对计算机系统的稽核及案例分析现场课件

《对计算机系统的稽核及案例分析现场课件》由会员分享，可在线阅读，更多相关《对计算机系统的稽核及案例分析现场课件（114页珍藏版）》请在金锄头文库上搜索。

1、 银银 行行 家家 的的 摇摇 篮篮 对计算机系统的稽核及案例分析对计算机系统的稽核及案例分析上海明上海明鸿中小中小银行培行培训中心中心2011.62011.61 银银 行行 家家 的的 摇摇 篮篮 引言：银行信息安全面临极大风险引言：银行信息安全面临极大风险 2006年年4月月20日上午日上午10时时56分，中国银联系分，中国银联系统通信网络和主机出现故障，造成辖内跨行交统通信网络和主机出现故障，造成辖内跨行交易全部中断。这是易全部中断。这是2002年中国银联成立以来，年中国银联成立以来，首次全国性因系统故障造成的跨行交易全面瘫首次全国性因系统故障造成的跨行交易全面瘫痪。此次故障波及中国银联

2、所属的痪。此次故障波及中国银联所属的18个分公司，个分公司，包括广州、深圳、北京、上海、南京、天津、包括广州、深圳、北京、上海、南京、天津、福建、厦门、云南、大连、青岛等全国大部分福建、厦门、云南、大连、青岛等全国大部分地区，具体表现在地区，具体表现在ATM机不能跨行取款，机不能跨行取款，POS机不能刷卡消费，网上跨行交易不成功。机不能刷卡消费，网上跨行交易不成功。 2 银银 行行 家家 的的 摇摇 篮篮 综合中国银联上海总部品牌营销部有综合中国银联上海总部品牌营销部有关负责人介绍和银联网站关负责人介绍和银联网站紧急通告紧急通告，中国银联系统通信网络和主机于上午中国银联系统通信网络和主机于上午

3、10时时56分出现故障，网上跨行转账业务、银联分出现故障，网上跨行转账业务、银联基金通业务和银联网关的网上支付业务三基金通业务和银联网关的网上支付业务三个类别交易暂时无法进行，跨行交易出现个类别交易暂时无法进行，跨行交易出现中断。事发后，中国银联全力以赴组织网中断。事发后，中国银联全力以赴组织网络和主机等相关设备厂商积极抢修。络和主机等相关设备厂商积极抢修。引言：银行信息安全面临极大风险引言：银行信息安全面临极大风险3 银银 行行 家家 的的 摇摇 篮篮 一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程和方法五、案例分析4 银银 行行 家家 的的 摇摇

4、篮篮 一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程和方法五、案例分析5 银银 行行 家家 的的 摇摇 篮篮 （一）计算机系统的内部控制（一）计算机系统的内部控制（1）应用系统应用系统业务流程业务流程技术基础架构技术基础架构一般流程控制一般流程控制6 银银 行行 家家 的的 摇摇 篮篮 （一）计算机系统的内部控制（一）计算机系统的内部控制（2）应用系统应用系统业务流程业务流程技术基础架构技术基础架构一般流程控制一般流程控制一般流程控制一般流程控制评估被稽核应用系统的一般流程评估被稽核应用系统的一般流程控制包含以下范围：控制包含以下范围： 一般用户帐号的

5、创建，变更及一般用户帐号的创建，变更及删除删除 一般用户权限的分配原则一般用户权限的分配原则 系统特权用户系统特权用户/ /管理员帐号的管理员帐号的监管监管 系统维护变更申请系统维护变更申请 系统变更流程包括需求提交，系统变更流程包括需求提交，分析，开发，测试，验收及上线分析，开发，测试，验收及上线7 银银 行行 家家 的的 摇摇 篮篮 （一）计算机系统的内部控制（一）计算机系统的内部控制（3）应用系统应用系统业务流程业务流程技术基础架构技术基础架构一般流程控制一般流程控制技术基础架构控制技术基础架构控制评估被稽核应用系统的技术基评估被稽核应用系统的技术基础架构包含以下范围：础架构包含以下范围

6、： 后台操作系统与数据库后台操作系统与数据库 物理环境与硬件物理环境与硬件 内内/ /外部网络系统外部网络系统 系统补丁开发，测试及安装系统补丁开发，测试及安装 源代码检测源代码检测 网络及系统入侵检测网络及系统入侵检测 系统灾备恢复目标及实现方系统灾备恢复目标及实现方案案8 银银 行行 家家 的的 摇摇 篮篮 （一）计算机系统的内部控制（一）计算机系统的内部控制（4）应用系统应用系统业务流程业务流程技术基础架构技术基础架构一般流程控制一般流程控制应用及业务流程控制应用及业务流程控制 评估被稽核应用系统与业务评估被稽核应用系统与业务流程的以下范围：流程的以下范围：- -数据处理的准确及可靠性数

7、据处理的准确及可靠性- -内置应用控制的有效性内置应用控制的有效性- -内置业务流程监控及报错内置业务流程监控及报错功能功能- -业务流程变更对应用系统业务流程变更对应用系统的影响的影响9 银银 行行 家家 的的 摇摇 篮篮 一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程与方法五、案例分析10 银银 行行 家家 的的 摇摇 篮篮 o 目标:n提供管理方向,支持信息安全1. 信息科技治理（信息科技治理（PO1 PO2） 二、计算机稽核的主要内容（二、计算机稽核的主要内容（1）11 银银 行行 家家 的的 摇摇 篮篮 o主要内容主要内容 n信息安全的定义信

8、息安全的定义 n管理目标的说明管理目标的说明 n职责划分职责划分n范围范围n对特定原理、标准和需求的解释对特定原理、标准和需求的解释n对可疑的安全事件报告的流程说明对可疑的安全事件报告的流程说明 n为保持策略而进行的审阅流程为保持策略而进行的审阅流程n评估政策有效性的方法，包含成本或技术的改变评估政策有效性的方法，包含成本或技术的改变n任命政策制定者任命政策制定者二、计算机稽核的主要内容（二、计算机稽核的主要内容（1）12 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（1）案例一：从以下银行的广告语分析其战略案例一：从以下银行的广告语分析其战略定位和对信息科技治理的内在要求：定位和对

9、信息科技治理的内在要求：o工行工行“您身边的银行您身边的银行”o招商银行招商银行“因您而变因您而变”o农行农行“大行德广，伴您成长大行德广，伴您成长”o光大光大“阳光在心，服务在行阳光在心，服务在行”13 银银 行行 家家 的的 摇摇 篮篮 o目标：目标：l管理组织内的信息安全管理组织内的信息安全l保证组织内部的信息处理安全及第三方保证组织内部的信息处理安全及第三方对组织信息资产的访问对组织信息资产的访问 l当组织内部的信息资产外包时，明确外当组织内部的信息资产外包时，明确外包方的责任包方的责任 2. 组织架构（组织架构（PO4） 二、计算机稽核的主要内容（二、计算机稽核的主要内容（2）14

10、银银 行行 家家 的的 摇摇 篮篮 o主要内容主要内容: :l设立管理委员会设立管理委员会l定义委员会角色定义委员会角色 l分配角色责任分配角色责任 l建立新购软硬件的采购流程建立新购软硬件的采购流程 l定义第三方对组织资产的访问定义第三方对组织资产的访问o采取步骤保护或检测第三方的非法访问采取步骤保护或检测第三方的非法访问o外包合同的安全责任外包合同的安全责任二、计算机稽核的主要内容（二、计算机稽核的主要内容（2）15 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（2）案例二：案例二： 计算机组织设置中，哪些岗位或机构需要互斥？计算机组织设置中，哪些岗位或机构需要互斥？ 序号序号岗

11、位岗位/机构机构1岗位岗位/机构机构2是否互斥是否互斥1值班操作人员系统管理员2安全管理员系统管理员3系统开发人员系统维护人员4网络管理员安全管理员5资料保管员安全管理员6科技部总经理个金部总经理7需求提出部门开发维护部门16 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（2）案例二：案例二： 计算机组织设置中，哪些岗位或机构需要互斥？计算机组织设置中，哪些岗位或机构需要互斥？ 序号序号岗位岗位/机构机构1岗位岗位/机构机构2是否互斥是否互斥1值班操作人员系统管理员是2安全管理员系统管理员是3系统开发人员系统维护人员否4网络管理员安全管理员是5资料保管员安全管理员否6科技部总经理个金

12、部总经理否7需求提出部门开发维护部门视具体情况17 银银 行行 家家 的的 摇摇 篮篮 o目标目标: :n保证公司资产得到合理保护，确保信息资保证公司资产得到合理保护，确保信息资产受到相应等级的保护。产受到相应等级的保护。 o 主要内容主要内容: :n建立资产的登记制度，包括硬件、软件和建立资产的登记制度，包括硬件、软件和信息产品信息产品定义信息体系结构（定义信息体系结构（PO2PO2）3. 资产分类和管理（资产分类和管理（PO2 PO3 DS9）二、计算机稽核的主要内容（二、计算机稽核的主要内容（3）18 银银 行行 家家 的的 摇摇 篮篮 将资产进行分类并标识将资产进行分类并标识o注意注意

13、: :将资产进行分类并标识是进行风险评将资产进行分类并标识是进行风险评估的首要步骤估的首要步骤o数据分类和分级管理数据分类和分级管理o自动化的数据存贮和字典自动化的数据存贮和字典o数据语法规则数据语法规则o数据所有权和关键性数据所有权和关键性/安全性程度分类安全性程度分类o表述业务的信息模型表述业务的信息模型o企业信息体系结构标准信息企业信息体系结构标准信息二、计算机稽核的主要内容（二、计算机稽核的主要内容（3）19 银银 行行 家家 的的 摇摇 篮篮 决定技术方向（决定技术方向（PO3）o当前基础设施的容量当前基础设施的容量o通过可靠的来源，监测技术发展通过可靠的来源，监测技术发展o编制基础

14、设施规划编制基础设施规划o编制技术标准编制技术标准o与供应商的关系与供应商的关系o独立的技术再评估独立的技术再评估o硬件和软件的性能硬件和软件的性能/价格比的变化价格比的变化二、计算机稽核的主要内容（二、计算机稽核的主要内容（4）20 银银 行行 家家 的的 摇摇 篮篮 管理配置（管理配置（DS9）o资产的追踪资产的追踪o配置变更管理配置变更管理o未授权软件的检查未授权软件的检查o软件存储控制软件存储控制o软件和硬件相互关系和集成软件和硬件相互关系和集成o自动化工具的使用自动化工具的使用二、计算机稽核的主要内容（二、计算机稽核的主要内容（5）21 银银 行行 家家 的的 摇摇 篮篮 案例分析（

15、案例分析（3）案例三：案例三：请看录像，并回答以下问题：请看录像，并回答以下问题： 问题问题1 1：你认为瑞士汇丰客户资料泄露可能发：你认为瑞士汇丰客户资料泄露可能发生在哪个环节？生在哪个环节？ 问题问题2 2：为避免信息资产泄露，你认为上述环：为避免信息资产泄露，你认为上述环节中需要实施哪些控制措施？节中需要实施哪些控制措施？ 问题问题3 3：假设你对某分行信息资产进行稽核，：假设你对某分行信息资产进行稽核，你准备如何检查？访谈哪些人员你准备如何检查？访谈哪些人员? ?获取哪些资料？获取哪些资料？22 银银 行行 家家 的的 摇摇 篮篮 需要实施的控制措施案例三：案例三：序号序号控制措施控制

16、措施适用环节适用环节1数据加密数据加密制卡、系统文件存放制卡、系统文件存放2网络传输加密网络传输加密制卡、交易、管理信息系统访问制卡、交易、管理信息系统访问3访问控制：只有被授权的用户才能访问访问控制：只有被授权的用户才能访问系统操作与数据访问系统操作与数据访问4访问控制：访问敏感信息的日志记录访问控制：访问敏感信息的日志记录系统操作与数据访问系统操作与数据访问5访问控制：双人会同访问访问控制：双人会同访问系统操作与数据访问系统操作与数据访问6系统权限控制：禁止系统权限控制：禁止COPY和存盘和存盘系统操作与数据访问系统操作与数据访问7外包协议外包协议数据录入数据录入8稽核与突击检查稽核与突击

17、检查所有环节所有环节案例分析（案例分析（3）23 银银 行行 家家 的的 摇摇 篮篮 步骤步骤检查内容检查内容访谈人员访谈人员获取资料获取资料/检查方式检查方式1信息资产的等级分类信息资产的等级分类及资产的标注及资产的标注信息资产分级保护政策的制定者与执信息资产分级保护政策的制定者与执行者行者 获取信息资产清单，查看清单中是否包括资产名称、获取信息资产清单，查看清单中是否包括资产名称、保管者、所有者、资产类型和价值等；查看是否有保管者、所有者、资产类型和价值等；查看是否有信息资产分类标准，并依据信息资产重要性进行等信息资产分类标准，并依据信息资产重要性进行等级划分；查看是否有资产标注规定，并按

18、规定对资级划分；查看是否有资产标注规定，并按规定对资产进行标注。产进行标注。2固定资产的采购固定资产的采购,档档案及报废流程案及报废流程了解硬件设备采购流程如何，新设施投了解硬件设备采购流程如何，新设施投入使用有什么要求和规范入使用有什么要求和规范查看有无设备台帐；抽样检查重要的计算机设备是否查看有无设备台帐；抽样检查重要的计算机设备是否做到做到“一机一档一机一档”；查看设备送修或报废是有无数据；查看设备送修或报废是有无数据清理规定。清理规定。3科技文档的分级管理科技文档的分级管理,保存保存,借阅借阅,归档及版归档及版权的保护权的保护访谈文档管理员，了解科技文档的分访谈文档管理员，了解科技文档

19、的分级与标识；文档的保存、借阅、归档，级与标识；文档的保存、借阅、归档，系统维护及服务合同是否专人统一保系统维护及服务合同是否专人统一保管，合同是否经过法律合规部门审核；管，合同是否经过法律合规部门审核；文档的分发；文档版本号和相关控制文档的分发；文档版本号和相关控制信息；文档的定期与检查；软件的版信息；文档的定期与检查；软件的版权及权及License。查看文档保存、借阅、归档、分发记录，查看文档查看文档保存、借阅、归档、分发记录，查看文档版本号和控制信息。版本号和控制信息。4计算机介质的保管计算机介质的保管,出入库及控制出入库及控制访谈管理员，了解：对介质能否实现访谈管理员，了解：对介质能否

20、实现安全保管、控制和管理；了解介质的安全保管、控制和管理；了解介质的入库、出库和借用是否有相关规定，入库、出库和借用是否有相关规定，具体实施如何具体实施如何介质保管、出入库记录介质保管、出入库记录5第三方服务厂商的资第三方服务厂商的资质准入质准入,尽职调查与尽职调查与质量评估质量评估访谈合同保管员，了解合同管理情况、访谈合同保管员，了解合同管理情况、准入与尽职调查情况准入与尽职调查情况获取合同清单与尽职调查报告获取合同清单与尽职调查报告案例分析（案例分析（3）24 银银 行行 家家 的的 摇摇 篮篮 4. 人员安全（人员安全（PO7） 二、计算机稽核的主要内容（二、计算机稽核的主要内容（6）目

21、标目标:减少因人员差错、偷盗、舞弊和设施误用带来的损失减少因人员差错、偷盗、舞弊和设施误用带来的损失 确保用户意识到信息安全威胁，并在日常工作中得确保用户意识到信息安全威胁，并在日常工作中得到相应指导来支持公司的安全策略到相应指导来支持公司的安全策略 最大程度减少信息安全事件和误操作带来的损失，最大程度减少信息安全事件和误操作带来的损失，并吸取教训并吸取教训 主要内容主要内容: 由于不经意或人员操作的意外事故带来由于不经意或人员操作的意外事故带来的数据和系统风险的数据和系统风险25 银银 行行 家家 的的 摇摇 篮篮 在正式岗位说明中明确信息安全职责在正式岗位说明中明确信息安全职责 o招募和升

22、职招募和升职o培训和任职要求培训和任职要求o意识的建立意识的建立o交叉培训和轮岗交叉培训和轮岗o雇用、检查和解雇程序雇用、检查和解雇程序o目标和可测量绩效的评估目标和可测量绩效的评估o技术和市场变化的响应技术和市场变化的响应o内部和外部资源的适当平衡内部和外部资源的适当平衡o关键职位的继任计划关键职位的继任计划二、计算机稽核的主要内容（二、计算机稽核的主要内容（6）26 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（4）案例四：案例四：犯罪分子如何不通过技术手段进入银行的犯罪分子如何不通过技术手段进入银行的内部网络实施非法操作？内部网络实施非法操作？27 银银 行行 家家 的的 摇摇

23、 篮篮 案例分析（案例分析（4）地点一：办公室地点一：办公室A，电话响，电话响职员：你好，我是小王，这里是职员：你好，我是小王，这里是XX银行银行信用卡部信用卡部攻击者：攻击者：你好，我是负责银行网络支持的中国电信的李你好，我是负责银行网络支持的中国电信的李xx,最近全国暴发最近全国暴发了大规模的木马病毒，了大规模的木马病毒，我们正在进行我们正在进行紧急排查紧急排查，请问你们办公室的网络，请问你们办公室的网络有有没有没有出现问题出现问题？职员：嗯，据我所知没有。这里的网络状况良好。职员：嗯，据我所知没有。这里的网络状况良好。攻击者：你能告诉我你的电脑所连接的端口的号码吗？攻击者：你能告诉我你的

24、电脑所连接的端口的号码吗？职员：端口？职员：端口？攻击者：就是在你电脑后面，在插网线的地方有注明端口号码。攻击者：就是在你电脑后面，在插网线的地方有注明端口号码。职员：看到了，号码是职员：看到了，号码是A123.攻击者：请稍等，端口攻击者：请稍等，端口A123.好的，谢谢。记得有情况及通过电话时好的，谢谢。记得有情况及通过电话时通知我们，通知我们，我的电话是，我的电话是，再见。再见。28 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（4）地点二：此公司的网络管理室，电话响地点二：此公司的网络管理室，电话响网管：网管：你好，科技部网络管理员吗？你好，科技部网络管理员吗？攻击者：你好，我

25、是信用卡部的小王，我们正在接受攻击者：你好，我是信用卡部的小王，我们正在接受银监局的检查，要求我们不能连接到互联网，你可以暂银监局的检查，要求我们不能连接到互联网，你可以暂时停止端口时停止端口A123的互联网访问的互联网访问半个小时半个小时吗？吗？网网管管：好的，请稍等，好了，已经暂时停止了。：好的，请稍等，好了，已经暂时停止了。攻击者：谢谢。攻击者：谢谢。29 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（4）攻击者再次打电话给小王攻击者再次打电话给小王攻击者：你好，这里是中国电信的小李，你的网络是不是出攻击者：你好，这里是中国电信的小李，你的网络是不是出现问题了？现问题了？职员职

26、员:对的，刚才无法访问互联网了。对的，刚才无法访问互联网了。攻击者：嗯，我可以帮你解决，我们设计了一个软件，我把攻击者：嗯，我可以帮你解决，我们设计了一个软件，我把地址给你，请你去下载并安装这个软件，网址是。地址给你，请你去下载并安装这个软件，网址是。职员：我执行了这个软件，软件反映报错。职员：我执行了这个软件，软件反映报错。攻击者：嗯这说明软件没有被安装成功，这样吧，你不要攻击者：嗯这说明软件没有被安装成功，这样吧，你不要再尝试安装了，等我们重新查看服务器后你再试试吧。再尝试安装了，等我们重新查看服务器后你再试试吧。就这样，一个木马程序被安装到了这台电脑上面。就这样，一个木马程序被安装到了这

27、台电脑上面。这个案例带给我们的教训是什么？这个案例带给我们的教训是什么？30 银银 行行 家家 的的 摇摇 篮篮 目标目标: :l防止未经授权的访问、损坏或干涉业务防止未经授权的访问、损坏或干涉业务系统系统l防止业务系统遭受损失或中断防止业务系统遭受损失或中断l防止信息和信息系统设施的偷盗防止信息和信息系统设施的偷盗5. 物理安全（物理安全（DS12） 二、计算机稽核的主要内容（二、计算机稽核的主要内容（7）31 银银 行行 家家 的的 摇摇 篮篮 主要内容主要内容: : l在安全区域建立物理准入控制在安全区域建立物理准入控制 l从物理上保护硬件设施不受偷盗从物理上保护硬件设施不受偷盗l保护网

28、络和通信线路不被窃听保护网络和通信线路不被窃听l保护设备不被任意移动或丢弃保护设备不被任意移动或丢弃l低调的外观、来访者陪同、抵御外部环境低调的外观、来访者陪同、抵御外部环境破坏等破坏等二、计算机稽核的主要内容（二、计算机稽核的主要内容（7）32 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（5）问题问题:请大家找一下请大家找一下录像中针对数据中心实施了哪些控制措施录像中针对数据中心实施了哪些控制措施? 请看录像，并回答以下问题：请看录像，并回答以下问题： 问题问题1 1：NTTNTT香港数据中心有哪些针对物理安全的控香港数据中心有哪些针对物理安全的控制措施？制措施？ 问题问题2 2

29、：除了录像中的措施外，还有哪些方面是金融：除了录像中的措施外，还有哪些方面是金融行业数据中心应关注和防范的？行业数据中心应关注和防范的？ 问题问题3 3：假设你对某分行数据中心进行稽核，你准备：假设你对某分行数据中心进行稽核，你准备如何检查？如何检查？33 银银 行行 家家 的的 摇摇 篮篮 目标目标: :确保信息处理系统的操作安全准确确保信息处理系统的操作安全准确最大程度减少系统宕机风险最大程度减少系统宕机风险; ;保护软件和信息的完整性保护软件和信息的完整性保证信息处理系统和通信的完整性及可用性保证信息处理系统和通信的完整性及可用性确保网络信息安全和对网络基础架构的安全确保网络信息安全和对

30、网络基础架构的安全防止资产的损失和业务活动的中断防止资产的损失和业务活动的中断防止组织之间信息交换中出现的信息损失、改防止组织之间信息交换中出现的信息损失、改动或误用动或误用6. 通信及操作管理（通信及操作管理（DS3，DS5） 二、计算机稽核的主要内容（二、计算机稽核的主要内容（8）34 银银 行行 家家 的的 摇摇 篮篮 主要内容主要内容:病毒病毒错误的软件错误的软件变更控制变更控制备份备份保持正确的访问记录保持正确的访问记录系统文档的安全系统文档的安全磁介质的销毁磁介质的销毁在传输与转换中保护数据及数据的认证在传输与转换中保护数据及数据的认证电子邮件的安全电子邮件的安全二、计算机稽核的主

31、要内容（二、计算机稽核的主要内容（8）35 银银 行行 家家 的的 摇摇 篮篮 管理性能和容量（管理性能和容量（DS3）可用性和性能需求可用性和性能需求自动的监控和报告自动的监控和报告模型工具模型工具容量管理容量管理资源的可用性资源的可用性硬件和软件的性能硬件和软件的性能/价格比变化价格比变化二、计算机稽核的主要内容（二、计算机稽核的主要内容（9）36 银银 行行 家家 的的 摇摇 篮篮 系统安全（系统安全（DS5）l保密和隐私要求保密和隐私要求l授权、鉴别和访问控制授权、鉴别和访问控制l用户识别和授权特征描述文件用户识别和授权特征描述文件l需要才能有和需要才能知道原则需要才能有和需要才能知道

32、原则l密钥管理密钥管理二、计算机稽核的主要内容（二、计算机稽核的主要内容（10）37 银银 行行 家家 的的 摇摇 篮篮 l突发事件的处理、报告和跟踪突发事件的处理、报告和跟踪l病毒预防与检测病毒预防与检测l防火墙防火墙l集中的安全管理集中的安全管理l用户培训用户培训l用于监控遵从性、入侵测试和报告的工具用于监控遵从性、入侵测试和报告的工具二、计算机稽核的主要内容（二、计算机稽核的主要内容（10）38 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（6）案例六：案例六：1999年年3月月26日，一种利用日，一种利用WORD宏功能宏功能入侵计算机的梅莉莎病毒爆发在短短入侵计算机的梅莉莎病

33、毒爆发在短短3天时间内，有天时间内，有数十万台计算机受到了感染。该病毒表明电子邮件数十万台计算机受到了感染。该病毒表明电子邮件可以被用来迅速地在互联网上传播病毒，并导致成可以被用来迅速地在互联网上传播病毒，并导致成千上万家公司的电脑系千上万家公司的电脑系统中电子邮件泛滥成灾，从统中电子邮件泛滥成灾，从而令其电子邮件和电脑网络大而令其电子邮件和电脑网络大受干扰，甚至全部不受干扰，甚至全部不能使用。能使用。问题：问题：1、该病毒使用的是什么攻击模式？、该病毒使用的是什么攻击模式？ 2、请说明病毒、木马、蠕虫的区别？、请说明病毒、木马、蠕虫的区别？ 3、为避免银行计算机系统收到恶意代码的、为避免银行

34、计算机系统收到恶意代码的攻击，你应该提出什么稽核建议？攻击，你应该提出什么稽核建议？39 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（6）攻击的几种方式：攻击的几种方式：o（1）Salami,o（2）DataDiddling,意味著在资料输入系统之前、当时或之后，更改或增删资料。意味著在资料输入系统之前、当时或之后，更改或增删资料。o（3）ExcessivePrivileges,由于管理不到位等原因，造成一些员工具有超出其工作由于管理不到位等原因，造成一些员工具有超出其工作所需的权限，从而造成权限的滥用；所需的权限，从而造成权限的滥用；o（4）PasswordSniffing,通过

35、截获网络数据流的方式窃取计算机口令以达到非法进通过截获网络数据流的方式窃取计算机口令以达到非法进入计算机系统的目的；入计算机系统的目的；o（5）IPSpoofing,使用他人的使用他人的IP地址以达到欺骗的目的，使其破坏行为难以被发现。地址以达到欺骗的目的，使其破坏行为难以被发现。o（6）DenialofService,也称服务拒绝攻击。也称服务拒绝攻击。o（7）DumpsterDiving,通过在被丢弃的废物中搜寻的方式获得有价值信息的行为，通过在被丢弃的废物中搜寻的方式获得有价值信息的行为，虽然不道德，但通常并不违反法律；虽然不道德，但通常并不违反法律；o（8）EmanationsCapt

36、uring,通过捕捉计算机系统泄漏的电磁信号达到获取有价值通过捕捉计算机系统泄漏的电磁信号达到获取有价值信息的目的；机房进行电磁屏蔽信息的目的；机房进行电磁屏蔽o（9）Wiretapping(Eavesdropping),通过窃听通讯信号的方式非法获得信息和数据；通过窃听通讯信号的方式非法获得信息和数据；搭线窃听，搭线窃听，ATM线路线路o（10）SocialEngineering,通过欺骗等诡计诱使他人泄漏或更改信息以达到侵入系通过欺骗等诡计诱使他人泄漏或更改信息以达到侵入系统的目的；银行卡诈骗，骗子打电话或发短信说某客统的目的；银行卡诈骗，骗子打电话或发短信说某客40 银银 行行 家家 的

37、的 摇摇 篮篮 案例分析（案例分析（6）o病毒必须满足两个条件病毒必须满足两个条件:1、它必须能自行执行。它通常将自己的代码置于另一个程序的执行、它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。路径中。2、它必须能自我复制。例如，它可能用受病毒感染的文件副本替换、它必须能自我复制。例如，它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。o蠕虫病毒的前缀是：蠕虫病毒的前缀是：Worm。这种病毒的共有特性是通过网络或者系。这种病毒的共有特性是通过网络或者系统漏洞进行传播，普通病

38、毒需要传播受感染的驻留文件来进行复制，统漏洞进行传播，普通病毒需要传播受感染的驻留文件来进行复制，而蠕虫不使用驻留文件即可在系统之间进行自我复制而蠕虫不使用驻留文件即可在系统之间进行自我复制。o木马病毒其前缀是：木马病毒其前缀是：Trojan，黑客病毒前缀名一般为，黑客病毒前缀名一般为Hack。木马病。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的

39、，即木马病的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。从上面这些内容中我们可以知道，从上面这些内容中我们可以知道，41 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（6）木马病毒42 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（6）稽核建议：稽核建议：因而要预防病毒木马，我们首先要提高警惕，不要轻因而要预防病毒木马，我们首先要提高警惕，不要轻易打开来历不明的可疑的文件、网站、邮件等，并且要易打开来历不明的可疑的文件、网站、邮件等，并且

40、要及时为系统打上补丁，最后安装上防火墙还有一个可靠及时为系统打上补丁，最后安装上防火墙还有一个可靠的杀毒软件并及时升级病毒库。如果做好了以上几点，的杀毒软件并及时升级病毒库。如果做好了以上几点，基本上可以杜绝绝大多数的病毒木马。最后，值得注意基本上可以杜绝绝大多数的病毒木马。最后，值得注意的是，不能过多依赖杀毒软件，因为病毒总是出现在杀的是，不能过多依赖杀毒软件，因为病毒总是出现在杀毒软件升级之前的，靠杀毒软件来防范病毒，本身就处毒软件升级之前的，靠杀毒软件来防范病毒，本身就处于被动的地位，我们要想有一个安全的网络安全环境，于被动的地位，我们要想有一个安全的网络安全环境，根本上还是要首先提高自

41、己的网络安全意识，对病毒做根本上还是要首先提高自己的网络安全意识，对病毒做到预防为主，查杀为辅。到预防为主，查杀为辅。43 银银 行行 家家 的的 摇摇 篮篮 目标目标: :l控制对信息的访问控制对信息的访问; ; l防止未经授权访问系统防止未经授权访问系统; ; l确保网络服务的安全确保网络服务的安全; ; l防止未经授权对计算机的访问防止未经授权对计算机的访问; ; l检测非法访问事件检测非法访问事件; ; l使用移动计算和远程网络时确保信息安全使用移动计算和远程网络时确保信息安全. . 7. 访问控制访问控制二、计算机稽核的主要内容（二、计算机稽核的主要内容（11）44 银银 行行 家家

42、 的的 摇摇 篮篮 主要内容主要内容: : n如何将访问控制运用在不同的系统中如何将访问控制运用在不同的系统中o发布并使用密码发布并使用密码o设置警报设置警报 o终端登录失败自动退出终端登录失败自动退出o对终端的物理访问对终端的物理访问o软件监控软件监控 二、计算机稽核的主要内容（二、计算机稽核的主要内容（11）45 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（7）案例七：案例七：2009年年7月月22日，丽江市公安局经侦支队接到受害者李某的报日，丽江市公安局经侦支队接到受害者李某的报案，其报称，李某当日持建设银行的存折到建设银行丽江分行案，其报称，李某当日持建设银行的存折到建设银

43、行丽江分行的网点取款时发现，自己的银行存款于的网点取款时发现，自己的银行存款于2009年年7月月2日通过日通过ATM机被人取走了机被人取走了9000元钱。接到报案后，经侦支队侦查人员与银元钱。接到报案后，经侦支队侦查人员与银行相关部门联系，对李某的银行存款被盗情况进行了调查了解。行相关部门联系，对李某的银行存款被盗情况进行了调查了解。经过调查发现，经过调查发现，2007年年7月月2日日20时时43分至分至45分之间，李某的分之间，李某的9000元存款是通过招商银行广东省东莞分行的元存款是通过招商银行广东省东莞分行的ATM机上分三次机上分三次取走的。从作案手段上分析，这起案件极有可能是犯罪嫌疑人

44、取走的。从作案手段上分析，这起案件极有可能是犯罪嫌疑人盗取李某的建设银行卡信息及密码后利用克隆的银行卡进行信盗取李某的建设银行卡信息及密码后利用克隆的银行卡进行信用卡诈骗的案件。目前，该案正在调查当中。用卡诈骗的案件。目前，该案正在调查当中。问题问题:你认为密码泄露存在哪些可能你认为密码泄露存在哪些可能?应如何预防应如何预防?46 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（7）o一、不法分子通过电子邮件冒充知名公司，特别是冒充银行，以系统升级一、不法分子通过电子邮件冒充知名公司，特别是冒充银行，以系统升级等名义诱骗不知情的用户点击进入假网站，并要求他们同时输入自己的账等名义诱骗不

45、知情的用户点击进入假网站，并要求他们同时输入自己的账号、网上银行登录密码、支付密码等敏感信息。如果客户粗心上当，不法号、网上银行登录密码、支付密码等敏感信息。如果客户粗心上当，不法分子就可能利用骗取的账号和密码窃取客户资金。分子就可能利用骗取的账号和密码窃取客户资金。o二、不法分子利用网络聊天，以网友的身份低价兜售网络游戏装备、数字二、不法分子利用网络聊天，以网友的身份低价兜售网络游戏装备、数字卡等商品，诱骗用户登录犯罪嫌疑人提供的假网站地址，输入银行账号、卡等商品，诱骗用户登录犯罪嫌疑人提供的假网站地址，输入银行账号、登录密码和支付密码。如果客户粗心上当，不法分子就利用骗取的账号和登录密码和

46、支付密码。如果客户粗心上当，不法分子就利用骗取的账号和密码，非法占有客户资金。密码，非法占有客户资金。o三、不法分子利用一些人喜欢下载、打开一些来路不明的程序、游戏、邮三、不法分子利用一些人喜欢下载、打开一些来路不明的程序、游戏、邮件等不良上网习惯，有可能通过这些程序、邮件等将木马病毒置入客户的件等不良上网习惯，有可能通过这些程序、邮件等将木马病毒置入客户的计算机内，一旦客户利用这种计算机内，一旦客户利用这种“中毒中毒”的计算机登录网上银行，客户的账的计算机登录网上银行，客户的账号和密码就有可能被不法分子窃取。当人们在网吧等公共电脑上上网时，号和密码就有可能被不法分子窃取。当人们在网吧等公共电

47、脑上上网时，网吧电脑内有可能预先埋伏木马程序，账号、密码等敏感信息在这种环境网吧电脑内有可能预先埋伏木马程序，账号、密码等敏感信息在这种环境下也有可能被窃。下也有可能被窃。o四、不法分子利用人们怕麻烦而将密码设置得过于简单的心理，通过试探四、不法分子利用人们怕麻烦而将密码设置得过于简单的心理，通过试探等方式可能猜测出人们的密码。等方式可能猜测出人们的密码。47 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（7）案例七案例七对策对策:o1、增加密码长度增加密码长度:首先要重设自己的网银密码。目前，工行首先要重设自己的网银密码。目前，工行网银系统已经强制要求客户密码必须是网银系统已经强制

48、要求客户密码必须是6位位以上的数字加字以上的数字加字母形式，客户的网银密码最好不要与电子邮箱密码或其它网母形式，客户的网银密码最好不要与电子邮箱密码或其它网站的注册密码相同，用户设置的支付密码也不要与登录密码站的注册密码相同，用户设置的支付密码也不要与登录密码相同。其次，不要向任何未经安全确认的网站和个人泄漏银相同。其次，不要向任何未经安全确认的网站和个人泄漏银行卡号、密码、身份证号码。第三，不要轻易下载或点击一行卡号、密码、身份证号码。第三，不要轻易下载或点击一些来历不明的软件或邮件，最好不要在公共场所些来历不明的软件或邮件，最好不要在公共场所(如网吧、公如网吧、公共图书馆等共图书馆等)使用

49、网上银行。此外，客户最好是能安装正版杀使用网上银行。此外，客户最好是能安装正版杀毒软件和防火墙，并及时进行更新，阻击网络病毒入侵。毒软件和防火墙，并及时进行更新，阻击网络病毒入侵。o2、使用硬件加密使用硬件加密:客户申请使用工行网上银行的，最好能同客户申请使用工行网上银行的，最好能同时申请使用时申请使用U盘硬件加密。盘硬件加密。U盘是一种基于智能芯片加密技盘是一种基于智能芯片加密技术的数字证书。是目前安全级别更高的一种网银安全措施。术的数字证书。是目前安全级别更高的一种网银安全措施。48 银银 行行 家家 的的 摇摇 篮篮 目标目标: :n确保操作系统安全确保操作系统安全; ; 防止应用系统中

50、数据的遗防止应用系统中数据的遗失、更改或误用；保护信息的秘密性、完整性失、更改或误用；保护信息的秘密性、完整性和认证和认证; ; 保证保证ITIT项目和支持活动安全有序项目和支持活动安全有序; ; 确确保系统开发软件和数据的安全保系统开发软件和数据的安全. . 主要内容主要内容: : 管理项目（管理项目（PO10PO10）l项目的业务管理层发起人地位项目的业务管理层发起人地位l程序管理程序管理8. 系统开发与维护（系统开发与维护（PO10 PO11 ）二、计算机稽核的主要内容（二、计算机稽核的主要内容（12）49 银银 行行 家家 的的 摇摇 篮篮 l项目管理能力项目管理能力l用户参与用户参与

51、l任务细分、里程碑确定和阶段审核任务细分、里程碑确定和阶段审核l责认的分配责认的分配l里程碑和可交付的严格追踪里程碑和可交付的严格追踪l费用和人力预算，平衡内部和外部资源费用和人力预算，平衡内部和外部资源l质量保证计划和方法质量保证计划和方法l程序和项目风险评估程序和项目风险评估l从开发到运行的过渡从开发到运行的过渡二、计算机稽核的主要内容（二、计算机稽核的主要内容（12）50 银银 行行 家家 的的 摇摇 篮篮 管理质量（管理质量（PO11PO11）l质量文化的建立质量文化的建立l质量计划质量计划l质量保证责任质量保证责任l质量控制实务质量控制实务二、计算机稽核的主要内容（二、计算机稽核的主

52、要内容（13）51 银银 行行 家家 的的 摇摇 篮篮 l系统开发生命周期方法系统开发生命周期方法l程序和系统的测试及文档程序和系统的测试及文档l质量保证检查和报告质量保证检查和报告l最终用户和质量保证人员的培训及参与最终用户和质量保证人员的培训及参与l质量保证知识库的开发质量保证知识库的开发l按行业规范制定标准按行业规范制定标准二、计算机稽核的主要内容（二、计算机稽核的主要内容（13）52 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（8）案例八：案例八：2005年年9月初，乐购金山店的工作人员在账面盘点时，发现货物月初，乐购金山店的工作人员在账面盘点时，发现货物缺损严重，可监控录

53、像里又看不到任何蛛丝马迹，于是立即向缺损严重，可监控录像里又看不到任何蛛丝马迹，于是立即向警方报案。随后，其他店也发现了类似情况。警方经过调查发警方报案。随后，其他店也发现了类似情况。警方经过调查发现，乐购超市几家门店货物缺损率大大超过了业内千分之五的现，乐购超市几家门店货物缺损率大大超过了业内千分之五的物损比例。警方分析，问题很可能出在收银环节。通过顺藤摸物损比例。警方分析，问题很可能出在收银环节。通过顺藤摸瓜，警方最终挖出一个包括超市资讯员、收银员在内的瓜，警方最终挖出一个包括超市资讯员、收银员在内的40余人余人的犯罪团伙。的犯罪团伙。该人员设计非法软件程序，培训该人员设计非法软件程序，培

54、训“特别特别”收银员，每天将超收银员，每天将超市销售记录的市销售记录的20%自动删除，并将其装入自己的腰包。这伙成自动删除，并将其装入自己的腰包。这伙成员达员达43人的超市内部高智商犯罪团伙，通过分工合作，在短短人的超市内部高智商犯罪团伙，通过分工合作，在短短一年多的时间内侵占了超市营业款一年多的时间内侵占了超市营业款397万余元。万余元。53 银银 行行 家家 的的 摇摇 篮篮 据了解，主犯方元今年据了解，主犯方元今年25岁，学的是计算机专业，岁，学的是计算机专业，曾是乐购超市真北店资讯组组长。方元在工作中曾是乐购超市真北店资讯组组长。方元在工作中发现了超市收银系统存在漏洞，于是便设计了攻发

55、现了超市收银系统存在漏洞，于是便设计了攻击性的补丁程序，可将超市销售记录的击性的补丁程序，可将超市销售记录的20%自动自动删除。删除。2004年年6月至月至2005年年8月期间，方元等人修月期间，方元等人修改非法程序，于琪等人利用收银员的工作便利，改非法程序，于琪等人利用收银员的工作便利，截留侵吞乐购超市截留侵吞乐购超市3家门店营业款共计家门店营业款共计397万余元。万余元。上述赃款由收银员上交后，再按比例分成，涉案上述赃款由收银员上交后，再按比例分成，涉案人员各得赃款数千元至数十万元不等人员各得赃款数千元至数十万元不等。案例分析（案例分析（8）问题问题:如何确保计算机系统在开发和维护中的安全

56、？如何确保计算机系统在开发和维护中的安全？54 银银 行行 家家 的的 摇摇 篮篮 o目标目标: :n应对业务活动的中断，保证重要业务流程应对业务活动的中断，保证重要业务流程从灾难性事件中恢复，减少灾难带来的负从灾难性事件中恢复，减少灾难带来的负面效果。面效果。 主要内容主要内容(DS4): (DS4): l危险程度分类危险程度分类l可选择程序可选择程序9. 业务持续性计划（业务持续性计划（DS4） 二、计算机稽核的主要内容（二、计算机稽核的主要内容（14）55 银银 行行 家家 的的 摇摇 篮篮 l备份和恢复备份和恢复l系统和有规律的测试及培训系统和有规律的测试及培训l监控和逐步升级过程监控

57、和逐步升级过程l内部和外部机构的责任内部和外部机构的责任l业务持续性的激活、回退和恢复计划业务持续性的激活、回退和恢复计划l风险管理活动风险管理活动l单点失败的评估单点失败的评估l问题管理问题管理二、计算机稽核的主要内容（二、计算机稽核的主要内容（14）56 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（9）案例九：案例九：2009年年12月某日月某日14时时25分，沪指位于分，沪指位于3018.55点，大盘正点，大盘正处于震荡下跌之时，许多股民急于将手里的股票抛售，也有处于震荡下跌之时，许多股民急于将手里的股票抛售，也有股民想逢低吸纳，可正在这个当口，使用申银万国账户的股股民想逢低

58、吸纳，可正在这个当口，使用申银万国账户的股民却发现交易系统突发异常无法操作。民却发现交易系统突发异常无法操作。股民沈先生说，股民沈先生说，“我下午我下午2点半以后，登录交易软件，但点半以后，登录交易软件，但登不上去，刚开始以为自己的电脑出了问题，然后开始登录登不上去，刚开始以为自己的电脑出了问题，然后开始登录申银万国网站上提供的交易窗口，也登不上，电话交易也不申银万国网站上提供的交易窗口，也登不上，电话交易也不能使用。三个交易方式没一个行得通。客服电话也一直打不能使用。三个交易方式没一个行得通。客服电话也一直打不通。通。”大多股民都如沈先生一般大多股民都如沈先生一般“急得跳脚急得跳脚”，想卖的

59、卖不，想卖的卖不出，想买的买不进。沈先生说，因为这个原因他损失了好几出，想买的买不进。沈先生说，因为这个原因他损失了好几万。万。直至直至14时时52分即收盘前分即收盘前8分钟，申银万国的交易系统才分钟，申银万国的交易系统才恢复。恢复。 问题问题:你认为应采取哪些措施减少类似问题的影响你认为应采取哪些措施减少类似问题的影响?57 银银 行行 家家 的的 摇摇 篮篮 案例分析（案例分析（9）业务持续性计划与灾备：业务持续性计划与灾备：没有进行定期的备份恢复性测试；没有进行定期的备份恢复性测试；没有建立异地备份机制；没有建立异地备份机制；没有建立灾备计划及定期测试；没有建立灾备计划及定期测试；没有合

60、理的授权处理操作。没有合理的授权处理操作。58 银银 行行 家家 的的 摇摇 篮篮 目标目标: :n避免违反法律法规和规章制度避免违反法律法规和规章制度; ; n保证与组织内的安全政策和标准保证与组织内的安全政策和标准相符合相符合; ; n最大程度减小对审计过程的影响最大程度减小对审计过程的影响. . 10. 符合性（符合性（PO8） 二、计算机稽核的主要内容（二、计算机稽核的主要内容（15）59 银银 行行 家家 的的 摇摇 篮篮 主要内容主要内容(PO8):(PO8): n组织需求符合法律与合同条款组织需求符合法律与合同条款o法律、规章和合同法律、规章和合同o追踪法律和法规的发展追踪法律和

61、法规的发展o对遵从性有规律的监测对遵从性有规律的监测o安全和人类环境改造学安全和人类环境改造学o隐私隐私o知识产权知识产权二、计算机稽核的主要内容（二、计算机稽核的主要内容（15）60 银银 行行 家家 的的 摇摇 篮篮 案例十：案例十： 2009年中国人民银行下发了银办发年中国人民银行下发了银办发2009115号文号文中国人民银行办公厅关于开展中国人民银行办公厅关于开展2009年全国商业银行网上银行信息安全现场检查年全国商业银行网上银行信息安全现场检查的通知的通知。检查的目的是帮助商业银行及时发现。检查的目的是帮助商业银行及时发现网上银行信息安全的漏洞和风险隐患并有效开展网上银行信息安全的漏

62、洞和风险隐患并有效开展整改工作，降低网银安全事件发生概率。整改工作，降低网银安全事件发生概率。案例分析（案例分析（10）61 银银 行行 家家 的的 摇摇 篮篮 检查内容是对网银的安全技术（客户端、认证检查内容是对网银的安全技术（客户端、认证介质、传输网络、后台）、安全管理、与技术介质、传输网络、后台）、安全管理、与技术相关的业务安全等情况开展现场检查，查找网相关的业务安全等情况开展现场检查，查找网银信息系统和应用存在的安全隐患，督促商业银信息系统和应用存在的安全隐患，督促商业银行完善各项方法措施，提高服务水平和质量银行完善各项方法措施，提高服务水平和质量及抗风险能力和意识，为网银用户提供安全

63、和及抗风险能力和意识，为网银用户提供安全和可靠的服务环境。可靠的服务环境。 问题问题:现在领导要求你带领一个稽核组先开展网上银行现在领导要求你带领一个稽核组先开展网上银行的内部稽核工作，形成稽核报告，并在此基础上迎接人民银的内部稽核工作，形成稽核报告，并在此基础上迎接人民银行的检查。请问你如何制定稽核方案？如何开展工作？行的检查。请问你如何制定稽核方案？如何开展工作？62 银银 行行 家家 的的 摇摇 篮篮 目标目标: :n确保有效途径满足用户的需求确保有效途径满足用户的需求;n能够有效支持业务过程能够有效支持业务过程;n提供支持业务应用的适当平台提供支持业务应用的适当平台，满足业务，满足业务

64、需求；需求；n检验和确认解决方案满足预期的目标检验和确认解决方案满足预期的目标；n使中断、未经授权的变更和差错的可能性使中断、未经授权的变更和差错的可能性最小化。最小化。11. 外包（外包（AI1，AI2，AI3，AI4，AI5，AI6） 二、计算机稽核的主要内容（二、计算机稽核的主要内容（16）63 银银 行行 家家 的的 摇摇 篮篮 主要内容主要内容: : n确定自动化的解决方案确定自动化的解决方案 （AI1AI1）o市场上可用的解决方案的认知市场上可用的解决方案的认知o获取和实施方法获取和实施方法o用户参与和大宗买进用户参与和大宗买进o与企业和与企业和ITIT战略的结合战略的结合o信息需

65、求的定义信息需求的定义o可行性研究（费用、收益、可选方案，等等）可行性研究（费用、收益、可选方案，等等）o功能性、可操作性、可接受性以及可支撑性需求功能性、可操作性、可接受性以及可支撑性需求o符合信息体系结构符合信息体系结构o成本成本/ /效益的安全和控制效益的安全和控制o供应商责任供应商责任 二、计算机稽核的主要内容（二、计算机稽核的主要内容（16）64 银银 行行 家家 的的 摇摇 篮篮 获取和维护应用软件（获取和维护应用软件（AI2）o功能性测试和验收功能性测试和验收o应用控制和安全要求应用控制和安全要求o文档要求文档要求o应用软件生命周期应用软件生命周期o企业信息体系结构企业信息体系结

66、构o系统开发生命周期方法系统开发生命周期方法o人机接口人机接口o程序包的用户化定制程序包的用户化定制二、计算机稽核的主要内容（二、计算机稽核的主要内容（17）65 银银 行行 家家 的的 摇摇 篮篮 获取和维护技术基础设施（获取和维护技术基础设施（AI3）o遵从技术基础设施的方向和标准遵从技术基础设施的方向和标准o技术评估技术评估o安装、维护与变更控制安装、维护与变更控制o升级、转换和移植计划升级、转换和移植计划o内部和外部基础设施和（或）资源的使用内部和外部基础设施和（或）资源的使用o供货商责任和关系供货商责任和关系o变更管理变更管理o所有者的总成本所有者的总成本o系统软件安全系统软件安全二

67、、计算机稽核的主要内容（二、计算机稽核的主要内容（18）66 银银 行行 家家 的的 摇摇 篮篮 开发和维护程序（开发和维护程序（AI4）o业务过程的再设计业务过程的再设计o由于其它技术交付而产生的处理程序由于其它技术交付而产生的处理程序o适时的开发适时的开发o用户程序与控制用户程序与控制o操作程序与控制操作程序与控制o培训资料培训资料o变更管理变更管理二、计算机稽核的主要内容（二、计算机稽核的主要内容（19）67 银银 行行 家家 的的 摇摇 篮篮 系统的安装和鉴定（系统的安装和鉴定（AI5）o用户和用户和IT操作人员的培训操作人员的培训o数据转换数据转换o反映真实环境的测试环境反映真实环境

68、的测试环境o鉴定合格鉴定合格o在实施之后的评价和反馈在实施之后的评价和反馈o最终用户参与测试最终用户参与测试o持续的质量改进计划持续的质量改进计划o业务持续性要求业务持续性要求o容量和吞吐量测量容量和吞吐量测量o达成一致的验收接受标准达成一致的验收接受标准二、计算机稽核的主要内容（二、计算机稽核的主要内容（20）68 银银 行行 家家 的的 摇摇 篮篮 管理变更（管理变更（AI6）o变更的识别变更的识别o分类、排列优先顺序以及紧急事件程序分类、排列优先顺序以及紧急事件程序o影响的评估影响的评估o变更的授权变更的授权o版本发布的管理版本发布的管理o软件的分发软件的分发o自动化工具的使用自动化工具

69、的使用o配置管理配置管理o业务过程的重新设计业务过程的重新设计二、计算机稽核的主要内容（二、计算机稽核的主要内容（21）69 银银 行行 家家 的的 摇摇 篮篮 一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程与方法五、案例分析70 银银 行行 家家 的的 摇摇 篮篮 三、计算机稽核的标准（三、计算机稽核的标准（1）1.ISO/IEC17799/BS7799：信息安全管理实用规则信息安全管理实用规则ISO/IEC17799的前身为英的前身为英国的国的BS7799标准，该标准由英国标准协会标准，该标准由英国标准协会（BSI）于）于1995年年2月提出、月提

70、出、1995年年5月修订而成，月修订而成，并于并于1999年重新修改了该标准。年重新修改了该标准。BS7799分为两分为两个部分：个部分：BS7799-1，信息安全管理实施规则；，信息安全管理实施规则；BS7799-2，信息安全管理体系规范。，信息安全管理体系规范。该标准为行该标准为行业或者商业信息系统中识别一系列控制手段提供业或者商业信息系统中识别一系列控制手段提供独立的参考点独立的参考点, 总共总共10个方面的内容，个方面的内容，127个控制个控制点点71 银银 行行 家家 的的 摇摇 篮篮 ISACA(Information Systems Audit and Control ISACA

71、(Information Systems Audit and Control Association )Association )国际信息系统审计与控制协会国际信息系统审计与控制协会 国际信息系统审计与控制协会（国际信息系统审计与控制协会（ISACAISACA，网址：，网址：www.isaca.orgwww.isaca.org）是全球公认的信息科技管治、控制、）是全球公认的信息科技管治、控制、安全，以及标准合规的领导组织，会员遍布逾安全，以及标准合规的领导组织，会员遍布逾160160个国个国家，总数超过家，总数超过86,00086,000人。人。ISACAISACA成立于成立于19691969

72、年，除赞助年，除赞助国际会议外，还有出版刊物（国际会议外，还有出版刊物（ISACA JournalISACA Journal），开发），开发国际信息系统的审计与控制标准，以及颁授广受全球国际信息系统的审计与控制标准，以及颁授广受全球接纳的国际公认信息系统审计师（接纳的国际公认信息系统审计师（CISACISA）和国际公认）和国际公认信息保安经理（信息保安经理（CISMCISM）专业资格。）专业资格。三、计算机稽核的标准（三、计算机稽核的标准（2）72 银银 行行 家家 的的 摇摇 篮篮 CISA自自1978年创立以来已获逾年创立以来已获逾60,000名专业人名专业人士取得资格，而士取得资格，而C

73、ISM认可资格自认可资格自2002年推出年推出后已经获后已经获10,000多名专业人士领取。多名专业人士领取。ISACA于于2008年设立了一项新的认可资格年设立了一项新的认可资格年设立了一项年设立了一项新的认可资格，名为企业信息科技管治认证新的认可资格，名为企业信息科技管治认证（CGEIT）。）。三、计算机稽核的标准（三、计算机稽核的标准（2）73 银银 行行 家家 的的 摇摇 篮篮 2.COBIT什么是什么是COBIT COBIT 信息及相关技术的控制目标信息及相关技术的控制目标nCOBITCOBIT为正在寻求控制实施最佳实践的管理为正在寻求控制实施最佳实践的管理者和者和ITIT实施人员提

74、供了超过实施人员提供了超过300300个详细的控个详细的控制目，以及建立在这些目标上的广泛的行动制目，以及建立在这些目标上的广泛的行动指南。指南。COBIT实现了企业目标与实现了企业目标与IT治理目标治理目标之间的桥梁作用。之间的桥梁作用。三、计算机稽核的标准（三、计算机稽核的标准（3）74 银银 行行 家家 的的 摇摇 篮篮 nCOBIT实现可跟踪的业绩衡量，通过平衡记实现可跟踪的业绩衡量，通过平衡记分卡可以在财务（企业资源管理）、客户分卡可以在财务（企业资源管理）、客户（客户关系管理）、过程（内部网，工作流（客户关系管理）、过程（内部网，工作流工具）、学习（知识管理）等方面维持平衡，工具）

75、、学习（知识管理）等方面维持平衡，评价企业目标的实现情况以及评价企业目标的实现情况以及IT绩效，并调绩效，并调整业务目标和整业务目标和IT战略，进行持续的战略，进行持续的IT管理。管理。三、计算机稽核的标准（三、计算机稽核的标准（3）75 银银 行行 家家 的的 摇摇 篮篮 nCOBIT采用成熟度模型，可以定位自己企业的采用成熟度模型，可以定位自己企业的IT管理目前在业界所处的位置，以及未来努力的方管理目前在业界所处的位置，以及未来努力的方向，通俗地说就是给向，通俗地说就是给IT管理管理“打分打分”。nCOBIT还提供了目前最佳案例和关键成功因素还提供了目前最佳案例和关键成功因素（CSF），供

76、企业和组织借鉴。），供企业和组织借鉴。n作为作为IT治理的核心模型，治理的核心模型，COBIT包含包含34个信息技个信息技术过程控制，并归集为四个控制域：术过程控制，并归集为四个控制域：IT规划和组规划和组织（织（Planning_andOrganization）、系统获得和）、系统获得和实施（实施（Acquisition_andImplementation）、交付）、交付与支持（与支持（Delivery_andSupport）以及信息系统）以及信息系统运行性能监控与评价（运行性能监控与评价（Monitoring）。）。三、计算机稽核的标准（三、计算机稽核的标准（3）76 银银 行行 家家 的

77、的 摇摇 篮篮 COBITCOBIT框架措施：框架措施：与业务保持联系；与业务保持联系；采用通用过程模型的方式来组织采用通用过程模型的方式来组织ITIT活动；活动；识别需要调节的重要识别需要调节的重要ITIT资源；资源；规定管理者应该考虑的控制目标规定管理者应该考虑的控制目标三、计算机稽核的标准（三、计算机稽核的标准（4）77 银银 行行 家家 的的 摇摇 篮篮 oCOBITCOBIT与与ITIT治理有什么治理有什么关系关系提供管理工提供管理工具来提升具来提升ITIT和衡量治和衡量治理水平理水平oITIT治理关注的领域治理关注的领域 战略协调；战略协调； 价值交付；价值交付； 绩效衡量；绩效衡

78、量； 风险管理；风险管理； 资源管理。资源管理。三、计算机稽核的标准（三、计算机稽核的标准（5）78 银银 行行 家家 的的 摇摇 篮篮 ITIT治理治理计划与组织计划与组织监控监控交付与支持交付与支持采购与实施采购与实施效力效力效率效率机密性机密性机密性机密性完整性完整性有效性有效性依从性依从性可靠性可靠性信息信息人力人力应用系统应用系统技术技术设备设备数据数据ITIT资源资源信息安全监控与安全事件报告信息安全监控与安全事件报告管理制度管理制度信息系统监控制度信息系统监控制度 SAPSAP系统监控制度系统监控制度ITIT服务水平管理制度服务水平管理制度 第三方服务商管理制度第三方服务商管理制

79、度 信息安全管理制度信息安全管理制度系统帐号管理制度系统帐号管理制度系统配置与基础架构变更管理制度系统配置与基础架构变更管理制度 SAP SAP应用系统帐号管理制度应用系统帐号管理制度 操作管理制度操作管理制度 数据管理制度数据管理制度备份管理制度备份管理制度软件许可管理制度软件许可管理制度 防火墙与安全网关管理制度防火墙与安全网关管理制度 防病毒管理制度防病毒管理制度 计算机用户安全管理制度计算机用户安全管理制度 机房管理制度机房管理制度 远程访问管理制度远程访问管理制度 软件开发管理制度软件开发管理制度软件变更管理制度软件变更管理制度ITIT软硬件采购管理制度软硬件采购管理制度 信息技术制

80、信息技术制度维护制度度维护制度第三方连接安全管理制度第三方连接安全管理制度 问题处理管理制度问题处理管理制度三、计算机稽核的标准（三、计算机稽核的标准（6）79 银银 行行 家家 的的 摇摇 篮篮 COBITCOBIT框架和核心组件框架和核心组件三、计算机稽核的标准（三、计算机稽核的标准（7）80 银银 行行 家家 的的 摇摇 篮篮 域域ITIT过程过程4 4个部分个部分1 1POPO策划与组织策划与组织PO1PO1定义定义ITIT战略计划战略计划PO2PO2定义信息架构定义信息架构PO3PO3确定技术导向确定技术导向PO4PO4定义定义ITIT过程、组织和关过程、组织和关系系PO5 ITPO

81、5 IT投资管理投资管理PO6 PO6 沟通管理目的和方向沟通管理目的和方向PO7 ITPO7 IT人力资源管理人力资源管理PO8 PO8 质量管理质量管理PO9 ITPO9 IT风险评估及管理风险评估及管理PO10 PO10 项目管理项目管理高级控制目高级控制目标标详细控制目详细控制目标标管理指南管理指南成熟度模型成熟度模型2 2AIAI获取与实施获取与实施AI1 AI1 识别自动化解决方案识别自动化解决方案AI2 AI2 获得并维护应用软件获得并维护应用软件AI3 AI3 获得维护技术基础设获得维护技术基础设施施AI4 AI4 保障运行和使用保障运行和使用AI5 AI5 获得获得ITIT资

82、源资源AI6 AI6 变更管理变更管理AI7AI7安装、授权解决方案和安装、授权解决方案和变更变更三、计算机稽核的标准（三、计算机稽核的标准（8）81 银银 行行 家家 的的 摇摇 篮篮 域域ITIT过程过程4 4个部分个部分3 3DSDS交付与实施交付与实施DS1 DS1 定义与管理服务水平定义与管理服务水平DS2 DS2 第三方服务管理第三方服务管理DS3 DS3 性能与容量管理性能与容量管理DS4 DS4 确保连续服务确保连续服务DS5 DS5 确保系统安全确保系统安全DS6 DS6 确认并分配成本确认并分配成本DS7 DS7 用户培训用户培训DS8 DS8 客户辅助与建议客户辅助与建议

83、DS9 DS9 配置管理配置管理DS10 DS10 问题与事件管理问题与事件管理DS11 DS11 数据管理数据管理DS12 DS12 设备管理设备管理DS13 DS13 操作管理操作管理高级控制目高级控制目标标详细控制目详细控制目标标管理指南管理指南成熟度模型成熟度模型4 4MEME监控与评价监控与评价ME1 ME1 监控流程监控流程ME2 ME2 评估内部控制适合度评估内部控制适合度ME3 ME3 获得独立的保证获得独立的保证ME4 ME4 提供独立审计提供独立审计三、计算机稽核的标准（三、计算机稽核的标准（8）82 银银 行行 家家 的的 摇摇 篮篮 三、计算机稽核的标准（三、计算机稽核

84、的标准（9）COBIT4.1 2007年年5月月8日，日，ITGI发布发布COBIT 4.1，它，它是是COBITIT治理框架的最新版本。治理框架的最新版本。COBIT 4.1是是COBIT 4.0框架的一种微调。框架的一种微调。COBIT 4.1的更新包括提高了性能测量、改善了控制的更新包括提高了性能测量、改善了控制目标并且对商业和目标并且对商业和IT目标有了更好的定位。目标有了更好的定位。 83 银银 行行 家家 的的 摇摇 篮篮 CobiT4.1补充了对执行概要部分的描述，补充了对执行概要部分的描述，对绩效评价的解释更为清晰，对对绩效评价的解释更为清晰，对IT目标、流程目标、流程和活动目

85、标这一瀑布式的每个部分都增加了评和活动目标这一瀑布式的每个部分都增加了评价标准，并且扩展了绩效驱动因素和结果衡量价标准，并且扩展了绩效驱动因素和结果衡量标准之间的区别。结果的衡量标准（标准之间的区别。结果的衡量标准（KGI）同）同时也是更高层级目标的驱动因素（时也是更高层级目标的驱动因素（KPI）。由于）。由于控制实践和控制实践和ValIT模型的开发，模型的开发，CobiT4.1同时还同时还包括更完善的控制目标。包括更完善的控制目标。三、计算机稽核的标准（三、计算机稽核的标准（9）84 银银 行行 家家 的的 摇摇 篮篮 在控制目标这个层面，控制目标的定在控制目标这个层面，控制目标的定义也有所

86、变化，变得更加贴合管理实践。义也有所变化，变得更加贴合管理实践。一些控制目标被重新定义和分组，以防止一些控制目标被重新定义和分组，以防止控制目标的交叠，使整个控制目标更加协控制目标的交叠，使整个控制目标更加协调。在调。在CobiT4.1中，中，AI5.4，AI5.5和和AI5.6合并成了一个，合并成了一个，AI7.9，AI7.10和和AI7.11也也合并成了一个。合并成了一个。三、计算机稽核的标准（三、计算机稽核的标准（9）85 银银 行行 家家 的的 摇摇 篮篮 三、计算机稽核的标准（三、计算机稽核的标准（10）3.银监会银监会商业银行信息科技风险管理指引商业银行信息科技风险管理指引 银监会

87、银监会20092009年年3 3月发布月发布商业银行信息科商业银行信息科技风险管理指引技风险管理指引（以下简称（以下简称管理指引管理指引），），原原银行业金融机构信息系统风险管理指引银行业金融机构信息系统风险管理指引（银监发（银监发200620066363号，以下简称原号，以下简称原指引指引）同时废止。同时废止。86 银银 行行 家家 的的 摇摇 篮篮 o管理指引管理指引具有以下几个特点：一是全面涵具有以下几个特点：一是全面涵盖商业银行的信息科技活动，进一步明确信息盖商业银行的信息科技活动，进一步明确信息科技与银行业务的关系，对于认识和防范风险科技与银行业务的关系，对于认识和防范风险具有更加积

88、极的作用；二是适用范围由银行业具有更加积极的作用；二是适用范围由银行业金融机构变为法人商业银行，其他银行业金融金融机构变为法人商业银行，其他银行业金融机构参照执行；三是信息科技治理作为首要内机构参照执行；三是信息科技治理作为首要内容提出，充实并细化了对商业银行在治理层面容提出，充实并细化了对商业银行在治理层面的具体要求；的具体要求；三、计算机稽核的标准（三、计算机稽核的标准（10）87 银银 行行 家家 的的 摇摇 篮篮 四是重点阐述了信息科技风险管理和内外部审计要四是重点阐述了信息科技风险管理和内外部审计要求，特别是要求审计贯穿信息科技活动的整个过程之求，特别是要求审计贯穿信息科技活动的整个

89、过程之中；五是参照国际国内的标准和成功实践，对商业银中；五是参照国际国内的标准和成功实践，对商业银行信息科技整个生命周期内的信息安全、业务连续性行信息科技整个生命周期内的信息安全、业务连续性管理和外包等方面提出高标准、高要求，使操作性更管理和外包等方面提出高标准、高要求，使操作性更强；六是加强了对客户信息保护的要求。强；六是加强了对客户信息保护的要求。新新指引指引共十一章七十六条，分为总则，信息共十一章七十六条，分为总则，信息科技治理，信息科技风险管理，信息安全，信息系统科技治理，信息科技风险管理，信息安全，信息系统开发、测试和维护，信息科技运行，业务连续性管理，开发、测试和维护，信息科技运行

90、，业务连续性管理，外包，内部审计，外部审计和附则等十一个部分。外包，内部审计，外部审计和附则等十一个部分。三、计算机稽核的标准（三、计算机稽核的标准（10）88 银银 行行 家家 的的 摇摇 篮篮 一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程和方法五、案例分析89 银银 行行 家家 的的 摇摇 篮篮 稽核对象的定义稽核对象的定义准确的定义被审系统对审计准确的定义被审系统对审计工作的成败有决定性的影响。以网上银行系统功能为工作的成败有决定性的影响。以网上银行系统功能为例，可能被审计的系统功能如下：例，可能被审计的系统功能如下：开帐户开帐户转帐转帐网上支

91、付网上支付网上查询网上查询申请信申请信用卡用卡外汇及证外汇及证券交易券交易三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（1）90 银银 行行 家家 的的 摇摇 篮篮 计算机稽核的流程根据各风险的评级，可拟定以下计算机稽核的流程根据各风险的评级，可拟定以下对系统的信息需求：对系统的信息需求：有效性有效性 (Effectiveness)(Effectiveness)运行效率运行效率 (Efficiency)(Efficiency)保密性保密性 (Confidentiality)(Confidentiality)完整性完整性 (Integrity)(Integrity)实时性实时性(Ava

92、ilability)(Availability)合规性合规性 (Compliance)(Compliance)可依赖性可依赖性 (Reliability)(Reliability)三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（2）91 银银 行行 家家 的的 摇摇 篮篮 稽核流程稽核流程1:识别系统特性识别系统特性硬件配备硬件配备 （HardwareHardware）软件配备软件配备 （SoftwareSoftware）系系统统接接口口及及数数据据流流向向（System System interfaces interfaces and Information flow)and Inf

93、ormation flow)业业 务务 数数 据据 与与 关关 键键 信信 息息 （ Data Data and and InformationInformation）三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（3）92 银银 行行 家家 的的 摇摇 篮篮 数据机密性数据机密性（DataSensitivity）系统用户系统用户（Userofthesystem）数据存储数据存储（Informationstorage）IT环境安全环境安全（EnvironmentalSecurity）三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（3）93 银银 行行 家家 的的 摇摇 篮篮 稽

94、核流程稽核流程2:考虑可能的威胁考虑可能的威胁外部的攻击外部的攻击 （如（如Denial of ServiceDenial of Service）非授权数据存取非授权数据存取非授权操作非授权操作岗位牵制不足岗位牵制不足人员操作失误人员操作失误缺乏检查和监督缺乏检查和监督三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（4）94 银银 行行 家家 的的 摇摇 篮篮 稽核流程稽核流程3: 审阅可能存在的漏洞审阅可能存在的漏洞过过期期帐帐号号（Terminated Terminated employees employees ID ID not removed from systemnot r

95、emoved from system）防防火火墙墙配配置置漏漏洞洞 （Firewall Firewall allows allows inbound telnetinbound telnet）三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（5）95 银银 行行 家家 的的 摇摇 篮篮 临临时时帐帐号号被被起起用用（GuestIDareenabled）未未 及及 时时 安安 装装 安安 全全 补补 丁丁 （ Patches foridentifiedflawsarenotinstalled）人员牵制不足人员牵制不足(Notenoughcontrol)未经过授权就操作未经过授权就操作(Un

96、thorization)三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（5）96 银银 行行 家家 的的 摇摇 篮篮 稽核流程稽核流程4:分析控制措施分析控制措施控制手段控制手段/ /方法方法: :系统功能控制系统功能控制 （Technical ControlTechnical Control）流程控制流程控制 （Non-technical ControlNon-technical Control）控制类别控制类别: :事前防范事前防范 （Preventive ControlsPreventive Controls）事后检测事后检测 （Detective ControlsDetecti

97、ve Controls）三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（6）97 银银 行行 家家 的的 摇摇 篮篮 稽核流程稽核流程 5: 风险评估风险评估后果评估后果评估描述描述高高漏洞发生漏洞发生：（：（1）可能对主要有形资产和资源造成重）可能对主要有形资产和资源造成重大损失。（大损失。（2）可能会使组织的业务进程严重受阻，）可能会使组织的业务进程严重受阻，声誉受到严重消极影响，致使利益无法回收。声誉受到严重消极影响，致使利益无法回收。中中漏洞发生漏洞发生：（：（1）可能对有形资产和资源造成较大损）可能对有形资产和资源造成较大损失。（失。（2）可能会使组织的业务进程以及利益回收受

98、）可能会使组织的业务进程以及利益回收受阻，声誉受到消极影响。阻，声誉受到消极影响。低低漏洞发生：（漏洞发生：（1）可能）可能对有形资产和资源造成损失。对有形资产和资源造成损失。（2）可能明显的影响组织的业务进程、声誉以及利）可能明显的影响组织的业务进程、声誉以及利益回收。益回收。三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（7）98 银银 行行 家家 的的 摇摇 篮篮 稽核流程稽核流程6: 提出审计建议，并提出审计建议，并应考虑以下因素：应考虑以下因素：建建议议的的有有效效性性 （Effectiveness Effectiveness of of recommended recomm

99、ended optionsoptions）法律法规法律法规 （Legislation and regulationLegislation and regulation）公司政策公司政策 （Organizational policyOrganizational policy）业务操作影响业务操作影响 （Operational impactOperational impact）安全及可靠性安全及可靠性 （Safety and reliabilitySafety and reliability）技术可行性技术可行性 （Technical feasibilityTechnical feasibilit

100、y）三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（8）99 银银 行行 家家 的的 摇摇 篮篮 稽核流程稽核流程7：对稽核发现的整改及后续审计：对稽核发现的整改及后续审计及时与审计对象沟通，落实审计发现；及时与审计对象沟通，落实审计发现；制定合理的整改方案，整改时间；制定合理的整改方案，整改时间；制定针对审计发现的后续审计时间表。制定针对审计发现的后续审计时间表。三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（9）100 银银 行行 家家 的的 摇摇 篮篮 制定计划现场检查人员组织角色分配选取辅助工具风险评估出具报告发现问题核实确认后续稽核三、计算机稽核的流程和方法（三、计算

101、机稽核的流程和方法（10）现场稽核流程举例现场稽核流程举例101 银银 行行 家家 的的 摇摇 篮篮 系统配置系统配置日志分析日志分析工具扫描工具扫描人员访谈人员访谈问卷调查问卷调查分析性复核分析性复核资料研读资料研读现场观察现场观察三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（11）102 银银 行行 家家 的的 摇摇 篮篮 稽核方法稽核方法1、资料研读、资料研读 通通过过阅阅读读被被稽稽核核行行的的材材料料，了了解解被被稽稽核核行行在在计计算算机机系系统统方方面面的的内内控控情情况况。这这些些材材料料可可以以是是规规章章制制度度、维维护护日日志志、授授权权审审批批记记录录、应应急

102、急计计划划和和演演练练记记录录、操操作作规规程程、人员及设备清单、图表等。人员及设备清单、图表等。 三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（12）103 银银 行行 家家 的的 摇摇 篮篮 资资料料研研读读从从时时间间上上可可以以划划分分为为两两个个阶阶段段：一一个个是是进进点点之之前前，主主要要获获取取的的是是规规章章制制度度、人人员员及及设设备备清清单单及及操操作作规规程程等等。这这些些资资料料比比较较正正式式，有有些些还还是是通通过过发发文文形形式式公公布布的的；另另一一个个阶阶段段是是进进点点后后到到现现场场获获取取的的，这这些些资资料料包括维护日志和授权审批记录。包括

103、维护日志和授权审批记录。三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（12）104 银银 行行 家家 的的 摇摇 篮篮 稽核方法稽核方法2、人员访谈、人员访谈 通通过过对对相相关关人人员员的的访访谈谈，了了解解其其对对计计算算机机安安全全意意识识、岗岗位位职职责责和和内内控控工工作作流程等内容的理解与合规情况。流程等内容的理解与合规情况。 三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（13）105 银银 行行 家家 的的 摇摇 篮篮 人员访谈的范围根据对象的不同可以分为人员访谈的范围根据对象的不同可以分为三类：第一类是技术人员，包括信息科技部负三类：第一类是技术人员，包括信

104、息科技部负责人、主机管理员、机房负责人、网络管理员、责人、主机管理员、机房负责人、网络管理员、安全员和开发维护人员等；第二类是相关业务安全员和开发维护人员等；第二类是相关业务部门负责人，比如了解国际业务贸易结算系统部门负责人，比如了解国际业务贸易结算系统时需要访谈国际业务部负责人；第三类是被稽时需要访谈国际业务部负责人；第三类是被稽核行行领导，主要访谈高层领导对计算机安全核行行领导，主要访谈高层领导对计算机安全内控工作的重视程度和安全意识。内控工作的重视程度和安全意识。三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（13）106 银银 行行 家家 的的 摇摇 篮篮 稽核方法稽核方法3、

105、现场观察、现场观察 到到实实地地对对计计算算机机系系统统硬硬件件、物物理理环环境境、人人员员实实际际工工作作状状况况进进行行了了解解和和取取证证。现现场场查查看看的的范范围围一一般般包包括括被被稽稽核核行行数数据据处处理理中中心心、卡卡中中心心以以及及抽抽查查部部分分辖辖属属网网点点的的计计算算机机机机房房。如如果果有有必必要要还还应应该该到到开开发发测测试试环环境境、备备份份介介质质库库和和备备品备件库进行检查。品备件库进行检查。三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（14）107 银银 行行 家家 的的 摇摇 篮篮 稽核方法稽核方法4、系统配置和日志分析、系统配置和日志分析

106、 通通过过对对路路由由器器、交交换换机机等等网网络络设设备备和和主主机机、前前置置机机服服务务器器及及WINDOWSWINDOWS服服务务器器的的配配置置及及日日志志分分析析，了了解解上上述述设设备备状状态态和和存存在在问问题题，提出技术修补建议。提出技术修补建议。三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（15）108 银银 行行 家家 的的 摇摇 篮篮 稽核方法稽核方法5、工具扫描、工具扫描 采采用用扫扫描描软软件件，对对办办公公网网段段服服务务器器及及PCPC进进行行安安全全漏漏洞洞扫扫描描。扫扫描描结结果果主主要要看看两两个个方方面面：一一是是在在密密码码设设置置方方面面有

107、有些些什什么么问问题题；二二是是看看哪哪些些安安全全补补丁丁没没有有打打；三三是是看看打打开开了了哪哪些些不不必必要要的服务和协议。的服务和协议。三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（16）109 银银 行行 家家 的的 摇摇 篮篮 稽核方法稽核方法6、问卷调查、问卷调查 主主要要面面向向中中高高层层管管理理人人员员，问问卷卷内内容容力力求求简简单单实实用用，主主要要涉涉及及以以下下两两方方面面问问题题：一一是是看看被被调调查查者者对对计计算算机机安安全全组组织织架架构构和和职职责责了了解解的的程程度度；二二是是看看被被调调查查者者在在计计算算机机安安全全内内控控方方面面的的

108、防防范范意意识识；三三是是测测试试被被调调查查者者在在计算机应用方面的技巧。计算机应用方面的技巧。三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（17）110 银银 行行 家家 的的 摇摇 篮篮 稽核方法稽核方法7、分析性复核、分析性复核 通通过过指指标标的的比比率率或或趋趋势势分分析析，了了解解系系统统的的运运行行状状况况，对对比比不不同同时时期期、不不同同机机构构、不不同同系系统统之之间间的的差差异异，了了解解导导致致这这些些差差异异的的原原因，进而发现稽核线索。因，进而发现稽核线索。三、计算机稽核的流程和方法（三、计算机稽核的流程和方法（18）111 银银 行行 家家 的的 摇摇 篮篮 一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程和方法五、案例分析112 银银 行行 家家 的的 摇摇 篮篮 问题与交流问题与交流（Q&A)Q&A)113 银银 行行 家家 的的 摇摇 篮篮 感谢支持、欢迎提问感谢支持、欢迎提问请联系请联系联系电话：联系电话：6244066162442309（F）URL:http:/E-MAIL:联联系系人：（巢老师）人：（巢老师）（付老师）（付老师）114