关于信息系统审计内容的研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
摘 要 :信 息 系统 审计在 我 国尽 管起 步较 晚 ,但 其 重要 性 日渐 明显 。刘 家义 审计 长明确 指 出,信 息 系统 审计要 抓住 三 个关键点 ,即安全性、有效性 ( 可靠性 ) 和经济性。因此信息系统审计的内容也成为审计人 员关注的问题 ,本文将通过分 析 信 息 系统 审计 的概 念及 目标 ,总结 出审计 机 关进行 信 息 系统审计 的 主要 内容 。 关键 词 :信 息 系统 ;审计 ;安 全 ;计 算机技 术 中图分类号:F 3 文献标识码 :A 29 文章鳊号:10— 59( 0 1 3 00一 l 07 99 2 1 )2— 06 O
一
、
而 且 进行 协议 分析 和还 原 ,可达 到 审计服 务器 、用 户 电脑 、数据 库 、应用 系统 的审 计安全 漏 洞 、合法 和非 法或 入侵 操 作 、监控 上 网行 为和 内容 、监控 用户 非 工作 行为 等 目的 。 ( )信 息系 统数据 完整 性 审计 二 根 据 上述 对 数 据 完 整 性 的定 义 ,我 们 可 以确 定 数 据 完 整性 审计 应 包 括 以下几 个 内容 : 1应 用 控 制 审 计 。应 用 控 制 审 计 是 . 直 接针 对 业 务 系 统 根据 用 户 反 馈 、用 例 测 试 结 果 、 实 际业 务 数
I f r a i n s se d tCo t n t d s a c n o m t y t m Au i n e t u yRe e r h o S
W a g Hul 。 a gZe g u , a n n in W n n h i i Gu n Nig
(c o lfnomai c n e i gi l rl n es yC a g h n 1 0 8C i ) S h o o fr t nS i c ,l A r u ua U i ri ,h n c u 1 ,hn I o e Ji n ct v t 3 1 a
计算 机光 盘软 件 与应 用
信 息技术应用研 究
C m u e D S f w r n p l c to s op t r C o t a e a d A p a n i i 21年第 2 01 3期
关于信息系统审计 内容的研究
王 慧林 ,王增辉 ,关 宁 ( 吉林农业大学信 息学院 ,长春 10 1 3 18)
aa z enomai s m uin n etad bet e, mme enomao s ms u tntu o s dth n l e f t ns t s dt gc cps n jcv su y t i r o ye a i o h o i s d pt fr t ns t d stt n ai e u hi i y e ai i i i t u t o
Cl a t t h e e r ha t Au io Ge e a Li Ja ,n o ma in  ̄ tm s udt o ez t r e d tr n r l u iyi f r to s e a i t s ie h e ke p n sn me ys ft,fe tv n s i y oit,a l ,a eye c ie e s
整性 。
( )信 息 系统 合规 性审 计 三 合 规性 审查 主要 包含 技术 合规 性 。技 术合规 性 是指被 审计 对 象 开发 技术 是否 符合 软件 工程 国家标 准 , 括基 础标 准 (S 00 包 IO90 标 准族 ) 以及开 发标 准 、文档 标准 、管 理标准 (B标 准族 ) 。 G 系 统 合 规 性 的 主要 审 计 内容 就 是进 行 代 码 审 计 辅 以数 据 审 计 ,简 单 的说就 是 审计代 码规 范 性 ,代码 安全 性 ( 例如 ,在 对某
0 . 1 7 6: 3
[ 浅析网络安全审计原理和技术. t: n tcry5c o 3 】 h p/ e eui .1t m t / s t c
20 0 9: 1 , 24
‘
Hale Waihona Puke ——6— —
四 、总结
本 文通 过 对 国 内信 息系 统 审 计 发 展 现 状及 相 关 理 论 政 策 研 究 ,推 理 出审 计机 关信 息系 统 审计 的概念 及 目标 ,根 据信 息系 统 审计 目标 总结 了在 我 国审计 机关 开展 信 息系统 审计 的主要 内容 , 即信 息系 统资 产安 全性 审计 、数 据完 整性 审计 、合 规 性审 计 ,并 详 细 阐述 了这 三方 面审计 的具 体 内容 。 参 考 文献 :
man o tnt i c ne .
Ke wo d :n o ma in s se Au i S c r  ̄ Co u e c n l g y r sI f r t y t m; d t e u i r mp tr e h o o y o ; t; t
我 国信 息 系统 审计 发展 现状 2 0 年 大连 中行 员工 翟 昌平 因利 用 银行 系 统 漏洞 窃 取 银行 05 80 万 美元 现金 而 落 网 ,同年 ,相 继在 黑龙 江 、重庆 类似 的案件 0 频有 发 生 。这些 案 件 的破获 均是 在 企业 进行 内部 信 息系 统审 计时 发现 的 。2 0 0 6年许 霆 因利用 银行 取款 机漏 洞窃 取 银行 1. 75万元 现金 的 落 网 。 别近 两 年 以来 时有地 方政 府 网站 被恶 意篡 改 ,08 特 20 年 荆州 市 商务 局 的网站 被 “ ” 黑 ,据 国 内信 息 安全 机构 报道 , 整个 2 0 年 ,全 国平均 每 天有 l% 的政 府 网站 被 “ ” 09 黑 ,其 中主 要 原 因是 口令过 于 简单 和文 件漏 洞太 多 。 以上种 种 案件 表 明 ,所 有 案件 均是 在 事后 ,都 是 已经对 国家 人 民财 产造 成 了危 害损 失后 发现 的, 怎样才 能避 免 这类 情况 的发 生 ,信 息 系统 安全 防 范工 作 已经成 为信 息 时代 的主 要 问题 ,对信 息 系 统开 展 安全 审计 已经 成 为审 计机 关保 护 国家财 政财 务 安全 , 充 分 发挥 审计 “ 免疫 系统 ”功 能 的重要 措施 。 二 、信 息系统 审 计概 念 与 目标 到底 信 息系 统审 计应 如何 定 义呢 ?美 国信 息 系统 审计 学科 的 领 跑 者 R n ee o br给信 息 系统 审计 做 出了如 下概 括 ; 收集 并评 估 W “ 证 据 , 以判 断一 个信 息系 统 是否 有效 做 到保护 资产 、 维护 数据 完 整 、 完 成组织 目标 ,同 时最经 济 的使 用资源 ” 。 根据 信 息系 统审 计 的概 念 ,我们 可 以总 结 出审计 机 关开 展信 息系 统 审计 的 目标是 :确认 资产 安全 性 、保 证数 据完 整性 、认 定 系统 合 规性 。 三 、审 计机 关开 展 信息 系统 审计 的 内容 ( )信息 系统 资 产安全 性 审计 一 那 么 信 息 系 统 审 计 需要 做 那 些 事 情 才 能 有 效 控制 资产 安 全 呢 ?我 们要 从 以下 几个 方面 着手 :1对 系统 基础 设 施及 环境 的 审 . 计 。审 计范 畴 为 :硬件 环境 与 防灾 、主 机硬 件 安全 、底 层支 撑系 统 安全 、通 信线 路 安全 、数 据存 储/ 0 安全 、物 理访 问控制 。2 1 . 网络 安 全审 计 。 目前 的网络 安全 审计 的解 决 方案 有 以下几类 : 日志审 计 : 目的是 收集 日志 ,通 过 SM 、S SO 、O SC或 NP Y LG PE 者其 他 的 日志接 口从 各 种 网络设 备 、 务 器 、用户 电脑 、数据 库 、 服 应用 系 统和 网络 安全 设 备 中收集 日志 ,进行 统一 管理 、分析 和报 警。 主机 审 计 :通过 在 服务 器 、用户 电脑或 其他 审计 对 象 中安装 客户 端 的方 式来 进行 审 计 ,可达 到 审计 安全 漏洞 、审 计合 法和 非 法 或 入侵 操 作 、监控 上 网行 为和 内容 以及 I# 拷 贝文件 行 为 、监  ̄1 - 控 用户 非 工作 行 为等 目的。 网络 审计 : 通过 旁路 和 串接 的方式 实现 对 网络 数据 包 的捕获 ,
( l b i ) d山eeo o y h rfr, ecne t f noma o s ms u i h s eo o cr f u i r ti P r i r i it a ea l n y c n m . e oe o t f T e h t n o i r t ns t dt a c meac n e o d oshs 印e w l i ye a b n a t , l
商 业银 行进 行 审计过 程 中发现 ,由于 代码 员 的经验 问题 ,在 撰 写 计 算还 款利 息 时的 公式 时发 生错误 ,导致 每笔 还款 利 息多计 算 1
分 钱 ) ,关键 处理流 程 正确性 ( 此处 旨在 检查 业务 逻辑 是否 符合 相 关 的法律 法规 以及 规章 制度 ),后 门 、调试 与逻 辑炸 弹 , 以此 来 保证 系 统的 正确性 和合 规性 。
Ab t a tI f r t n S se dta d Co t l n Chn e pt h t tr.u t i o tn e i ic e sn l p a e t sr c : o mai y tms Au i n nr i ad s i te l e s t t s mp r c n r a ig y a p r n . n o o i e a a b i a s
【 Ro e e 主编 . fr a o s m o t l n u t 0 1 1 n br ] w I o m t nS t s n o a d n . 0 n i ye C r A 2
【 王智 玉. 息 系统 审计是做 什 么的. 2 】 信
ht: hjg . e u n we /4 /0 4 7 2 10 4 8 3 t l 0 t / n hh d . / b 17 2 0 0 / 8 2 9 3 4 . m , p / y n c h 2
据 、代码分析结果发现系统风险及其对业务的直接影 响。2 输 . 入 输 出控 制 审 计 : 输 入控 制 审计 要 点 :C N R LT T L 、 多 点 OT O OA S
录入 、终 端访 问控 制 、S s in窗 口控制 。输 出控 制 审计 要 点 : e so 访 问控 制 、缓 冲 区 安全 、派 发 路 径 安全 。3 数 据 审计 。通 过 直 . 接 获取 数 据 库 数 据 ,对 实体 完 整 性 、用 户 定 义 完整 性 、参 照 完 整 性 、 域完 整 性 的 验 证 ,来 确 认 信 息 应用 系 统 设 计 和获 取 的 完
一
、
而 且 进行 协议 分析 和还 原 ,可达 到 审计服 务器 、用 户 电脑 、数据 库 、应用 系统 的审 计安全 漏 洞 、合法 和非 法或 入侵 操 作 、监控 上 网行 为和 内容 、监控 用户 非 工作 行为 等 目的 。 ( )信 息系 统数据 完整 性 审计 二 根 据 上述 对 数 据 完 整 性 的定 义 ,我 们 可 以确 定 数 据 完 整性 审计 应 包 括 以下几 个 内容 : 1应 用 控 制 审 计 。应 用 控 制 审 计 是 . 直 接针 对 业 务 系 统 根据 用 户 反 馈 、用 例 测 试 结 果 、 实 际业 务 数
I f r a i n s se d tCo t n t d s a c n o m t y t m Au i n e t u yRe e r h o S
W a g Hul 。 a gZe g u , a n n in W n n h i i Gu n Nig
(c o lfnomai c n e i gi l rl n es yC a g h n 1 0 8C i ) S h o o fr t nS i c ,l A r u ua U i ri ,h n c u 1 ,hn I o e Ji n ct v t 3 1 a
计算 机光 盘软 件 与应 用
信 息技术应用研 究
C m u e D S f w r n p l c to s op t r C o t a e a d A p a n i i 21年第 2 01 3期
关于信息系统审计 内容的研究
王 慧林 ,王增辉 ,关 宁 ( 吉林农业大学信 息学院 ,长春 10 1 3 18)
aa z enomai s m uin n etad bet e, mme enomao s ms u tntu o s dth n l e f t ns t s dt gc cps n jcv su y t i r o ye a i o h o i s d pt fr t ns t d stt n ai e u hi i y e ai i i i t u t o
Cl a t t h e e r ha t Au io Ge e a Li Ja ,n o ma in  ̄ tm s udt o ez t r e d tr n r l u iyi f r to s e a i t s ie h e ke p n sn me ys ft,fe tv n s i y oit,a l ,a eye c ie e s
整性 。
( )信 息 系统 合规 性审 计 三 合 规性 审查 主要 包含 技术 合规 性 。技 术合规 性 是指被 审计 对 象 开发 技术 是否 符合 软件 工程 国家标 准 , 括基 础标 准 (S 00 包 IO90 标 准族 ) 以及开 发标 准 、文档 标准 、管 理标准 (B标 准族 ) 。 G 系 统 合 规 性 的 主要 审 计 内容 就 是进 行 代 码 审 计 辅 以数 据 审 计 ,简 单 的说就 是 审计代 码规 范 性 ,代码 安全 性 ( 例如 ,在 对某
0 . 1 7 6: 3
[ 浅析网络安全审计原理和技术. t: n tcry5c o 3 】 h p/ e eui .1t m t / s t c
20 0 9: 1 , 24
‘
Hale Waihona Puke ——6— —
四 、总结
本 文通 过 对 国 内信 息系 统 审 计 发 展 现 状及 相 关 理 论 政 策 研 究 ,推 理 出审 计机 关信 息系 统 审计 的概念 及 目标 ,根 据信 息系 统 审计 目标 总结 了在 我 国审计 机关 开展 信 息系统 审计 的主要 内容 , 即信 息系 统资 产安 全性 审计 、数 据完 整性 审计 、合 规 性审 计 ,并 详 细 阐述 了这 三方 面审计 的具 体 内容 。 参 考 文献 :
man o tnt i c ne .
Ke wo d :n o ma in s se Au i S c r  ̄ Co u e c n l g y r sI f r t y t m; d t e u i r mp tr e h o o y o ; t; t
我 国信 息 系统 审计 发展 现状 2 0 年 大连 中行 员工 翟 昌平 因利 用 银行 系 统 漏洞 窃 取 银行 05 80 万 美元 现金 而 落 网 ,同年 ,相 继在 黑龙 江 、重庆 类似 的案件 0 频有 发 生 。这些 案 件 的破获 均是 在 企业 进行 内部 信 息系 统审 计时 发现 的 。2 0 0 6年许 霆 因利用 银行 取款 机漏 洞窃 取 银行 1. 75万元 现金 的 落 网 。 别近 两 年 以来 时有地 方政 府 网站 被恶 意篡 改 ,08 特 20 年 荆州 市 商务 局 的网站 被 “ ” 黑 ,据 国 内信 息 安全 机构 报道 , 整个 2 0 年 ,全 国平均 每 天有 l% 的政 府 网站 被 “ ” 09 黑 ,其 中主 要 原 因是 口令过 于 简单 和文 件漏 洞太 多 。 以上种 种 案件 表 明 ,所 有 案件 均是 在 事后 ,都 是 已经对 国家 人 民财 产造 成 了危 害损 失后 发现 的, 怎样才 能避 免 这类 情况 的发 生 ,信 息 系统 安全 防 范工 作 已经成 为信 息 时代 的主 要 问题 ,对信 息 系 统开 展 安全 审计 已经 成 为审 计机 关保 护 国家财 政财 务 安全 , 充 分 发挥 审计 “ 免疫 系统 ”功 能 的重要 措施 。 二 、信 息系统 审 计概 念 与 目标 到底 信 息系 统审 计应 如何 定 义呢 ?美 国信 息 系统 审计 学科 的 领 跑 者 R n ee o br给信 息 系统 审计 做 出了如 下概 括 ; 收集 并评 估 W “ 证 据 , 以判 断一 个信 息系 统 是否 有效 做 到保护 资产 、 维护 数据 完 整 、 完 成组织 目标 ,同 时最经 济 的使 用资源 ” 。 根据 信 息系 统审 计 的概 念 ,我们 可 以总 结 出审计 机 关开 展信 息系 统 审计 的 目标是 :确认 资产 安全 性 、保 证数 据完 整性 、认 定 系统 合 规性 。 三 、审 计机 关开 展 信息 系统 审计 的 内容 ( )信息 系统 资 产安全 性 审计 一 那 么 信 息 系 统 审 计 需要 做 那 些 事 情 才 能 有 效 控制 资产 安 全 呢 ?我 们要 从 以下 几个 方面 着手 :1对 系统 基础 设 施及 环境 的 审 . 计 。审 计范 畴 为 :硬件 环境 与 防灾 、主 机硬 件 安全 、底 层支 撑系 统 安全 、通 信线 路 安全 、数 据存 储/ 0 安全 、物 理访 问控制 。2 1 . 网络 安 全审 计 。 目前 的网络 安全 审计 的解 决 方案 有 以下几类 : 日志审 计 : 目的是 收集 日志 ,通 过 SM 、S SO 、O SC或 NP Y LG PE 者其 他 的 日志接 口从 各 种 网络设 备 、 务 器 、用户 电脑 、数据 库 、 服 应用 系 统和 网络 安全 设 备 中收集 日志 ,进行 统一 管理 、分析 和报 警。 主机 审 计 :通过 在 服务 器 、用户 电脑或 其他 审计 对 象 中安装 客户 端 的方 式来 进行 审 计 ,可达 到 审计 安全 漏洞 、审 计合 法和 非 法 或 入侵 操 作 、监控 上 网行 为和 内容 以及 I# 拷 贝文件 行 为 、监  ̄1 - 控 用户 非 工作 行 为等 目的。 网络 审计 : 通过 旁路 和 串接 的方式 实现 对 网络 数据 包 的捕获 ,
( l b i ) d山eeo o y h rfr, ecne t f noma o s ms u i h s eo o cr f u i r ti P r i r i it a ea l n y c n m . e oe o t f T e h t n o i r t ns t dt a c meac n e o d oshs 印e w l i ye a b n a t , l
商 业银 行进 行 审计过 程 中发现 ,由于 代码 员 的经验 问题 ,在 撰 写 计 算还 款利 息 时的 公式 时发 生错误 ,导致 每笔 还款 利 息多计 算 1
分 钱 ) ,关键 处理流 程 正确性 ( 此处 旨在 检查 业务 逻辑 是否 符合 相 关 的法律 法规 以及 规章 制度 ),后 门 、调试 与逻 辑炸 弹 , 以此 来 保证 系 统的 正确性 和合 规性 。
Ab t a tI f r t n S se dta d Co t l n Chn e pt h t tr.u t i o tn e i ic e sn l p a e t sr c : o mai y tms Au i n nr i ad s i te l e s t t s mp r c n r a ig y a p r n . n o o i e a a b i a s
【 Ro e e 主编 . fr a o s m o t l n u t 0 1 1 n br ] w I o m t nS t s n o a d n . 0 n i ye C r A 2
【 王智 玉. 息 系统 审计是做 什 么的. 2 】 信
ht: hjg . e u n we /4 /0 4 7 2 10 4 8 3 t l 0 t / n hh d . / b 17 2 0 0 / 8 2 9 3 4 . m , p / y n c h 2
据 、代码分析结果发现系统风险及其对业务的直接影 响。2 输 . 入 输 出控 制 审 计 : 输 入控 制 审计 要 点 :C N R LT T L 、 多 点 OT O OA S
录入 、终 端访 问控 制 、S s in窗 口控制 。输 出控 制 审计 要 点 : e so 访 问控 制 、缓 冲 区 安全 、派 发 路 径 安全 。3 数 据 审计 。通 过 直 . 接 获取 数 据 库 数 据 ,对 实体 完 整 性 、用 户 定 义 完整 性 、参 照 完 整 性 、 域完 整 性 的 验 证 ,来 确 认 信 息 应用 系 统 设 计 和获 取 的 完