近年来，随着信息系统在企业履行职责中的支持作用越来越强，企业信息系统逐渐向外部机构和互联网开放。它面临的入侵风险日益增加。如何利用各种可信安全工具对信息系统的安全性进行渗透测试审计，是当前信息系统审计工作的一项尝试。

四种信息系统安全审计方法。

在过去两年的信息系统审计中，审计师不再局限于传统的检查方法，而是逐渐延伸到挖洞、看代码、查日志等审计方法。以下是信息系统安全审计的四种方法。

（一）配置检查(查看配置)

配置检查是指分析操作系统、数据库、网络设备和中间部件的配置文件，评估其安全性。在传统的信息系统中。在统一审计中，系统安全审计通常指配置检查，近年来企业信息系统的审计通过程序脚本逐渐实现了操作系统、数据库统、数据库和网络设备的自动配置检查。配置检查的优点是标准化程度高，检查一检查标准，或者使用脚本检查即可完成。但配置检查也存在难以评估的问题，配置符合规定时，由于固有漏洞的存在，信息系统可能存在安全风险。传统的配置检查很难满足信息安全的要求。

（二）渗透试验(挖漏洞)

渗透性测是信息系统审计的重要组成部分。审计部门和中国内部审计协会都阐述了渗透测试方法。审计部门《信息系统审计指南》提出了工具检测方法:安全工具检测，即利用入侵检测、漏洞扫描等工具的监测结果进行分析评价。中国内部审计协会《内部审计具体准则——信息系统审计》提出内部审计人员可以使用可靠的信息安全检测工具进行渗透测试，在充分考虑安全的前提下，可以使用可靠的信息安全检测工具进行渗透测试。通过渗透测试，审计人员可以和评估配置检查中发现的问题，使审计结论更有说服力；也可以从攻击者的角度挖掘配置检查中难以发现的问题，找出系统安全的薄弱环节，为内部门对系统安全进行深入的审计分析和预警提供新的思路。

（三）业务逻辑漏洞挖掘和代码审计(查看代码)

商业逻辑漏洞是指与商业逻辑相关的漏洞，如身份认证安全，商业一致性，商业数据篡改等。

审计是指检查关键代码中的安全缺陷，发现安全隐患。业务逻辑漏洞可以通过黑盒测试或白盒测试(代码审计)发现。

（四）日志审计(查日志)

日志审计是指根据信息系统中的日志，检查内部人员的操作是否符合要求，系统是否受到外部成功攻击。对于内部来说，通过检查堡垒机日志、数据库操作日志、操作系统日志等，可以发现是否影响系统安全。完整的非授权操作；对于外部来说，通过检查应用程序日志、网络日志等，可以检查黑客是否成功入侵信息系统并获取数据。目前，企业信息系统的安全性通常由科技部门、审计部门和第三方安全公司检查。配置方面，各种检查。检查都有涉及，而且比较成熟；挖漏洞方面，科技部门和安全公司一般都是借助安全工具进行检查，审计很少涉及；看代码方面，各种检查都很少涉及；检查日志方面，科技部门和审计通常都可以检查内部访问日志和外部入侵日志，而安全公司由于保密限制，一般只检查外部入侵日志。近几年来，在企业信息系统审计中，审计人员也试图逐步固化渗透测试过程，并在个别项目中进行代码审计，取得了一定的进展。