《最新信息系统审计安全》由会员分享,可在线阅读,更多相关《最新信息系统审计安全(16页珍藏版)》请在金锄头文库上搜索。
1、最新信息系统审计平安 信息系统平安审计 10司法信息平安班 王立鹏随着信息化水平的快速提高和信息平安建设的逐渐深入,如何建立信息平安审计制度,有效加强内部信息平安管理、信息系统平安风险控制,满足政策合规的要求,成为企事业单位面临的普遍问题。绿盟科技信息平安审计专家,以自身多年信息平安审计的经验和认知,讲解信息平安审计的标准、趋势及要点。信息系统平安审计正逐渐成为国内信息平安系统建设热点。一、 信息系统审计定义与开展历史信息系统审计(Information System Audit, ISA)是通过收集和分析审计证据,对信息系统是否能够保护资产的平安、数据的完整、运营效率等方面做出判断的过程。信
2、息系统审计是计算机技术与数据处理电算化开展的结果。数据处理电算化对信息系统审计产生了重大影响,计算机在数据处理中的运用形成了电子数据处理系统,它产生于20世纪50年代。因此,信息系统审计的概念产生可追溯到20世纪60年代。信息系统审计系统的开展历史可以分为三个阶段:图1 信息系统审计开展历史1960年-1970年,信息系统审计概念形成阶段20世纪60年代,信息系统审计最早称为计算机审计,是随着计算机在财务会计领域的应用而产生。早期的计算机应用比拟简单,计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务。1960年初,IBM出版了?Audit Encounters Ele
3、ctronic Data Processing?,该书首次提出了电子数据环境下的内部审计规那么和组织方法。60年代中期,美国国防部海军审计局引进了通用审计软件包。1968年美国EDPAA协会(执业会计师协会)发表?电子数据处理系统与审计?,详细探讨了审计与电子数据处理系统的关系,并提出假设干计算机辅助审计电子数据处理系统的方法。1970年-1999年,信息系统审计成长阶段70年代中期至80年代,美国、日本等先后成立计算机审计相关组织;国际开始兴起一系列信息平安管理标准的制定。1983年,日本通产省发布?系统审计标准?,开始培训信息系统审计人员。1984年美国EDPAA协会(执业会计师协会)发布
4、一套EDP控制标准-?EDP控制目的?。1996年,ISACA协会发布了COBIT(Control Objectives for Information and related Technology)标准,是国际上公认的平安与信息技术管理和控制的权威标准,也是国际通用的信息系统审计标准,已在100多个国家的重要组织和企业中应用。1999年-至今,信息系统审计普及和行业应用阶段2001年至今,美国安然事件及由此引发的一系列美国著名大公司在公司治理和财务管理力方面的问题,促使美国陆续出台了多个具有较强影响力的行业法案,如:2002年美国出台Sarbanes-Oxley法案(塞班斯奥克斯利法案),其
5、中第404条款要求企业在财务报告方面加强内控,企业的CEO和CFO必须对本企业的内控系统的有效性发表诚信声明。因此,IT信息系统同样需要加强控制以到达SOX法案的合规要求; 2022年针对IT信息系统的SOX合规审计成为全球CIO最关注的事。目前,西方兴旺国家的信息系统审计应用已较为普遍,并开展到了较高的水平。二、 信息系统平安审计定义与开展信息系统平安审计是信息系统审计全过程的组成局部,主要依据标准包括COBIT、CC、ITIL等信息平安管理标准。信息系统平安审计是评判一个信息系统是否真正平安的重要标准之一。通过平安审计收集、分析、评估平安信息、掌握平安状态,制定平安策略,确保整个平安体系的
6、完备性、合理性和适用性,才能将系统调整到“最平安和“最低风险的状态。平安审计已成为企业内控、信息系统平安风险控制等不可或缺的关键手段,也是威慑、打击内部计算机犯罪的重要手段。在国际通用的CC准那么(即ISO/IEC15408-2:1999?信息技术平安性评估准那么?)中对信息系统平安审计(ISSA,Information System Security Audit)给出了明确定义:信息系统平安审计主要指对与平安有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与平安有关的活动,谁(哪个用户)对这个活动负责;主要功能包括:平安审计自动响应、平安审计数据生成、平
7、安审计分析、平安审计浏览、平安审计事件选择、平安审计事件存储等。这是国际CC准那么给出的一个比拟抽象的概念,通俗来讲,信息平安审计就是信息网络中的“监控摄像头,通过运用各种技术手段,洞察网络信息系统中的活动,全面监测信息系统中的各种会话和事件,记录分析各种网络可疑行为、违规操作、敏感信息,帮助定位平安事件源头和追查取证,防范和发现计算机网络犯罪活动,为信息系统平安策略制定、风险内控提供有力的数据支撑。(一)国内信息系统平安审计开展历史与国外相比,中国的信息系统平安审计起步较晚,相关信息平安审计技术、信息平安审计标准和信息平安审计制度等都有待进一步完善。绿盟科技的信息平安审计专家,根据多年经验总
8、结,提出我国的信息系统平安审计开展可分为两个阶段:图 1.1 信息平安审计在中国的开展1999年-2022年 信息系统平安审计导入期1999年财政部公布了?独立审计准那么第20号-计算机信息系统环境下的审计?,局部内容借鉴了国外研究成果。这是国内第一次明确提出对计算信息系统审计的要求。同年,国家质量技术监督局公布?GB17859-1999 计算机信息系统平安保护等级划分准那么?,该准那么是建立计算机信息系统平安保护等级制度,实施平安保护等级管理的重要根底性标准,其中明确要求计算机信息系统创立和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。2022年-2022年 信息系统
9、平安审计的快速成长期随着互联网在国内的迅速普及应用,推动国内信息系统平安审计进入快速开展阶段。国家相关部门、金融行业、能源行业、运营商均陆续推出多项针对信息系统风险管理政策法规,推动国内信息系统平安审计快速开展。2022年12月,公安部公布82号令?互联网平安保护技术措施规定?,其中明确要求“互联网效劳提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态、记录网络平安事件等平安审计功能,并应当具有至少保存六十天记录备份的功能。2022年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定并发布了?信息平安等级保护管理方法(试行)?,该方法明确要求信息系统运营使用单位在开
10、展等级保护工作中要按照或者参照国家、行业技术标准进行系统定级、建设、整改、测评等工作。?信息系统平安等级保护根本要求?是信息平安等级保护标准体系中重要的根底性标准之一。该要求针对不同平安保护等级信息系统的根本平安审计能力均有明确要求,如:需要对用户行为、平安事件等进行记录,对形成的记录能够统计、分析、并生成报表。2022年,国家保密局发布BMB17-2022号文件?涉密信息系统分级保护技术要求?,文件要求相关涉密单位信息系统,根据不同涉密级别,采取相关审计措施。如:必须制定明确的系统平安审计谋略;确定的审计事件范围应对平安事件的事后追查提供足够的信息;审计记录包括效劳器、涉密重要用户终端、平安
11、保密设备、用户、用户权限修改以及用户操作等。2022年-2022年,平安审计被列入多个行业信息系统平安建设要求随着政府、金融、电信、能源等行业信息化的开展,信息科技的作用已经从业务支持逐步走向与业务的融合,成为各行业稳健运营和开展的支柱,为加强信息系统风险管理,各行业陆续发布了行业性信息系统管理标准和要求。2022年6月,财政部、证监会、银监会、保监会及审计署委联合发布了?企业内部控制根本标准?,该标准被称为中国的“SOX法案,是我国在审计领域的重大改革举措,该标准将首先在上市企业中实行。如何把IT内控与企业内控管理统一起来,是?企业内部控制根本标准?的一个关键点,信息平安审计那么将成为企业I
12、T内控、平安风险管理的不可或缺的技术手段。该标准将促使国内企业加强IT内控建设,从而推动平安审计市场的开展,但其中非常关键的一点就是平安审计技术如何有效地与标准结合,满足企业合规审计要求。2022年3月,银监会为加强商业银行信息科技风险管理,发布了?商业银行信息科技风险管理指引?,该指引中重点阐述了信息系统风险管理和内外部审计要求,特别是要求审计贯穿信息科技活动的整个过程之中。另外,在?国家电网SG186工程防护总体方案?、?中国移动集团内控手册?、?中国电信集团内控手册?等行业要求中也均明确要求采取信息系统风险内控和审计技术手段。目前,随着信息平安建设的深入,平安审计已成为国内信息平安建设的
13、重要技术手段。总体来看,由于信息系统开展水平和业务需求的不同,各行业对平安审计的具体关注点存在一定差异,但均是基于政策合规、自身平安建设要求,如:政府主要关注如何满足“信息系统平安等级保护等政策要求的合规平安审计;电信运营商那么基于自身信息系统风险内控需求进行平安审计建设。(二)信息系统平安审计技术分析目前,国内信息系统平安审计有下述几类主流审计技术:网络平安审计、数据库平安审计、业务运维平安审计和日志审计。 下表列出了信息系统中的主要审计对象与平安审计技术的对应关系:绿盟科技的信息平安审计专家,通过多年的信息平安工程,总结分析了国内几种主要的信息平安审计应用。1. 网络平安审计网络平安审计是
14、目前国内应用最广泛的平安审计技术,主要应用于企事业单位的网络行为审计和内容的审计,已广泛应用于政府、电信运营商、能源、金融等行业。网络平安审计系统大多通过旁路镜像或分光方式,采集网络数据进行分析、识别,实时动态监测网络行为、通信内容和网络流量,全面记录网络系统中的各种会话和事件,发现和捕获各种违规行为和内容,实现对网络平安事件的跟踪和事后追查取证。技术特点 : 网络平安审计系统不会影响网络信息系统自身运行与性能 ; 对各种网络行为,如网站访问、邮件、远程终端访问、即时通讯、论坛、在线视频、P2P下载、网络游戏等,提供全面的行为监控,方便事后追查取证; 对网站访问、邮件、文件上传下载、论坛发帖、
15、非加密运维操作等进行内容监测。2. 数据库平安审计随着信息系统业务不断开展,数据库系统应用范围越来越广,如企业的账务数据、贸易记录、工程数据等均需要利用大量的数据库资源。由于数据库的作用和影响越来越大,企业数据库信息平安面临严峻挑战,近年来不断发生的企业数据库的重要敏感数据的被窃取、篡改问题,已引起企业的高度重视,成为迫切需要解决的问题。数据库平安审计系统主要通过旁路或分光方式,对网络数据的采集、分析、识别,实时监控记录数据库各种账户(如超级管理员、临时账户等)的数据库操作行为,发现各种非法、违规操作,降低数据库平安风险,帮助企业保护数据库资产平安。技术特点: 数据库平安审计不会影响数据库系统自身运行与性能 ; 支持同时审计多种数据库及跨多种数据库平台操作,覆盖主流数据库类型,ORACLE、MS SQL SERVER、SYBASE、DB2等; 数据库平安审计可支持对多种SQL(Structured Query Language)语言的审计;包括DQL-数据查询语言(SELECT) 、DML数据操纵语言(DELETE,UPDATE,INSERT) 、DDL数据定义
