美国审计署对联邦存款保险 计算机病毒保护程序的审计 l背景l审计目标和方法l基本审计结论l审计发现问题及建议l管理层反馈背景l计算机病毒是一个特别设计的电脑程序, 能够自我复制并修改其它程序,这种程序 可能包含恶意指令,扰乱计算机的正常操 作或破坏计算机中的程序和其它数据计 算机病毒通常攻击最普遍使用的系统,以 达到最大的破坏效果l计算机病毒的破坏包括时间损失、生产力 受影响以及潜在的数据丢失如果未能及 时查出计算机病毒的破坏,这种影响可能 会变得非常巨大,除了经济受损外,还可 能给公司带来公众的信任危机l从1999年第三季度开始,联邦存款保险公 司信息资源管理部门的信息安全员共报告 了45,000个计算机病毒该公司从1991 年4月9日开始使用防病毒软件主要作用 是防止病毒通过磁盘感染员工电脑以及在 公司局域网内传播l9年过去了,现在病毒保护程序已经随着计 算机技术的发展而变得相当复杂,主要应 用于电子邮件、国际互联网的资料传输、 公司的内部互联网,也包括磁盘和软盘 负责该项工作的主要是信息资源管理部门 的信息安全员、Helpdesk、系统管理员以 及各分支机构、办事处的信息安全官员审计目标和方法确定联邦存款保险公司计算机病毒保护 程序的效率和效果。
审计组会见了信息资 源管理部门的信息安全员、Helpdesk、局 域网管理人员、以及法律部、主席办公室 、监管部、财务部、行政管理部和清算部 的信息安全管理员l研究了计算机病毒保护程序的最佳操作, 复核了该程序的政策、标准和流程帮助 信息安全管理员对公司网络服务器的实时 病毒监控程序和笔记本电脑的文件升级进 行了改进审计组集中在对防病毒程序的 预防、侦测和删除病毒能力的检查进行 了计算机病毒模拟攻击测试,检测了联邦存 款保险公司的计算机安全事件响应小组能 否对病毒做出及时反映基本审计结论总体上来说联邦存款保险公司的计算机 病毒保护程序可有效的防止计算机病毒的 攻击但该公司在预防病毒感染方面需要 改进的地方特别是一些执行关键任务和 操作的计算机没有防毒软件的保护,发现 一些防病毒软件没有充分应用的事例防病毒软件维护不够充分,计算机病毒 保护程序的政策、标准和流程需要及时更 新、扩充以适应当前的风险和操作等问题 就上述问题与信息资源管理部门的负责 人进行了沟通,他们也己经对这些问题采 取了改进工作l该公司计算机病毒保护程序的效力在全球 性病毒“我爱你”爆发时得到了验证信息安 全员采取的行动对减少病毒攻击的损失起 到了很好的保护效果。
特别是信息安全员 能据计算机安全事件响应小组提供的病毒 特征开发建立防火墙,有效防止了病毒攻 击因为计算机安全事件响应小组提供了及 时警告,联邦存款保险公司的损失比其他 机构要小得多审计发现的问题及建议一、缺乏全面的风险评估程序 缺乏全面的风险评估对计算机病毒保护 程序进行指引,导致保护工作不能做到全 面、有效一些易感染的系统中没有安装 防病毒软件且未应用严格的软件配置等防 护补偿机制,一些已安装的防病毒软件没 有充分利用虽然信息安全主管在1999年对IT资源的 薄弱点进行过非正式评估,但到目前为止 尚未对公司的计算机病毒保护程序进行过 书面风险评估公司的一些电脑未采用防 毒软件保护,涉及系统包括SunSolaris,IBM 的大型机、朗讯的私人交换系统和Cisco的 路由器和交换机严格的软件构架管理能够作为缺少防病 毒软件的补偿性控制,但联邦存款保险公 司没有坚持采用此方法审计组注意到公 司的WindowsNT服务器已经安装了防病毒 软件,但并没有始终运行尤其是一些网 络服务器没有应用常驻电脑实时防护技术l虽然台式机和笔记本电脑可以通过其他防 病毒软件达到实时侦测电脑病毒的功能, 但用户可以不受约束自行卸载防毒软件。
开机密码是防止非法登陆最基本的方法, 38台台式机和笔记本电脑没有设置任何开 机密码计划实施智能卡加密技术作为补 偿性措施,减小对开机密码的依赖实时防护技术的台式机和笔记本电脑没有 采用启发式分析技术它能够在病毒感染 电脑之前察觉新病毒,在破坏性程序启动 之前将其摧毁是识别新病毒和变异病毒 的基本方法建议建议首席信息官和信息资源管理主管:1.对公司的计算机病毒保护程序进行正式 、全面的风险评估,并将其结果作为未来 完善公司病毒防护的基础2·对SunSolaris和Oracle等以Unix为基础 的重要操作系统实施病毒保护3·对WindowsNT服务器实施实时防病毒 软件4·信息安全员继续研究防止用户自行卸 载台式和笔记本电脑防病毒软件的方法并 及时实施5·考虑在公司中应用启发式防病毒软件二、完善计算机防病毒维护程序防病毒软件的签名文件没有每周更新 没有建立防毒软件的支持性测试文件、签 名文件更新测试和软件构架设置审批文件 的书面存档制度目前信息资源管理部门信息安全员不够 充分,无法有效完成计算机病毒保护程序 工作,也不能帮助公司的笔记本电脑用户 定期地登陆到公司的网络接受最新的签名 文件防病毒软件的预警功能没有如管理层期 望的始终运转,安全事件响应小组也未能 定期接受软件报警,每周的统计报告也没 有报告这些问题。
审计开始阶段,联邦存 款保险公司的台式电脑和笔记本电脑防病 毒软件的非紧急签名文件每月进行更新虽然连接网络的台式电脑的更新频率较 高,但其签名文件的更新也仅局限于对公 司最近发现的三个病毒的校验检测此外 ,信息安全负责人指出没有联接到公司网 络的笔记本电脑更新的频率往往更低审计组也注意到,防病毒软件升级或 更新的支持性测试文件上关于测试目的、 方法和结果的记录也不完整此外,防病 毒软件构架配置批准的支持性文件也不够 完整由于计算机病毒的变异和新病毒的不断 出现,公司必须在防病毒软件供应商推出 新的签名文件时尽快更新他们已经着手 研究找到和实施帮助笔记本电脑用户自动 定期更新签名文件的方法,建立了每周更 新签名文件的制度建议包含正在实施可 尚未完成的行动计划建议1.确保防病毒软件签名文件的更新工作以 较高频率进行,最好达到每周一次,将感 染病毒的风险降到最低2.确保执行公司记录保存的政策,建立、 维护防毒软件的支持性测试文件和签名文 件的更新测试文件3.确保执行公司记录保存的政策,建立、 维护软件构架设置的书面审批文件4·确保每周向上报送的统计报告中包含末 处理完毕的病毒入侵警告5.所有使用笔记本登陆公司网络的用户应 该每周、至少每月对防毒软件的签名文件 进行一次升级三、电脑防病毒保护程序的政策、标准和 程序需要扩充和更新信息资源管理部曾经在1997.4.29对计算 机病毒保护程序的政策修订,增加了病毒 修复的内容以帮助系统用户降低对电脑的 损害。
安全事件响应小组的程序也包含了 通过公司防病毒软件发现病毒的内容病毒保护程序政策没有包括预防、侦测和 删除病毒的信息,这些信息是公司计算机 病毒保护程序不可或缺的一部分该政策 应包括如下内容:1.所有电脑应用防计算机病毒软件2·备用的病毒防护方法如电脑不能应用 防毒软件时应该采取的严格软件配置管理3·公司的防病毒软件和软件特征选择的 技术性补充说明,如通过启发式分析技术将 感染病毒的风险降到最低4·为检查和删除病毒,在安装和操作电 脑前由安装中心对电脑清理5·利用非公司电脑访问公司网络时如何 应用防病毒保护程序6·对公司员工和供应商进行病毒认知和 防护培训7·建立和维护病毒签名文件更新频率 8·对新发和复发病毒的防护工作,如信 息资源管理部门的信息安全员应用防火墙 过滤技术阻止“我爱你“病毒的攻击该政策应该在病毒侦测方面如下完善: 1.说明安全事件响应小组应核实施新病毒 的分析工作,以及Helpdesk和信息安全官 员在计算机病毒保护程序方面的职责2·解释多重病毒扫描和过滤警示方法的 使用方法3·作为一种参考工具,指导建立最新病 毒事件数据库该政策应在病毒删除方面如下完善:研究1·说明从磁盘或软盘中删除病毒的方法, 以及要求将新发现的病毒送交外部病毒实 验室进一步研究2·考虑补充计算机病毒保护程序的政策 和程序,如联邦存款保险公司防病毒软件 的家庭使用和安全事件响应小组的工作流 程3·建立实时、完整的政策、标准和程序 ,确保计算机病毒防护等复杂领域按照管 理层的意志运行,同时给员工提供书面参 考,帮助员工更好的履行其职责建议1.确保信息安全员不断检查现行的、与计 算机保护程序相关的所有政策和程序2,确保对政策和程序成功复核的基础上 ,完善和实施更新计算机病毒保护程序的 操作需求,包括但不限于上述的计算机病 毒预防、识别和删除等领域管理层反馈1. 已在1999年第二季度进行了一次初步 的薄弱环节评估,此次审计署的评估是一 个附加评估。
正在实施进一步加强病毒防 护程序的解决方案将聘用独立的供应商 复核检查核解决方案能减轻病毒风险的有 效性预期此工作将在2001年6月30日完成2·整个IT行业近十多年从未发现关于 Solaris和Oracle病毒的报告当前的反病 毒软件供应商销售的UNIX环境病毒软件业 不支持非UNIX平台2001年公司将实施的 新的配置管理方法,作为附加预警手段, 确保员工不安装可能包含其他病毒的软件 一旦UNIX专用的反病毒包可用,信息资 源管理部将对其进行评估3·经过正式评估之后,己选择了Trend Micro公司的软件. 产品将提供实时监控和 集中报告计划于2000年12月实施4·作为降低风险的措施,将在2000年8月 开始评估目前正在使用的防毒软件“防护盾 “4.5“并采取措施让用户很难卸载新版本的 软件,在2001年3月31日前完成此工作由于Windows95操作系统的可控性不够 强,很难限制用户的操作,此问题将在公司 操作系统升级到Windows2000后得以解决5·此软件已在2000年8月之前在除笔记本 电脑之外的领域普及,公司将在今年年底 之前完成此工作6·2000年1月起已对服务器实施每周一次 、工作站两周一次的更新工作。
笔记本电 脑用户也将每两周通过网络下载文件进行 升级7·2000年11月15日前信息安全员将提供 完整的升级和签名文件更新的支持性测试 的署名文件8.2001年1月15日之前,信息安全员将 颁布管理层对如下平台构架配置的审批:台 式电脑、笔记本电脑、服务器、NT工作站,这些设置将公布在所有信息管理部门员工 都能看到的公共文件夹中,并根据联邦存 款保险公司记录维护制度进行维护9·信息资源管理部门正在为NT服务器和 交换服务器采购TrendMicro反病毒软件, 将于2000年12月31日实施此软件将实施 服务器的集中预警机制10·此项工作将由首席运营官完成11·安全员将于2000年12月31日之前完 成计算机病毒保护程序的政策和程序的最 初复核工作12·信息资源管理部门的信息安全员将继 续完善计算机病毒保护程序。