第4章　審計和問責

當成功地完成身份識別、身份驗證和授權過程后（或者甚至是在完成這些過程時），還需要跟蹤組織中正在進行的活動。即使允許一方訪問你的資源，仍然需要確保他們的行為符合規則，特別是與安全、業務行為和道德相關的規則。從本質上講，需要確保能夠追究系統用戶的責任（見圖4-1）。

圖4-1　始終保持用戶為其行為負責

追究某人的責任意味著確保此人對自己的行為負責。這一點尤其重要，因為大多數組織都以數字形式存儲了大量信息。如果不跟蹤人們如何訪問以數字方式存儲的敏感數據，可能會遭受業務損失、知識產權盜竊、身份盜竊和欺詐。此外，數據泄露可能會給組織造成法律后果。某些類型的數據（例如醫療和金融數據）在一些國家受到法律保護；在美國，有兩部這樣的著名法律，分別是1996年保護醫療信息的《醫療保險便攜性和責任法案》（Health Insurance Portability and Accountability Act）和2002年保護公司不被欺詐的《薩班斯-奧克斯利法案》（Sarbanes-Oxley Act）。

確保負責的主要措施就是審計，即審查組織的記錄或信息的過程。執行審計，確保人員遵守法律、政策和其他管理控制主體。審計也可以防止攻擊，如信用卡公司會通過賬戶購買記錄進行登記和審計。如果你決定在一天內購買6臺筆記本電腦，那么異常行為可能會觸發公司監控系統的告警，公司可能會暫時凍結該卡的購買活動。本章將更詳細地介紹問責，以及如何使用審計來實施問責。