)險(xiǎn)在危險(xiǎn)程度上僅次于致命風(fēng)險(xiǎn),它極有可能給項(xiàng)目帶來嚴(yán)重問題,也需要項(xiàng)目方解決。
中度風(fēng)險(xiǎn)相較于高危風(fēng)險(xiǎn)等級(jí)又次一級(jí),它有可能給項(xiàng)目帶來潛在問題,最終還是要項(xiàng)目方解決。
低風(fēng)險(xiǎn)是所有風(fēng)險(xiǎn)中級(jí)別最低的,通常它表現(xiàn)為一些細(xì)節(jié)問題、警告信息等,暫時(shí)來說這個(gè)等級(jí)的問題可以不用解決,但項(xiàng)目方最后在未來某個(gè)新版本中解決這類問題。
靈蹤安全在審計(jì)合約的過程中,對(duì)上述四個(gè)等級(jí)的風(fēng)險(xiǎn)都會(huì)進(jìn)行嚴(yán)格的排查并密切和項(xiàng)目方合作,重點(diǎn)督促并要求項(xiàng)目方必須解決致命風(fēng)險(xiǎn)和高危風(fēng)險(xiǎn),并對(duì)中度風(fēng)險(xiǎn)和低風(fēng)險(xiǎn)給出詳實(shí)地反饋和改進(jìn)計(jì)劃,不過我們?cè)趯徲?jì)報(bào)告中關(guān)于如何描述上述四個(gè)等級(jí)的風(fēng)險(xiǎn)經(jīng)歷了一個(gè)演變過程。
指裝有安全審計(jì)軟件的硬件產(chǎn)品,常見的審計(jì)設(shè)備包括網(wǎng)絡(luò)安全審計(jì)設(shè)備、數(shù)據(jù)庫安全審計(jì)設(shè)備、日志審計(jì)設(shè)備、運(yùn)維安全審計(jì)設(shè)備,安全審計(jì)設(shè)備是指按照一定的安全策略,利用記錄、系統(tǒng)活動(dòng)和用戶活動(dòng)等信息,檢查、審查和檢驗(yàn)**作**的環(huán)境及活動(dòng),從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的一種設(shè)備。
審計(jì)是對(duì)資料作出證據(jù)搜集及分析,以評(píng)估企業(yè)財(cái)務(wù)狀況,第二就資料及一般公認(rèn)準(zhǔn)則之間的相關(guān)程度作出結(jié)論及報(bào)告。進(jìn)行審計(jì)的人員必需有**性及具相關(guān)專業(yè)知識(shí)。常見的財(cái)務(wù)審計(jì)有以下3種:
運(yùn)作審計(jì)(作業(yè)審計(jì)):檢討組織的運(yùn)作程序及方法以評(píng)估其效率及效益;履行審計(jì)(遵行審計(jì)):評(píng)估組織是否遵守由更高權(quán)力機(jī)構(gòu)所訂的程序、守則或規(guī)條;財(cái)務(wù)報(bào)表審計(jì):評(píng)估企業(yè)或團(tuán)體的財(cái)務(wù)報(bào)表是否根據(jù)公認(rèn)會(huì)計(jì)準(zhǔn)則編制,一般由**會(huì)計(jì)師進(jìn)行。資訊科技審計(jì):評(píng)估企業(yè)或機(jī)構(gòu)的資訊系統(tǒng)的安全性,完整性、系統(tǒng)可靠性及一致性。
代碼審計(jì):顧名思義就是檢查源代碼中的安全缺陷,檢查程序源代碼是否存在安全隱患,或者有編碼不規(guī)范的地方,通過自動(dòng)化工具或者人工審查的方式,對(duì)程序源代碼逐條進(jìn)行檢查和分析,發(fā)現(xiàn)這些源代碼缺陷引發(fā)的安全漏洞,并提供代碼修訂措施和建議。
美國(guó)區(qū)塊鏈安全審計(jì)公司CERTIK是由來自耶魯大學(xué)和哥倫比亞大學(xué)的科研團(tuán)隊(duì)攜數(shù)十年研究成果成立,通過“深度規(guī)范”的形式化驗(yàn)證技術(shù)為區(qū)塊鏈應(yīng)用和智能合約提供代碼安全審計(jì)服務(wù)。目前,CERTIK已獲幣安孵化器數(shù)百萬美金投資。
合約審計(jì)的目的主要是檢查代碼規(guī)范性、常規(guī)漏洞、安全漏洞、業(yè)務(wù)邏輯漏洞等,最關(guān)鍵是減少因代碼導(dǎo)致的業(yè)務(wù)無法按預(yù)期正常運(yùn)轉(zhuǎn),第三是保障資金的安全;第三方面也是體現(xiàn)智能合約部署后的“公平、公開、公正、透明”等。同時(shí),也是以此減少遭受黑客攻擊的可能性。除此之外,還能將產(chǎn)品上線前將風(fēng)險(xiǎn)降到最低。
代碼審計(jì)對(duì)于區(qū)塊鏈的發(fā)展具有重要意義:一方面,代碼審計(jì)可以節(jié)約安全投入,降低修復(fù)成本。研究表明,當(dāng)應(yīng)用發(fā)布后再執(zhí)行代碼修復(fù),修復(fù)成本大約是設(shè)計(jì)編碼階段的30倍。所以,變被動(dòng)防護(hù)為主動(dòng)防御,從源頭上控制安全隱患,可以最大程度節(jié)約成本;另一方面,代碼審計(jì)可以降低系統(tǒng)安全風(fēng)險(xiǎn)。通過代碼審計(jì)及時(shí)對(duì)代碼層缺陷進(jìn)行修復(fù),從而大幅度提升系統(tǒng)整體安全性,避免巨額經(jīng)濟(jì)損失。
]]>