资源目录

审计工作通过检查系统状态是否正常或符合包括系统和组织策略在内的安全需求来支持对操作的保证。不是太正式的审计称为安全检查。审计可以自我实施也可以（由内部也可以由外部）独立实施。两者都可以提供有关技术的、规程的、管理的或其它安全方面的有用信息。自我审计和独立审计的本质不同在于它的目的性。由信息系统管理人员进行的检查通常称为自我审计或自我评估，这种审计本身就存在利益冲突。信息系统管理人员不太愿意指出计算机系统的设计错误和操作的问题。另一方面，他们有提高系统安全性的强烈愿望。另外，他们很熟悉系统并可能发现隐藏的问题。

相反，独立审计则不会有这些职业上的阻碍。实施独立审计的人不会有本身或者外部的约束影响他们的独立性所以对于组织来说是独立的。独立审计可以由具有专业水准的的审计专家实施。

自动工具
对安全特征的人工检查是一项费时的重要工作。自动工具使得即使是对大型计算机系统的各种安全错误的检查成为可能。有两种类型的自动工具：（1）主动工具，是通过破解系统来发现系统缺陷的工具，和（2）被动工具，是用来检查系统和通过系统状态推断系统所存在的问题的工具。

自动工具可以被用来发现各种威胁和漏洞，如不适当的访问控制或访问控制的配置、脆弱的口令、缺乏完整性的系统软件或没有及时更新和修补的软件。这些工具（如SATAN）通常可以成功地发现漏洞并且有时被黑客用来攻击系统。如果系统管理员不对这些工具善加利用将会使安全工作处于不利的地位。很多工具使用起来很简单，而有些程序（如对大型主机系统的访问控制审计工具）则需要使用者具备特殊的技巧来使用它们以及对它们所产生的结果进行判断。

内部控制审计
审计可以对已经部署的控制进行检查以确定它们是否有效。审计者通常会对计算机和非计算机的控制进行分析。其技术包括询问、观察、测试（包括控制本身及其数据）。审计还可以发现非法活动、错误、反常行为和法律法规的执行疏漏。另外还可以使用安全检查表和入侵测试。

安全检查表
计算机安全计划可以通过检查表的方式对系统进行审计。安全计划对系统中包括管理、操作和技术在内的主要安全要求进行概括。使用计算机安全计划的一个好处是它具体反映了系统的安全环境，而不只是泛泛的控制清单。也可以开发出其它形式的检查表，包括全国范围内的或机构范围内的安全策略和操作（经常表现为基本参考办法）。“通行的安全操作”列表经常被采纳。在采用这种列表时应该采取谨慎的态度以免发生错误，因为其中的内容可能是针对于系统特定的环境或技术条件下的。

检查表也可用于在系统变更时从安全角度进行检查。审计通常会检查系统配置来确定从安全角度看是否存在未被分析的重大变化。

入侵测试
入侵探测使用多种方式试图对系统进行突破。除了使用主动型自动工具外，入侵探测也可以采用“人工”方式进行。使用入侵探测的最佳方式是模拟攻击系统的真实情况。对于联机在互联网上的主机，自动工具是常用选项。对于多数系统，在应用过程中缺乏严谨的规程和内部控制是入侵测试攻击的主要目标。虽然入侵测试是一项强有力的技术，但是它的执行需要系统管理层的同意和认可。没有预先通知的入侵尝试会增加计算机操作人员的负担并且还可能造成不必要的麻烦。
另一种方法是“人际工程”，它涉及到诱使用户和管理员泄漏包括口令在内的系统相关信息。